A promulgação da lei geral de proteção de dados brasileira (LGPD) - Lei federal 13.709/18 - sem a imediata criação da ANPD (Autoridade Nacional de Proteção de Dados), órgão vetado pelo presidente Michel Temer, que seria o responsável por zelar, implementar e fiscalizar o cumprimento da lei, tende a transferir esse ônus, em significativa parte, ao Poder Judiciário brasileiro, excetuadas as situações passíveis de discussão em âmbito arbitral.
A LGPD tem complexo objeto que é a disposição sobre o tratamento de dados pessoais, inclusive nos meios digitais, além de ampla e irrestrita aplicação, afinal, a norma é aplicável, indistintamente, à pessoa física ou pessoa jurídica, de direito público ou privado1, admitindo-se até mesmo a incidência extraterritorial2, caso o tratamento de dados tenha se dado em território nacional, ainda que por pessoa sediada em outro país.
O ponto nevrálgico e que ganha mais complexidade é certamente o tratamento de dados pessoais no ambiente digital, que é cada vez mais caracterizado por uma profunda interação entre big data, conectividade, algoritmos, cloud services, internet of things e artificial intelligence, tudo isso cada vez mais presente no cotidiano das pessoas.
Cabe ainda lembrar que a LGPD seguiu o modelo europeu de regulação de dados pessoais - (EU) 2016/679 (General Data Protection Regulation) - que gerou uma espécie de ripple effects3 em outros países, impulsionando a regulação de dados em nações que não contavam com uma lei central sobre o tema, como o Brasil, ou a atualização de legislações já existentes, para adequá-las ao enquadramento legal semelhante ao regulamento europeu, como é o caso da Argentina, Colômbia, México, Peru e Chile4.
Ocorre que o modelo europeu, que deu origem à nossa lei, tem por princípio o privacy by design que significa a proteção da privacidade pensada desde o desenho, da criação, passando pelo desenvolvimento e programação da ferramenta, de forma que todas as medidas, de ordem técnica e organizacional, sejam tomadas, pelos desenvolvedores, para assegurar a proteção da privacidade dos usuários, respeitados os limites do estado da arte e da técnica.
No mesmo diapasão a LGPD deixou expresso o princípio da segurança, que se resume à tomada de todas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. De tão fundamental, a privacidade passa a fazer parte da arquitetura do produto ou serviço.
Sob a ótica do princípio do privacy by design, a interpretação e aplicação da Lei Geral de Proteção de Dados passa por análise não exclusivamente jurídica. Por exemplo, uma infração de vazamento de dados passará pela avaliação de segurança de sistemas computacionais, de forma que será de grande utilidade o parecer de profissionais com formação em engenharia da computação e tecnologia da informação, apenas para citar duas áreas. Isso significa dizer que a interpretação correta da LGPD deverá acontecer de forma multidisciplinar, com a visão de especialistas em outras ciências além do Direito.
Sobre o tema, no ministério sobre as primeiras impressões acerca da Lei Geral de Proteção de Dados, o renomado professor doutor Ronaldo Lemos, referência nos assuntos envolvendo direito e tecnologia, ressaltou ser importante que a lei seja interpretada por pessoas que têm, de um lado, o conhecimento jurídico e de outro lado, o know-how tecnológico5. Vejamos:
“A aplicação da Lei de Proteção de Dados nunca é só jurídica; ela é, ao mesmo tempo, uma aplicação jurídica e técnica.”
No mesmo sentido se manifesta o profícuo professor PhD Eduardo Magrani6, que destaca que “a gente não pode mais se ater somente ao jurídico ou ao regulatório; é cada vez mais necessário refletir também com técnicos, programadores, engenheiros e filósofos”.
Constatada a complexidade da lei federal 13.709/18 e diante de um cenário atual de ausência de uma Autoridade Nacional de Proteção de Dados, a interpretação e aplicação da lei, como tudo indica, restará ao Poder Judiciário. E neste ponto temos um cenário propício para maior adesão e utilização de um meio subsidiário de prova ainda pouco explorado7 na praxe forense, que é o instituto da “prova técnica simplificada”.
A lei federal 13.105/15 prevê a prova técnica simplificada (art. 464, §§ 2º, 3º e 4º) como meio de prova subsidiário à perícia tradicional, consistindo, em essência, na oitiva de um especialista em determinado assunto técnico, para fins de esclarecimento de ponto controverso de menor complexidade, com a dispensa de apresentação de laudo escrito8.
