Pare-me se você já ouviu essa história antes: uma empresa de tecnologia acumula uma enorme quantidade de dados de usuários, esperando descobrir um modelo de negócios depois. Esse modelo nunca chega, a empresa vai à falência e os dados ficam à deriva.
A versão mais recente dessa história surgiu em 24 de março, quando a antiga queridinha dos testes genéticos, a 23andMe, entrou com pedido de falência. Agora, o destino dos dados genéticos de 15 milhões de pessoas está nas mãos de um juiz de falências. Em uma audiência realizada em 26 de março, o juiz autorizou a 23andMe a buscar ofertas pelos dados de seus usuários. Mas ainda há uma pequena chance de escrever um final melhor para esses usuários.
Após o pedido de falência, a reação imediata de formuladores de políticas públicas e defensores da privacidade foi a de que os usuários da 23andMe deveriam excluir suas contas para evitar que seus dados genéticos caíssem em mãos erradas. Esse é um bom conselho para o usuário individual (e você pode ler como fazer isso aqui). Mas a realidade é que a maioria das pessoas não o fará. Talvez elas não vejam a recomendação. Talvez não saibam por que deveriam se preocupar. Talvez já tenham abandonado a conta há muito tempo e nem se lembrem de sua existência. Ou talvez estejam apenas ocupadas com o caos da vida cotidiana.
Isso significa que o verdadeiro valor desses dados vem do fato de que as pessoas os esqueceram. Dado o faturamento modesto da 23andMe — menos de 4% das pessoas que fizeram testes pagam por assinaturas —, parece inevitável que o novo proprietário, seja ele quem for, terá que encontrar alguma nova forma de monetizar esses dados.
Este é um péssimo negócio para os usuários que só queriam saber um pouco mais sobre si mesmos ou sobre sua ancestralidade. Porque dados genéticos são para sempre. Informações de contato podem se tornar obsoletas com o tempo: você sempre pode mudar sua senha, seu e-mail, seu número de telefone ou até seu endereço. Mas um agente mal-intencionado que tenha seus dados genéticos — seja um cibercriminoso vendendo-os para o maior lance, uma empresa construindo um perfil sobre seus riscos futuros de saúde ou um governo tentando identificá-lo — continuará tendo acesso a eles amanhã, no dia seguinte e por todos os dias que vierem.
Usuários com dados genéticos expostos não estão apenas vulneráveis a danos hoje; eles também estão vulneráveis a explorações que podem ser desenvolvidas no futuro.
Embora a 23andMe prometa que não compartilhará voluntariamente dados com seguradoras, empregadores ou bases de dados públicas, seu novo proprietário poderá revogar essas promessas a qualquer momento com uma simples alteração nos termos de uso.
Em outras palavras: se um tribunal de falências cometer um erro ao autorizar a venda dos dados de usuários da 23andMe, esse erro provavelmente será permanente e irreparável.
Tudo isso é possível porque os legisladores norte-americanos negligenciaram o tema da privacidade digital de forma significativa por quase um quarto de século. Como resultado, os serviços são incentivados a fazer promessas frágeis e enganosas, que podem ser abandonadas a qualquer momento. E o ônus recai sobre os usuários para acompanhar tudo isso — ou simplesmente desistir.
Aqui, uma solução simples seria inverter esse ônus. Um tribunal de falências poderia exigir que os usuários dessem consentimento individual antes que seus dados genéticos fossem transferidos para os novos proprietários da 23andMe, independentemente de quem sejam esses novos proprietários. Qualquer pessoa que não respondesse ou optasse por não participar teria os dados excluídos.
Processos de falência que envolvem dados pessoais não precisam terminar mal. Em 2000, a Comissão Federal de Comércio (FTC) chegou a um acordo com a varejista falida ToySmart para garantir que os dados dos clientes não fossem vendidos como um ativo isolado e que os clientes tivessem que dar consentimento explícito para novos usos inesperados de seus dados. E em 2015, a FTC interveio na falência da RadioShack para garantir que a empresa mantivesse sua promessa de nunca vender os dados pessoais de seus clientes. (A RadioShack acabou concordando em destruí-los.)
O caso da ToySmart também deu origem ao papel do ouvidor de privacidade do consumidor. Juízes de falência podem nomear um ouvidor para ajudar o tribunal a considerar como a venda de dados pessoais pode afetar a massa falida, examinando os possíveis danos ou benefícios aos consumidores e quaisquer alternativas que possam mitigar esses danos. O administrador fiduciário dos EUA solicitou a nomeação de um ouvidor neste caso. Embora estudiosos tenham defendido que o papel do ouvidor tenha mais autoridade e que a FTC e os estados intervenham com mais frequência, já existe um arcabouço disponível para proteger dados pessoais em processos de falência. E, no fim das contas, o juiz da falência tem amplos poderes para decidir como (ou se) os bens da massa falida serão vendidos.
Neste caso, a 23andMe possui uma política de privacidade mais permissiva do que a da ToySmart ou da RadioShack. Mas os riscos decorrentes do uso indevido de dados genéticos ou do vazamento dessas informações para as mãos erradas são severos e irreversíveis. E, considerando o fracasso da 23andMe em construir um modelo de negócios viável com kits de teste, é provável que uma nova empresa utilize os dados genéticos de maneiras que os usuários não esperariam — nem aprovariam.
Uma exigência de consentimento expresso (opt-in) para dados genéticos resolve esse problema. Os dados genéticos (e outros dados sensíveis) poderiam ser mantidos pelo administrador da falência e liberados à medida que os usuários dessem seu consentimento individual. Caso os usuários não manifestassem o consentimento dentro de um determinado período, os dados remanescentes seriam excluídos. Isso incentivaria os novos proprietários da 23andMe a conquistar a confiança dos usuários e construir um negócio que gere valor para eles, em vez de buscar formas inesperadas de explorar seus dados. E praticamente não imporia nenhum ônus às pessoas cujos dados genéticos estão em risco — afinal, elas têm muito mais DNA de sobra.
Considere a alternativa. Antes de entrar em falência, a então CEO da 23andMe fez duas tentativas fracassadas de comprá-la, com avaliações reportadas de US$ 74,7 milhões e US$ 12,1 milhões. Usando a oferta mais alta e com 15 milhões de usuários, isso equivale a pouco menos de US$ 5 por usuário. Vale mesmo a pena colocar em risco permanente a privacidade genética de uma pessoa apenas para adicionar alguns dólares ao espólio da falência?
Claro, isso levanta uma questão maior: por que alguém deveria poder comprar os dados genéticos de milhões de americanos em um processo de falência? A resposta é simples: os legisladores permitem. A inação federal e estadual permite que empresas dissolvam, num piscar de olhos, promessas de proteção aos dados mais sensíveis dos americanos. Quando a 23andMe foi fundada, em 2006, a promessa era de que a saúde personalizada estava ao virar da esquina. Hoje, 18 anos depois, essa era pode realmente estar próxima. Mas com leis de privacidade como as nossas, quem confiaria nela?
Keith Porcaro
