No atual estágio de desenvolvimento da economia digital, os dados pessoais se tornaram ativos de imenso valor estratégico. Ela nasceu e prosperou em torno de cadeias assimétricas de coleta e uso de dados, onde plataformas concentram poder, externalizam riscos e internalizam quase todo o valor econômico gerado pelo comportamento dos usuários. Grandes corporações de tecnologia que extraem, analisam, negociam e lucram com essas informações, muitas vezes sem qualquer retorno econômico direto ao titular.

É neste cenário que nascem as Personal Data Exchanges (PDEs). Elas aparecem justamente como uma resposta a esse desequilíbrio de mercado. Seu principal objetivo é inverter o modelo provider-centric (típico das grandes plataformas) para um modelo user-centric, colocando titular no centro da economia de dados pessoais. Para atingir este objetivo, as PDEs buscam criar ambientes digitais organizados nos quais o próprio indivíduo se torne um sujeito econômico ativo, negociando o tratamento dos seus dados pessoais sob condições transparentes de mercado, com consentimento rastreável, possibilidade de remuneração e mecanismos de auditoria.

1. O que são Personal Data Exchanges (PDEs)

Uma Personal Data Exchange (PDE) nada mais é do que uma plataforma tecnológica por meio da qual o indivíduo pode armazenar suas informações num repositório pessoal seguro e decidir quando, com quem e em que condições esses dados serão compartilhados ou - no limite - monetizados.

Na prática, uma PDE combina dois componentes. O primeiro é um (a) cofre/carteira virtual (data vault/wallet), que hospeda os dados pessoais, em nuvem ou no dispositivo do usuário. Nesse ambiente, o titular pode (a.1.) consolidar informações pessoais de diversas fontes (redes sociais, apps, sensores, serviços financeiros etc.), (a.2.) decidir se e com quem as deseja ceder, (a.3) estipular quais delas poderão ser acessadas por terceiros e (a.4) estipular se quer monetizá-las ou não, sob seus próprios termos. O segundo é um (b) mecanismo de troca que expõe APIs para terceiros, que registra consentimentos granulares, aplica políticas de uso e garante rastreabilidade. Para garantir segurança e confiabilidade do sistema, as PDEs são estruturadas por meio de criptografia forte e tecnologias descentralizadas (blockchain, credenciais verificáveis etc.), sem necessidade de tratamento dos dados pessoais por um servidor central.

O funcionamento das PDEs pode ser compreendido em três etapas integradas: (i) uma etapa de captação e custódia, que reúne e organiza os dados pessoais do titular em cofres sob seu controle; (ii) uma etapa de governança, que operacionaliza consentimentos granulares (finalidade, base legal, duração, escopo e revogação), registrando trilhas de auditoria por recibos de consentimento e, quando cabível, contratos inteligentes, de modo a converter a vontade do titular em permissões verificáveis; e (iii) uma etapa transacional, que intermedeia as trocas dentro da própria PDE, exibindo quem solicita dados, para qual finalidade e qual a contrapartida, liquidando pagamentos/benefícios quando aplicável, entregando preferencialmente insights agregados em vez de dados brutos e preservando revogação e responsabilização ao longo de todo o ciclo.

Diversas dessas plataformas já estão disponíveis no mercado. Em algumas delas, o indivíduo pode estocar provas de identidade, histórico de saúde ou fidelidade, guardando-as no cofre e liberando o acesso apenas quando e a quem quiser, enquanto organizações somente podem ter acesso a esses dados mediante acordos que respeitem a legislação de privacidade, dentro de um canal criptografado de mão dupla.¹ Outras plataformas permitem que usuários conectem redes sociais ou extratos bancários, escolham quais atributos "vender" e recebam contrapartida em dinheiro, vales-desconto ou criptoativos, transformando o dado em ativo financeiro recorrente.² A lista de empresas que fornece esse tipo não para de crescer,³ o que parece demonstrar a viabilidade econômica desse modelo de negócio.

Segundo os entusiastas desse modelo, esse processo garantiria que as credenciais pessoais sejam verificáveis e que apenas as informações necessárias seriam compartilhadas, reforçando privacidade e auditabilidade do processo.⁴ Além disso, o modelo garantiria, a um só tempo, a autodeterminação informacional do indivíduo e uma justa retribuição pelo tratamento dos seus dados pessoais, permitindo que ele - e não apenas as grandes corporações - se beneficie diretamente da monetização daí decorrente.

2. Principais Promessas

As Personal Data Exchanges (PDEs) apresentam três promessas centrais que se destacam no cenário da economia digital. A primeira delas é a promover a conscientização sobre a importância e o valor dos dados pessoais. Ao oferecer ferramentas para que o indivíduo visualize, organize e gerencie suas próprias informações em um cofre digital, as PDEs revelam de forma concreta que os dados não são apenas rastros intangíveis, mas ativos com valor econômico mensurável. Esse processo possui um efeito pedagógico: quando o titular percebe a dimensão patrimonial de suas informações, cresce sua percepção crítica sobre os riscos e benefícios do compartilhamento de dados.

