LGPD: A lei que demanda uma nova lei

I. O estado da arte da tutela jurídica dos dados pessoais

Vivemos no mundo dos dados. O que fazemos, pensamos, gostamos ou desgostamos foi transformado em ativo financeiro, em forma objetiva de interpretar a vontade do usuário antes mesmo que ela seja manifestada. Não por exagero, o historiador Israelense Yuval Noah Harari definiu a posse dos dados como o novo condutor da riqueza dos tempos atuais. Como dito por Harari, os ciclos de riqueza do mundo foram por primeiro a posse de terras. Com a revolução industrial, a riqueza passou a ser definida pela propriedade dos meios de produção. Contudo, "no século XXI, os dados vão suplantar tanto a terra quanto a maquinaria como o ativo mais importante, e a política será o esforço por controlar o fluxo de dados. Se os dados se concentrarem em muito poucas mãos - o gênero humano se dividirá em espécies diferentes."¹

E é nessa quadra histórica, de absoluta disruptura econômica e alteração de paradigmas de fluxo de informações e riquezas, que surge a lei geral de proteção de dados, 13.709, de 14 de agosto de 2018, e que pode mesmo ser apontada, sem exageros, como um dos marcos regulatórios mais importantes e quiçá mais impactantes em termos de garantia de direitos fundamentais de índole individual da última década.

Conforme se nota logo no art. 1º da LGPD, "esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.".

Trata-se de verdadeira concretização, no plano infraconstitucional, da tutela da inviolável intimidade, vida privada, honra e imagem dos cidadãos, cujo assento primeiro deriva da Constituição Federal (CF, art. 5º, X).

Intimidade e vida privada essa que se desdobra contemporaneamente no princípio da autodeterminação informativa, positivado no inciso II do art. 2º da LGPD, mas cujas origens históricas remontam ao clássico julgamento levado a efeito pelo Tribunal Constitucional Federal Alemão acerca da constitucionalidade da Lei de 25 de março de 1982, aprovada pelo Parlamento Alemão (Bundestag), a respeito do recenseamento geral da população que fora projetado para ocorrer no ano seguinte, em 1983.

Segundo anotam Gerrit Hornung e Christoph Schnabel, "nesta decisão, o Bundesverfassungsgericht "inventou" o novo direito básico de autodeterminação, que é a âncora legal para a proteção de dados na Constituição alemã. A decisão é, até hoje, a decisão mais importante da história dos dados alemães e o Bundesverfassungsgericht ainda se refere frequentemente a ela em novas decisões.".

No caso, a Lei Alemã exigia que os dados pessoais dos cidadãos sobre profissão, moradia e local de trabalho fossem disponibilizados ao Estado para apurar o estágio de crescimento populacional, a distribuição espacial da população e as características demográficas e sociais com o escopo de colmatar lacunas existentes nos cadastros públicos.

Para Laura Schertel Mendes, "ponto de partida da sentença é o processamento eletrônico de dados que, em virtude do moderno desenvolvimento tecnológico, possibilitou o processamento ilimitado, a armazenagem e a transmissão de dados pessoais em proporções até então desconhecidas. De acordo com o Tribunal, as novas condições tecnológicas e sociais requerem o desenvolvimento continuado da interpretação dos direitos fundamentais para garantir a proteção do indivíduo na sociedade da informação"²

Assim, a partir do direito geral da personalidade previsto na Constituição Alemã, o TCFA reconheceu que "o livre desenvolvimento da personalidade pressupõe, sob as modernas condições do processamento de dados, a proteção do indivíduo contra levantamento, armazenagem, uso e transmissão irrestritos de seus dados pessoais, assegurando, assim, a proteção à autodeterminação informativa"³

Todavia, foi na General Data Protection Regulation (ou "GDPR") europeia que a LGPD retirou sua fonte de inspiração mais direta. O marco legal europeu da proteção de dados pessoais, que "constitui uma evolução da Diretiva Europeia 1995 (Diretiva 95/46/CE)"⁴, é o elemento normativo de base à LGPD brasileira.

