A Proteção de Dados Pessoais e a Teoria dos Deveres Fiduciários Informacionais - Parte I
quinta-feira, 4 de agosto de 2022
Atualizado às 09:30
É difícil achar um tema sobre privacidade e proteção de dados pessoais que já não tenha sido objeto de discussão no Brasil. Desde a entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e da Lei Geral de Proteção de Dados Pessoais (LGPD), inúmeros foram os seminários, palestras, livros e lives que trataram sobre os variados aspectos das legislações, incluindo seus pontos controvertidos1 e omissões. No entanto, ao menos um debate - importante e promissor - permanece inédito (ou insuficientemente enfrentado2) em solo nacional: a proteção dos dados pessoais sob a ótica dos deveres fiduciários informacionais.
Para facilitar a leitura, a presente exposição foi divida em duas partes. A primeira foca nos pontos centrais da teoria, incluindo sua origem, conceitos, alcance e atrativos. Já a segunda trata dos riscos, das críticas e da sua potencial aplicação no direito brasileiro, tanto do ponto de vista da base normativa e complementaridade com a LGPD, quanto dos aspectos práticos dos modelos regulatórios possíveis. Feita essa nota introdutória, passamos ao estudo do tema.
O modelo fiduciário de proteção de dados pessoais foi originalmente pensado por Jack Balkin, professor de Direito da Yale Law School, em 20143. Em uma publicação em seu blog4, Balkin esboçou as primeiras linhas do que viria a ser uma proposta inovadora de proteção da privacidade e dos dados pessoais nos EUA. Desde então, o conceito foi ampliado e desenvolvido em uma série de artigos5, com a colaboração de Jonathan Zittrain, professor de Direito da Harvard Law School6, tendo influenciado, ainda, o projeto de lei intitulado "Data Care Act of 2018", apresentado no Senado Federal em 12/12/2018.7
Mas no que consiste a teoria dos deveres fiduciários informacionais? Segundo Balkin e Zittrain, vivemos em uma era em que a informação tem um papel central no desenvolvimento econômico e na organização social, de modo que as organizações têm um incentivo de maximização de coleta de dados dos seus usuários, no intuito de usá-los em benefício próprio. Nesse ambiente, quando o titular fornece seus dados em troca de bens e serviços, ele se vê obrigado a confiar no prestador, já que, em regra, ele não compreende a complexidade do mundo virtual e de que maneira seus dados podem ser usados contra os seus interesses. Ainda que entenda, raramente terá a faculdade de não utilizar o serviço ou o poder de barganha para mudar os termos do contrato.8
É justamente por conta dessa relação de sujeição e confiança "cega", aliada aos problemas de assimetria informacional, de vulnerabilidade do consumidor e de incentivo econômico ao abuso no tratamento dos dados pessoais, que Balkin sugere que os provedores de aplicação de internet deveriam ser tratados como fiduciários informacionais, os quais deveriam obedecer a três deveres legais: lealdade, confidencialidade e cuidado. No entanto, antes de minudenciar o conteúdo desses deveres, é preciso entender o porquê da analogia proposta por Balkin.
A palavra fiduciário vem do verbo latim fidere, que significa confiar.9 Conceitualmente, fiduciário é alguém que mantém uma relação de confiança com um terceiro (conhecido como "beneficiário", "principal" ou "cliente") e que está autorizado a manter e gerir algo valioso - como dinheiro, propriedade e informações - em nome deste beneficiário. Nessa relação, o beneficiário deposita sua confiança no fiduciário, que, por sua vez, tem o dever (fiduciário) de não trair essa confiança. Esses "deveres fiduciários" já são amplamente reconhecidos em uma gama bem ampla de relações jurídicas, como, por exemplo, nas relações que os clientes têm com os seus advogados, médicos e psicólogos, que devem utilizar tais informações em benefício do cliente/paciente ou, na pior das hipóteses, de modo que não prejudique os seus interesses ou as suas expectativas legítimas. Deveres fiduciários existem para proteger indivíduos que estão numa posição de fraqueza numa relação jurídica e servem, sobretudo, para regular os casos de interesses conflitantes entre as partes.
