Rafael R. Garofano*
O ambiente urbano é cada vez mais reconhecido como espaço privilegiado de acesso e de oportunidades de uso intensivo de tecnologias de tratamento de dados, inclusive dados pessoais. A realidade dá espaço à propagação das chamadas “cidades inteligentes”, geridas por dados e caracterizadas pela capacidade de utilização de tecnologias para a geração, captação, processamento e análise de dados, visando, entre outros fins, à oferta de serviços públicos e ao desenvolvimento econômico e social1.
Devido à capilaridade de sua atuação e ao contato direto com os usuários-cidadãos (titulares dos dados), o Poder Público e as empresas operadoras/prestadoras de serviços públicos são potencialmente capazes de acessar e tratar dados pessoais em larga escala, principalmente nos centros urbanos adensados, ambiente no qual um grande volume de dados está ainda mais disponível2.
Não sem razão, cidades em todo o mundo estão cada vez mais incluindo soluções “inteligentes” na oferta de serviços, principalmente em setores regulados de infraestrutura urbana, como transporte público, mobilidade urbana, iluminação pública, água e resíduos, energia, telecomunicações, entre outros. A nova realidade exige o esforço dos Poderes Públicos – principalmente governos locais – na concepção de seus “Planos de Cidades Inteligentes”, destinados ao diagnóstico e planejamento das metas para absorção de novas TICs (Tecnologias da Informação e Comunicação) nos serviços urbanos.
Ainda é difícil prever os impactos da adoção de recursos baseados em IoT (Internet das Coisas), “Big Data” e IA (Inteligência Artificial) nos setores de infraestrutura. É possível imaginar a otimização dos gastos e o aumento da eficiência por meio de uma avaliação muito mais completa, detalhada e atualizada de praticamente todo o cenário do mercado de bens e serviços, incluindo perfis, hábitos e preferências dos usuários, o que poderia oferecer muitos parâmetros relevantes para a tomada de decisão relacionada à oferta de utilidades públicas.
Os projetos de “smart cities” podem se utilizar de inúmeros equipamentos presentes no ambiente urbano e dotá-los de inteligência embarcada e capacidade de comunicação em tempo real, oferecendo ao Poder Público parâmetros confiáveis para a tomada de decisões e para o planejamento de políticas públicas. As tecnologias inovadoras presentes na chamada “Indústria 4.0” podem ser absorvidas pelos entes públicos por meio de diferentes modelos de interação e parcerias com a iniciativa privada, viabilizando um controle efetivo, em tempo real, entre a oferta de serviços e as demandas efetivas da população.
Ao mesmo tempo, as chamadas “inovações disruptivas” e movimentos como o da “economia compartilhada”, ou ainda a crescente demanda por novos serviços e novas soluções de oferta de utilidades – inseridos quase sempre no ambiente digital/tecnológico dos centros urbanos –, exigem cada vez mais o aprimoramento da regulação, inclusive sob o ponto de vista do acesso às informações pessoais dos usuários-consumidores dessas utilidades. E quando as inovações são introduzidas em setores regulados – serviços públicos tradicionais, por exemplo –, a questão se apresenta ainda mais complexa devido à necessidade de equilíbrio entre as novas potencialidades tecnológicas – e seus riscos – e a garantia da prestação do serviço essencial.
A verdade é que há um enorme potencial de utilização de dados pessoais de usuários-cidadãos em praticamente todos os setores de infraestrutura, para inúmeras finalidades de tratamento, seja por serem às vezes imprescindíveis à prestação de tais serviços, seja para cumprimento do contrato, para assegurar direitos (gratuidades, por exemplo), para garantir a segurança dos usuários, para aprimorar os serviços ou ainda para execução de políticas públicas no próprio setor ou em outras áreas, além de outras finalidades acessórias como a exploração econômica por meio da comercialização dos bancos de dados com objetivo de incremento de receitas.
Entretanto, ao contrário de uma empresa privada qualquer, o operador/prestador de serviços regulados assume direitos e obrigações decorrentes das normas do serviço, em diferentes graus, a depender do regime incidente sobre a atividade (serviço público ou atividade econômica regulada). Nos contratos de infraestrutura, por exemplo, a delegação da atividade pressupõe a assunção de compromissos com as metas de universalização, isonomia e qualidade, assim como uma regulação mais forte voltada ao atendimento dos hipossuficientes (políticas de subsídios tarifários, por exemplo). A intervenção estatal (regulação) deve atender ao interesse público, sem, contudo, deixar de sopesar os efeitos e os impactos dessas decisões no subsistema regulado e, até mesmo, nos interesses individuais3.