Concretamente, o que havia no Brasil antes da LGPD em termos normativos eram apenas legislações esparsas que não disciplinavam precisamente a proteção de dados pessoais, como o Código Civil e o Código de Defesa do Consumidor. Daí a capital importância da LGPD como diploma normativo autônomo na tutela do livre desenvolvimento de todas as expressões sociais da personalidade.

Todavia, apesar da ampla rede protetiva de direitos fundamentais criada pela LGPD, o marco normativo, como toda e qualquer legislação que nasce datada num tempo histórico sob a marca de determinadas impressões valorativas, apresenta alguns problemas e falhas que podem ter o condão de desnaturar os nobres objetivos que o legislador pretendeu implementar.

Eis adiante algumas prognoses ou potenciais externalidades negativas realizadas a partir da análise de atos legislativos abstratos que ainda não se realizaram concretamente, passíveis de confirmação na realidade prática que se desenrolará nos próximos anos.

II. Distorções sancionatórias

Pois bem. O art. 2º da LGPD elenca textualmente os 7 (sete) fundamentos da proteção de dados pessoais. Embora os incisos do art. 2º utilize expressões como "desenvolvimento econômico e tecnológico e a inovação", "livre iniciativa e livre concorrência", a leitura sistemática da lei demonstra que esses objetivos correm um sério risco de não serem efetivamente cumpridos.

Basta ver que o art. 52, II, da LGPD, dispositivo que trata das sanções administrativas aplicadas em razão das infrações à proteção de dados pessoais, se aplicado literalmente, pode causar um forte desestímulo à "inovação" e à "livre iniciativa", fundamentos esses que norteiam a própria Lei Geral de Proteção de Dados. Diz o art. 52, II, da LGPD:

"Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

(...)

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração".

O exemplo citado por Leonardo Corrêa em artigo específico⁵ a esse respeito é didático:

"Feita a leitura atenta do dispositivo, vale pensar em uma situação hipotética - mas, contudo, absolutamente verossímil. Digamos que uma empresa de informática, com faturamento anual de R$ 5 milhões (e patrimônio de uns R$ 2 milhões, repleto de bens intangíveis, fundados em direito autoral), preste serviços de tratamento de dados para uma parceira comercial, em um contrato de R$ 200 mil por ano. Importante: não estou falando de lucro, mas, sim, de faturamento (ou seja, receita bruta).

Durante a execução desse contrato de prestação de serviços, que visa o tratamento de dados sensíveis de 100 pessoas, ocorre um problema de segurança causado por um hacker. Diante disso, os dados de 100 indivíduos ficam expostos. Friso, nesse passo, uma obviedade que passou ao largo da definição de "segurança" no glossário da LGPD e do seu artigo sobre a garantia respectiva: não existe computador 100% seguro, principalmente os que estão conectados à internet.

Pois bem. Seguindo a lei à risca, na hipótese, teríamos uma multa de 2% sobre o faturamento de R$ 5 milhões, o que seria igual a R$ 100 mil. Os leitores afoitos diriam: "ora, nada demais. Isso é muito barulho por nada". Contudo, a leitura atenta do inciso II acima transcrito termina com uma indexação alarmante, "por infração". Desta feita, in casu, se houve vazamento dos dados das 100 pessoas objeto do contrato de prestação de serviços, a multa seria de R$ 10 milhões! Oito vezes o patrimônio da empresa! Não é difícil imaginar a consequência: bancarrota! Ressalte-se, por oportuno, que não considerei os montantes de indenizações pessoais aos indivíduos, resultantes de ações individuais. Não vislumbrei, também, os valores astronômicos que poderiam advir de uma ação civil pública sobre o fato.".

Veja-se, portanto, que o art. 52, II, da LGPD, se aplicado sem razoabilidade pode colocar um entrave ao desenvolvimento econômico do país e, sobretudo, aos pequenos e médio empresários, que gozam de proteção constitucional diferenciada (CF, art. art.170, IX).

