Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Como o romance com privacidade na Europa se tornou um relacionamento aberto
Com o General Data Protection Regulation (GDPR), a União Europeia liderou o caminho das proteções de dados e da privacidade digital. Com o Direct Memory Access (DMA), minou grande parte desse progresso. Ao considerar uma legislação semelhante ao DMA, o Brasil tem a oportunidade de aprender com os erros da Europa.
A nova legislação não pode ser uma ferramenta para que as empresas que consomem muitos dados contornem as proteções de privacidade. O Brasil tem a chance de regular isso direito.
Dizem que não se deve conhecer seus heróis porque eles sempre decepcionam. Neste momento, suspeito que muitos defensores globais da privacidade estejam se sentindo assim em relação à União Europeia, ou pelo menos a algumas partes dela. Não faz muito tempo que a UE se apresentava como líder global em privacidade, segundo suas palavras, “orgulhosa de liderar o caminho e estabelecer um alto padrão para a proteção de dados em todo o mundo”.
E eles tinham razão para se orgulhar: A UE estava na vanguarda de um movimento que muitos no mundo seguiram, mesmo que, às vezes, de forma bastante confusa (como, por exemplo, a Califórnia). Um estudo realizado em 2021 pela University College London concluiu que “o GDPR pode ser considerado um problema para as empresas, mas tornou-as mais cuidadosas com os dados”. E, por incrível que pareça, até mesmo alguns dos regulados elogiaram os reguladores.
Eu era executivo de uma empresa de segurança cibernética quando a UE estava desenvolvendo o GDPR e vi o impacto em primeira mão. Isso mudou a conversa; os governos e as empresas tiveram que levar a privacidade e a segurança cibernética mais a sério e, embora imperfeita, proporcionou resultados reais aos indivíduos.
Quando eu estava no Conselho de Segurança Nacional e na CISA, tive interações regulares com meus colegas europeus e nunca duvidei de seus motivos ou de sua paixão pela privacidade e segurança dos dados, apesar de discordar de alguns discursos ocasionais.
Portanto, quando li que a UE forçaria os fabricantes de dispositivos a dar às empresas, ávidas por dados, acesso a uma ampla gama de dados armazenados no meu telefone, achei que a reportagem estava errada ou, pelo menos, hiperbólica. Acontece que não foi assim.
Por exemplo: no início de 2025, a UE ordenou que a Apple desse aos desenvolvedores acesso aos dados relacionados à Wi-Fi armazenados em seus telefones. Isso inclui coisas óbvias, como redes e senhas salvas, que a maioria dos dispositivos mantêm para que o usuário possa se reconectar sem problemas. Mas também inclui dados sobre quando você se conectou pela última vez, chaves de segurança, tipo de criptografia e muito mais. Esse pacote de informações também pode incluir um identificador exclusivo que pode ser combinado com outros dados públicos para rastrear onde você esteve.
Por que isso é importante? Porque os dados de que estamos falando são realmente valiosos. De acordo com a Apple, nem mesmo eles veem essas informações. Os iPhones armazenam os dados localmente e são criptografados, portanto seriam inúteis mesmo se alguém os roubasse.
Apesar disso, o DMA não exige que as empresas que desejam ter acesso aos dados necessariamente se comprometam com os padrões de privacidade e segurança do desenvolvedor subjacente, portanto, uma vez que eles tenham os dados, você pode não saber para onde eles vão ou o que estão fazendo com eles. Os corretores de dados e outros adorariam ter acesso a essas informações por causa do que elas podem dizer sobre nós, especialmente quando combinadas com todos os outros rastros digitais que deixamos para trás todos os dias.
Sabe aquela quando sensação assustadora, quando você começa a receber anúncios ou a ver publicações sobre algo que acabou de pensar em fazer ou comprar? Como eles sabiam? Você tem certeza de que nunca procurou por ele on-line, mas, de alguma forma, eles sabem.
