Hospedagem de dados pode ter graves consequências

Em julho deste ano, em meio ao debate internacional sobre as práticas de espionagem adotadas pelos Estados Unidos em suas atividades de inteligência, denúncias veiculadas pelos jornais O Globo e Fantástico revelaram que o monitoramento de dados realizado pela Agência Nacional de Segurança dos EUA (NSA) atingiu não só cidadãos brasileiros como também empresas e altos funcionários do governo, incluindo a própria presidenta Dilma Rousseff.

Essa problemática, claramente inserida no debate sobre soberania dos Estados e os limites às práticas de vigilância internacional, tem levado o governo a tomar atitudes reativas não só em sua diplomacia, mas também no debate legislativo atual. No último dia 11 de setembro, a presidenta Dilma solicitou ao Congresso Nacional que seja dado regime de urgência na tramitação do Marco Civil da Internet, projeto de lei que estabelece direitos, garantias e deveres dos usuários e empresas do setor.

No entanto, o que parecia motivo de festa vira agora preocupação: conforme noticiado pelos principais meios de comunicação e confirmado pelo próprio governo, a intenção do Executivo é incluir no Marco Civil uma regra de hospedagem forçada de dados no Brasil — a ideia é obrigar empresas a armazenar dados pessoais de usuários em servidores localizados no território nacional, impedindo que haja transferências internacionais de dados pessoais para sua hospedagem em servidores localizados em outros países.

A iniciativa, inédita em nível internacional, tem sido amplamente criticada por sua difícil execução técnica, visto as características inerentes à arquitetura em que a internet estruturou-se nas últimas décadas. Para além das questões técnicas, o governo acredita que a estratégia de armazenamento forçado de dados é um caminho para (i) fortalecer a indústria nacional de data centers e (ii) garantir melhores níveis de proteção à privacidade dos usuários brasileiros.

O meu argumento é que, ainda que os objetivos por trás dessa proposta sejam louváveis, os caminhos propostos não só podem ser ineficazes como gerar consequências perigosas para o futuro da internet brasileira.

O argumento sobre o fortalecimento da indústria nacional
Não podemos enxergar esse pensamento sobre o fortalecimento da indústria nacional como um fato isolado dentro da política brasileira. Ainda que se discuta a precipitação do governo em anunciar essa medida sem estudos técnicos sólidos, entendo que esse argumento possui um fundamento coerente dentro da estratégia desenvolvimentista que vem sendo adotada pelo governo brasileiro a partir de 2002. Nesse período, viu-se a adoção de um modelo de Estado indutor no movimento dos mercados, que se utilizou de instrumentos jurídicos e institucionais para promover incentivos ao direcionamento das políticas industriais tidas como prioritárias para o governo — como, por exemplo, o setor de Internet e Tecnologia da Informação (TI).

Um exemplo é o “Programa Estratégico de Software e Serviços de TI – Programa TI Maior”, lançado em 2012 com o objetivo de implementar políticas para estratégia para o setor de software e serviços de TI no país. Dentre as principais iniciativas estabelecidas por essas políticas, destacam-se incentivos tributários relacionados à desoneração da folha de pagamento de empresas do setor; a criação de programas de financiamentos e subvenção econômica via BNDES e FINEP; o desenvolvimento de ecossistemas digitais e parques tecnológicos; e a criação de programas de incentivo a empresas nascentes, como o “Start-up Brasil”.

Naturalmente, esse novo arranjo desenvolvimentista proposto encontra-se muitas vezes dentro da fina fronteira entre mecanismos indutores de desenvolvimento e políticas protecionistas de reservas de mercado — estas últimas que, muitas vezes, podem até ser uma etapa necessária e eficiente, como se viu na indústria petrolífera. Mas aí que reside a questão: faz sentido aplicar esse tipo de política mais protetiva para o mercado de internet e TI? Mais especificamente, faz sentido aplicar essa lógica aos serviços de hospedagem de dados?

Essa estratégia de reforço nas instituições locais não me parece adequada para as características específicas do setor de internet. No caso específico, parece-me que a centralização da hospedagem de dados, para além dos argumentos técnicos de que esse modelo é inviável, é também inconsistente com a própria economia da internet, ou melhor, a nova Economia de Rede, cujas características podem colidir frontalmente com a regra de armazenamento proposta pelo governo.

A primeira dessas características reside no fato de que o valor de uma rede é diretamente proporcional à quantidade de conexões acessíveis nessa mesma rede. Em outras palavras: quanto mais pessoas conectadas, maior as capacidades de interação, acesso a conteúdos e expansão das liberdades individuais de cada usuário. Do ponto de vista de um empresário, essa característica também se manifesta na possibilidade de determinado produto ou serviço atingir um número cada vez maior e diversificado de consumidores. Essa característica, que é a grande riqueza das redes (tomando-se a expressão cunhada por Yochai Benkler), seria diretamente afetada pela territorialização do armazenamento, levando a uma quebra no caráter global e diversificado da rede mundial e o risco de uma balcanização da indústria nacional, com o surgimento de um mercado isolado e retrógrado.

