Manipular a informação é "elemento essencial" para se manter o poder

Em dezembro de 2015, o jornal britânico The Guardian revelou o que se tornaria um escândalo envolvendo a coleta de dados pessoais de usuários do Facebook para fins eleitorais.

A proporção da coleta de dados só ficou clara em 2018, quando Christopher Wylie, um ex-funcionário da Cambridge, forneceu informações a respeito da atuação da empresa e sobre os políticos que a haviam contratado.

Como ficaria demonstrado, a manipulação das informações tiveram influência em dois grandes eventos recentes: o referendo para o Brexit, que aprovou a saída do Reino Unido da União Europeia, e a vitória de Donald Trump nas eleições presidenciais norte-americanas. 

Em entrevista à ConJur, o especialista em proteção do dados Fernando Santiago, sócio fundador da Chenut Oliveira Santiago Advogados, afirmou que os episódios alertaram para a necessidade de que fossem implementadas medidas para proteger os dados.

Entre elas, Santiago destaca a aplicação do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) na Europa, e da Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no Brasil a partir de 2020.

“O mérito de tais eventos foi o de revelar para o grande público um antigo estratagema utilizado desde a antiguidade e bem explorado por George Orwell nos anos 1950: informação é poder, e sua manipulação é um fenômeno essencial para se conquistar ou se manter esse poder”, afirma. 

Santiago também diz acreditar que manipulações como as que aconteceram nos EUA e no Reino Unido já tenham ocorrido no Brasil. Segundo ele, “basta ver o episódio das contas falsas para disparo no WhatsApp utilizadas nas últimas eleições presidenciais brasileiras". 

Leia a entrevista abaixo: 

ConJur — Em 2017, a revista The Economist publicou uma reportagem afirmando que o recurso mais valioso do mundo já não era o petróleo, mas os dados. O que isso significa?
Fernando Santiago —  Não há como discordar dessa reportagem. As empresas cujos modelos de negócios são construídos em torno de dados — notadamente pessoais — são as mais valorizadas do planeta. Há apenas uma década as empresas mais capitalizadas do mundo eram clássicas “blue-chips”, como Exxon, General Eletric, AT&T etc. Todas elas foram destronadas pela Google, fundada há apenas 21 anos, em 1998, ou pelo Facebook, que tem 15 anos de idade. As clássicas blue chips começam a aparecer a partir da oitava posição no ranking de 2019 das 10 empresas mais valorizadas do mundo por capitalização (Fortune 500).

Não posso perder a oportunidade de fazer um comentário: se o dado pessoal é o petróleo do século 21, o dado pessoal supérfluo é o lixo nuclear. O único dado que não pode ser hackeado é aquele que você não tem. Isso está implícito no que, para mim, é o princípio mais importante da Lei Geral de Proteção de Dados brasileira (LGPD): o princípio da minimização dos dados.

ConJur — Nos últimos anos, o uso de dados pessoais influenciou ao menos dois grandes eventos: o referendo para o Brexit, que aprovou a saída do Reino Unido da União Europeia, e as eleições nos Estados Unidos, que consagraram Donald Trump como presidente. Acredita que os episódios, ambos ligados à Cambridge Analytica, levaram a uma maior preocupação com a segurança de dados pessoais?
Fernando Santiago — Sem dúvida, o mérito de tais eventos foi o de revelar para o grande público um antigo estratagema utilizado desde a antiguidade e bem explorado por George Orwell nos anos 1950: informação é poder, e sua manipulação é um elemento essencial para se conquistar ou se manter no poder. Por sinal, após a eleição de Trump, o livro "1984", de Orwell, ficou no topo das vendas nos EUA, o que nos leva a nos interrogar sobre os pontos comuns entre o Big Brother e os EUA da NSA [Agência de Segurança Nacional] das últimas décadas. Os episódios de espionagem da NSA — que são anteriores ao Trump — influenciaram fortemente o processo de elaboração do GDPR na Europa.

ConJur — Acredita que manipulações semelhantes já tenham acontecido no Brasil?
Fernando Santiago — Não tenho a menor dúvida. Se no passado a manipulação de dados ocorria majoritariamente por meio de pesquisas de intenção de votos por institutos de pesquisa ou pela afinidade demonstrada por uma determinada rede dominante de televisão, atualmente ela ocorre por meio de redes sociais ou fake news. Basta ver o episódio das contas falsas para disparo no WhatsApp utilizadas na última eleição presidencial brasileira. O que mudou  é simplesmente o vetor por meio do qual a manipulação ocorre. 

