Capítulo 5
Conforme visto nos capítulos anteriores, a RFID já é uma tecnologia de uso corrente, sem que, no entanto tenha ocorrido o devido debate acerca do tema de forma a gerar uma legislação abrangente, capaz de proteger a privacidade dos usuários. Mas como deveria ser esta legislação? O que ela deve conter? O que pode ajudar a criar uma legislação que diminua a subjetividade nos julgamentos de casos sobre privacidade e tecnologia? O uso amplo da RFID é inevitável devido às novas aplicações que foram encontradas para esta tecnologia.
A chave para entender como deve funcionar a legislação para o tema pode estar na combinação entre a legislação que já existe e o acréscimo de novos itens eventualmente faltantes e indispensáveis à não violação dos dados que o usuário quer preservar. No Capítulo 4 , que se refere ao direito à privacidade na legislação, viu-se que no Brasil há o entendimento de que o direito coletivo não deve violar o direito individual, salvo em caso de segurança pública ou necessidade científica. De acordo com este entendimento, discute-se neste capítulo não somente o que a legislação deve conter, mas o próprio processo de construção e discussão de uma estrutura brasileira para a normatização da RFID.
5.1 Definição de Privacidade
Começando pela legislação já existente, mostrou-se que não é consenso no direito brasileiro o conceito de privacidade. Em outras palavras, a subjetividade ainda impera quando a privacidade vira objeto de confronto judicial. Isso é um obstáculo que aparenta ser pequeno, mas na realidade é gigantesco. Por exemplo, uma empresa que comercializa produtos etiquetados pode não receber as devidas sanções em casos de responsabilidade objetiva (dano com conhecimento ou intenção do prejuízo causado) ou subjetiva (dano não intencional) de violações de direitos de usuários. Algo semelhante já acontece mesmo sem a RFID. Não raro, empresas comercializam dados de clientes com outras empresas para fins de propaganda e até mesmo venda de produtos que o cliente não solicitou. Isso acontece porque a informação de clientes tem sido tratada como algo pertencente à empresa que vendeu a informação e não aos clientes. Como exemplo recente, temos o caso de inúmeras pessoas que recebiam cartões de crédito não solicitados de várias administradoras, inclusive com limite de crédito estipulado pelo valor da renda dos clientes.
A definição de privacidade, que acaba sendo tratada quase que pelo costume no direito brasileiro, é vital à proteção do que o usuário entenderá por privacidade. Mas a proposta de criação de uma legislação abrangente sobre RFID acaba por demandar a definição mais uniforme de privacidade no direito brasileiro. Ou seja, os juristas teriam de realizar suas discussões e debates em torno do tema da privacidade para evitar que leis sobre tecnologia encalhem na inutilidade de não proteger o usuário porque o costume não previa que algo fosse tido como privado. Pode-se ver aqui um caso onde a ciência da computação pode impulsionar uma discussão na ciência jurídica, não apenas na criação de uma lei relacionada à informática, mas na própria discussão do conceito jurídico de limites de privacidade.
Uma análise fundamental: a RFID, como já exposto, ameaça acabar, além de limites antes considerados, com a possibilidade de o cidadão permanecer incógnito. Pode-se considerar que, assim como o direito fundamental e positivo à vida precisou ser protegido de violações por meio do direito penal, também o direito à privacidade está entrando em uma situação semelhante, onde a lei deverá determinar a criminalização de quebra de privacidade para coibir este ato. Assim pode-se considerar urgente a definição suscitada no parágrafo anterior, bem como a lei de criminalização citada neste. A própria Constituição, que define privacidade como direito básico, define também no artigo 5 , agora no inciso XLI, que a lei deve o punir "qualquer discriminação atentatória dos direitos e liberdades fundamentais". Mas por outro lado, uma punição deve estar definida na lei, pois conforme expresso no mesmo artigo, inciso XXXIX, "não há crime sem lei anterior que o defina". Portanto, torna-se fundamental mais uma vez a existência da legislação sobre privacidade. Particularmente, é necessária a definição de uma legislação sobre RFID e privacidade.
Para a continuação da discussão a ser aqui apresentada, adota-se que a preservação da privacidade impõe que apenas os dados essenciais sobre um cidadão possam ser utilizados em caso de necessidade e apenas em razão desta mesma necessidade. Adota-se também a noção proposta em (Lima 2005), citada no Capítulo 3 , de que privacidade é o poder de controlar o que os outros podem saber sobre o indivíduo. Adota-se, portanto, uma noção mais precisa sobre o que é tratado como dado sigiloso e do que não o é, observando-se que apenas a necessidade urgente coletiva ou científica justifica a quebra do sigilo. A adoção de tais noções é justificada em virtude do costume, ou seja, porque tal costume tem definido a privacidade no direito brasileiro.
5.2 RFID e a ICP-Brasil
A tecnologia RFID, deve ser destacado, é o que o próprio nome afirma ser, uma tecnologia de identificação. Como tal, o sistema depende de proteção não apenas para garantir os direitos do usuário como para seu próprio funcionamento. Assim, conclui-se que alguma estrutura de chaves de proteção e de criptografia seja necessária.
