Por Aline Klayse dos Santos Fonseca, membra do Grupo de Estudos 2022 do Legal Grounds.
Orginalmente publicado no Consultor Jurídico (Conjur), em 11 de novembro de 2022, 15h19
No atual estágio da sociedade, parte expressiva das atividades econômicas é aprimorada por meio de novas tecnologias e da utilização de grandes volumes de dados que passam a exercer o papel de ativo econômico, o que, atrelado ao compartilhamento dos dados pelos usuários em troca de serviços e produtos aparentemente fornecidos de forma gratuita, tornam-se valiosos quando submetidos às diversas técnicas de tratamento, sobretudo porque as informações delas decorrentes servem de base para tomada de decisões estratégicas em diversos setores da economia.
A natureza dos dados coletados é diversa. Incluem dados sobre o nível de consumo, localização, dados relacionados à saúde, gravações de vozes e captura de imagens, de modo que, por meio de correlação e ferramentas analíticas avançadas, seja possível aprender novas informações sobre os usuários. Sendo os dados o principal recurso da economia do Big Data e a “matéria prima” cobiçada por diferentes interesses econômicos e sociais, fomenta-se dinâmicas de poder que monetizam, exploram e impactam direitos fundamentais, em relações assimétricas, seja do ponto de vista objetivo (quantidade de dados coletados), seja do ponto de vista subjetivo (quem tem acesso aos dados e a coleta).
Nesse cenário, respeitadas as distinções ônticas, os dados são compreendidos como o “novo petróleo” no sentido de produzirem informações digitais que representam o “combustível” do modelo econômico baseado em dados. Como tal, podem gerar “emissões de dados” prejudiciais ao ecossistema digital, interferindo negativamente nas instituições sociais e interesses públicos.
Menciona-se, a título exemplificativo, os eventos que envolveram a eleição presidencial dos Estados Unidos em 2016, em que o banco de dados de informações pessoais do Facebook foi usado para espalhar fake news, ou, ainda, quando um aplicativo de investigação genética armazena informações sobre o DNA dos indivíduos e possibilita obter informações sobre terceiros que compõem o ciclo biológico dos usuários que não consentiram em fornecer informações sobre sua genealogia. Tais exemplos assumem especial relevância, pois são fenômenos que afetam interesses da coletividade.
Assim, partindo-se da premissa de que coleta, mineração e tratamento de dados produzem externalidades negativas que “poluem” o ecossistema digital e assumindo que o conceito jurídico de poluição pode ser aplicado às dinâmicas e relações estabelecidas no ambiente digital, é pertinente a análise de como o regime jurídico aplicado ao Direito Ambiental pode gravitar no entorno do Direito Digital, auxiliando construções dogmáticas e regulatórias.
O estudo de Omri Ben-Shahar (2019) [1], denominado data pollution introduz o debate sobre as maneiras como a coleta e tratamento de dados pessoais afetam instituições, para além de danos individuais relacionados à privacidade. Olhando, pois, para o conceito de “poluição de dados”, apresenta razões pelas quais os instrumentos regulatórios são ineficazes, já que o critério dominante usado para avaliar os danos das empresas de dados pessoais é a privacidade, baseando-se na premissa de que os danos causados são de natureza privada, mas por pura agregação, esses danos têm um derivado superaditivo de natureza transindividual.
Nesta visão, a fronteira entre as diferentes categorias de dados (dados sensíveis, não sensíveis e mesmo entre dados pessoais e não pessoais), é cada vez mais difícil de ser traçada no Big Data. Por exemplo, o conteúdo de uma comunicação eletrônica pode ser criptografado e, mesmo que seja “descriptografado”, pode não revelar nada relevante sobre o remetente ou o destinatário. Porém, quando esses dados de comunicação são relacionados, podem apresentar as identidades e/ou a localização geográfica, aumentando o nível de intrusão sobre os indivíduos e fornecendo padrões que podem ser capazes de criar uma imagem íntima de uma pessoa por meio do mapeamento de redes sociais, rastreamento de localização, rastreamento de navegação na Internet, mapeamento de padrões de comunicação e insights sobre com quem interagiu [2]. Dessume-se daí que, tais intrusões são capazes de “poluir” o meio ambiente digital.
A linguagem contida nos documentos que tratam de dados pessoais e da economia digital comumente utiliza o termo “ambiente digital”. Tal expressão alcança a realidade que se vive na atualidade: um ambiente imerso e composto por elementos e artefatos digitais. Não apenas essa expressão indica alguma associação entre o direito digital e o direito ambiental, mas outras como “pegadas digitais” (semelhante ao termo pegadas ecológicas), “mineração de dados” ou comparação dos dados como o novo petróleo.
