Lei Geral de Proteção de Dados: externalidades negativas não projetadas

Vivemos no mundo dos dados. O que fazemos, pensamos, gostamos ou desgostamos foi transformado em ativo financeiro, em forma objetiva de interpretar a vontade do usuário antes mesmo que ela seja manifestada. Não por exagero, o historiador israelense Yuval Noah Harari definiu que "no século XXI, os dados vão suplantar tanto a terra quanto a maquinaria como o ativo mais importante, e a política será o esforço por controlar o fluxo de dados. Se os dados se concentrarem em muito poucas mãos — o gênero humano se dividirá em espécies diferentes" [1].

Conforme se nota logo no artigo 1º da LGPD, "esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". Trata-se de verdadeira concretização, no plano infraconstitucional, da tutela da inviolável intimidade, vida privada, honra e imagem dos cidadãos, cujo assento primeiro deriva da Constituição Federal (CF, artigo 5º, X).

Intimidade e vida privada essa que se desdobra contemporaneamente no princípio da autodeterminação informativa, positivado no inciso II do artigo 2º da LGPD, mas cujas origens históricas remontam ao clássico julgamento levado a efeito pelo Tribunal Constitucional Federal Alemão acerca da constitucionalidade da Lei de 25 de março de 1982, aprovada pelo Parlamento alemão (Bundestag), a respeito do recenseamento geral da população que fora projetado para ocorrer no ano seguinte, em 1983. Segundo anotam Gerrit Hornung e Christoph Schnabel, "nesta decisão, o Bundesverfassungsgericht 'inventou' o novo direito básico de autodeterminação, que é a âncora legal para a proteção de dados na Constituição alemã. A decisão é, até hoje, a mais importante da história dos dados alemães e o Bundesverfassungsgericht ainda se refere frequentemente a ela em novas decisões".

No caso, a lei alemã exigia que os dados pessoais dos cidadãos sobre profissão, moradia e local de trabalho fossem disponibilizados ao Estado para apurar o estágio de crescimento populacional, a distribuição espacial da população e as características demográficas e sociais com o escopo de colmatar lacunas existentes nos cadastros públicos.

Assim, a partir do direito geral da personalidade previsto na Constituição Alemã, o TCFA reconheceu que "o livre desenvolvimento da personalidade pressupõe, sob as modernas condições do processamento de dados, a proteção do indivíduo contra levantamento, armazenagem, uso e transmissão irrestritos de seus dados pessoais, assegurando, assim, a proteção à autodeterminação informativa" [2].

Todavia, foi na General Data Protection Regulation (ou GDPR) europeia que a LGPD retirou sua fonte de inspiração mais direta. O marco legal europeu da proteção de dados pessoais, que "constitui uma evolução da Diretiva Europeia 1995 (Diretiva 95/46/CE)" [3], é o elemento normativo de base à LGPD brasileira.

Todavia, apesar da ampla rede protetiva de direitos fundamentais criada pela LGPD, o marco normativo, como toda e qualquer legislação que nasce datada num tempo histórico sob a marca de determinadas impressões valorativas, apresenta alguns problemas e falhas que podem ter o condão de desnaturar os nobres objetivos que o legislador pretendeu implementar.

Adiante, algumas prognoses ou potenciais externalidades negativas que, da análise da lei, nos parece possível verificar.

Pois bem. O artigo 2º da LGPD elenca textualmente os sete fundamentos da proteção de dados pessoais. Embora os incisos do artigo 2º utilize expressões como "desenvolvimento econômico e tecnológico e a inovação" e "livre iniciativa e livre concorrência", a leitura sistemática da lei demonstra que esses objetivos correm um sério risco de não serem efetivamente cumpridos.

Basta ver que o artigo 52, II, da LGPD, dispositivo que trata das sanções administrativas aplicadas em razão das infrações à proteção de dados pessoais, se aplicado literalmente pode causar um forte desestímulo à "inovação" e à "livre iniciativa", fundamentos esses que norteiam a própria Lei Geral de Proteção de Dados. Diz o artigo 52, II, da LGPD, já que prevê multa de até 2% sobre o faturamento.

O exemplo citado por Leonardo Corrêa em artigo específico [4] a esse respeito é didático: "Digamos que uma empresa de informática, com faturamento anual de R$ 5 milhões (e patrimônio de uns R$ 2 milhões, repleto de bens intangíveis, fundados em direito autoral), preste serviços de tratamento de dados para uma parceira comercial, em um contrato de R$ 200 mil por ano. Importante: não estou falando de lucro, mas, sim, de faturamento (ou seja, receita bruta)".

Veja-se, portanto, que o artigo 52, II, da LGPD, se aplicado sem razoabilidade, pode colocar um entrave ao desenvolvimento econômico do país e, sobretudo, aos pequenos e médio empresários, que gozam de proteção constitucional diferenciada (CF, artigo 170, IX).

Uma pequena e média empresa, além de não conseguir suportar os elevados custos financeiros que a regulação da proteção de dados causará sobre ela, ainda perderá a competitividade no nicho de mercado em que atua. Afinal, para o consumidor final não haverá um atrativo ou estímulo comercial para que ele deixe de comprar de um agente de grande porte para comprar com o de menor. Não se trata de um simples incremento burocrático, mas de uma vasta teia de controles e protocolos a serem seguidos que encarecerá largamente os custos de operação, os quais, inevitavelmente, importarão em elevação dos preços dos produtos e serviços prestados por essas empresas.