Originada do instituto do Expert Testimony, com raízes na Inglaterra9 e tipificada em 1975 nos EUA, por meio da Federal Rules of Evidence10, a prova técnica simplificada, tal como consta no CPC/15, não é de total ineditismo. Isto porque o meio probatório já encontrava “ensaios” no ordenamento jurídico brasileiro, com a figura da perícia informal inserida no CPC/73 (art. 421, § 2º) pela lei federal 8.455/92, e também pela possibilidade de oitiva de especialista prevista no art. 35 da lei federal 9.099/95.
É importante destacar que o procedimento neste tipo subsidiário de prova é mais sintético, menos oneroso e tende a ser mais célere, atendendo assim aos anseios dos cidadãos brasileiros pela razoável duração do processo.
Ainda sobre o procedimento da prova técnica simplificada, é possível destacar o seguinte:
1. Pode ser instaurada a requerimento das partes ou do Ministério Público em atuação como fiscal da ordem jurídica, como prevê o art. 179, II do CPC/15, assim como pode ser iniciada de ofício pelo magistrado, tal como consta no início do § 2º do art. 464 do CPC/15.
2. Na hipótese de ser instaurada de ofício, ou se requerida por ambas as partes, ou ainda se requerida pelo Ministério Público na condição de fiscal da ordem jurídica, o custo dos honorários do especialista deve ser rateado pelas partes envolvidas, como previsto no art. 95, caput, do CPC/15.
3. A decisão saneadora que fixa o ponto controvertido de menor complexidade, por óbvio, deve ser fundamentada, mas é ato discricionário do magistrado, pois não há como estabelecer critérios unicamente objetivos para se definir o que é de menor complexidade.
4. As partes poderão formular quesitos e nomear assistente técnico, no prazo de 15 dias, contados da decisão saneadora que fixará a controvérsia a ser dirimida, nos termos do art. 465 do CPC/2015. Nada impede que outros quesitos suplementares sejam formulados na própria audiência de inquirição do especialista, desde que pertinentes.
5. O expert nomeado pelo magistrado deve ser ouvido em audiência de instrução, com a garantia da participação dos assistentes técnicos da parte, em observância ao princípio da ampla defesa. Nada impede que a audiência tenha como único fim a oitiva do especialista, ou, no mesmo ato, também se prestar à oitiva de testemunhas e interrogatório das partes.
6. Todos os meios tecnológicos poderão ser utilizados pelo especialista na audiência, para explicar o tema objeto de controvérsia e demonstrar suas elucidações técnicas11, conforme previsto no art. 464, § 4º, do Código de Processo Civil vigente.
7. Dispensa-se a apresentação de laudo escrito. O depoimento do especialista pode simplesmente ser gravado, armazenado em uma mídia física, arquivada em cartório, à disposição das partes para extração de cópias; ou ainda a prova produzida poderá ser reduzido a termo.
8. A prova técnica poderá se munir das disposições destinadas à regulação da perícia tradicional, naquilo que for cabível e compatível com a natureza do instituto. Por exemplo, a impugnação por impedimento ou suspeição (art. 467 do CPC/15), a escolha de um especialista por comum acordo, especialmente se a prova for requerida por ambos (art. 471 do CPC/15) e até a nomeação de novo especialista (art. 480 do CPC/15)12.
É importante não perder de vista que a prova técnica simplificada tem lugar na hipótese de existir controvérsia de menor complexidade, que não exige a análise de vultosa quantidade de documentação e a realização de cálculos, além de inspeções ou visitas in loco, o que demandaria certamente a confecção de um extenso e minucioso laudo pericial por escrito13, o que é típico da perícia tradicional.
Mesmo assim, restrita a um campo de menor complexidade, o instituto da prova técnica simplificada mostra-se capaz de auxiliar o Poder Judiciário no enfrentamento da nova legislação sobre dados pessoais e privacidade, podendo o expert explicar aos operadores do direito como se dá o funcionamento de uma determinada tecnologia e se o privacy by design foi devidamente observado e ministrado pela empresa responsável pela aplicação de internet e pelo tratamento de dados, seja na condição de operadora, ou na de controladora14.
Enquanto a interpretação e a aplicação da LGPD estiverem reservadas, quase que exclusivamente, ao Poder Judiciário, sem a orientação ou a supervisão de um órgão independente (ANPD ou CNPD), e diante da necessidade de conhecimentos não unicamente jurídicos para tanto, a prova técnica simplificada mostra-se um instituto, de natureza processual probatória, adequado, econômico, e célere para auxiliar os operadores do Direito, em questões envolvendo privacidade e proteção de dados pessoais na internet.
