Por Livia Torres*
Este artigo foi publicado originalmente no portal do Cepi no Medium
Resumo: Neste texto busca-se explorar quatro implicações jurídicas associadas a proteção de dados pessoais e a implementação de um novo paradigma para a mobilidade urbana, o Mobility as a Service (MaaS), considerando o caso em que é implementado através de governos locais e possui atores privados como provedores de serviço. Assim, o objetivo é levantar problemáticas e, ao final, na conclusão, apresentar possíveis caminhos a serem explorados como forma de superar tais desafios.
Mobility as a Service (MaaS) é um conceito para a mobilidade urbana, consistente no uso de sistemas inteligentes para oferta de um serviço multimodal de transportes. Baseia-se na integração da oferta de serviços públicos e privados, informação, pagamento e emissão de créditos (SOCHOR et al. 2018, p. 9). A cena ilustrativa é a seguinte: um aplicativo reúne todas as opções de rota; assim, para o destino escolhido, mostra que o usuário poderia pegar uma bicicleta compartilhada até certo ponto e depois um ônibus em um corredor, ou então pegar o metrô até determinada estação e depois um patinete elétrico. O usuário não pagaria, no entanto, a tarifa da bicicleta e a do ônibus, ou a do metrô e a do patinete, pois haveria um preço único por viagem. Outra opção seria o usuário contratar um pacote mensal de viagens (como a assinatura de um serviço de streaming).
Os benefícios esperados, além da facilidade de deslocamento dos cidadãos, envolveriam a redução de veículos individuais transitando nas cidades, do tráfego urbano, da emissão de poluentes e de custos para os usuários. Contudo, para ser bem sucedido, o sistema de MaaS depende da exploração de dados por softwares de processamento inteligentes. Isso implica, para além de uma grande quantidade de dados no sistema, uma estrutura consolidada de controle e compartilhamento informacional — inclusive, de dados pessoais dos usuários — muito maior do que a suportada hoje no transporte público usual.
Afinal, o sistema inteligente, por operar através de aplicativos de celulares, capta dados mais específicos e granulares sobre os cidadãos. Assim, seria possível não só ver em qual lugar da linha de ônibus o usuário validou seu bilhete, como também identificar a localização de origem (como a casa da pessoa, por exemplo) e destino (como o local específico de trabalho), inclusive a frequência deste deslocamento. Estes dados seriam compartilhados entre os diferentes prestadores de serviço — inclusive privados — implicando em questões de proteção de dados pessoais regrados pela LGPD (COTTRILL, 2020, p. 50).
Dentre as tensões entre este tema e o MaaS, resultantes da integração de serviços público e privado, quatro pontos podem ser destacados:
Fornecer e compartilhar dados pessoais como condição de acesso
Cabe perguntar, como ponto de partida da discussão: o que o trajeto e a mobilidade de uma pessoa no meio urbano revela sobre ela? Se um indivíduo faz uma rota semanal para um templo religioso, um sindicato ou partido político, a informação sobre sua mobilidade na cidade deixa de ser meramente um dado anonimizado sobre origem-destino. Ou seja, as informações sobre mobilidade podem ser utilizadas para a inferência de dados pessoais sensíveis dos titulares (HERRMANN et al. 2016, p. 5), nos termos do art. 5º, II da LGPD[1], os quais os cidadãos podem não querer compartilhar para evitar exposições indesejadas, inclusive considerando os riscos discriminatórios associados ao seu processamento.
Considerando um alto nível integração, um primeiro problema emerge pelo compartilhamento dos dados entre diversas empresas como condição de acesso ao serviço público essencial de transporte (COTTRILL, 2020, p. 5). Seria razoável que os cidadãos devessem escolher entre (i) acessar o transporte público, compartilhando seus dados pessoais de mobilidade com as empresas privadas vinculadas ao sistema, ou (ii) não compartilhar seus dados, sendo impossibilitados de acessar o serviço público?
O problema da instalação de objetos conectados em locais e serviços públicos em parceria com o setor privado decorre do fato de que as soluções “clássicas” da proteção de dados, como notificar, informar e coletar o consentimento, não se aplicam (EDWARDS, 2016, p. 16). Principalmente porque tal consentimento, nos termos da legislação, deve ser “livre”, mas, se a consequência de não fornecer consentimento para o compartilhamento de dados pessoais entre poder público e empresas vinculadas ao sistema é a impossibilidade de acesso ao sistema de transporte, não é dada opção efetiva aos cidadãos que dependem do transporte público para se locomover na malha urbana.
Neste sentido, cabe questionar se seria o caso de garantir um direito ao anonimato na mobilidade urbana e no acesso ao sistema de transporte. Este direito não poderia implicar tarifas mais altas ou menor número de integrações possíveis, sob pena de monetizar o direito a proteção de dados, criando, por um lado, um sistema anônimo com privacidade e mais caro, e, por outro, um sistema identificado mais barato. Além disso, talvez seja o caso da integração dos sistemas não diluir por completo a fronteira entre o serviço público e privado. Assim, caso o titular precise utilizar o sistema de transporte público, isso não implique no fornecimento compulsório dos dados aos prestadores privados de serviço de transporte.