Estes pequenos e médios empresários serão compelidos a elevarem seus preços em razão do incremento no risco do negócio. Como se sabe, elevação do preço reduz a competitividade dos produtos por elas produzidos e induz a concentração de mercado.

Uma pequena e média empresa, além de não conseguir suportar os elevados custos financeiros que a regulação da proteção de dados causará sobre ela, ainda perderá a competitividade no nicho de mercado em que atua. Afinal, para o consumidor final não haverá um atrativo ou estímulo comercial para que ele deixe de comprar de um agente de grande porte para comprar com o de menor.

Isto quer dizer, portanto, que a própria lei que incentiva a inovação cria barreiras à entrada de novos players. Exigir, por exemplo, de uma empresa de pequeno porte uma série de medidas administrativas em pé de igualdade com empresas de grande porte, com capital financeiro e humano suficiente à cobertura dos custos de operação, incrementará sobremaneira os custos de transação, reduzindo a competitividade.

Não se trata de um simples incremento burocrático, mas de uma vasta teia de controles e protocolos a serem seguidos que encarecerá largamente os custos de operação, os quais, inevitavelmente, importarão em elevação dos preços dos produtos e serviços prestados por essas empresas. Empresas essas que, não raro, atuam em segmentos de mercado caracterizados pela baixa "elasticidade" na formação de seus preços, em que não há margem para a negociação no custo de operação ou mesmo na venda de um determinado serviço para consumidores finais.

Ao fim e ao cabo, é o próprio consumidor, objeto de maior tutela da LGPD, quem acaba suportando o preço mais elevado dos serviços a serem prestados pelos agentes econômicos privados que devem se submeter ao escrutínio da lei.

Esses perigos que a própria lei cria ao estímulo à "inovação" podem ser maiores se vistos sobre o ponto de vista da técnica de redação e o modo como a própria lei é construída. Isso porque, a LGPD é, em grande medida, principiológica, de "textura aberta". Utiliza diversos conceitos jurídicos indeterminados e abstratos que, na prática, abrem ampla margem de discricionariedade para quem interpreta a lei.

Veja-se, neste particular, que o § 1º do art. 52 da LGPD, apesar de estabelecer algumas balizas para que os agentes de tratamento de dados realizem a dosimetria das penas cominadas nos nove incisos do caput (do art. 52), traz alguns conceitos jurídicos indeterminados para aplicação das reprimendas aos infratores da lei. São exemplos: "a boa-fé do infrator" (inc. II), "a vantagem auferida ou pretendida pelo infrator" (inc. III) e "a adoção de política de boas práticas e governança" (inc. IX).

Aplicar sanção, ainda que administrativa, sem procedimentos integralmente seguros, com base conceito jurídicos abstratos como, como exemplo, "a boa fé do infrator" (inc. II) pode abrir margem para injustiças, arbitrariedades e ilegalidades.

De um lado, os agentes que devem tratar adequadamente os dados pessoais de terceiros (empresas e Poder Público) podem fazer múltiplas interpretações de um mesmo princípio ou comando normativo abstrato em razão da vagueza semântica a ele emprestado. De outro, o próprio cidadão titular do direito fundamental à autodeterminação informativa pode, ante o amplo espectro de interpretações que a ele se abrem acerca de um mesmo princípio, sentirem-se carentes de orientação de sentido.

Embora a "abstrativização" dos conceitos jurídicos seja uma realidade do mundo jurídico pós-positivista, não se pode perder de vista que as regras, aplicadas com base no tudo ou nada (all or nothing), são fundamentais para a segurança jurídica e estabilização das relações sociais, notadamente em matéria de procedimentos de fixação de sanção por descumprimento de normas cujo rigor técnico de ciência de dados é mais elevado do que questões propriamente jurídicas.