No que concerne a chaves de proteção públicas e privadas, o Brasil já possui uma regulamentação, determinada pela Infra-estrutura de Chaves Públicas Brasileiras , a ICP-Brasil, a qual foi instituída pela Medida Provisória 2.200-2 de 24 de agosto de 2001 (Presidência da República 2001).
Com a criação da ICP-Brasil, o governo buscava integrar o Estado e o povo à nova tecnologia de telecomunicações (internet), regulamentando a identificação de indivíduos (pessoas físicas ou jurídicas), de forma a evitar fraudes de identificação. Ao mesmo tempo, cultivou o direito do Estado brasileiro auditar sistemas e ter controle de informações nacionais, mesmo que utilizando tecnologia estrangeira (Barra 2006). Assim a gestão da ICP-Brasil certamente participará do processo de regulamentação da RFID, principalmente no que concerne à identificação de indivíduos, uma vez que uma das razões de sua criação foi justamente a identificação e autenticação eletrônica de indivíduos pela internet. A RFID é apenas um sistema eletrônico de identificação e, como tal, acaba por utilizar a internet ou outras redes de computadores menores.
Muito da discussão que criou a ICP-Brasil pode ser útil na elaboração da legislação sobre a RFID. Começando pela idéia do que pode ser trabalho da iniciativa privada e do que deve ser reservado ao Estado. O setor privado tem interesse em manter no mercado produtos que sejam de interesse dos consumidores, sejam eles pessoas físicas, jurídicas ou o próprio Estado. No caso da ICP-Brasil, o Estado buscou manter sua relação coercitiva diante dos administrados e do setor privado ao qual interessava vender ferramentas de autenticação e identificação remota, que poderiam de certa forma reduzir o poder do Estado no controle de informações vitais, uma vez que o maior interesse na constituição de ferramentas de identificação eletrônica provinha do setor bancário. Ciente da importância que a instituição de uma infra-estrutura adequada de chaves públicas teria para que não perdesse parte de seu controle sobre os administrados, o governo se valeu de sua força para implementar um sistema de chaves públicas ligado ao próprio Estado (Barra 2006).
Deve-se lembrar, então, que o governo chamou para si a responsabilidade de participar ativamente na manutenção futura da segurança de informações relativas à proteção dos códigos concernentes à ICP-Brasil.
Neste caso, o Estado, por meio de seu poder, fez com que os controles de códigos da ICP-Brasil não ficassem de todo nas mãos das empresas que prestam os serviços computacionais do sistema de chaves públicas. O Estado Brasileiro, além de cliente destes serviços, tem então dois papéis fundamentais: normatiza e audita o sistema. O setor privado, entretanto, não deixou de "vender" seus serviços para a constituição da ICP-Brasil. Muito pelo contrário, os serviços foram implementados e a ICP-Brasil foi então constituída.
Esta característica, de o sistema estar controlado e auditado pelo Estado, porém, não deveria ser contaminada pela política. Não é possível afirmar que a ICP-Brasil nunca seja in uenciada pela política, mas o fato é que a presença do Estado traz este risco. Apesar disso, pode-se argumentar que a presença do Estado, para o controle das informações e para a auditoria do sistema de chaves públicas, deva ser mantida a fim de evitar que a infra-estrutura esteja sujeita às vontades de pessoa privada. Como na constituição de uma infra-estrutura brasileira para a RFID estar-se-á falando, de certa forma, em uma expansão da ICP-Brasil, estas características da ICP-Brasil estarão presentes na infra-estrutura para a tecnologia baseada na RFID. Isso ocorrerá porque, assim como foi determinado no SINIAV, os sistemas de criptografia e identificação dependem desta infra-estrutura e herdam suas características.
No caso da ICP-Brasil, o maior consumidor do sistema era o próprio Estado, ao qual interessa a manutenção do controle sobre o sistema bancário, pois os bancos são os que mais utilizam a infra-estrutura. A auditoria estatal, neste caso, seria então justificada. De fato, em (Barra 2006) destaca se que na constituição da ICP-Brasil, o Estado foi "Leviatã". O Estado, por meio coercitivo, manteve o controle sobre o sistema, retirando da iniciativa privada a possibilidade de controlar sozinha o mercado de autenticação. De fato isto foi benéfico no sentido em que o sistema ganha certa confiabilidade, uma vez que o Estado, como auditor, pode teoricamente evitar a submissão a interesses privados nos serviços de autenticação pessoal.
Por outro lado, in uências políticas podem atingir as estruturas de poder.
Por isso, deve-se evitar que o controle das informações e da própria infra estrutura brasileira para a RFID seja exclusivo do Estado. O Estado hoje audita a ICP-Brasil e no futuro pode vir a auditar todos os sistemas de RFID. Ora, não é impossível que os auditores estejam in uenciados em certo grau pelo grupo político que esteja no poder. Assim a legislação deve dispor que o controle é do Estado, que trabalharia para o bem comum, mas que as decisões sobre qualquer mudança de rumos na ICP-Brasil (e para a infra-estrutura a ser proposta para a RFID) deveria pertencer a um comitê com representação de toda a sociedade, fazendo prevalecer o entendimento de que o direito individual prevalece sobre o coletivo salvo nos casos já citados. Interessante é que, na formação da ICP-Brasil, esse fator não foi respeitado. Ao contrário, os representantes da sociedade foram indicados pelo próprio governo, de certa forma ferindo a lisura que um processo de tamanha magnitude exige. O Estado acabou se sobrepondo demais ao sistema. Conforme Barra (2006), "Advogados da Subchefia para Assuntos Jurídicos da Casa Civil e técnicos da área de segurança da informação praticamente definiram toda a base jurídica da ICP-Brasil". Verifica-se ainda na ICP-Brasil o vício de que a auditoria é feita sem a devida publicidade que atividades públicas devem receber. A auditoria de sistemas RFID não deve seguir este padrão vigente na ICP-Brasil.
