Em outubro de 2006 o Netflix lançou o “Prêmio Netflix”, em que disponibilizava informações sobre hábitos de 500 mil consumidores, oferecendo US$ 1 milhão para quem desenvolvesse uma solução capaz de melhorar em 10% o sistema de recomendação de filmes. Ainda que os dados pessoais tivessem sido omitidos - anonimizados - as informações lançadas na rede para análise no concurso levaram à identificação precisa de pelo menos um usuário: uma lésbica não assumida na conservadora região do Meio Oeste dos Estados Unidos, que, tendo a privacidade ameaçada, processou o Netflix sob o pseudônimo de “Jane Doe”.
O caso acima, narrado no livro “Big Data - Como Extrair Volume, Variedade, Velocidade e Valor da Avalanche de Informação Cotidiana”, de Viktor Mayer-schönberger e Kenneth Cukier (Elsevier, 2013), demonstra que nem mesmo a anonimização de dados é capaz de proteger a privacidade dos cidadãos. Como afirmam os próprios autores, “Na era do big data, as três principais estratégias usadas para garantir a privacidade - consentimento individual, opção de exclusão e anonimização - perderam a eficiência.”
Este grande volume de dados, referido pelo termo big data, é hoje coletado e analisado com velocidade e qualidade graças à inovação tecnológica dos últimos anos. Não apenas dados pessoais, mas também fatores da natureza, dados geográficos, fatos históricos e informações científicas podem ser combinados, estudados e aplicados para as mais diversas finalidades.
Trata-se de um fenômeno recente, que se tornou possível com o aprimoramento das técnicas de coleta e armazenamento em meios digitais. Com o desenvolvimento de novas ferramentas de análise, a informação passou a auxiliar na tomada de decisões, e adquiriu valor econômico. Dados deixam de ser apenas dados e tornaram-se commodity. Em um exemplo prático, informações sobre o comportamento de consumidores podem ser usadas para a melhoria de um serviço, ou no desenvolvimento de um produto novo.
O caso do Netflix ilustra o problema que começa a existir quando a informação se torna acessível ilimitadamente. Na era dos sensores, em que tudo pode ser monitorado, nem a anonimização protegerá a privacidade. Cidadãos podem ter hábitos e comportamentos expostos. Assim, empresas responsáveis pela coleta e análise de dados devem ter atenção redobrada, principalmente após a aprovação do Marco Civil da Internet no Brasil (Lei nº 12.965/2014).
Primeiro, porque o uso de informações obtidas de usuários na internet deve respeitar as exigências previstas no artigo 7º da nova lei. O dispositivo determina que a coleta, uso, guarda e tratamento de dados pessoais podem ser feitas apenas se houver consentimento expresso do usuário, que deve ser advertido por cláusula destacada nos termos de uso.
Na prática, significa que, ao utilizar um aplicativo ou um serviço online (que pode ser uma rede social), o usuário deverá ser informado expressamente sobre a coleta, e consentir com o uso dos seus dados para posterior análise.
Assim, empresas que obtêm informações de usuários de fontes indiretas, que foram capturadas por outros serviços, devem ter ainda mais cuidado. Isso ocorre, principalmente, com cadastros que são feitos a partir do perfil do usuário numa rede social, ou com empresas que têm acesso a bancos de dados de outros serviços. A empresa que utilizar os dados deverá estar segura de que a coleta foi feita de acordo com o que determina a nova lei, e de que o usuário está ciente da cessão de suas informações.
Com isso, a adesão do usuário terá que ser clara e inequívoca. Os termos de uso terão que ser aprimorados, pois o uso de uma linguagem objetiva é agora uma exigência legal. Ainda, termos em inglês devem ser traduzidos para usuários brasileiros.
O Marco Civil traz também determinações importantes para os provedores estrangeiros, exigindo que todos os serviços e aplicativos acessados por usuários brasileiros estejam em conformidade com a lei (compliance). Foram previstas uma série de sanções para eventual descumprimento, que pode levar até à suspensão das atividades no Brasil.
Além da preocupação dos portais e provedores que coletam estes dados, também empresas responsáveis pela guarda e análise devem ficar atentas, principalmente quanto às medidas de segurança adotadas. A punição para o vazamento de informações pessoais encontra amparo não apenas no Marco Civil, recém aprovado, mas também no Código Civil, na forma de indenização (art. 927). Considerando-se que o tempo médio para a detecção de falhas de segurança nas empresas é de dez horas, o prejuízo poderá tornar-se irreversível, acarretando indenizações milionárias.
Ainda, as empresas são responsáveis pelos atos ou omissões praticadas por empregados e colaboradores. Assim, em caso de vazamento ou uso indevido de informações por culpa ou dolo de funcionário, a empresa responde de forma objetiva (artigo 932, III, do Código Civil).
Mais do que nunca, o treinamento, conscientização e fiscalização dos funcionários para o uso de ferramentas de TI, bem como a implantação de políticas e normas de segurança pela empresa, terá papel fundamental.
A preocupação jurídica com a adoção de soluções de big data concentra-se, assim, em em duas questões fundamentais. Primeiro, na origem das informações obtidas: se a forma de coleta, guarda e uso de dados cumpre as prescrições do Marco Civil. Segundo, se na guarda destes dados são adotadas medidas e soluções de segurança eficazes, que protejam contra vazamentos ou acessos indevidos.