Por Livia Torres*
Este artigo foi publicado originalmente no portal do Cepi no Medium
Resumo: Neste texto busca-se explorar quatro implicações jurídicas associadas a proteção de dados pessoais e a implementação de um novo paradigma para a mobilidade urbana, o Mobility as a Service (MaaS), considerando o caso em que é implementado através de governos locais e possui atores privados como provedores de serviço. Assim, o objetivo é levantar problemáticas e, ao final, na conclusão, apresentar possíveis caminhos a serem explorados como forma de superar tais desafios.
Mobility as a Service (MaaS) é um conceito para a mobilidade urbana, consistente no uso de sistemas inteligentes para oferta de um serviço multimodal de transportes. Baseia-se na integração da oferta de serviços públicos e privados, informação, pagamento e emissão de créditos (SOCHOR et al. 2018, p. 9). A cena ilustrativa é a seguinte: um aplicativo reúne todas as opções de rota; assim, para o destino escolhido, mostra que o usuário poderia pegar uma bicicleta compartilhada até certo ponto e depois um ônibus em um corredor, ou então pegar o metrô até determinada estação e depois um patinete elétrico. O usuário não pagaria, no entanto, a tarifa da bicicleta e a do ônibus, ou a do metrô e a do patinete, pois haveria um preço único por viagem. Outra opção seria o usuário contratar um pacote mensal de viagens (como a assinatura de um serviço de streaming).
Os benefícios esperados, além
da facilidade de deslocamento dos cidadãos, envolveriam a redução de veículos
individuais transitando nas cidades, do tráfego urbano, da emissão de poluentes
e de custos para os usuários. Contudo, para ser bem sucedido, o sistema de MaaS
depende da exploração de dados por softwares de processamento inteligentes.
Isso implica, para além de uma grande quantidade de dados no sistema, uma
estrutura consolidada de controle e compartilhamento informacional — inclusive,
de dados pessoais dos usuários — muito maior do que a suportada hoje no
transporte público usual.
Afinal, o sistema
inteligente, por operar através de aplicativos de celulares, capta dados mais
específicos e granulares sobre os cidadãos. Assim, seria possível não só ver em
qual lugar da linha de ônibus o usuário validou seu bilhete, como também
identificar a localização de origem (como a casa da pessoa, por exemplo) e
destino (como o local específico de trabalho), inclusive a frequência deste
deslocamento. Estes dados seriam compartilhados entre os diferentes prestadores
de serviço — inclusive privados — implicando em questões de proteção de dados
pessoais regrados pela LGPD (COTTRILL, 2020, p. 50).
Dentre as tensões entre este
tema e o MaaS, resultantes da integração de serviços público e privado, quatro
pontos podem ser destacados:
Fornecer e compartilhar dados pessoais como
condição de acesso
Cabe perguntar, como ponto de
partida da discussão: o que o trajeto e a mobilidade de uma pessoa no meio
urbano revela sobre ela? Se um indivíduo faz uma rota semanal para um templo
religioso, um sindicato ou partido político, a informação sobre sua mobilidade
na cidade deixa de ser meramente um dado anonimizado sobre origem-destino. Ou
seja, as informações sobre mobilidade podem ser utilizadas para a inferência de
dados pessoais sensíveis dos titulares (HERRMANN et al. 2016, p. 5), nos termos
do art. 5º, II da LGPD[1], os quais os cidadãos podem não querer
compartilhar para evitar exposições indesejadas, inclusive considerando os
riscos discriminatórios associados ao seu processamento.
Considerando um alto nível
integração, um primeiro problema emerge pelo compartilhamento dos dados entre
diversas empresas como condição de acesso ao serviço público essencial de
transporte (COTTRILL, 2020, p. 5). Seria razoável que os cidadãos devessem
escolher entre (i) acessar o transporte público, compartilhando seus dados
pessoais de mobilidade com as empresas privadas vinculadas ao sistema, ou (ii)
não compartilhar seus dados, sendo impossibilitados de acessar o serviço
público?
