COLUNAS

  1. Home >
  2. Colunas

Dados Públicos

Discussões e experiências envolvendo privacidade e proteção de dados pessoais no setor público.

Rodrigo Borges Valadão e Fabrício da Mota Alves
O potencial de Inteligências Artificiais (IAs) generativas de texto e imagem está no centro dos debates no mundo após a abertura de acesso ao ChatGPT pela OpenAI em 2022. A China já buscou medidas de regulação em abril de 20231, a Casa Branca dos Estados Unidos da América emitiu uma Ordem Executiva que aborda questões sobre essas tecnologias2, a União Europeia ainda discute o seu texto do seu AI Act com previsões sobre o tema e o Brasil em breve terá um relatório do Senador Eduardo Gomes no PL 2338/23, após audiências públicas realizadas no Senado Federal. Nesse contexto de tentativas regulatórias, no dia 12 de novembro do presente ano, uma matéria tomou os jornais do Brasil: um juiz federal do TRF-1 utilizou o ChatGPT para gerar uma decisão que continha jurisprudência do Superior Tribunal de Justiça inexistente3. De um lado, o fato gera escândalo devido à falta de cuidado do juiz em verificar o conteúdo gerado pela ferramenta, de outro, proporciona a oportunidade de discutir a adoção dessas tecnologias pelo Poder Judiciário. Isso é especialmente relevante considerando as declarações do Ministro Roberto Barroso, durante à sua primeira sessão como Presidente do Conselho Nacional de Justiça, ao mencionar um plano de pedir às big techs norte-americanas a criação de uma ferramenta específica para o Judiciário brasileiro4. É nesta conjuntura que o presente artigo irá abordar um ponto específico desse complexo problema: como o Conselho Nacional de Justiça está conduzindo o desenvolvimento e a adoção de inteligências artificiais e a preponderância da visão de eficiência produtiva nesse cenário. Inicialmente faz-se importante pontuar que as possibilidades de utilização das tecnologias de inteligência artificial no direito são várias. Tainá Aguiar Junquilho sistematiza em: modelos preditivos, organização de documentos, busca textual, automação de documentos e decisões automatizadas5. A categorização mencionada baseia-se no papel que a inteligência artificial pode desempenhar nos tribunais, abrangendo desde a inferência de informações em documentos específicos até a análise preditiva para possíveis decisões. No contexto do Poder Judiciário, todas essas capacidades podem prejudicar o devido processo legal, especialmente na falta de transparência quanto à participação das IAs e à relação do ser humano quando apoiado conscientemente por algoritmos. Um exemplo ilustrativo é a possível classificação incorreta de um caso em uma categoria de processos, acarretando consequências adversas para uma das partes. Embora seja responsabilidade de servidores ou juízes validar os efeitos jurídicos da referida seleção, é amplamente reconhecido que o vasto número de processos pode resultar na ausência de uma análise crítica humana sobre a sugestão da tecnologia, validando, assim, implicações que infringem os direitos das partes. Outro exemplo relevante a se mencionar são os buscadores de textos, que podem ser empregados para embasar as decisões dos magistrados. Isso porque, dependendo de como os critérios de treinamento foram aplicados, esses buscadores podem acabar favorecendo decisões que reforçam uma determinada posição jurisprudencial, o que nem sempre se adequa ao caso concreto. A intensificação de questões controversas na jurisdição brasileira pode resultar da simples reprodução dos resultados fornecidos por algoritmos, sem que o julgador analise necessariamente os possíveis erros e omissões dentro do contexto processual. Vale destacar que essa situação, infelizmente, já é comum mesmo na ausência de tecnologias, e ela se baseia em uma concepção psicológica de que os sistemas tecnológicos