Grupo de Estudos em Direito e Tecnologia da Universidade Federal de Minas Gerais – DTEC - UFMG Data: 23/11/2021
Relatores: Ana Paula Bougleux Andrade Resende e Celina Rolim Reis
IoT E PROTEÇÃO DE DADOS PESSOAIS
DEFINIÇÃO IoT
O Conceito de IoT formulado pelo grupo traz a seguinte definição:
IoT Opera em rede com utilização de qualquer protocolo, de sensores e por meio de uma programação prévia com substituição da ação humana.
As “coisas” irão operar numa rede, e, por meio de uma programação prévia, oferta/demanda de bens e serviços será realizada.
(DTEC, 14/09/21)
Por definição, temos dois tipos de casas utilizando IoT, sendo:
A casa denominada “conectada” que tende a executar ações a partir de comandos de voz do usuário através de assistentes virtuais. Nestas casas, o usuário consegue controlar dispositivos a distância usando aplicativos oferecidos pelos fabricantes dos aparelhos ou integrando tudo em assistentes virtuais, que funcionam por comandos de voz.
A casa denominada “inteligente” que é uma casa automatizada onde todos os processos entendem quando executar cada ação, sem intervenção do usuário. Nessa casa os dispositivos estão conectados como na casa “Conectada” mas não há a necessidade de intervenção do usuário. Essa casa usa o mesmo preceito de dispositivos conectados para criar um ambiente que executa ações sem precisar de comandos de voz pelas assistentes virtuais quanto por interfaces de um aplicativo específico.
Quando dizemos que IoT Opera uma rede e afirmamos que deve haver a substituição da ação humana, contradizemos a existência da casa “Conectada”. Para sanar essa questão foi proposta a adequação do conceito, sugerindo a seguinte alteração:
IoT Opera em rede com utilização de qualquer protocolo, de sensores e por meio de uma programação prévia (IoT Conectada) com substituição da ação humana (IoT Inteligente).
Ainda em relação à substituição da ação humana, houve uma explanação sobre o quanto é importante estarmos preparados para essa intervenção. Temos que conhecer os riscos envolvidos e os ganhos, para só então optar por uma casa Conectada ou Inteligente, utilizando o IoT.
EXPECTATIVA DO USUÁRIO
O usuário de uma casa inteligente, o trabalhador de uma empresa que utiliza IoT ou o morador de uma cidade inteligente tem a expectativa de que está em um ambiente seguro, confiável e que as empresas coletoras de dados agem com ética e dentro da legalidade. O processo durante a coleta e o tratamento dos dados coletados é para nós usuários uma caixa preta e esse é o grande risco. O Usuário espera que a sua privacidade esteja assegurada e que as empresas gerenciem e controlem as informações coletadas.
De acordo com os estudos realizados, NENHUMA DAS PESQUISAS REVELOU PERSPECTIVA INTEGRADA DE PRIVACIDADE E SEGURANÇA CENTRADO NO USUÁRIO. Essa constatação acende a luz do ALERTA e gera insegurança e preocupação.
“A IoT é uma visão de conectividade onipresente. Com sensores, código e infraestrutura, qualquer objeto pode se tornar uma rede. A maioria da discussão sobre IoT gira em torno de objetos inteligentes, enquanto o usuário é relegado à periferia. Portanto, há necessidade de desviar a atenção para pessoas inteligentes. Isso potencialmente colocaria usuários no centro das soluções de IoT.”
É essencial que as empresas fabricantes dos objetos conectados coloquem o titular no centro do palco e comecem a se preocupar em como resolver questões para minimizar os riscos de invasão de intimidade e uso indevido de dados coletados nos ambientes. A linha entre os dados pessoais e não pessoais é um alvo móvel. Se todas as atividades podem ser monitoradas a qualquer hora e em qualquer lugar, a associação dessas informações pode tornar um dado considerado como “Não Pessoal” em um dado pessoal sensível, exigindo proteção e consentimento.
