Caso Cambridge Analytica

Cambridge Analytica e a nova era Snowden na proteção de dados pessoais

Talvez os escândalos sirvam para fomentar a adoção de tecnologias que permitam uma transparência quase que radical nas campanhas eleitorais digitais

A logo da Cambridge Analytica na tela de um iPhone.
A logo da Cambridge Analytica na tela de um iPhone.Chesnot (Getty Images)

Mais informações

O conceito de privacy by design, ou privacidade desde a concepção, é a ideia de que a proteção da privacidade e aos dados pessoais deve ser pensada e implementada desde a concepção de um produto ou serviço. Do seu desenho inicial ao oferecimento ao mercado, recomenda-se a sua aplicação a todos os modelos de negócio que se valham de dados pessoais. Nasceu da ideia, dentre outras, de que somente as normas, leis e regras jurídicas podem não ser suficientes para assegurar tais direitos. As violações aparentemente perpetradas pela empresa Cambridge Analytica talvez revelem ser o momento ideal para (re)discutir não só esse conceito, mas como podemos, e devemos, proteger a privacidade e dados pessoais numa época em que estes podem ser considerados os ativos mais valiosos de um capitalismo movido a dados.

A Cambridge Analytica (CA) é uma empresa de marketing digital. Como muitas outras, seu modelo de negócio é baseado quase que inteiramente no uso de dados pessoais para analisar o comportamento de seus titulares ou de um grupo de pessoas com o objetivo de descobrir seus interesses, gostos e preferências. Ao conseguir inferir esses traços, a empresa pode oferecer conteúdo dirigido aos usuários, ou micro-propagandas — behavior microtargeting —, no seu caso. Todavia, diferentemente do praticado pela grande maioria das empresas desse ramo, a CA se vangloria em conseguir alterar o comportamento dos usuários. Sua página principal e sua conta no Twitter deixam claro que o foco da companhia é a alteração de comportamento por meio do uso de dados (“data-driven behavior change”). Ainda que isso não seja propriamente uma novidade na publicidade, nunca havia sido implementada com a magnitude, precisão e eficácia da CA. Nas palavras do CEO da empresa, Alexander Nix (afastado recentemente), em evento no ano passado, “nós conseguimos usar dados para identificar que haviam quantidades muito grandes de eleitores que poderiam ser persuadidos e influenciados a votar na campanha Trump”. Por esta razão, a empresa foi contratada para trabalhar em campanhas eleitorais não só nos EUA, que culminou com a vitória de Donald Trump, mas também no Reino Unido, na campanha Pro-Brexit, na Nigéria, no Quênia, na República Tcheca, na Índia, na Argentina e, agora, até onde se tinha conhecimento, também no Brasil. Entretanto, recentemente, o Facebook, maior rede social do mundo e meio pelo qual a maioria das atividades da CA aconteciam, anunciou que estava suspendendo a companhia por supostas violações a sua política de privacidade.

Por meio de práticas abusivas, a empresa Cambridge Analytica conseguiu coletar dados pessoais de 50 milhões de usuários do Facebook nos EUA, eventualmente cruzando-os com informações eleitorais, de modo a permitir identificar e influenciar as suas pretensões de votos, o que pode ter colaborado com a vitória do atual presidente Donald Trump. Os dados foram obtidos por meio de um aplicativo que permitia, por meio do consentimento do usuário, coletar os dados seus e dos seus amigos no Facebook. O aplicativo foi desenvolvido por um pesquisador da Universidade de Cambridge que informou que os dados pessoais seriam coletados para fins de pesquisa científica. Talvez seja importante ilustrar aqui que princípios gerais que regem o uso adequado de dados pessoais em muitas legislações, inclusive no Brasil, determinam que dados pessoais devem ser coletados e utilizados para finalidades determinadas e legítimas. O uso para outras finalidades diferentes daquelas que ensejaram a coleta somente pode se dar por meio de alguma autorização, seja ela um consentimento efetivo do titular dos dados, para o cumprimento de um contrato, uma obrigação imposta por uma lei ou outros instrumentos jurídicos que variam com arcabouço jurídico vigente. O uso dos dados para outros fins, sem a devida autorização, pode ser considerado uma violação aos princípios gerais, a regras presentes em muitas leis e a obrigações acordadas por meio de contratos como políticas de privacidade. E isto, em suma, foi o que aconteceu. Os dados que foram coletados para fins de pesquisa — até onde se sabe — foram compartilhados e utilizados para fins comerciais, de análise de comportamento e tentativa de influência em pleito eleitoral. O contexto apresentado justifica que o caso deva receber toda a atenção da audiência brasileira.

No ano passado a CA firmou sociedade com a consultoria Ponte, formando a CA-Ponte, com o objetivo de atuar nas campanhas eleitorais de 2018 por meio de uma versão tropicalizada das metodologias aplicadas em outros países. A CA chegou a revelar que pretendia focar no mercado nacional devido às frouxas leis de proteção de dados vigentes no Brasil — em claro desconhecimento ao panorama regulatório vigente, mais especificamente o Marco Civil da Internet. Um ponto favorecia o modelo de negócio da CA. Recentes alterações na Lei Eleitoral expressamente permitiram o impulsionamento de conteúdo patrocinado por candidatos e partidos. Em outras palavras, está permitido, dentro de alguns parâmetros, principalmente da transparência, mas que ainda não foram claramente definidos pelo Tribunal Superior Eleitoral, pagar para que conteúdos classificados como propaganda eleitoral possam ser direcionados a usuários com base em seus interesses, gostos e preferências. Restou desenhado o cenário perfeito para que a CA ofertasse o seu modelo de negócio em uma das maiores democracias do mundo. Mas a parceria não resistiu à onda de escândalos e a Ponte anunciou que estava desfazendo a sociedade, apesar de declarar que continuaria a buscar novas formas de atingir o eleitorado nacional. Todavia, a legalidade no impulsionamento de conteúdo eleitoral persiste, o que por si só já tem ocasionado diversas controvérsias, principalmente referentes às “caixas-pretas” dos algoritmos que governam e decidem os conteúdos que serão exibidos a usuários nas mais diferentes plataformas online. Contudo, é possível analisar esse contexto sob diferentes óticas. E aqui tomamos a liberdade de apresentar duas visões distintas. Primeiro, no quesito transparência, talvez os escândalos envolvendo a Cambridge Analytica sirvam para fomentar a adoção de tecnologias que permitam uma transparência quase que radical nas campanhas eleitorais digitais. Destacamos aqui a possibilidade de se usar blockchain, a tecnologia que permite o funcionamento de criptomoedas como o Bitcoin, para manter um registro, acessível a qualquer um, de toda a cadeia de impulsionamento digital de conteúdo eleitoral patrocinado.