desempenham atividades com maior assertividade do que os humanos. A exemplo disto, temos o recente caso do juiz do Tribunal Regional Federal da 1ª região comprova essa tendência. Com a ampliação do uso de IAs como política institucional do CNJ, em agosto de 2020 o órgão elaborou a Resolução 3326, que cria regras para o desenvolvimento dessas tecnologias pelos Tribunais. O art. 2° estabelece os objetivos das IAs: "A Inteligência Artificial, no âmbito do Poder Judiciário, visa promover o bem-estar dos jurisdicionados e a prestação equitativa da jurisdição, bem como descobrir métodos e práticas que possibilitem a consecução desses objetivos". Além disso, o Capítulo VII estabelece mecanismos de controle para os usuários, sendo categorizados como usuários internos (Artigo 17) ou usuários externos (Artigo 18). Especificamente em relação aos usuários externos, que incluem advogados e partes (Artigo 3, Inciso VI), há uma disposição explícita sobre a obrigação de informar o uso de inteligências artificiais, indicando que o sistema apenas auxilia na tomada de decisões, que é submetida à autoridade competente. Dois aspectos merecem destaque em relação à Resolução em questão: (i) a ausência de uma menção explícita ao respeito ao devido processo legal como guia para o desenvolvimento dessas tecnologias, bem como (ii) a falta de menção à consulta a outros agentes interessados na elaboração/implementação desses sistemas, como a Ordem dos Advogados do Brasil. No que diz respeito ao primeiro ponto, é importante reconhecer que o princípio do devido processo legal possui diversas dimensões normativas específicas que as inteligências artificiais, incluindo aquelas mais simples para busca textual, desafiam. Por exemplo, a imparcialidade do julgador, presente em instrumentos internacionais dos quais o Brasil é signatário, pode ser comprometida pela utilização de algoritmos de busca jurisprudencial impregnados com um viés específico, resultando em decisões que favorecem uma interpretação especial, sem considerar o contexto de divergências que possam existir relativamente aum determinado tema. Apesar de a igualdade ser mencionada na regulamentação do CNJ, não fica claro como medidas concretas devem ser adotadas para implementar o conteúdo normativo dessa proporção no momento da decisão sobre a adoção dessas tecnologias. Outra dimensão do princípio em análise, que não está claramente regulamentada, é a necessidade de motivação das decisões judiciais nos casos em que a inteligência artificial pode gerar um primeiro rascunho sobre o caso ou na substituição total do magistrado em casos pré-determinados. Embora a indicação de um rascunho de decisão possa ser equiparada ao trabalho de um assessor, uma prática forense comum em todos os tribunais brasileiros para decisões repetitivas sujeitas à revisão e assinatura de um magistrado, a distinção reside principalmente na questão quantitativa, afinal, um dos objetivos da implementação de novas tecnologias no Poder Judiciário é se obter maior celeridade na suposta entrega da prestação jurisdicional. Dizemos isso, pois dificilmente um magistrado examinará centenas ou milhares de rascunhos de decisões geradas por tecnologias em poucos minutos, ao passo que os assessores têm uma capacidade de produção limitada e podem identificar problemas específicos que exigem análises aprofundadas em casos inicialmente considerados simples. Aliás, esse foi o argumento utilizado pelo juiz do TRF quando confrontado sobre a jurisprudência inexistente do Superior Tribunal de Justiça, conforme noticiado acima. Além disso, a obrigação de motivar as decisões judiciais, juntamente com o direito à ampla defesa, também pode ser violada pela opacidade dos algoritmos adotados. Estes podem não fornecer clareza sobre os elementos utilizados para chegar à decisão, levantando