Privacidade e proteção de dados: Apple, Facebook e WhatsApp
Escrito por
Equipe IRIS-BH (Ver todos os posts desta autoria)
6 de junho de 2016
Matheus Rosa e Victor Barbieri Rodrigues Vieira
Atualmente, com o advento da Internet, tornam-se recorrentes as discussões travadas acerca da privacidade de dados. A ascensão de inúmeras formas de interação online, como fóruns e redes sociais, além de tecnologias que nos mantêm conectados à rede a todo momento, permitindo o rastreamento de cada um de nós por meio de tecnologia GPS, faz com que o debate público em torno de temas relacionados à proteção da informação seja essencial para a evolução e melhora da Internet.
Embora seja comum imaginar que a preocupação com a proteção de dados tenha surgido recentemente, justamente no contexto da popularização generalizada da Internet, é interessante notar que não é esse o caso. Um artigo de Harvard, de dezembro de 1890, por exemplo, relata a preocupação de toda a sociedade estadunidense frente ao surgimento das máquinas fotográficas, que alegavam-se representar afronta à privacidade das pessoas pelo fato de as fotos poderem ser divulgadas nos jornais.
Percebe-se que o ser humano há muito tempo mostra receio quanto à exposição de sua privacidade. Esse problema inegavelmente tornou-se maior no século XIX, visto que hoje em dia praticamente não há como evitar estar conectado. A Internet está presente na maioria de nossas atividades cotidianas.
Casos emblemáticos envolvendo privacidade e proteção de dados em um contexto “pré-internet”
O direito à privacidade e à proteção de dados é uma preocupação bem anterior ao surgimento da Internet ou das redes sociais, fato que pode ser analisado em diversas situações da jurisprudência mundial. Para ilustrar os problemas envolvendo privacidade e proteção de dados, relatam-se dois casos emblemáticos da jurisprudência do Tribunal Constitucional Alemão (Bundesverfassungsgericht): o caso Lüth (1958) e o caso Lebach (1973).
O caso Lüth
Eric Lüth, cidadão alemão de etnia judaica, crítico de cinema do clube de imprensa de Hamburgo, começou boicote ao primeiro filme lançado no pós-Segunda Guerra pelo cineasta Veit Harlan. O cineasta tinha inegável passado nazista, com filmes que ridicularizavam a religião de Lüth. Seu novo filme, que nada tinha de apologético ao nazismo, foi um fracasso, fazendo com que ele entrasse com uma ação contra o crítico de cinema.
Nas duas primeiras instâncias, Harlan saiu vitorioso contra Lüth, tendo este sofrido ameaça da justiça ordinária a multa e a prisão, além de não poder continuar a expressar sua opinião sobre o filme. No entanto, Lüth recorreu à terceira instância, o Tribunal Constitucional Alemão, que decidiu a favor do crítico, alegando que o direito deste à liberdade de expressão é superior ao direito de Halan à privacidade e ao esquecimento.
Essa decisão complexa inaugurou no país, para muitos, o princípio da ponderação de bens a serem protegidos. Ela é decisão é considerada uma das mais importantes do Bundesverfassungsgericht, comparada com a decisão de Merbury vs Madson, da Suprema Corte norte-americana.
O caso Lebach
Em 1969, na cidade de Lebach, Oeste da Alemanha, dois homens foram condenados à prisão perpétua por assassinato, e um terceiro, a seis anos de prisão, por participação no crime. Quando este havia cumprido boa parte da pena e estava próximo de ser solto, a rede de televisão alemã ZDF (Zweites Deutsches Fernsehen) decidiu produzir um documentário sobre o crime, envolvendo também aspectos da vida pessoal dos três criminosos.
Como o documentário seria lançado na noite anterior à soltura do partícipe, ele entrou com uma ação no Tribunal Constitucional Alemão, alegando que a produção da ZDF influenciaria negativamente na sua ressocialização. O Bundesverfassungsgericht deveria ponderar entre dois direitos fundamentais básicos: direito à informação; e direito à privacidade e personalidade. O Tribunal considerou ser a ressocialização do partícipe mais importante que o direito à informação dos cidadãos, proibindo a exibição do documentário e decidindo em favor dos direitos fundamentais à privacidade e à personalidade.
Esses casos ilustram como temas envolvendo privacidade e proteção de dados são complexos e subjetivos, não apresentando respostas definidas. Porém, na sociedade de informação, os dados e as informações dos usuários da internet precisam de proteção estabelecida em lei, para que não fiquem a mercê de tribunais, que em grande maioria, desconhecem muitos dos atuais mecanismos digitais.
