Muitas pessoas não se dão conta do quanto os dados neurais já são utilizados em diversas áreas para além da medicina. Das tecnologias mais básicas, como faixas ou capacetes e fones de ouvido que detectam a atividade elétrica do cérebro, aos dispositivos ou interfaces cérebro-máquina mais sofisticadas, que permitem uma intervenção direta na atividade neural, a neurotecnologia está revolucionando setores como o de jogos eletrônicos, publicidade, saúde e até segurança pública. Esses dados têm o potencial de revelar informações sobre a personalidade, preferências e até mesmo o comportamento de uma pessoa, como sua honestidade, seus gostos ou até tendências políticas. Naturalmente, essa capacidade traz preocupações legítimas quanto à privacidade e a proteção daquilo que se passa em nossas mentes.
As “interfaces cérebro-máquina” (ICM ou BMI, em inglês), como são chamados os dispositivos que permitem coletar esses dados, são cada vez mais comuns, e já é possível encontrar no mercado produtos que visam melhorar a concentração ou a produtividade, monitorar alterações de humor, auxiliar na meditação, dentre inúmeras outras funcionalidades. No entanto, a rápida popularização desses dispositivos, já presentes inclusive em escolas brasileiras, traz à tona questionamentos sobre como esses dados neurais são utilizados e protegidos.
O estado da Califórnia, vanguarda na proteção de dados pessoais nos Estados Unidos, adaptou a Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, ou CCPA) para garantir também a proteção dos dados neurais. No final de 2024, o governador do estado, Gavin Newsom, aprovou a emenda SB 1223 que alterou 0 CCPA, ampliando o âmbito de proteção da norma para incluir dados neurais.
No Brasil, reconhecido o crescente distanciamento entre o direito codificado e as complexas questões suscitadas pelo avanço tecnológico, o tema já vem sendo objeto de discussão no contexto da reforma do Código Civil, que contempla a garantia de uma série de neurodireitos, dentre eles, o direito à privacidade mental. Nesse cenário de atualização normativa, as experiências regulatórias de outros países ou estados podem trazer valiosas reflexões para o legislador brasileiro.
Nos termos da lei californiana, que protege os dados pessoais de consumidores e de funcionários, os dados neurais são definidos como informações geradas pela “medição da atividade do sistema nervoso central ou periférico de um consumidor, que não sejam inferidas de informações não neurais”. Com a alteração da lei, os dados neurais passam a ser considerados informações pessoais sensíveis, assim como os dados genéticos. Diferentemente da lei brasileira, que considera sensíveis os dados capazes de gerar algum tipo de discriminação, no CCPA são considerados dados sensíveis informações como dados de geolocalização, número da carteira de motorista ou da seguridade social.
A emenda da Califórnia veio pouco depois da emenda à Lei de Privacidade do Colorado (CPA), em abril de 2024, que também adicionou os dados neurais à definição de informações pessoais sensíveis, impondo uma série de obrigações às empresas que lidam com esse tipo de dado. No entanto, a emenda californiana difere da emenda do Colorado sob alguns aspectos importantes.
Em primeiro lugar, a emenda da Califórnia adota uma definição mais restrita de dados neurais, possivelmente excluindo qualquer informação que seja captada a partir de dados não neurais, que, considerados neste contexto, podem compreender dados comportamentais ou fisiológicos como batimento cardíaco, expressões faciais e o eye-tracking data não estariam abrangidos pela lei. Essa lacuna é particularmente problemática, na medida em que o uso agregado destas informações para realizar inferências ou chegar a conclusões acerca dos indivíduos é justamente onde o maior potencial lesivo reside. Isso significa que dados comportamentais e fisiológicos (que seriam dados “não neurais”), que poderiam ser usados para inferir o estado mental, não estariam abrangidos pela lei. Este é um dos pontos mais críticos desta legislação e da terminologia adotada.
Por exemplo: rastreadores de fitness ou dispositivos vestíveis que capturam dados de sistemas além do sistema nervoso central ou periférico (por exemplo, o coração) não seriam cobertos pela CCPA, enquanto dados de atividade elétrica de neurotecnologias consumíveis (dispositivos que capturam diretamente dados do cérebro) estariam cobertos. A lei do Colorado, por sua vez, define dados neurais como “informações geradas pela medição da atividade dos sistemas nervosos central ou periférico de um indivíduo e que podem ser processadas por ou com a ajuda de um dispositivo.”
Vale notar que estas questões não são meramente teóricas: a indústria bilionária de videogames já utiliza amplamente tecnologias de rastreamento ocular (eye-tracking) em dispositivos de realidade virtual para criar experiências cada vez mais imersivas. Ao monitorar os movimentos oculares dos jogadores durante simulações que se aproximam significativamente de situações reais, estas empresas podem não apenas aprimorar a jogabilidade, mas também coletar e agregar dados valiosos sobre padrões comportamentais, intenções e processos cognitivos dos usuários.
Um exemplo concreto dessa realidade pode ser observado no popular jogo Beat Saber, título multiplataforma que alcançou enorme sucesso comercial e está disponível em diversos dispositivos de realidade virtual, incluindo o Quest Pro, da Meta. Neste headset específico, o eye-tracking é utilizado para entender para onde o jogador está olhando e ajustar o ambiente virtual em tempo real, permitindo uma experiência mais fluida e responsiva. No entanto, embora esta tecnologia beneficie significativamente a experiência do usuário, ela simultaneamente gera um volume significativo de dados que podem revelar aspectos íntimos do comportamento e da cognição.