questionamentos sobre a legitimidade das decisões formuladas por algoritmos. Esse problema não se restringe apenas à hipótese de substituição total dos julgadores, mas persiste mesmo quando a tecnologia é empregada na elaboração da primeira versão da decisão. Contudo, a resolução em questão não estabelece parâmetros claros e requisitos procedimentais que assegurem esses critérios, deixando a cargo dos agentes envolvidos no desenvolvimento (definidos apenas como usuários internos pelo Artigo 3º, Inciso V da Resolução, e restritos a membros, servidores ou colaboradores do Poder Judiciário) a interpretação do cumprimento desses requisitos. Este problema está diretamente relacionado ao segundo desafio mencionado no início desta seção do trabalho: a ausência de previsão para a participação de agentes externos ao Poder Judiciário no desenvolvimento dos sistemas, como representantes da Ordem dos Advogados do Brasil. Pode-se argumentar que há uma inclinação dos algoritmos desenvolvidos sob o formato atual para realizar atividades no melhor interesse dos servidores, como a celeridade no julgamento de processos, em detrimento do melhor interesse da sociedade como parte afetada pelas decisões. Em sede conclusiva, o recente caso do julgador do TRF-1 é o que o podemos chamar de uma "crônica do desastre anunciado", até porque muito desse artigo está explorado em peça a ser publicada no 1° Anuário das Comissões de Proteção de Dados e Direito Digital da OAB Nacional7, sob a presidência do Dr. Rodrigo Badaró e Dra. Laura Schertel Mendes, respectivamente, e que foi pensado em meados de 2023. Essa situação só reforça os problemas que havíamos antecipado e a necessidade de medidas regulatórias para a implementação de IA no Judiciário que não sejam somente focadas na eficiência produtiva, mas também na garantia de direitos fundamentais. Caso esse enfoque não seja tratado desde já, o ganho da automação será perdido pelos inúmeros recursos questionando o uso incorreto dessas tecnologias que inundarão os órgãos recursais. ____________ 1 O texto foi traduzido pelo programa DigiChina da Universidade de Standford para inglês. Disponível aqui. 2 Disponível pelo site oficial. Disponível aqui. 3 CNJ vai investigar juiz que usou tese inventada pelo ChatGPT para escrever decisão. Consultor Jurídico, 12 de novembro de 2023. 4 BARROSO pede a big techs criação de "ChatGPT" para uso jurídico. Migalhas, 18 de outubro de 2023.  5 JUNQUILHO, Tainá Aguiar. Inteligência Artificial no Direito - Limites Éticos. São Paulo: Juspodivm, 2022, p. 83-84 6 BRASIL. Conselho Nacional de Justiça. Resolução n° 332, de 21 de agosto de 2022. Dispõe sobre a sobre a ética, a transparência e a governança na produção e no uso de Inteligência Artificial no Poder Judiciário e dá outras providências. Disponível aqui. Acesso em 11 de set de 2023. 7 Disponível aqui.
A Autoridade Nacional de Proteção de Dados do Brasil (ANPD), após grande expectativa, publicou sua primeira sanção por descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD): uma microempresa do ramo de telefonia foi condenada à pena de advertência e multa no valor de R$ 14.000,00 (quatorze mil reais)1. O primeiro fato que chamou atenção em relação a essa sanção foi a natureza da empresa: uma microempresa, classificada como agente de tratamento de pequeno porte. As implicações dessa situação são relevantes, uma vez que a ANPD busca deixar claro que não apenas as grandes empresas de tecnologia e as maiores empresas nacionais estarão sujeitas às suas medidas, mas sim todo o mercado deve estar atento às exigências legais de proteção de dados. Essa estratégia lembra uma situação semelhante ocorrida em 2018, quando a Regulação Geral de Proteção de Dados da União Europeia entrou em vigor. Naquela ocasião, a autoridade competente da Áustria, em sua