A inovação impulsionada por dados é fundamental para o crescimento econômico. Mas a que custo? Como sociedade, somos facilmente persuadidos a comercializar nossa privacidade para usar aplicativos que rastreiam cada movimento nosso. Optar por sair é quase impossível. Em um mundo ideal, teríamos leis de privacidade em vigor para proteger totalmente os consumidores que têm poder de barganha limitado, e ajudar a economia a prosperar.
Com este difícil equilíbrio em mente, o Canadá, juntamente com outras jurisdições, está atualizando sua legislação de privacidade do consumidor, que rege como as empresas podem coletar, processar e usar dados. No mês passado, o governo federal introduziu o Projeto de Lei C-11, uma nova Lei de Proteção à Privacidade do Consumidor (CPPA). Se aprovada, ela substituirá o regime atual, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), que a maioria das empresas concorda que não é mais adequada para o propósito após 20 anos de regras de conjunto.
Será que a nova estrutura irá se adequar? A resposta ainda não está clara. Os especialistas em privacidade ainda estão considerando as possíveis conseqüências do projeto de lei. De qualquer forma, muito será revisado à medida que o projeto de lei for passando pelo processo legislativo.
Entre suas notáveis mudanças, o Escritório do Comissário de Privacidade ganha muito mais poder de fogo, e as penalidades por transgressões aumentarão substancialmente, cuja falta vem reclamando há anos. A linguagem do consentimento, o componente crítico da legislação de privacidade, se tornará mais clara.
Mas ainda existe uma omissão gritante: O Projeto de Lei C-11 não reconhece explicitamente a privacidade como um direito humano, nem dá precedência aos direitos de privacidade sobre as considerações comerciais. “Eu acho que eles deveriam apenas dizê-lo”, diz a professora de direito da Universidade de Ottawa Teresa Scassa. “Estaria melhor situada em um preâmbulo à legislação ou declaração de propósito que “fala sobre o direito humano à privacidade que se vincula a outros direitos humanos porque é isso que realmente é importante”. Não se trata apenas dos direitos individuais à privacidade, mas é também um reconhecimento de que o abuso de dados pessoais pode afetar a sociedade como um todo”.
Emily Laidlaw, professora associada da Universidade de Calgary, chamou-o de “uma oportunidade perdida para uma reforma legislativa mais profunda”.
Uma abordagem de direitos humanos poderia servir como um controle eficaz dos perigos potenciais da tecnologia, assegurando ao mesmo tempo que as empresas possam funcionar e prosperar. O Comissário Federal de Privacidade Daniel Therrien tem defendido há muito tempo um regime baseado em direitos que coloca os consumidores no centro. “Geralmente, é possível alcançar simultaneamente tanto objetivos comerciais quanto a proteção da privacidade”, disse ele em uma declaração após a apresentação do projeto de lei. Entretanto, onde há um conflito, pensamos que os direitos devem prevalecer”.
“A boa legislação equilibra interesses legítimos com direitos o tempo todo”, disse o professor assistente Ignacio Cofone da Universidade McGill, em um e-mail. “É certamente possível legislar de uma forma que torne os interesses comerciais legítimos compatíveis com os direitos fundamentais, como a privacidade”.
Então, por que a relutância em incluir os direitos humanos? Uma teoria é que os formuladores de políticas canadenses sentem que suas mãos estão atadas por causa das restrições constitucionais que ditam a jurisdição provincial sobre direitos civis e proteção ao consumidor. Na realidade, o quanto o governo é prejudicado é discutível.
Outra razão para o faturamento mais alto da indústria é que o Canadá, que está acima de seu peso no setor de tecnologia global, precisa acertar esta legislação em prol da prosperidade. As atividades econômicas digitais atingiram US$109,7 bilhões, ou 5,5% da atividade econômica total em 2017, maior em proporção da economia do que a mineração, de acordo com a StatsCan. A inteligência artificial, onde o Canadá é um líder mundial, é uma luz particularmente brilhante.
Para ter certeza, manter a confiança dos consumidores é a chave do sucesso, dizem os observadores do setor, e uma forte legislação de privacidade é essencial.
“Nosso governo está ciente de que a economia digital é um grande motor para o PIB e o será no futuro”, disse Gillian Stacey, sócia da Davies Ward Phillips & Vineberg. Desde o início da revisão da privacidade, os formuladores de políticas “declararam desde o início que é um equilíbrio entre a promoção da inovação e a proteção da privacidade”. O governo acredita que você pode ter uma indústria tecnológica próspera e proteção da privacidade”.
Mas o potencial de dano desta tecnologia é significativo. As diretrizes atuais – e provavelmente qualquer nova legislação – especifica que a publicidade dirigida não deve utilizar dados pessoais sensíveis, como saúde ou detalhes como raça ou idade. De fato, há quase uma década existem no Canadá regras que ditam a segmentação de comportamento online. Mas até agora, elas têm sido difíceis de serem aplicadas, e não está claro como a tecnologia pode evoluir para contorná-las.
Muita coleta de dados acontece no curso normal dos negócios. As empresas dependem de dados para melhor comunicar e atender os clientes, ou para detectar fraudes e crimes financeiros. Mas não é nenhum segredo que a invasão de privacidade está embutida em grande parte do modelo de negócios atual, que depende da coleta do maior número possível de detalhes pessoais para treinar algoritmos e identificar clientes potenciais. Ela impulsionou as empresas da Big Tech para a estratosfera de bilhões de dólares.
