Os perigos da DMA e DSA

Na tentativa de proteger o mercado e a nossa privacidade ao mesmo tempo, parece-me uma questão de tempo até que algo seja aprovado e que faça justamente o contrário.

Sempre vi na Europa um modelo de liderança mundial no combate a desinformação, monopólio e abuso da privacidade dos cidadãos. Nos últimos anos, não faltam exemplos de boas medidas anunciadas para estes fins, sendo a principal delas o RGPD. Ao longo dos últimos anos, especialmente sob a liderança de Margrethe Vestager, a Europa deu passos importantes para tornar a tecnologia mais democrática e menos perigosa não só no velho continente, mas também no resto do mundo.

Infelizmente, este não é o caso com os pacotes Digital Markets Act (DMA) e Digital Services Act (DSA) de leis, que passaram por mais uma etapa regulatória esta semana. Analisando as propostas, não é difícil ver que a intenção de ambas é reduzir o poder que as grandes empresas têm (e utilizam bastante) para se fortalecer ainda mais nos mercados em que operam. E o grande problema aqui é que essas empresas operam em praticamente TODOS os mercados, então as pequenas e médias empresas ficam sem muitas alternativas de crescimento.

Olhando isoladamente propostas como a que obrigará a Apple a permitir sideloading no iOS, ou então abrir o NFC do iPhone para pagamentos feitos por fora do Apple Pay, é claro que essas medidas parecem razoáveis. Mas elas também vêm acompanhadas de regras que determinam a abertura de praticamente todo o hardware do iPhone, incluindo coisas como o secure enclave, para terceiros. Regras também que determinam que todas as aplicações de mensagens, por exemplo, devem ser interoperacionáveis, o que não só é tecnicamente impossível, como também muito perigoso.

Aliás, tomemos as aplicações de mensagens como exemplo. É claro que na superfície, a proposta de permitir que a humanidade inteira se comunique de modo a que cada um utilize a sua app preferida de comunicação, independentemente da app utilizada pela pessoa do outro lado, não é má. O problema começa quando começamos a pensar na parte técnica da operacionalização dessa decisão. Como ficam, por exemplo, os dados comunicados entre apps com criptografia de ponta a ponta, e mensageiros sem criptografia de ponta a ponta? Isto sem falar sobre funções como envio de áudios, vídeos, imagens, documentos e etc, que são uma possibilidade apenas para algumas apps. A mesma coisa para chamadas de voz. Algumas apps possuem a funcionalidade de transcrição das chamadas, seja por motivos de acessibilidade, seja por motivos de produtividade. E que tal coisas como recibos de leitura ou sinalização de que a pessoa está online naquele exato momento?

Quanto mais aprofundamos os pormenores de como isso deverá funcionar tecnicamente, mais fica evidente que tanto a DMA quanto a DSA trazem obrigações e decisões que, apesar de bem-intencionadas, têm o potencial de serem absolutamente catastróficas para os utilizadores, incluindo no que toca à privacidade que, ironicamente, é uma das bandeiras levantadas para facilitar a aprovação justamente destas leis.

Mas é claro que nem todas as determinações são assim. Regras como a proibição de uma empresa utilizar dados coletados de forma exclusiva para benefício próprio, em outros negócios da mesma empresa, são ótimas. É o que a Amazon vem a fazer há décadas, observando as vendas de terceiros no seu marketplace para em seguida vender os mesmos produtos por um preço mais baixo, esmagando justamente esses terceiros que providenciaram os dados para começo de conversa.

O problema é que mesmo nestes casos, esta tentativa de utilizar a proibição da circulação interna de informações em prol da nossa privacidade por ser um tiro que acabará saindo pela culatra. Afinal, se uma empresa não puder partilhar dados internos entre divisões, como é que essa empresa poderá desenvolver novas funcionalidades que aumentem o poder dos seus ecossistemas? Pensemos no Apple Music, por exemplo. A Apple sabe exatamente quais são os artistas que estão a fazer mais sucesso na própria plataforma, e isso pode influenciar na decisão de desenvolver bons conteúdos para o Apple TV+. Sem poder partilhar estas informações, mais uma vez, são os fãs desses artistas que serão prejudicados, privados de um conteúdo que lhes seria interessante.

Por fim, olhando o todo destas medidas, parece-me claro que elas foram desenvolvidas relevando o facto de que existem empresas mal-intencionadas no mundo. Pensa na empolgação do Facebook com a possibilidade de poder aceder absolutamente a todos os serviços, hardwares e dados que, muitas vezes, têm o acesso limitado justamente por causa de empresas como o Facebook, que não têm respeito pelo uso de informações assim. Estes dois pacotes de medidas abrem uma possibilidade perigosíssima para maus atores, justamente sob uma das chancelas de que dizem que eles estão aqui na verdade para nos proteger.

Mas ainda há tempo, é claro. Existem algumas etapas regulatórias antes da aprovação final destas leis, e é bem provável que elas sejam modificadas antes disso. Assim como no caso do próprio RGPD, todas essas guias estão a ser desenvolvidas, em parte, com o feedback do público.

Mas um destes dias, uma lei mal-feita assim ainda arrisca de ser aprovada. Na tentativa de proteger o mercado e a nossa privacidade ao mesmo tempo, parece-me uma questão de tempo até que algo seja aprovado e que faça justamente o contrário. Para ambos.