Geomarketing e a Privacidade de Dados

#72

Gisele Thomaz de Aquino

O artigo procura evidenciar as relações existentes entre o geomarketing e a privacidade de dados, bem como indagar sobre a aplicação do Marco Civil neste contexto.
O geomarketing se pauta pelo uso de dados de geolocalização, arranjados em mapas, que permitem ao empresário a tomada de decisões mais eficazes, por meio de uma análise mais rápida, intuitiva e prática de informações complexas. Dados referentes ao perfil sócio-econômico dos habitantes de certa região ou dos concorrentes, o potencial do mercado de consumo local, a estrutura urbana existente e as características do ponto comercial são os de maior interesse.
A invenção desta estratégia de marketing só foi possível a partir da Internet e da criação e expansão do uso dos dispositivos móveis. Atualmente, existem no mercado vários aplicativos que localizam geograficamente os indivíduos, oferecendo-lhes serviços e produtos de maneira bastante variada, que vai de serviços de indicação de rotas terrestres para automóveis e caminhões, customização de conteúdos até redes sociais que fazem da localização de seus usuários seu apelo comercial. Estes aplicativos estão instalados em celulares, tablets e notebooks e usam várias tecnologias de informação para colher dados em tempo real.
No entanto, pouco se sabe sobre o tratamento que este tipo de dado recebe no Brasil, embora não seja difícil de imaginar o impacto que seu manuseio inadequado pode gerar sobre a privacidade.
Neste sentido, o artigo procura analisar o cenário existente e levantar questionamentos sobre o tema.

Como os dados são obtidos
Desde as primeiras gerações de celulares já era possível às empresas de telefonia obter informações sobre a localização dos aparelhos e de seus portadores/proprietários, por meio da coleta de dados das estações de base. Assim, a partir de um código atribuído a estação base e da sobreposição de sinais das estações base vizinhas, a companhia podia localizar um dispositivo móvel (técnica da triangulação).
Depois com o desenvolvimento da tecnologia WiFi e do GPS, outras fontes de coleta de dados de localização foram acrescidas à existente. Hoje, muitos smartphones e tablets já saem da fábrica equipados com circuitos integrados receptores de GPS, de forma que sua localização e a do seu portador podem ser obtidas a partir dos dados enviados pelos satélites do governo americano com bastante precisão. Mas, como o uso do GPS apresenta inconvenientes, tais como relativa lentidão para se conectar aos satélites e dificuldades de uso em ambientes fechados, é comum a combinação dos dados obtidos por meio das três tecnologias: GPS, estações de base e pontos de acesso WiFi.
Por sua vez, a tecnologia de identificação dos pontos de acesso de WiFi se baseia na localização de um código único que lhe é atribuído (endereço MAC). Ele pode ser reconhecido por um dispositivo móvel automaticamente e enviado a um serviço que aponte a localização correspondente. Como enviam sinais continuamente, ainda que ninguém esteja utilizando a rede, eles podem ser utilizados como meios de obtenção de dados de localização. Sem contar que a maioria dos pontos de acesso à banda larga também possuem antenas WiFi que mandam sinais mesmo que o usuário esteja conectado à Internet via cabo.
O código de identificação (MAC) pode ser obtido de duas formas: a) escaneamento ativo da área, por meio do envio de pedidos a todos os pontos de acesso WiFi próximos e o registro das respostas obtidas; b) escaneamento passivo em que se registram todos os sinais de identificação, transmitidos pelo ponto de acesso, periodicamente, independente do tipo de dado que possa transmitir.
É importante mencionar que smartphones e tablets detectam a presença dos pontos de acesso WiFi, bem como obtêm seus dados de identificação automaticamente. Eles também enviam quaisquer outros dados de localização que possuam de forma automática, quando emitem um pedido de geolocalização, independentemente de se tratar de dados de GPS ou sobre estações de base. Isto permite uma grande precisão na localização dos dispositivos móveis. No entanto, nem sempre os usuários de smartphones, laptops e tablets têm conhecimento desse processo.