Um exemplo dessa modificação de um dado não pessoal em dado pessoal sensível é a coleta de dados através da geolocalização que rastreia o hábito frequente de um Titular de dados, que todos os domingos pela manhã se desloca para determinado endereço. Este endereço permite conhecer sua religião se verificamos que nesse endereço temos uma sinagoga. A análise e vinculação desses dados torna um dado considerado impessoal em um dado pessoal sensível porque permite conhecer informações da preferência religiosa de um determinado usuário. Percebe-se assim, como a linha que separa um dado pessoal para um dado não pessoal é tênue.
TRANSPARÊNCIA NAS RELAÇÕES
O principal desafio é a integração de mecanismos de segurança e aceitação do usuário. O usuário deve sentir que está controlando todas as informações relacionadas ao invés de sentir que o sistema os está controlando. Essa integração gera novos requisitos que, com o melhor de nosso conhecimento, não foram considerados antes.
Outro ponto muito relevante para a utilização da tecnologia é a transparência. Ainda hoje, não temos uma cultura que preza por essa transparência. Nos tempos atuais ainda impera o velho ditado de “quanto mais, melhor”, mas esse conceito deve ser modificado absorvendo a cultura da transparência e da necessidade, ambos princípios da Lei de proteção de dados brasileira.
Um exemplo da ausência de transparência na utilização dos nossos dados foi uma situação vivida durante a compra de um livro por um membro do grupo do DTEC. Ao consultar uma oferta, mesmo sem se cadastrar no site, o titular dos dados recebeu um e-mail marketing após a visualização do produto. O envio de e-mail marketing sem o preenchimento direto do dado e sem que tenha havido anterior consumo em determinado site (no caso em questão, de uma livraria) revela uma situação problemática que poderia ensejar, inclusive, o crime de invasão de dispositivo informático.
IOT NO AMBIENTE EMPRESARIAL
A IoT “permite que as empresas automatizem processos e reduzam os custos de mão de obra. Também reduz o desperdício e melhora a prestação de serviços, tornando mais barato para fabricar e entregar mercadorias, bem como oferecendo transparência nas transações do cliente”.
Com relação ao fenômeno de personalização de preços (perfilhamento granular/individual), faz-se reflexão sobre a admissibilidade da prática. Levando em consideração que a própria lei da liberdade econômica (Lei nº 13.874/2019) dispõe em seu artigo 3º, inciso III: “São direitos de toda pessoa, natural ou jurídica, essenciais para o desenvolvimento e o crescimento econômico do País, observado o disposto no parágrafo único do art. 170 da Constituição Federal: definir livremente, em mercados não regulados, o preço de produtos e de serviços como consequência de alterações da oferta e da demanda”, seria possível falar em ilicitude da personalização de preços?
Uma breve reflexão revela que a prática já ocorre há tempos, consubstanciada no desconto dado pela dona da loja de roupas aos clientes mais assíduos ou no desconto dado na entrada de determinado ponto turístico aos residentes na cidade. A problemática seria a falta de transparência com relação aos critérios utilizados para a personalização do preço, o que acaba sendo potencializado em um ambiente digital. Nesse sentido, a personalização seria lícita, desde que os critérios adotados sejam transparentes e não discriminatórios.
OS RISCOS DA TOMADA DE DECISÃO AUTOMATIZADA
Contando com dispositivos inteligentes que estão interconectados em todas as áreas de nossas vidas a IoT cria oportunidades para intrusões e intervenções que podem comprometer a privacidade pessoal ou ameaçar segurança Pública.
Sistemas de decisão automatizada podem trazer vieses, uma vez que o enviesamento é inerente à programação. É certo que as máquinas também erram, assim como os humanos, razão pela qual fala-se em falso positivo e falso negativo. A questão chave é: quando e quanto a máquina pode errar?
Em uma situação, por exemplo, com um carro autônomo ou um robô funcionando sem controle humano, usando seus processos para determinar a ação “ideal” e tomada de decisão, pode haver situações onde o Titular opte por uma ação diferente do que a determinada pela máquina.
Se o Titular esperava uma decisão “X” e a máquina toma uma ação de acordo com o que ela entende ser o correto, decisão Y, quem será responsabilizado pelos resultados e consequências resultantes dessa ação? A máquina?
