S ENTRALE TEMAER
7 O RGANISERING AV ARBEIDSGIVERANSVAR
7.5 M EDBESTEMMELSE I NY ORGANISERING Innledning
O surgimento e avanço de novas tecnologias de processamento e de negócios baseadas no tratamento intensivo de dados pessoais, como é o caso das iniciativas de cidades inteligentes, também têm colocado novos desafios para o modelo do consentimento. Solove (2013) fala de problemas estruturais que incluem:
I. um problema de escala, no qual há uma quantidade imensa de en- tidades que realizam algum tipo de tratamento de dados pessoais, com ou sem conhecimento do titular fazendo a intermediação de certas operações;
2 A decisão da Corte de Justiça Europeia que derrubou o acordo que permitia a
transferência de dados de cidadãos europeus para os Estados Unidos, mostra o quanto as premissas que a autorizavam eram frágeis nesse novo contexto.
3 Cabe ressaltar que a contradição não passa alheia à percepção dos consumidores
europeus. Apesar da necessidade de consentimento para certos tratamentos de dados pessoais estar garantida há pelo menos uma década, apenas pouco mais de um quarto dos usuários de redes sociais, por exemplo, acredita ter controle total de seus dados (EUROPEAN COMMISSION, 2011).
II. um problema de agregação, ou seja, de que se pode deduzir informa- ções sobre uma pessoa a partir da combinação de dados a princípio inofensivos;
III. um problema de avaliação dos danos, já que os impactos negativos do compartilhamento de certos dados podem ocorrer após um lon- go período de tratamento, enquanto os benefícios são geralmente imediatos.
De fato, o modelo de “aviso e consentimento” se baseia na definição pre- liminar do uso dos dados pessoais pelo controlador associada à anuência do titular, e não consegue enquadrar os desafios decorrentes do uso de técnicas de big data, que buscam extrair inferências a partir da análise de
grandes conjuntos de dados após a coleta. O responsável pelo tratamento não pode, nesse caso, definir – ou até mesmo ter uma compreensão clara – a finalidade do processamento dos dados no momento ou antes da coleta inicial. Por outro lado, a complexidade do tratamento de grandes volumes de dados muitas vezes não permite que os titulares realmente compreendam e possam avaliar suas consequências e potenciais efeitos negativos. Se torna, assim, praticamente impossível o gerenciamento dos dados pelo titular:
Os tipos de novas informações que podem ser extraídas a partir da análise de informações existentes e a natureza das previsões que podem ser feitas a partir desses dados são muito vastas e complexas, e sua evolução é rápida demais para que as pessoas consigam avaliar os riscos e benefícios envolvi- dos.4 (SOLOVE, 2013, online, tradução livre)
O MODELO DE CONSENTIMENTO NOS SERVIÇOS PÚBLICOS DIGITAIS
Quando se trata do setor público, a multiplicação de serviços e platafor- mas on-line para a interação com os cidadãos num contexto de governo
eletrônico ou cidades inteligentes nem sempre vem acompanhada de polí- ticas claras de gestão. Há pouca informação sobre quais regras se aplicam aos dados e, principalmente, metadados coletados por essas ferramentas no ambiente on-line. A falta de clareza se agrava quando o poder público
opta por utilizar soluções privadas como o WordPress ou Google Analytics para o desenvolvimento e avaliação de seus serviços ou para a comunicação com os cidadãos.
4 No original: “The types of new information that can be gleaned from analyzing
existing information and the kinds of predictions that can be made from this data are far too vast and complex, and are evolving too quickly, for people to fully assess the risks and benefits involved”. (SOLOVE, 2013, on-line)
Observa-se assim um cenário em que a regulação privada através de con- tratos substitui ou se sobrepõe às políticas públicas existentes, preenchendo os vazios regulatórios e se impondo também nas relações entre cidadãos e Estado. Diferente do que ocorre no âmbito privado, portanto, em que usuários – ao menos hipoteticamente – têm a opção de aderir ou não às plataformas, no caso dos serviços públicos a opção de consentir ou não com o tratamento de dados pelos mesmos agentes privados – geralmente invisibilizados nessa relação – pode não estar dada.
