Nas últimas semanas, a série LGPD e a fadiga do consentimento trouxe reflexões importantes sobre como tal fenômeno impacta o ecossistema de privacidade ao redor do mundo. Os dois primeiros artigos abordam o desenvolvimento da cultura do consentimento e os desafios concretos da obtenção da manifestação livre e inequívoca no ambiente online. Este artigo tem o como objetivo explorar o dilema do consentimento sob o prisma do titular de dados e os efeitos da sobrecarga informacional.
A sobrecarga informacional pode implicar em efeitos nefastos para a titular de dados, especialmente porque o desinteresse individual e a falta de engajamento mitigam o nível de autonomia sobre a decisão de consentir, especialmente em situações que merecem maior valoração e assertividade da titular sobre a operação de tratamento específica da qual se requer a autorização.
Por muito tempo a noção de autodeterminação informativa esteve intrinsecamente ligada à proteção de dados e à privacidade. A ideia por trás deste conceito, como defendido por pesquisadores, legisladores e ativistas da privacidade, é que as pessoas devem ser capazes de exercer controle efetivo sobre seus dados pessoais. Assim, ao longo das últimas décadas, grande parte das discussões relacionadas à proteção de dados destinaram um grande foco em torno do consentimento expressado pela titular de dados para o tratamento dos dados como exercício prático da autodeterminação.
Ocorre que, no contexto da chamada sociedade da informação em rede, marcado pelos fenômenos da digitalização e da desintermediação, o consentimento, por vezes, parece ser um conceito extremamente “teórico e sem significado prático”[1]. Na web, cada clique é uma transação, ou seja, toda vez que alguém navega na Internet, interage com vários atores e realiza centenas de ações.
As pessoas não tomam decisões conscientes sobre a proteção de seus dados pessoais toda vez que utilizam um determinado serviço on-line ou estabelecem uma relação comercial com cada um desses controladores, responsabilizando-os por suas práticas de coleta de dados, até porque tal processo seria extremamente oneroso. Conveniência e viés cognitivo limitam a capacidade dos indivíduos de tomar decisões racionais e, consequentemente, os impedem de dedicar seu tempo e esforço intelectual para ler e entender os termos e condições e as políticas de privacidade de cada serviço com o qual interagem. Assim, como em suas atividades diárias as pessoas têm a tendência de clicar “ok” para quase todas as solicitações que surgem em suas telas, as ciências comportamentais tendem a questionar o potencial do consentimento como medida de proteção da privacidade[2].
Além disso, existe uma limitação informacional, que, muitas vezes, está relacionada à complexidade da tecnologia. Na maioria das vezes, as funcionalidades de produtos e serviços são perfeitamente integradas e a consumidora não conhece com profundidade os seus fundamentos técnicos – eles “apenas funcionam”[3]. Ocorre que, via de regra, o processo de coleta, utilização e compartilhamento de dados pessoais é bastante rebuscado para ser transmitido às usuárias de forma breve e clara.
Nesse sentido, Helen Nissembaum discorre sobre o “paradoxo da transparência”. Ela explica que se as políticas de privacidade detalhassem minuciosamente cada fluxo, condição e exceção, elas seriam mal compreendidas ou, muito provavelmente, não seriam nem lidas[4]. Por outro lado, resumir essas práticas pode ser ainda mais prejudicial, pois eliminam detalhes importantes como, por exemplo, quais são as ferramentas de segurança que protegem as informações e que medidas são tomadas para anonimização.
A autora também destaca que a tecnologia muda muito rápido, tornando extremamente difícil que o indivíduo anteveja possíveis riscos no momento da coleta dos dados. Atualmente, o tratamento dos dados pessoais não pode mais ser visto como algo estático, cuja utilidade político-econômica se exaure no momento em que alcançada a finalidade para que foram coletados. Ao contrário, com tecnologias que se utilizam de Big Data, inteligência artificial e algoritmos é possível extrair novas informações não necessariamente relacionadas à finalidade original que ensejou a coleta desses dados.[5] Como argumenta Nissembaum, “estamos lidando com uma capacidade recursiva que é ilimitadamente extensível”[6]. Assim, o indivíduo não pode ser uma parte de pleno direito nesta relação quando não tem os meios ou a experiência para entender exatamente com o que está concordando.
O paradoxo da transparência esbarra necessariamente na chama ignorância racional[7], ou seja, dada a quantidade de informações e a complexidade dos conceitos, a única conduta racional possível é a da ignorância dos termos de uso e políticas de privacidade, implicando na completa desvalorização do consentimento nesse contexto e reafirmando a ideia de que a transparência é um paradoxo.
