Sobre a intersecção entre a propriedade intelectual e a proteção de dados pessoais

Eliz Marina Bariviera[1]

Pedro de Perdigão Lana[2]

 

• INTRODUÇÃO

Como todos sabem, as discussões sobre proteção de dados pessoais tornaram-se rapidamente o tema da vez do mundo do direito, com as buscas e produção sobre esse tópico aumentando vertiginosamente desde o início da década:

(Busca no site dimensions.ai sobre pesquisas publicadas com os termos “personal data” e “law” no título/resumo)

 

Essa área era pouco conhecida para a maioria dos estudiosos do direito, com exceção de um grupo relativamente reduzido de juristas que já estudavam o tema antes da década de 2010. A explosão de interesse e produção técnica se deve ao avanço das legislações de proteção de dados ao redor do globo, além das diversas problemáticas que envolvem o tema e que se tornaram objeto de notícias globais.

Nem sempre é percebida uma curiosa característica nesse reduzido grupo que já tinha interesse por essas questões antes da explosão da temática, que é uma proporção bastante

elevada de estudiosos da propriedade intelectual (PI), principalmente nos EUA (vide o debate na virada do século sobre a proteção de dados pessoais travada por L. Lessig, J. Litman, P. Samuelson, M. Lemley e P. Schwartz). Constata-se, corroborando essa percepção, que em muitos escritórios de advocacia o setor de proteção de dados é agregado ao de propriedade intelectual.

No entanto, uma rápida pesquisa sobre ambos os ramos jurídicos evidencia que eles são profundamente diferentes, com princípios estruturantes muito distintos, cujo principal ponto de proximidade parece ser apenas a tutela de bens imateriais muito valorizados na sociedade informacional[3], especialmente pelas grandes empresas de tecnologia. Por que, então, essa ligação entre as duas áreas salta aos olhos em diversos momentos[4]?

• ASPECTO HISTÓRICO: DESENVOLVIMENTO E RETROALIMENTAÇÃO

No Brasil, as legislações vigentes de propriedade intelectual são muito anteriores às de proteção de dados (com exceção do art. 43 do Código de Defesa do Consumidor, de 1990). Enquanto a Lei de Direito Autoral (LDA, Lei n. 9.610/98) e a Lei de Propriedade Industrial (LPI, Lei n. 9.279/96) são do final do século passado, o Marco Civil da Internet é de 2014 e a Lei Geral de Proteção de Dados foi aprovada em 2018, baseada largamente no RGPD europeu. Além disso, está em avançada discussão a criação de uma legislação específica para a área de segurança pública[5], também com forte inspiração na Diretiva (UE) 2016/680. 

Todavia, a discussão sobre a melhor forma de regulamentar a proteção de dados pessoais é muito anterior a esses diplomas, e em suas origens o diálogo com a PI era intenso. O RGPD, ao estabelecer um extenso quadro normativo vinculante, com grande capacidade generalizante e fortes efeitos extraterritoriais, desbalanceou a disputa que existia no cenário internacional sobre a melhor forma de regulamentar a proteção de dados pessoais, representada principalmente pelo antagonismo entre a posição estadunidense e a posição europeia. 

Enquanto os europeus tinham um quadro abrangente e compreensivo na Diretiva 95/46/CE e majoritariamente viam a tutela da privacidade e dos dados pessoais por uma ótica de um direito fundamental (inclusive em razão da triste experiência com o nazismo na perseguição de judeus), os doutrinadores dos EUA demonstravam rotineiramente uma preferência por uma visão mais proprietarista, na qual o titular poderia inclusive comercializar suas informações particulares. A notória força da ideia de propriedade privada na tradição estadunidense justifica essa preferência, inclusive como uma forma mais segura de uma pessoa evitar apropriações indevidas de seus dados pessoais por terceiros. Essa perspectiva partia inclusive de um entendimento que o mau uso de dados pessoais era parte de uma falha de mercado, inexistindo desincentivos suficientes para que as empresas agissem de forma abusiva nessa seara[6].