Privacidade e proteção de dados na atualidade
Hoje em dia, praticamente todas atividades banais que realizamos envolvem o fornecimento de dados a alguma pessoa ou entidade. Exemplos vão desde a realização de uma compra com cartão de crédito, até situações mais complexas, como uma consulta médica. Quase tudo o que fazemos resulta no envio de informações pessoais para bancos de dados ao redor de todo o mundo.
Bancos de dados, por sua vez, são servidores responsáveis pelo agrupamento e a sistematização dos dados e informações pessoais coletados. Foi com o surgimento desses bancos de dados que se amplificou o temor da sociedade quanto à quebra da privacidade pessoal, uma vez que essa infraestrutura permite, tanto às empresas que os possuem quanto para aqueles indivíduos com suficiente conhecimento técnico sobre o assunto, acesso irrestrito a informações a qualquer hora. Em uma sociedade regida pelas informações digitais, esse fato representa grande controle sobre o indivíduo.
Na sociedade da informação em que vivemos, o conteúdo pessoal armazenado nos bancos de dados representa, em última estância, a própria personalidade dos indivíduos. Essa posição garante àqueles que possuem a capacidade de acessar dados pessoais um domínio grande sobre a vida alheia, representando certo perigo à privacidade. Pensando nisso, alguns Estados, como a Alemanha e a França, passaram a desenvolver leis para a proteção de dados dos usuários, que têm sido aperfeiçoadas com o passar do tempo.
No momento histórico em que foram concebidas essas primeiras leis, a tecnologia era vista por todos como uma ameaça em potencial para a sociedade, em uma concepção ludista, o que resultou em marcos normativos que cediam ao governo o monopólio do uso e controle dos bancos de dados, não havendo qualquer participação de usuários. Os primeiros exemplos de leis que romperam com essa percepção ocorreram na Alemanha e na França, respectivamente em 1977 e 1978, quando foram passados aos próprios cidadãos os direitos sobre suas informações pessoais.
A partir da década de 1990, os cidadãos começaram a tomar cada vez mais conhecimento sobre a importância de seus dados, com o surgimento de princípios que regem as leis sobre proteção de informações pessoais. Esses princípios, denominados fair information principles, foram criados na convenção de Strasbourg, na França, na década de 1980, e são quatro no total: publicidade, exatidão, finalidade e livre acesso.
O princípio da publicidade diz que a existência de um banco de dados que contenha dados pessoais deve ser de conhecimento público; o da exatidão prega que dados armazenados condigam com a realidade; o da finalidade garante a utilização dos dados pessoais para o exato fim que foi anunciado antes de sua coleta; e o princípio do livre acesso permite acesso dos indivíduos aos bancos de dados nos quais suas informações estão armazenadas.
Pode-se dizer, portanto, que a Convenção de Strasbourg definiu novo paradigma na relação entre dados pessoais do usuário e o Estado ou as empresas que os possuíssem. Os princípios estabelecidos na convenção influenciaram diversas legislações, inclusive a brasileira.
Privacidade e proteção de dados no Brasil
A partir da redemocratização, em 1985, com positivação na Constituição de 1988, passou-se a discorrer sobre a privacidade e proteção de dados pessoais. O artigo 5º, em seus incisos X, XII e LXXII, trata dos temas específicos da inviolabilidade da vida privada e da intimidade; da interceptação de comunicações telefônicas, telegráficas ou de dados; e da instituição do habeas data (instituído inicialmente como ferramenta para requerimento de dados pessoais em posse do Estado, mas que, a partir da Lei 9.507, de 1997, passou a permitir acesso a dados pessoais presentes em bancos de dados também em posse de entidades privadas, seguindo, portanto, o enunciado do Princípio da Publicidade mencionado anteriormente).
Não se pode dizer, contudo, que a Lei 9.507, de 1997, teve grande eficácia prática, devido à excessiva burocracia que envolvia o processo de requerimento dos dados. Esse processo exigia uma ação na Justiça para ser atendido, o que resultava na morosidade do pedido.
Situações complexas envolvendo privacidade e proteção de dados
Atualmente, as redes sociais são os serviços online mais amplamente utilizados no mundo. Sendo portadoras de grande volume de usuários, que constantemente compartilham suas informações pessoais, não é de se espantar que elas representem a fonte de maior quantidade de polêmicas envolvendo proteção e privacidade de dados.