Seria intuitivo presumir que a disciplina jurídica capaz de legitimar o tratamento de dados pessoais de usuários-cidadãos pelos operadores/prestadores comportaria particularidades em relação à regulamentação geral, ou seja, não poderia ou não deveria ser exatamente a mesma daquela dispensada a qualquer outra empresa que não possua este tipo de vínculo ou sujeição especial com o Poder Público. A existência de uma relação jurídica especial decorrente dos instrumentos de delegação/autorização, ou ainda da própria incidência da regulação estatal sobre a atividade de relevância pública, deveria atrair ou tornar necessária uma regulação específica sobre o tratamento de dados pessoais, em função da natureza, dos objetivos e da relação de sujeição ao regime legal do serviço/utilidade, ainda que em diferentes graus de incidência regulatória.
Ocorre que, ao contrário do que se poderia logicamente presumir, a recente regulamentação geral da proteção de dados pessoais no Brasil – Lei 13.709, de 14 de agosto de 2018 (“LGPD”) – e a sua leitura conjugada com as demais normas existentes no país sobre a matéria, apesar de abordar genericamente o tema do “tratamento de dados pessoais pelo Poder Público” (Capítulo IV), foi omissa em relação à disciplina do tratamento de dados pessoais aplicada aos serviços públicos ou de utilidade pública prestados por particulares sujeitos à regulação estatal.
Embora se dedique a regular – em linhas bastante gerais – o tratamento de dados pessoais pelo Poder Público, a LGPD nacional não parece ter sido efetivamente criada, pensada ou estruturada com a preocupação de disciplina mais específica das relações ou funções da Administração Pública. Tampouco se propõe a regular boa parte dos desafios que se colocam frente ao Poder Público para a necessária conjugação entre a proteção de dados pessoais, de um lado, e o exercício de suas funções típicas, de outro, à luz do atendimento ao interesse público, da execução de suas competências legais e do cumprimento das atribuições legais do serviço público.
A legislação traz apenas alguns contornos gerais – às vezes implícitos ou indiretos4 – de como devem se comportar os agentes de tratamento para viabilizar o uso de informações de usuários-cidadãos enquanto titulares de dados pessoais. É possível inferir-se o dever de observância das regras gerais da LGPD e o seu enquadramento em algumas das hipóteses de tratamento de dados pessoais pelo Poder Público, dada a relação de delegação ou sujeição regulatória existente. No entanto, não é possível extrair da legislação ou da regulamentação vigentes respostas sobre alguns dos aspectos mais fundamentais nos diversos setores de infraestrutura.
À primeira vista, algumas questões relevantes já se colocam, tais como se o fato de se tratar de dados pessoais de usuários de serviços regulados – e não de qualquer outro titular de dados pessoais – alteraria em alguma medida a lógica de funcionamento ou as exigências da LGPD, ou se, por se tratar de uma atividade econômica ou social classificada como serviço público ou de relevância pública – muitas vezes de caráter essencial –, haveria ou não alguma modificação ou flexibilização do cumprimento das regras de proteção de dados pessoais, especialmente em termos de direitos dos usuários-titulares. Na realidade, há inúmeras questões mais gerais relacionadas à regulação propriamente dita e às normas de proteção de dados pessoais aplicadas aos serviços regulados urbanos.
Sem a pretensão de realizar aqui um levantamento exaustivo, são exemplos de questões relevantes que já começam a surgir, as seguintes: Quais as hipóteses legais legitimam o tratamento de dados pessoais por operadores/prestadores de serviços nos setores de infraestrutura? Caso necessário, como deve se dar o consentimento para tratamento de dados pessoais de usuários dos serviços? Por se tratar, muitas vezes, de serviço essencial prestado sob regime de exclusividade, o “consentimento” do titular deve ser afastado ou relativizado? Como garantir acesso ao serviço e isonomia quando houver negativa do consentimento por parte do usuário-titular? O tratamento pelos operadores/prestadores pode ser legitimado com base em outras hipóteses legais, como por exemplo para fins de políticas públicas, cumprimento de obrigação legal ou contratual, ou ainda no “legítimo interesse” do controlador?
Haveria obrigação implícita aos contratos – ou demais títulos habilitantes de exploração da atividade – de tratar dados dos usuários para melhoria contínua do serviço ofertado? A busca pela melhoria da qualidade e eficiência (serviço adequado) poderia legitimar o tratamento de dados de usuários-titulares? Como equacionar questões como universalização, isonomia e não discriminação com os desafios da inclusão digital de usuários dos serviços nos setores de infraestrutura? Como assegurar os direitos dos hipossuficientes e ao mesmo tempo evitar o “enviesamento” e o risco de discriminação/segregação social a partir de decisões baseadas em análise de dados?