Este cenário se torna ainda mais complexo quando consideramos as evidências científicas sobre o potencial preditivo desses dados. Assim como um texto ganha significado pelo contexto, dados brutos aparentemente neutros, quando processados por algoritmos avançados, podem revelar aspectos profundamente íntimos da vida mental. Encontramos na literatura estudos que apontam que a análise conjunta de diferentes tipos de dados — neurais e não neurais — permite inferências surpreendentemente precisas sobre características pessoais, desde orientação sexual e traços de personalidade até condições de saúde mental, sugerindo que uma proteção legal fragmentada pode não ser suficiente para garantir a privacidade mental.
Biometria cognitiva
Uma perspectiva mais abrangente para a proteção da mente vem sendo defendida por pesquisadores como Patrick Magee, Marcello Ienca e Nita Farahany, que propõem superar as limitações das proteções legais focadas exclusivamente em “dados neurais”. Os autores advogam pela adoção do conceito de “biometria cognitiva”, que engloba tanto medições neurais diretas quanto outros dados biométricos e fisiológicos capazes de inferir estados mentais. Esta abordagem, alinhada com a recente minuta da Recomendação da Unesco sobre Ética em Neurotecnologia, busca estabelecer um framework regulatório mais holístico, particularmente relevante para contextos não médicos onde as proteções tradicionais de privacidade em saúde podem ser insuficientes.
Para além das questões conceituais já discutidas, a lei californiana apresenta lacunas adicionais que merecem atenção. A norma não oferece proteções adequadas contra os riscos associados a dados agregados e desidentificados, deixando de considerar o potencial de reidentificação por meio de técnicas avançadas de análise. A situação é igualmente problemática no que tange às medições do sistema nervoso periférico: enquanto dados brutos da eletromiografia de superfície (sEMG) são expressamente protegidos, permanece incerto o tratamento legal das informações processadas que indicam estados como estresse ou fadiga. Tais indefinições criam obstáculos tanto para empresas em busca de conformidade quanto para a efetiva tutela dos direitos dos consumidores.
Outro ponto criticado na definição adotada pela Califórnia é a falta de clareza, já que deixa uma lacuna quanto à interpretação do termo “informações não neurais”. Informações não neurais podem se referir apenas aos dados brutos extraídos de neurotecnologias de consumo ou, diferentemente, podem abranger dados processados ou inferências tiradas de dados neurais. Se for este o caso, a lei criaria uma lacuna na proteção pretendida.
Por exemplo: se os dados de um EEG (Eletroencefalograma) forem capturados com um fone de ouvido para determinar o estado emocional de um indivíduo, essa informação seria claramente protegida pela CCPA emendada. No entanto, se tais dados de estado emocional forem subsequentemente processados, esse processamento secundário poderia ficar fora do escopo da CCPA.
A definição proposta no contexto da reforma do Código Civil brasileiro é mais ampla e, consequentemente, mais abrangente. Nos termos do Projeto de Lei nº 4/2025, neurodireitos são definidos como “as proteções que visam preservar a privacidade mental, a identidade pessoal, o livre arbítrio, o acesso justo à ampliação ou melhoria cerebral, a integridade mental e a proteção contra vieses, das pessoas naturais, a partir da utilização de neurotecnologias”. O foco da norma não reside, portanto, na tecnologia em si, mas sim nas proteções que a norma pretende garantir, evitando que se torne rapidamente obsoleta.
Importante reconhecer, contudo, que a proposta brasileira não tem por escopo alterar a Lei Geral de Proteção de Dados, a qual, posteriormente, poderá ser modificada para incluir uma definição mais específica de dados neurais, à semelhança do que fizeram os legisladores estadunidenses. Enquanto a proposta para o Código Civil trata dos dados neurais sob a perspectiva dos direitos de personalidade, uma tal alteração da LGPD trataria dos mesmos dados neurais sob a perspectiva dos direitos e obrigações envolvidos nas operações de tratamento de dados pessoais, a exemplo da obtenção do consentimento.
Quanto a tais direitos e obrigações, outra diferença importante entre as leis estaduais da Califórnia e do Colorado é que esta última exige a obtenção de consentimento explícito (opt-in) para coletar e usar informações pessoais sensíveis, incluindo dados neurais. A lei californiana, por outro lado, garante somente o direito de optar por não participar do uso e divulgação de suas informações pessoais sensíveis (agora, incluindo dados neurais) para finalidades diversas do fornecimento do bem ou serviço contratado. Se os neurodireitos forem incorporados ao Código Civil brasileiro, e se, eventualmente, a LGPD for alterada para contemplar expressamente os dados neurais, parece provável que tais informações recebam o mesmo tratamento que recebem hoje os dados sensíveis, tais como os dados genéticos, biométricos ou sobre a saúde.
Outros estados norte-americanos, incluindo o Minnesota (HF 1904), aprovaram emendas semelhantes para alterar suas leis de privacidade e proteção ao consumidor. Essa tendência regulatória vem sendo observada não apenas nos Estados Unidos, mas por todo o mundo, com destaque para o Chile como primeiro país a conferir proteção constitucional aos neurodireitos. A abordagem norte-americana, descentralizada e pragmática por natureza, contribui para uma visão mais prática de como tais direitos podem ser protegidos, mas nem por isso deixa de ser objeto de críticas. O Brasil, por sua vez, encontra-se às vésperas de regular os dados neurais e a sua proteção; um olhar atento para as experiências de outros legisladores pode ser um diferencial importante nesse processo, que ainda demanda um debate informado e pluriperspectivo.
Créditos: Conjur