Nesse sentido, interessante definição sobre “informação ambiental” [3] é encontrada no artigo 2 (3) da Convenção sobre acesso à informação, participação do público no processo de tomada de decisão e acesso à justiça em matéria de ambiente, da qual se depreende que a informação se relaciona também ao meio ambiente em uma perspectiva mais holística.
O diálogo entre proteção de dados/direito ambiental tem como base dois conceitos estruturantes para a compreensão dos impactos às diversas espécies de meio ambiente, o que inclui o meio ambiente digital: o conceito de externalidade negativa e a noção de “tragédia dos comuns”.
As externalidades negativas existem sempre que alguém utiliza um recurso, mas é capaz de impor a outros os custos desse uso. Se um fabricante de tubos de aço deve pagar para usar recursos como ferro, e, consequentemente, emitir poluentes, os custos decorrentes de problemas respiratórios entre a população circundante não são suportados pelo fabricante, mas por outros na sociedade, fazendo que a empresa tenha pouco incentivo para minimizá-los. Isso leva a empresa a produzir muita poluição do ar e outras externalidades negativas. Para resolver este problema, é necessário obrigar a empresa a arcar ou “internalizar” os custos da poluição que está gerando para que ela tenha incentivo para reduzi-lo [4].
Por conseguinte, a ideia de “tragédia dos comuns” explica quão economicamente racional é o uso de um recurso de propriedade comum com base no interesse próprio e como isso pode levar à destruição desse recurso. Dennis Hirsch (2006, p. 24), utiliza o ensaio de Garrett Hardin para expor o exemplo de pastores de gado que pastam seus animais em um campo de grama de propriedade comum.
Do ponto de vista do pastor de gado individual é racional que ele aumente o número de gados que está pastando no campo, já que obtém benefício total de adicionar outro animal. Todavia, compartilha o custo de usar a grama com todos os outros que também têm o direito de pastar no campo, ou seja, o pastor individual, perseguindo seu próprio interesse, adicionando outras cabeça de gado ao campo, haverá tantos gados que eles vão comer a grama até o ponto que não pode se regenerar, tornando o campo inútil para fins de pastagem. Todos os criadores de gado perderão o acesso ao recurso, de modo que o que era individualmente racional acaba por ser coletivamente ruinoso.
Desse modo, o conceito jurídico de poluição aplicado aos dados está umbilicalmente relacionado ao conceito jurídico de meio ambiente aplicado à dimensão virtual/digital. Por mais dissimilar que uma primeira análise possa parecer, recorrendo analogicamente ao exemplo do aquecimento global que causa o desaparecimento de calotas polares, a expansão de bases de dados, disseminação de sensores que coletam dados, criação de perfis, associação de dados em rede, as invasões à privacidade e os ataques ao direito fundamental à proteção de dados se assemelha a crise da poluição ambiental original.
Por conseguinte, seguindo a premissa de que o conceito de poluição pode ser aplicado ao meio ambiente digital, avulta indagar como a dogmática do direito ambiental e as diretrizes regulatórias podem ser adequadamente aplicadas às relações jurídicas e externalidades negativas que decorrem no ambiente digital.
Antes, contudo, ressalta-se as insuficiências de uma abordagem regulatória do ambiente digital sob a perspectiva unicamente privada. No que diz respeito às Leis de Proteção de Dados que, comumente, têm como peça central o requisito de que os coletores de dados ofereçam aos titulares mais controle sobre seus dados pessoais e permitam restringir e personalizar sua coleta, há de se reconhecer que os titulares permanecem amplamente inconscientes dos efeitos prejudiciais de natureza coletiva, bem como sobre como a poluição de dados prejudica terceiros que não são parte da transação.
Pode-se dizer sem exagero que, mesmo se as empresas escrevessem políticas de dados em linguagem clara e legível, as questões subjacentes permaneceriam nebulosas e em constante mutação. Ademais, ainda que se analise a questão sob o prisma da reparação de danos, mormente em casos de empresas que colhem informações pessoais o devido consentimento, a compensação dos danos da poluição de dados deverá atentar ao requisito da causalidade (já que, em regra, o dano deve ser direto e imediato, e no caso de danos de natureza difusa o liame é difícil de ser estabelecido e nem sempre visível), da avaliação (devido à profunda incerteza que as pessoas têm sobre as consequências privadas do tratamento de dados pessoais) e das externalidades sociais (a estrutura compensatória para a poluição de dados teria que depender de ações de fiscalização pública) [5].
Assim, como tem-se sublinhado, a estrutura de poluição de dados abre possibilidade para novos dispositivos reguladores — uma espécie de lei ambiental para proteção de dados — que se concentra no controle desses efeitos externos. Neste sentido, à medida que o significado econômico dos dados cresce, insurge a necessidade de limitar a própria coleta de dados para proteger efetivamente os usuários no ambiente digital e reduzir a poluição de dados.