O problema da instalação de
objetos conectados em locais e serviços públicos em parceria com o setor
privado decorre do fato de que as soluções “clássicas” da proteção de dados,
como notificar, informar e coletar o consentimento, não se aplicam (EDWARDS,
2016, p. 16). Principalmente porque tal consentimento, nos termos da
legislação, deve ser “livre”, mas, se a consequência de não fornecer
consentimento para o compartilhamento de dados pessoais entre poder público e
empresas vinculadas ao sistema é a impossibilidade de acesso ao sistema de
transporte, não é dada opção efetiva aos cidadãos que dependem do transporte
público para se locomover na malha urbana.
Neste sentido, cabe
questionar se seria o caso de garantir um direito ao anonimato na mobilidade
urbana e no acesso ao sistema de transporte. Este direito não poderia implicar
tarifas mais altas ou menor número de integrações possíveis, sob pena de
monetizar o direito a proteção de dados, criando, por um lado, um sistema
anônimo com privacidade e mais caro, e, por outro, um sistema identificado mais
barato. Além disso, talvez seja o caso da integração dos sistemas não diluir
por completo a fronteira entre o serviço público e privado. Assim, caso o
titular precise utilizar o sistema de transporte público, isso não implique no
fornecimento compulsório dos dados aos prestadores privados de serviço de
transporte.
De qualquer maneira, a
escolha por identificar-se e compartilhar seus dados não pode resultar em
tratamentos desproporcionais, de forma que o sistema de transporte poderia
possuir, por exemplo, escalas de consentimento (o chamado “consentimento
granular”) para as diferentes finalidades (além de estar em conformidade com as
leis de proteção de dados pessoais), conforme abordaremos no tópico 2.
Finalidade
Uma das principais regras
sobre proteção de dados é a definição prévia de finalidades específicas e não
discriminatórias para qualquer operação de tratamento, bem como que o mínimo de
dados deve ser tratado para atingir tal finalidade, restringindo as operações
aos dados estritamente necessários, além da obrigatoriedade de haver um nexo de
adequação entre o dado e o objetivo do tratamento (art. 6º da LGPD[2]). Ou seja, não se pode coletar dados
alimentando bases e, posteriormente, atribuir alguma funcionalidade a este
conjunto de informações — o movimento deve ser o oposto.
Logo, o que pode ser feito
com a informação sobre o trajeto das pessoas? O poder público, por um lado,
pode responder que estes dados são relevantes para compreender quais os
principais fluxos na cidade e planejar a mobilidade urbana e a oferta do
serviço de transporte público. Além disso, as prefeituras podem utilizar estas
informações para identificar locais em que é necessário construir mais postos
de saúde, creches ou escolas. Por outro lado, uma empresa poderia responder que
pode modular melhor a tarifa cobrada de acordo com o passageiro, melhorando e
personalizando a prestação de seu serviço. Além disso, pode vender essas
informações para que sejam direcionadas propagandas específicas sobre lojas
pelas quais o sujeito passa todos os dias e que possua interesse prévio.
Considerando que são
necessários tipos e granulações diferentes dos dados para as finalidades
pública e privada, como seria possível compatibilizar a finalidade e a coleta de
dados no sistema? Em outras palavras, poderia o poder público coletar e acessar
dados (considerando que as bases são integradas) excessivos perante a
finalidade da execução de políticas públicas, tão somente para atingir
finalidades dos players privados do sistema? Neste caso,
também parece haver uma limitação legal, no que tange à proporcionalidade da
ação pública, para a integração entre ambos serviços públicos e privados.
Bases Legais
Além de uma diferença
fundamental na destinação dada às informações pessoais que circulam no sistema,
existem nuances do regime legal aplicável ao serviço público e ao serviço
privado, a começar pelo fato de que os tratamentos de dados pessoais devem
apoiar-se em uma das bases legais definidas pela LGPD (art. 7º[3]). As atividades empresariais podem apoiar-se,
por exemplo, nas bases de consentimento dos titulares, da execução de contratos
e do interesse legítimo da empresa em questão.