A segunda promessa é a promoção da autodeterminação ativa do titular sobre seus dados pessoais, permitindo-lhe gerenciar sua privacidade e monetizando, em todo ou em parte, o seu "DNA digital".⁵ Diferentemente do modelo atual, centrado nos provedores de serviços, as PDEs colocam o titular no centro da tomada de decisão. Com consentimentos granulares, rastreabilidade e possibilidade de revogação a qualquer momento, o indivíduo passa a controlar de forma ativa quem terá acesso a seus dados, em quais condições e por qual finalidade. Trata-se de um modelo que materializa, de forma prática, a autodeterminação informacional, deslocando o usuário da posição passiva de mero objeto de coleta para a condição de sujeito autônomo e empoderado.

A terceira promessa é a participação nos lucros gerados pela economia de dados. Hoje, grandes corporações exploram dados pessoais como fonte de riqueza, sem reverter ganhos significativos aos indivíduos que os produzem. As PDEs abrem a possibilidade de reverter essa lógica, permitindo que o titular compartilhe seus dados mediante contrapartida financeira, benefícios em serviços ou até criptoativos. Essa participação direta no valor produzido pelo uso dos dados representa não apenas justiça distributiva, mas também um incentivo à inclusão digital e econômica, especialmente em contextos de desigualdade social.

3. Principais Desafios

Se, de um lado, as PDEs trazem a promessa de redistribuição dos lucros gerados pela economia digital, por outro lado, os desafios que elas devem superar não são pequenos. O primeiro conjunto de desafios é eminentemente técnico e dizem respeito a questões como segurança, governança e interoperabilidade. PDEs exigem uma infraestrutura com altos padrões de segurança, interoperabilidade entre repositórios de dados, transparência algorítmica e uma governança que assegure a revogabilidade e a auditabilidade das transações. Além disso, o modelo deve garantir que os dados pessoais sejam tratados no próprio dispositivo que realizou a coleta, seguido de imediata anonimização, ou em ambientes controlados, reduzindo-se a necessidade da sua circulação.

O segundo desafio é de natureza econômica. Isso porque, considerados individualmente, os dados pessoais teriam um valor econômico irrisório.⁶ A viabilidade do modelo depende do efeito-rede: sem uma massa crítica de titulares e de compradores, os pagamentos tenderão a ser modestos e a utilidade marginal, baixa. Além disso, o êxito das PDEs depende de modelos de monetização bem definidos, de modo a diminuir os custos de transação.⁷ De fato, se cada operação com os dados pessoais exigir negociação, licenciamento e monitoramento específicos, o modelo se tornaria oneroso e ineficiente.

Por fim, resta o desafio regulatório: equilibrar a promessa de empoderamento individual com a preservação da lógica protetiva dos direitos fundamentais, intrínseca ao direito da proteção de dados pessoais.⁸ Ao mesmo tempo em que deve estimular a inovação, a regulação precisa desincentivar práticas exploratórias, proteger grupos vulneráveis e estabelecer limites para dados sensíveis. Cabe ao regulador criar parâmetros claros para distinguir a autonomia genuína da vulnerabilidade explorada, garantindo o desenvolvimento de modelos de governança que conciliem inovação tecnológica, justiça distributiva e proteção efetiva da privacidade.

4. A Regulação das PDEs no Mundo e no Brasil⁹

O tratamento de PDEs encontra cenários legais diversos. Na California, elas não são reguladas como uma categoria jurídica específica, mas seu funcionamento é condicionado por uma combinação de normas jurídicas, sobretudo a California Consumer Privacy Act (CCPA) e sua emenda posterior, a California Privacy Rights Act (CPRA), que entrou em vigor plenamente em 2023. No geral, entende-se que não há proibição desse modelo de negócios, devendo as PDEs operar em conformidade com os direitos e obrigações estabelecidos pela legislação californiana, destacando-se: a) direito à informação, que garante ao usuário o direito de saber quais dados estão sendo coletados, com que finalidade e com quem são compartilhados, algo que deve ser garantido por design,¹⁰ b) direito à exclusão, que garante aos titulares a exclusão a pedido de seus dados pessoais dos repositórios e dos registros de terceiros com quem foram compartilhados (opt-out),¹¹ c) direito a sharing opt-out, que garante o direito de que o consumidor recuse o compartilhamento de seus dados com terceiros para fins de publicidade comportamental cruzada (cross-context behavioral advertising),¹² d) necessidade de consentimento expresso para menores de idade (opt-in), sendo necessária a obtenção do consentimento formal antes de qualquer venda ou compartilhamento de dados de menores de 16 anos.¹³

Embora não haja proibição legal expressa, as PDEs enfrentam desafios para se adequarem ao regime europeu de proteção de dados, principalmente diante de sua exigência de manifestação livre de vontade (consentimento prévio, livre e específico), transparência ativa e limitação de finalidade. No âmbito acadêmico e jurídico, discute-se intensamente se - e em que medida - as PDEs podem prosperar no marco normativo europeu de proteção de dados. Há quem veja nessas plataformas uma evolução positiva e compatível com o RGPD: um meio de efetivar a autodeterminação informacional do cidadão, permitindo que ele mesmo decida compartilhar seus dados de forma controlada e até obtenha benefícios com isso.¹⁴ Por outro lado, vozes críticas alertam para o fato de que a monetização dos dados pessoais esvazia a essência do regime europeu de proteção de dados, que trata a privacidade como direito inerente e não como simples ativo econômico.¹⁵ Essa tensão revela um ponto crucial: embora tecnicamente seja possível desenhar PDEs conformes ao direito europeu (com consentimento granular, anonimização quando cabível, auditorias etc.), há limites claros impostos pelos princípios gerais de privacidade.