E mais, poderia haver um dever das operadoras/prestadoras de compartilharem entre si dados pessoais de usuários, ou cada tratamento de dados pode ou deve ser feito em separado segundo as suas próprias regras específicas? O Poder Público pode exigir o compartilhamento dessas bases de dados entre os operadores visando à melhoria dos serviços públicos? Como essa articulação poderia acontecer? Quais os instrumentos capazes de regular essa situação? No caso de serviços prestados em regime de competição, faz algum sentido eventualmente equiparar os bancos de dados pessoais a uma espécie de essential facility nos setores regulados? Quais os limites desse compartilhamento em prol do interesse público?
Enfim, como regular todas essas relevantes questões em diferentes setores, cada qual com a sua organização institucional e disciplina regulatória próprias? Por exemplo, quando houver agência reguladora, essa regulação deve ser feita pela agência ou pelo poder concedente? Como articular a relação e a cooperação interfederativa no âmbito dos serviços regulados em matéria de tratamento de dados pessoais? Qual o papel da ANPD nessa articulação institucional e interfederativa? Quais as diferenças e dificuldades no âmbito de serviços públicos de competência concorrente? Deve haver plano de articulação entre as esferas federativas? E como isso tudo impacta a regulação sobre o serviço?
Somam-se a essas inúmeras outras dúvidas aplicadas à realidade prática dos setores de infraestrutura, principalmente sobre aqueles sujeitos à maior incidência da regulação estatal, como os serviços públicos delegados (concessões e permissões). Por exemplo, há limites à exploração econômica de dados de usuários de serviços públicos, em função por exemplo dos objetivos da política pública e dos direitos dos usuários ou mesmo às metas de universalização e qualidade definidas nas normas setoriais? A remuneração do particular pode se dar mediante a exploração de dados pessoais (como receitas extraordinárias)? O particular pode ser remunerado pelo compartilhamento de dados pessoais com o Poder Público, para fins de políticas públicas por exemplo? E os usuários dos serviços, têm direito à remuneração pelo uso de seus dados pessoais?
Para além dos problemas já conhecidos (situação presente), a evolução da demanda por dados no contexto das “cidades inteligentes” ou das “cidades do futuro” aprofunda o seu nível de complexidade. A implantação de novas soluções tecnológicas nas cidades, nos diferentes setores, deve seguir cada vez uma lógica integrada a fim de possibilitar a “inovação compartilhada”, na qual os cidadãos participam efetivamente da produção de novas soluções e serviços no ambiente urbano. É o que, aliás, está por trás do próprio conceito de “cidade inteligente”: a integração de soluções e informações potencialmente capazes de promover benefícios ambientais, sociais e econômicos. E para potencializar os benefícios públicos da integração de dados, a infraestrutura tecnológica deve ser idealmente formatada como “plataforma aberta”, capaz de integrar todas as tecnologias disponíveis na cidade, com transparência e acesso irrestrito aos dados e informações por elas gerados, viabilizando a participação dos cidadãos na resolução de problemas das cidades.
Por isso, do ponto de vista da privacidade e da proteção de dados pessoais, o desafio da regulação se aprofunda ainda mais. É preciso diferenciar o que são “dados públicos” do que são “dados do público”. É necessário harmonizar regras de proteção de dados pessoais com as leis de acesso à informação pública e às políticas de dados abertos. E além disso, assegurar os direitos dos usuários dos serviços no contexto de cada setor regulado, dentro dos quais o direito à proteção dos dados pessoais, em um ambiente em que o usuário não possui a mínima capacidade ou “poder de escolha” de consentir com sua política de privacidade antes de fazer uso do serviço5.
Não se pretende aqui ser taxativo na apresentação dos problemas. Há inúmeras variantes de cada questão e os desdobramentos são praticamente infinitos. O que se quer chamar a atenção é para a complexidade e a [evidente] insuficiência da disciplina normativa atual para lidar com essas questões sensíveis para os serviços regulados no Brasil. Haverá sem dúvida necessidade de regulamentação, edição de normas complementares, orientações, guias e manuais de boas práticas, pesquisas, artigos de doutrina, decisões administrativas e judiciais, tudo com o intuito de balizar as ações e medidas administrativas a serem tomadas por parte dos órgãos e entidades da Administração Pública responsáveis pela regulação dos serviços de relevância pública ofertados à população.