De qualquer maneira, a escolha por identificar-se e compartilhar seus dados não pode resultar em tratamentos desproporcionais, de forma que o sistema de transporte poderia possuir, por exemplo, escalas de consentimento (o chamado “consentimento granular”) para as diferentes finalidades (além de estar em conformidade com as leis de proteção de dados pessoais), conforme abordaremos no tópico 2.
Finalidade
Uma das principais regras sobre proteção de dados é a definição prévia de finalidades específicas e não discriminatórias para qualquer operação de tratamento, bem como que o mínimo de dados deve ser tratado para atingir tal finalidade, restringindo as operações aos dados estritamente necessários, além da obrigatoriedade de haver um nexo de adequação entre o dado e o objetivo do tratamento (art. 6º da LGPD[2]). Ou seja, não se pode coletar dados alimentando bases e, posteriormente, atribuir alguma funcionalidade a este conjunto de informações — o movimento deve ser o oposto.
Logo, o que pode ser feito com a informação sobre o trajeto das pessoas? O poder público, por um lado, pode responder que estes dados são relevantes para compreender quais os principais fluxos na cidade e planejar a mobilidade urbana e a oferta do serviço de transporte público. Além disso, as prefeituras podem utilizar estas informações para identificar locais em que é necessário construir mais postos de saúde, creches ou escolas. Por outro lado, uma empresa poderia responder que pode modular melhor a tarifa cobrada de acordo com o passageiro, melhorando e personalizando a prestação de seu serviço. Além disso, pode vender essas informações para que sejam direcionadas propagandas específicas sobre lojas pelas quais o sujeito passa todos os dias e que possua interesse prévio.
Considerando que são necessários tipos e granulações diferentes dos dados para as finalidades pública e privada, como seria possível compatibilizar a finalidade e a coleta de dados no sistema? Em outras palavras, poderia o poder público coletar e acessar dados (considerando que as bases são integradas) excessivos perante a finalidade da execução de políticas públicas, tão somente para atingir finalidades dos players privados do sistema? Neste caso, também parece haver uma limitação legal, no que tange à proporcionalidade da ação pública, para a integração entre ambos serviços públicos e privados.
Bases Legais
Além de uma diferença fundamental na destinação dada às informações pessoais que circulam no sistema, existem nuances do regime legal aplicável ao serviço público e ao serviço privado, a começar pelo fato de que os tratamentos de dados pessoais devem apoiar-se em uma das bases legais definidas pela LGPD (art. 7º[3]). As atividades empresariais podem apoiar-se, por exemplo, nas bases de consentimento dos titulares, da execução de contratos e do interesse legítimo da empresa em questão.
O poder público, por outro lado, possui uma base específica de “execução de políticas públicas”. A principal questão para a proteção de dados é a possibilidade de deixar indefinido o limite do público e privado, estendendo a base legal de execução de políticas públicas às atividades de tratamento de dados do prestador privado. Isso pode ser feito caso a finalidade de sua atuação seja também executar a política prevista em lei e desde que haja um contrato, convênio ou instrumento congênere entre o órgão público e a empresa prestadora do serviço (art. 7º, III).
No caso do MaaS, estando os serviços integrados, caberia às empresas legitimar operações de tratamento com base na execução de políticas públicas (eximindo-as de colher o consentimento ou de avaliar os riscos aos direitos fundamentais no exame da legitimidade, por exemplo), ainda que apresente também outras finalidades, como o aperfeiçoamento de algoritmo próprio ou o direcionamento de propagandas? Ou seja, quais seriam os limites da extensão da base legal de execução de políticas? Mais uma vez, parece-nos que a melhor solução seria manter um certo grau de separação entre os serviços, para garantir o respeito aos limites impostos pelas regras de proteção de dados pessoais, tendo o interesse dos titulares como foco.
Responsabilidade civil
A integração de grande quantidade de dados, por si só, deve ser considerada em qualquer análise de risco no que tange a proteção de dados pessoais (COTTRILL, 2020, p. 53). Afinal, com o maior número de atores bebendo da mesma fonte e compartilhando entre si dados pessoais, as consequências no caso de dados imprecisos ou incorretos se dará de forma escalada para a vida do usuário. Além deste risco, existe sempre a possibilidade de ocorrência de usos ilegais de dados pessoais e incidentes de segurança, como vazamentos de dados. Em um serviço de MaaS, como se daria a alocação de responsabilidade entre os diversos atores integrantes do sistema?
A LGPD indica que o controlador (ou seja, o agente que toma as decisões sobre o tratamento de dados) e o operador (aquele que executa o tratamento em nome do controlador) devem reparar danos gerados em razão do exercício da respectiva atividade que envolve dados pessoais. É possível, ainda, segundo a GDPR, que contratualmente estejam definidos co-controladores em um serviço — como poderia se optaria por fazer em um serviço de MaaS com diversos players interagindo e compartilhando dados.