No Brasil, parece não haver motivos para o desenvolvimento deste modelo de negócios. Embora não haja aqui regra expressa autorizando a monetização primária dos dados pessoais,¹⁶ a conclusão a ser aplicada deve ser exatamente a mesma. Isso porque, a regra, no nosso sistema positivo, é (a) a proteção da autonomia da vontade, decorrente da regra constante no artigo 421 do Código Civil e, ainda mais importante, pelos princípios constitucionais da liberdade individual (artigo 5°, inciso II), da autodeterminação individual - desdobramento do princípio da dignidade humana (artigo 1°, inciso III) - e (b) e dos princípios gerais da atividade econômica, notadamente o princípio constitucional da livre iniciativa (artigo 170, caput) e dos princípios gerais que regem as atividades econômicas constantes na lei 13.874/2019, que introduziu no direito brasileiro a "Declaração de Direitos de Liberdade Econômica" e estabeleceu garantias de livre mercado às atividades privadas, bem como a primazia da interpretação em favor da liberdade econômica. De qualquer forma, o desenvolvimento das PDEs no direito brasileiro terá dificuldades muito similares àquelas experimentadas pelo direito europeu, dado o potencial conflito com as regras da proteção de dados e a inexistência de regulação específica.

Considerações Finais

As Personal Data Exchanges (PDEs) representam uma tentativa de corrigir distorções históricas da economia digital, devolvendo ao indivíduo poder de decisão e participação nos benefícios econômicos derivados do uso de seus dados pessoais. Seu potencial reside em promover conscientização sobre o valor da informação, reforçar a autonomia informacional e redistribuir parte dos ganhos hoje concentrados em grandes plataformas. Contudo, o êxito desse modelo dependerá da superação de obstáculos técnicos, econômicos e regulatórios, exigindo soluções inovadoras que conciliem eficiência de mercado, justiça distributiva e proteção de direitos fundamentais. Assim, as PDEs se apresentam não apenas como uma ferramenta tecnológica, mas como um verdadeiro laboratório de governança digital, cujo sucesso poderá redefinir o equilíbrio entre inovação, privacidade e cidadania na era dos dados.

Bibliografia

Chandran, Lal; Lundin, Lotta; Padayatti, George (2023): Transforming Personal Data Transactions with Auditable, Privacy-Preserving Data Exchange Agreements. Fostering Transparency and Trust in Digital Wallet Ecosystems. Public. por IEEE. On-line Disponível em https://ieeexplore.ieee.org/document/10275546, Última verificação em 29/04/2025.

Dilmegani, Cem (2025): Data Marketplaces: What It Means And Types in 2025. Public. por AI Multiple Research. On-line Disponível em https://research.aimultiple.com/data-marketplace/, Última verificação em 02/05/2025.

Haupt, Michael (2016): Introducing Personal Data Exchanges & the Personal Data Economy. On-line Disponível em https://medium.com/project-2030/what-is-a-personal-data-exchange-256bcd5bf447, Última verificação em 26/04/2025.

itforum (Ed.) (2025): Dataprev anuncia projeto de propriedades de dados em parceria com a Drumwave. On-line Disponível em https://itforum.com.br/embargo-29-04-5pm-dataprev-anuncia-projeto-de-propriedades-de-dados-em-parceria-com-a-drumwave/, Última verificação em 02/05/2025.

Malgieri, Gianclaudio; Custers, Bart (2018): Pricing privacy - the right to know the value of your personal data. Em: Computer Law & Security Review 34 (2), pág. 289-303. DOI: 10.1016/j.clsr.2017.08.006.

Valadão, Rodrigo Borges (2025): Monetização de Dados Pessoais. A Nova Fronteira da Privacidade. (v. 1.3.). Em: Academia.com. On-line Disponível em https://www.academia.edu/129225001/Monetiza%C3%A7%C3%A3o_dos_Dados_Pessoais_A_Nova_Fronteira_da_Privacidade, Última verificação em 26/08/2025.

Valadão, Rodrigo Borges; Da Silva, Andre Freire (2025): Nem mercadoria, nem tabu: A privacidade como valor na economia digital. Public. por Migalhas. On-line Disponível em https://www.migalhas.com.br/coluna/dados-publicos/439788/nem-mercadoria-nem-tabu-a-privacidade-como-valor-na-economia-digital, Última verificação em 18/09/2025.

Vardanyan, Lusine; Kocharyan, Hovsep (2021): The GDPR and the DGA proposal: are they in controversial relationship?

World Development Report. Data for better lives (2021). Washington: World Bank (World development report).

__________