Como proteger dados não pessoais?

No manual de instruções de palestras sobre Lei Geral de Proteção de Dados (LGPD) existe uma previsão objetiva de que o orador não pode deixar de mencionar que “dados são o novo petróleo”. Apesar de super batido, e até chegar a doer o ouvido escutar esse tipo de afirmação, o fato é que os dados realmente são elementos muito valorados na era da informação. No entanto, uma evolução desse comparativo cabe ser compartilhada.

Da mesma maneira que o direito ambiental surgiu para estabelecer limites para a indústria do petróleo e tantos outros setores, as normas que tratam da proteção de dados pessoais foram criadas para situar limites no uso dos mesmos, especialmente por empresas. Assim, a quarta revolução industrial, da mesma forma que as anteriores, teve que se adequar aos parâmetros normativos.

Enquanto a questão ambiental estimulou o surgimento de uma indústria de energia limpa e renovável, as normas de proteção de dados pessoais ensejaram um novo patamar para as empresas de tecnologia. Assim, de maneira inédita, podemos dizer que “dados não pessoais são a nova energia solar”. E dessa afirmação surge um grande desafio jurídico:

Como proteger dados não pessoais?

Os dados não pessoais são aqueles que não possuem informações pessoais identificáveis, como o número de pessoas de determinado município que moram de aluguel, ou dados em relação a indústrias, como agronegócio, transporte, clima, entre outros.

Diferente da proteção dos dados pessoais, fundada nos direitos humanos, no contexto de dados não pessoais, o que se observa é uma tendência de plena liberdade, onde os regulamentos, em contrapartida, são criados para tornar os dados não pessoais mais acessíveis e o compartilhamento mais seguro.

Os dados não pessoais possuem forte apelo econômico, por serem a fonte de desenvolvimento de muitos mercados atuais. A regulação do compartilhamento dos dados não pessoais já é assunto em forte discussão no cenário internacional, e projetos de lei e regulamentos começam a ser criados.

A União Europeia iniciou seu movimento em 2018, criando o “free flow of non-personal data” [1], regulamento que permitiu que dados não pessoais fossem armazenados e processados em toda a UE, visto que em alguns países existia a restrição de que dados não pessoais só poderiam ser processados e armazenados dentro do território em que tivessem sido coletados. Esse regulamento foi o primeiro do tipo publicado no mundo.

Dentro da estratégia de dados da UE [3], que objetiva tornar a União Europeia líder global no mercado de dados, em 2020 foi proposto projeto de lei para regular a governança dos dados não pessoais – o Data Governance Act, que sugere a criação de processos e estruturas para facilitar o compartilhamento de dados não pessoais.

E seguindo a tendência, em 2022 a UE propôs outro projeto de lei, o Data Act [5], que complementa o tema sobre o livre fluxo de dados não pessoais. O texto final dos dois projetos citados foram aprovados pelo Parlamento Europeu e passarão pela análise do Conselho da União Europeia.

O Data Act, em comparação com o Data Governance Act, esclarece quem poderá criar valor a partir dos dados não pessoais e sob quais condições, possibilitando que dados não pessoais estejam disponíveis para uso por todos os setores econômicos da UE, estimulando um mercado de dados mais competitivo, mas também regulamentando o acesso, delimitando quem poderá usar e acessar os dados e para quais propósitos.

A Índia, considerada um dos maiores mercados de dados do mundo [6], também já se posiciona em relação ao tema, e em 2021 alterou o seu projeto de lei de Personal Data Protection Bill (PDP) – que propunha a regulamentação de proteção de dados pessoais no país – para Data Protection Bill. A mudança foi sugerida porque o novo projeto regulamentará não só a utilização de dados pessoais, mas também o uso dos dados não pessoais no país.

No período em que a PDP estava em análise pela comissão mista do Parlamento da Índia, um comitê de especialistas constituído pelo Ministério de Eletrônicos e Informação Tecnológica da Índia (MeitY, na sigla em inglês) já havia lançado um report, no qual propôs um framework para a regulação de dados não pessoais, objetivando destravar o valor econômico e social dos dados não pessoais para empresas, startups e para o governo.

