Thomas Hobbes já dizia, em 1668, que “conhecimento é poder”, e não poderia estar mais correto. O conhecimento vem através da informação e, atualmente, a Internet é a maior fonte de informação disponível, podendo ser consultada a qualquer momento e por qualquer um. Enquanto aproveitamos a conexão com a rede para ler textos como este e assistir a vídeos no YouTube, enormes quantidades de informações são coletadas e circulam pela Internet a cada segundo.
Essas informações coletadas são chamadas de dados e são tão importantes – sobretudo quando armazenados e tratados em massa (o que é conhecido como Big Data, ou megadados) – que, em 2012, foram considerados como o “novo petróleo” durante o Fórum Econômico Mundial (WEF – Davos), por serem uma grande fonte de valor econômico.
No entanto, o próprio WEF veio retificar que chamar os dados de “novo petróleo” é errado, porque o petróleo é um recurso natural que algum dia vai acabar. Os dados, porém, são infinitos e são produzidos mais e mais a cada minuto! Nesse contexto, a partir da possibilidade de se utilizar e, sobretudo, explorar os dados economicamente, uma grande questão se levanta: afinal, de quem são esses dados?
Vamos analisar essa pergunta com base no artigo “Nas fronteiras da PI: os Direitos Patrimoniais sobre Dados, uma perspectiva europeia”, do Professor de Direito Empresarial, Manuel David Masseno, publicado na Revista Rede de Direito Digital, Intelectual & Sociedade, e também o texto “Na Borda: Dados pessoais e não pessoais nos dois Regulamentos da União Europeia”, do mesmo autor, presente no livro “Proteção de dados pessoais em perspectiva: LGPD e RGPD na ótica do Direito Comparado”, organizado pelo Professor Marcos Wachowicz.
Dados pessoais e não pessoais
Os dados são divididos em duas categorias: os pessoais e os não pessoais. De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei n° 13.709/2018), os dados pessoais são aqueles que possibilitam a identificação de uma pessoa. Essa identificação pode ser direta – como o nome completo, RG, CPF –, ou seja, informações que levam diretamente ao indivíduo; ou indireta – como endereço, profissão, gênero –, ou seja, informações que sozinhas não dizem nada, mas que se combinadas podem identificar alguém.
Já os dados não pessoais são aqueles que não identificam nenhum indivíduo vivente, por exemplo o número de acessos a tal página na web, ou quantas viagens de Uber foram feitas em determinado mês, ou até mesmo quantos casos de COVID-19 foram registrados em determinada cidade. Os dados não pessoais também são produzidos por empresas, como dados relativos à indústria, aos serviços financeiros ou ao agronegócio, por exemplo.
A Inteligência Artificial (IA) e a Internet das Coisas (IoT) são consideradas grandes fontes geradoras de dados não pessoais, muito utilizados em processos automatizados de produção industrial. E por que os dados são importantes?
A partir da coleta e da análise dos dados, é possível, por exemplo, avaliar o público de determinada empresa e criar estratégias de marketing personalizadas ou reduzir custos ao melhorar o gerenciamento de estoque e de compras para, dessa forma, aumentar o lucro. Não tem como negar que os dados são essenciais para a sociedade atual e, no entanto, as leis de Propriedade Intelectual, incluindo a Industrial, já não dão conta dessa importância. Por isso, deve ser estabelecida uma forma de regulação específica para eles.
No Brasil
Em 2019, por meio da Proposta de Emenda Constitucional PEC 17/2019, o Senado reconheceu a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei n° 13.709/2018) como um direito fundamental. Essa lei foca na proteção dos dados pessoais, inclusive no meio digital, tendo como base o respeito à privacidade do indivíduo.
No entanto, essa lei só concede proteção aos dados pessoais, ou seja, só pode ser acionada caso uma pessoa natural tenha problemas com seus dados. Sendo assim, o titular dos dados pessoais não tem um direito de propriedade, sob nenhuma circunstância, mas apenas um poder de controle dos usos de tais dados por terceiros. Portanto, no cenário nacional, não há uma proteção específica para os dados não pessoais, exceto indiretamente no caso de regimes previstos para os segredos no que se refere à concorrência desleal e aos crimes contra a inviolabilidade dos segredos.
