Vai entrar em vigor em Maio próximo o novo regulamento da União Europeia (UE) relativo à proteção de dados pessoais e à livre circulação desses dados (Regulamento n.º 2016/679). Trata-se da primeira reforma da proteção de dados pessoais na Europa, regida desde 1995 pela Diretiva 95/46/CE — uma reforma que procura responder aos desafios da era digital. Mas consegui-lo-á?

“O acordo a que se chegou constitui um passo maior em direção ao Mercado Único Digital... Com normas comuns de proteção dos dados pessoais, as pessoas podem estar seguras de exercer o controlo sobre os seus dados pessoais”, afirmou a Comissão Europeia quando da aprovação do Regulamento pelo Parlamento Europeu e pelo Conselho, em Dezembro de 2015, após cinco anos de árduas negociações. Ainda há poucas semanas também o comissário Carlos Moedas mostrou idêntica fé na bondade da atual reforma: “Ao aprovarmos o novo regulamento, estamos a proteger os europeus. Cada europeu é realmente o dono dos seus dados”, sublinhou.

Mas até que ponto este discurso confiante se justifica na era do “big data” e da crescente automação de decisões, públicas e privadas? Convirá lembrar que as tecnologias de “big data” (“data mining” e “data analytics”) tornam hoje possível não só a recolha e o armazenamento de incomensuráveis quantidades de dados a partir das incontáveis plataformas digitais, mas também retirar pleno valor desses dados a fim de informar decisões com base em algoritmos que permitem a identificação de padrões entre diferentes fontes e conjuntos de dados.

São inegáveis as utilidades práticas associadas às novas ciência e tecnologias dos dados. A outra face da moeda reside, porém, no seu uso crescente seja para a definição de perfis de consumidor, seja para efeitos de vigilância e controlo dos comportamentos humanos. Algoritmos são já hoje utilizados por companhias de seguros para averiguar o comportamento dos clientes, moldando os prémios em conformidade. A sua utilização em política, tendo em vista influenciar os eleitores, começa a ser reconhecida. Tudo se processa de modo opaco e sem que os utilizadores da Internet tenham forma de saber quem são os “data brokers” ou de mobilizar facilmente eventuais meios de defesa.

Que não haja dúvidas de que o “big data” desafia o direito fundamental à proteção dos dados pessoais e os princípios reconhecidos pela legislação europeia e inclusive pela Carta dos Direitos Fundamentais, a saber: consentimento (os dados pessoais devem ser processados apenas se o titular dos dados tiver dado o seu consentimento prévio e explícito nesse sentido); finalidade (os dados pessoais só devem ser coligidos para fins específicos, explícitos e legítimos e não devem ser processados de modo incompatível com esses fins); minimização (o processamento dos dados deve restringir-se ao mínimo indispensável).

Não é difícil deduzir que a automação inerente à mineração, análise e reutilização de imensos conjuntos de dados torna o consentimento prévio, a limitação do fim e a minimização dos dados extraordinariamente difíceis de cumprir. Uma consequência do “big data” reside precisamente na emergência de um modelo de negócio das empresas, sobretudo das grandes operadoras da Internet, assente no rastreio das utilizações e transações realizadas na rede. As operadoras passam do mesmo modo a exercer um verdadeiro domínio sobre os dados pessoais.

Daí que se afigure ilusória a crença em que o Regulamento nos conferirá um controlo reforçado sobre os nossos dados.

Esta dúvida acentua-se em face da opção do legislador europeu de delegar doravante nos controladores dos dados a principal responsabilidade reguladora. O Regulamento privilegia uma abordagem baseada no risco (“risk-based approach”), que se exprime na obrigação dos controladores dos dados de avaliar previamente o impacto de cada novo processamento sobre os direitos e liberdades individuais (por meio de “data protection impact assessments”) quando estejam em causa riscos elevados (“high risks”) — o que lhes compete a eles ajuizar... — e de notificarem violações do sistema de proteção de que tenham conhecimento. As autoridades de supervisão são remetidas para um papel meramente subsidiário. Recorde-se que no quadro do regime anterior se sujeitava a autorização ou a notificação prévias das autoridades nacionais de supervisão quaisquer novos processamentos de dados. É claro que o novo modelo aproxima o direito europeu do regime bem mais liberal praticado nos Estados Unidos da América.

Por detrás da opção do legislador europeu encontra-se a intenção de facilitar o desenvolvimento dos produtos e serviços de informação na Europa, liberalizando a utilização e a reutilização de dados pessoais. A Comissão não escondeu neste contexto a sua pretensão de “simplificar o ambiente regulatório”, rejeitando a exigência de autorização ou notificação prévias como “um peso burocrático que custa às empresas 130 milhões de euros cada ano”.

No final de contas, o Regulamento poderá vir a revelar-se um instrumento mais fraco ou mais forte de proteção dos dados pessoais — e em última análise dos nossos direitos e liberdades —, dependendo da boa vontade e do sentido de responsabilidade dos controladores dos dados.

Como assinalou Ulrich Beck a propósito do que qualificou como “digital freedom risk”, a nossa percepção dos riscos da era digital é bem mais frágil do que a dos riscos físicos (ambientais, de saúde ou de segurança, por exemplo), naturalmente mais visíveis, uma vez que tendemos a dar por adquirido o nosso controlo sobre a informação. Cremos que uma melhor percepção e avaliação dos riscos emergentes para os direitos e liberdades — e para a própria democracia — na era do “big data” e da decisão algorítmica beneficiaria certamente de uma participação institucionalizada dos utilizadores da Internet, quer enquanto titulares dos dados, quer enquanto cidadãos. Daí a necessidade de buscar formas de assegurar maior transparência da atuação dos operadores, maior envolvimento das autoridades de supervisão no controlo dos operadores e inclusive no diálogo com os titulares dos dados.