Apesar de não se negar a importância das regras de proteção dos dados pessoais, elas só dão conta de uma parte do problema. É preciso ir além para estabelecer novas formas de regulação sobre o uso/tratamento da informação coletada. Trata-se de discutir quais possibilidades, quais riscos a serem evitados. Há toda uma nova partilha do mundo digital que se faz necessária, afinal “a intermediação digital inaugura um novo território comum sob disputa”6, a reclamar, no mínimo, a regulação pelo Direito do seu regime de exploração. Por essas e outras razões, as iniciativas regulatórias devem enfrentar questões complexas, para além de buscar apenas a preservação dos direitos fundamentais dos usuários-titulares.
Nos setores de infraestrutura, há um dilema adicional para a regulação que consiste no desafio de encontrar um equilíbrio entre “regulação do serviço” e “regulação do uso de dados pessoais” para finalidades a ele vinculadas, ou ainda para outras finalidades que possam ser de interesse do Poder Público (planejamento urbano das “cidades inteligentes”, por exemplo). E, ainda, o equilíbrio entre as iniciativas de acesso à informação e dados abertos, que ajudam a promover um governo mais transparente, participativo e voltado à inovação, e as consequências relacionadas à privacidade e à proteção de dados pessoais dos cidadãos.
Em alguns casos, por mais benefício público que se possa extrair, submeter as empresas operadoras/prestadoras à exigência de instalação de mecanismos custosos para a coleta e uso compartilhado de dados com o Poder Público pode afetar a modicidade tarifária ou inibir o acesso de novos prestadores ao setor (“entrantes”), em prejuízo à concorrência e aos objetivos de políticas públicas setoriais, entre outras questões relevantes que podem variar de setor para setor, a depender inclusive do regime incidente sobre a atividade (serviço público ou atividade econômica regulada, exclusividade ou competição etc).
O desafio será estabelecer o equilíbrio entre o estímulo à exploração da atividade econômica baseada em dados – sob pena de inviabilizar a realização de investimentos em inovação e a busca pelo desenvolvimento de novas tecnologias aplicadas aos serviços de relevância pública – e os interesses da sociedade, mediante regras adequadas e equilibradas de tratamento e compartilhamento de dados para órgãos reguladores estatais que possam se valer desses dados relevantes para o desenho mais eficiente e eficaz de políticas públicas, tudo com o maior nível possível de transparência e de controle social.
Para tanto, não se deve ignorar instrumentos regulatórios que já estão à disposição e que já podem ser utilizados ou, ao menos, adaptados. O quadro regulatório brasileiro vem sendo permanentemente aperfeiçoado exatamente para prover os reguladores de instrumentos para tornar as ações regulatórias mais previsíveis e mais aderentes à realidade do contexto no qual encontram-se inseridas. Exemplos disso são as leis que tornam obrigatória a realização de análises de impacto em várias situações, assim como se preocupam com a melhoria dos processos decisórios para que eles sejam mais inclusivos, participativos e fundamentados7.
Haverá necessidade de verificar a adequação e suficiência dos instrumentos regulatórios existentes, ou eventualmente até a proposição de novas ferramentas, métodos e processos para legitimar o tratamento de dados no âmbito dos serviços regulados, a serem “calibrados” de acordo com o nível de incidência regulatória em cada situação (concessão, permissão, autorização). As avaliações e os relatórios de impacto devem ser revistos e atualizados periodicamente diante do longo prazo da parceria/atividade, a fim de adequá-los às inevitáveis mudanças tecnológicas e até às mudanças de expectativas dos usuários-titulares.
As normas de regulação devem estabelecer normas e procedimentos para exigir o planejamento do tratamento de dados pessoais desde a etapa de preparação da delegação/autorização, articulando-o com o planejamento e as políticas públicas do setor. As providências preliminares devem já contemplar estudos direcionados ao design de privacidade de dados dos usuários pensado para o longo prazo, inclusive em termos de coordenação e definição dos agentes, pressupostos e autorizações necessárias, e da identificação do interesse público envolvido, a fim de justificar a necessidade e os limites do tratamento.
Devem estabelecer ainda regras claras sobre transparência e comunicação, direitos dos usuários-titulares, propriedade dos dados, política de dados abertos, assim como transferência de dados pessoais de usuários, continuidade da prestação, portabilidade, interoperabilidade e compartilhamento de dados pessoais. E na medida em que o tratamento de dados nos serviços regulados pode envolver o uso de inteligência artificial e algoritmos, devem disciplinar os contornos da responsabilidade civil do controlador (poder público ou prestador privado) em razão de eventuais falhas do serviço na atividade de tratamento.
Ao que tudo indica, isso vai requerer das partes uma estrutura deliberativa e uma interação muito próxima com os usuários e com a sociedade em geral na contínua aferição das expectativas dos titulares de dados pessoais para fins de maior legitimação dos processos de coleta, tratamento e compartilhamento de dados pessoais, com aprimoramento constante das estratégias de transparência e comunicação.