III. Inexistência de uma política pública que regule de forma minudente a discriminação algorítimica

Por outro lado, dentre os múltiplos problemas normativos de alcance prático que a LGPD parece esbarrar, o trato de dados automatizados, ou melhor, das discriminações algorítmicas, parece ser o mais grave e que mais decisivamente pode colocar em xeque os objetivos do marco normativo protetivo do direito à autodeterminação informativa.

Isso porque, nas sociedades digitais contemporâneas, em que as pluralidades e diversidades religiosas, étnicas, sociais, sexuais e ontológicas são cada vez mais amplas e complexas, o estabelecimento de compromissos regulatórios rigorosos e a criação de programas de governança algorítmica parece não ter sido objeto de maiores preocupações do legislador.

É dizer, não há outras previsões legislativas mais fecundas a propósito da discriminação algorítmica, exceto quanto à discussão relativa à revogação do § 3º do art. 20 da LGPD por ocasião da MP 869/18, convertida na lei 13.853/19, que outorgava aos titulares de dados pessoais a prerrogativa de requerer a revisão de decisões a seu respeito por "pessoas naturais", uma vez que "na prática, para que entes públicos ou privados atendam ao caput do art. 20 da LGPD num caso em que lhes seja solicitada a revisão de uma decisão automatizada, bastará que a decisão seja revisada por outro algoritmo. Em resumo, todo o processo de tratamento de dados pessoais poderá ser realizado por robôs, sem nenhuma interferência humana, nem mesmo quando solicitada sua revisão pelo titular dos dados."⁶

No mundo digital em que vivemos, em que nossas informações mais íntimas não raro se encontram disponíveis e acessíveis nas redes, constroem-se, por meio de padrões estatísticos de economia algorítmica e de análises de Big Data, inferências de ordem discriminatória que podem comprometer gravemente os múltiplos aspectos da construção da livre e autoinformada personalidade do indivíduo.

Informações estatísticas mal coletadas ou coletadas sob um determinado viés atuarial podem, com certa facilidade, não refletir exatamente a personalidade e todas as peculiaridades subjetivas de uma pessoa, de modo que podem reforçar ainda mais paradigmas sociais discriminatórios e contrários à inviolável garantia constitucional da honra e da personalidade de uma pessoa. É como alertam Laura Schertel Mendes e Marcela Mattiuzzo:

"Se alguém acredita que as mulheres são inapropriadas de modo geral para alguns tipos de atividade - por exemplo, para a engenharia mecânica - e essa pessoa programa um algoritmo que internaliza tal lógica, o output de tal algoritmo poderá apresentar essas mesmas inclinações, independentemente da qualidade do input. Mesmo em casos em que o algoritmo seja programado para identificar suas próprias correlações a partir da colheita de dados brutos já existentes - o que deveria eliminar o problema de transferência de predisposições do programador -, ainda assim poderia acabar reproduzindo correlações discriminatórias presentes em tais dados. Em outras palavras, os algoritmos poderiam absorver padrões discriminatórios presentes na sociedade e replicá-los como uma "verdade objetiva"⁷

E acrescentam as doutrinadoras, "na medida em que os algoritmos se baseiam, em grande parte, em discriminação estatística, isto é, na diferenciação de indivíduos baseada nas características de um grupo e na probabilidade de tal grupo agir de determinada maneira, torna-se indispensável compreender se os processos e critérios utilizados para classificar indivíduos são corretos, transparentes e, em última instância, justos."8

Todavia, apesar da centralidade e urgência de políticas públicas estatais sérias a respeito da regulação algorítmica, a LGPD, mais avançado diploma normativo a respeito da proteção de dados pessoais brasileiro, não traz de forma concreta e procedimental métodos adequados para se buscar possíveis soluções contra o potencial discriminatório de práticas baseadas em profiling e em decisões automatizadas.

Noutras palavras, é extremamente insuficiente a mera revisão (art. 20) de informações automatizadas por outro algoritmo ou robô para se tutelar juridicamente e de modo adequado as múltiplas informações a respeito dos diversos aspectos da vida de uma pessoa que se encontram sob os domínios algorítmicos de setores públicos e privados cujos dados podem ser tomados como balizas interpretativas de predições individuais e sociológicas.