A autoridade certificadora, conforme determinado na Medida Provisória 2.200-2 de 24 de agosto de 2001, é também puramente Estatal. Trata-se do ITI - Instituto Nacional de Tecnologia da Informação, autarquia federal. O papel da representação da sociedade civil na ICP-Brasil ficou reduzido, então, tanto na certificação, quanto na composição da própria infra-estrutura.
Este é um ponto delicado e que merece ampla discussão: até quando a participação da sociedade civil será tímida ou obscurecida pela abrangência das atuações do Estado ou de grupos política e/ou economicamente privilegiados? O questionamento é amplo e não somente dirigido à caracterização da ICP-Brasil e de uma possível infra-estrutura para sistemas baseados na RFID. Estende-se o questionamento a quaisquer setores econômicos regulados.
A Medida Provisória 2.200-2 de 2001 determina, em seu artigo 6 , pará- o grafo único, que "o par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento". Este parágrafo pode gerar distorções indesejáveis. Como o usuário é responsável pelo controle das chaves, em caso de violações e vazamentos, o setor econômico, que exige a utilização de tais chaves para efetivação de transações, pode ser isentado. Se a chave for única para todas as aplicações, a situação se agrava, já que aparenta violação do princípio de proteção aos mais fracos nas relações entre o indivíduo e o setor econômico ou entre o indivíduo e o Estado. O Estado deve proteger o cidadão neste tipo de confronto e, portanto, deve ser o primeiro a evitar que o cidadão tenha uma responsabilidade que não lhe pode, de fato, ser imputada. Não se considera, portanto, razoável que a infra-estrutura para sistemas baseados na RFID herde todas as características da ICP-Brasil.
Embora a ICP-Brasil tenha sido construída visando a identificação de pessoas, seu papel na identificação de objetos e manufaturas continuará a ser essencial, pois a autoridade certificadora é quem terá a ferramenta capaz de autenticar corretamente os produtos etiquetados. Ou seja, o Estado é quem poderá dizer ao mercado quais serão as etiquetas que identificarão corretamente, de acordo com a legislação, os produtos. As etiquetas, conclui-se, teriam que conter a informação de já terem sido autorizadas a circular pela autoridade certificadora. A autoridade governamental teria interesse nisso, por exemplo, para evitar a sonegação de impostos.
5.3 Legislação Comparada
Um processo fundamental na formação das infra-estruturas para a tecnologia de identificação baseada em radiofreqüência no Brasil será, como também o foi na instituição da ICP-Brasil, a comparação com as leis que regem o setor em outros países. De certa forma, isso já vem sendo feito.
Quando da criação da ICP-Brasil, a legislação comparada trouxe ferramentas de legislações de outras nações para a legislação da ICP-Brasil (Barra 2006). Mais além, os projetos de lei que visam a proteção de dados têm em seu processo de formação esta mesma característica. Em verdade, por ocasião de uma maior interdependência entre as nações, a implantação de legislações semelhantes contribui para processo de integração, embora devam ainda prevalecer as características democráticas de respeito às identidades nacionais.
Há de se lembrar que quanto aos aspectos tecnológicos, as nações chamadas desenvolvidas também se encontram à frente dos demais países. Tal fato in ui, inclusive, nas discussões decorrentes da implantação de certas tecnologias. No caso da RFID, Estados Unidos e Canadá, por exemplo, já se encontram em um nível de debate bem mais avançado acerca da RFID que o Brasil. No restante desta seção, serão apresentadas propostas surgidas do debate canadense acerca do uso da RFID, conforme Cavoukian (2006).
A autora apresenta algumas proposições para o respeito à privacidade dos usuários. Sugere que sempre o usuário tenha o direito de ser informado e que a lei obrigue informar o consumidor quando uma etiqueta eletrônica está sendo usada. O usuário teria direito a esta informação. É a partir do direito de se conhecer como e onde a tecnologia está empregada que o usuário poderá ter a real consciência das implicações de seu funcionamento.
Indo mais além, a autora sugere que a lei sobre RFID deve estipular que o usuário tem o direito de saber qual o tipo de etiqueta usada e, em cada caso, quais informações a etiqueta pode fornecer sobre o usuário do produto etiquetado.
Outro direito fundamental que Cavoukian destaca é o direito ao consentimento, que pode ser implementado através da ativação ou desativação da etiqueta. Em caso de comprar produtos etiquetados, deve o consumidor sempre ter a oportunidade de optar pela desativação destas etiquetas, sem ônus para o usuário. Este direito seria a continuidade da liberdade e privacidade, caracterizando também a manutenção do direito de se manter incógnito.