Enquanto os projetos de lei citados e o report seguem em análise, o MeitY se adiantou e lançou em 2022 projeto de uma política de uso de dados, a Data Usage Policy [9], buscando movimentar o setor público de dados não pessoais. O objetivo é que os dados não pessoais que são gerados pelo setor público da Índia sejam livres para acesso e tenham seu valor econômico explorado. Caso seja aprovada a política, os dados não pessoais poderão ser acessados por pesquisadores, startups, empresas privadas, empresas governamentais, entre outros.

Por que os agentes do cenário internacional têm se movimentado para regular o compartilhamento dos dados não pessoais?

Esses países já perceberam que os dados não pessoais são a base de diversos negócios da atualidade, que vão desde indústrias de agronegócio a indústrias de tecnologia. A União Europeia projeta que, em 2025, o mercado de dados não pessoais vai movimentar 829 bilhões de euros [10] nos países europeus. Os dados não pessoais não são mais objeto apenas de empresas de tecnologia, mas a base de muitos sistemas econômicos atuais. E garantir a acessibilidade e segurança desses dados em seu compartilhamento se torna essencial.

O Brasil ainda não possui regulamentação específica para compartilhamento/utilização e armazenamento de dados não pessoais. Os fundamentos para tal proteção estariam dispostos especialmente no contexto da legislação que trata sobre segredo industrial (LPI) [11], que protege informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços.

Em tal contexto, os arranjos contratuais passam a ser o único caminho para proteger o “ouro” das empresas de tecnologia. Cabe mencionar que muitas vezes em alguns desenhos de negócios os mencionados dados não pessoais podem nem existir quando da celebração do “deal”. Ou seja, objetiva-se proteger o produto muitas vezes decorrentes de operações cada vez mais complexas.

Para ilustrar o ponto, citamos as negociações envolvendo IoT (Internet das Coisas, na sigla em inglês). Em tais hipóteses, o que se observa é a troca contínua entre dispositivos de dados que podem ser fundamentais para determinadas indústrias. Por vezes, a empresa proprietária do dispositivo de coleta não objetiva transferir em definitivo tais dados para a empresa que opera determinado serviço. Reiterando-se a questão: como proteger dados não pessoais?

Algumas cláusulas se mostram fundamentais em arranjos que envolvam transferência de dados não pessoais. É o caso da operação de descarte de dados, cláusula muito conhecida pelos estudiosos de dados pessoais. No contexto das operações envolvendo dados não pessoais, o descarte também pode ser estabelecido contratualmente. As obrigações envolvendo descarte e comprovação da efetividade da exclusão dos dados, por parte das empresas receptoras, se mostram efetivas e podem ser comprovadas com auditorias adequadas.

De igual modo, as cláusulas penais são obrigações acessórias fundamentais em tais negócios, uma vez que estipulam, previamente, a aplicação de multa visando a impedir o inadimplemento ou retardamento do cumprimento da obrigação principal e/ou o ressarcimento do credor em caso de inadimplemento absoluto da obrigação pactuada, atendendo, a um só tempo, aos propósitos de utilidade e segurança jurídica.

A adoção de cláusula de confidencialidade determinando a vedação da revelação de informações confidenciais que uma ou mais partes terão acesso protege informações mais complexas, como o segredo industrial e/ou de comércio, que se violados pelo infrator, implicam em imediata presunção absoluta de dano em favor do lesado, a ser reparado com base nos valores pré-determinados na cláusula penal.

Apesar das cláusulas conferirem proteção jurídica aos contratos, ainda que ocorra a indenização pelos danos decorrentes de quebra contratual, é necessário considerar que podem ocorrer danos de mercado irreparáveis ao negócio. Neste contexto, se espera que os dados compartilhados entre as partes sejam protegidos de acordo com o seu valor de negócio. Para tanto, torna-se essencial a adoção de medidas técnicas e administrativas que objetivam assegurar os requisitos de qualidade dos dados, como Confidencialidade, Integridade, Disponibilidade e Autenticidade.