A segunda característica que vale lembrar é que os negócios desenvolvidos dentro de uma economia em rede pressupõem, em regra, elevados custos fixos e baixos custos marginais: o custo de produção de um software pode ser alto, mas a partir do momento em que eu o coloco no mercado, basta uma simples replicação para que cada vez mais usuários o utilizem. Dentro dessa lógica, é de se concluir que, para a expansão de uma indústria de software nacional, é preciso buscar tantas formas de armazenamento e hospedagem de dados quanto necessárias para reduzir os custos marginais — ainda que seja necessário usar técnicas específicas de armazenamento de dados em outros locais para melhorar o serviço. Essa situação seria impraticável e agravada com a regra proposta: infelizmente, o Brasil possui hoje servidores mais caros do que os encontrados em dezenas de outros países, e a simples lógica da oferta e demanda levaria a um aumento ainda maior dos preços, prejudicando pequenos e médios empresários em expansão.

O argumento sobre a privacidade de dados
Também não podemos ver na hospedagem forçada de dados no Brasil como a solução para nosso problema de privacidade — não há como estabelecer qualquer ligação direta entre hospedar os dados no Brasil e ter mais segurança. Segundo um estudo da Business Software Alliance, que mapeou o ambiente jurídico-institucional para empresas de cloud computing em 25 países, o Brasil é o 23º pior país para se montar empresas desse setor — e o principal motivo para o país estar nessa posição é a insegurança jurídico-institucional que existe hoje. Como já foi dito, nenhum país do mundo possui regras de hospedagem forçada, e mesmo quando falamos daqueles países que impõem regras mais estritas para transferência de dados, não se observa nenhuma ligação direta entre rigor na transferência de dados e proteção da privacidade, vide o exemplo da China.

Na verdade, hospedar os dados aqui no Brasil deve tornar até mais fácil a vigilância. Conforme estudos apresentados por pesquisadores do Núcleo de Direito, Internet e Sociedade da USP, há uma tendência da jurisprudência nacional em relativizar o sigilo de dados, constantemente deferindo pedidos de quebra de sigilo de forma pouco fundamentada e independente da gravidade do “suposto” desvio de conduta. O relatório de transparência do Google vai ao mesmo sentido: o Brasil é o 2° colocado (atrás dos EUA) em número de requisições judiciais ou governamentais por dados de usuários. Ainda, o próprio Executivo tem hoje consolidado cada vez mais sua esfera de atuação no acesso a dados de terceiros, como se vê na recente resolução da Anatel que obriga os provedores de aplicações de internet a guardarem os logs dos usuários ou, ainda, na decisão da Agência Brasileira de Inteligência (Abin) de montar uma rede de monitoramento na internet com o objetivo de acompanhar manifestações populares e que incluiria a vigilância em perfis de redes sociais e aplicativos de mensagem como Facebook, Twitter, Instagram e WhatsApp.

Finalmente, há um argumento pragmático, mas de extrema relevância: ao buscar uma solução prática de carona no Marco Civil, o governo demonstra estar tentando “tapar o sol com a peneira”. Segundo a mesma pesquisa da Business Software Aliance, Brasil, Tailândia e Turquia são os únicos países que não possuem marcos legais sobre privacidade de dados e padrões de segurança digital, o que representa uma grande insegurança jurídica para a atração de investimentos e ao estabelecimento de grandes estruturas de cloud storage no país. Além disso, o Brasil vem, ano após ano, subaproveitado os recursos e esforços governamentais por um sistema moderno de defesa cibernética — segundo reportagem da Folha de S. Paulo, somente 8,9% do orçamento do Exército brasileiro reservado para o tema foi utilizado até julho desse ano.

Vê-se que, por trás de um populismo legislativo bastante reativo e baseado num discurso de soberania que também é sedutor, parece que o governo busca soluções relativamente rápidas para problemas muito maiores — e nem sempre as melhores leis são aquelas oriundas de posturas urgentes do Congresso, como no caso da famigerada Lei Carolina Dieckmann, em que o vazamento das fotos íntimas da atriz gerou uma lei inconsistente com o sistema penal brasileiro e que não buscou endereçar uma solução ao problema da chamada revenge porn, que vem sendo discutido no mundo todo e que tende a prejudicar pessoas de classes sociais mais baixas e com menor acesso à Justiça.

Não há dúvidas de que fortalecer o mercado de internet no Brasil e aumentar a privacidade dos usuários brasileiros são objetivos nobres e necessários para o pleno desenvolvimento da nossa rede. Mas políticas forçadas de protecionismo e dotadas da nossa síndrome de jabuticaba em buscar ser inéditos e exclusivos do resto do mundo podem gerar graves consequências. Nem sempre o caminho mais curto é mais eficaz. A aprovação de um marco regulatório civil para a internet, a criação de uma política nacional de defesa cibernética, a aprovação de uma legislação de proteção de dados pessoais e a expansão de incentivos tributários e de subvenção econômica para a indústria de TI no Brasil são, certamente, caminhos mais longos e tortuosos, mas prometem uma recompensa maior ao término da jornada — e, nesse caso, quem irá receber o prêmio (ou a maldição) somos nós, usuários.