O blockchain é como um grande livro razão, um banco de dados descentralizado, que permite incluir um registro imutável de todas as transações que nele são adicionadas. Da mesma forma que ele é usado para registrar todas as operações feitas com Bitcoin, permitindo a qualquer um que as visualize e analise a qualquer momento, ele pode funcionar para registrar todos as interações de usuários com conteúdo publicitário digital, inclusive os de cunho eleitoral. Em outras palavras, se um usuário forneceu seu consentimento para a coleta de seus dados pessoais para finalidade de recebimento de propaganda direcionada, seria possível limitar o uso dos seus dados para este fim. Além disso, se um candidato ou um partido pagou para que seu conteúdo fosse enviado diretamente para determinadas audiências, com base nas preferências, gostos e interesses destas, isso tudo ficaria registrado para sempre na Blockchain, e qualquer um, indivíduos ou autoridades, poderia verificar se não houve violações, dentre outras, de normas eleitorais vigentes. Portanto, por meio de blockchain, seria possível ter uma visão clara de todo o ciclo de vida do uso dos dados pessoais, limitando o uso destes para os fins que ensejaram a coleta, quem pagou por determinado conteúdo e quantas vezes este foi exibido, e para quem, permitindo uma trilha de auditoria completa que praticamente inviabilizaria fraudes e práticas obscuras como as noticiadas em referência à CA.

Apesar de ainda encontrar limitações técnicas, principalmente na ordem de velocidade e eficiência, esse conceito não é novo, já tendo sido intitulado de “Blockchain Based Ad Networks”, desenhado especificamente para evitar fraudes digitais ao conferir uma grande transparência a todas as transações envolvendo conteúdo publicitário digital. Ou seja, talvez seja possível fomentar o uso e influenciar o desenho de tecnologias como o blockchain para garantir transparência com relação ao uso de dados pessoais, em especial, mas não exclusivamente, para fins de impulsionamento de conteúdo eleitoral, o que, em última análise, geraria ganhos democráticos e ferramentas para que a sociedade possa supervisionar a atuação de seus candidatos nas mais diferentes plataformas digitais.

Em segundo lugar, do mesmo jeito que os escândalos de espionagem revelados por Edward Snowden ativamente colaboraram para a aprovação de leis de proteção de dados pessoais, como o Marco Civil da Internet, as violações perpetradas pela empresa Cambridge Analytica podem levar a uma nova conjuntura política e um novo momento de discussões, no Brasil, nos EUA e em vários outros países, sobre a necessidade de leis robustas que assegurem direitos e liberdades fundamentais em um contexto que os dados pessoais são a representação eletrônica de um indivíduo.

No Brasil, há anos se discute uma lei geral de proteção de dados pessoais com eficácia ampla, multissetorial e transversal. Nesse contexto de discussões em prol de regras mais adequadas para garantir a privacidade dos cidadãos, o cenário europeu merece destaque. Em maio, entrará em vigor na Europa a nova Regulação Europeia de Proteção de Dados, conhecida como GDPR. Por muitos considerada uma norma que consegue equalizar interesses econômicos e comerciais com a proteção a direitos fundamentais, a sua eficácia extraterritorial que ultrapassa os limites geográficos do velho continente, tem levado a que seja classificada como o padrão mais elevado na proteção de dados pessoais. Independente de se ela é ou não o meio mais adequado para se regular o uso dos dados pessoais, a sua influência internacional é inquestionável. Já nos EUA, prevalece a ideia de que cabe ao indivíduo negociar diretamente com o provedor de serviço os limites no uso dos seus dados. Essa negociação acontece, quase que na totalidade das vezes, por meio de instrumentos unilaterais como as Políticas de Privacidade, documento raramente lido ou compreendido por aqueles que cedem os seus dados para que possam ter acesso às mais diversas funcionalidades oferecidas pelas empresas de Internet. As práticas da CA deixam claro que esta dinâmica e autonomia, por si, podem não ser suficientes para assegurar os direitos dos indivíduos, muito menos garantir o efetivo funcionamento do Estado Democrático de Direito. estão entre as mais preocupantes dentre os reguladores e aqueles que discutem os rumos de leis como esta. Por isso, como afirmado por Eduardo Ustaran, assim como Snowden teve uma clara influência nas leis sobre transferência internacional de dados, o caso Cambridge Analytica pode ter como desfecho uma profusão de novos limites no uso de dados pelos mais diferentes modelos de negócio, por meio de novas formas de regulação, no Brasil, nos EUA e no mundo.

Renato Leite Monteiro é doutorando em Filosofia do Direito pela USP e professor de Direito Digital da Universidade Presbiteriana Mackenzie.