O poder público, por outro
lado, possui uma base específica de “execução de políticas públicas”. A
principal questão para a proteção de dados é a possibilidade de deixar
indefinido o limite do público e privado, estendendo a base legal de execução
de políticas públicas às atividades de tratamento de dados do prestador
privado. Isso pode ser feito caso a finalidade de sua atuação seja também
executar a política prevista em lei e desde que haja um contrato, convênio ou
instrumento congênere entre o órgão público e a empresa prestadora do serviço
(art. 7º, III).
No caso do MaaS, estando os serviços
integrados, caberia às empresas legitimar operações de tratamento com base na
execução de políticas públicas (eximindo-as de colher o consentimento ou de
avaliar os riscos aos direitos fundamentais no exame da legitimidade, por
exemplo), ainda que apresente também outras finalidades, como o aperfeiçoamento
de algoritmo próprio ou o direcionamento de propagandas? Ou seja, quais seriam
os limites da extensão da base legal de execução de políticas? Mais uma vez,
parece-nos que a melhor solução seria manter um certo grau de separação entre
os serviços, para garantir o respeito aos limites impostos pelas regras de
proteção de dados pessoais, tendo o interesse dos titulares como foco.
Responsabilidade civil
A integração de grande
quantidade de dados, por si só, deve ser considerada em qualquer análise de
risco no que tange a proteção de dados pessoais (COTTRILL, 2020, p. 53).
Afinal, com o maior número de atores bebendo da mesma fonte e compartilhando
entre si dados pessoais, as consequências no caso de dados imprecisos ou
incorretos se dará de forma escalada para a vida do usuário. Além deste risco,
existe sempre a possibilidade de ocorrência de usos ilegais de dados pessoais e
incidentes de segurança, como vazamentos de dados. Em um serviço de MaaS, como
se daria a alocação de responsabilidade entre os diversos atores integrantes do
sistema?
A LGPD indica que o
controlador (ou seja, o agente que toma as decisões sobre o tratamento de
dados) e o operador (aquele que executa o tratamento em nome do controlador)
devem reparar danos gerados em razão do exercício da respectiva atividade que
envolve dados pessoais. É possível, ainda, segundo a GDPR, que contratualmente
estejam definidos co-controladores em um serviço — como poderia se optaria por
fazer em um serviço de MaaS com diversos players interagindo e compartilhando
dados.
Se por um lado existe a
possibilidade de se compartilhar por contrato as responsabilidades geradas por
danos em cada parte do serviço (o que por si só é difícil devido a imbricação
dos atores), o Código de Defesa do Consumidor impõe a responsabilidade
solidária entre os fornecedores de serviços, bem como o Estado possui
responsabilidade civil objetiva no exercício de suas atividades. Logo, é inegável
que o poder público, implantando MaaS deve implantar medidas de mitigação de
riscos.
Conclusão
A inovação do setor público
deve ser fundamentada em alguma necessidade social, respondendo diretamente a
um problema previamente identificado. Da mesma forma, o uso de dados pessoais
nestes sistemas deve ser necessário, não só por conta da obrigação legal da
LGPD (art. 6º), mas por obediência à proporcionalidade em atos discricionários
do poder público. Neste sentido, ao definir as diretrizes sobre o modelo
de Mobility as a Service, o poder público deve ser capaz de
reconhecer riscos do uso compartilhado de dados pessoais dos cidadãos com
atores privados fornecedores de transporte e respeitar os limites colocados
para sua atuação, em função do direito de proteção de dados dos usuários. Isso
significa que talvez seja necessário limitar a integração do sistema,
preservando certas fronteiras entre o papel do poder público e a atuação das
empresas na oferta da mobilidade. Afinal, os cidadãos não podem ser compelidos
a compartilhar seus dados pessoais com as empresas que participam do
fornecimento do sistema como condição para acessar um serviço público. Além
disso, a coleta e tratamento de dados pelos governos deve se limitar à
finalidade de execução de políticas públicas.
Ainda, cautela extra deve ser
tomada ao estender a base legal autorizativa de tratamento de dados pessoais do
poder público para os players privados, pois desobriga os segundos a coletar o
consentimento ou balancear o uso de dados com direitos fundamentais dos
titulares — procedimento obrigatório no caso da base legal do legítimo
interesse. Cabe pontuar, no entanto, que esta a garantia de certo grau de
diferença entre o público e o privado encontra dificuldade na separação das
responsabilidades civis decorrentes de eventuais danos gerados aos titulares de
dados, devido ao próprio desenho do ordenamento jurídico brasileiro de defesa
do consumidor.
