Why Privacy by design is everything?

Porque razão a definição de privacidade é uma questão tão controversa?

A comunicação de encerramento do IAPP Europe Data Protection Congress 2018 realizada por Woodrow Hartzog (Professor of Law and Computer Science at Northeastern University School of Law and the College of Computer and Information Science) teve o impacto de uma verdade inconveniente e deixou a audiência sem muita vontade de comentar. Até os comentários do site oficial da IAPP preferiam abordar os temas correntes e banais do enforcement e do brexit, omitindo o doloroso tema trazido por Woodrow Hartzog.

Agora que a visão europeia de proteção de dados parecia estar a definir-se como o padrão mundial, centrando-se no conceito de controlo do utilizador vem Hartzog lançar a dúvida e rasgar novos horizontes. Contudo, é meu entendimento que o RGPD está suficientemente bem concebido para suportar esta nova visão de “design is everything” sustentada por Hartzog. Não só porque o RGPD incorpora “Privacy by Design” (ainda que carecendo de densificação) como porque aponta para a via das certificações e códigos de conduta.

Na sua comunicação ao Congresso, Woodrow Hartzog evidenciou como a definição de proteção de dados pessoais está ligada à visão europeia assente no conceito de controlo.

Mas recapitulemos com a ajuda das “Breves notas sobre a ressignificação da privacidade” de Erick Peixoto e Marcos Júnior que pode ver na integra aqui.

Comecemos por entender Privacidade, assente na ideia de umbrela word  (Daniel Solove em A TAXONOMY OF PRIVACY), ou seja, uma palavra que abriga distintos direitos da mesma família. Dentro do rol dos direitos da privacidade, destaca-se o direito ao sigilo, o direito à intimidade, o direito à imagem, o direito à honra, o direito à proteção dos dados pessoais.

Mas, em relação à privacidade, há desde logo uma diferença temporal entre os EUA e a Europa. Enquanto que nos Estados Unidos a discussão ganhava corpo ainda no século XIX, na Europa só se passa a uma preocupação mais concreta no pós-guerra, justamente depois da invenção do computador. A privacidade americana, no seu sentido inicial, dizia respeito ao direito de não ser incomodado, era uma derivação do direito à vida, de não ter nenhum mal infligido ao corpo, o que posteriormente foi levado para o aspeto moral. Não ser incomodado, ser deixado em paz, ou deixado só, são os sentidos possíveis do right to privacy.

O movimento pela privacidade que surge na segunda metade do século XX na Europa desvincula-se do sentido físico do right do privacy americano. A preocupação aqui é com o novo paradigma tecnológico que potencializou o tratamento de dados através do uso do computador. Preocupa-se, então, com os dados pessoais e com o controle sobre eles.

A preocupação dos europeus com a privacidade também difere da preocupação dos americanos no sentido de que a proteção dos dados pessoais é uma medida necessária, inicialmente, contra o Estado, numa relação vertical, ao passo que nos Estados Unidos, o direito à privacidade surge como uma garantia contra os abusos cometidos por particulares, ou seja, horizontalmente.

As raízes da privacidade nos Estados Unidos estão num direito do indivíduo, de caráter negativo, enquanto que as raízes europeias estão também na sociedade, apresentando características de direito positivo, no qual se exige do Estado que se tomem medidas para garantir a proteção de dados pessoais, como a instalação de órgãos de controle, além de a proteção visar grupos minoritários que podem sofrer discriminações com a exposição dos seus dados pessoais.

Na Europa desenvolve-se o aspeto social da privacidade na relação com o Estado e as grandes organizações.

Stefano Rodotà trata o direito à privacidade como “o direito de manter o controle sobre suas próprias informações e de determinar a maneira de construir a sua própria esfera particular”. Tais definições não se excluem, muito pelo contrário, incluem progressivamente novos aspetos de liberdade num conceito mais abrangente de privacidade. Contudo, conforme Woodrow Hartzog muito bem exemplificou na sua comunicação ao Cogresso da IAPP Europa, usando de várias declarações publicas de personalidades de projeção mundial, o conceito dominante é, atualmente, o de controlo pelo utilizador.

No Congresso da IAPP Europa, Woodrow Hartzog tentou demonstrar que a definição da proteção de dados através do conceito de controlo é ilusória e que a realidade tem vindo a mostrar que a privacidade só poderá vir a ser alcançada através da Privacy by Design, ainda que, concretizando o conceito de Privacy by Design, retirando-o da subjetividade atual.

Para Woodrow Hartzog, a doutrina jurídica atual trata a tecnologia como se ela fosse neutra em termos de valor, cabendo ao utilizador decidir se ela funciona para o bem ou para o mal. Mas isso não é verdade. Como Hartzog explica, as aplicações informáticas de uso comum são concebidas para expor as pessoas e manipular os utilizadores.

O modelo de negócio predominante na Internet consiste em recolher o máximo de dados possível e vendê-los ou usá-los para alcançar ou persuadir os utilizadores. O valor dos dados pessoais leva a que a generalidade das empresas decida dar primazia às estratégias que maximizem a recolha de dados.

A realidade é que, os utilizadores da Internet interagem com tecnologias criadas para minar a sua privacidade. As aplicações das redes sociais, as tecnologias de vigilância e a Internet das Coisas são todas construídas de forma a dificultar a proteção de informações pessoais. E a lei diz que está tudo bem, porque cabe aos utilizadores protegerem-se quando todos sabemos que é impossível ler, compreender e decidir sobre a enorme quantidade de Termos e Condições, Política de Privacidade e Política de Cookies com que somos confrontados.

É fácil de ver que Hartzog não representa só o pragmatismo americano, Hartzog fala de algo que todos sabemos que é verdade, mas que evitamos enfrentar.

Contra a opinião dominante, Hartzog afirma que os ganhos em privacidade virão de melhores regras para as aplicações informáticas e não pelo dito “controlo” exercido pelos utilizadores. O atual modelo de utilizador regulador promove a reprodução da inoperância do atual paradigma. O livro Privacy’s Blueprint de Hartzog visa corrigir isso desenvolvendo os fundamentos teóricos de um novo tipo de lei de privacidade que responda à forma como as pessoas realmente percebem e usam as tecnologias digitais. A lei deve poder proibir interfaces maliciosas que enganam os utilizadores e os deixam vulneráveis. Pode exigir salvaguardas contra os abusos da vigilância biométrica. Pode, em suma, tornar a própria tecnologia digna da nossa confiança.

A comunicação de Woodrow Hartzog no encerramento do IAPP Europe Data Protection Congress 2018 foi estimulante e fundamentada. Não é correcto empurrá-la para debaixo do tapete.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)