Desde a entrada em vigência da Lei Geral de Proteção de Dados (LGPD), em 18 de setembro de 2020, agentes do setor público e privado passaram a adequar as suas políticas e processos para que todas as operações envolvendo dados pessoais com fins econômicos, científicos ou oficiais estivessem em conformidade com as regras e diretrizes estabelecidas na legislação.
Nesse sentido, um dos principais desafios para os agentes de tratamento é garantir que os titulares tenham livre acesso a informações claras e precisas sobre a finalidade, forma e duração do tratamento de seus dados, além dos terceiros envolvidos na operação.
No entanto, há quem queira ir além e proporcionar ao titular uma posição privilegiada na qual, além de exercer seus direitos e garantias fundamentais, poderá tomar ativamente decisões acerca do tratamento de seus dados para fins econômicos e lucrar com isso. Uma espécie de “poupança de dados”.
Essa ideia foi trazida pela DrumWave, uma startup que tem como principal objetivo o desenvolvimento de uma solução inovadora para permitir a monetização de dados pessoais por seus titulares.
O conceito é muito simples: todos nós, pessoas físicas, somos uma fonte inesgotável de dados pessoais. Desde o momento em que nascemos, passamos a gerar dados de identificação e dados referentes à nossa saúde, por exemplo. Além disso, ao longo da vida, a cada interação social, seja na qualidade de cidadão, colaborador, consumidor ou usuário na internet, temos nossos dados tratados e deixamos nossa “impressão”, em especial no mundo digital, o que, como todos sabemos, possui um alto valor econômico.
De acordo com os responsáveis pela DrumWave, o objetivo é centralizar todos esses dados pessoais em uma carteira digital – batizada pelos gestores da startup como “dWallet” – controlada pelo próprio titular, em que este decidiria, por exemplo, se determinadas informações referentes à sua saúde serão compartilhadas com uma empresa farmacêutica, mediante um pagamento a ser calculado através de um sistema de pontuação: quanto mais cobiçado o dado pessoal, maior o valor que o titular receberá por ele.
À DrumWave, caberá atuar como uma espécie de cartório, responsável por certificar que aqueles dados pessoais monetizáveis são exatos, atualizados e de fato pertencem ao titular da carteira digital.
A ideia foi levada a encontros corporativos e feiras de tecnologia no ano passado, e tem atraído cada vez mais a atenção de gestores, tanto do setor privado como público, como é o caso do atual presidente do Banco Central, Roberto Campos Neto, que passou a ressaltar o potencial da nova tecnologia.
De acordo com Campos Neto, sobre a carteira digital de dados pessoais, “o Banco Central entende que ela poderá ser monetizada em algum momento e o usuário vai conseguir extrair valor dos seus próprios dados”.
Considerando que neste mês de agosto de 2023 a LGPD comemora cinco anos, vale analisar como a Lei impacta essa tecnologia disruptiva que, segundo um dos dirigentes da DrumWave, deve ser o próximo salto evolutivo econômico global.
Em análise prévia, a ideia de uma carteira digital de banco de dados monetizável, além de interessante, parece legalmente viável. Afinal, nada mais justo do que os titulares poderem decidir de forma ativa sobre quem irá tratar os seus dados e terem uma participação no lucro auferido no tratamento.
No entanto, para que o tratamento seja legítimo, não basta apenas a decisão inicial dos titulares em compartilhar os seus dados com terceiros mediante o pagamento de um valor.
Apesar da possível monetização, é importante lembrar que dados pessoais não são um produto, e a sua proteção figura como um direito fundamental no Brasil (art. 5º, LXXIX, CF/88). Sendo assim, embora o titular seja recompensado financeiramente pelo tratamento de seus dados, isso não significa que aqueles que realizaram o pagamento poderão fazer o que quiserem com os dados.
Inicialmente, é essencial que haja finalidade específica e necessidade para o tratamento dos dados, cabendo aos agentes envolvidos informar aos titulares qual a base legal adequada, a forma e duração do tratamento. Além disso, caso haja qualquer mudança naquilo que foi acordado com o titular, este deverá ser informado imediatamente, de forma clara e transparente.
Portanto, deve haver uma preocupação com a forma de comunicação que será estabelecida, considerando as peculiaridades de cada titular, como o seu nível de instrução, por exemplo, ou se ele pertence a alguma categoria que mereça maior atenção por ser considerada mais vulnerável, como é o caso de crianças e adolescentes.
Em segundo lugar, tal como em qualquer outra operação envolvendo dados pessoais, caberá aos agentes envolvidos a implementação de medidas técnicas e administrativas aptas a proteger o sigilo, integridade e disponibilidade dos dados tratados, as quais devem ser compatíveis com a escala, volume e natureza da operação.
Sendo assim, entende-se que só poderiam participar da operação de monetização de dados os agentes de tratamento capazes de comprovar o cumprimento das normas de proteção de dados pessoais e a eficácia de seu programa de governança em privacidade.
Nesse caso, valem os questionamentos: quem ficará responsável por fiscalizar a conformidade com a LGPD dos agentes envolvidos nessa mercantilização de dados? Caberá tal incumbência à DrumWave e demais terceiros que disponibilizarem a carteira digital?
Pode-se argumentar que, a partir do momento em que o titular opta por compartilhar os seus dados pessoais, mediante pagamento, com determinado agente de tratamento, este seria exclusivamente responsável pelo cumprimento da LGPD. Mas, será que não há alguma responsabilidade por parte daqueles que disponibilizaram o meio para que tal relação entre titular e agente de tratamento ocorra?
Enfim, o tema ainda deve gerar muito debate e, com certeza, haverá manifestação da Autoridade Nacional de Proteção de Dados (ANPD) para regulamentação desse tipo de operação, caso se mostre viável na prática. Mas a discussão evidência novamente como será cada vez mais imperativo para as empresas, independentemente de seu setor de atuação, a implementação de um programa de privacidade, sob pena de serem literalmente isoladas de novos mercados a serem explorados na era da informação.