Metaverso x LGPD: Um espaço seguro para meus dados?

Nos últimos meses, o termo Metaverso tem sido mencionado com frequência e seu desenvolvimento abraçado por grandes empresas. Contudo, pouco se fala sobre o que a terminologia quer dizer efetivamente e quais as implicações práticas na vida.

Em essência, o Metaverso diz respeito a tecnologias capazes de replicar a realidade ou de criar um universo paralelo por meio do uso de dispositivos e de ambientes digitais, como, por exemplo, jogos e até salas de reuniões interativas.

Portanto, o termo não se refere a uma única tecnologia ou a uma única empresa e sim a ambientes virtuais com um grau de imersão tão alto, que conseguem replicar em parte, ou em sua totalidade, as interações possíveis no mundo real.

O CEO do Facebook, Mark Zuckerberg, anunciou, em outubro de 2021, que o nome da empresa seria alterado para “Meta”, em uma alusão ao Metaverso. A princípio, pensou-se que fosse apenas uma jogada de marketing para dissociar a empresa das controvérsias que envolviam seu nome na época. Contudo, diante da própria apresentação do CEO, foram revelados que os ambiciosos planos da empresa abrangendo o Metaverso iriam muito além de um rebranding da empresa.

Embora possa parecer novo, os termos e conceitos do Metaverso foram usados pela primeira vez no livro do autor Neal Stephenson, Snow Crash, publicado em 1992. Assim como no romance de Stephenson, na prática, o conceito de Metaverso consiste em um ambiente virtual onde os usuários usam seus avatares para interagir uns com os outros e vivenciar uma experiência real.

Imagine poder se mover para quase qualquer lugar da Terra utilizando avatares que se assemelham fisicamente com você na vida real, ou mesmo utilizar um avatar completamente diferente? Poderia até mesmo comprar roupas de marca, acessar seu banco e trabalhar, tudo em um só ambiente. Após o estabelecimento do Metaverso, tudo isso será possível. Grandes empresas de moda como: Nike, Ralph Lauren, Gucci, Balenciaga e outros, Bancos e até mesmos influenciadores digitais já estão apostando e investindo grandes quantias nesse “novo mundo”.

Dadas as mudanças iminentes, a inovação trazida pelo Meta, embora impressionante e futurista para muitos, é de grande preocupação para os países e seus reguladores em todo o mundo, principalmente quanto ao monopólio da Meta no Metaverso. Isso porque, o domínio massivo dessa nova tecnologia por uma única empresa significa assumir o controle das informações pessoais de inúmeros cidadãos ao redor do mundo, portanto, o domínio desses dados proporciona um uso arbitrário e inadequado.

Ainda assim, há um agravante: o Facebook, nome anteriormente dado ao Meta, foi envolto em grandes polêmicas ao longo de sua existência, notadamente relacionadas ao uso indevido dos dados pessoais de seus usuários para fins publicitários e até mesmo eleitorais. Assim, diferentemente da internet, que é uma sociedade sem fins lucrativos e que permite a coexistência de várias redes, neste caso teremos um cenário em que uma única empresa com credibilidade e reputação abaladas controlará o acesso à plataforma.

A engenheira de dados norte-americana, Frances Haugen, em entrevista à The Associated Press após as recentes polêmicas, disse que o Metaverso é "viciante e rouba mais informações pessoais" porque, segundo ela, o Facebook permitirá que grandes empresas de tecnologia tenham maior domínio sobre seus usuários e sobre informações pessoais da natureza de seus ambientes imersivos e compartilhamento de dados entre plataformas web, forçando os usuários a abrir mão de seus dados e privacidade.

Se as informações atualmente rastreadas pelas redes sociais forem contestadas, o Metaverso levantará preocupações ainda maiores. Os ambientes virtuais poderão coletar grandes quantidades de dados e informações monitorando cada ação que os avatares realizam, observando e analisando seus movimentos.