Para além destes pontos, pesquisadores de cidades inteligentes indicam como boas práticas pensar nestes sistemas a partir de técnicas de privacy by design, bem como produzir um relatório de impacto a proteção de dados pessoais antes de sua execução, para avaliar medidas de mitigação de riscos (EDWARDS, 2016, p. 8 e 9). O primeiro conceito consistentes na restrição da quantidade de dados coletados ao mínimo necessário no próprio desenho das plataformas; utilizar, de forma padrão, a criptografia em qualquer fluxo de dados pessoais e, se possível, anonimizá-los; restringir ao mínimo o período de armazenamento daquelas informações; entre outras medidas (EDWARDS, 2016, p. 24). Já o segundo, consiste em avaliar riscos e benefícios associados aos usos de tais dados, orientando medidas para minimizar os eventuais problemas que podem decorrer de seu tratamento (EDWARDS, 2016, p. 26).
Livia Torres é bacharel em Direito pela Universidade de São Paulo (USP) e pesquisadora no CEPI e no CEPESP
Referências Bibliográficas
BRASIL. Lei nº 13.709, de 14
de agosto de 2018. Institui a Lei geral de proteção de dados pessoais.
Brasília: Congresso Nacional, 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>
Último acesso em: 19/05/2020.
COTTRILL,
Caitlin D. MaaS surveillance:privacy considerations in mobility as
a service. Transportation Research Part A: Policy and Practice, SL,
vol. 131, p. 50–57, janeiro de 2019. ISSN: 0965–8564 Disponível em: <https://www.sciencedirect.com/science/article/pii/S0965856418309741?via%3Dihub>
Último acesso em 19/05/2020. DOI: https://doi.org/10.1016/j.tra.2019.09.026
EDWARDS,
Lillian. Privacy, security and data protection in smart cities:a
critical EU law perspective. European Data Protection Law Review (EDPL),
SL, vol. 2, nº 1, p. 28–58, 2016. ISSN: 2364–2831. Disponível em: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2711290>
HERRMANN,
Michael; HILDEBRANDT, Mireille; TIELEMANS, Laura; DIAZ, Claudia. Privacy in
location-based services: an interdisciplinary approach.Scripted,
vol. 12, nº 2 p. 144–170, 2016. ISSN: 1744–2567. Disponível em: <https://script-ed.org/article/privacy-in-location-based-services-an-interdisciplinary-approach/>
DOI: 10.2966/scrip.130216.144
SOCHOR,
Jana; ARBY, Hans; KARLSSON, I.C. MariAnne; SARASINI, Steven. A topological
approach to mobility as a service:a proposed tool for
understanding requirements and effects, and for aiding the integration of
societal goals. Research in Transportation Business &
Management, SL, vol. 27, p. 3–14, junho de 2018. ISSN: 2210–5395. Disponível
em: <https://www.sciencedirect.com/science/article/abs/pii/S2210539518300476>
DOI: https://doi.org/10.1016/j.rtbm.2018.12.003
[1] Art. 5º Para os fins desta Lei,
considera-se: (…) II — dado pessoal sensível: dado pessoal sobre origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural;
[2] Art. 6º As atividades de tratamento de
dados pessoais deverão observar a boa-fé e os seguintes princípios: I —
finalidade: realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades; II — adequação: compatibilidade do
tratamento com as finalidades informadas ao titular, de acordo com o contexto
do tratamento; III — necessidade: limitação do tratamento ao mínimo necessário
para a realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de
dados; (…) IX — não discriminação: impossibilidade de realização do tratamento
para fins discriminatórios ilícitos ou abusivos;
[3] “Art. 7º O tratamento de dados pessoais
somente poderá ser realizado nas seguintes hipóteses: (…).”
As opiniões expressas neste artigo são de responsabilidade exclusiva do(s) autor(es), não refletindo necessariamente a opinião institucional do CEPI, CEPESP e/ou da FGV.