Na Europa
Se no Brasil, apesar do Marco Civil da Internet (Lei n° 12.965/2014), há poucos esforços no sentido da proteção aos dados não pessoais, atualmente, na Europa, vigoram o Regulamento Geral sobre a Proteção de Dados (RGPD) e o Regime para o Livre Fluxo de Dados não pessoais (RLFD), assim como está para ser adotado um Novo Regulamento sobre a governança de dados, pessoais e não pessoais.
O RGPD foi aprovado em 2016 e tem relação com o tratamento dos dados pessoais e com a livre circulação desses dados. Baseado no Direito Primário da União Europeia, onde se encontra o Direito Fundamental à “autodeterminação informativa”, o RGPD impede a apropriação de dados pessoais, assim como garante o direito à portabilidade desses dados. Dessa forma, possibilita até mesmo a transferência do tratamento de dados de um controlador para outro.
Já o Regime para o Livre Fluxo De Dados Não Pessoais (RLFD) é aplicado ao tratamento de dados eletrônicos não pessoais. Um detalhe interessante sobre o RLFD é que este regulamento se refere apenas aos dados não pessoais, excluindo os dados não pessoais conexos, ou seja, aqueles que estejam fortemente ligados a informações pessoais.
Dados anônimos e anonimizados
O grande problema sobre a proteção dos dados é que é muito difícil delimitar as fronteiras entre os dados pessoais e os não pessoais, especialmente no caso dos dados anonimizados. Quando um dado se torna anônimo, ao ser analisado, não é possível identificar nenhum indivíduo.
Nesse caso, a legislação europeia de proteção de dados pessoais (RGPD) não se aplica e o controlador pode utilizar esse dado como sendo não pessoal. Só que criar dados realmente anônimos, partindo de conjuntos de dados pessoais e tentando manter as importantes informações iniciais, é um processo difícil e complicado.
Com os avanços tecnológicos que vêm acontecendo, é possível fazer a transformação de dados anônimos em pessoais com mais facilidade, já que um conjunto de dados anônimos pode ser combinado com outro, de modo que alguém será identificado em algum momento. Dessa forma, de acordo com o RLFD, se os dados anonimizados forem transformados em dados pessoais, esse novo conjunto de dados deve ser tratado como pessoal.
Alguns critérios do RGPD recomendam uma medida para a proteção desses dados, o incentivo à “Segurança do Tratamento”, que promove uma análise dos riscos que os dados podem sofrer. Uma avaliação sobre a proteção dos dados também pode ser feita, acompanhando os avanços nas técnicas de personalização dos dados anônimos.
Porém, no Brasil, a LGPD vai em um sentido inverso. Assim, se o controlador utilizar “meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”, fica livre das responsabilidades que possam decorrer da reversibilidade da anonimização.
Direitos sobre dados não pessoais
Os dados não pessoais, assim como as informações que eles contêm, poderiam continuar a ser protegidos pelas leis de Propriedade Intelectual, não necessitando de uma legislação exclusiva. No entanto, através da Diretiva 2016/943, a União Europeia estendeu uma proteção adicional para os interesses empresariais, especialmente de pequenas e médias empresas.
Essa outra forma de proteção cuidaria do acesso e da exploração de segredos comerciais e informações empresariais valiosas, como o know-how (saber-fazer). Assim, através dessa Lei de Sigilo, a pessoa física ou jurídica recebe os direitos sobre os dados em questão, se tornando titular desse segredo comercial e tendo controle legal sobre ele.
Alguns requisitos são necessários para que a lei seja validada: os dados devem ser secretos, no sentido de que não sejam conhecidos nem pelas pessoas que trabalham com tais informações; o valor comercial desses dados se dá também pelo fato de serem secretos; e a pessoa que se tornou titular das informações deve ter se esforçado para proteger o segredo.
Os contratos feitos sob a proteção dessa lei devem guardar o segredo de todas as informações que podem ser exploradas comercialmente, além dos direitos de propriedade intelectual. O acesso a esses dados só será lícito se for feito através de acordos com os produtores de dados.
Estas questões foram especialmente tratadas nas palestras do Professor Thomas Hoeren da Universidade de Munster – Alemanha, realizadas nos Congressos de Direito de Autor e Interesse Público (CODAIP), promovidas pelo Grupo de Estudos de Direito Autoral e Intelectual (GEDAI/UFPR).