No Brasil, por exemplo, advogados não podem violar seu sigilo profissional, estabelecer entendimento com a parte adversa sem autorização do cliente, locupletar-se às custas deste ou receber valores, da parte contrária ou de terceiro, relacionados com o objeto do mandato, sem expressa autorização do constituinte10. Médicos também devem resguardar o sigilo profissional e se valer dos seus conhecimentos técnicos sempre em benefício do paciente11. Psicólogos não podem induzir a convicções políticas, filosóficas, morais ou religiosas, ou receber vantagens por encaminhamento de serviços, e devem "considerar as relações de poder nos contextos em que atuam e os impactos dessas relações sobre as suas atividades profissionais"12.
A lista de exemplos é extensa, mas todos os casos possuem os mesmos elementos em comum: (i) desequilíbrio de poder entre as partes e assimetria informacional; (ii) inabilidade do cliente/paciente para supervisionar, controlar ou monitorar as atividades do profissional; (iii) a relação de sujeição que se estabelece entre o profissional e o interessado; e (iv) a consequente vulnerabilidade associada à necessidade de confiança naquele prestador.
A ideia, portanto, é que os agentes de tratamento, no geral, e as plataformas, no particular, sejam compelidas a agir de maneira confiável, tal como fiduciários tradicionais, rentabilizando seus serviços dentro dos limites impostos não só pela legítima expectativa dos clientes, mas também pela natureza da relação fiduciária, que pressupõe que o agente fiduciário não se locupletará em detrimento do próprio beneficiário, ainda que este possa não ter o conhecimento técnico necessário para identificar e mensurar a dimensão do dano.
É nesse cenário que exsurgem os três deveres fundamentais do fiduciário informacional. O primeiro deles é o dever de lealdade, que requer que as organizações ajam de modo a satisfazer os interesses e as expectativas do usuário, evitando práticas que permitam um benefício próprio em detrimento do titular de dados. O segundo é o dever de confidencialidade, que exige que o provedor do serviço não divulgue ou compartilhe os dados em desconformidade com a legítima expectativa de privacidade dos seus usuários. O terceiro é o dever de cuidado, que exige que a organização proteja os dados pessoais sob sua guarda e não os compartilhe com terceiros que não assumam deveres fiduciários informacionais de igual estatura. Todos esses deveres convergem em um dever geral de confiança, que impede que as organizações se aproveitem de uma situação privilegiada em uma relação assimétrica para coletar, processar, usar e compartilhar dados de uma forma que seja prejudicial aos interesses e legítima expectativas dos seus usuários.13
Vale dizer que essa construção do Balkin é teórica e contextual, muito como a definição de privacidade enquanto "integridade contextual"14. Ela se inspira nos fundamentos dos deveres fiduciários tradicionais para criar um sistema equivalente de tutela da privacidade e dos dados pessoais, sem entrar nas minúcias regulatórias envolvendo cada tipo de negócio. A proposta é, portanto, deliberadamente aberta, se limitando às diretrizes que devem guiar as relações sociais em um mundo conectado, sem fechar as portas para futuros serviços e modelos de negócio que ainda não conhecemos.
E o que essa teoria traz de novo para o debate sobre privacidade e proteção dos dados pessoais? Em que medida ela se compara (e se compatibiliza) com o RGPD e a LGPD? É possível dizer que ambas as propostas comungam dos mesmos diagnósticos a respeito dos problemas relacionados à violação da privacidade e mercantilização dos dados pessoais, mas propõem vias alternativas de solução. Assim como a proposta legislativa de Balkin, o GDPR e a LGPD também admitem a existência de uma assimetria informacional entre titulares de dados e controladores. No entanto, enquanto o GDPR e a LGPD dão ênfase ao empoderamento e à autodeterminação informativa do titular do dado pessoal, a proposta de Balkin foca na relação em si e na mudança de status jurídico que traz obrigações próprias ao seu controlador.
