A GDPR não está ajudando ninguém na Economia da Inovação
[Esse artigo é uma tradução feita pela equipe do Tecs em 28/05/2018. O artigo original foi publicado por John Battelle em 25/05/2018.]
No dia 25 de maio de 2018, a Regulamentação Geral de Proteção de Dados, conhecida principalmente pelo acrônimo em inglês GDPR, entrou em vigor [1]. Qualquer pessoa lendo esse texto provavelmente já sabe o que é a GDPR; mas, para os que não sabem, a GDPR é o novo paradigma legislativo de maior impacto na história recente. Não somente qualquer empresa que realize negócios com um cidadão europeu tem que estar de acordo com a nova regulação, muitas das grandes empresas da internet (como Google e Facebook, etc.) anunciaram que pretendem exportar o “espírito da GDPR” para todos os seus usuários, independente da localização geográfica. Levando em conta que muitos governos não sabem tratar dados como ativos legais ou sociais, a GDPR é provavelmente o novo contrato social firmado entre consumidores, negócios e governos mais importante da história da internet. E, indo direto ao ponto, eu acho que ela é péssima para todas as empresas na internet, exceto as maiores.
Essa é uma afirmação extremamente ousada, e não estou preparado para defendê-la completamente aqui, mas quero explicar o raciocínio que me levou até ela. Antes disso, no entanto, vale apresentar os princípios fundamentais que resultaram na GDPR.
Primeiramente, essa legislação é uma resposta ao que muitos chamam de “Capitalismo de Vigilância”, um modelo de negócios impulsionado principalmente (mas não exclusivamente) pela ascensão do marketing digital. O sentimento é comum; Corporações e Governos coletam grandes quantidades de dados das pessoas, muitas vezes sem o seu consentimento explicito. Nossa privacidade e nosso “direito de ser deixado em paz” estão em perigo. Enquanto nós resmungamos coletivamente sobre isso por anos (comecei a pensar sobre isso em meu texto o banco de intenções, de 2001, e escrevi A declaração de direitos dos dados, em 2007), foi a Europa, com suas sensibilidades e história particulares, que finalmente tomou uma ação decisiva sobre a questão.
Enquanto o capitalismo de vigilância é melhor entendido quando pensado como algo vivo — um ecossistema composto de uma variedade de atores diferentes — existem principalmente 3 entidades no que se concerne à coleta e ao aproveitamento de dados pessoais. A primeira são os gigantes da internet — empresas como Amazon, Google, Facebook e Netflix. Essas empresas são amadas pela maioria dos consumidores, e são movidas quase que exclusivamente pela sua capacidade de transformar as ações de seus clientes em dados que podem ser aproveitados em escala para alimentar seus modelos de negócios. Essas empresas podem ser chamadas de Primeiras Partes em Escala — elas possuem uma relação direta com os consumidores, e como dependemos dos seus serviços, elas podem facilmente conseguir nosso consentimento para explorar nossos dados. Ben Thompson as chamas de “agregadoras” — elas agregaram relações diretas fundamentais com centenas de milhões, ou até bilhões de usuários.
O segundo grupo são as milhares de empresas de tecnologia e publicidade, mais facilmente visualizadas nesses diagramas. Essas são empresas que cresceram na entrelaçada, e majoritariamente aberta, bagunça da Web, principalmente no campo de anúncios digitais. Elas coletam dados sobre o comportamento dos consumidores na internet e os vendem para marketeiros das mais diversas e criativas maneiras possíveis. A maioria dessas empresas não tem relação direta com os consumidores, por isso são chamadas de Terceiras Partes — elas coletam seus dados por meio de relações com Primeiras Partes em Escala Reduzida : desenvolvedores de apps e divulgadores por exemplo. Esse ecossistema inteiro vive em uma tensa e cada vez mais frágil posição em relação a atores como Google e Facebook, que têm sua posição indisputável sobre o mercado de anúncios digitais consolidada.