Ainda segundo Cavoukian, o usuário deve ter o direito de manter as informações sobre produtos separadas das informações pessoais. Esclarecendo, produtos não devem ser usados como meio de coletar informações pessoais de um comprador, devendo-se evitar o cruzamento de informações de produtos comprados para se traçar o perfil de consumo do cidadão. Tais sugestões e análises estão em concordância com as noções adotadas em relação à privacidade, em conformidade com o direito brasileiro, devendo ser levadas em consideração quando da elaboração da infra-estrutura nacional para a RFID.
Segundo Cavoukian (2006), a proposta de regulamentação para o uso da RFID deve limitar a quantidade e qualidade das informações que certos estabelecimentos podem coletar e manter. Com isto deseja-se evitar o comércio de informações ilegais sobre consumidores. Por exemplo, uma loja não poderia manter arquivos com informações sobre padrões de compra de consumidores se a lei obrigar que o estabelecimento não pode coletar esse tipo de informação. Se a coleta for permitida, a legislação deve determinar por quanto tempo pode-se manter certa informação. Além disso, o estabelecimento coletor deveria informar, compulsoriamente, a necessidade de se manter determinados tipos de informações. Os objetivos que levam à coleta de certas informações devem, portanto, ser claros e de acordo com objetivos do estabelecimento, sem que estes objetivos e os meios para alcançá-los desrespeitem o direito à privacidade. Estas mesmas propostas devem estar presentes na legislação brasileira.
Analisando pelo lado do fabricante, a legislação pode, por exemplo, limitar a fabricação de alguns tipos de etiquetas, caso o modelo proposto para um produto seja incompatível com os restritos objetivos de uso propostos pelo estabelecimento solicitante ou fabricante. As informações coletadas para um certo objetivo não devem ser usadas para outro fim. Isso deve ser evitado inclusive dentro dos próprios bancos de dados das empresas que coletaram a informação. Havendo necessidade de se utilizar e acessar bancos de dados com informações dos cidadãos, tal acesso deve ser justificado e também limitado para o fim proposto.
Por último, é claro, a legislação deve estabelecer que o usuário tenha o direito de saber todas as informações coletadas a seu respeito, inclusive por estabelecimentos privados, aos quais o consentimento expresso do usuário não só na coleta, como também na manutenção de dados a seu respeito, deve ser manifestado. Mais uma vez é notório que estas propostas canadenses podem ser adaptadas ao direito brasileiro.
5.4 Sugestões
Além das sugestões apresentadas na seção anterior, no que se segue,são apresentadas algumas propostas para a legislação brasileira acerca da utilização de sistemas baseados na Identificação por Radiofreqüência.
5.4.1 Mecanismos Desligáveis
A legislação deve determinar que as etiquetas de certos produtos devem obrigatoriamente ser desligadas assim que tais produtos cheguem ao consumidor final, como roupas, por exemplo, a não ser que o usuário manifeste expressamente o desejo de mantê-las funcionando. Os estabelecimentos comerciais deveriam então manter funcionários disponíveis para orientar o desligamento de etiquetas ou sua retirada. Inclusive, poderiam ser criados instrumentos semelhantes aos sigilos, fiscal, telefônico e bancário. Mesmo que as informações sobre uma pessoa estejam nas mãos de empresas privadas, sua abertura até mesmo por órgão do governo deveria ser realizada apenas por meio de mandado judicial.
5.4.2 RFID e Meio Ambiente
O aspecto ambiental também deve ser contemplado pela legislação relativa à RFID. A legislação deveria estabelecer estímulo ao uso de etiquetas reaproveitáveis onde quer que fossem aplicáveis, orientando ainda os estabelecimentos e os cidadãos sobre como proceder para o reaproveitamento das mesmas.
Ainda na proteção ambiental, pode-se estimular o uso da tecnologia para a proteção de espécies ameaçadas, com o uso de monitoramento eletrônico, como foi apresentado no primeiro capítulo. Observando-se o modelo mais adequado e este objetivo ecológico da RFID, poder-se-ia garantir estímulos como isenções de alguns impostos para empresas que participem deste tipo de empreendimento de proteções de fauna e ora.
5.4.3 Aspectos de Identificação Pessoal
Quanto à identificação pessoal e funcional, é importante ressaltar o que pode ou não ser utilizado em cada caso.
A identificação funcional com RFID de curto alcance é bem comum. O uso de crachás com etiquetas eletrônicas é amplo no Brasil. Este modelo tem sido capaz de identificar funcionários sem invadir sua vidas privadas, uma vez que as etiquetas são de curto alcance e não são implantáveis. Na verdade são etiquetas eletrônicas de alcance de leitura de apenas alguns centímetros.
Analisando, porém, o uso de etiquetas implantáveis em humanos, a legislação deve exigir que o usuário concorde com o implante. O cidadão que usa um cartão ou crachá de identificação não precisa estar acompanhado deste item 24 horas por dia. No caso de o Estado ou as organizações privadas começarem a instituir o uso de etiquetas eletrônicas em substituição a carteiras de identidade, ou quaisquer outros mecanismos de identificação, o cidadão deve ter o direito de não implantar as etiquetas, mas de utilizá las em cartão, enquanto não se sentir seguro em utilizar a etiqueta implantável. A anuência do usuário respeitaria seu direito de dispor sobre o próprio corpo.
