O aniversário de 15 anos do Facebook, completado neste mês de fevereiro, está sendo comemorado sob mau tempo. Hoje encabeçando um conglomerado que ainda inclui o Instagram e o WhatsApp, a rede social mais popular do planeta lidera um imenso emaranhado de informações pessoais de mais de 2,6 bilhões de usuários, segundo levantamento divulgado no último semestre pela própria empresa. Cobiçados, os dados de tantos clientes estão no centro de uma série de escândalos recentes que incluem a violação desses registros. A Europa, particularmente, fechou o cerco: desde o ano passado, começou a aplicar multas em casos de vazamentos, além de exigir transparência no uso das informações dos internautas.
As medidas surgem como resposta a um dos casos mais rumorosos de violação de informações, que veio à tona em 2018, quando uma reportagem dos jornais The Guardian, da Inglaterra, e The New York Times, dos EUA, revelou que Aleksandr Kogan, estudante da Universidade de Cambridge, no Reino Unido, havia criado um aplicativo a ser usado no Facebook buscando conhecer a personalidade de terceiros. Mais de 270 mil usuários baixaram a invenção.
O problema é que, devido a uma falha nas configurações do Facebook, além de ter acesso às informações das pessoas que fizeram o download, Kogan acabou recolhendo também os dados de todos os amigos desses indivíduos. A base de análise de perfis do pesquisador saltou para nada menos do que 87 milhões. E ele vendeu os registros à Cambridge Analytica, empresa de inteligência digital que coleta e relaciona dados para ações de marketing digital, por US$ 800 mil. Essas informações, posteriormente, foram usadas para construir estratégias políticas para a campanha eleitoral do então candidato à presidência Donald Trump, que enviou mensagens direcionadas e, segundo investigações em curso nos EUA, inclusive notícias falsas buscando convencer eleitores.
Com uma legislação menos intervencionista na relação entre indivíduos e empresas, os EUA monitoram esse tipo de ação sem tanta rigidez. Não é o que ocorre na Europa, que desde o ano passado conta com uma legislação mais rígida no que diz respeito ao vazamento de dados.
O Regulamento Geral de Proteção de Dados na União Europeia (GDPR, sigla em inglês) foi proposto em 2012. Aprovado pelos países que compõem o bloco em 2016, entrou em vigor em 2018, decorridos os dois anos de prazo necessário para que as áreas privadas e públicas se ajustassem às novas diretrizes. O GDPR é um conjunto de leis formado por 99 artigos que prevê uma série de regras padrão sobre como empresas e órgãos devem lidar com as informações pessoais da população pertencente à comunidade europeia. Um dos destaques da legislação fica para o poder que os cidadãos têm sobre seus registros online. Por exemplo, as empresas devem discriminar de maneira objetiva o que elas fazem com os dados coletados. Se não aprovar o que é feito, o cliente pode solicitar mudanças e, inclusive, a exclusão de informações que o empreendimento detém sobre ele. Além disso, quando a base de dados da empresa for hackeada, ela precisa comunicar o ocorrido aos usuários e à agência reguladora do país em menos de 72 horas. Em caso de desrespeito a essas e a outras regras, multas podem chegar a US$ 20 milhões, dependendo do faturamento da empresa.
Francisco Cruz, diretor do Centro de Pesquisa em Direito e Tecnologia (InternetLab), comenta:
– Nos EUA, preza-se pela autonomia do cidadão de contratar o que ele quiser. O que mais preocupa o governo é a segurança nacional. A vigilância estatal é muito mais voltada para a soberania do país. Na Europa, criou-se um ambiente em que a ação das empresas é mais tutelada pelo Estado.
Companhias como o Facebook não deveriam ter permissão para se comportarem como gângsteres digitais no mundo online, considerando a si mesmos acima da lei.