Agora, outros podem dizer que empresas como Netflix, Amazon e Apple não são movidas por um modelo de anúncios, ficando assim livres de externalidades negativas que afetam agentes como Facebook e Google. No que concerne esse argumento eu gentilmente gostaria de lembrar o leitor: todas essas empresas utilizam-se de dados pessoais em seus negócios, independente de terem “anúncios” como sua principal fonte de renda. E existem várias externalidades, positivas e negativas, que surgem quando empresas utilizam dados, poder de processamento e algoritmos para determinar a sua experiência nos serviços delas.
O terceiro grande grupo, claro, são os governos. Governos coletam uma quantidade absurda de dados sobre seus cidadãos, mas apesar das nossas fantasias sobre o aparato de inteligência americano, eles não são nem de perto tão proficientes em explorá-los como as entidades privadas citadas até agora. Na realidade, muitos governos dependem fortemente de corporações para conseguir entender os dados que eles controlam. Essa relação em si merece um texto a parte, que com certeza será publicado no futuro. Por ora, basta dizer que os governos, particularmente governos altamente democráticos, operam em um ambiente extremamente regulado sobre o que pode ser feito com os dados de seus cidadãos.
Até recentemente, todavia, empresas tinham basicamente carta branca para fazerem o que queriam com nossos dados. Em uma situação causada em parte pela política de “ não-intervenção” do governo americano na internet — política com a qual eu concordava enfaticamente antes da consolidação de oligarcas gigantescos na internet — corporações foram reguladas quase que inteiramente pelos Termos de Serviço e Acordos de Licença Final do Usuário, documentos legais raramente lidos, os quais forneciam as empresas controle total sobre como os dados de consumidores eram usados.
Tudo isso mudou com a GDPR, que entrou em vigor hoje. Existem sete princípios, como colocados pelo órgão regulador responsável pela aplicação em questões que abranjam justiça, uso, armazenamento, precisão, culpabilidade entre outras. Todos são importantes, mas não vou entrar em detalhes nesse texto (que já está ficando longo). O que importa é: a ideia da GDPR é proteger a privacidade e os direitos dos consumidores no capitalismo de vigilância. Entretanto, a realidade da GDPR, como normalmente é o caso com regulações tão amplas, é que ela favorece as Primeiras Partes em Escala, que podem facilmente conseguir o “consentimento” dos bilhões de usuários que utilizam seus serviços, e ameaça significativamente o ecossistema das Terceiras e Primeiras Partes em Escala Reduzida, que têm um relacionamento tênue ou fugaz com os consumidores servidos indiretamente por elas.
Posto de outra maneira: é bem provável que você clique em “Aceito” ou “Concordo” quando um formulário da GDPR ficar entre você e a sua próxima dose de dopamina no Facebook. Você provavelmente não fará o mesmo quando uma publicação pequena pedir seu consentimento em um email que parece muito com spam.
Um exemplo desse desequilíbrio de poder em ação: o Facebook expulsou outras empresas que lidavam com dados de sua sua plataforma após o escândalo da Cambridge Analytica, convenientemente utilizando a nova regulação para consolidar seu poder (escrevi ostensivamente sobre isso aqui). Resumidamente: como eles têm o tamanho, os recursos, e as relações diretas com os consumidores, essas empresas podem se aproveitar da GDPR para aumentar seu poder e proteger ainda mais seus negócios de competidores menores. O ecossistema da inovação perde, e a oligarquia tecnológica se fortalece.
Há muito tempo eu mantenho que agregadores fechados em “jardins murados” são terríveis para a inovação. Eles privam a web aberta dos recursos necessários para seu crescimento: dados, atenção e renda. Na verdade, quase todos os “inovadores” na web aberta são cativos de Google, Amazon, Facebook e/ou Apple — são dependentes delas para processamento de dados, comércio virtual, serviços de propaganda, e às vezes até faturamento real.
Em outra série de postagens, eu pretendo buscar o que podemos fazer sobre isso. No entanto, com os resultados iniciais chegando, fica cada vez mais claro que a GDPR, apesar de bem intencionada, já desencadeou uma externalidade enorme e não intencional: ao invés de limitar o poder dos maiores atores que operam no ramo dos dados, ela teve o efeito oposto.
[1] As primeiras partes do texto original foram cortadas por não serem pertinentes ao tema.
[2] O Tecs recentemente publicou outro texto discutindo a GDPR e a sua garantia ao “direito a explicações”.
