O Ministério da Justiça do Brasil lançou para debate público, desde 2010, o anteprojeto de lei sobre proteção de dados pessoais e privacidade. A consulta pública dura até 31 de março de 2011 e pode ser acompanhada e dabatida no site do projeto. Este post é uma tentativa de contribuição e reflexão de última hora, ainda que aponte, por falta de competência jurídica no assunto, mais problemas e dúvidas do que soluções. Vou me concentrar em um ponto - a relação entre dado pessoal e identificação - focalizando a circulação e o tratamento de dados pessoais na Internet.
Dado pessoal e identificação: definição e limites
Definir o que é dado pessoal hoje, sobretudo no âmbito da Internet, é um dos grandes problemas para qualquer tentativa de regulação, uma vez que não se trata de um "atributo" estável, mas um termo controverso, em constante redefinição e disputa por diferentes atores econômicos, jurídicos, tecnológicos etc. No contexto da comunicação digital na Internet, essa disputa é ainda mais acirrada e acelerada, onde concorrem uma série de práticas e ações cotdianas, de natureza mais ou menos distribuída, que a todo momento colocam em jogo seja uma nova forma de produção e circulação de dados pessoais, seja um novo meio de monitoramento, tratamento, captura ou utilização desses dados. Além disso, no contexto da chamada web 2.0, em que uma dimensão expressiva dos dados é produzida pelos seus usuários, as fronteiras que delimitam o que é um dado pessoal se tornam bastante difíceis de demarcar. Dentre as inúmeras questões a serem exploradas aí, destaco o vínculo entre dado pessoal e identificação, proposto neste e em inúmeros outros projetos de lei similares mundo afora.
O nosso ante-projeto de lei define dado pessoal como: "qualquer informação relativa a uma pessoa identificada ou identificável, direta ou indiretamente, incluindo todo endereço ou número de identificação de um terminal utilizado para conexão a uma rede de computadores".
Vincular a definição de dado pessoal à possibilidade de identificação me parece ao mesmo tempo fundamental e problemático, se considerarmos o monitoramento e as apropriações correntes de dados pessoais na Internet. Fundamental porque é absolutamente necessário assegurar o direito à proteção de dados pessoais no sentido de permitir ao indivíduo não ser identificado ou identificável. Problemático porque: a) no âmbito das redes de comunicação digital, especialmente a Internet, as possibilidades de rastreamento que podem levar à identificação dos indivíduos são inúmeras, tornando difícil demarcar o que seria uma informação efetivamente anônima e uma informação que possa levar à identificação de indivíduos. O termo "identificável", assim como a especificação "direta ou indiretamente" mostram uma atenção, no texto do projeto, para esta dificuldade, mas não estou certa de que ela está contornada. Um segundo problema do vínculo entre dado pessoal e identificação consiste b) nas possibilidades de uso de dados pessoais que impliquem categorização e triagem não dos indivíduos que os geraram (o que estaria atrelado à identificação), mas de indivíduos que se enquadrem em perfis gerados por dados pessoais anonimizados. Sabe-se que uma imensa parcela do tratamento e uso de dados pessoais coletados de forma automatizada na Internet constituem bancos de dados que são anonimizados e agregados, submetidos a técnicas de "profiling" para categorizar e agir sobre o campo de escolhas, decisões e ações de indivíduos ou grupos específicos. Dados transacionais e comportamentais de usuários, por exemplo, são coletados, anonimizados e tratados de modo orientar ofertas diferenciadas de produtos, concessão ou veto de acesso a serviços, investimentos diferenciados sobre grupos ou indivíduos classificados segundo poder de compra, interesses, preferências políticas, padrões comportamentais etc. A questão é: devem ter os indivíduos o direito de escolher se desejam ou não que seus dados pessoais sejam coletados, ainda que sejam em seguida anonimizados, a depender do tipo de utilização declarado?
Não ficou claro para mim se esta opção está explicitamente prevista em algum dos artigos do anteprojeto de lei ou se este entende que o problema que escapa a tal regulação, uma vez que os dados deixam de ser considerados pessoais quando são anonimizados. Se sim, retorna o problema da identificação como marco central da definição de dado pessoal. Se considerarmos que uma política de dados pessoais deva implicar também o controle dos indivíduos sobre as informações que ele gera, caberia o direito de negar a coleta automatizada dos seus dados por sites e corporações cujos propósitos não lhe pareçam interessantes ou desejáveis (sei que isto está previsto no ante-projeto, mas não entendi se está previsto mesmo quando os dados são anonimizados).
No pano de fundo desta questão há a hipótese, ainda em exploração, de que boa parte do controle de dados pessoais hoje se dá em estratos aquém ou além dos procedimentos 'clássico-modernos' de identificação, atuando em níveis infra e supra individual. Claro que, curiosamente, essa modalidade de controle convive com uma sofisticação de dispositivos de identificação baseados no monitoramento e no tratamento de dados pessoais, o que justifica a importância de regulações que 'respondam' à complexidade da dinâmica de produção, circulação e controle de dados em nossas sociedades.