De acordo com as normas que compõem a família ISO 27000, uma vez constatada eventual quebra de um dos requisitos de qualidade dos dados as organizações estão diante de um incidente (vazamento de dados) que, em síntese, são eventos que permitem o acesso não autorizado, modificação da informação ou limitação de uso de informações protegidas [12].

Não obstante a ausência de submissão dos dados não pessoais à LGPD, um incidente de segurança envolvendo esta categoria de dados poderá impactar nos processos de negócios das organizações, considerando que os dados não pessoais podem ser o core da construção dos produtos de muitas empresas, que utilizem como base machine learning, big data ou deep learning.

Nesse sentido, um incidente poderá ocasionar a exploração de eventuais vulnerabilidades, podendo resultar em roubo de código-fonte, uso de engenharia reversa de software e consequente violação do segredo industrial e/ou comercial, nos termos da Lei de Propriedade Intelectual [13]. Ainda poderá ocasionar danos emergentes – que importa em prejuízos imediatos, lucros cessantes –, que remete à perda do lucro esperado em função de imprevistos decorrentes de culpa, negligência, imperícia ou omissão de terceiros e eventuais danos reputacionais.

Os dados não pessoais, além de oportunizarem uma melhor tomada de decisão, fomentam o desenvolvimento de tecnologias baseadas em dados (data driven technologies), a exemplo dos carros autônomos e cidades inteligentes, de modo que não há dúvida que os dados não pessoais compõem uma classe de ativos com crescimento exponencial.

Diante deste cenário, o trinômio dados não pessoais, cláusulas contratuais protetivas e utilização de ferramentas tecnológicas de armazenamento e tratamento seguro dos dados constitui potencial fonte de inovação a ser explorada, o que tornará inevitável a regulamentação da atividade de comercialização de dados não pessoais, devido ao seu grande potencial econômico.

*Artigo publicado originalmente no Jota.

^[1]Free flow of non-personal data (UE), disponível em: https://digital-strategy.ec.europa.eu/en/policies/non-personal-data Acesso em 03/05/2022.

^[2] Digital Single Market: Commission publishes guidance on free flow of non-personal data, disponível em: https://ec.europa.eu/commission/presscorner/detail/en/IP_19_2749 Acesso em 07/05/2022

^[3]European data strategy, disponível em: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en Acesso em 03/05/2022.

^[4] Proposal for a regulation of the european parliament and of the council on European data governance, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0767 Acesso em 07/05/2022

^[5] Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data, disponível em: https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data Acesso em 03/05/2022.

^[6] Which countries are leading the data economy? Disponível em:  https://hbr.org/2019/01/which-countries-are-leading-the-data-economy Acesso em 08/05/2022.

^[7] Personal Data Protection Bill, disponível em: https://www.meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf. Acesso em 03/05/2022.

^[8] The Journey of Índia’s Data Protection Jurisprudence, disponível em: https://www.lexology.com/library/detail.aspx?g=57720842-f709-4dd4-947b-44c3c6e4ed10 Acesso em 03/05/2022.

^[9]  Draft India data accessibility use policy 2022, disponível em: https://www.meity.gov.in/content/draft-india-data-accessibility-use-policy-2022 Acesso em 07/05/2022.

^[10] European data strategy, disponível em: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en Acesso em 03/05/2022.

^[11] Lei 9279 – Regula direitos e obrigações relativos à propriedade industrial – disponível em: planalto.gov.br Acesso em 03/05/2022.

^[12]PORTARIA Nº 93, DE 26 DE SETEMBRO DE 2019 – PORTARIA Nº 93, DE 26 DE SETEMBRO DE 2019 – DOU – Imprensa Nacional (in.gov.br) Acesso em 02/05/2022.

^[13]  Art. 210. Os lucros cessantes serão determinados pelo critério mais favorável ao prejudicado, dentre os seguintes:

I – os benefícios que o prejudicado teria auferido se a violação não tivesse ocorrido; ou
II – os benefícios que foram auferidos pelo autor da violação do direito; ou
III – a remuneração que o autor da violação teria pago ao titular do direito violado pela concessão de uma licença que lhe permitisse legalmente explorar o bem.