Agora imagine alguém que está lutando para ter filhos e quer manter essa situação profundamente íntima e pessoal em sigilo. Eles não fazem pesquisas na Internet ou usam VPNs e navegadores anônimos quando o fazem. Imagine o que um anunciante ou uma empresa de mídia social faria com o conhecimento de que essa pessoa se conectava regularmente à rede Wi-Fi de uma clínica de fertilidade local; os anúncios direcionados e as publicações em mídias sociais começariam a chegar com força.
No entanto, a UE – liderança em privacidade para todos nós – está tornando isso uma realidade. Como? Por quê?
Porque a UE é uma organização complexa. Cada diretoria tem responsabilidades diferentes, e esse mandato faz parte da agenda de “concorrência” da UE. Especificamente, ele faz parte da Lei de Mercados Digitais da UE, que exige que as principais plataformas “guardiãs” tornem seus produtos e sistemas “interoperáveis”. Em termos mais simples, eles precisam permitir que outros aplicativos e dispositivos se conectem e trabalhem com seus dispositivos ou software em pé de igualdade com seus próprios produtos.
Por uma questão de princípio, eu adoro isso. A concorrência é boa, os monopólios são ruins, e todos nós nos beneficiamos quando as empresas precisam continuar inovando para se manterem no topo. Os consumidores devem ter opções suficientes para encontrar um produto que atenda às suas necessidades ou preferências. Eu deveria poder escolher o fone de ouvido que melhor se adaptasse a mim, e todas as opções deveriam ser capazes de controlar o volume, atender a uma chamada ou acessar o assistente virtual do meu telefone.
Portanto, sim, a concorrência é ótima, e a UE está promovendo isso. Mas o que não é tão bom assim é quando empresas que existem para monetizar seus dados pessoais tentam transmogrificar (transformar uma coisa em outra) a iniciativa de concorrência da UE em algo que alimenta sua máquina faminta de dados.
Eles não deveriam poder usar o DMA para minar o GDPR. Mas isso parece ser o que está acontecendo nesse caso. Uma empresa quer copiar todo o meu histórico de wi-fi, algo que nem mesmo o fabricante do meu telefone pode fazer. Não tenho nenhum funcionário da UE na discagem rápida, mas suspeito que os defensores de longa data da privacidade não estão satisfeitos com a forma como algumas dessas políticas de “concorrência” estão sendo implementadas.
Chegamos a um ponto em meus discursos periódicos em que, espero, eu consiga articular o que quero. Quero equilíbrio, algo sobre o qual já escrevi antes. Não é loucura pensar que a UE pode criar uma política de concorrência que complemente a privacidade e a segurança, em vez de atropelá-la com um caminhão (e depois dar ré nela novamente).
Para isso, no mês passado, o conselho europeu que supervisiona a implementação do GDPR e a Comissão Europeia publicaram as “Diretrizes Conjuntas” sobre a interação entre o GDPR e o DMA. Fico feliz em ver que eles estão pelo menos reconhecendo o conflito, mas a linguagem parece colocar um grande dedo na balança contra a segurança e a privacidade, permitindo apenas “medidas estritamente necessárias e proporcionais e devidamente justificadas”.
Eu gostaria que a UE adotasse o mesmo nível de ceticismo em relação a algumas solicitações de interoperabilidade, especialmente aquelas que exigem acesso aos meus dados confidenciais. Caso contrário, a UE corre o risco de permitir que empresas inescrupulosas usem o DMA como um cavalo de troia para obter acesso a dados pessoais.
Da última vez que verifiquei, a UE infelizmente estava apoiando suas recentes diretivas antiprivacidade. E, embora a Apple tenha recorrido da ordem no caso de compartilhamento de dados de wi-fi, meu entendimento é de que ela precisa cumprir a diretiva (ou seja, compartilhar os dados) enquanto aguarda o resultado do recurso. Isso é ruim para todos nós. Esperamos que cabeças sensatas prevaleçam em algum momento, mas até que isso aconteça, o herói da privacidade da UE deixou a conversa de lado.