primeira sanção, direcionou-se a um café de apostas esportivas que estava realizando monitoramento indevido de uma área pública por meio de câmeras de vigilância.2 Embora as consequências dessa mensagem para o mercado demandem algum tempo para serem observadas, duas situações merecem destaque: a empresa construiu sua base de dados utilizando informações públicas disponíveis na internet por meio de práticas de web scraping e divulgava a venda dessa base de dados para fins eleitorais3. Conforme relatado no documento da ANPD, o processo foi iniciado com base em uma denúncia recebida do Ministério Público do Estado de São Paulo, Promotoria de Justiça de Ubatuba. A denúncia revelava a oferta de uma lista de contatos de eleitores da referida cidade no WhatsApp, com o intuito de utilizá-la para fins eleitorais. Em sede de instrução, a ANPD realizou os seguintes questionamentos: "a) Qual o Encarregado pelo Tratamento de Dados Pessoais indicado por essa empresa para se comunicar com ANPD e quais são as informações de contato com o Encarregado, como obriga a Lei Geral de Proteção de Dados Pessoais (LGPD)? b) Qual a origem dos dados que essa empresa oferece para disparar mensagens de whatsapp, conforme consta abertamente do site dessa empresa? Ou seja, de onde essa empresa pega ou acessa os dados para disparar as mensagens? Fornecer detalhadamente os dados de identificação e de contato com seu fornecedor desses dados pessoais. c) Como é montada a base de dados que serve de objeto para o serviço oferecido no sítio eletrônicohttp://telekall.com/ .... d) Quais os dados que fazem parte do banco de dados disponibilizado para seus clientes? e) Quantos registros possui atualmente em seu banco de dados? f) Quaisquer outras informações que entenda importantes para a elucidação dos fatos do presente caso poderão ser encaminhadas em complemento às informações requisitadas." Segundo o Encarregado da empresa, a base de dados havia sido construída a partir de técnicas de web scraping de dados públicos na internet, e que, "portanto, poderiam ser utilizados (tratados) por qualquer pessoa"4. Sobre os desafios jurídicos da prática em questão, indicamos a leitura do artigo "Os desafios jurídicos do web scraping", publicado nessa mesma coluna5. A ANPD entendeu que houve confissão por parte do Encarregado da empresa acerca da construção da base de dados e insuficiência de argumentação sobre o uso da base legal de legítimo interesse, condenado nas sanções já citadas. Outro fator que chama atenção foi o uso da base de dados no contexto eleitoral, que, além da LGPD, também tem a Res. 23.610 do Tribunal Superior Eleitoral6 (TSE) regulamentando o uso de dados por campanhas. A própria ANPD, em conjunto com o TSE, no final de 2021, publicou um Guia Orientativo sobre a questão do uso de dados pessoais em campanhas eleitorais7. A utilização de dados pessoais em campanhas eleitorais também é temática séria no âmbito eleitoral, uma vez que viola a paridade de armas e a igualdade no pleito. Um caso paradigma que merece atenção é o da Cambridge Analytica, empresa condenada pelo uso ilegal de dados pessoais nas eleições dos Estados Unidos em 2016, os dados foram colhidos com o intuito de manipular a intenção dos votos dos eleitores, por meio de dados disponibilizados pelo Facebook. É desta forma que a Res. 23.610 do TSE trouxe a normatização da propaganda eleitoral, utilização do horário gratuito, e condutas ilícitas em campanha para as eleições municipais de 2020, com atualização em 2021 prevendo regras referentes à LGPD, sob pena de multa e outras modalidades de pena. No caso pertinente, a fiscalização dos órgãos da ANPD foi iniciada a partir de denúncia de que a empresa Telekall Infoservice estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral. Ainda que as disposições acerca da LGPD no