“Dados são o novo petróleo”, decretou Qi Lu, engenheiro que fora responsável pelo buscador Bing, o Google da Microsoft, em um evento para desenvolvedores da gigante tecnológica em 2016. Tal afirmativa não é à toa. As maiores e mais valiosas empresas de tecnologia do mundo usam da coleta de dados como combustível para alimentar novos produtos e negócios. É sabido que a imaginada inteligência artificial que irá resolver boa parte dos problemas do dia-a-dia não surgirá sem a coleta massiva de informações de todo o tipo, e de todo mundo. Mas, antes disso acontecer, as preocupações mais recentes são voltadas para que essa mina de ouro não caia nas mãos erradas e seja usada para impulsionar ideias escabrosas como a da Cambridge Analitica, que capturou indevidamente as informações de 88 milhões de usuários do Facebook para induzir, com anúncios, posts forjados e fake news, eleitores cadastrados na rede social a votar no atual presidente americano Donald Trump na campanha da qual ele saiu vitorioso, em 2016.
Para regular a coleta e garantir a segurança dos dados, a União Europeia (UE) criou em 2016 o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), aplicável a qualquer empresa que processe as informações pessoais dos cidadãos europeus, dentro e fora do bloco. Após um período de dois anos, estipulado para preparar a segurança dos softwares e estrutura das empresas, a lei começou a valer no dia 25 de maio.
Agora, ao menos para os europeus, é possível excluir os histórico de informações guardadas, revogar permissões de uso e até movê-las para outros bancos de dados. Mas a conta para tornar isso possível não foi barata para as companhias. Os investimentos para se adequar chegam em 1 milhão de dólares para empresas de médio porte, como sites de e-commerce, e a até 10 milhões para as grandes, como as de serviços financeiros e as por trás de redes sociais. Se não o fizerem, arriscam receber multas de até 24 milhões de dólares, ou, no limite, o equivalente a 4% de suas receitas anuais. O que para o Facebook seria o montante de 9 bilhões de dólares.
O problema é que essa ambicionada proteção dos dados de usuários de redes socais já se mostrou um objetivo dificílimo de ser alcançado globalmente. Em maio de 2017, companhias de 150 países, incluindo o Brasil, foram vítimas de um ataque apelidado de WannaCry, que sequestrava computadores e exigia um resgate para devolvê-los. Até mesmo empresas de segurança digital como a IBM e Siemens tiveram sistemas afetados pelos hackers. Contudo, os mais expostos nesses casos são os usuários comuns, que muitas das vezes sequer sabem que determinada empresa detém suas informações pessoais e que elas podem usá-los para servir de barganha para criminosos.
O momento da aplicação da lei também foi oportuno para o parlamento europeu ouvir, no dia 22, as explicações de Mark Zuckerberg, do Facebook, sobre os vazamentos da Cambridge Analytica. Sem grandes declarações e se esquivando de diversas perguntas, ele repetiu a estratégia adotada em abril, quando falou ao Congresso americano: admitiu não ter feito o bastante para impedir os abusos.
“Foi um erro e peço perdão”, afirmou no início de sua apresentação, que durou pouco mais de uma hora e meia. Mas enfrentou parlamentares mais preparados na hora de fazer perguntas técnicas, em comparação com seus colegas americanos — que acabaram sendo criticados por levarem Zuckerberg a explicar como o Facebook e a internet funcionam.
Porém, o modelo adotado para a sessão no Parlamento Europeu — em que todos os parlamentares tiveram cerca de três minutos para pronunciarem suas questões, deixando as respostas do CEO do Facebook para o final — prejudicou o resultado. Ao fim da sabatina, Zuckerberg parecia confuso em relação às perguntas (ou ao menos disfarçou assim), e acabou adotando a estratégia de aglutinar tópicos como monopólio, fake news, eleições, contas falsas, e resumiu sua visão sobre o assunto, escapando de questionamentos específicos dos parlamentares. Sobre a GDPR, Jan Philipp Albrecht, parlamentar alemão que atuou na construção do texto da lei, questionou: “Você pode prometer para a União Europeia e para os usuários do Facebook e do WhatsApp que não haverá nenhum tipo de intercâmbio de dados entre os dois serviços?”. Mark se esquivou bem, e respondeu simplesmente que esperava ver o Facebook apto a cumprir as novas regras (ou seja, nada respondeu, na prática).
Mas se é difícil para o gigante das redes sociais garantir a segurança dos dados, pode ser ainda mais para pequenas empresas, como startups no Brasil. Uma loja virtual que envia produtos para o mundo inteiro e possui um único consumidor europeu fica obrigada a seguir a regulação. Mesmo que na prática as autoridades estrangeiras não sejam tão duras na fiscalização de coletas não intencionais ou situações nas quais os dados pessoais obtidos não são tão sensíveis. Só que isso não significa que as empresas brasileiras não precisam mudar a forma como atuam. “O maior impacto do GDPR é moral”, afirma o advogado Pedro Ramos, especialista em direito digital. “Com a mudança de conduta das empresas os cidadãos do mundo toda ganham mais proteção digital e as corporações não precisam lidar com as dores de cabeça após um vazamento de dados”, completa.
Contudo, o GDPR não é, digamos assim, um plano final. Depois de regular a coleta de dados, a União Europeia espera avançar sobre como resguardar a privacidade dos que navegam por Facebook e cia. Ainda dependendo de aprovação, o projeto de lei ePrivacy age sobre a confidencialidade das comunicações eletrônicas, obrigando empresas a terem níveis de segurança para o armazenamento e transferência de todas as comunicações realizadas na internet europeia. A lei foi aprovada pelo parlamento no ano passado e está sob revisão do Conselho da União Europeia, um grupo com representantes dos 28 países membros. A pretensão original era de que o projeto entrasse em vigor junto do GDPR, mas as negociações foram adiadas por desentendimentos internos. O maior deles, acerca dos custos. Não somente para as empresas sediadas no bloco, mas para o mundo todo.
Para entender o tamanho do investimento em novos softwares de segurança, se o ePrivacy passar a valer, a Developers Alliance, uma associação que representa o Facebook, o Google, a Intel e dezenas de outros desenvolvedores de sites e aplicativos, publicou um relatório que aponta a soma de 640 bilhões de dólares por ano somente como custo para as companhias do setor de tecnologia.
Mas o “app-calipso”, como a indústria está chamando o que poderia ocorrer com isso, não parece tão ruim para os usuários. Para eles existirá a garantia da privacidade de todas as conversas, seja em texto pelo WhatsApp, ou voz no Skype, e não somente via carta e telefone, que são os únicos meios civis que tem de lidar com obrigações especificadas na lei. O projeto também exigiria que as empresas ofereçam os mesmos serviços de comunicação a seus usuários, concordem eles ou não em ter seus dados coletados.
Por hora, GDPR e ePrivacy, mesmo que este ainda não aprovado, forçam as empresas a assumir o mea-culpa e afastam em parte a distopia de um mundo sem vida privada e de vigilância descontrolada. Para os mais preocupados com a questão, vale uma dica simples: sempre conferir todos os termos de uso antes de usar um novo app ou site.