O princípio da necessidade está previsto no rol de princípios que norteiam as atividades de tratamento de dados pessoais, particularmente no inciso III, do artigo 6º, da Lei Geral de Proteção de Dados do Brasil (LGPD). Tal princípio visa assegurar que o tratamento dos dados pessoais ocorra através do “mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
Tal princípio assume duas facetas: implica no aumento de responsabilidade para aquele que coleta os dados já que o agente de tratamento deverá avaliar sobre quais dados são essenciais para alcançar a finalidade, pois quanto mais dados forem tratados, maiores serão as suas responsabilidades. A segunda faceta significa uma ideia de minimização do tratamento de dados, ou seja, apenas os dados imprescindíveis para a finalidade pretendida deverão ser tratados e, ainda que o agente coletor se responsabilize, aquilo que não for efetivamente útil, não deverá ser tratado sob pena de configuração de abuso de direito [6].
Depreende-se, então, que a poluição de dados está relacionada com o princípio da minimização dos dados. É um princípio que se concentra nos requisitos relativos aos próprios sistemas de processamento de dados (o ambiente digital em que o processamento ocorre), e não apenas nos direitos dos titulares dos dados. Assim, o que se protege é a qualidade das soluções tecnológicas utilizadas para o processamento de dados. Assemelha-se, portanto, a soluções que são implementadas na área do direito de proteção ambiental, pois estão focadas na proteção do próprio meio ambiente [7].
Reconhecer a possibilidade dos instrumentos legais usados no Direito Ambiental servirem para regular a poluição de dados pode parecer, en passant, não diretamente aplicáveis, dada as diferenças entre poluição natural e digital. Se a poluição natural pode, em alguns casos, ser eliminada, a poluição digital provavelmente não pode. Um “superfundo” para vazamentos de dados não parece fazer muito sentido. Ademais, os efeitos da poluição ambiental são sempre negativos, enquanto as emissões de dados podem criar externalidades positivas. Ademais, o uso de técnica de proibição de substâncias muito tóxicas lançadas ao meio ambiente parece, também, inaplicável aos dados. Serve a ilustrar, ainda, que os impactos ambientais podem ser medidos cientificamente como base para a análise de custo-benefício, ao passo que as externalidades de dados costumam ser qualitativas e conjeturais. Para tanto, basta questionarmos: qual seria o custo de uma eleição presidencial distorcida ou de um perfil racial discriminatório [8]?
Essas diferenças podem sugerir que não é adequada uma aproximação da abordagem regulatória à poluição ambiental na esfera de dados. Não obstante, a combinação de técnicas abstratas com a estrutura específica usada para controlar a poluição industrial lança luz à regulação de interesses transindividuais no meio ambiente digital.
Um desses instrumentos que exemplifica o diálogo entre o Direito Ambiental e o Direito Digital é a avaliação de impacto à proteção de dados pessoais e os requisitos processuais a ele relacionados, semelhante à avaliação de impacto ambiental, instrumento jurídico da Política Nacional do Meio Ambiente (PNMA), Lei nº 6.938/81, construído em simultâneo com o desenvolvimento do princípio da precaução. Um aspecto fundamental deste princípio é a avaliação dos riscos, pelo que uma avaliação de impacto devidamente conduzida, permite o cumprimento deste requisito.
Ademais, destaca-se na PNMA a necessidade de estarmos devidamente informados para participar ativamente na tomada de decisões sobre questões ambientais, razão pelo qual um dos objetivos da política é a divulgação de dados e informações ambientais e à formação de uma consciência pública sobre a necessidade de preservação da qualidade ambiental e do equilíbrio ecológico (artigo 4º, V).
Esta é uma distinção relevante entre a abordagem adotada no Direito Ambiental e o direito à proteção de dados, pois a informação ambiental atende ao propósito maior de participação ativa e coletiva na tomada de decisões e de maior informação sobre depósitos de matéria-prima, como são utilizados e quais as consequências de seu uso para a comunidade. De outro lado, os princípios de livre acesso e de transparência (artigo 6º, IV e VI da LGPD) não atendem primordialmente a tal propósito, não obstante permitir o aumento do conhecimento do titular sobre a utilização efetiva dos seus dados pessoais na economia digital.
Nessa esteira, ao buscar essa comparação, pode-se afirmar que aumentar a transparência não significa que quem está usando dados pessoais e moldando o ambiente digital será responsabilizado por suas ações pelo titular dos dados. A accountability na relação entre um particular e o responsável pelo tratamento ou subcontratante depende dos instrumentos que concedem e facilitam o acesso à justiça [9].