Tudo isso aproximava as propostas de regimes de proteção de dados pessoais daqueles de propriedade intelectual. Mesmo quando se recusava um caminho proprietarista para evitar barreiras à liberdade do fluxo de informações ou buscar mais salvaguardas para consumidores, já que o dado pessoal era em sua natureza diferente de um ativo intelectual (muito mais próximo de um direito da personalidade), podia-se ainda recorrer à outras alternativas de PI, como um sistema essencialmente contratual ligados ao instituto de segredo de negócio. Nessa ideia, não é a informação em si que é tutelada, mas sim certas formas de seu compartilhamento e utilização, especialmente no âmbito empresarial[7]. 

O recurso à PI também podia existir de maneira complementar. Nessa toada, parte da doutrina sugeria buscar bases nos direitos morais dos sistemas jusautorais para pensar institutos da proteção de dados pessoais, a exemplo do direito de retirada ou de integridade[8].

Ainda que hoje possamos afirmar que a posição europeia é largamente vitoriosa, é inegável que a construção dos sistemas jurídicos de proteção de dados por todo o globo buscou inspiração, pelo menos parcial, em certos institutos de propriedade intelectual[9]. Afinal, era aí que se encontravam as normas já bem consolidadas e capazes de tutelar bens imateriais em uma sociedade cada vez mais digital. Por outro lado, os direitos intelectuais também com frequência beberam e bebem nas mesmas fontes que depois deram origem aos direitos de proteção de dados pessoais[10]. O famoso artigo de Warren e Brandeis, “The Right to Privacy”, argumenta longamente sobre como a proteção da PI era fundamentada numa concepção ampliada de privacidade e direitos de personalidade[11]. 

É por isso que encontramos ainda hoje alguns reflexos desse diálogo entre os sistemas nas diferenças entre os ordenamentos de proteção de dados pessoais, especialmente nas suas perspectivas de dados pessoais como propriedade ou como direitos fundamentais.

• APROXIMAÇÕES ENTRE OS RAMOS: COMERCIALIZAÇÃO DE DADOS E MODELOS REGULATÓRIOS

A LGPD inaugura no país um modelo regulatório ex ante de proteção de dados pessoais, que tem foco na prevenção e regulamenta o tema a partir de um padrão geral objetivo mínimo, exigindo requisitos prévios para o tratamento de dados. Esse modelo regulatório é horizontal, pois se aplica a todos os setores econômicos, inclusive ao setor público[12]. Para este modelo o dado pessoal segue o conceito expansionista, que é amplo e qualifica um dado como pessoal caso esteja relacionado a uma pessoa identificada ou identificável[13].

Diferente do Brasil e da União Europeia, um modelo mais próximo de uma posição ex post sobre a proteção de dados é observável nos Estados Unidos, onde as legislações sobre proteção de dados são majoritariamente de competência estadual e se percebe, em geral, uma falta de legislação específica sobre proteção de dados e o foco no enforcement a posteriori, pela tutela por normas contratuais mais genéricas, por regras setorializadas (voltadas para certos setores da indústria) ou certos grupos populacionais[14]. Há uma priorização dos compromissos entre empresas e consumidores/titulares, normalmente através de políticas de privacidade e gestão de dados pessoais firmadas por elas.

Em outras palavras, é um sistema que avalia e repreende as violações de dados, mas não as previne ativamente. Algumas leis estaduais, como a California Consumer Privacy Act (CCPA), têm um caráter mais geral e protetivo, mas seu foco ainda é na transparência, e não na criação de um privacy by default[15].

O modelo proprietarista adotado em vários estados nos EUA, diferente do escolhido pelo legislador europeu e brasileiro, resulta em várias diferenças na tutela. Por um lado, abre maiores possibilidades para comercialização dos dados por seus próprios titulares em moldes próximos aos dos sistemas de PI, inclusive por não os categorizar como pessoais em situações que seriam assim enquadradas nas legislações mais protetivas. Por outro, também gera proteções dos titulares características dos regimes legais erga omnes da propriedade privada. 