O PERIGO DA VIGILÂNCIA PERMANENTE/VIGILÂNCIA CORPORATIVA
As empresas estão utilizando IoT para melhoria de processos, para otimização de logísticas e etc. Sem sombra de dúvidas, o IoT é um ganho imenso em termos de produtividade, controle e custos, mas será que essa vigilância não traz um desequilíbrio na relação Empregador e empregado?
Hoje em dia as empresas estão utilizando os crachás RFID com coleta de dados via Rádio Frequência.
Radio Frequency Identification. É um método de identificação através de sinais de rádio que recuperam e armazenam os dados à distância utilizando dispositivos chamados etiquetas RFID ou tags RFID. Uma etiqueta RFID pode ser aplicada em pessoas, animais, produtos e documentos. É um objeto pequeno composto por uma antena e um microchip: enquanto a antena se comunica com as leitoras e sensores, o microchip pode armazenar dados tanto no formato de leitura quanto no formato de escrita, dependendo da tecnologia adotada.
Os dados são armazenados no formato EPC (Electronic Product Code), um número que permite identificá-lo de forma exclusiva, assim como um código de barras. As leitoras podem ler os identificadores EPC a distância, sem necessidade de contato ou campo visual.
As etiquetas e leitoras se comunicam por sinais de radiofrequência por meio de antenas instaladas em ambas. Já o middleware funciona como um intermediário, agrupando dados de diferentes leitoras e sensores, filtrando a informação e gerenciando a infraestrutura e o fluxo de dados do RFID. Isso acontece por meio da integração com sistemas como ERP e WMS, por exemplo.
https://medium.com/logstore/etiqueta-rfid-o-que-%C3%A9-como-funciona-e-como-implementar-d8f42b9a40aa
O desequilíbrio na relação empregado e empregador está relacionado à coleta dos dados e a forma que esses dados estão sendo tratados. A transparência e ética no uso da informação é essencial para não aumentar o desequilíbrio, já existente, nessa relação. O empregado sabe o que é coletado? Ele sabe como e quando estão sendo coletado, bem como a finalidade e forma de uso dessas informações? Ele entende os riscos e a possibilidade de ser prejudicado através da análise desses dados? Conhece o ciclo de vida desses dados inclusive tempo de retenção e forma de descarte?
SEGURANÇA CENTRADA NO USUÁRIO E DESIGN DE PRIVACIDADE
... para garantir a segurança dos usuários e pesquisadores, os designers devem adotar uma abordagem de fatores humanos para a segurança cibernética em que o humano no loop [28] é considerado durante todo o processo de concepção e implementação. Portanto, a atual tendência em tecnologias habilitadas para Internet precisa ser considerada durante o processo de design para garantir a privacidade e segurança endereçada aos usuários. Os insights neste artigo serão úteis para designers e desenvolvedores que devem defender a privacidade desde o princípio do design, a fim de garantir aos usuários que suas informações estão seguras de hackers.
O desenvolvimento tecnológico pensando na privacidade desde a concepção trará segurança para os usuários e para as empresas.
Para se ter um bom projeto é necessário que engenheiros e desenvolvedores estejam focando a segurança do titular. O fundamento jurídico é o fundamento da Moral e as leis sobre proteção de dados trarão garantias e proteção dos direitos reduzindo o desequilíbrio da relação. Já as medidas técnicas trarão na prática a segurança através da prevenção de ameaças e ataques utilizando de técnicas e mecanismos de controle.
PROPRIEDADE DOS DADOS PESSOAIS EM UM CONTEXTO DE IoT
Estimativas indicam que, em 2013, havia 1,8 bilhões de coisas (objetos) interconectados no âmbito da União Europeia, sendo que a expectativa para 2020 era de 6 bilhões (JANEČEK, 2018, p. 2). Nesse contexto, importa destacar a IoT como grande facilitadora de serviços de transporte e logística, bem como prestadora de serviços de saúde e segurança, sendo certo que o seu desempenho encontra-se diretamente relacionado à coleta e processamento massificado de dados, de modo a colocar em pauta questões éticas e legais.