Exemplos de como isso pode ocorrer são o uso de serviços de e-mail privados por parte de órgãos públicos e a disponibilização de informações de interesse público exclusivamente através de redes sociais.5
CONSENTIMENTO NAS RELAÇÕES PÚBLICO-PRIVADAS
As denúncias de que os governos dos Estados Unidos e seus parceiros, no grupo conhecido como “Five Eyes”, realizavam atividades de vigilância em massa que afetaram cidadãos e representantes de governos de todo o mundo despertaram reações em diversos setores. O escândalo parece ter materializado preocupações que atormentavam ativistas há algum tempo sobre o aumento da capacidade de vigilância do Estado, em grande medida, a partir da co- laboração do setor privado, principalmente das empresas do setor de TIC.
Apesar de, num primeiro momento, as denúncias publicadas pelo jornal britânico The Guardian gerarem revolta, inclusive por parte do governo
brasileiro - um dos líderes nas discussões internacionais sobre privacidade na era digital6 –, isso não impediu ou trouxe suficientes garantias quanto
ao estabelecimento de parcerias entre poder público e agentes privados no âmbito das cidades inteligentes.
5 De acordo com a pesquisa TIC Governo Eletrônico (CETIC, 2015) 90% das prefei-
turas brasileiras possuem perfil ou conta própria em rede social online para divulgar serviços ou campanhas e 77% para responder a comentários e dúvidas dos cidadãos. Em contrapartida, apenas 13% das prefeituras afirma possuir algum manual ou guia para a publicação de conteúdo em redes sociais on-line.
6 Junto ao governo alemão, o Brasil impulsionou os debates internacionais sobre a
necessidade de maiores proteções à privacidade na era digital e foi um dos grandes responsáveis pela aprovação na Assembleia Geral das Nações Unidas da Resolução 68/167 sobre o tema. No âmbito nacional, além da realização de uma Comissão Parlamentar de Inquérito para analisar as denúncias de espionagem por parte dos Estados Unidos, a aprovação do Marco Civil da Internet – que já vinha sendo discu- tido no Congresso – e a realização do encontro NETMundial, marcaram a resposta brasileira aos escândalos de vigilância massiva. Do mesmo modo, o Decreto 8.135 de novembro de 2013 pretendia garantir a segurança das comunicações da admi- nistração pública federal.
O Centro de Operações Rio (COR), da Prefeitura do Rio de Janeiro, por exemplo, estabeleceu uma parceria com o aplicativo Waze visando oferecer informações sobre as condições do trânsito na cidade. De acordo com matéria publicada no jornal O Globo (MACHADO, 2013), a Prefeitura
usa os dados oferecidos pela empresa para identificar engarrafamentos, retenções e acidentes em tempo real. Por mais que na reportagem um dos responsáveis pela iniciativa garantisse que a Prefeitura não tem acesso a informações dos usuários, as condições exatas do acordo não são em ne- nhum momento esclarecidas. Do mesmo modo, notícias evidenciam o uso de dados do Twitter para monitorar acontecimentos na cidade (PARQUE TECNOLÓGICO UFRJ, 2014).
Para além das práticas de anonimização de dados serem fortemente questionadas (SWEENEY; ABU; WINN, 2013) e colocarem em xeque a premissa de que a Prefeitura não tem acesso a dados pessoais, quando se trata do consentimento a questão é até que ponto ele autorizaria o compartilhamento de informações com o poder público. Ou ainda, quão informados estariam os usuários sobre essa possibilidade caso lessem os Termos de Uso dessas plataformas. A resposta é pouco: estudo recente que analisou os Termos de Uso de 50 plataformas on-line aponta que apesar
de longos e aparentemente detalhados, esses documentos costumam ter cláusulas genéricas autorizando o compartilhamento de dados e políticas complacentes em relação a pedidos de acesso a dados por parte de governos (VENTURINI et al., 2016).
TRANSPARÊNCIA PARA QUEM?