Direito dos produtores de dados
Baseado no processo legislativo que antecedeu o RLFD, a Comissão Europeia sugeriu a instituição de um “Direito dos produtores de dados”, como solução para os dados que são gerados automaticamente, colocando parâmetros que garantam a portabilidade de dados. Esse direito permitiria que produtores de dados pudessem usar e permitir a utilização de dados não pessoais, esclarecendo a questão jurídica e contribuindo para o desbloqueio dos dados que são gerados de forma automática.
Mesmo permitindo a portabilidade, os criadores de dados não abririam mão do próprio direito sobre as informações, podendo utilizá-las livremente, assim como escolher outra pessoa ou empresa para ceder os direitos de uso dos dados. Porém, as reações desfavoráveis dos interessados levaram a Comissão Europeia a abandonar sua proposta, e esse direito acabou não sendo criado.
Os dados não pessoais no agronegócio
É fato, assumido pelos instrumentos definidores das Políticas Públicas, tanto no Brasil como na União Europeia, que o agronegócio é um setor no qual o controle de dados não pessoais é de grande importância. Como já comentado, a IoT e a IA produzem grandes quantidades de dados não pessoais, que são utilizados para analisar situações como, por exemplo, a da agricultura de precisão, ajudando a controlar e melhorar o uso de água e agrotóxicos.
Isso levou à adoção do Código de Conduta da UE sobre o Compartilhamento De Dados Agrícolas por Acordos Contratuais, subscrito em 2018 pela maioria das organizações representativas das empresas atuantes no setor.
Por outro lado, os direitos de Propriedade Intelectual do ramo da agricultura e da biotecnologia agrícola podem servir como referência para regulamentos futuros na área de proteção aos dados não pessoais. A Convenção sobre a Diversidade Biológica de 1992 – mais conhecida como Eco-92 – protege os direitos das comunidades indígenas e locais da exploração por empresas ou outros indivíduos dos recursos genéticos e dos conhecimentos tradicionais. Isso foi desenvolvido posteriormente pelo Protocolo de Nagoya, em 2010.
Já o Tratado Internacional de Recursos Genéticos Vegetais para Alimentação e Agricultura protege os agricultores, garantindo a eles o direito de participar de forma equitativa da distribuição dos ganhos obtidos com a produção que se utilizou dos recursos fitogenéticos.
De forma semelhante, desde 1994, e resultante do Regulamento sobre as cultivares e da Diretiva sobre as patentes biotecnológicas, a Convenção Internacional para a Proteção das Obtenções Vegetais prevê que o agricultor pode utilizar o produto de sua colheita para fins de reprodução ou multiplicação para explorar da forma que quiser, desde que o faça diretamente.
Considerações Finais
Os dados pessoais e não pessoais são, atualmente, uma das maiores “commodities” da economia mundial, tamanha a sua importância. O exemplo da questão agrícola, citado acima, demonstra o quanto as informações são valiosas e vitais para o funcionamento das empresas, dos indivíduos e da sociedade como um todo.
Vimos que, quanto à divisão dos dados, eles são separados em pessoais e não pessoais. Há ainda uma subdivisão dos dados pessoais versando sobre os dados sensíveis e não sensíveis, mas este será tema de um próximo artigo.
No entanto, o objetivo deste texto era destacar a relevância dos dados e do tratamento deles, chamando a atenção para a sua importância. Se “informação é poder”, é imprescindível que as informações sejam protegidas. Sendo assim, neste momento – e já com algum atraso –, é fundamental a formulação de políticas públicas e legislações que regulem esses dados.
Manuel David Masseno é Professor adjunto de Direito Empresarial do Instituto Politécnico de Beja (IPBeja), em Portugal, onde também é Encarregado da Proteção de Dados e integra as Coordenações do Laboratório UbiNET – Segurança Informática e Cibercrime, e do MESI – Mestrado em Engenharia de Segurança Informática, além de lecionar nas Universidades de Lisboa e Minho. No Brasil, integra o Grupo de Trabalho de Direito Digital e Compliance da FIESP – Federação das Indústrias do Estado de São Paulo, sendo há anos Consultor de diversas Comissões de Direito Digital da OAB nos Estados de São Paulo e de Santa Catarina.
Quer saber mais sobre o assunto?
Assista às palestras do CODAIP (Congresso de Direito de Autor e Interesse Público), promovidas pelo Grupo de Estudos de Direito Autoral e Intelectual (GEDAI/UFPR).
XIV CODAIP – Palestra – Data property and secrecy laws
0 comentários