Os dados pessoais se tornaram um ativo economicamente muito importante, fundamental para as estratégias de marketing e negócios baseados na análise de dados. Apesar de mais protetiva, mesmo a legislação de privacidade europeia permite que os dados pessoais sejam explorados para fins comerciais, a exemplo do profiling – processamento automatizado de dados a fim de criar conjuntos de dados de perfis de clientes e conseguir prever seu comportamento de consumo e utilizar isso na propaganda. Essa exploração comercial é possível desde que se siga uma série de regras para sua viabilização, com atenção à legislação vigente. O conjunto desses dados, quando armazenados e geridos por empresas, pode ser considerado parte do segredo comercial em diversos países, ou até mesmo parte do direito sui generis dos fabricantes de bases de dados, como o previsto no art. 4º da Diretiva 96/9/CE, na União Europeia. São, assim, objetos de proteção pela propriedade intelectual, resultando em um regime híbrido[16].

Nessa perspectiva, ao escapar da ótica baseada em direito de personalidade fundamental (na forma de um direito à privacidade), os dados pessoais podem ser protegidos por direitos gerais de propriedade privada e/ou por direitos contratuais não específicos e/ou direitos de propriedade intelectual, nesse último caso especialmente quando se tratam de informações empresariais.

Ademais, a discussão apresentada no tópico anterior deste texto, apesar de mitigada, permanece acontecendo, e mesmo no âmbito do RGPD há quem afirme que – pelo menos até certa medida – os dados pessoais podem (e devem) ser cumulativamente protegidos pelas regras de PI, inclusive para evitar uma mercantilização indevida por meio dos direitos de portabilidade do Regulamento. Mais significativamente, aqueles que discordam da posição embasada apenas em direitos fundamentais comumente buscam respostas na propriedade intelectual, apontando-a como uma opção mais interesse que uma tutela por regras de propriedade privada strictu sensu ou por regulamentações contratuais[17]. Essa preferência pela PI, em vez de regimes contratuais baseados na propriedade geral, porque há um forte debate (doutrinário, jurisprudencial e legislativo) multinacional sobre a natureza da propriedade intelectual, afirmando que ela está bastante afastada dos regimes de propriedades materiais, sendo na verdade uma quasi-propriedade, identificável como um direito de exclusivo/monopólio[18].

As regras de proteção de dados e as de propriedade intelectual visam regular o fluxo de informações para preservar certos valores e interesses – uma prioriza a privacidade ao limitar o acesso e manejo de dados pessoais sobre determinado indivíduo, enquanto a outra cria exclusivos temporários sobre bens intelectuais criados, em troca da divulgação destes para a sociedade. Embora originalmente aquela tivesse como objetivo primordial dificultar o acesso a certas informações e esta buscasse geralmente divulgá-las (na sua faceta social de estímulo à inovação e criatividade), as mudanças dos anos recentes parecem apontar para uma inversão de papéis: as normas de proteção de dados focam crescentemente em transparência, e as de PI vão se tornando mais e mais restritivas[19].

O direito autoral se aproxima ainda mais de legislações como a LGPD, porque nele é mais visível essa preocupação com a regulação do fluxo de informação e sofre uma forte influência em suas raízes dos ensinamentos da doutrina dos direitos de personalidade. O diálogo entre os doutrinadores e formuladores de políticas públicas de cada área é intenso, com inspiração mútua[20]. No entanto, o próprio direito autoral é o primeiro a nos fornecer bons exemplos de como a relação entre a propriedade intelectual e a proteção de dados não é sempre de aproximação ou de complementaridade, comumente envolvendo situações de conflitos ou de criação de obstáculos para algum aspecto do outro ramo jurídico.

• CONFLITOS ENTRE NORMAS DE PROPRIEDADE INTELECTUAL E DE PROTEÇÃO DE DADOS

Notoriamente, no campo do direito autoral, há uma importante disputa no que se refere à pirataria. Um exemplo famoso é a utilização, por grandes aglomerados da indústria de entretenimento (Motion Picture Association of America, Record Industry Association of America, International Federation of the Phonographic Industry, dentre outros), de softwares desenvolvidos para rastrear as infrações na Internet. Estes são incorporados em obras eletrônicas piratas para permitir o acesso a dados de identificação digital dos usuários envolvidos nessa movimentação, principalmente os IPs. Em seguida, visando medidas administrativas ou judiciais, são feitas diligências junto aos provedores para buscar ainda mais dados capazes de identificar com maior precisão o infrator, que será então notificado ou processado. Esses programas de rastreamento não raras vezes representavam ameaças ainda mais graves à privacidade, chegando a monitorar o que o usuário consumia para além do produto pirata no qual o software estava embarcado. Observa-se que há de um lado a demanda dos detentores do direito de propriedade intelectual para, através desses dados, desvendarem a identidade dos envolvidos, enquanto, do outro, as legislações de proteção de dados servem como freio para essa busca[21].