TRECHO DE RELATÓRIO PRODUZIDO PELA CÂMARA DOS COMUNS, NA INGLATERRA
Integrante da Comissão Especial em Segurança da Sociedade Brasileira de Computação, Avelino Zorzo aprova a rigidez europeia:
– Os empreendimentos colhiam informações de maneira livre. A partir das interações e ações do usuário, dentro ou fora da plataforma, era traçado um perfil de comportamento que possibilitava que os algoritmos do Facebook, por exemplo, entendessem do que aquela pessoa gosta, quais são suas preferências etc. Isso é bom, essa tecnologia é útil para o cliente, porque ele vai entrar em contato com conteúdo que lhe agrada. O problema é que não fica explícito nos termos de contrato que outros usos a rede faz dessas informações. Com a mudança na Europa, as leis realmente passam a ser aplicadas para zelar pela proteção dos cidadãos.
A permissão do consumidor
Mas, mesmo na Europa, a regulação varia. As culturas mudam de país para país, o que implica em construções jurídicas diferentes. Entretanto, tudo se apresenta de maneira convergente, define Cruz.
– Tem-se a ideia de que o Estado precisa tomar medidas para garantir o direito das pessoas à privacidade e sua autonomia em relação ao que lhe diz respeito. Essa ideia foi muito influenciada por uma concepção de que os indivíduos estão em posição de desvantagem no que tange ao conhecimento para saber como os dados são controlados e tratados. Os governos supõem que é necessária a intervenção também para inibir a prática de cartel e o poderio das grandes empresas, como Facebook e Google, e para dar mais poder de escolha aos consumidores – diz o diretor do InternetLab.
Foi na Alemanha que a busca pela paridade da justa concorrência entre as empresas fez o Facebook sofrer seu maior baque. Para além das regras do GDPR, o Bundeskartellamt, autoridade alemã que almeja promover a competitividade igualitária entre os empreendimentos, anunciou que as informações obtidas nos demais aplicativos do grupo, como Instagram e WhatsApp, bem como nos sites nos quais o usuário realiza login por meio de sua conta de Facebook, só poderão ser usadas se o cliente der permissão.
A coleta de dados em outros aplicativos é um requisito para o uso do Facebook em si, conforme consta nos seus “termos e condições”. Ou seja, para instalar o aplicativo no celular, o cliente consente que a empresa tenha acesso a esses registros. Esse é o ponto de conflito entre a regulação alemã e o Facebook, já que o país quer que os outros aplicativos emitam uma notificação de solicitação de consentimento para que os dados possam ser compartilhados. A decisão do Bundeskartellamt impede que as bases de dados sejam cruzadas.
Tal medida vale também para parceiros com os quais a empresa tem acordos. É importante ressaltar, no entanto, que essa determinação ainda está sujeita a recursos e não tem prazo para ser implementada.
Em reação às novas regras, o Facebook divulgou uma nota, no último dia 7, manifestando descontentamento. “O Bundeskartellamt descobriu em sua pesquisa que mais de 40% dos usuários de mídia social na Alemanha nem usam o Facebook. Enfrentamos uma concorrência acirrada no país, mas o Bundeskartellamt considera irrelevante que nossos aplicativos concorram com YouTube, Snapchat, Twitter e outros”, diz a nota, assinada por Yvonne Cunnane, chefe de Proteção de Dados, e Nikhil Shanbhag, diretora e conselheira geral associada do Facebook no país. Segundo elas, a análise das publicações compartilhadas “melhora a experiência do indivíduo dentro da plataforma”.
Foco nas fake news
Se, na Alemanha, a batalha das agências reguladoras se dá contra o monopólio no mercado de dados, na Inglaterra a preocupação é em relação à desinformação. A pressão feita pelo parlamento inglês é para que empresas de tecnologia ajudem a esclarecer os casos de manipulação política por meio do uso de registros pessoais para fins ideológicos. Um relatório concluído neste ano pelo Comitê de Cultura, Digital, Mídia e Esporte, da Câmara dos Comuns, chegou a afirmar que “companhias como o Facebook não deveriam ter permissão para se comportarem como gângsteres digitais no mundo online, considerando a si mesmos acima da lei”.
