A GDPR (Regulamento Geral sobre a Proteção de Dados, na sigla em inglês) regulamenta a privacidade e a proteção de dados pessoais em toda a União Europeia e no Espaço Econômico Europeu, uma expansão do mercado interno da UE. A GDPR foi criada em 2018 e serviu de inspiração para uma série de legislações mundo afora, inclusive no Brasil.
No nosso caso, foi criada a Lei Geral de Proteção de Dados, que regula as atividades de tratamento de dados pessoais, e a Autoridade Nacional de Proteção de Dados, responsável por fiscalizar e aplicar sanções. A lei foi assinada por Michel Temer em 2018.
Em função do marco institucional representado pela GDPR, as confusões sobre o conceito de propriedade privada e os efeitos negativos sobre a liberdade individual presentes no regulamento europeu se estendem à LGPD. O artigo a seguir aborda as falhas e paradoxos do regulamento e, nesse sentido, se aplica perfeitamente ao caso brasileiro.
_________________________________________________________
Aumentando o governo em nome da proteção de dados
O Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que entrou em vigor em 2016, é um dos esquemas legislativos mais detalhados no campo da proteção de dados. Este artigo discute duas objeções libertárias em sua abordagem. Em primeiro lugar, defendo que a noção de “certo” adotada no GDPR é falha. Em segundo lugar, mostro que o GDPR não protege indivíduos de governos e corporações sedentos por dados. No final, a legislação de proteção de dados torna as pessoas fortes na teoria, mas fracas na prática, ao mesmo tempo em que torna poderosas entidades privadas e públicas fracas na teoria, mas fortes na prática.
Uma noção errada sobre o “certo”
O GDPR visa proteger os direitos individuais fundamentais relacionados à coleta e processamento de dados pessoais. Estes incluem o direito de acesso, o direito à retificação, o direito ao apagamento, o direito a ser esquecido, o direito à limitação do tratamento, o direito à portabilidade dos dados, o direito à oposição e o direito a não ser sujeito a decisões automatizadas.
O pensamento libertário sustenta que os direitos humanos são direitos naturais e que os direitos naturais são direitos de propriedade. O princípio da não agressão afirma que qualquer iniciativa de violência, ou seja, qualquer agressão contra a propriedade, é ilegítima. No entanto, alguns dos direitos fundamentais protegidos pelo GDPR violam o princípio da não agressão. Por exemplo, o direito de ser esquecido pode ser invocado por um indivíduo para forçar empresas de tecnologia, como provedores de mecanismos de busca, a ocultar resultados sobre ele. O GDPR parece adotar a visão de que os titulares dos dados são proprietários de seus dados pessoais, mas isso é discutível.
Por exemplo, um usuário que interage com o hardware e software do Google, produzindo dados pessoais, não é o único proprietário desses dados, porque os gerou usando a infraestrutura do Google. Isso vale para quaisquer dados pessoais produzidos pela interação com outras pessoas, tanto online quanto pessoalmente. Além disso, quando o Google mostra informações publicamente disponíveis em seus resultados de pesquisa, dificilmente está violando os direitos de propriedade de alguém.
De uma perspectiva libertária, é um grande exagero afirmar que a lei deveria dar aos usuários o “direito” de forçar as empresas a excluir dados sobre eles, porque isso implica que essas empresas não são livres para usar sua propriedade (seu hardware e software) e informações públicas que desejarem. Objeções semelhantes também podem ser feitas contra outros “direitos”. O fato de pelo menos alguns dos “direitos fundamentais” protegidos pelo GDPR não poderem ser reduzidos a direitos de propriedade é altamente problemático: na ausência de direitos de propriedade bem definidos, o GDPR pode ser usado para legalizar a agressão contra pessoas e entidades.
A ineficácia pratica do GDPR
O GDPR visa proteger os indivíduos da exploração de dados pessoais, mas, como costuma acontecer com a regulamentação estatal, coloca os indivíduos em perigo e favorece grandes empresas e os governos.