Parece irônico problematizar a divulgação e compartilhamento de infor- mações em um país marcado por uma cultura do segredo e que demorou mais de vinte anos para regulamentar o direito de acesso a informações públicas. No entanto, não se pode ignorar que práticas até então corri- queiras na administração pública podem implicar em usos indevidos de informações pessoais do cidadão comum. Ao mesmo tempo, dados tidos como de acesso público disponibilizados em meio digital podem ser facil- mente processados, combinados e agregados: o Decreto de Dados Abertos (n. 8.777/2016), por exemplo, prioriza a publicação de uma lista de treze bases de dados a serem disponibilizadas em formato aberto e processável por máquina. Cinco das bases listadas referem-se a dados pessoais, tais como nascimentos, casamentos, divórcios e mortes, ocupações de cargos de gerência e direção em empresas estatais, dados sobre servidores inativos e aposentados, quadro societário de empresas, entre outros. A facilidade de processamento e combinação desses dados traz novos desafios para a
busca de equilíbrio entre o direito de acesso à informação e a proteção da privacidade (O ESTADO DE S. PAULO, 2015).7
Por conta dessas complexidades, adotar políticas de acesso, assim como de proteção de dados pessoais é tarefa complexa e demanda esforços coordenados pela construção de políticas amplas de gestão da informação. Sem isso, as propostas de governo eletrônico e cidades inteligentes se tornam arriscadas independente dos eventuais benefícios que possam trazer no nível imediato. Por outro lado, ainda é necessário mais transparência sobre as iniciati- vas de digitalização, oferta de serviços online, processamento massivo de dados e tomada de decisões automatizadas por parte da gestão pública. Surpreendentemente, as cidades que se autointitulam inteligentes tem sido pouco transparentes nesse sentido. O caso da cidade do Rio de Janeiro é simbólico nesse sentido: apesar de ser considerada um exemplo inter- nacional de “cidade inteligente”, o município apresenta um dos piores resultados nacionais em termos de transparência pública (MICHENER; MONCAU; VELASCO, 2014).
Numa tentativa de obter dados da gestão municipal e avaliar o grau de transparência das Prefeituras brasileiras com relação à gestão de dados, a oferta de serviços online e a existência de iniciativas de cidades inteligen- tes na área de segurança pública, pesquisa da Fundação Getulio Vargas (BARROS; VENTURINI, 2016) enviou pedidos de acesso à informação a 43 prefeituras brasileiras. Os pedidos questionavam sobre:
I. a existência de centros integrados de comando e controle com fins de monitoramento e vigilância, suas características e normativas relacionadas;
II. a existência de acordos ou contratos com empresas privadas para a prestação de serviços no âmbito desses centros;
III. a aquisição de tecnologias de vigilância e monitoramento como câ- meras, veículos aéreos não tripulados (drones) ou robôs nos últimos
quatro anos e os documentos relativos a tal aquisição;
IV. a existência de iniciativas de governo eletrônico e participação online através de aplicativos de celular ou páginas de Internet;
V. o uso de mecanismos de análise (do tipo Google Analytics e outros) para a medição de tráfego em seus páginas online e como os dados obtidos são utilizados.
7 O caso do site Tudo sobre Todos, por exemplo, gerou um grande debate nacional
sobre a exposição dos cidadãos com a publicação de seus dados pessoais de forma organizada e acessível, mas em sua página afirma apresentar informações obtidas apenas de bases públicas como o diário de justiça, diário oficial e de cartórios públicos.
Por outro lado, a pesquisa buscou obter informações sobre o quão pre- parados estavam os municípios para lidar com as informações obtidas a partir dessas iniciativas questionando sobre: (a) a existência de um órgão ou departamento responsável pelos sistemas de tecnologia da informação em todo o governo; (b) a existência de posições oficiais permanentes dedi- cadas à gestão de informação; (c) as políticas existentes sobre privacidade, sigilo governamental, segurança da informação, entre outras relacionadas à gestão da informação.
A pesquisa revelou que boa parte dos municípios avaliados ainda estão despreparados para enfrentar os novos desafios colocados pelas práticas de big data no que diz respeito às suas políticas de gestão da Tecnologia
da Informação e de tratamento de dados pessoais.
Na prática, isso significa que os interesses comerciais e corporativos encontram um terreno suscetível à discricionariedade do agente, ou seja, as decisões de contratação, da escolha de padrões, tecnologias, proteções entre outros elementos de uma política de informação municipal ficam na mão do gestor e, de acordo com a pesquisa, há pouca ou quase nenhuma transparência sobre isso.
Repetindo a baixa taxa de resposta de outros levantamentos realizados anteriormente pela FGV, esta pesquisa também obteve poucas respostas aos pedidos de acesso à informação enviados. Destacam-se, contudo, os seguintes resultados:
• 23 dos 52 municípios avaliados responderam o pedido de acesso sobre a existência de órgão ou departamento responsável por TI no governo. Contudo, apenas 11 deles (26%) enviaram a documentação solicitada com destaque para os municípios de São Paulo e Curitiba; • Já com relação à pergunta que solicitava as normas de privacidade,
o sigilo governamental, segurança da informação e transações ele- trônicas utilizadas pelo município obtivemos 24 respostas, apenas treze delas adequadas com destaque para o município de Londrina e Belo Horizonte, Salvador e São Luís;
• Apenas dezenove municípios responderam à pergunta sobre a exis- tência de um centro de comando e controle na cidade, sendo apenas treze consideradas adequadas com destaque para a Prefeitura de Cuiabá, Porto Velho, Belo Horizonte, São Luís e Palmas;
• Com relação ao pedido que solicitava informação sobre aquisição de equipamentos de monitoramento e vigilância, os municípios de Porto Velho, Curitiba, Londrina, Palmas e Belo Horizonte foram os únicos que responderam à pergunta de forma completa, fornecendo a documentação relativa à aquisição destes serviços tais como os editais de licitação, contratos de compra e notas fiscais.