Essas polêmicas ocorrem, principalmente, porque a dinâmica das redes sociais obriga seus usuários a fornecerem informações reais de si mesmos. Essas informações, altamente valiosas, representam uma forma de lucro para serviços online, que as utilizam para angariar anunciantes. A partir da análise dos dados, a rede social percebe tendências de consumo nos usuários, e a partir daí, destina a propaganda de determinada marca ao público adequado.
A rede social, em sua essência, é um espaço em que as pessoas trocam informações, mas, uma vez que serve como intermediário entre indivíduos, muitas vezes toma posse dessas informações privadas, armazenando as conversas privadas em seus bancos de dados. Muitos usuários, tomando conhecimento da posse de suas informações pessoais por terceiros, passam a requerer melhor tratamento das mesmas pelas empresas que as armazenam e o pelo governo de seu país. Essa postura basicamente resultou em uma mudança de paradigma.
Passou-se do paradigma da privacidade para o paradigma da sociedade aberta, em que os usuários reconhecem que suas informações pessoais não são privadas e, por isso, exigem direitos a respeito do tratamento dessas informações. Exige-se, por exemplo, o direito ao esquecimento das informações fornecidas, caso o indivíduo venha a se desvincular da rede social, devendo essas informações serem permanentemente excluídas dos bancos de dados.
Recentemente, o WhatsaApp, pertencente ao Facebook, envolveu-se em polêmicas envolvendo a proteção de dados pessoais de seus usuários. Foi requerido pela justiça brasileira, para auxiliar em uma investigação sobre pedofilia, que fosse garantido acesso a conversas realizadas através do serviço. No entanto, nem toda rede social armazena as informações cedidas por seus usuários. Isso depende da arquitetura empregada no serviço.
No caso, o WhatsApp alega funcionar a partir de uma arquitetura end-to-end, o que significa que as conversas entre os usuários são criptografadas, para impedir interceptação por terceiros, e não são armazenadas em bancos de dados. Sendo assim, a empresa alegou a impossibilidade do fornecimento de tais informações, causando a revolta dos requerentes, que argumentavam não acreditar na possibilidade de a rede social não manter um backup das conversas realizadas em seu aplicativo. Isso resultou no bloqueio, mesmo que por pouco tempo, do WhatsApp no Brasil.
Também recentemente, houve grande disputa judiciária nos Estados Unidos, entre a Apple e o FBI. No caso, o FBI havia requerido que a Apple criasse um sistema operacional iOS modificado, que garantisse um backdoor para que fosse possível o acesso às informações confidenciais armazenadas no iPhone de um dos atiradores envolvidos no ataque de San Bernardino, Califórnia, para auxiliar nas investigações. Conhecida mundialmente por ser uma das empresas de eletrônicos que mais preza pela segurança dos dados de seus usuários, a Apple se recusou a prestar o serviço.
Os dois casos citados resultaram em extensa discussão acerca de até que ponto devem ser protegidas as informações pessoais, mesmo que privadas. É fato que a grande maioria da população acredita ser extremamente plausível que as redes sociais que armazenam dados pessoais dos usuários cedam essas informações de modo a auxiliar em investigações importantes, em um processo semelhante a quando é dada permissão para a polícia investigar a casa de um envolvido em investigação. Porém, existe também uma preocupação muito grande em relação à arbitrariedade do próprio Estado, que pode utilizar tais dados para fins que não atendem aos interesses da sociedade.
Outra das polêmicas que englobam a questão é o fato de que, muitas vezes, as empresas envolvidas em questões como as citadas acima não se localizam no país do conflito em questão, o que resulta em dúvidas quanto à necessidade ou não de tais empresas seguirem o ordenamento de tal país. Essas questões relacionadas à jurisdição estão atreladas ao Direito Internacional e requerem ainda estudos e discussões aprofundadas para que se chegue a um acordo satisfatório quanto a suas resoluções.
Sobre os autores
Matheus Rosa é graduando em Direito pela Universidade Federal de Minas Gerais (UFMG). É membro do Grupo de Estudos Internacionais em Internet, Inovação e Propriedade Intelectual (GNet-UFMG).
Victor Barbieri Rodrigues Vieira é graduando em Direito pela Universidade Federal de Minas Gerais (UFMG). É membro do Grupo de Estudos Internacionais em Internet, Inovação e Propriedade Intelectual (GNet-UFMG).