Ganham corpo iniciativas contra o monitoramento na Internet

 

Algo mudou na Internet nos últimos anos, sem que muitos de nós tenhamos nos dado conta: a navegação na Web – algo que interessa e é visível somente a nós -, passou a ser o objeto de um monitoramento bastante intenso.

Sistemas que, literalmente, seguem o internauta durante seu tempo on-line, observando seus hábitos, colhendo dados pessoais e elaborando perfis, foram desenvolvidos e fazem uso de instrumentos como cookies, DPI, digital fingerprinting e vários outros.

O sucesso da indústria em desenvolver ferramentas de monitoramento que são tão sofisticadas quando praticamente invisíveis para o usuário final acentuou ao extremo umproblema: o usuário quase nunca sabe que está sendo monitorado e, mesmo se o sabe, pouco pode fazer para controlar a exposição e a utilização de seus dados pessoais.

A gravidade deste problema fez com que, recentemente, surgissem as primeiras iniciativas de peso para contrabalencear esta proliferação do monitoramento online. Estas iniciativas são tanto de ordem técnica, com o surgimento de ferramentas que procuram impedir ou controlar o monitoramento, quando jurídica, com a tentativa de regular este aspecto da privacidade online.

Algumas ferramentas técnicas estão sendo anunciadas e implementadas neste exato momento: O browser Firefox, da Mozilla, que já contava com extensões contra o monitoramento (como, entre outros, o add-on BetterPrivacy), agora já vem de fábrica em sua versão beta com a opção Do Not Track. A nova versão do Internet Explorer, da Microsoft (IE9), virá com um gerenciamento de monitoramento através de listas; e a Google, da mesma forma, desenvolveu para seu browser Chrome a extensão Keep My Opt-Outs.

Tais iniciativas por parte dos maiores fornecedores de browsers – que, afinal, são a própria interface entre o usuário e a Web na qual o monitoramento tem lugar – devem ser recebidas com entusiasmo por se saber que o problema foi diagnosticado. Ao mesmo tempo, cabe uma boa dose de ceticismo em relação à efetividade destas medidas. Todas elas são parciais, ou por dependerem da boa vontade do agente que realiza o monitoramento para funcionarem, por confiarem que o usuário possua conhecimentos técnicos (bastante) acima da média, ou meramente por serem ultrapassadas em relação às tecnologias atuais de monitoramento.

A insuficiência de soluções técnicas para o problema do monitoramento online, e também a parca eficácia de iniciativas de auto-regulação do setor de publicidade para equacioná-lo fizeram com que, para muitos, a necessidade de regulação do setor seja premente.

Neste cenário, destaque-se a recentíssima proposta de lei recentemente anunciada pelo deputado norte americano Jackie Speier, denominado Do Not Track Me Online Act. Esta lei, se aprovada, concederia à FTC (Federal Trade Commission) os poderes necessários para administrar efetivamente uma lista Do Not Track, isto é, de uma lista da qual podem fazer parte os internautas que não desejarem que sua navegação na Internet seja monitorada. A lista Do Not Track é inspirada na lista Do Not Call, que serve para o bloqueio de marketing telefônico, também administrada pela FTC – algo que existe também em muitos estados brasileiros.

O fato de que modelos técnicos de controle do monitoramento online são indispensáveis e muito bem-vindos não obscurece outro fato – de que eles não são e, dificilmente, serão suficientes. Em um setor em franca evolução técnica, é necessária a intervenção do legislador e do regulador para que estas práticas tornem-se efetivamente transparentes e enquadrem-se dentro da esfera de controle do usuário da Internet. Do contrário, parte-se para uma sequência de tentativas de remediar o problema causado por tecnologias já obsoletas, como bem observa o representante da Privacy International:

“Fixing online privacy is not about patching holes, it is about a change of attitude and commercial practices – until that happens we are simply bailing out a sinking ship with an egg cup.”

Registro de identidade é literalmente destruído pelo governo Britânico

 

O governo britânico colocou hoje uma pá de cal definitiva no projeto de um sistema de identidade único e de cédulas de identidade para os cidadãos britânicos.

A tentativa de introduzir uma cédula de identidade obrigatória e um registro nacional de identidade para os britânicos foi uma iniciativa pela qual o governo anterior, de Tony Blair, lutou vigorosamente por vários anos. A medida, no entanto, encontrou diversas barreiras para sua implementação e o atual governo – que manifestou-se frontalmente contra a implementação deste registro – encarregou-se de descontinuá-la. Nas palavras do vice-primeiro ministro Nick Clegg, esta posição teve como fundamento a defesa das liberdades individuais:

“The ID cards scheme was a direct assault on our liberty, something too precious to be tossed aside, and something which this government is determined to restore. The government is committed to rolling back as much state interference as humanly possible, and the destruction of the register is only the beginning.”

