A lei 13.709/08, também conhecida como Lei Geral de Proteção de Dados Pessoais - LGPD, foi criada com o objetivo de dispor sobre a proteção dos dados pessoais das pessoas físicas em tratamentos realizados por pessoas físicas ou jurídicas.1
A criação dessa lei, representou um marco histórico no que diz respeito ao tratamento de dados pessoais no Brasil, uma vez que, influenciou não só o modo como pessoas físicas, empresas e instituições privadas deveriam realizar os tratamentos de dados pessoais, mas também atingiu às instituições públicas, sendo a União, estados, Distrito Federal e municípios obrigados a seguirem o disposto nela.
Antes da criação da LGPD não havia nenhuma lei específica que tratasse da proteção dos dados pessoais no Brasil, contudo, o Brasil não estava totalmente desamparado quanto ao assunto, vez que já existia no país uma lei para tratar a parte destas relações, o Marco Civil da Internet – MCI (lei 12.965/14) e seu Decreto Regulador (decreto 8.771/16), bem como a Constituição em seu art. 5º inciso X, tratando sobre a inviolabilidade da intimidade, vida privada e imagem.2
Entretanto, a proteção dos dados pessoais em si, ainda não tinha uma lei própria, que compreendesse toda a sua complexidade. Como exemplo disso, pode-se imaginar uma clínica odontológica que guarda informações de seus clientes e possíveis clientes. Sempre que uma pessoa vai até essa clínica fazer uma avaliação, eles coletam dados como:
Nome completo, endereço, telefone, entre outras informações pessoais.
Imagine que uma funcionária dessa clínica fica encarregada de transferir a caixa com essas fichas para outro local, e no meio do caminho acaba por perdê-la, a pessoa que acha essa caixa, vê as informações que ela contém e resolve usar as informações que estão nela para tentar vender seu produto por meio de contato telefônico.
Nesse cenário, sem a LGPD não havia a obrigatoriedade de a clínica avisar aos titulares sobre a perda de seus dados, do mesmo modo que não havia uma sanção específica pelo vazamento desses dados.3
Esse é um exemplo prático mais leve da consequência de um vazamento de dados, mas na história não tão distante da atualidade, houve um vazamento em escala maior, que afetou milhões de usuários da rede social Facebook, o conhecido como “escândalo da Cambridge Analytica”.
A Cambridge Analytica foi uma empresa de marketing especializada em coleta e uso de dados pessoais para utilização em comunicação estratégica eleitoral. O começo de seu escândalo se deu com Christopher Wylie, um jovem estudante de direito.4
Wylie, tinha interesse em programação e aprendeu a programar sozinho, e inicialmente seu objetivo era o de pesquisar maneiras de prever os avanços da moda, criando um algoritmo capaz de fazer tal coisa, porém, com Wylie tinha uma ligação de emprego com partidos políticos e acabou se interessando por tentar entender como esses partidos poderiam atrair mais eleitores.
Assim adquiriu interesse por estudar traços de personalidade e sua ligação com as tendências políticas, e como o uso de informações pessoais, que poderiam ser coletadas por meio de testes de personalidade no Facebook, poderia auxiliar os partidos a entender as tendências políticas de voto das pessoas e até mesmo influenciá-las por meio de posts a votar em um determinado candidato.
Wylie acabou sendo contratado por uma empresa que realizava trabalhos para os departamentos de defesa dos Estados Unidos e de outros países, cuja área de atuação era a de “operações psicológicas”, uma técnica usada para manipular a opinião das pessoas, realizando dominação informacional.5
Dentro dessa empresa conheceu pessoas importantes da política, que resolveram investir na sua ideia e uma dessas pessoas era Robert Mercer, que investiu para que Wylie criasse uma empresa capaz de explorar o uso de dados dos usuários do Facebook para manipular a opinião política dos usuários, a Cambridge Analytica. Para conseguir esses dados, a empresa comprou um teste de personalidade de um pesquisador e o adaptou para sua intenção. O teste foi realizado por meio do Facebook, e as pessoas que o acessaram, sem perceber davam acesso aos dados não só do seu perfil, como também do perfil de todos os seus amigos.6
Desse modo, cada pessoa que fez o teste entregou seus dados e de todos os amigos que estavam conectados no Facebook. Como se já não fosse o suficiente a captação de dados em massa, dentro desses dados coletados estavam incluídos também as interações e postagens feitas na rede social e até mesmo mensagens privadas.
Na época o vazamento de dados ocorreu por semanas, e mesmo o Facebook tendo notado que havia algo de errado, apenas ignorou e aceitou a justificativa apresentada pela empresa de que os dados estavam sendo usados para estudos.
Os dados coletados nesse teste foram usados para determinar como fazer para manipular as pessoas nas campanhas eleitorais. Por meio desse acesso, eles conseguiam prever quais tipos de posts eram mais atrativos a cada perfil pessoal e quantas vezes esse post precisaria ser reproduzido para causar efeito influenciador.
Quando houve a descoberta de que a empresa havia usado as redes sociais como ferramenta para influenciar os votos na campanha, ficou evidente que o Facebook estava tratando as propagandas políticas de maneira errada e que não garantia a segurança de seus usuários.
Conforme as investigações do Congresso sobre as campanhas avançavam, onome da Cambridge Analytica surgiu no meio de tudo isso, e apesar de negarem ter acesso aos dados, Christopher Wylie confessou e mostrou provas de que a empresa havia, sim, usado esses dados.
Com o escândalo sobre o vazamento dos dados de mais de 87 milhões de pessoas, e a revelação sobre a influência que o uso desses dados teve na eleição dos Estados Unidos da América (EUA), pode-se perceber com clareza a importância e o valor dos dados pessoais e a necessidade de se ter uma norma que regulamente seu uso e previna que incidentes como o de Cambridge Analytica voltem a acontecer.
_______________
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2020]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14020.htm Acesso em: 29 abr. 2022
CAMPOS, Matt. Cambridge Analytica, Microtargeting, and Power – “A Full-Service Propaganda Machine” in the Information Age. Trail Six, Undergraduate Journal of Geography, British Columbia, v. 13, p. 26-27, 2018-2019). Tradução livre.
ESTADÃO LINK. Facebook perde US$ 36 bi após vazamento de dados. Por Redação Link - O Estado de S. Paulo, 20 mar. 2018a. Disponível em: https://link.estadao.com.br/noticias/geral,facebook-perde-us-36-bi-apos-vazamentode-dados,70002234378. Acesso em: 15 mai. 2022.
GUIMÓN, Pablo. O ‘Brexit’ não teria acontecido sem a Cambridge Analytica. El País, 26 mar. 2018. Disponível em: https://brasil.elpais.com/brasil/2018/03/26/internacional/1522058765_703094.html. Acesso em: 5 mai. 2022.
KOZLOWSKA, Iga. Facebook and Data Privacy in the Age of Cambridge Analytica. Seatlle: Henry M. Jackson School of International Studies, College of Arts and Sciences, University of Washington, 2019 (2 p., tradução livre).