Um destaque que deve ser feito refere-se ao fato de que o funcionamento dos dispositivos IoT não pressupõe o tratamento de dados pessoais. É perfeitamente possível que dispositivos instalados em uma fazenda inteligente caracterizem uso de IoT, mas não tratem dados pessoais (os dados, nesse caso, poderiam referir-se ao tipo de cultura produzida, ao maquinário existente na fazenda e às condições climáticas). Outro exemplo poderia ser a interconexão de radares geotécnicos alocados em uma barragem de rejeitos, que, ao detectarem uma situação de extrema anormalidade e instabilidade, acionariam automaticamente um plano emergencial, com mobilização da Defesa Civil e do Corpo de Bombeiros.
Assim, levando-se em conta a relevância dos dados na utilização das tecnologias IoT e a tomada de importância da privacidade nos últimos tempos, emerge uma discussão sobre a propriedade dos dados atrelados ao funcionamento da IoT, relacionando questões como gestão e controle dos dados, bem como privacidade, confiança e segurança.
A discussão sobre propriedade de dados pessoais em um contexto IoT é trazida no texto de autoria de Václav Janeček, sendo que inicialmente são feitas considerações sobre propriedade e posteriormente sobre dados, para em um terceiro momento analisar possível propriedade de dados pessoais sob duas abordagens diferentes: (1) bottom-up (de baixo para cima), segundo a qual o proprietário e a valoração são elementos prepositivos e existiriam independentemente de um sistema jurídico, sentido em que a lei teria a função de estabilizar e proteger a propriedade como um instituto fundamentalmente prepositivo; e (2) top-down (de cima para baixo), na qual existe a necessidade de uma autoridade que consagre a propriedade, sendo que a lei positiva e cria a propriedade como um instituto fundamentalmente legal. Assim, o autor intenta compreender se, e em qual medida, a propriedade de dados pessoais em IoT é compatível com as abordagem bottom-up e top-down, bem como as limitações de cada uma dessas abordagens.
Ao discorrer inicialmente sobre a propriedade, o autor frisa que, apesar de ser um instituto tratado de maneiras diferentes no civil law e common law (sendo a abrangência dos direitos à propriedade maior neste do que naquele), a abordagem do texto objetiva tratar da propriedade de uma forma ampla, cuja característica principal é a oponibilidade em face de todos. Além disso, aborda que a propriedade relaciona quatro elementos para responder a pergunta “quem possui o quê?”, quais sejam: controle, proteção, valoração e alocação de recursos.
Nesse sentido, a propriedade remeteria a aspectos positivos e negativos, respectivamente: controle ativo e proteção passiva de recursos. Aspectos esses que remetem à valoração do objeto, ao passo que a alocação dos recursos remete à pessoa que poderá requerer os direitos (e exercer controle e proteção) perante os demais.
Com relação às observações conceituais de dados pessoal, importa destacar como “qualquer informação relacionada a uma pessoa natural identificada ou identificável”, sendo considerado um conceito extremamente maleável. É preciso destacar, portanto, a existência de uma linha tênue entre dados pessoais e não pessoais, que pode facilmente ser transposta quando da utilização de recursos analíticos e tecnológicos.
Para além disso, relevante proceder à diferenciação entre dado e informação. Dado seria a fonte da informação, sendo certo que não há informações sem dados. Além disso, deve-se levar em conta que os dados podem ser analisados de diversas formas, revelando informações pessoais ou não, de modo que por vezes torne-se comprometida a diferenciação entre dados pessoais e não pessoais. Cumpre destacar, ainda, que a proteção dos dados difere da proteção da informação, sendo certo que não precisamos entender as informações que quaisquer dados podem transmitir para tratá-los como um ativo do qual informações valiosas podem ser extraídas no futuro.
Nesse contexto, o autor Janeček aponta que haveria confusão na definição de dado pessoal, uma vez que dados seriam fonte de informações que, se pessoais, implicaria inversamente que os dados originais também seriam pessoais. Emerge, portanto, a situação paradoxal em que nenhum dado é pessoal desde o início, mas pode tornar-se pessoal desde o início, consubstanciando o que o autor denomina “chicken/egg problem”.