Apesar das suas diferenças, parece não haver incompatibilidade entre os modelos. Em um dos seus artigos, Balkin contrastou a sua proposta com o GDPR, concluindo que "existe uma sobreposição razoável entre os dois, sendo que a principal diferença é a base para a proteção da privacidade - enquanto o GDPR foca no consentimento do usuário em um modelo contratual, a abordagem fiduciária se afasta dos termos de uso e obriga os provedores de serviço na internet a agirem em boa-fé e de modo não manipulativo."15
A ausência de incompatibilidade entre os modelos é, na realidade, um dos atrativos da teoria de Balkin. Os deveres fiduciários informacionais podem (e devem) dialogar com outras fontes do ordenamento jurídico, como as normas oriundas do direito do consumidor, do direito da concorrência e das leis gerais de proteção de dados pessoais. Além dessa versatilidade, outras vantagens dessa teoria podem ser notadas:
Diminuição da fadiga do usuário e da pressão sobre o seu consentimento - Muitos titulares de dados têm dificuldade para entender o complexo fluxo de informações no ambiente virtual e as consequências práticas das suas escolhas de privacidade. Não só isso, seu consentimento raramente é livre e informado, sendo influenciado por vieses cognitivos e pela própria arquitetura de escolha. Assim, ao fim do dia, o usuário-médio não está preocupado com o aviso de privacidade da plataforma. Ele apenas espera usar o serviço, não ser prejudicado e não ter a sua confiança abusada (o que é um dos objetivos almejados pelos deveres fiduciários informacionais).
Abordagem menos formalista - Enquanto soluções baseadas em consentimento16 ignoram a realidade de desinteresse do usuário (que, normalmente, consente com os termos de uso sem ler), a teoria dos deveres fiduciários informacionais impõe às organizações um dever de atuação contínua em prol dos interesses do usuário. Em outras palavras, a teoria traz um novo padrão de conduta para os provedores, e não apenas uma camada artificial de conformidade regulatória.
Deslocamento do paradigma de proteção do "contratual" para o "regulatório" - Modelos contratuais se mostram pouco protetivos se o usuário-médio for incapaz de avaliar o dano e o risco cumulativo das suas escolhas de privacidade. Portanto, os deveres fiduciários informacionais seriam um modelo de imposição regulatória, que traria maior confiança, previsibilidade e estabilidade nas expectativas de privacidade, já que os direitos dos usuários não ficariam sujeitos aos simples termos de uso das plataformas, que podem mudar subitamente.
À luz de todos esses traços e características originais, a proposta de Balkin merece, no mínimo, debate e consideração pela academia brasileira. É uma perspectiva nova e instigante, sem precedente no direito positivo, mas com vasto potencial a ser explorado. Em síntese, é mais uma ferramenta à disposição do Estado para a tutela efetiva do direito fundamental à proteção de dados pessoais.
Agora, há espaço para adoção da teoria dos deveres fiduciários informacionais no Brasil? Há base normativa (na LGPD ou no ordenamento jurídico pátrio) para adoção dessa ferramenta de tutela dos dados pessoais? Quais são as suas principais críticas e riscos? Qual seria o melhor desenho regulatório, no caso de sua eventual implementação? Essas são algumas das questões que serão tratadas na segunda parte desta exposição.
__________
1 Especial ênfase deve ser dada à discussão a respeito dos limites das bases de tratamento de dados pelo "consentimento" e "legítimo interesse", já que se conectam diretamente com a presente discussão sobre a teoria dos deveres fiduciários informacionais.
2 Em consulta realizada em 31/07/2022, o Google não retornou nenhum resultado para a expressão "deveres fiduciários informacionais", seja em seu buscador geral, seja em seu buscador acadêmico.
3 Embora haja quem defenda que a ideia de plataformas online enquanto "fiduciários informacionais" foi cunhada pelo professor Kenneth Laudon no início dos anos 90. Cf. KHAN, Lina M.; POZEN, David. E. A Skeptical View of Information Fiduciaries. Harvard Law Review, Vol. 133, pp. 497-541, 2019. Disponível aqui. Acesso em 31 de julho de 2022.