O fato é, não obstante a construção de perfis atuarias nas redes seja o principal elemento que deva informar as preocupações estatais no que se refere à tutela da autodeterminação informativa, a LGPD não se preocupou, com toda a importância que o tema reclama, de criar mecanismos outros mais específicos de transparência e de accontability (prestação de contas).

Não há uma política pública, não há um compromisso regulatório e não há um programa de governança específico sobre decisões automatizadas e colhidas a partir de inferências sobre informações pessoais para a construção de padrões sociais e econômicos de comportamento. Há um grave risco de que o nobre escopo da lei seja esvaziado ante esse vácuo normativo.

Vale lembrar que "embora os algoritmos forneçam novos caminhos para que as pessoas incorporem a discriminação passada ou expressem seus preconceitos, a implantação de um sistema regulatório adequado não limita simplesmente a possibilidade de discriminação de algoritmos, mas tem também o potencial de transformar algoritmos em um poderoso contrapeso à discriminação humana e uma força positiva para o bem social."⁹.

Ao invés de caminharmos em direção à utilização eficiente dos algoritmos para a superação de preconceitos e violações a direitos fundamentais, parece que ao se omitir sobre um dos aspectos mais relevantes da nossa modernidade líquida digital, a LGPD cria um antídoto contra a sua própria eficiência protetiva da autodeterminação informativa.

IV. Os riscos de uma hermenêutica descontextualizada acerca de um novo marco normativo

Tudo isso se agrava quando se tem em conta que, embora dotada de motivações nobres e de fundamentos constitucionalmente relevantes, não há uma cultura no país de adequada proteção de dados. Diversamente, como se sabe, o que temos atualmente é um maciço desrespeito a dados pessoais de terceiros, seja por parte do Poder Público, seja por parte do setor privado, aliado a uma baixa confiabilidade nos bancos de dados desses agentes e no tratamento que a eles são dispensados.

Embora a lei e as sanções nela previstas sejam um poderoso instrumento de indução a adoção de determinados comportamentos, esse elemento por si só é insuficiente a uma mudança estrutural na tutela jurídica da privacidade de dados. É como ensinam os cânones da hermenêutica: texto requer contexto.

É dizer, sem o estabelecimento de um paradigma valorativo mínimo socialmente construído, carece de uma coesão segura qualquer tentativa transversal de estabelecimento de um padrão a ser seguido juridicamente, sobretudo porque sequer está constituído até o presente momento e em plena atividade um órgão ou autoridade destinada a promover métodos pedagógicos de orientação justamente no momento em que há mais desorientação dos direta e potencialmente afetados pelo conteúdo da lei.

Daí por que a aplicação dos comandos normativos previstos na LGPD de uma forma socialmente desinteressada pode, ao invés de proteger o consumidor e de tutelar a promoção do desenvolvimento tecnológico e da inovação, promover verdadeiro dano reverso àqueles a quem a lei visava proteger.

V. Conclusão

Eis aí, portanto, algumas críticas e constrangimentos epistemológicos ofertadas ao texto e ao contexto em que surge esse importante marco normativo protetivo de direitos fundamentais de primeira dimensão, como a honra e a vida privada, ressignificados na nossa pós-modernidade digital como autodeterminação informativa, com o objetivo de aperfeiçoar esse que talvez seja o diploma legal mais importante dos últimos anos. Trata-se de momento novo, singular, ainda muito desconhecido e que reclama de todos a máxima atenção para que direitos e atributos privados da personalidade não sejam objeto de maciças violações.

Tudo isso, mediante o respeito de iniciativas que não importem em limitação do constitucional exercício da atividade empresarial e à obtenção do lucro, tão importante para a geração do emprego, renda e prosperidade econômica do nosso país.

_________

1 In "21 lições para o século 21", Companhia das Letras, 1ª edição, p. 107.