Muitas empresas canadenses estão agora envolvidas em algum aspecto desta coleta de dados, desde os próprios dispositivos até os fabricantes de jogos e sites pornôs que mantêm os olhos colados nas telas dos corretores de dados que vendem informações. De fato, a MindGeek, sediada em Montreal, proprietária da Pornhub, é uma das maiores empresas de entretenimento adulto do mundo.
Conforme descrito ao Parlamento e a muitos meios de comunicação, a tecnologia atual se tornou tão refinada que as empresas podem criar mensagens que ampliam os perfis psicológicos individuais e as circunstâncias particulares da vida, como se tornarem novos pais. Os sistemas são projetados para prever o que os consumidores podem querer em seguida com base em seu comportamento on-line, desde filmes até enredos funerários. Alguns se preocupam que este processo possa facilmente cair na modificação e manipulação do humor, com sérias consequências potenciais para a democracia. Os reguladores estão lutando para acompanhar o ritmo.
O fortalecimento das leis de privacidade canadenses também é necessário para o comércio. O alinhamento das regras com outras jurisdições influentes, como a Lei de Privacidade do Consumidor da Califórnia e o rigoroso Regulamento Geral de Proteção de Dados da Europa, é crucial para o fluxo de dados internacionais. Este último exige que as regras de privacidade, tanto na esfera comercial quanto governamental, sejam igualmente robustas para manter a “adequação”. De fato, países em todos os lugares estão correndo para reformular as políticas de modo a não se desajustarem dos grandes mercados.
A GDPR, que está enraizada na legislação de direitos humanos, tem exigências e obrigações mais rígidas quando se trata de coletar e processar dados pessoais. Entre outros objetivos importantes está a minimização dos dados. As organizações não podem armazenar ou reutilizar dados pessoais além de seu escopo original, disse Mariano delli Santi, Diretor Jurídico e de Políticas do Open Rights Group, com sede em Londres, em um e-mail. Além disso, sob a GDPR, os direitos das pessoas são superiores aos interesses econômicos.
E a aplicação da GDPR não funciona apenas no papel, algo de que alguns defensores da privacidade reclamaram para o Canadá. A partir de outubro de 2020, a UE aplicou mais de 220 multas desde sua criação em 2018, esperando-se mais. “A GDPR está funcionando, lenta mas inexoravelmente”, acrescentou delli Santi. “A indústria adtech está começando a perceber que suas práticas são insustentáveis”.
Até mesmo o Reino Unido, que declarou inequivocamente que quer promulgar mais legislação pró-negócio, pró-partilha para construir sua próspera indústria tecnológica, tem que manter seu entusiasmo sob controle após a Brexit. “O Reino Unido tem que ter sua própria abordagem, mas será que pode divergir substancialmente? Não pode”, diz Herbert Swaniker, um advogado de tecnologia da Clifford Chance em Londres. “É crucial se o Reino Unido quiser obter uma decisão de adequação da Europa”.
Então como a legislação canadense proposta se empilha em termos de proteção aos cidadãos sem a abordagem explícita baseada nos direitos humanos? É muito cedo para dizer definitivamente.
A Scassa acredita que há elementos na legislação canadense que espelham a GDPR ao limitar a quantidade de informações pessoais compartilhadas. “Não é GDPR, porque não pode ser, mas tem muitas características GDPR”, disse ela, apontando para as Seções 12 e 13, que criam uma estrutura de necessidade e proporcionalidade.
“Mesmo que o projeto de lei não adote uma abordagem explícita de direitos humanos, ele ainda protege o direito humano de privacidade através de suas diferentes disposições”, acrescentou McGill’s Coffone. “Teria apenas uma oportunidade de fazê-lo melhor se isto fosse explicitado”.
Mas de acordo com a Scassa, há aspectos preocupantes das mudanças, pois elas eliminam os principais requisitos de consentimento: quando os dados são usados para qualquer ‘atividade comercial’ se forem ‘desidentificados’ ou para um ‘propósito socialmente benéfico’. Ambos podem levar a diferentes maneiras de interpretar a lei. “Está piorando infinitamente as coisas”, disse o diretor executivo John Lawford of Public Interest Advocacy Centre, em um e-mail.
Alguns cientistas da computação também são céticos. “Como é sabido por qualquer pessoa que trabalha na área, a desidentificação não assegura totalmente as informações subjacentes”, disse Mohamed Abdalla, candidato a Ph.D. no Grupo de Processamento de Linguagem Natural da Universidade de Toronto. Embora o risco de reidentificação pareça “remoto” quando se considera a quantidade de dados sendo processada pelas empresas, o risco real não é insignificante”.
Em termos do que poderia ser chamado de “socialmente benéfico”, “qualquer coisa pode ser enquadrada como tal”, acrescentou Abdalla.
A grande maioria dos projetos de IA em particular e a tecnologia em geral visam aumentar os lucros em algum estágio de sua existência. Quem pode dizer que isso não pode incluir a busca do lucro – mesmo que isso seja realmente ruim para a sociedade?