O enforcement da transparência sobre tais temas se faz relevante não só
pela vigência da Lei de Acesso à Informação no Brasil como também pela importância do controle social sobre os aspectos que regulam a vida do cidadão nos grandes centros urbanos.
Permitir conhecer as políticas de tecnologia da informação de seu mu- nicípio, as práticas de vigilância ou os decretos que regulam o uso de dados, entre outras práticas da gestão municipal no âmbito da tecnologia da informação, é dar ao cidadão a garantia do exercício do controle social sobre a administração pública.
Os dados e exemplos acima evidenciam um aparente desequilíbrio no qual as atividades do Estado – inclusive na área de segurança pública e vigilância – seguem secretas e pouco sujeitas a escrutínio público, enquanto os cidadãos encontram-se cada vez mais expostos tanto frente ao próprio Estado, quanto a outros agentes privados.
CONSIDERAÇÕES FINAIS
A exposição acima buscou evidenciar por um lado as limitações existentes na legislação brasileira de proteção da privacidade e por outro o quanto certas soluções regulatórias encontram-se ultrapassadas no contexto de avanço tecnológico e das propostas de cidades inteligentes. Para isso, foram trazidos exemplos de como os cidadãos encontram-se fragilizados nesse cenário, enquanto as práticas do Estado seguem ocultas. Buscou-se ainda problematizar a relação entre o setor público e privado nas atividades de monitoramento e vigilância populacional, o que traz mais dificuldades para o controle dessas atividades. Nesse sentido, políticas de transparência parecem ser fundamentais, assim como o desenvolvimento de planos de gestão da informação para lidar com questões como segurança, documen- tação, armazenamento, etc.
No entanto, para além de eventuais propostas regulatórias, parece rele- vante refletir sobre as limitações de uma compreensão da privacidade como direito individual e quais as consequências de se “trocar” a privacidade por outros bens nas democracias contemporâneas. Para Cohen (2013), por exemplo, os indivíduos não deveriam poder abrir mão de sua priva- cidade em certas circunstâncias. Solove (2013) ao refletir sobre o modelo de privacy self-management, concorda ao concluir que ele deve ir além de
uma abordagem que se pretenda neutra sobre o mérito de tratamentos de dados particulares.
No desenvolvimento de políticas de cidades inteligentes, cabe repensar a privacidade enquanto bem social para além de sua dimensão individual no momento de sopesar interesses conflitantes. Não se pode negar cate- goricamente que essas propostas podem trazer benefícios sociais, mas é necessário que haja escrutínio público e um debate aberto sobre as garantias e limitações que serão necessárias para que elas sejam implementadas.
REFERÊNCIAS
ANTONIALLI, D.; ABREU, J. Vigilância das comunicações pelo Estado brasileiro e a proteção de direitos fundamentais, 2015. Disponível em: <http://www.inter- netlab.org.br/wp-content/uploads/2016/01/ILAB_Vigilancia_Entrega_v2-1.pdf>. Acesso em: 4 nov. 2016.
BAKOS, Y.; MAROTTA-WURGLER, F.; TROSSEN, D. R. Does Anyone Read the Fine Print? Consumer Attention to Standard Form Contracts. Journal of Legal Studies, v. 43, n. 1, 2014. Disponível em: <http://ssrn.com/abstract=1443256>. Acesso em: 6 jul. 2018.
BARTOLI, A.; HERNANDEZ-SERRANO, J.; SORIANO, M.; DOHLER, M.; KOUNTOURIS, A.; BARTHEL, D. On the Ineffectiveness of Today’s Privacy Regulations for Secure Smart City Networks. Washington: Smart Cities Council, 2012. BORGIA, E. The Internet of Things Vision: Key Features, Applications and Open
Issues. Computer Communications, n. 54, p. 1-31. [S.l.: s.n.], 2014.
CARDOSO, B. D. V. Megaeventos esportivos e modernização tecnológica: planos e discursos sobre o legado em segurança pública. Horizontes Antropológicos, n. 19, v. 40, p. 119-148, 2013.
