Levando os metadados a sério

No artigo "Vigilância em massa ou combate à desinformação: o dilema do rastreamento", publicado pela ConJur no último dia 4, Juliana Abrusio, Ricardo Campos, Matthias Kettemann e Florian Wittner apresentam uma defesa do polêmico artigo 10 do PL 2630/2020. Trata-se do artigo que prevê a rastreabilidade das mensagens de grupos de WhatsApp e Telegram, desde que elas atinjam um número específico de pessoas em um certo período de tempo.

Se entendemos corretamente o artigo, Abrusio, Campos, Ketterman e Wittner sustentam que existe uma diferenciação com importantes repercussões jurídicas. Para eles, a "comunicação sobre-humana em escala industrial", ligada à "comunicação massiva", deveria deixar rastros para "posterior responsabilização legal". Já a "comunicação interpessoal" deveria ser protegida pela privacidade. Neste sentido, de acordo com os autores, não há problemas com o artigo 10, pois o que se pretende analisar não é o conteúdo da mensagem, mas, sim, os metadados. Assim, "a privacidade do indivíduo continua inviolável". Nas palavras dos autores, "o artigo 10 do PL brasileiro obriga a guarda de registros de envio de encaminhamento de mensagens em massa diferenciando-o da comunicação individual".

O raciocínio apresentado pelos autores demonstra duas fragilidades incontornáveis, que acabam por desmoronar os pilares de sustentação de defesa do artigo 10 do PL 2630/2020 perante o Parlamento.

A primeira fragilidade é uma confusão sobre a importância dos metadados no debate contemporâneo sobre proteção de dados pessoais. Como recordado por Bruce Schneier no hoje clássico livro "Data and Goliath: the hidden battles to collect your data and control your world", os metadados possuem papel central para empresas de tecnologia e órgãos de inteligência. Michael Hayden, ex-diretor da NSA, chegou a afirmar que os Estados Unidos matam pessoas apenas com base em metadados. Para identificar dissidentes e terroristas, basta analisar o padrão de uso de aplicativos e a presença nos mesmos grupos e fóruns online. Não é preciso analisar precisamente o que se diz, mas com quem se diz e como se diz. Além de já ser suficiente para traçar inferências bastantes sensíveis de uma pessoa, são dados considerados de maior confiabilidade já que são gerados pelo próprio sistema operacional e não pelas partes do processo comunicacional. O conteúdo de uma comunicação pode ser facilmente dissimulado, mas não o mesmo com os metadados.

A importância dos metadados também foi reconhecida nas cortes, e não apenas na literatura especializada em proteção de dados pessoais. Em dezembro de 2013, o Tribunal de Justiça da União Europeia julgou dois casos em conjunto (Case C‑293/12 e Case C‑594/12) e estabeleceu um precedente histórico sobre proporcionalidade de medidas de retenção de metadados. Naquela ocasião, a retenção de metadados imposta pela Diretiva 2006/24 foi considerada desproporcional por "interferir de forma particularmente séria nos direitos fundamentais de respeito à vida privada e proteção de dados pessoais". É certo que, neste caso, a grande discussão era a proporcionalidade do tempo de retenção dos dados, porém a decisão reacendeu um debate sobre a centralidade dos metadados. Muitas vezes, o tratamento desses "dados sobre sistemas" permite a inferência de um conjunto de informações que se relacionam ao comportamento humano, criando riscos ao exercício de direitos fundamentais, como bem argumentado pela ONG Digital Rights Ireland.

É evidente que os metadados devem ser protegidos com o mesmo grau de seriedade que os dados cadastrais e o conteúdo das comunicações, uma vez que permitem a identificação de uma pessoa natural. Essa é a lógica da Lei Geral de Proteção de Dados Pessoais e do decreto do Marco Civil da Internet ao listar "identificadores eletrônicos" como um dos exemplos contido na definição de dado pessoal, bem como da recente decisão do Supremo Tribunal Federal que, ao se lastrear na célebre decisão da Corte Constitucional Alemã sobre autodeterminação informacional, afasta a equivocada ideia de que haveriam dados (pessoais) insignificantes e que mereceriam um menor grau de tutela.

A segunda fragilidade é a diferenciação artificial entre "comunicação interpessoal" e o que os autores chamam de "comunicação massiva", ao considerarem que o "dever de guarda recai sobre casos de encaminhamento e não de envio diferenciando assim o envio de mensagens individuais de autoria própria do encaminhamento massivo de mensagens não autorais".

Primeiro, porque o artigo 10 mescla os termos "encaminhamento" e "envio" ao prever, de forma confusa, que se considera "encaminhamento em massa o envio de uma mesma mensagem por mais de 5 (cinco) usuários". E, também, porque não se faz distinção ou exclusão expressa entre mensagens, encaminhadas ou enviadas para mais cinco usuários, cujo conteúdo seja de autoria do emissor. Em termos de técnica legislativa, a regra do artigo 10 é criticável e, mais ainda, uma interpretação que dele se tenta extrair limitações que não estão contempladas em seu comando normativo. É um salto hermenêutico que demandaria, ao menos, que houvesse uma definição de tais condicionantes que não estão no dispositivo reservado para tanto no projeto de lei.

Segundo, porque, como notado na nota técnica da Associação Data Privacy Brasil de Pesquisa sobre o artigo 10 do PL 2630/2020, o desenho do projeto de lei pode atingir facilmente jornalistas, checadores de opinião e ativistas de diferentes movimentos sociais. São pessoas que se articulam, produzem e repassam conteúdo de forma muito dinâmica no WhatsApp, Telegram e Signal. O interpessoal pode facilmente virar massivo, criando rastros impróprios.

Corre-se o risco de criar um sistema que não apresenta boas perspectivas de resultado. O trade-off é descabido: abandona-se a presunção de inocência de milhões de pessoas, criando as fórmulas pelas quais o rastreamento pode ser eventualmente burlado. Empresas de "estratégia digital", tais como aquelas descritas por Patrícia Campos Mello no importante livro "A Máquina do Ódio", podem programar scripts para modificar um caractere de uma mensagem, enviando-a para um número controlado de grupos. O DataFolha mostrou grande rejeição da população sobre a medida, destacando como ela pode ser burlada com técnicas simples para quebrar a cadeia de rastreamento.

A solução não passa por tratar todos os usuários como potencialmente criminosos, ignorando a importância dos metadados. Antes de alargar ainda mais o estoque de dados sobre a população brasileira, é necessário avançar na construção de salvaguardas para que tal interferência seja proporcional. É, por exemplo, o que está em curso na própria Câmara dos Deputados com a formação de uma comissão de juristas encarregada pela elaboração de um anteprojeto de lei sobre o tratamento de dados pessoais para fins de persecução criminal e segurança pública. Uma vez fixados tais parâmetros, então se torna possível uma análise de custo-benefício sobre mais um episódio da guarda preventiva de metadados no Brasil, que hoje se mostra frustrada.