ConJur — Dando um novo tratamento para a questão, entrou em vigor na Europa, em 2018, o Regulamento Geral de Proteção de Dados (GDPR),  que obriga empresas  a cumprirem uma série de novas obrigações. Quais os principais pontos do Regulamento e porque ele é considerado uma espécie de modelo quando falamos em segurança de dados?
Fernando Santiago — O GDPR é uma das realizações mais espetaculares que a Europa já produziu. Trata-se da criação e imposição extraterritorial de uma visão humanista da proteção dos dados pessoais, afirmando que os mesmos pertencem às pessoas como um direito fundamental, um elemento da personalidade tal qual a própria imagem. No contexto em que nós vivemos, isso é simultaneamente revolucionário, genial, e, sobretudo, essencial.

O GDPR tornou-se, assim, o standard mundial para qualquer legislação de proteção de dados pessoais. Os direitos por ela criado (direito de acesso, de apagamento dos dados, direito à informação etc.) assim como a simples necessidade de justificar uma base legal para o tratamento de dados pessoais é algo totalmente inovador, sobretudo nessa escala. 

Digo nessa escala porque temos que admitir que várias leis especiais versavam sobre o uso de dados pessoais de determinadas categorias de pessoas (idosos e crianças, por exemplo) ou em determinadas atividades (saúde, pesquisa clínica etc). Mas uma lei que imponha obrigações transversais a todo tipo de indústria ou categoria de pessoas, é mérito do GDPR. Todas as leis modernas sobre proteção de dados pessoais inspiram-se explicitamente ou implicitamente no Direito Europeu, inclusive a nova California Consumer Privacy Act americana — e claro, a LGPD brasileira. 

ConJur — Entrando neste assunto, a Lei Geral de Proteção de Dados (LGPD) entrará em vigor a partir de 2020. O regulamento está à altura dos que estão sendo implementados em outros países?
Fernando Santiago — Sim. Eu a qualificaria como um GDPR simplificado e adaptado ao contexto normativo nacional. Acho que a lei é muito boa, sem sombra de dúvidas coloca o Brasil no rol dos países com legislação sobre proteção de dados pessoais à altura das melhores práticas mundiais. Se eu tivesse que resumir toda a lei a três pontos essenciais, diria o seguinte: 1) Informar o titular sobre o que é feito com seus dados pessoais; 2) Coletar e tratar somente dados minimamente essenciais à finalidade pretendida; e 3) Dar instruções precisas sobre o que fazer com os dados às pessoas com quem você compartilhou, proibindo o seu reenvio a terceiros e exigindo o seu apagamento ao final do tratamento (quando aplicável).

Acredito que se o Brasil resolver esses pontos, estaremos em patamar de desenvolvimento entre os maiores do mundo. Esses três pontos, que aparentemente parecem simples, representam, portanto, uma mudança enorme de paradigma. Ninguém faz isso hoje no Brasil.

Mês passado, em Paris, eu estava conversando com o Secretário Geral do regulador francês, (CNIL — Commission Nationale de l’Informatique et des Libertés) e ele me disse que 95% dos problemas os quais a CNIL é instada a se manifestar versam sobre coisas básicas, elementares. Por isso que eu costumo focar nesses pontos básicos, pois não adianta nada concentrar esforços nos pontos sofisticados da lei se o básico não é incorporado pelo grande público. Como disse Oscar Wilde, o simples é o último refúgio do complexo. 

ConJur — No início deste ano ocorreu um fato curioso: o Conselho Nacional de Justiça determinou o cancelamento do contrato entre o Tribunal de Justiça de São Paulo e a Microsoft, afirmando que a medida poderia comprometer os interesses nacionais do Brasil. O que achou da decisão?
Fernando Santiago — Empresas como a Microsoft, assim como outras gigantes da tecnologia, podem nos trazer muita coisa positiva. Os orçamentos dessas empresas destinadas à pesquisa e inovação são maiores que o orçamento total de grande parte dos países do mundo. Contudo, quando se trata da gestão de um poder tão relacionado à soberania de um Estado, como o exercício da justiça, é muito delicado depender integralmente de uma empresa estrangeira. Se não houver opção, não há discussão. Mas havendo opção, o tema merece no mínimo ser estudado com cuidado.

A maior parte dos brasileiros não sabe, mas há uma lei nos EUA, adotada em 2018, denominada Clarifying Lawful Overseas use of Data Act — simplesmente conhecida como Cloud Act — que autoriza um juiz norte-americano, provocado pelo Governo, a determinar a qualquer empresa do país (ou estrangeira com filial nos EUA) a apresentação de informação estocada nos servidores dessa empresa em qualquer país do mundo — como no Brasil.

Por essas e outras que a questão do uso da tecnologia pelos Estados — sobretudo para o exercício de atividades típicas do Estado — dever ser muito bem pensada.