5.4.4 Fraudes
A legislação não pode se esquecer de que sistemas computacionais e eletrônicos são passíveis de fraudes. Conforme já citado, grupos criminosos rapidamente obtêm o conhecimento técnico necessário para burlar, fraudar ou fazer mal uso de novas tecnologias. Criptografar informações não torna os sistemas computacionais totalmente imunes a fraudes. Ninguém pode garantir que etiquetas RFID, quaisquer que sejam, estejam seguras contra cópias.
Apesar disso, muitos países vêm adotando etiquetas eletrônicas em documentos tradicionais como passaportes. Estes passaportes porém já foram fraudados, inclusive por competentes profissionais da área de segurança computacional que demonstraram que o processo de fraudar esta tecnologia não é tão difícil. Demonstrações chegam a ser realizadas em congressos de segurança computacional, diante do público.
Em um cenário em que etiquetas implantáveis fossem clonadas ou fraudadas, seria necessária uma pequena cirurgia para adequação e/ou manutenção do sistema de identificação. O cidadão, portanto, tem que estar consciente disso. A criação, porém, de um modelo não implantável, poderia trazer a continuação da perturbação de possível perda ou roubo. Por outro lado, seria mais fácil que a etiqueta fosse trocada ou reposta. Fato é que a possibilidade de fraude deve também levar à proposição da seção anterior de que o usuário deva conhecer e concordar com os riscos do implante do sistema de identificação.
Pode-se ainda, em virtude das possíveis fraudes, propor que a legislação RFID deva expressar explicitamente que tal sistema sofre os riscos inerentes a qualquer tecnologia da computação, que os operadores do sistema tenham expressamente definidas suas responsabilidades de proteção ao usuário e também que determine qual seria a responsabilidades de tais operadores em ocasiões de vazamento de informações.
5.4.5 Rastreamento
O cidadão deve ter o direito de desligar sua etiqueta quando o desejar, assim como, por exemplo, faz com o celular. Desta forma, nos momentos em que julgar necessário, o cidadão teria o direito de não estar sendo observado.
Deve ser lembrado que as etiquetas implantáveis já estão em uso como mecanismo de segurança. Como tais etiquetas não podem ser desligadas, os usuários podem ser observados vinte e quatro horas por dia. Começa a ser desenhado então um cenário em que se uma legislação eficaz não proteger o cidadão, este estará sem acesso à privacidade que ainda encontra hoje. A legislação deve também oferecer ao usuário opções por etiquetas de baixa e de alta freqüência, uma vez que estas diferenças implicam na capacidade de os sistemas coletarem dados do usuário. Um exemplo a ser seguido, é a Senate Bill 362 do estado americano da Califórnia. Esta lei prevê uma multa de dez mil dólares por implantes considerados compulsórios, mais mil dólares por dia em que o chip esteja implantado no cidadão coagido.
Um outro ponto também muito importante deve ser considerado. Salvo em casos claros de desaparecimento e seqüestro, as informações da localização de um cidadão não podem ser fornecidas nem a parentes, uma vez que se o usuário desejar se manter incógnito, assim deve ser. No caso em que o usuário queira que a família saiba onde o mesmo se encontra, um simples telefonema pode satisfazer seu objetivo. Isso tem o único objetivo de manter livre o ir e vir do cidadão. Permitir que outros cidadãos tenham acesso a informações de uma pessoa, mesmo que parentes, pode gerar uma sociedade vigiada. Além disso, nenhuma empresa pode garantir que um cidadão permitiu que sua família tivesse acesso a quaisquer informações sobre seu respeito sem coação de alguma forma.
5.4.6 Alcance dos Leitores
A legislação deve ainda regulamentar o uso dos leitores RFID no que se refere aos locais onde podem ser instalados, determinando justificar diante da legislação qual o objetivo em se utilizar cada leitor. Este item seria a continuidade da regulamentação da coleta de dados.
5.4.7 Prevalência dos Direitos Humanos
Deve-se impedir que mesmo no futuro a RFID possa estar aplicada ao controle de cidadãos por regimes políticos antidemocráticos. O Brasil respeita a soberania de outras nações. Entretanto, a legislação brasileira deve apresentar a condição de que o Brasil não apoiaria o uso de RFID para identificação de indivíduos em países onde os regimes de governo não são democráticos, uma vez que o Brasil tem por princípio não apoiar perseguições políticas, conforme pode ser verificado na Constituição Federal, em seu artigo 4 , inciso X. Não há garantias de que tais regimes respeitariam os direitos humanos de oposicionistas. A prevalência dos direitos humanos também está elencada no artigo 4 da Constituição Brasileira, inciso II. Apresentar tal mecanismo na legislação sobre a RFID seria a ratificação a tais incisos; mais importante, reforçaria a imagem de que o Brasil estimula o uso responsável e democrático da RFID.