Ao fim e ao cabo, é o próprio consumidor, objeto de maior tutela da LGPD, quem acabará suportando o preço mais elevado dos serviços a serem prestados pelos agentes econômicos privados que devem se submeter ao escrutínio da lei.

Esses perigos que a própria lei cria ao estímulo à "inovação" podem ser maiores se vistos sobre o ponto de vista da técnica de redação e o modo como a própria lei é construída. Isso porque a LGPD é, em grande medida, principiológica, de "textura aberta". Utiliza diversos conceitos jurídicos indeterminados e abstratos que, na prática, abrem ampla margem de discricionariedade para quem interpreta a lei.

Veja-se, neste particular, que o §1º do artigo 52 da LGPD, apesar de estabelecer algumas balizas para que os agentes de tratamento de dados realizem a dosimetria das penas cominadas nos nove incisos do caput (do artigo 52), traz alguns conceitos jurídicos indeterminados para aplicação das reprimendas aos infratores da lei. São exemplos: "a boa-fé do infrator" (inciso II), "a vantagem auferida ou pretendida pelo infrator" (inciso III) e "a adoção de política de boas práticas e governança" (inciso IX).

Aplicar sanção, ainda que administrativa, sem procedimentos integralmente seguros, com base conceito jurídicos abstratos, como por exemplo "a boa-fé do infrator" (inciso II), pode abrir margem para injustiças, arbitrariedades e ilegalidades.

De um lado, os agentes que devem tratar adequadamente os dados pessoais de terceiros (empresas e poder público) podem fazer múltiplas interpretações de um mesmo princípio ou comando normativo abstrato em razão da vagueza semântica a ele emprestado. De outro, o próprio cidadão titular do direito fundamental à autodeterminação informativa pode, ante o amplo espectro de interpretações que a ele se abrem acerca de um mesmo princípio, sentirem-se carentes de orientação de sentido.

Embora a "abstrativização" dos conceitos jurídicos seja uma realidade do mundo jurídico pós-positivista, não se pode perder de vista que as regras, aplicadas com base no tudo ou nada (all or nothing), são fundamentais para a segurança jurídica e estabilização das relações sociais, notadamente em matéria de procedimentos de fixação de sanção por descumprimento de normas cujo rigor técnico de ciência de dados é mais elevado do que questões propriamente jurídicas.

Por outro lado, entre os múltiplos problemas normativos de alcance prático que a LGPD parece esbarrar, o trato de dados automatizados, ou melhor, das discriminações algorítmicas, parece ser o mais grave e que mais decisivamente pode colocar em xeque os objetivos do marco normativo protetivo do direito à autodeterminação informativa.

Isso porque, nas sociedades digitais contemporâneas, em que as pluralidades e diversidades religiosas, étnicas, sociais, sexuais e ontológicas são cada vez mais amplas e complexas, o estabelecimento de compromissos regulatórios rigorosos e a criação de programas de governança algorítmica parece não ter sido objeto de maiores preocupações do legislador.

No mundo digital em que vivemos, em que nossas informações mais íntimas não raro se encontram disponíveis e acessíveis nas redes, constroem-se, por meio de padrões estatísticos de economia algorítmica e de análises de big data, inferências de ordem discriminatória que podem comprometer gravemente os múltiplos aspectos da construção da livre e autoinformada personalidade do indivíduo.

Informações estatísticas mal coletadas ou coletadas sob um determinado viés atuarial podem, com certa facilidade, não refletir exatamente a personalidade e todas as peculiaridades subjetivas de uma pessoa, de modo que podem reforçar ainda mais paradigmas sociais discriminatórios e contrários à inviolável garantia constitucional da honra e da personalidade de uma pessoa. Como alertam Laura Schertel Mendes e Marcela Mattiuzzo, "na medida em que os algoritmos se baseiam, em grande parte, em discriminação estatística, isto é, na diferenciação de indivíduos baseada nas características de um grupo e na probabilidade de tal grupo agir de determinada maneira, torna-se indispensável compreender se os processos e critérios utilizados para classificar indivíduos são corretos, transparentes e, em última instância, justos" [5].

Todavia, apesar da centralidade e urgência de políticas públicas estatais sérias a respeito da regulação algorítmica, a LGPD, mais avançado diploma normativo a respeito da proteção de dados pessoais brasileiro, não traz de forma concreta e procedimental métodos adequados para se buscar possíveis soluções contra o potencial discriminatório de práticas baseadas em profiling e em decisões automatizadas.

Não há uma política pública, não há um compromisso regulatório e não há um programa de governança específico sobre decisões automatizadas e colhidas a partir de inferências sobre informações pessoais para a construção de padrões sociais e econômicos de comportamento.

Vale lembrar que "embora os algoritmos forneçam novos caminhos para que as pessoas incorporem a discriminação passada ou expressem seus preconceitos, a implantação de um sistema regulatório adequado não limita simplesmente a possibilidade de discriminação de algoritmos, mas tem também o potencial de transformar algoritmos em um poderoso contrapeso à discriminação humana e uma força positiva para o bem social" [6].

Ao invés de caminharmos em direção à utilização eficiente dos algoritmos para a superação de preconceitos e violações a direitos fundamentais, parece que ao se omitir sobre um dos aspectos mais relevantes da nossa modernidade líquida digital, a LGPD cria um antídoto contra a sua própria eficiência protetiva da autodeterminação informativa.