Se por um lado existe a possibilidade de se compartilhar por contrato as responsabilidades geradas por danos em cada parte do serviço (o que por si só é difícil devido a imbricação dos atores), o Código de Defesa do Consumidor impõe a responsabilidade solidária entre os fornecedores de serviços, bem como o Estado possui responsabilidade civil objetiva no exercício de suas atividades. Logo, é inegável que o poder público, implantando MaaS deve implantar medidas de mitigação de riscos.
Conclusão
A inovação do setor público deve ser fundamentada em alguma necessidade social, respondendo diretamente a um problema previamente identificado. Da mesma forma, o uso de dados pessoais nestes sistemas deve ser necessário, não só por conta da obrigação legal da LGPD (art. 6º), mas por obediência à proporcionalidade em atos discricionários do poder público. Neste sentido, ao definir as diretrizes sobre o modelo de Mobility as a Service, o poder público deve ser capaz de reconhecer riscos do uso compartilhado de dados pessoais dos cidadãos com atores privados fornecedores de transporte e respeitar os limites colocados para sua atuação, em função do direito de proteção de dados dos usuários. Isso significa que talvez seja necessário limitar a integração do sistema, preservando certas fronteiras entre o papel do poder público e a atuação das empresas na oferta da mobilidade. Afinal, os cidadãos não podem ser compelidos a compartilhar seus dados pessoais com as empresas que participam do fornecimento do sistema como condição para acessar um serviço público. Além disso, a coleta e tratamento de dados pelos governos deve se limitar à finalidade de execução de políticas públicas.
Ainda, cautela extra deve ser tomada ao estender a base legal autorizativa de tratamento de dados pessoais do poder público para os players privados, pois desobriga os segundos a coletar o consentimento ou balancear o uso de dados com direitos fundamentais dos titulares — procedimento obrigatório no caso da base legal do legítimo interesse. Cabe pontuar, no entanto, que esta a garantia de certo grau de diferença entre o público e o privado encontra dificuldade na separação das responsabilidades civis decorrentes de eventuais danos gerados aos titulares de dados, devido ao próprio desenho do ordenamento jurídico brasileiro de defesa do consumidor.
Para além destes pontos, pesquisadores de cidades inteligentes indicam como boas práticas pensar nestes sistemas a partir de técnicas de privacy by design, bem como produzir um relatório de impacto a proteção de dados pessoais antes de sua execução, para avaliar medidas de mitigação de riscos (EDWARDS, 2016, p. 8 e 9). O primeiro conceito consistentes na restrição da quantidade de dados coletados ao mínimo necessário no próprio desenho das plataformas; utilizar, de forma padrão, a criptografia em qualquer fluxo de dados pessoais e, se possível, anonimizá-los; restringir ao mínimo o período de armazenamento daquelas informações; entre outras medidas (EDWARDS, 2016, p. 24). Já o segundo, consiste em avaliar riscos e benefícios associados aos usos de tais dados, orientando medidas para minimizar os eventuais problemas que podem decorrer de seu tratamento (EDWARDS, 2016, p. 26).
Livia Torres é bacharel em Direito pela Universidade de São Paulo (USP) e pesquisadora no CEPI e no CEPESP
Referências Bibliográficas
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Institui a Lei geral de proteção de dados pessoais. Brasília: Congresso Nacional, 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm> Último acesso em: 19/05/2020.
COTTRILL, Caitlin D. MaaS surveillance:privacy considerations in mobility as a service. Transportation Research Part A: Policy and Practice, SL, vol. 131, p. 50–57, janeiro de 2019. ISSN: 0965–8564 Disponível em: <https://www.sciencedirect.com/science/article/pii/S0965856418309741?via%3Dihub> Último acesso em 19/05/2020. DOI: https://doi.org/10.1016/j.tra.2019.09.026
EDWARDS, Lillian. Privacy, security and data protection in smart cities:a critical EU law perspective. European Data Protection Law Review (EDPL), SL, vol. 2, nº 1, p. 28–58, 2016. ISSN: 2364–2831. Disponível em: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2711290>
HERRMANN, Michael; HILDEBRANDT, Mireille; TIELEMANS, Laura; DIAZ, Claudia. Privacy in location-based services: an interdisciplinary approach.Scripted, vol. 12, nº 2 p. 144–170, 2016. ISSN: 1744–2567. Disponível em: <https://script-ed.org/article/privacy-in-location-based-services-an-interdisciplinary-approach/> DOI: 10.2966/scrip.130216.144
SOCHOR, Jana; ARBY, Hans; KARLSSON, I.C. MariAnne; SARASINI, Steven. A topological approach to mobility as a service:a proposed tool for understanding requirements and effects, and for aiding the integration of societal goals. Research in Transportation Business & Management, SL, vol. 27, p. 3–14, junho de 2018. ISSN: 2210–5395. Disponível em: <https://www.sciencedirect.com/science/article/abs/pii/S2210539518300476> DOI: https://doi.org/10.1016/j.rtbm.2018.12.003
[1] Art. 5º Para os fins desta Lei, considera-se: (…) II — dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[2] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I — finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II — adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III — necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; (…) IX — não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
[3] “Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (…).”
As opiniões expressas neste artigo são de responsabilidade exclusiva do(s) autor(es), não refletindo necessariamente a opinião institucional do CEPI, CEPESP e/ou da FGV.