4 BALKIN, Jack M. Information Fiduciaries in the Digital Age. Balkinization, 5 de março de 2014. Disponível aqui. Acesso em 31 de julho de 2022.
5 Cf. BALKIN, Jack M.; ZITTRAIN, Jonathan. A Grand Bargain to Make Tech Companies Trustworthy. Atlantic, 03 de outubro de 2016. Disponível aqui; BALKIN, Jack M. Information Fiduciaries and the First Amendment. UC Davis Law Review, Vol. 49, No. 4, 2016. Disponível aqui. Id. Free Speech in the Algorithmic Society: Big Data, Private Governance, and New School Speech Regulation. Yale Law School, Public Law Research Paper No. 615. Disponível aqui. Id. Free Speech is a Triangle. Yale Law School, Public Law Research Paper No. 640. Disponível aqui. Id. Fixing Social Media's Grand Bargain. Yale Law School, Public Law Research Paper No. 652. Disponível aqui; Id. The First Amendment in the Second Gilded Age. 66 Buff. L. Rev. 979 (2018). Disponível aqui; Id. The Fiduciary Model of Privacy. Harvard Law Review, Vol. 134, No. 1 (2020). Disponível aqui; e Id. How to Regulate (and Not Regulate) Social Media. Journal of Free Speech Law 71 (2021). Disponível aqui.
6 ZITTRAIN, Jonathan. Facebook Could Decide an Election Without Anyone Ever Finding Out. New Republic, 1º de junho 2014. Disponível aqui; Id. How to Exercise the Power You Didn't Ask For, Harv. Bus. Rev., 19 de setembro de 2018. Disponível aqui; Id. Mark Zuckerberg Can Still Fix This Mess. N.Y. Times, 7 de abril de 2018. Disponível aqui.; e Id. Engineering an Election. Harvard Law Review Forum, Vol. 127, p. 335, 2014. Disponível aqui.
7 Data Care Act of 2018, S. 3744, 115th Congress. Disponível aqui. Acesso em 31 de julho de 2022.
8 Não se pode perder de vista que a proposta de Balkin parte da premissa que, nos EUA, ainda não existe uma legislação compreensiva federal sobre proteção de dados, de modo que os termos de uso e os avisos de privacidade ainda são a principal fonte de proteção da privacidade e dos dados pessoais.
9 Véliz (n 8), p. 185
10 Art. 34, VII, VIII, XIX e XX da Lei Federal no 8.906/1994.
11 Cap. I, V, XI, XVII, XXIII; Cap. III, art. 20 e Cap. V, art. 32 da Resolução CFM no 1.931/09.
12 Art. 2º, alíneas "b" e "p" da Resolução CFP no 010/05.
13 Balkin sintetiza a ideia da seguinte forma: "Perhaps the best way of summarizing the idea of information fiduciaries in the digital age is that online service providers may not act like con men. The term 'con man' is short for 'confidence man,' and the point of a 'con game' (or 'confidence game') is to gain the trust and confidence of a mark in order to act against their interests later on. The idea of a con game is just the mirror image of the idea of a fiduciary duty: if you induce another to treat you with confidence, you cannot turn around and betray that confidence." BALKIN, Jack M. Information Fiduciaries and the First Amendment. UC Davis Law Review, Vol. 49, No. 4, 2016. p. 1224.
14 Cf. NISSENBAUM, Helen. Privacy as contextual integrity. Washington Law Review, Vol. 79, No. 1 (2004), pp. 119-157.
15 BALKIN, Jack M. Fixing Social Media's Grand Bargain. Yale Law School, Public Law Research Paper No. 652. Disponível aqui. p. 15.
16 Note-se, no entanto, que esse ponto pode carregar uma certa compreensão equivocada ou, no mínimo, desatualizada sobre o sistema europeu. De fato, nas suas origens no constitucionalismo alemão, o consentimento acabava desempenhando um papel de destaque, tendo em vista o princípio da autodeterminação informacional. Se essa crítica era, de certa forma, válida sob o regime da Diretiva 95/46/CE, o mesmo não pode ser dito do regime do RGPD, que representa um tremendo esforço regulatório contra a centralidade do consentimento.