Em primeiro lugar, o GDPR entende a privacidade como um direito fundamental, mas, na maioria dos casos, deve ser invocado pelos indivíduos para ser aplicado. Por exemplo, no caso do processamento automatizado de dados, os usuários têm o direito de solicitar intervenção humana antes de tomar uma decisão. Dado que a grande maioria das pessoas não tem tempo, recursos e capacidade para se envolver ativamente com as dezenas ou centenas de entidades privadas e públicas que lidam com seus dados, isso equivale a dar aos controladores e burocratas carta branca em relação ao processamento de dados em geral e ao processamento automatizado em particular.
Em segundo lugar, o GDPR faz pouco ou nada contra o abuso de poder que pode vir do estado. Os direitos de privacidade dos usuários podem ser suspensos ou restringidos toda vez que houver algum tipo de problema de segurança pública ou algum tipo de interesse legítimo. Por exemplo, o artigo 19 do GDPR:
“A presente regulação deverá prever a possibilidade de os Estados-Membros, em condições específicas, restringirem por lei certas obrigações e direitos, sempre que tal restrição constitua uma medida necessária e proporcionada numa sociedade democrática para salvaguardar interesses específicos importantes, incluindo a segurança pública e a prevenção, investigação, detecção ou a persecução de infrações penais ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. Isso é relevante, por exemplo, no âmbito do combate à lavagem de dinheiro ou nas atividades de laboratórios forenses.”
Esses tipos de cláusulas parecem atraentes, mas estão cheias de palavras vazias (“democracia”, “interesses importantes”, “segurança pública” e similares), que são encontradas várias vezes no GDPR. Por um lado, as instituições públicas devem proteger os direitos de privacidade dos indivíduos; por outro lado, as instituições públicas podem isentar-se das obrigações previstas no GDPR por razões de “segurança nacional”. É um pouco irônico que indivíduos sejam atribuídos a tantos “direitos” que governos e empresas sejam legalmente autorizados a anulá-los de várias maneiras diferentes. Os reguladores não estão protegendo os dados quando abrem espaço para exceções e dão a si mesmos e às empresas privadas sinal verde para ignorar a privacidade dos indivíduos: eles estão apenas legalizando essas “exceções”.
Em terceiro lugar, o GDPR é muito claro ao afirmar que o dever mais importante dos controladores, processadores, responsáveis pela proteção de dados, o Conselho Europeu de Proteção de Dados e similares é garantir a conformidade com o GDPR. No entanto, cumprir o GDPR é uma coisa e proteger os dados de forma eficaz é outra.
Por exemplo, Daniel Solove aponta que os requisitos de consentimento do GDPR são fictícios porque a escala do processamento de dados é tão avassaladora que os indivíduos não podem lidar com centenas de avisos de privacidade. Além disso, os indivíduos são obrigados a tomar medidas ativas para invocar seus direitos, algo que a maioria das pessoas não quer e não pode fazer. Além disso, o GDPR estabelece muitos fundamentos legais para processar dados pessoais que não exigem consentimento individual, como interesse legítimo ou segurança pública. No final, desde que as entidades privadas e públicas cumpram formalmente o GDPR, elas não precisam se preocupar muito com as reais preferências individuais e com a real proteção de dados.
O paradoxo do GDPR
O GDPR vai além e fica aquém. Por um lado, vai além porque os indivíduos recebem “direitos” que podem ser usados para violar a propriedade de outras entidades; a questão principal é que os direitos de propriedade dos dados pessoais não estão bem definidos. Por outro lado, o GDPR fica aquém porque os “direitos de privacidade” individuais, conforme definidos pelos reguladores da União Europeia, são uma ficção que pode ser legalmente anulada por corporações e por instituições públicas por vários motivos.
O paradoxo do GDPR é que ele dá aos indivíduos direitos que eles não têm, ao mesmo tempo em que prejudica sua capacidade prática de proteger dados pessoais de terceiros poderosos. Por outro lado, os processadores públicos e privados não têm direitos de propriedade legítimos, mas são protegidos por lei em sua missão diária de tirar proveito de dados pessoais. Sem uma definição clara de direitos de propriedade e privacidade no domínio dos dados pessoais, os regulamentos só podem gerar confusão e paradoxos.
Fonte: Instituto Mises Brasil