O crescimento na geração de informações é uma tendência que vem sendo percebida nos últimos dois anos, período em que, segundo artigo da Forbes, a quantidade de dados gerados é maior que toda a história da natureza humana. Se já é possível hoje na Internet mapear as preferências e hábitos de consumo dos usuários com base apenas em cliques, curtidas e tempo gasto em publicações, pode-se esperar recursos ilimitados para coletar e processar dados no mundo virtual. Pode haver mais elementos para analisar em novas plataformas, como batimentos cardíacos, expressões e reações a produtos e anúncios, além das interações que existem nas redes sociais atuais.

O impacto comportamental, vigilância e privacidade, roubo de identidade, golpes sofisticados de engenharia social e acesso de crianças e/ou adolescentes são apenas alguns dos tópicos que precisam de discussão urgente para acelerar o aumento da regulamentação. Qualquer uso indevido da infraestrutura Metaverso e a possibilidade de captura de dados fornecidos pela plataforma podem levar a violações graves.

Dessa forma, apesar das vantagens que a plataforma pode trazer, o Metaverso permitirá que a inteligência artificial descreva o comportamento de todos os usuários em uma escala maior do que as redes sociais podem fazer atualmente.

Mas afinal, o que é um dado pessoal e como a LGPD traz a proteção de dados?

A Lei 13.709 de 14 de agosto de 2018, popularmente conhecida como Lei Geral de Proteção de Dados (LGPD), foi criada com intuito de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, para os dados pessoais que serão tratados, incluindo o tratamento de dados no meio digital.

Afinal, o que seria um dado pessoal? Em seu artigo 5º a LGPD descreve o que considera ser os dados pessoais, sensíveis, anonimizados e banco de dados. Sendo classificado da seguinte maneira:

Dado pessoal- informação relacionada a pessoa natural identificada ou identificável. Por exemplo, documento de identidade RG, número de inscrição no CPF, nome e afins;
Dado pessoal sensível- toda aquela informação que defina raça, cor, origem, convicção religiosa, opinião política, orientação sexual, doenças e afins;
Dado anonimizado- informação utilizada quando não se pode identificar uma pessoa, explicando melhor, essa informação originalmente era usada por uma pessoa, mas passou por etapas para a desvinculação da informação com a pessoa. Esse dado, pela natureza de não identificação da pessoa, não é protegido pela LGPD
Banco de dados- conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

A LGPD em seu artigo 13 traz a chamada pseudonimização, que nada mais é que o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Vale salientar que o dado anonimizado e pseudonimização, são informações distintas e não devem ser confundidos. O dado anonimizado não é capaz de identificar uma pessoa, já a pseudonimização é considerado um dado pessoal, por ser capaz de identificar uma pessoa através de um dado auxiliar que fica mantido em outro ambiente.

A proteção dos dados é feita através de um processo minucioso e detalhado de tratamento dos dados. Cada vez que navegamos por um site ou informamos algo para emissão de nota fiscal, por exemplo, vários dados são coletados e precisam ser minuciosamente tratados e acompanhados para que não se percam ou não cheguem em locais que não foram autorizados.

Todos os dados recepcionados, independente da maneira de recepção, precisa ter o aceite do titular do dado, sendo que o consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. A partir do consentimento, opera-se o tratamento de dados que deverão ser acompanhados até a data de sua exclusão naquela base/banco de dados para que não prejudique a privacidade da pessoa natural.

Para a utilização das redes sociais, como o Facebook (agora nomeado como Meta), são coletados alguns dados iniciais, porém não há uma conferência desses dados, uma vez observadas a quantidade de contas falsas, bem como a quantidade de golpes de roubos de contas. Vê-se urgência na criação de tratamento eficiente para os dados pessoais e sensíveis coletados pelas redes sociais, porém ainda estamos em fase de adaptação, as empresas estão conhecendo e se adaptando a LGPD.

Ocorre que além da fase de adaptação temos o lado das pessoas naturais, que por muitas vezes, não possuem conhecimento de que os dados fornecidos são dados pessoais e sensíveis, que devem ser protegidos para que não haja a violação de privacidade. Se faz necessário que haja uma conscientização dos direitos dos titulares dos dados.