Interessante notar uma tendência a diferentes dinâmicas de utilização de registros centrais de identidade em diversos países. A descontinuidade do programa britânico contrasta, por exemplo, com a perspectiva de uma país como a Índia de cadastrar e fornecer uma cédula de identidade a cada um de seus cerca de 1,2 bilhões de habitantes.

A foto abaixo mostra o ministro Damian Green introduzindo em uma máquina trituradora um dos 500 discos rígidos que continham o registro de identidade. A foto é de SA Mathieson, do jornal The Guardian – que tem uma galeria de fotos da destruição disponível. Além da destruição dos dados em si, o sistema de cédulas de identidade foi descontinuado e as cédulas já emitidas não serão mais prova legal de identidade e nem serão aceitas em deslocamentos internacionais.

Os registros telefônicos como dados pessoais e a recente iniciativa da ANATEL

 

A polêmica em torno da iniciativa da ANATEL de solicitar acesso irrestrito aos registros das chamadas telefônicas fixas e móveis realizadas no Brasil – conforme revelado em matéria da Folha de S. Paulo – deixa clara a necessidade de determinar de forma clara o alcance das previsões normativas a respeito da privacidade e sigilo das comunicações no Brasil, fazendo valer efetivamente estes direitos para o cidadão brasileiro.

A ANATEL adquiriu recentemente equipamentos capazes de receber os dados brutos das chamadas efetuadas pela rede telefônica, dados estes que lhe seriam repassados diretamente pelas operadoras de telefonia e que se referem à totalidade do tráfego telefônico.

Estes dados não compreendem o conteúdo das comunicações em si, porém tudo o que diz respito ao registro da chamada: os números chamados e recebidos, a data, horário e duração das ligações, entre outras informações. No entender da Agência, o acesso a tais dados não representaria violação da privacidade ou do sigilo das comunicações, conforme ressaltado em duas notas de esclarecimento a respeito deste caso [nota 1] [nota2].

A bem da verdade, os dados brutos do tráfego telefônico, ainda que não estejam diretamente ligados aos dados cadastrais do titular de cada linha, podem ser bastante releveladores e úteis – e não somente para a fiscalização do sistema.

Estes registros de chamadas, por si só, podem ser capazes de revelar uma inteira rede de relacionamentos de uma pessoa. Podem indicar o local onde uma pessoa presumivelmente se encontrava em um determinado momento. Podem servir para traçar perfis de costumes e hábitos de uma pessoa. Podem revelar com quem uma pessoa se comunicou em uma determinada circunstância particular. E muito mais – não é difícil de se imaginar que, no fundo, este grande manancial de informações pessoais possa dizer muito mais sobre uma pessoa do que até mesmo o conteúdo de suas próprias comunicações. Não é por outro motivo que, em muitos países, os dados de conexão são considerados como dados pessoais e protegidos como tais.

O acúmulo de informações detalhadas e volumosas sobre nossos atos cotidianos – como acontece neste banco de dados – não é de forma alguma uma atividade isenta de riscos ao usuário do sistema telefônico.

A duplicação de uma base de dados tão volumosa e capaz de proporcionar informações pessoais sobre um imenso número de cidadãos, portanto, não pode ser tratada como uma questão meramente técnica. Esta duplicação eleva o risco de acessos indevidos, vazamento de dados e mesmo da sua utilização imprópria.

Um dos critérios fundamentais a serem levados em conta na manipulação de qualquer banco de dados é o da proporcionalidade. Por este critério, o risco que um banco de dados apresenta deve, além de ser minimizado ao máximo por meios técnicos e jurídicos, ser proporcional à utilidade que se pretende obter a partir do tratamento de dados pessoais. Neste caso específico, o que parece ocorrer é que, para a resolução de um quesito técnico, que é a fiscalização do sistema, aumenta-se sobremaneira o risco ao qual estão expostos os dados pessoais dos usuários do sistema telefônico. O reconhecimento deste risco sugere o recurso a outras alternativas, que evitem o tratamento de dados pessoais ou que lancem mão de técnicas que garantam, efetivamente, o anonimato e a impossibilidade real de identificação dos titulares das linhas telefônicas (o que parece não ser o caso do sistema atual, no qual os números telefônicos de origem e destino das chamadas fazem parte deste conjunto de dados brutos).

