segunda-feira, 28 de março de 2011

Dados Pessoais.BR: questão de última hora.

O Ministério da Justiça do Brasil lançou para debate público, desde 2010, o anteprojeto de lei sobre  proteção de dados pessoais e privacidade. A consulta pública dura até 31 de março de 2011 e pode ser acompanhada e dabatida no site do projeto. Este post é uma tentativa de contribuição e reflexão de última hora, ainda que aponte, por falta de competência jurídica no assunto, mais problemas e dúvidas do que soluções. Vou me concentrar em um ponto - a relação entre dado pessoal e identificação - focalizando a circulação e o tratamento de dados pessoais na Internet.
Dado pessoal e identificação: definição e limites
Definir o que é dado pessoal hoje, sobretudo no âmbito da Internet, é um dos grandes problemas para qualquer tentativa de regulação, uma vez que não se trata de um "atributo" estável, mas um termo controverso, em constante redefinição e disputa por diferentes atores econômicos, jurídicos, tecnológicos etc. No contexto da comunicação digital na Internet, essa disputa é ainda mais acirrada e acelerada, onde concorrem uma série de práticas e ações cotdianas, de natureza mais ou menos distribuída, que a todo momento colocam em jogo seja uma nova forma de produção e circulação de dados pessoais, seja um novo meio de monitoramento, tratamento, captura ou utilização desses dados. Além disso, no contexto da chamada web 2.0, em que uma dimensão expressiva dos dados é produzida pelos seus usuários, as fronteiras que delimitam o que é um dado pessoal se tornam bastante difíceis de demarcar. Dentre as inúmeras questões a serem exploradas aí, destaco o vínculo entre dado pessoal e identificação, proposto neste e em inúmeros outros projetos de lei similares mundo afora.
O nosso ante-projeto de lei define dado pessoal como: "qualquer informação relativa a uma pessoa identificada ou identificável, direta ou indiretamente, incluindo todo endereço ou número de identificação de um terminal utilizado para conexão a uma rede de computadores".
Vincular a definição de dado pessoal à possibilidade de identificação me parece ao mesmo tempo fundamental e problemático, se considerarmos o monitoramento e as apropriações correntes de dados pessoais na Internet. Fundamental porque é absolutamente necessário assegurar o direito à proteção de dados pessoais no sentido de permitir ao indivíduo não ser identificado ou identificável. Problemático porque: a) no âmbito das redes de comunicação digital, especialmente a Internet, as possibilidades de rastreamento que podem levar à identificação dos indivíduos são inúmeras, tornando difícil demarcar o que seria uma informação efetivamente anônima e uma informação que possa levar à identificação de indivíduos. O termo "identificável", assim como a especificação "direta ou indiretamente" mostram uma atenção, no texto do projeto, para esta dificuldade, mas não estou certa de que ela está contornada. Um segundo problema do vínculo entre dado pessoal e identificação consiste b) nas possibilidades de uso de dados pessoais que impliquem categorização e triagem não dos indivíduos que os geraram (o que estaria atrelado à identificação), mas de indivíduos que se enquadrem em perfis gerados por dados pessoais anonimizados. Sabe-se que uma imensa parcela do tratamento e uso de dados pessoais coletados de forma automatizada na Internet constituem bancos de dados que são anonimizados e agregados, submetidos a técnicas de "profiling" para categorizar e agir sobre o campo de escolhas, decisões e ações de indivíduos ou grupos específicos. Dados transacionais e comportamentais de usuários, por exemplo, são coletados, anonimizados e tratados de modo orientar ofertas diferenciadas de produtos, concessão ou veto de acesso a serviços, investimentos diferenciados sobre grupos ou indivíduos classificados segundo poder de compra, interesses, preferências políticas, padrões comportamentais etc. A questão é: devem ter os indivíduos o direito de escolher se desejam ou não que seus dados pessoais sejam coletados, ainda que sejam em seguida anonimizados, a depender do tipo de utilização declarado? 
Não ficou claro para mim se esta opção está explicitamente prevista em algum dos artigos do anteprojeto de lei ou se este entende que o problema que escapa a tal regulação, uma vez que os dados deixam de ser considerados pessoais quando são anonimizados. Se sim, retorna o problema da identificação como marco central da definição de dado pessoal. Se considerarmos que uma política de dados pessoais deva implicar também o controle dos indivíduos sobre as informações que ele gera, caberia o direito de negar a coleta automatizada dos seus dados por sites e corporações cujos propósitos não lhe pareçam interessantes ou desejáveis (sei que isto está previsto no ante-projeto, mas não entendi se está previsto mesmo quando os dados são anonimizados).

