Não é difícil encontrar algumas posições predominantes nas atuais discussões sobre a regulação da privacidade dos dados pessoais. Tais como: a necessidade de prévia autorização de seu proprietário, seja para coleta, seja para sua circulação; a limitação de escopo na sua obtenção e uso e o direito de obter as próprias informações registradas em bases de dados de terceiros.
Não há demérito algum em procurar defender a privacidade de dados pessoais e estabelecer critérios e regras para seu uso. Mas o que pouco se discute é o quanto insuficiente e ineficaz essas regras são para tutelar tal proteção.
Todos sabemos ser impossível controlar o fluxo dos próprios dados pessoais que circulam na Internet. A famosa frase de Scott McNealy – “You have zero privacy anyway. Get over it”, dita em 1999, revela-se cada vez mais a única certeza que temos sobre o que acontece com as informações que geramos em rede, ou que são geradas por terceiros que observam nosso comportamento.
O problema não está no fato em si, mas sim em como somos incapazes de lidar com ele. Temos a ilusão que as leis e os tribunais, se acionados, podem organizar os comportamentos de coleta e uso de informações, imaginando um nível “aceitável” de segurança jurídica. E nem menciono o quanto estamos atrasados nesse tema no Brasil, pela falta de um marco legal específico para lidar com essas questões.
Nada contra a proteção dos dados pessoais sob a égide do direito da personalidade. Entendo ser justo e legítimo que cada um de nós queira ter controle sobre o que se refere ao nosso próprio “eu”. O problema é que ele simplesmente não confere a segurança jurídica necessária para lidar com esse tema, não somente para as pessoas que fornecem, como também para os terceiros que utilizam os dados e informações obtidos, em grande parte, de forma lícita.
O centro de gravidade dessa insegurança localiza-se principalmente na preocupação de que os dados serão utilizados “indevidamente” para vender produtos ou serviços. Afinal de contas, você não é o único que se espanta em encontrar um banner daquela companhia aérea que acabou de consultar em outro ambiente, oferecendo promoções para aquele lugar que você procurou em sua pesquisa. Mas o uso das informações pessoais que circulam na rede não tem e não terá apenas essa finalidade.
Estima-se que em 2020 teremos mais de 50 bilhões de equipamentos conectados e interagindo entre si, a era da chamada Internet das Coisas. Com essa incrível geração de dados, será possível encontrar soluções mais adequadas e eficientes para o funcionamento de máquinas e equipamentos, no surgimento de um mundo novo e desconhecido de todos nós. Para que isso seja possível, mais e mais dados serão coletados e utilizados. E, não diferente da situação atual, será absolutamente impossível controlar previamente esse fluxo de informações.
O que faz sentido discutir é que tipos de dados devem permanecer sob a égide do direito da personalidade e que tipos de dados devem ser considerados como de uso ou acesso comum, ou mesmo de utilidade pública. Com isso quero dizer que não podemos tratar da mesma forma a proteção ao nome, sexo, opção religiosa e endereço (dados pessoais que revelam muito sobre meu “eu” e minha personalidade) daqueles dados obtidos quando alguém dá entrada no pronto socorro de um hospital: tipo de enfermidade, tempo de uso leito, quais remédios, dentre outros. Respeitado o anonimato de tais informações, sua análise e utilização são importantes para um melhor serviço hospitalar. Mas é tão difícil discordar dessas afirmações, quanto aceitar que não podemos ou devemos restringir o uso dos dados que geramos para contribuir para um mundo melhor e que pode reverter positivamente para nosso próprio bem-estar.
Não se trata de banalizar a discussão como se o resumo dos argumentos fosse a escolha entre os famosos sistemas “op-in” ou “opt-out”. Mas entendo ser mais importante regular a coleta e uso de informações e dados pessoais com um enfoque menos acentuado na prévia autorização e mais acentuado nas responsabilidades e penas aplicáveis nas hipóteses que possam gerar danos pessoais ou coletivos. Se quisermos alcançar maior segurança jurídica a todos os envolvidos (pessoas, empresas e governo) e buscar um ambiente propício à realidade atual e futura, é melhor trabalharmos em marcos regulatórios que indiquem com clareza qual a responsabilidade de cada um nesse processo e as consequências de um mau uso, do que continuar a trabalhar por uma falsa segurança no controle prévio de dados pessoais, como se esse direito proprietário, por si só, fosse suficiente para garantir a melhor regulação sobre o tema. Afinal de contas, no mundo real, esse controle não existe (tente superar…).
*O autor é sócio do Azevedo Sette Advogados em São Paulo e Professor Doutor da PUC/SP.