Impacto da Tecnologia de Geolocalização
Com o advento do GPS, WiFi, redes de comunicação móveis, o desenvolvimento de aplicativos que usam este tipo de tecnologia tem crescido vertiginosamente. Muitas start-ups têm feito dos dados de geolocalização base para a elaboração de seus modelos de negócios. Podem ser simples programas para localizar e contactar táxis, ou mais sofisticados, como os que criam perfis de preferência para parceiros amorosos, a partir do cruzamento dos perfis armazenados. Também existem redes sociais, tais como o Foursquare, em que a geolocalização é seu diferencial em relação às demais.

Riscos para a Privacidade
Ainda que as boas práticas de mercado orientem e a legislação de alguns países determine a despersonalização dos dados pessoais antes de seu uso em estatísticas ou na elaboração de perfis de mercado, a preocupação com o uso dos dados pessoais permanece, na medida em que seu inter relacionamento com outros tipos de dados, podem revelar aspectos da personalidade e de hábitos que as pessoas não gostariam de ver expostos, além de dar margem à pratica de condutas discriminatórias. Quando inter relacionados com dados de geolocalização a preocupação é ainda maior.
A associação de dados de localização com dados pessoais dão às empresas o poder de elaborar perfis de hábitos e padrões de comportamento dos proprietários dos dispositivos móveis, a partir do monitoramento da rotina dos possuidores smartphones, tablets, notebooks e outros dispositivos móveis. Assim com base nos padrões de inatividade do aparelho é possível deduzir o local em que o indivíduo dormiu, a que horas ele foi para o trabalho, se visita hospitais ou cultos religiosos, por exemplo. Isso é altamente interessante para o marketing, na medida em que passa a conhecer hábitos, preferências pessoais e padrões de escolha ganhando grande poder de influência sobre suas decisões de consumo. Isto implica, em última análise, numa grande redução do âmbito de liberdade de cada um.
Como os dispositivos móveis podem recolher continuamente sinais enviados por estações de base e pontos de acesso de WiFi, o monitoramento das atividades de seu proprietário pode ser tecnicamente ocultado. Ou ainda, pode ser feito de forma semi-oculta, quando as pessoas não estão cientes sobre funcionamento desses recursos ou sobre sua ativação ou ainda, quando os dados de localização mudam de privado para público. Também é o caso daquela situação em que as pessoas simplesmente se esquecem de que o serviço está ativo.
Além disso, há que se considerar as inúmeras situações em que as pessoas disponibilizam seus dados pessoais juntamente com os de localização na Internet intencionalmente, sem atentar para os riscos a que estão expostas.

Tratamento da Questão na UE
Para lidar com as questões que envolvem privacidade e dados de geolocalização, a União Européia, por meio do Parecer 13/2011 do Grupo de Trabalho para a Proteção de Dados do art. 29º, adotado em 16 de maio de 2011, entendeu aplicável a Diretiva de Proteção de Dados Pessoais (Diretiva 95/46/CE) cabendo à Diretiva Privacidade e Comunicações Eletrônicas (Diretiva 2002/58/CE, revista pela Diretiva 2009/58/CE) um papel restrito. Desta forma, dados de geolocalização são considerados, de forma geral, dados pessoais, não importando quais os meios de obtenção ou tratamento dos dados que forem utilizados.
Para o Grupo de Trabalho os dispositivos móveis inteligentes guardam uma estreita e íntima relação com os indivíduos, permitindo, portanto, uma identificabilidade direita e indireta dos seus portadores/proprietários. Primeiro, porque o operador de serviços de conexão à Internet possui, em geral, vários dados pessoais de seus clientes, tais como nome, endereço, CPF, referências bancárias, mais vários números únicos do dispositivo. Segundo, porque a aquisição de aplicativos para o dispositivo é feita com o uso de cartão de crédito, o que dá margem ao enriquecimento de números únicos e dados de localização com dados de identificação direta.
Neste contexto, o Parecer aponta três níveis de responsabilidade no tratamento dos dados de geolocalização. São eles: a) a responsabilidade daquele que trata os dados brutos (obtidos diretamente da infra-estrutura de telecom); b) a do fornecedor de software/aplicativo de geolocalização ou o próprio serviço de geolocalização; c) o desenvolvedor do sistema operacional do dispositivo móvel inteligente.
Aqueles que pretendem fazer dos dados de geolocalização, obtidos em estações de base, serviços de valor agregado devem obter o consentimento prévio do cliente, bem como se certificar de que ele foi informado das condições em que o tratamento de dados se deu, como regra geral. Também os serviços de geolocalização, de fornecimento de aplicativos, ou ainda o de desenvolvimento de sistemas operacionais devem primar pela obtenção do consentimento prévio informado do usuário.
O parecer deixa claro que o uso de expedientes, tais como, a presunção de que o silêncio do indivíduo significa a aceitação dos termos e condições ou a simples concordância do usuário com termos e condições gerais obrigatórios, tornam ineficazes o consentimento obtido. Aliás, foram enfatizadas as qualidades que o consentimento deve ter: a) específico; b) direto, e; c) explícito para garantir sua eficácia, evitando assim que o usuário seja surpreendido com o uso de seus dados para fins com os quais ele não concorde.
Também se aponta para a necessidade de que os serviços de localização estejam desativados de início, podendo o usuário escolher entre os aplicativos ou funcionalidades específicos aqueles que lhe interessam.