Cabe pontuar que diante de um assunto amplo e complexo como o tratado pela LGPD, o Brasil certamente comete um erro em não gozar do período integral de dezoito meses de vacância, já com o imediato auxílio dos órgãos independentes. É um contrassenso, pois a expressão “Autoridade Nacional” é mencionada por 49 vezes no texto da lei federal 13.709/18.
Isto se explica porque no modelo original, a nossa Autoridade Nacional de Proteção de Dados equivale à “Supervisory Authority”, estabelecida em cada estado membro da União Europeia, além do que o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade também se equipara ao “European Data Protection Board”, conselho composto pelo representante de cada Supervisory Authority, além de um European Data Protection Supervisor. No fim, todos esses órgãos e conselhos contribuem para a correta análise da regulamentação.
A GPDR foi criada com base sólida estabelecida em décadas de experiência com a directiva 95/46/EC, do ano de 1995 e mesmo já tendo este background sobre privacidade e proteção de dados, a “Supervisory Authority” e o “European Data Protection Board” foram pensados como “espinha dorsal” garantidora do equilíbrio do sistema regulatório de proteção de dados. A França, por exemplo, possui o CNIL (Commission National de L’informatique et des Libertés) desde 1978, como um conselho administrativo independente, engajado nas questões envolvendo privacidade e liberdade na internet. A Europa, ao lidar com o tema durante esses anos todos, assimilou a importância desses órgãos atuantes.
Enquanto que aqui no Brasil a regulação de dados pessoais sem qualquer retaguarda de uma Autoridade Nacional ou de um Conselho Nacional, acompanhado de severas sanções, como, por exemplo, as previstas no art. 52, inciso II15, causa preocupação. A Autoridade Nacional de Proteção de Dados, em linhas gerais, seria uma espécie de conselho administrativo independente, formado por renomados especialistas e pesquisadores, de diversas áreas do conhecimento (Direito, Ciências da Computação, Engenharia, Tecnologia da Informação, etc), que mesmo com uma estrutura inicial enxuta, com staff reduzido, poderia prestar precioso auxílio, com pareceres técnicos, orientações e estudos, à exemplo do que fez a European Data Protection Board no último dia 16/11/18, ao proferir minucioso parecer acerca da extraterritorialidade de aplicação da GDPR16.
Portanto, vê-se como inegável a necessidade e a importância de se analisar a nova Lei Geral de Proteção de Dados brasileira sob o espectro multidisciplinar do conhecimento, com o envolvimento não só de profissionais com conhecimento jurídico, à luz do privacy by design.
Aliás, com bilhões de usuários pelo mundo todo17, qualquer regulação que envolva, direta ou indiretamente, a internet, clama por amplo diálogo sobre as suas consequências, devendo envolver governos, sociedade civil, empresas, além da comunidade científica e seus pesquisadores.
Mostra-se pouco prudente desperdiçar o período integral de vacância, ou parte dele, caso a Autoridade Nacional seja criada em 2019, para no futuro desaguar toda a complexa relação entre proteção da privacidade e internet nos Tribunais brasileiros, que ainda não contam com estrutura especializada em Direito Digital, que aliás, ainda não é matéria obrigatória nos cursos de Direito.
Recentemente foi nos dada a experiência da lei federal 12.965/14, o Marco Civil da Internet, que apesar de ser mais simples do que a Lei Geral de Proteção de Dados, gerou decisões bastante controversas exaradas pelo Poder Judiciário, tendo-se chegado ao extremo da suspensão total do Whatsapp no Brasil, por mais de uma ocasião18, apenas para citar um exemplo que ficou notório.
É exatamente nesse aspecto que a prova técnica simplificada pode ser uma ferramenta de precioso auxílio aos operadores do Direito, em casos envolvendo a tutela de proteção de dados pessoais e privacidade no meio digital, à luz da nova sistemática de proteção de dados, principalmente no ambiente virtual, que será um desafio diante da velocidade do contínuo avanço tecnológico.
Em conclusão, a incumbência que se reserva ao Poder Judiciário, de interpretar e aplicar corretamente a LGPD, torna-se mais árdua sem o auxílio dos órgãos independentes vetados e encontra na prova técnica simplificada uma ferramenta adequada, célere e econômica, subsidiária à perícia tradicional, para auxiliar os operadores do Direito, em litígios que envolvam a aplicação da Lei Geral de Proteção de Dados, tendo em vista que a interpretação e aplicação normativa não perpassa apenas por conhecimentos jurídicos, mas também por outras áreas do conhecimento humano.