O debate sobre a regulação, com foco específico no Facebook, está em curso no parlamento inglês. Os congressistas têm mostrado preocupação com o fato de que as empresas de tecnologia não têm se mostrado capazes de interromper o fluxo dos conteúdos falsos. Devido à ineficiência no combate à disseminação de fake news, o Facebook foi multado no ano passado, pela autoridade de privacidade do Reino Unido, em 500 mil libras. Na autuação, o órgão regulatório do país mencionou que a empresa não conseguiu evitar que dados de seus usuários caíssem nas mãos da Cambridge Analytica.
Na França, que tem legislação adequada às normas da GDPR, as punições a empresas que não respeitam a política de privacidade são maiores. Neste ano, o Google teve de pagar US$ 50 milhões.
O governo de Emmanuel Macron, no entanto, tem buscado estabelecer uma relação mais cordial e menos conflitante com empresas como o Facebook. Em seu discurso no XIII Fórum para Governança de Internet, na Organização das Nações Unidas para a Educação, a Ciência e a Cultura (Unesco), em 2018, o presidente francês anunciou que estabeleceu uma parceria com o Facebook para um combate conjunto à divulgação de mensagens racistas, sexistas, antissemitas e homofóbicas na web.
No Brasil, há prazo para mudanças
No Brasil, há mobilização no sentido de proteger as informações dos usuários das redes sociais. Após uma série de discussões, a Lei Geral de Proteção de Dados Pessoais (LGPDP) foi sancionada, em agosto de 2018, pelo então presidente Michel Temer, mas só passará a vigorar em 2020. O conjunto de regras prevê como os dados dos indivíduos podem ser coletados e determina as punições para as violações cometidas por empresas. Agora, o imbróglio é outro – isso porque não ficou decidido que autoridade fará a fiscalização, observa Avelino Zorzo:
O que há no Brasil, basicamente, é que temos as leis, mas não temos alguém responsável pela fiscalização delas. Assim, a fiscalização acaba acontecendo de maneira não articulada.
ADELINO ZORZO
Integrante da Comissão Especial em Segurança da Sociedade Brasileira de Computação
– O que há no Brasil, basicamente, é que temos as leis, mas não temos alguém responsável pela fiscalização delas. Assim, a fiscalização acaba acontecendo de maneira não articulada.
Temer aprovou a LGPDP, mas vetou a sugestão do Congresso de criar uma autarquia com independência de verba dentro do poder Executivo. Em função disso, em um de seus últimos dias como mandatário, o ex-presidente assinou a Medida Provisória (MP) 869/18, que instituía a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e a devolveu à Câmara para apreciação.
Na redação da MP, Temer decidiu que cabia ao presidente da República indicar os membros da diretoria do órgão e que os mandatos desses diretores seriam de quatro anos. Os indicados ao cargo poderão perder o posto se condenados pela Justiça e se demitidos em razão de processo administrativo disciplinar. O conselho da ANPD, segundo o texto, deve ser composto por cinco diretores, incluindo o presidente, mais 23 pessoas do poder Executivo, da Câmara, do Senado e da sociedade civil. Porém, até o momento, a MP não foi avaliada, e sua data para votação expira no próximo dia 4 de abril.
No que diz respeito ao Facebook, particularmente a pressão pela privacidade dos cidadãos e os acordos que foram firmados com o governo francês, por exemplo, têm transformado as políticas globais da empresa. Conforme Zorzo, as exigências pontuais feitas pelos governos, se cruzadas, podem inviabilizar a operação da plataforma da maneira como ela está posta.
– Quando é necessário adaptar um sistema para que ele funcione de diferentes maneiras em diferentes localidades, a operação desse produto torna-se mais pesada e complicada de ser executada. Assim, pode acontecer, inclusive, de o Facebook e de outras plataformas digitais que trabalham com dados pessoais terem de mudar seus modelos de negócio. Especialmente na zona europeia, esse pode ser o caminho – assinala o integrante da Comissão Especial em Segurança da Sociedade Brasileira de Computação.