Tratamento da questão pelos EUA
Nos Estados Unidos, a inexistência de uma legislação ou de uma jurisprudência consolidada sobre privacidade, permitiu que a questão fosse atraída para a competência do Federal Trade Commission (FTC Act, section 5).
Ao cuidar de questões envolvendo o direito de concorrência, o FTC acabou estabelecendo padrões para o exercício das atividades de propaganda e marketing e, consequentemente, salvaguardas para a privacidade dos indivíduos.
Definiu informação de identificação pessoal (“personally identifiable information” ou “PII”) como aquela que pode ser relacionada a um indivíduo em específico, tais como nome, endereço, e-mail, número do Seguro Social ou da carteira de motorista, dados financeiros, dados de saúde, informações sobre crianças e sobre localização geográfica, encontrando o respaldo das Cortes, que, ao julgar diferentes casos, deram à expressão entendimento similar.
Para dar efetividade à seção 5 e afastar o uso, a coleta e o tratamento dos PII de problemas concorrenciais, o FTC sugere “firmemente” às empresas do setor: a) que informem de forma clara e em local de fácil acesso sobre a coleta dos dados PII; b) que obtenham o consentimento prévio do consumidor em relação à estas práticas; c) que forneçam segurança adequada aos dados coletados.

Tratamento da questão no BR
No Brasil, a proteção dos dados pessoais está específica e expressamente assegurada pela Lei 12.965/2014, em vários dispositivos, seja como princípio (art. 3º, III), seja como direito ou garantia dos usuários da Internet (art.7º). No entanto, a definição de dados pessoais ficou a cargo de lei específica ainda inexistente.
Mencionada lei estabeleceu também que os contratos de prestação de serviços deverão conter informações claras e completas sobre as formas de proteção aos registros de conexão e de acesso às aplicações da Internet (art. 7º, VI); sobre a coleta, o uso, o armazenamento, o tratamento e a proteção de dados pessoais e seus fins (art. 7º, VIII), além da exigência de que o consentimento expresso e informado sobre tais atividades seja feito de forma destacada (art. 7º, IX).
A lei não menciona dados de geolocalização. Mas traz regras sobre o registro de dados de conexão e de acesso, inclusive sobre o IP, que é um dado de localização. Pela lei, a guarda dos dados de acesso é proibida aos provedores de conexão - empresas de telecom – (art. 14) que só podem guardar os dados de conexão. Já os provedores de acesso a aplicações (art.15) podem guardar os dados de acesso ou não (art. 15 c/c art. 17). No entanto, nem todas as relações entre a Lei e a proteção dos dados de localização foram exploradas.
Com relação específica às práticas de marketing, a própria lei reafirma a aplicação do Código de Defesa do Consumidor ao e-commerce, cabendo assim analisar em que termos as práticas de geomarketing poderiam ser feitas em conformidade com a lei.

Palavras-chave: privacidade, geomarketing, dados, geolocalização, dispositivos.