Na LGPD temos o capítulo III denominado como Dos Direitos do Titular, começando no art. 17 e finalizando no art. 22, e nele constam diversos meios de controlar e saber como seus dados estão sendo utilizados, como por exemplo o art. 19, que aborda a possibilidade do titular dos dados pessoais requisitar a confirmação e acesso aos seus dados, sendo possível receber um relatório simples para acesso imediato, ou um mais elaborado no prazo de até 15 (quinze) dias.

E, ainda, se prevê a possibilidade de ajuizamento para manutenção de seus direitos, como se vê no artigo 22 “A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva”.

Se, em caso da má execução de tratamento de dados, houver dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Sendo que, além da reparação dos danos causados, a empresa responsável poderá ser responsabilizada administrativa de diversas maneiras, definidas no artigo 52, como por exemplo, advertência, multas, proibição total ou parcial de atividades relacionados ao tratamento de dados.

Ao observar a realidade das fraudes cometidas nas redes sociais se esclarece a urgência na aplicação de um tratamento mais assertivo e início das aplicações de sanções para que as empresas responsáveis pelas redes sociais passem a cumprir a LGPD e tantas outras legislações sobre proteção de dados.

Diante da atual situação, podemos concluir que as empresas de tratamento de dados não estão preparadas para o desenvolvimento deste novo mundo virtual, ao olhar a perspectiva de proteção de dados. Entretanto, com a devida aplicação do tratamento de dados e seguindo à risca o disposto na LGPD o metaverso será uma realidade mais segura.

As leis nacionais de proteção de dados incidirão na manipulação de informações pessoais no mundo virtual, e os agentes de processamento precisarão cada vez mais transparência, além da adoção de políticas e garantir o cumprimento de requisitos legais para esses dispositivos, como LGPD do Brasil. Dessa forma, as empresas devem assumir a responsabilidade ao processar os dados de inúmeros usuários, prestando contas e cumprindo os princípios trazidos pelas regras, garantindo o processamento transparente com finalidades legítimas, não excessivas e não violando os direitos dos titulares previstos na lei.

Por isso, será de extrema importância fortalecer as autoridades de proteção de dados, assumir uma postura proativa e preventiva sobre as tendências das novas tecnologias e monitorar as atividades, principalmente para as empresas que se beneficiam da produção de dados no mundo virtual. Além disso, a cooperação internacional entre essas entidades para desenvolver diretrizes, procedimentos e parâmetros para a aplicação de sanções terá um papel importante na padronização das boas práticas de privacidade e proteção de dados no cenário mundial.

Portanto, o Metaverso vai revolucionar a tecnologia e alterar a realidade, com efeitos colaterais positivos e negativos, que podem ser monitorados e fiscalizados por meio de ações conjuntas das autoridades competentes para regular a privacidade e a proteção de dados previsto na nossa LGPD.

Cristiano Souza – Sócio e Head de Arquitetura na AP

Um programador e empreendedor apaixonado pela profissão, hoje atua como Head na área de Arquitetura na AP INTERACTIVE, área responsável por estruturar soluções utilizando as melhores tecnologias do mercado com alto padrão de qualidade. A área também é responsável por apoiar os times de produto a entregar soluções seguindo as boas práticas de cada tecnologia.

Autodidata desde os 14 anos de idade, ama compartilhar conhecimento, participou de projetos de alta complexidade em grandes empresas do Brasil e exterior. Possui experiência em várias áreas da tecnologia, entre elas programação, IA, Devops, Arquitetura de Software/Sistemas e Cloud Computing. Tem o sonho de tornar o ensino da programação acessível a comunidades e pessoas de baixa renda.

Leonardo Souza – Gerente de Transformação Digital na AP

Intraempreendedor, futurista, agilista e principalmente comunicativo, dinâmico, muito fã de pessoas e seus relacionamentos, “um cara de família, de fácil amizade e conexões...”

Atuou em empresas como a Azul Linhas Aéreas, Decathlon, Motorola Solutions, Odebrecht, e hoje atua como Gerente de Transformação Digital na AP Interactive.

Sobre a AP

Empresa consultora de tecnologia e desenvolvedora de software que através da criação de soluções/produtos digitais leva ao cliente soluções de design, implantação de processos ágeis e engenharia de software/tecnologia, utilizando as mais inovadoras ferramentas e técnicas disponíveis no mercado.