No problema citado (Quem nasceu primeiro, o ovo ou a galinha? Ou melhor, o que vem primeiro, o aspecto pessoal ou o aspecto genérico sobre dados?), os defensores da privacidade argumentam que, uma vez que o controle sobre os dados pessoais implica no risco de controle sobre informações pessoais, seria praticamente impossível impor a privacidade das informações; esse entendimento poderia levar à tentativa de vedação ao comércio de dados, ante a impossibilidade de controle sobre os mesmos. Os defensores da propriedade e do mercado, por outro lado, argumentam a coleta massiva de dados por dispositivos IoT, alegando que podem ser controlados, pertencentes e comercializados. O ponto chave é que:
“um ovo feito de dados não precisa revelar ou conter as informações pessoais da galinha em todos os casos e ainda pode ser considerado valioso e digno de proteção. Podemos avaliar o ovo em diferentes níveis de abstração do que o nível de informações pessoais. Por exemplo, o ovo contém albumina preciosa, bem como informações sobre construções resistentes - você mesmo pode tentar quebrá-lo com o punho. Dados e informações simplesmente não podem ser comparados uns com os outros no mesmo nível de análise porque são categorias fundamentalmente diferentes. Por isso, é claro que dados pessoais e não pessoais não são categorias conceitualmente incompatíveis.” (JANEČEK, 2018, p. 7, tradução livre)
Ainda tratando dos dados pessoais, é necessário frisar que a distinção entre dado pessoal sensível e não sensível também pode revelar-se frágil, uma vez que esses podem tornar-se sensíveis em análises secundárias, ainda que não tenham sido coletados com tal finalidade. Para além da diferença entre dado sensível e não sensível, o autor Václav Janeček lança mão de outra classificação de dados, que seriam dados intrinsecamente pessoais e extrinsecamente pessoais. A primeira classificação refere-se a dados que não revelem outras informações senão as pessoais, como o sequenciamento genético de uma pessoa. Já a segunda, diz respeito aos dados que podem revelar informações pessoais e não pessoais, como endereço IP, dados de geolocalização e dados existentes no gerenciador de tarefas pessoal. Nesse sentido, argumenta que tão somente os dados extrinsecamente pessoais poderiam ser comercializados como qualquer outro produto.
Feitas as considerações iniciais, a possibilidade em falar-se de propriedade dos dados é analisada sob as duas perspectivas expostas, buscando compreender se a propriedade de dados pessoais seria consagrada pela positivação de um direito (abordagem top-down) ou apenas estabilizada e protegida, pois já existente (abordagem bottom-up). A metodologia utilizada é a análise dos quatro elementos da propriedade (controle, proteção, valoração e alocação de recursos) em cada uma das abordagens.
Com relação ao controle, é estabelecido que a propriedade permite que se faça qualquer coisa com os dados, como uso, compartilhamento, armazenamento, venda e até mesmo exclusão. Assim, na abordagem top-down, o aspecto econômico seria capaz de justificar o controle, uma vez que o estabelecimento de propriedade possibilitaria controle e, consequentemente, incremento de ganhos econômicos.
Já na abordagem bottom-up, o controle já existe e pode ser observado por meio, por exemplo, dos sistemas de gerenciamento de informações pessoais; assim, o incremento do controle seria possível a partir da estabilização, feito pela positivação de normativas, que colocaria em prática a autodeterminação informativa. A controvérsia dessa corrente consiste no fato de que enxergar os dados pessoais como um ativo passível de transações conflita com a ideia de inalienabilidade de direitos fundamentais. Além disso, os próprios regramentos de proteção de dados impõe limites ao controle dos dados, e mais, os dados pessoais não podem ser controlados em sua integralidade, vez que a arquitetura da IoT permite replicação dos dados inúmeras vezes.