referido regramento do TSE tenham sido inseridas em 2021, cabe uma análise do cenário das possíveis consequências dessa sanção para as próximas eleições. A atualização do TSE prevê no seu art. 10, §4º a necessidade de que o uso de dados por controladores e operadores devem respeitar a finalidade para o qual o dado foi coletado8, a empresa estaria realizando também um ilícito na seara eleitoral. Ademais, os candidatos(as) que porventura adquirissem bases de dados através dos mesmos mecanismos que aqueles empregados Telekall também estariam sujeitos a sanções específicas da justiça eleitoral podendo até mesmo levar à cassação do diploma ou registro9, devido à conjunção de sistemas sancionatórios. Ainda, cabe destacar que, no contexto eleitoral. o uso de dados pessoais para envio de mensagens eletrônicas só pode se dar para endereços cadastrados gratuitamente e com a devida base legal (art. 28, III da Res 23.610/TSE), o que não se verificaria no caso. Nesse contexto, cabe saber se a ANPD irá requisitar à Telekall possíveis agentes de tratamento do contexto eleitoral que tenham adquirido os dados pessoais após 2021, levando a investigações envolvendo o uso dos dados pessoais em campanhas no pleito de 2022. Por fim, o uso desses dados poderia ser relacionado ao envio de fatos sabidamente inverídicos com a finalidade de gerar desinformação no pleito eleitoral. No caso em tela, os fatos denunciados foram relativos à eleição municipal de 2020, ano em que o TSE teve imensa dificuldade em conter a disseminação de notícias falsas, em sua maior ocorrência, pelo WhatsApp.  Ainda que o descumprimento à LGPD não esteja diretamente ligado à desinformação, a possibilidade de uso de bases de dados pessoais coletadas ilicitamente para essa finalidade agravaria um cenário já problemático. Não é incomum o uso algoritmos com propósitos políticos, porém, as preocupações com a governança da Internet são espaços onde o poder político e econômico estão se desdobrando, mediando tantas questões de importância na sociedade, temas como direitos de expressão e discurso de ódio, segurança nacional, privacidade, desinformação, participação política, capacidade de funcionamento da sociedade, estabilidade dos mercados e de todas as indústrias, perpassam pelo uso de algoritmos e merecem atenção pelo fato de influenciarem em grandes decisões políticas e até econômicas. Assim, a primeira sanção da ANPD se coloca não somente como um ato voltado à concretizar o "cenário de terror" das possíveis sanções de 50 milhões de reais previstas nas legislação, mas também como um sinal da multidisciplinariedade que a proteção de dados possui com outras áreas, o alcance da legislação à agentes de tratamento de pequeno porte e os desafios técnicos e informacionais que vivenciamos na era digital. __________ 1 Disponível aqui. Acesso em 07 de julho de 2023. 2 Disponível aqui. Acesso em 07 de julho de 2023. 3 Disponível aqui. Acesso em 07 de julho de 2023. 4 Item 6.12 do relatório da ANPD. 5 POSSA, Alisson. Os desafios jurídicos do web scraping. Coluna DADOS PÚBLICOS. MIGALHAS. 08 de dezembro de 2022. Disponível aqui. Acesso em 07 de julho de 2023. 6 Disponível aqui. 7 BRASIL. Autoridade Nacional de Proteção de Dados; Tribunal Superior Eleitoral. Guia orientativo: aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) por agentes de tratamento no contexto eleitoral. Brasília: Tribunal Superior Eleitoral, 2021, p. 33-37. Disponível aqui. 8 §4º: O tratamento de dados pessoais por qualquer controlador ou operador para fins de propaganda eleitoral deverá respeitar a finalidade para a qual o dado foi coletado, observados os demais princípios e normas previstas na Lei Geral de Proteção de Dados (LGPD) e as disposições desta Resolução 9 POSSA, Alisson. Proteção de Dados e Eleições. São Paulo: Expressa, 2022. E-book.
