A análise comportamental de usuários tornou-se uma ferramenta essencial para empresas de diversos setores. Com o uso de big data e inteligência artificial (IA), essas empresas conseguem identificar padrões e tendências comportamentais dos usuários através da análise de dados, permitindo decisões mais precisas e personalizadas.
Essa tendência também se tornou um produto comercializável a outras empresas que, dotadas de uma base de dados poderosa, desenvolveram soluções digitais para potencializar a operação de grandes players. No entanto, essa prática também levanta preocupações significativas em relação à privacidade e à proteção de dados, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD).
Um bom exemplo da comercialização é a iniciativa do Open Gateway, projeto liderado pela GSMA (Global System for Mobile Communications) lançado durante o Mobile World Congress 2023 em Barcelona, do qual o Brasil é um dos principais expoentes no mercado global. Grupos com atuação no Brasil estavam entre os fundadores do projeto e, em novembro de 2023, Vivo, Claro e TIM fizeram um anúncio conjunto do lançamento no País, tendo a operação a nível nacional adquirido grandes parceiros como o Banco Itaú.
O Open Gateway busca transformar redes de comunicação em plataformas programáveis, permitindo que desenvolvedores acessem funcionalidades da rede de forma padronizada e interoperável por meio de APIs (Application Programming Interfaces).
Na prática, um desenvolvedor — uma empresa que cria softwares, apps ou serviços — adquire uma API para integrar a um de seus serviços. O desenvolvedor faz uma consulta à operadora por meio de API, enviando dados do cliente final (como CPF, localização, número de celular, etc.). A operadora, então, consulta sua base de dados e retorna uma resposta anonimizada ao desenvolvedor, seja ela positiva, negativa ou inexistente, para a confirmação do dado fornecido — match, non-match ou not found.
Atualmente, a iniciativa foca no combate a fraudes e crimes digitais, desenvolvendo produtos voltados principalmente para instituições financeiras que buscam soluções de antifraude aos consumidores. Além dos serviços financeiros, há grandes oportunidades em setores como fintechs, jogos virtuais, mobilidade inteligente e até na localização de endereços para diligências judiciais e extrajudiciais.
Nesse contexto, é evidente que as soluções digitais dependem, cada vez mais, de uma vasta quantidade de dados pessoais. Ocorre que, por vezes, as bases de dados utilizadas foram construídas para finalidades diversas daquelas ora pretendidas, trazendo, por consequência, riscos para a atividade e para os titulares dos dados pessoais, que são os verdadeiros protagonistas de toda a operação.
É fato que qualquer tratamento de dados pessoais a ser realizado deve ter como princípio básico o respeito à privacidade dos usuários. Não só isso, deve ser sempre garantido ao titular o direito de controlar seus próprios dados e a capacidade de decidir como, quando e por quem eles poderão ser tratados, em observância ao princípio da autodeterminação informativa previsto como fundamento da LGPD (Art. 2º, II).
Significa dizer que, ainda que a empresa desenvolvedora tenha a custódia e o acesso aos respectivos dados por determinado período de tempo, estes pertencem exclusivamente ao titular, sendo conferido a ele o direito de gerir o uso de seus dados pessoais e de saber, com total transparência, como os seus dados estão sendo tratados e para quais finalidades.
No Open Gateway, muito embora, via de regra, seja comum que os dados pessoais tratados nos produtos desenvolvidos passem por processos de anonimização, cabe especial cuidado com as funcionalidades que possibilitam a análise de padrão de comportamentos e de perfis de clientes, especialmente porque a perfilização pode repercutir diretamente nas obrigações decorrentes da LGPD, dependendo da forma como os dados são tratados.
A legislação protetiva prevê que dados anonimizados poderão ser igualmente considerados como dados pessoais caso sejam utilizados para formação de perfil comportamental, havendo interpretações no sentido de que esse entendimento se aplicaria mesmo nas hipóteses de perfilização por grupos. Por isso, práticas que visem a assegurar a adoção dos melhores padrões e técnicas disponíveis para o processo de anonimização, sobretudo para que se possa garantir a impossibilidade de reversão do dado anonimizado, são recomendáveis.
Igualmente, é importante que as empresas adquirentes das APIs busquem aprimorar suas próprias soluções, utilizando esses produtos digitais para melhorar a experiência de seus usuários. Ocorre que o usuário final geralmente possui vínculo contratual apenas com a empresa adquirente, estando alheio a respeito da participação da operadora de rede quando usa, por exemplo, o aplicativo de seu banco digital.
Por isso, com a crescente presença de soluções de Open Gateway nos mercados e, especialmente, do uso muitas vezes desenfreado de dados pessoais para construí-las, cabe às empresas garantirem a conformidade de seus produtos com as normas de privacidade e proteção de dados, assegurando o cumprimento das legislações vigentes.
A esse respeito, a preocupação com a privacidade dos usuários desde o momento da concepção do produto como padrão ("Privacy by Design" e "Privacy by Default") é bastante recomendável, antecipando-se os temas da privacidade e da segurança dos dados tratados antes do assentamento de normas regulatórias e concorrenciais sobre determinado tema ou solução digital, e evitando uma atuação repressiva pautada somente em eventual dano ou contingência judicial.
Com o Privacy by Design, as empresas adotam uma postura proativa em relação à proteção da privacidade de seus usuários, integrando mecanismos de segurança e conformidade desde o início do processo de desenvolvimento. Isso significa que a privacidade não é tratada como um aspecto secundário, e sim como uma prioridade no design de produtos e serviços.
Para empresas atuantes no Open Gateway, essa abordagem tem o potencial de ser um diferencial competitivo, considerando que usuários e parceiros de negócios tendem a confiar mais em soluções que demonstram compromisso com a proteção de dados. Além disso, a aplicação de Privacy by Design e by Default possibilita uma maior transparência nas operações e nas práticas de tratamento e compartilhamento de dados pessoais entre diferentes agentes.
A título ilustrativo, nas soluções empoderadas de big data e análise massiva de dados, mecanismos como os de minimização, desidentificação, anonimização, pseudonimização e/ou criptografia de dados são chave para assegurar um processo respeitoso e pautado na privacidade nos dados do usuário.
Ao integrar medidas de segurança claras e efetivas, as empresas não apenas cumprem suas obrigações legais, como também fortalecem o seu relacionamento com os titulares e evitam riscos reputacionais e sanções pecuniárias de valor expressivo previstas pela LGPD.
Portanto, assegurar que a privacidade esteja incorporada desde a concepção de qualquer produto ou serviço é essencial para certificar que o tratamento de dados seja realizado de forma segura e em conformidade com as leis aplicáveis, especialmente para garantir que a análise de dados não recaia no campo da vigilância não consentida do indivíduo e, ao mesmo tempo, seja capaz de promover a inovação responsável e sustentável no ambiente do Open Gateway.
* João Guilherme Calsavara é advogado nas áreas de Direito Processual Civil e Direito Civil do escritório Silveiro Advogados. Francesca Balestrin é advogada nas áreas de Propriedade Intelectual e Direito Digital do escritório Silveiro Advogados. As opiniões expressas neste artigo não refletem necessariamente a visão de TELETIME.