Sobre a proteção, importa destacar que revela interesse em excluir terceiros do controle dos dados e o interesse de ter um remédio legal contra os que infringirem a regra. Assim, para o autor, a abordagem top-down seria insuficiente na tentativa de justificar a proteção dos dados, uma vez que, sob uma análise para além dos argumentos pautados em privacidade (ou seja, sob a ótica do mercado), haveria apenas justificativas utilitaristas como o uso mais eficiente dos serviços, incremente do consumo e incremento de figuras macroeconômicas. A abordagem bottom-up, por outro lado, elevaria atenção a questões como a revogação do consentimento, apagamento dos dados e direito a portabilidade. Aponta-se, no entanto, uma falha inerente a ambas as abordagens: inexistem soluções tecnológicas para o “teste de transparência” da propriedade (o autor trata transparência como uma característica essencial da propriedade, graças à qual um determinado objeto pode ser protegido de forma eficiente contra todos), considerando as dificuldades em se conceituar dados pessoais e a natureza do fluxo de dados em ambientes IoT, tornando-se dificultoso esperar que a lei possa oferecer proteção estável aos dados pessoais por si só.
Com relação à valoração, é certo que os dados pessoais devem demonstrar alguma utilidade e valor transparente para seus proprietários potenciais. Assim, a capacidade de avaliação justifica a conveniência de sua propriedade enquanto mercadoria negociável, controlável e digna de proteção. Na perspectiva top-down, considera-se que, em nível macroeconômico, o uso de dados pessoais impulsiona a economia e incrementa inovação, fomentando o entendimento de que “dados, incluindo os pessoais, são o novo petróleo”. Entretanto, nessa abordagem haveria dificuldade em se explicar a relevância dos dados enquanto elementar de unidade de valor, vez que a valoração ocorreria tão somente quando existentes em grandes volumes. Por outro lado, na perspectiva bottom-up, os dados pessoais seriam considerados valiosos por si só, unitariamente.
Por fim, assumindo que os aspectos acima elencados são suficientes para considerar que os dados pessoais são passíveis de propriedade, a grande pergunta remanescente não seria se deve haver direito de propriedade sobre os dados pessoais, mas de quem eles devem ser. Para o autor, a abordagem top-down seria capaz de introduzir a propriedade dos dados tão facilmente quanto a propriedade privada, cujas razões explicativas poderiam ser políticas econômicas, considerações de bem-estar do consumidor, estratégias de inovação, dentre outros.
Já na abordagem bottom-up, a alocação de recursos poderia variar, conforme três teorias. A primeira delas (nozickian theories) dispõe que a pessoa que inicialmente trata o dado é seu proprietário (ou seja, quem os coleta), podendo, inclusive, ceder o direito de propriedade; assim, a grande dificuldade relaciona-se ao fato de os dados, em IoT, serem transmitidos quase instantaneamente e mudarem de mãos o tempo todo, ademais, outro obstáculo refere-se à ampla multiplicação e modificação de dados (para fins de padronização e interoperabilidade), o que torna difícil até mesmo o rastreamento dos dados e de suas modificações. A segunda teoria, denominada pure force/last occupancy theories, propõe que o proprietário seja o último possuidor; assim, o grande obstáculo refere-se à multiplicação dos dados, o que torna difícil a definição de último possuidor, a menos que se admita coproprietários. Por fim, a última teoria (humean theories) revela que a propriedade seria fruto de um consenso comum.
É necessário frisar que todo o exposto pelo autor Václav Janeček pressupõe que os titulares de dados não figuram como uma categoria privilegiada de proprietários potenciais, assim, haveria grande dificuldade em se falar em controle atribuído ao titular de dados. Ao final, o autor conclui que nenhuma das abordagens justificaria por completo e satisfatoriamente a propriedade dos dados pessoais, com a ressalva de que a abordagem bottom-up seria mais adequada, ainda que existentes as problemáticas atreladas aos diversos tokens de dados (obtidos por meio da multiplicação de dados) e transparência com relação às operações feitas com dados.
Para além das discussões decorrentes do mencionado texto, o grupo de estudos considerou que a noção de propriedade está direta e obrigatoriamente relacionada à escassez, sentido no qual não há que se falar em propriedade de bens não rivais (o fato de um sujeito ter, não ocasiona a exclusão dos demais). É possível, para além disso, que exista uma escassez criada artificialmente pelo direito, como no caso da propriedade intelectual, ou pela computação, como no caso dos NTF (non fungible tokens), no entanto, os dados pessoais por certo não estão associados à escassez.