Políticas de privacidade extensas e escritas em linguagens não palatáveis apresentam pouquíssima efetividade[8], pois não auxiliam o usuário a realizar uma escolha efetiva e informada. Um exemplo disso é a profusão do termo “tratamento” de dados pessoais em políticas de privacidade desde a entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 ou LGPD). O uso de termos técnicos pode dificultar a compreensão de indivíduos que não estão acostumados com linguagem jurídica e reforçar a premissa da ignorância racional, na qual há a completa desvalorização de um texto parcial ou completamente ininteligível. Diversas empresas começam a se atentar e observar esses fenômenos, tanto é assim que algumas políticas de privacidade locais optaram pelo uso de termos coloquiais como “Usamos os dados”[9].
Como já abordado anteriormente em nossa série, a cultura do consentimento está em cheque, especialmente porque o fenômeno da fadiga do consentimento vai além do simples cansaço da pessoa em face das centenas de políticas de privacidade diferentes. No ambiente online, o desinteresse e a falta de engajamento das pessoas ao ato de consentir sobre o fluxo de dados preponderam, seja porque os temas são bem complexos e explicados de maneira truncada que dificultam a compreensão, ou ainda em virtude da excessiva quantidade de cliques[10] que a pessoa tem que fornecer para acessar os mais diversos conteúdos ou serviços.
Nesse sentido, no âmbito do consentimento coletado para fins de processamento de dados com base em cookies, pesquisas conduzidas na União Europeia apontam que o consentimento não é informado[11] e muitas vezes causa confusão nos indivíduos sobre a extensão daquela autorização. Alguns doutrinadores[12] analisam tal fenômeno e afirmam que ainda que os indivíduos sejam completamente informados, a gestão de todas as dimensões da privacidade por meio de um único consentimento apresenta impactos graves principalmente quando inserido em uma sociedade informacional na qual novas finalidades surgem a partir do avanço das tecnologias[13].
Como ocorre com o Regulamento Europeu de Proteção de Dados (GDPR) e a LGPD, o fato das leis modernas de proteção de dados elencaram diversas bases legais (e.g. execução de contrato, tutela da saúde e interesses legítimos do controlador ou de terceiro, etc.) que autorizam o tratamento de dados pessoais já aponta para a ideia de que haja uma confluência intrínseca entre finalidade pretendida e uso efetivo daquelas informações. A própria autoridade de proteção de dados do Reino Unido corrobora com essa premissa de que o consentimento não é a base legal mais fácil de ser aplicada, muito menos a base legal mais apropriada para toda e qualquer finalidade[14].
Com o intuito de endereçar o fenômeno da sobrecarga informacional, diversas instituições vêm adotando medidas que privilegiam a transparência efetiva (isto é, informações acessíveis, de fácil compreensão e apresentadas de modo direto e atrativo ao indivíduo) para endereçar os mandamentos legais e princípios positivados em lei, mas também para possibilitar que a experiência de sua usuária ou cliente não seja mitigada em razão da fadiga de cliques e aceites inócuos.
Uma das possibilidades é o estabelecimento do chamado “one-stop shop” (balcão único), não confundido aqui com as questões de competência de autoridades nacionais de proteção de dados no contexto europeu. O conceito é bastante simples: a titular de dados encontrará todos os controles sobre a sua privacidade e as maneiras de exercê-los em um único link, canal ou página. Dessa maneira, consegue ter acesso a todas as informações sobre seus dados pessoais, além de alterar suas configurações e preferências, ou revogar eventual consentimento dado anteriormente. Um exemplo de sucesso das iniciativas de “one-stop shop” pode ser encontrado no Check-Up de Privacidade do Google.
Outra alternativa que tem ganhado tração é a incorporação de valores que refletem um discurso democrático na própria tecnologia. Como Lawrence Lessig anteviu há quase 20 anos, em um mundo construído por software, o código é lei[15]. Logo, partindo da premissa de que a tecnologia é neutra, uma possível solução para as lacunas sistêmicas nos instrumentos legais de privacidade é usar a própria tecnologia para impor regras de proteção de dados.
Em vez de implementar uma estrutura que força as instituições a perguntar se a consumidora quer ser submetida a um tratamento de dados que pode ou não ser intrusivo, parece ser mais eficaz garantir que os valores incorporados à tecnologia sejam compatíveis com as expectativas sociais.
Esta abordagem é amplamente conhecida como “privacy by design” e determina que normas ou princípios devem ser inscritos nos produtos e serviços desde a sua concepção, como uma medida pró-ativa e não reativa.
Vale ressaltar também as Privacy Enhancing Technologies (“PETs”), tecnologias que reforçam a proteção de dados pessoais ou atuam como facilitadoras da fruição desse direito. Diante da fadiga do consentimento, as PETs surgem como uma estratégia regulatória alternativa e, embora muitas delas estejam em fase embrionária, representam inovações promissoras que podem contribuir para aumentar a efetividade da proteção da titular de dados pessoais. Um exemplo recente de PET é o Federated Learning of Cohorts (“FLoC”), uma tecnologia experimental utilizada pelo Google para direcionar anúncios.