Ao Estado caberá cautela redobrada e uma disciplina mais densa que demandará uma análise casuística para delimitar adequadamente os contornos da regulação e o regime jurídico aplicável à proteção de dados de usuários na prestação de cada serviço regulado. Haverá necessidade de conjugação entre as regras de admissão para exploração da atividade; de cumprimento de metas e políticas públicas aplicáveis ao setor; da atividade fiscalizatória; e de uma regulação voltada ao tratamento dos dados pessoais dos usuários na perspectiva dos direitos fundamentais e de aspectos concorrenciais, setoriais, de acesso ao serviço e de qualidade da sua prestação.
E na dimensão das cidades “inteligentes” cada vez mais conectadas e integradas, o tratamento de dados pessoais coletados de fontes provenientes dos serviços regulados deve sopesar os potenciais benefícios públicos da coleta e uso compartilhamento de dados pelas empresas operadoras/prestadoras e pelo Poder Público, com os eventuais impactos que essa exploração possa causar à própria oferta da atividade de interesse público dentro do contexto setorial, inclusive na perspectiva do estímulo à inovação, ampliação de acesso e competição, se o caso.
A efetivação dessa regulação demanda uma instituição tecnicamente preparada e independente, que seja capaz de mediar os múltiplos interesses públicos e privados em disputa. Por isso, um dos primeiros desafios do desenho regulatório consiste justamente na “independência” ou “autonomia” do próprio regulador e sua posição de neutralidade em relação aos interesses em jogo (usuários-titulares, operadores/prestadores, Poder Público enquanto agente interessado nos dados coletados).
A complexidade da regulação do uso de dados na prestação de serviços públicos e a existência de subsistemas jurídicos em cada setor regulado reclamarão a análise contextual de cada atividade, inviabilizando o tratamento uniforme dos setores de infraestrutura como sendo sujeitos a um bloco comum de regras pertinentes aos limites objetivos para o tratamento e proteção de dados pessoais de usuários pelo Poder Público ou por empresas delegatárias do Estado. A regulação deve ser modulada para cada situação/problema existente (perspectiva setorial), além de adequada para cada momento do processo de delegação/autorização. Ela deve ser adequada e proporcional na medida necessária para o cumprimento dos objetivos constitucionais e legais, a reclamar metodologias ainda mais acuradas para os testes de legalidade/proporcionalidade exigidos para assegurar a validade do tratamento em cada situação.
Não há espaço para a ideia de regime jurídico único a regrar essa relação. Assim como ocorre com a discussão sobre a base legal do “legítimo interesse”, que virou uma espécie de “carta coringa regulatória” para abraçar uma miríade de possíveis usos dos dados pessoais, é necessário estabelecer critérios para a aplicação da base legal de tratamento para fins de execução de políticas públicas e finalidades de interesse público, com o objetivo de trazer previsibilidade e segurança jurídica na aplicação dessa base legal, evitando-se que o “interesse público” represente uma “porta aberta” para contornar a integridade contextual, os princípios e os direitos previstos na LGPD .
No momento em que a colaboração da iniciativa privada na oferta de serviços públicos se apresenta como uma das poucas alternativas à disposição do Estado brasileiro para ampliação dos investimentos em infraestrutura e para o cumprimento de metas de universalização e qualidade em diversos setores, a compreensão sobre como a introdução de regras de uso e exploração de dados de usuários-cidadãos pode interferir nos contratos em curso e nas novas relações parece não apenas uma questão relevante e oportuna, mas fundamental e urgente.
É certo que, por vezes, a novidade e as incertezas em torno de temas tão desafiadores limitam ou reduzem a regulação da matéria àquilo que é mais essencial. A própria natureza de norma geral da LGPD, por óbvio, não tem a pretensão de esgotar ou solucionar as eventuais dificuldades que possam surgir da aplicação prática de novos institutos e de novos conceitos, principalmente em setores mais específicos e no âmbito de relações jurídicas mais complexas. É nesse sentido que o “novo direito” se depara com o desafio da conjugação e da harmonia com os inúmeros institutos e instrumentos jurídicos já existentes. Será necessário algum esforço para essa conjugação e introdução das normas e das práticas de uso de dados pessoais nos setores de infraestrutura. Será necessário compatibilizar, interpretar, ressignificar, disciplinar novos padrões de conduta, novos procedimentos, enfim, fazer o antigo, o tradicional e o existente conversarem harmonicamente com o novo e com aquilo que ainda está por vir…