Na referida linha de intelecção, as lições do Direito Ambiental evidenciam instrumentos jurídicos que asseguram o acesso à justiça, direito consagrado oficialmente no princípio nº 10 da Declaração do Rio de Janeiro sobre Meio Ambiente e Desenvolvimento que prevê que no plano nacional, toda pessoa deverá ter acesso adequado à informação sobre o ambiente, assim como a oportunidade de participar dos processos de adoção de decisões.
Apesar da LGPD ter silenciado quanto aos aspectos processuais pertinentes à tutela coletiva de dados pessoais (de modo distinto do GDPR, principal norma de inspiração do legislador brasileiro, e que dispõe no artigo 80 sobre a representação dos titulares de dados), deve-se recorrer aos artigos 5º da Lei nº 7.347/1985 e 82 do CDC, que são as principais regras jurídicas sobre a legitimidade extraordinária aplicáveis ao tema, permitindo medidas que possam enfrentar os desafios coletivos decorrentes do desenvolvimento da economia digital.
Outro argumento ligado de algum modo ao diálogo entre Direito Ambiental e Direito Digital, refere-se à previsão legal disposto no artigo 9º, parágrafo 1º da Convenção de Aartus sobre a possibilidade de revisão do processo administrativo que se findou com o pedido de informação ignorado, indevidamente recusado, em parte ou na totalidade, ou respondido de forma inadequada, o que afronta o direito à informação ambiental.
Desse modo, apesar de tal Convenção não ter sido ratificada pelo Estado Brasileiro, serve como inspiração legislativa, mormente no que se refere a participação coletiva com as disposições da LGPD, ainda insuficiente para permitir um acesso mais extenso e que tutele adequadamente a dimensão transindividual do direito à proteção de dados. Assim, reforçar a intersecção dialógica entre o Direito Ambiental e o Direito Digital permite a abertura normativa para a tutela do que há em comum entre estes ramos do Direito: o meio ambiente.
[1] SHAHAR, Omri Bem. Data Pollution. Journal of Legal Analysis. V. 11, 2019, p.106 .
[2] SLOOT, Bart van der. Regulating non-personal data in the age of Big Data. In Health data privacy under the GDPR : Big Data challenges and regulatory responses (pp. 85-105). M. Tzanou (Ed.), Routledge, 2020, p. 91.
[3] Informação ambiental: qualquer informação apresentada sob a forma escrita, visual, oral, electrónica ou outra sobre: a) O estado de elementos do ambiente, tais como o ar e a atmosfera, a água, o solo, a terra, os locais de interesse paisagístico e natural, a diversidade biológica e os seus componentes, incluindo os organismos geneticamente modificados e a interacção entre estes elementos; b) Factores, tais como substâncias, energia, ruído e radiação e actividades ou medidas, incluindo medidas administrativas, acordos em matéria de ambiente, políticas, legislação, planos e programas que afectem ou que sejam susceptíveis de afectar os elementos do ambiente referidos na alínea a), bem como análises custo‑benefício e outras análises económicas e pressupostos utilizados no processo de tomada de decisões em matéria ambiental; c) O estado da saúde humana e da segurança, as condições de vida dos indivíduos, os locais de interesse cultural e as estruturas construídas, na medida em que estes elementos sejam ou possam ser afectados pelo estado dos elementos do ambiente ou, através desses elementos, pelos factores, actividades ou medidas referidas na alínea b).
[4] HIRSCH, Dennis. Protecting the Inner Environment: What Privacy Regulation Can Learn from Environmental Law. Georgia Law Review, Vol. 41, No. 1, 2006, p. 23.
[5] SHAHAR, Omri Bem. Data Pollution. Journal of Legal Analysis. V. 11, 2019, p.120.
[6] FLUMIGNAN, Silvano José Gomes; FLUMIGNAN, Wévertton Gabriel Gomes. Princípios Que Regem o Tratamento de Dados no Brasil. In: Comentários à Lei Geral de Proteção de Dados: Lei Nº 13. 709/2018, com alteração da Lei Nº 13.853/2019. Cintia Rosa Pereira de Lima (Coord.). São Paulo: Almedina, 2020, p. 129.
[7] SŸOK-WÓDKOWSKA, Magdalena; MAZUR, Joanna. Regulating the digital environment: What can data protection law learn from environmental law? Review of international, european and comparative law. 2021, Vol. XIX, p. 19.
[8] SHAHAR, Omri Bem. Data Pollution. Journal of Legal Analysis. V. 11, 2019, p.126.
[9] SŸOK-WÓDKOWSKA, Magdalena; MAZUR, Joanna. Regulating the digital environment: What can data protection law learn from environmental law? Review of international, european and comparative law. 2021, Vol. XIX, p. 38.
