A prefeitura de São Paulo lançou na semana passada um vídeo para promover "o maior programa de privatização da história". O vídeo, em inglês, oferece uma série de bens da cidade para investidores estrangeiros. Na lista estão o parque do Ibirapuera, o estádio do Pacaembu e o Mercado Municipal, entre outros.

Um item curioso foi incluído no rol das ofertas: a base de dados de usuários do Bilhete Único. Essa base é um "raio-X" de boa parte dos habitantes de São Paulo. Milhões de pessoas usam o sistema todos os dias (15 milhões de cartões já foram emitidos). Para obter o cartão do Bilhete Único, é preciso informar uma gama de informações: nome, endereço, CPF, RG, nome da mãe e uma foto de rosto. O usuário pode também preencher uma pesquisa com mais informações, dizendo sua profissão, se está empregado, se tem casa própria e assim por diante.

Além disso, o investidor que "comprar" o sistema do Bilhete Único poderá, com pouco esforço, usá-lo para monitorar os trajetos realizados por cada usuário: de onde veio, para onde foi, em que horário. Com isso, o "raio-X" vira uma ressonância magnética de altíssima resolução.

Alguém poderá dizer: "Mas empresas de tecnologia já fazem isso o tempo todo". Só que a Prefeitura de São Paulo não é empresa, quanto mais de tecnologia. Ao contrário, o Bilhete Único faz parte de um serviço público essencial: o transporte público. Chama a atenção que a política de privacidade no site da SPTrans contenha os seguintes dizeres: "Caso não esteja de acordo [com essa política], você não deve utilizar qualquer dos serviços". Só que a maioria dos habitantes de São Paulo não tem a opção de "não usar" os serviços.

A trapalhada da prefeitura poderia ter sido evitada com algumas medidas básicas. Pelo Marco Civil, a coleta de dados pessoais hoje no Brasil deve atender a alguns requisitos básicos. O primeiro é a obtenção do consentimento livre, expresso e informado. Isso não acontece hoje no site da SPTrans. É preciso também fornecer informações claras e completas sobre coleta, uso, armazenamento, tratamento e mecanismos de proteção aplicados. Além disso, os dados só podem ser usados para os fins que justificaram sua coleta (no caso, transporte urbano) e estejam explicitadas nos termos de uso do serviço. Nada disso consta nos termos de uso da SPTrans.

Não há dúvida de que a coleta de dados no plano municipal é importante para a administração das cidades contemporâneas. O ex-prefeito de Nova York Michael Bloomberg cunhou uma frase nesse sentido que ficou famosa: "If you can't measure it, you can't manage it" (você não pode administrar o que não pode medir). No entanto, vender dados pessoais de usuários do Bilhete Único ignorando as regras básicas de compliance legal e sem nem avisá-los é coisa bem diferente. É dar um negligente bom dia com chapéu alheio.

*

READER

JÁ ERA Não se importar com o tema da privacidade no Brasil

JÁ É Marco Civil, que dá o primeiro passo na proteção de dados pessoais

JÁ VEM Avanços na discussão da lei de proteção de dados pessoais no Congresso ainda neste ano