Recentemente, no Brasil, tivemos um grave caso de vazamento de dados em situação similar, na atuação de Copyright Trolls ligados aos conglomerados citados acima. Na busca pelas informações de IPs de pessoas que tinham feito downloads de três filmes que tinham os softwares rastreadores embarcados, por meio de torrent, foi solicitado judicialmente para a provedora Claro S.A. a identificação do proprietário da linha de conexão com a Internet (processo n. 1021624-84.2020.8.26.0100). Lamentavelmente, após ter sido concedido o pleito, os advogados da empresa de telecomunicações juntaram aos autos, sem sigilo e acessível para qualquer um com acesso ao processo judicial eletrônico (o que engloba todos os advogados cadastrados nesse sistema), uma lista com mais de 53 mil detalhes e dados pessoais, dentre eles o nome completo, CPF, endereço e e-mail dos envolvidos[22].

Outra face dessa disputa envolve os portadores de nomes de domínio e os detentores de direitos de PI atingidos. A Internet Corporation for Assigned Names and Numbers (ICANN) determina que sejam mantidos registros nas bases do WHOIS, um protocolo usado para armazenar informações sobre quem são os proprietários e registrantes de um domínio. O WHOIS armazena dados como o nome do servidor em que o domínio foi registrado e diversas informações pessoais do registrando, como nome, e-mail e telefone. Esses dados eram divulgados de forma pública e uma de suas finalidades é justamente garantir um meio de localizar o responsável caso aquele domínio viole alguma norma. 

Com a entrada em vigor do RGPD criou-se um conflito entre a norma e essa determinação da ICANN, e veio à tona a discussão de como garantir que sejam efetivamente cumpridos os direitos daqueles que tem a expectativa de manter seus dados em sigilo e garantir a quem tem seu conteúdo violado possa ter acesso a esses informações[23]. A solução provisória encontrada pela ICANN foi determinar que os dados fiquem em sigilo e, havendo legítimo interesse, devem os interessados elaborar pedidos demonstrando as violações ou justo motivo para que os registradores e operadores de registro forneçam o acesso[24].

De maneira geral, permanece de difícil resolução o problema dos conflitos entre o direito de acesso do titular às suas informações pessoais mesmo quando essas estão inseridas em conteúdo protegido por direitos de propriedade intelectual, vide textos tutelados por direito autoral. A análise sobre qual desses direitos deve prevalecer quando entram em embate direto é feita ainda de forma casuística, pois a variedade entre os tipos de direitos de PI envolvidos e o valor específico daquele bem intelectual torna a criação de parâmetros pelas Autoridades de Proteção de Dados ou outros órgãos reguladores bastante difícil[25].

• CONCLUSÃO 

Com o avanço das legislações de proteção de dados no globo aumentou também a atenção dos estudiosos do direito sobre o tema, muitos deles originários da propriedade intelectual. Apesar de os ramos serem diferentes, ambos lidam com a tutela de bens imateriais muito valorizados na sociedade informacional, com vários pontos de intersecção.

A discussão sobre a melhor forma de regulamentar a proteção de dados é muito anterior às legislações hoje vigentes, com posições muito marcadas pelos juristas estadunidenses e europeus. Enquanto os europeus viam a tutela de privacidade e de dados pessoais por uma ótica de direito fundamental, os EUA tinham uma maior preferência por um viés proprietarista, possibilitando até mesmo a comercialização dos dados, e buscando altos níveis de proteção a partir da posição forte do instituto de propriedade privada no país. A ótica estadunidense deixa mais clara a proximidade com a propriedade intelectual, mas mesmo a posição europeia – que vai firmando sua predominância no mundo – permite essa intersecção em diversos momentos, especialmente em usos comerciais, a exemplo dos dados pessoais protegidos cumulativamente por segredos de negócio.