Assim, considerando os dados pessoais como bens não rivais, não haveria pertinência em se falar de propriedade de dados pessoais, uma vez que a problemática atrelada a eles não se relaciona com a escassez, mas com a boa (ou má) utilização dos dados, havendo a necessidade de regulamentação do seu uso, por meio das leis de proteção de dados. Nesse contexto, os dados figuram como ativos que podem ser utilizados por qualquer um, conforme as regras do jogo, que são os regulamentos de proteção de dados (no Brasil, a Lei Geral de Proteção de Dados – LGPD). Além disso, a atribuição de proteção aos dados, inclusive com previsão constitucional para tanto, não obstaria o seu tratamento jurídico enquanto ativo passível de utilização por todos, desde que observados os regramentos específicos, especialmente no que se refere aos princípios e bases legais estabelecidos em lei.
CONSIDERAÇÕES SOBRE A AUTODETERMINAÇÃO INFORMATIVA
Um dos importantes marcos para a proteção de dados pessoais foi a decisão proferida pelo Tribunal Constitucional alemão, no final da década de 1970, no sentido de considerar inconstitucional uma lei de recenseamento, que previa compartilhamento de dados excessivos entre as entidades estatais, multa pecuniária aos que se recusassem a participar da pesquisa, confronto entre dados do censo e dados de registro civil para retificação de incongruências, dentre outras determinações. A decisão mencionou expressamente a autodeterminação informativa, que pode ser definida como “designar o direito dos indivíduos de ‘decidirem por si próprios, quando e dentro de quais limites seus dados pessoais podem ser utilizados’” (DONEDA, 2019, p. 168), e pontuou a necessidade de observância do princípio da finalidade no tratamento de dados pessoais.
Assim, ao final da década de 1980, veio à tona uma nova lei alemã de recenseamento, que previa a vedação ao compartilhamento entre autoridades federais e regionais, bem como demonstrava maior preocupação em informar o cidadão sobre as finalidades da coleta e a obrigação de fornecimento dos dados. Nesse contexto, importa destacar que a emergência e o desenvolvimento da doutrina de proteção dos dados pessoais não está atrelada à vedação da utilização de dados, mas à imposição de critérios para um tratamento adequado, estando diretamente relacionada à transparência. Assim, um posicionamento que ganha destaque é a associação da autodeterminação informativa aos direitos da personalidade:
“Em uma hipótese, ela [a autodeterminação] conferiria ao indivíduo a oportunidade de controlar as informações que lhe digam respeito, dentro de parâmetros de ampla informação e solidariedade; já em uma leitura em chave liberal, a autodeterminação estaria concentrada no ato do consentimento da pessoa para o tratamento de seus dados pessoais e assumiria contornos negociais, e assim poderia se prestar ao afastamento da matéria do âmbito dos direitos da personalidade. Outro problema é que esta leitura pode induzir à impressão de que as pessoas teriam um direito de propriedade sobre suas informações, transpondo essa fenomenologia para o campo das situações patrimoniais” (DONEDA, 2019, p. 170).
Ao passo que, para o autor Janeček (exposto no último tópico), a consagração da propriedade dos dados não representaria um afronta à proteção conferida a esses dados, o entendimento acima exposto traz a ideia de autodeterminação informativa como incompatível com qualquer consideração de cunho patrimonial dos dados pessoais, o que pode ser objeto de discussões e reflexões mais profundas.
BIBLIOGRAFIA
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters Brasil, 2019.
TAMÒ-LARRIEUX, Aurelia. Designing for Privacy and its Legal Framework. Data Protection by Design and Default for the Internet of Things. Law, Governance and Technology Series. Issues in Privacy and Data Protection. V. 40. Springer, cap. IV.
OGONJI, Mark Mbock; OKEYO, George; WAFULA, Joseph Muliaro. A survey on privacy and security of Internet of Things. Computer Science Review, volume 38, novembro de 2020. Disponível em: https://doi.org/10.1016/j.cosrev.2020.100312. Acesso em: 23/11/2021.
JANEČEK, Václav. Ownership of personal data in the Internet of Things. Computer Law & Security Review, 2018, 34(5). Disponível em: https://ssrn.com/abstract=3111047. Acesso em: 23/11/2021.