COHEN, J. E. What Privacy Is For. Harvard Law Review, v. 126, 2013. Disponível em: <http://ssrn.com/abstract=2175406>. Acesso em: 1 nov. 2016.
COMITÊ GESTOR DA INTERNET NO BRASIL. Pesquisa sobre o uso das tecnologias de informação e comunicação no setor público brasileiro: TIC governo eletrô- nico 2015. 2016. Disponível em: <http://cetic.br/media/docs/publicacoes/2/ TIC_eGOV_2015_LIVRO_ELETRONICO.pdf>. Acesso em: 4 nov. 2016. EUROPEAN COMMISSION. Special Eurobarometer 359: Attitudes on Data Protection and
Electronic Identity in the European Union, TNS Opinion and Social at the request of Directorate-General Justice, 2011. Disponível em: <http://ec.europa.eu/comm- frontoffice/publicopinion/archives/ebs/ebs_359_en.pdf>. Acesso em: 5 dez. 2018. LOUZADA, L.; VENTURINI, J. A regulamentação da proteção de dados pessoais
no Brasil e na Europa: uma análise comparativa, 2015. Disponível em: <http:// lavitsrio2015.medialabufrj.net/anais/#theme-1>. Acesso em: 1 nov. 2016. MACHADO, A. Prefeitura começa a usar Waze no Centro de Operações Rio. O
prefeitura-comeca-usar-waze-no-centro-de-operacoes-rio-9152370>. Acesso em: 4 nov. 2016.
MCDONALD, A. M.; CRANOR, L. F. The Cost of Reading Privacy Policies. ISJLP, n. 4, 543, 2008. Disponível em: <http://moritzlaw.osu.edu/students/groups/is/ files/2012/02/Cranor_Formatted_Final.pdf>. Acesso em: 1 nov. 2016. MICHENER, G.; MONCAU, L. F. M.; VELASCO, R. Estado Brasileiro e transparên-
cia: avaliando a aplicação da Lei de Acesso à Informação, 2014. Disponível em: <http://transparencia.ebape.fgv.br/sites/transparencia.ebape.fgv.br/files/105_-_ brasil_-_estado_brasileiro_e_transparencia_0.pdf >. Acesso em: 1 nov. 2016. O ESTADO DE S. PAULO. Site ‘Tudo Sobre Todos’ divulga seu CPF, endereço e até
quem são seus parentes e vizinhos. Brasil Post, 2015. Disponível em: <http:// www.brasilpost.com.br/2015/07/28/site-tudo-sobre-todos_n_7886240.html>. Acesso em: 4 nov. 2016.
PAROUTIS, S.; BENNETT, M.; HERACLEOUS, L. A Strategic View on Smart City Technology: The Case of IBM Smarter Cities during a Recession. Technological Forecasting and Social Change, n. 89, p. 262-272, 2014. Disponível em: <http:// www.sciencedirect.com/science/journal/00401625>. Acesso em: 17 ago. 2016. PARQUE TECNOLÓGICO DA UFRJ. Equipe do Parque Tecnológico da UFRJ vi- sita COR, 2014. Disponível em: <http://www.parque.ufrj.br/wp-content/uplo- ads/2014/04/Parque-UFRJ-21.03.2014.htm>. Acesso em: 4 nov. 2016. PEREIRA, L. Queixa de um único cidadão derruba acordo de coleta de dados entre
EUA e Europa. Olhar Digital, 2015. Disponível em: <http://olhardigital.uol.com. br/noticia/queixa-de-um-unico-cidadao-derruba-acordo-de-coleta-de-dados-en- tre-eua-e-europa/51929>. Acesso em: 4 nov. 2016.
SETO, Y. Application of Privacy Impact Assessment in the Smart City. Electronics and Communications in Japan, n. 98, v. 2, p. 52-61, 2015.
SOLOVE, D. Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review, v. 126, p. 1884, 2013. Disponível em: <http://www.har- vardlawreview.org/media/pdf/vol126_solove.pdf>. Acesso em: 21 jul. 2016. SWEENEY, L.; ABU, A.; WINN, J. Identifying Participants in the Personal Genome
Project by Name, 2013. [S.l.: s.n.] Available at SSRN 2257732.
TERZO, O.; MOSSUCCA, L. (Eds.). Cloud Computing with e-Science Applications. Crc Press. [S.l.: s.n.], 2015.
VENTURINI, J.; LOUZADA, L.; MACIEL, M.; ZINGALES, N.; STYLIANOU, K.;