Enquanto o modelo europeu, também aplicado no Brasil, é geral e tem foco na prevenção, exigindo requisitos prévios ao tratamento de dados, o modelo estadunidense é composto por legislações estaduais, trabalha com a perspectiva de repreensão à violação de dados e é setorizado.

Apesar da complementaridade entre as regulações de proteção de dados pessoais e propriedade intelectual, existem diversos casos em que os ramos são conflituosos entre si. Isso pode ser observado na persecução de contrafação ou pirataria em que, buscando resguardar os interesses dos detentores de PI, são utilizados meios potencialmente invasivos de rastreamento e monitoração na tentativa de encontrar violações a materiais protegidos, com risco de violar a privacidade dos usuários/consumidores. Há similaridade nesse ponto com os casos de nomes de domínio e o sistema “Whois”, que antes do RGPD disponibilizava publicamente dados dos registrantes, também com objetivo de auxiliar na identificação de infratores. De forma geral, pela variedade e complexidade do tema, permanece sendo necessária uma análise casuística quando há conflito entre tutelas cumulativas de direitos de propriedade intelectual e de proteção de dados pessoais.

 

1. Graduanda PUCPR. Membro dos grupos de estudos GELGPD/PUCPR, NEDIDH/PUCPR e Laboratório de Políticas Públicas e Internet (LAPIN).
2. Advogado. Pesquisador do GEDAI/UFPR, Secretário do IODA. Mestre em Direito Empresarial pela UCoimbra, graduado pela UFPR. Parte da coordenação do Youth SIG (ISOC) e do Creative Commons Brasil.
3. OCDE. Intellectual Assets and Value Creation. OCDE: Paris, 2009.
4. Ver, p. ex. CARNEIRO, J. V. V.; ALMADA, G. M. A gênese do direito à proteção de dados brasileiro: uma conceitualização e contextualização histórica face à nova lei pátria e as relações do ramo com a propriedade intelectual. In: Anais do XII CODAIP. Curitiba: Gedai Editora, 2019. v. 1, p. 777-797. Disponível em: https://gedai.com.br/anais-do-xii-codaip/.
5. REIS, C.; et al. Nota técnica sobre o anteprojeto de lei de proteção de dados pessoais para a segurança pública e investigação criminal. Brasília: Lapin, 2021. Disponível em: https://lapin.org.br/wp-content/uploads/2021/03/NT_APJ-para-Seguranca-Publica-e-Investigacao-Criminal.pdf 
6.  SAMUELSON, P. Privacy As Intellectual Property? Stanford Law Review, v. 52, n. 5, p. 1125-1173, 2000. pp. 1130-1146. Um dos argumentos mais bem desenvolvidos em prol do tratamento de dados pessoais como propriedade é o de Paul Schwartz que, por outro lado, rejeita a proteção desses dados pelas formas específicas da propriedade intelectual. cf. SCHWARTZ, P. M. Property, Privacy, and Personal Data. Harvard Law Review, v. 117, n. 7, p. 2056-2128, 2004. Recentemente, a posição da tutela dos dados pessoais por meio de direitos de PI foi detalhadamente desenvolvida em pesquisa no âmbito do Instituto Max Planck, cf. TRAKMAN, L.; WALTERS, R.; ZELLER, B. Is Privacy and Personal Data Set to Become the New Intellectual Property? IIC – International Review of Intellectual Property and Competition Law, v. 50, n. 8, p. 937–970, 2019.
7. SAMUELSON, P. Privacy As… Op. Cit. p. 1152-1169.
8.  Idem. p. 1146-1151.
9. Cf., REIDENBERG, J. R. Resolving Conflicting International Data Privacy Rules in Cyberspace. Stanford Law Review, v. 52. 1315-1371, 1999. Disponível em: https://ir.lawnet.fordham.edu/faculty_scholarship/41. p. 1354
10.  LIEBENAU, D. What intellectual property can learn from informational privacy, and vice versa. Harvard Journal of Law & Technology. 30, 1, 285-307, 2016.