5.4.8 Liberdade de Escolha
Seria ainda interessante que a regulamentação trouxesse consigo a capacidade de estimular outras ferramentas de proteção contra a violência visando substituir os implantes RFID por outras formas de identificação em humanos, uma vez que esta tecnologia gera debates inclusive sobre até que ponto uma pessoa pode ser etiquetada como é uma cabeça de gado ou um pacote de lâminas de barbear. O ideal é que seres humanos não fossem etiquetados.
A legislação deve manter a preocupação em ser pluralista, respeitando a cultura, a religião e as liberdades de pensamento dos cidadãos. Muitos cidadãos podem se sentir invadidos em sua privacidade pelo simples uso de etiquetas que não podem ser desligadas, estejam elas aplicadas a quaisquer objetivos. A legislação deve prever como respeitar tais casos.
Há ainda casos preocupantes em que a legislação deve determinar como contornar problemas e evitar a coação de cidadãos. Algumas correntes cristãs, por exemplo, consideram a RFID um empreendimento satânico.
Tais correntes defendem que etiquetas implantáveis seriam o cumprimento de profecias do livro bíblico do Apocalipse, onde uma certa marca de identificação na mão direita ou na testa seria obrigatória a todos os cidadãos do mundo para poderem realizar operações financeiras de compra e venda, sendo então vigiados e controlados pelo governo de um anticristo, que obrigaria o cidadão a professar uma religião instituída, diferente de sua fé cristã. O fato de que as marcas no Apocalipse estariam na mão direita ou na testa, mas etiquetas RFID podem ser colocados em várias partes do corpo, pode afastar um pouco esta idéia. Entretanto, sendo adeptos de crenças religiosas, que são fruto de fé, estes cidadãos têm que ver preservados seus direitos fundamentais e não devem ser coagidos ao uso de tal sistema.
A coação não se dá apenas com ameaças explícitas e isso também deve ser objeto de atenção. Voltando ao caso mexicano, em que autoridades aderiram ao sistema de identificação pela RFID, pergunta-se: quantos dos membros deste governo realmente sabem do impacto desta tecnologia sobre suas vidas? Entre os que sabem no que implica usar sistemas como este, quantos realmente foram voluntariamente etiquetados? Deve-se verificar que a simples concordância não implica que não houve alguma forma de coação. No exemplo mexicano, bem como em casos de etiquetamento por empresas privadas, a possibilidade de se indispor com os que propõem o etiquetamento, tendo como conseqüente o risco de perda de prestígio público ou posto de trabalho, já pode ser uma forma de coação. A legislação deve prever qualquer forma de coação como crime e evitar sua prática a partir da imposição de penalidades bem definidas, tanto para o setor público quanto para o setor privado.
A coação pode ocorrer de uma forma tão sutil que é possível que o cidadão não perceba. Imaginando um cenário onde a RFID seja utilizada amplamente no comércio, como são utilizados cartões, tendo em vista o interesse de grupos econômicos na redução de custos operacionais. Nesta situação, usuários relutantes em aderir à nova tecnologia poderiam ser sobretaxados.
Assim, a adesão ao uso da RFID não pode ser considerada voluntária, mas forçada por aqueles que detêm o poder econômico. Vale aqui a analogia com o sistema monetário, onde não deve ser discriminado o indivíduo que opte, por exemplo, pela utilização do papel-moeda em detrimento de sistemas eletrônicos. A legislação deve prever, evitar e penalizar os responsáveis por tais casos de coação.
5.4.9 Identificação de Automóveis
Outro aspecto a ser levado em conta é a questão de identificação RFID em automóveis. Conforme já citado, o DENATRAN pretende que todos os automóveis do país estejam etiquetados em breve. Entretanto foi muito pouco discutido o tipo de impacto que isto pode ter na privacidade do cidadão.
Embora os gestores deste tipo de sistema garantam não publicar os dados de usuários, a proposta de uma legislação para a utilização da RFID deve também ser rigorosa no sentido de evitar qualquer divulgação de informação dos automóveis etiquetados. Os objetivos em etiquetar carros –fiscalização e segurança – praticamente impedem o uso de etiquetas que possam ser desligadas. Deve ser estudado, porém, um meio termo no futuro, no qual uma etiqueta poderia, por exemplo, ser desligada por alguns períodos. Enquanto não se encontra esta solução, a legislação deve coibir a divulgação de informações sobre as movimentações do veículo que não ao dono do mesmo.
5.4.10 Órgão Regulador
Conforme visto na Seção 5.2 , a ICP-Brasil teve um comitê gestor formado pelo governo. Mesmo os ditos representantes da sociedade civil foram indicados pelo Estado. Nas discussões da implementação da infra-estrutura para a RFID a sociedade civil deve também participar da elaboração da legislação final, bem como da formação de seu comitê gestor. Espera-se, entretanto, que a indicação dos representantes da sociedade civil seja, de fato, feita por esta sociedade, contemplando todas as correntes sociais às quais interessa o debate sobre a RFID. Estes representantes devem entender não somente os aspectos técnicos e jurídicos da RFID, como também quais as demandas sociais que podem sofrer o impacto causado pelo uso desta tecnologia.
Em casos de violações de quaisquer aspectos expostos na legislação, ou violações do sistema, a empresa gestora das informações violadas deve responder pela quebra dos direitos do usuário, uma vez que, como dito anteriormente, a manutenção de informações deve ser fundamentada nos objetivos da empresa e que o fato de se manter informações implica na obrigação de protegê-las.