__________
1 Lei federal 13.709/18 - Art. 1º: Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
2 Lei federal 13.709/18 - Art. 3º: Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
3 Budish, Ryan; Burkert, Herbert and Gasser, Urs. “Encryption Policy and Its International Impacts: A Framework for Understanding Extraterritorial Ripple Effects”. 2018, Hoover Institution, Stanford University. [acesso em 2/7/18]
4 Matthew, Gharegozlou. “A Transformação Digital e as Leis de Proteção a Dados” [acesso em 26/11/18].
5 LEMOS, Ronaldo. A Nova Lei de Proteção de Dados: primeiras impressões. 2018. Aula online ministrada no curso de extensão do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio).
6 MAGRANI, Eduardo. A Nova Lei de Proteção de Dados: primeiras impressões. 2018. Aula online ministrada no curso de extensão do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio).
7 STRECK, Lenio Luiz. Comentários ao Código de Processo Civil, de acordo com a Lei n. 13.363/2016 e com a EC n. 94/16. 2. ed. São Paulo: Editora Saraiva, 2017, p. 676.
8 Cândido Rangel Dinamarco, sobre o tema, em suas Instituições, volume III, atualizada após o advento do Novo CPC, o seguinte: “O vigente Código de Processo Civil brasileiro, consagra também a prova técnica simplificada (art. 464, § 2º) consistente na inquirição e depoimento oral de pessoas especializadas em temas técnicos, a serem arroladas como testemunhas pelas partes ou pelo juiz de ofício”. DINAMARCO, Cândido Rangel. Instituições de Direito Processual Civil. Volume III. 7ª ed. São Paulo: Editora Malheiros, 2017, página 690.
9 O caso Rex v. Cullender and Duny de 1665, um dos primeiros que se tem informações mais precisas no sentido de que houve a participação de um expert witness, na época, Sir Thomas Brown, médico renomado, que contribuiu para o julgamento com o seu testemunho técnico-científico acerca do tema. Informação extraída de ROSENTHAL, Lloyd L. The Development of the Use of Expert Testimony. Duke Law of Scholarship. (acessado em 3/8/18). p. 409.
10 O expert testimony foi tipificado nos artigos 702 e seguintes do Federal Rules of Evidence os Estados Unidos da América.
11 Acerca desta novidade trazida ao novo CPC, que permite expressamente o uso de todos os meios tecnológicos, Paulo Carneiro e Humberto Dalla Pinho destacam que “Os §§ 2º e 4° regulamentam a possibilidade de substituir a prova pericial pela prova técnica simplificada, que terá lugar para esclarecer situações de menor complexidade. Nesses casos, o especialista será inquirido diretamente pelo juiz, o que poderá ser feito por meio de recurso tecnológico de transmissão de dados.” CARNEIRO, Paulo Cezar Pinheiro. PINHO, Humberto Dalla Bernardina de Pinho. Novo Código de Processo Civil. Lei 13.105, de 16/3/15. De acordo com a Lei 13.256, de 4/2/16. 2ª ed. rev. e atual. Editora Forense. São Paulo: 2016. página 270.
12 Sobre a possibilidade de substituição do perito e a realização de uma segunda perícia, os professores Nelson Nery Júnior e Rosa Maria de Andrade Nery nos ensinam que “o poder de convicção da perícia informal deve ser avaliado pelo juiz, que pode determinar outra se a primeira não for convincente, da mesma forma que determinaria a segunda perícia no caso comum.” NERY JÚNIOR, Nelson e NERY, Rosa Maria de Andrade. Código de Processo Civil comentado. 16. ed. rev., atual. e ampl. São Paulo: Editora Revista dos Tribunais, 2016, p. 1176.
13 CRUZ E TUCCI, José Rogério. Código de Processo Civil anotado. 2. ed. Rio de Janeiro: Editora LMJ Mundo Jurídico, 2017, p. 653.
14 Lei federal 13.709/18 - Art. 5º, inciso VI, Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; inciso VII, Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
15 Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
16 European Data Protection Board. Guidelines 3/18 on the territorial scope of the GDPR (Article 3). [acesso em 27/11/18]
17 MAGRANI, Eduardo. Digital Rights: Latin America and the Caribbean. Ebook Rio de Janeiro: Escola de Direito do Rio de Janeiro da Fundação Getúlio Vargas, 2017. Paginação irregular (Posição 290/5315 - Kindle).
18 Portal G1. “WhatsApp bloqueado: Relembre todos os casos de suspensão do app” [Acesso em 26/11/18].
__________
*Fernando Gomes Miguel é advogado no escritório Gomes Miguel Advogados.