No pano de fundo desta questão há a hipótese, ainda em exploração, de que boa parte do controle de dados pessoais hoje se dá em estratos aquém ou além dos procedimentos 'clássico-modernos' de identificação, atuando em níveis infra e supra individual. Claro que, curiosamente, essa modalidade de  controle convive com uma sofisticação de dispositivos de identificação baseados no monitoramento e no tratamento de dados pessoais, o que justifica a importância de regulações que 'respondam' à complexidade da dinâmica de produção, circulação e controle de dados em nossas sociedades.

quinta-feira, 17 de março de 2011

O Japão é o mundo: natureza, tecnologia e política

Um post às pressas. O terrível desastre natural no Japão - terremoto e tsnunami - traz consigo dois  desastres adicionais, um técnico, outro político. Natureza, tecnologia e política, três termos que modernamente mantemos em domínios apartados mostram-se, em seus desastres, panes, excessos, extremamente imbricados. O desastre natural, ainda que excessivo e de certa forma surpreendente, já não habita mais o reino do que transcende à ação humana, mas do que nos lembra da rede complexa de interconexões entre nossas ações locais e algo tão global como "a natureza". Mas a presença de usinas nucleares em territórios de risco, como o Japão, representa uma outra concepção de relação entre natureza e tecnologia, onde se supõe que esta pode dominar, domar ou ao menos "resistir" às intempéries da natureza. Outro mito moderno da técnica que desaba tragicamente, e ainda uma vez, em solo japonês. O desastre político consiste precisamente na tentativa de compreender ou contornar o problema mantendo apartados esses processos extremamente encadeados, supondo que a questão é, ou de ordem tecnocientífica, ou de ordem natural, ou de ordem política, mal-entendendo esta última como a ordem dos interesses que vêm 'manipular' ou 'macular' o bom curso de uma ação supostamente tecnocientífica neutra e desinteressada. Contudo, muito ao contrário, o enfrentamento deste triplo desastre não pode consistir num afastamento ou neutralização das ações e interesses políticos. A urgência e gravidade do desastre requerem, antes, uma intensificação dos debates e negociações políticos à condição de que esta seja entendida não como oposta ou exterior à natureza e à tecnologia, mas como cosmopolítica (Stengers e Latour), como a arte de ampliar o coletivo, o número de seres que aí são capazes de agir e de falar: homens, coisas, entes naturais não humanos. Nesta semana, no curso de Bruno Latour precisamente sobre Filosofia Política da Natureza, sob o impacto dos desastres no Japão, o texto de referência era "A grande transformação", clássico de 1944, do historiador (ou antropólogo) da economia, Karl Polanyi. A partir do desmonte que o autor faz da utopia do mercado auto-regulador, Latour volta e meia "desviava" o problema para o presente atualíssimo, chamando a atenção para a necessidade de se passar da economia à ecologia, uma ecologia política, definindo política como "obtenção de acordos e abertura de possíveis". Uma das últimas frases desta obra em ano de fins de guerra ressoava como se pudesse ser dita hoje - o autor afirma que malgrado todo o "desenvolvimento econômico", "o homem resta fora de sua habitação". Muitos japoneses vivem hoje concretamente essa "evacuação" de sua própria morada. Mas o Japão é o mundo e o que está em jogo é nada menos que a nossa possibilidade de habitá-lo.

sexta-feira, 4 de março de 2011

Internet.FR: arquivo, identificação e vigilância


Após a Hadopi e a Loppsi 2, duas leis francesas recentes de caráter securitário com implicações sérias para a liberdade na Internet, um decreto rapidamente rebatizado de "Big Brother" estende a todos os internautas procedimentos de suspeição e vigilância historicamente exercidos por regimes autoritários ou reservados a indivíduos suspeitos. O decreto prevê a conservação de dados de conexão por parte de provedores, servidores, hosts e prestadores de serviços na Internet, tendo em vista "a identificação de toda pessoa física ou jurídica que tenha contribuído para a produção de um conteúdo on-line". Tais dados devem ser conservados por um ano e são bastante detalhados. Conforme matéria do PCInpact, eis os tipos de dados que devem ser retidos:
"1. Pour les fournisseurs d’accès à Internet spécifiquement :
  • L'identifiant de la connexion
  • L'identifiant attribué par ces personnes (ndlr : les FAI) à l'abonné
  • L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
  • Les dates et heure de début et de fin de la connexion
  • Les caractéristiques de la ligne de l'abonné
2. Pour les hébergeurs spécifiquement :
  • L'identifiant de la connexion à l'origine de la communication
  • L'identifiant attribué par le système d'information au contenu, objet de l'opération
  • Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
  • La nature de l'opération
  • Les date et heure de l'opération
  • L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
3. Pour les FAI et les hébergeurs : les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte :
  • Au moment de la création du compte, l'identifiant de cette connexion
  • Les nom et prénom ou la raison sociale
  • Les adresses postales associées
  • Les pseudonymes utilisés
  • Les adresses de courrier électronique ou de compte associées
  • Les numéros de téléphone
  • Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour
4. Pour les FAI et les hébergeurs : lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
  • Le type de paiement utilisé
  • La référence du paiement
  • Le montant
  • La date et l'heure de la transaction
[Le décret précise que les données des parties 3 et 4 ci-dessus « ne doivent être conservées que dans la mesure où les personnes les collectent habituellement ».]"

É espantoso o conservadorismo frente a Internet na França, especialmente reforçado pelo "drive" securitário do atual governo. Mas cabe notar que este conservadorismo não se restringe a medidas políticas conjunturais, podendo ser lido em muitos textos de "pensadores" da comunicação e das novas mídias ou mesmo em parte do ativismo que busca "defender" a Internet dos abusos e perigos que supostamente assombram a Internet, com boas exceções, evidentemente. A minha impressão, dita muito superficialmente, é que boa parte do discurso sobre a Internet na França a considera ou uma rede relativamente desprezível (seja em termos cognitivos, políticos ou sociais), ou um lugar cheio de perigos. Assunto para outro post.
Para um bom passeio pela "deriva securitária" que marca os últimos 10 anos da Internet francesa, vale ler o artigo de Jean Marc Manach.