A ICP-Brasil gerencia chaves públicas. A RFID, entretanto, é um sistema um pouco mais complexo. Assim, um aspecto indispensável na legislação sobre a RFID é indicar claramente qual o papel de cada ente envolvido no sistema. O objetivo é evitar quaisquer con itos de competência, para evitar que casos de violações acabem em um jogo de empurra-empurra, onde os responsáveis não são punidos pela quebra das normas. Seria inclusive interessante estudar a criação de um órgão regulador de informações, a exemplo do que ocorre no Japão. Este órgão teria o papel principal de proteger as informações colhidas por sistemas RFID, fiscalizando os coletores de informações, o que fazem delas, entre outras obrigações. O órgão regulador de informações determinaria também aspectos relativos ao uso de informações colhidas por outros meios, uma vez que não só por RFID se quebra a privacidade de usuários. Daí a necessidade de um novo órgão, uma vez que órgãos regulamentadores e fiscalizadores existentes no Brasil cumprem outras funções. Esta pode ser a justificativa para que, por exemplo, a ANATEL, a Agência Nacional de Telecomunicações, não realize este papel. Um outro órgão, porém, não substituiria o papel da ANATEL, na fiscalização do espectro, como também não substituiria a ICP-Brasil, que tem outros objetivos operacionais.
Pode-se também entender que a proteção da privacidade possa ser dividida entre os vários órgãos já existentes, sendo entretanto integrada por um possível Conselho Nacional de Proteção de Dados, composto por vários órgãos governamentais que regulamentam setores capazes de coletar dados diversos. Assim, cada órgão em seu setor de operação específico poderia conter alguma seção direcionada à proteção de dados. O custo de criação desta segunda hipótese seria bem menor, uma vez que isentaria o Estado de criar um novo órgão.
Para o entendimento do que existe especificamente em telecomunicações, que inclui radiofreqüência e privacidade, a Lei Geral de Telecomunicações (Lei N 9.472, de 16 de julho de 1997), em seu artigo 72, diz que "apenas na execução de sua atividade, a prestadora poderá valer-se de informações relativas à utilização individual do serviço pelo usuário". Está expresso, portanto, na Lei Geral de Telecomunicações, que o usuário tem o direito à preservação de sua privacidade. Mais restritamente expõe-se, no parágrafo primeiro, que "a divulgação das informações individuais dependerá da anuência expressa e específica do usuário". No segundo parágrafo fica estabelecido que "a prestadora poderá divulgar a terceiros informações agregadas sobre o uso de seus serviços, desde que elas não permitam a identificação, direta ou indireta, do usuário, ou a violação de sua intimidade". Então, parte dos direitos à privacidade do cidadão que utiliza meios de telecomunicações já se encontra protegido, embora de maneira genérica.
A Lei Geral de Telecomunicações dispõe sobre a organização dos serviços de telecomunicações e a criação e funcionamento de um órgão regulador, a ANATEL. O papel da ANATEL inclui, além da organização e distribuição do espectro, a fiscalização dos serviços prestados como serviços de telecomunicações. A fiscalização deste órgão regulador incide sobre os operadores de quaisquer serviços de telecomunicações, incluindo as relações entre consumidores e operadores, além de seus respectivos direitos e deveres. A ANATEL também é responsável por fiscalizar interferências de operadores não outorgados de sinais de transmissão em ondas de operadores outorgados. Dessa forma, a ANATEL participa de parte do policiamento de crimes perpetrados em alguns meios de telecomunicações. A ANATEL, porém, não se responsabiliza pelo que ocorre com a informação indevidamente trafegada. Ela tem apenas o papel de identificar e coibir o tráfego ilegal de telecomunicações em casos de transmissões por meio do espectro ou outros meios classificados como meios de telecomunicações.
Logo, sobre sistemas baseados na RFID, há, além da distribuição das faixas de freqüência, alguns papéis possíveis para a atuação da ANATEL.
O primeiro é a fiscalização das empresas legalmente operadoras de sistemas baseados nesta tecnologia com relação às coletas e manutenção de informações. Outro papel é o de auxílio no policiamento de tráfego de ondas indevidas de interferência no sistemas RFID, com ou sem capacidade de roubo de informações, com possibilidade de identificação de operadores indevidos por meio de ações de fiscalização.
Supondo, portanto, que a ANATEL assumisse novas atribuições, por já ser responsável pela fiscalização de parte específica dos sistemas baseados na RFID, ela deveria incorporar em sua estrutura de uma futura Superintendência de Proteção do Consumidor uma gerência de proteção de dados.
O fato é que a proteção do consumidor pela ANATEL ainda é deficiente, por falta de pessoal e infra-estrutura adequadas à proteção de relações de consumo que a ANATEL já fiscaliza. A já existente Assessoria de Relações com os Usuários não tem o poder de punição que possuem outros departamentos da ANATEL, justamente por não ser uma Superintendência. Tal fato tem conduzido a situações onde os consumidores acabam vítimas de problemas que se repetem milhares de vezes sem que haja uma punição eficaz às operadoras de telecomunicações. A fiscalização da proteção de dados exige um poder coercitivo que este departamento da ANATEL não está pronto para exercer, por falta de poder legal e por falta de infra-estrutura.