11. WARREN, S. D.; BRANDEIS, L. D. The Right to Privacy. Harvard Law Review, v. 4, n. 5, p. 193, 15 dez. 1890.
12. MENDES, L. S. A lei geral de proteção de dados pessoais: um modelo de aplicação em três níveis. In: SOUZA, C. A.; MAGRANI, E.; SILVA, P. (Coord.) Lei Geral de Proteção de Dados – Caderno Especial. São Paulo: Revista dos Tribunais, 2019. pp. 35-36.
13. BIONI, B. Xeque-Mate: o tripé de proteção de dados pessoais no xadrez das iniciativas legislativas no Brasil. GPoPAI-USP, 2015.
14. SILVA, A. P.; LUCCAS, V. N. Público, porém não disponível: os limites de tratamento do dado pessoal público. In: RAIS, D. (coord.); PRADO FILHO, F. O. A. (coord.) Direito Público Digital. O Estado e as novas tecnologias: desafios e soluções. São Paulo: Thomsom Reuters Brasil, 2020, p. 234-235. Cf., também, https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa 
15. VOSS, W. G. The CCPA and the GDPR Are Not the Same: Why You Should Understand Both. CPI Antitrust Chronicle, v. 1, n. 1, 2021, pp. 7-12. Disponível em: https://hal.archives-ouvertes.fr/hal-03116018/document 
16.  BANTERLE, F. The Interface Between Data Protection and IP Law: the case of trade secrets and the database sui generis right in marketing operations, and the ownership of raw data in big data analysis. Personal Data In Competition, Consumer Protection And Intellectual Property Law, [S.L.], p. 411-443, 2018. Springer Berlin Heidelberg. http://dx.doi.org/10.1007/978-3-662-57646-5_16. 
17. Isso não ocorre só nos EUA. No Reino Unido, a Suprema Corte definiu informações pessoais confidenciais como abarcadas por direitos de PI em 2012. Cf. Coogan v. News Group Newspapers Ltd [2012] EWCA Civ 48, [2012] 2 WLR 84, [2012] EMLR 14, [2012] 2 All ER 74. 
18. TRAKMAN, L.; WALTERS, R.; ZELLER, B. Is Privacy…. Op. Cit. Detalhando a questão sobre ser propriedade ou direito exclusivo, ver ASCENSÃO, J. O. A “pretensa” propriedade intelectual. Revista do Instituto dos Advogados de São Paulo, v. 20, p. 243-261, jul-dez, 2007.
19. SCHNEIDER, G. European intellectual property and data protection in the digital-algorithmic economy: a role reversal(?). Journal of Intellectual Property Law & Practice, v. 13, n. 3, p. 229–237, 2017. p. 230-231
20.  BYGRAVE, L. A. Data Protection vs. Copyright. In: SVANTESSON, D. J. B.; GREENSTEIN, S. Internationalisation of Law in the Digital Information Society: nordic yearbook of law and informatics 2010-2012. Copenhagen: Ex Tuto Publishing, 2013. Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2350131. p. 55-57.
21.  Idem. p. 57-72
22. https://gedai.com.br/copyright-trolls-no-brasil-violam-direitos-digitais-e-a-liberdade-na-internet/
23.  WINTERFELDT, B. J.; et al. The Impact of GDPR on Online Brand Enforcement: Lessons Learned and Best Practices for IP Practitioners. American Bar Association, 2019. Disponível em: https://www.americanbar.org/groups/intellectual_property_law/publications/landslide/2018-19/march-april/impact-gdpr-online-brand-enforcement-webinar/. Ver também, especificamente sobre o Whois: WHEELER, P.; KENNEDY, M. M. Practical Tips on GDPR for Intellectual Property Attorneys. ABA, 2019. Disponível em: https://www.americanbar.org/groups/intellectual_property_law/publications/landslide/2018-19/january-february/practical-tips-gdpr-intellectual-property-attorneys/#8.
24. WIPO. Impact of Changes to Availability of WhoIs Data on the UDRP: WIPO Center Informal Q&A. Disponível em: https://www.wipo.int/amc/en/domains/gdpr/
25. SOBOLČIAKOVÁ, A. Right of Access under GDPR and Copyright. Masaryk University Journal of Law and Technology, v. 12, n. 2, p. 221–246, 2018.