O recurso, que visa substituir os famosos cookies de terceiros, ainda está em fase de testes e prevê a criação de “rótulos” para grupos de usuários com interesses semelhantes, sem a individualização da usuária. Esses rótulos seriam atribuídos pelo navegador e compartilhados com rastreadores de terceiros e anunciantes em toda a web.[16]
Na prática, os FLoC têm o mesmo objetivo do seu antecessor: entender o comportamento das pessoas para oferecer produtos e serviços específicos com base em suas preferências. A diferença primordial é que o novo sistema promete fazer isso de maneira a reduzir o compartilhamento de dados identificados ou potencialmente identificáveis na cadeia da publicidade digital.
É certo que não há bala de prata quanto aos tipos de proteção que devem ser incorporados a fim de promover a confiança no ambiente digital e refletir claramente as expectativas sociais, estimulando também a inovação. Entretanto, conforme demonstrado neste artigo, o consentimento para o tratamento de dados não é a única e nem a melhor forma de garantir o pleno exercício dos direitos à privacidade e à proteção de dados.
A sobrecarga informacional e a ignorância racional, marcas de uma economia baseada em dados, dificultam a compreensão da titular de dados, muitas vezes tornando o seu consentimento vazio ou implicando na total falta de engajamento. Assim, ao se pensar em modelos regulatórios de proteção de dados, é imperativo entender como as normas sociais e as limitações dos indivíduos têm um importante papel na concretização de direitos, de modo a evitar intervenções sem sentido ou desproporcionais e propiciar um ecossistema no qual a tecnologia pode exercer papel decisivo na elaboração de soluções que beneficiarão as usuárias e sua autodeterminação informativa.
[1] KOOPS, Bert-Jaap. The trouble with European data protection law. International data privacy law, v. 4, n. 4, p. 250-261, 2014.
[2] ZUIDERVEEN BORGESIUS, Frederik. Behavioural Sciences and the Regulation of Privacy on the Internet. Draft chapter for the book ‘Nudging and the Law-What can EU Law learn from Behavioural Sciences, 2014.
[3] O’BRIEN, David et al. Privacy and cybersecurity research briefing. Berkman Klein Center Research Publication, n. 2016-17, 2016.
[4] NISSENBAUM, Helen. A contextual approach to privacy online. Daedalus, v. 140, n. 4, p. 32-48, 2011
[5] MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will Transform How We Live, Work, and Think. New York: Houghton Mifflin Harcourt, 2014.
[6] NISSENBAUM, Helen. A contextual approach to privacy online. Daedalus, v. 140, n. 4, p. 32-48, 2011.
[7] ACQUIST, Alessandro; GROSSKLAGS, Jeans. What Can Behavioral Economics Teach Us About Privacy? Digital Privacy: Theory, Technologies and Practices. Boca Raton: CRC Press; 2007
[8] BAROCAS, Solon; NISSENBAUM, Helen. Big Data’s end Run Around Anonymity and Consent. In: Privacy, Big Data, and the Public Good. Edited by Julia Lane, Victoria Stodden, Stefan Bender, Helen Nissenbaum. Cambridge: Cambridge University Press. p. 59.
[9] Políticas de Privacidade do Google e do Mercado Livre. Disponível em https://www.mercadolivre.com.br/privacidade e https://policies.google.com/privacy?hl=pt-BR#whycollect. Acesso em 20/07/2021
[10] European Data Protection Board. Guidelines 05/2020 on consent under Regulation 2016/679. Disponível em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
[11] UTZ, Christine; DEGELING, Martin; FAHL, Sascha; SCHAUB, Florian; HOLZ, Thorsten. (Un)informed Consent: Studying GDPR Consent Notices in the Field. Disponível: https://arxiv.org/abs/1909.02638.
[12] SOLOVE, Daniel J. Privacy Self-Management and the Consent Dilemma. Harvard Law Review, v. 126, pp. 1880-1903, 2013, p. 1880.
[13] SCHWARTZ, Paul M.; TREANOR, William M.; The New Privacy. 101 MICH. L. REV. 2163 (2003). Available at: https://repository.law.umich.edu/mlr/vol101/iss6/36.
[14] ICO. GDPR Consent Guidance for Consultation. 2017. Disponível em: https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance for-consultation-201703.pdf
[15] LESSIG, L. Code and Other Laws of Cyberspace .2.0. New York: Basic Books, 2006.
[16] ROHR, Altieres. Google começa a testar tecnologia ‘FLoC’ para publicidade no Chrome, mas sites e concorrentes desativam rastreamento. Disponível em https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/04/21/google-comeca-a-testar-tecnologia-floc-para-publicidade-no-chrome-mas-sites-e-concorrentes-desativam-rastreamento.ghtml. Acesso em 25 de junho de 2021.
Comentários