Somam-se a esta situação dúvidas que a eventual legislação sobre RFID deve responder: será que o papel da ANATEL deve limitar-se à atribuição de faixas do espectro na RFID? Se a obtenção indevida de dados utilizar meios de telecomunicações, não deveria a ANATEL participar da fiscalização? Afinal, muitos modos de uso da RFID são utilização de sistemas de telecomunicações, se observada a forma de funcionamento do sistema. A legislação sobre a RFID deve especificar até onde um sistema pode ser classificado como de telecomunicação.
Pode-se também estudar qual seria o papel do ITI nesse novo contexto.
O fato é que o ITI não é uma agência reguladora e seu papel de autoridade certificadora da ICP-Brasil contribui muito pouco para a proteção do cidadão, uma vez que certificar a emissão de chaves públicas ou privadas não implica em punição a quem emite uma chave falsa. Com certeza, devido à enorme aplicabilidade da RFID, muitas empresas explorarão este negócio. Tanto a ANATEL, quanto o ITI e a ICP-Brasil estarão envolvidos na gestão do sistema.
Num possível cenário onde a RFID já esteja mais difundida, será certamente muito freqüente a entrada de novos processos judiciais envolvendo privacidade. De momento, a proteção à privacidade do usuário ainda se encontra quase que totalmente nas mãos do Poder Judiciário e, em alguns casos, da Polícia. A questão pode ainda se encontrar prejudicada pelo fato de nem sempre os processos judiciais tramitarem em tempo hábil a coibir a prática de delitos no campo de informações sobre cidadãos. Daí a necessidade de um órgão ou conjunto de órgãos participantes de um sistema, que possa gerir processos na esfera administrativa com capacidade para imposição de multas aos responsáveis por violações, sem prejuízo das ações do Judiciário. A questão é que violações de privacidade, pela consecução e fornecimento indevido de dados, devem ser inibidas de todas as formas.
5.5 Os Primeiro Passos
Alguns dos mecanismos de proteção de dados aqui expostos já estão previstos no Projeto de Lei sobre Crimes Digitais. Entretanto, tal projeto não foi votado e logo ainda não é lei. O Projeto limita, por exemplo, a coleta de dados, por meio da aquiescência do usuário; limita a manutenção de cadastros por um tempo determinado; proibe a coleta e manutenção de dados à revelia; e garante o acesso pelo usuário aos dados sobre si em bancos de dados. O Projeto por meio do artigo 7 expressa ainda que: o "As entidades que coletam, armazenam, processam, distribuem ou comercializam informações privadas, ou utilizam tais informações para fins comerciais ou para prestação de serviço de qualquer natureza, ficam obrigadas a explicitar, desde o início de tais atividades:
I - os fins para os quais se destinam tais informações; e
II - os limites de suas responsabilidades no caso de fraude ou utilização imprópria das informações sob sua custódia, bem como as medidas adotadas para garantir a integridade dos dados armazenados e a segurança dos sistemas de informação".
No artigo 8 , o Projeto estabelece que: o "(...) entidades mencionadas no artigo anterior não poderão divulgar, ou tornar disponíveis, para finalidade distinta daquela que motivou a estruturação do banco de dados, informações privadas referentes, direta ou indiretamente, a origem racial, opinião política, filosófica ou religiosa, crenças, ideologia, saúde física ou mental, vida sexual, registros policiais, assuntos familiares ou profissionais, e outras que a lei definir como sigilosas, salvo por ordem judicial ou com anuência expressa da pessoa a que se referem ou do seu representante legal".
Pode-se dizer então que os primeiros passos para esta legislação que regulamentaria a RFID já foram dados. Entretanto, a lei específica para RFID deverá também abordar outros pontos, como evitar coletas de dados por pessoas não autorizadas ou mesmo discriminar que as mesmas implicações dos artigos 7 e 8 do Projeto de Lei de Crimes Digitais estariam aplicadas o a coletas com o uso da RFID. Indiretamente, o Projeto de Lei de Crimes Digitais informa que é crime a coleta indevida de dados caracterizando como pena possível seis meses a dois anos de prisão, além de multa.
A lei sobre RFID pode ir mais além e limitar o próprio comércio de equipamentos deste tipo de sistema. O comércio não autorizado de equipamentos baseados em RFID deve ser criminalizado. Deve-se estabelecer também penas mais enérgicas, uma vez que a violação de direitos fundamentais atenta contra a própria democracia, que é a ordem de formação do Estado Brasileiro.
Concluindo, o grande objetivo em se estabelecer uma legislação sobre a RFID no Brasil é o respeito ao cidadão. Depois da promulgação da Constituição de 1988, o cidadão passou a ter direitos fundamentais que antes não possuía. Não se deve retroceder em direitos civis. O Regime Militar que vigorou neste país de 1964 a 1985 já maculou a história da nação com desrespeito aos direitos humanos, violações da liberdade de pensamento e de expressão e, em certo grau, até mesmo com limitações do direito de ir e vir. Este país precisa agora evitar que uma tecnologia que pode beneficiar o cidadão vire arma para violar seus direitos.