Felizmente, perece que iniciativas como esta estão cada vez mais chamando a atenção por oferecerem parcas salvaguardas à privacidade do cidadão brasileiro. Destaque-se que os riscos potenciais de tantas condutas que aumentam potencialmente o risco à privacidade fazem, hoje, parte das preocupações cotidianas de muitos observadores e cidadãos brasileiros. Foi justamente sobre este caso que escreveu, por exemplo, o professor Ronaldo Lemos, do Centro de Tecnologia e Sociedade da FGV-Rio, no blogFreedom to Thinker, da Universidade de Princeton:

Arguably, the implementation of these new provisions by Anatel puts Brazil one step closer to initiatives such as China’s practices of scanning SMS messages for “illegal or unhealthy” content, India’s demands for monitoring communications sent via BlackBerry smartphones, or other countries investing in technical infrastructure to surveil citizens. For the country that oncepledged allegiance to the Penguin, in reference to its support to online freedom, free software and free culture policies, the recent developments have been showing an unexpected Orwellian touch.

Um novo panorama normativo para a proteção de dados pessoais

 

Enquanto no Brasil encontra-se aberto o debate em torno de uma normativa geral sobre proteção de dados pessoais, algumas das principais normas transnacionais e nacionais a este respeito estão em pleno processo de revisão.

Diretiva 95/46/CE sobre proteção de dados, o documento no qual estão baseadas todas as normativas internas dos países-membros da União Europeia, será inteiramente revista e o processo de consulta pública, no qual foi possível enviar sugestões para sua revisão, acaba de encerrar no dia 15 de janeiro.

A Diretiva existe há 15 anos e é resultado de discussões e experiências nacionais sobre a regulação da proteção de dados que datam da década de 1970.

A decisão de rever estas normas teve como base alguns objetivos principais:

1. Modernizar o sistema europeu de proteção de dados, particularmente por conta da globalização do uso de dados pessoais e de novas tecnologias;

2. Reforçar os direitos dos cidadãos sobre seus dados e, ao mesmo tempo, diminuir as formalidades administrativas para sua utilização

3. Aumentar a clareza e coerência da normativa europeia.

Entre os pontos principais da revisão, segundo evidenciado pela comissária para direitos fundamentais da União Europeia, Viviane Reding, estão a revisão da aplicação das normas de proteção de dados nas áreas de segurança e prevenção de crimes (que passariam a obedecer a um conjunto de normas de proteção de dados, sem poderem ser excluídas); a garantia de proteção aos dados pessoais transferidos para fora da União Europeia, meios para se obter maior eficácia da normativa, entre outros.

A dinâmica do processo de revisão compreendeu a realização de uma conferência em 2009 pela Comissão Europeia, à qual seguiu uma primeira consulta pública sobre a base legislativa para a proteção do direito fundamental à proteção de dados na União Europeia no mesmo ano.

Em 4 de novembro de 2010, a Comissão Europeia divulgou comunicado com a sua estratégia em relação aos tópicos para reforma na normativa europeia de proteção de dados e abriu uma nova consulta pública, que encerrou-se no dia 15 de janeiro de 2011.

Outro documento normativo transnacional nesta matéria, a Convenção 108 do Conselho da Europa, encontra-se hoje em pleno processo de revisão.

A Convenção 108 data do início da década de 1980 é constitui-se na espinha dorsal de uma tradição normativa que influencia fortemente a legislação europeia e internacional sobre proteção de dados até hoje. Após 30 anos de sua publicação e tendo sido ratificada por 43 países (não somente países europeus, já que a Convenção pode ser ratificada por qualquer país interessado), foi aberto um processo de revisão que inclui também uma consulta pública aberta a todos os interessados.

O documento que justifica e lança as bases sobre a quais será realizada a revisão está disponível no site do Conselho da Europa e as sugestões poderão ser enviadas por qualquer interessado, até o dia 10 de março de 2011, para o email data.protection@coe.int .

Além destas duas consultas públicas, um outro documento de grande importância na área, que são as Linhas-Guia da OCDE sobre Privacidade (também de 1980) também começa a dar sinais de sua idade e é bastante provável que seu teor seja também brevemente revisto. Sinais neste sentido foram dados quando da comemoração dos 30 anos deste documento, em 2010, quando foram lançados os estudos para determinar a necessidade e o alcance de uma eventual revisão.

Este momento de intensa movimentação normativa se justifica pela crescente importância do estabelecimento de instrumentos eficazes para garantir a privacidade e a liberdade do cidadão diante de novas técnicas de tratamento de informação pessoal. Neste contexto, o Brasil, ainda que inicie as suas discussões com uma certa defasagem em relação a outros países, tem a grande vantagem de poder contar com uma rica experiência internacional que já conta décadas para que o perfil de sua própria normativa a respeito contemple as necessidades específicas do tratamento automatizado e massificado de dados pessoais