O avanço tecnológico, a rápida expansão das plataformas digitais e o crescente uso da internet em todo o mundo resultaram em importantes reflexões no campo econômico, jurídico, político, e sobretudo social, onde é possível verificar uma adesão global incontestável às  plataformas digitais junto ao aumento da interação virtual entre os indivíduos durante suas atividades cotidianas, em uma espécie de hiperconexão, condição na qual as pessoas estão constantemente conectadas à internet e interagindo com outras pessoas através de dispositivos eletrônicos, como smartphones, tablets e computadores seja em redes sociais, aplicativos de mensagens, videochamadas e plataformas de compartilhamento de conteúdo. Pessoas e Organizações dependem das plataformas digitais para se comunicar, buscar informações, realizar transações financeiras, acessar serviços e entretenimento, e até mesmo para realizar tarefas do cotidiano, como fazer compras ou agendar compromissos. A interação virtual tornou-se tão integrada às nossas vidas que muitas vezes é difícil separar o mundo online do mundo offline. A hiperconexão traz várias vantagens, como facilitar a comunicação instantânea e o acesso rápido à informação, e também permite que as pessoas se conectem e interajam com outras ao redor do mundo, transcendendo barreiras geográficas e culturais. No entanto, também gera preocupações como questões ligadas à privacidade, a segurança dos dados pessoais e a dependência excessiva da interação online que pode levar ao isolamento social, à diminuição da interação face a face e a problemas de saúde mental, como ansiedade e depressão. Mudanças são necessárias principalmente para conferir segurança no uso destas plataformas, coibindo sua utilização de forma ilícita e antiética em prol de uma existência harmônica junto ao ordenamento jurídico vigente. Por isso, a regulamentação das plataformas digitais é um dos temas trazidos à discussão pelo PL 2630/2020, que popularmente tem se tornado conhecido como o "Projeto de Lei das Fake News". O projeto, originado no Senado Federal, cria a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet, e vem sofrendo mudanças no seu texto original ao longo da sua tramitação na Câmara dos Deputados, onde inclusive, foi posto e retirado da pauta do regime de urgência de votação. Traz como principal propositura a regulação das plataformas digitais tais como Google, Meta (Instagram e Facebook), Twitter e TikTok, bem como dos serviços de mensageria instantânea dos quais destacamos o WhatsApp e o Telegram. Entre seus objetivos ressaltamos: (i) a prevenção e o combate a disseminação de conteúdos falsos ou manipulados que possam causar danos individuais ou coletivos; (ii) a promoção da transparência e da responsabilização das plataformas digitais sobre as políticas de moderação de conteúdo; (iii) a promoção do controle na difusão de notícias falsas e discursos de ódio no ambiente virtual; (iv) a proteção da liberdade de expressão e do direito à informação dos usuários, e (v) a garantia ao direito à privacidade e à segurança dos dados pessoais dos usuários. Trazendo como meta lidar com um problema sério e complexo, enfrentará uma série de desafios como a definição do que constitui uma "fake news" de maneira clara e objetiva, já que o termo abrange uma ampla gama de informações enganosas, desde notícias falsas deliberadas até informações imprecisas ou tendenciosas. Logo, determinar o que é falso e o que é verdadeiro pode ser um processo complicado, especialmente quando se lida com conteúdo complexo ou sujeito a diferentes interpretações. Outro ponto importante é a preservação da liberdade de expressão e o risco de censura, já que a possibilidade de que esta venha a ocorrer foi uma  preocupação levantada preliminarmente. Um forte argumento foi o de que a interpretação ampla da lei seria uma carta permissiva para que o governo ou outras autoridades proibissem a veiculação de conteúdos online com base em critérios subjetivos. Também há preocupação de que as próprias plataformas removam conteúdos legítimos de forma excessiva por medo de punições. Compreendemos que para combater a disseminação de informações falsas faz-se necessário uma abordagem mais abrangente, que inclui a educação do público para desenvolver habilidades de pensamento crítico e alfabetização midiática, o fortalecimento das políticas internas das plataformas de mídia social para reduzir a disseminação de informações falsas, e a promoção de uma cultura de verificação de fatos e transparência cabendo a cada um de nós checar a fonte das notícias que recebemos e, em caso de dúvida se o assunto é verdadeiro ou não, o melhor a ser feito é não compartilhar. Para prevenir e combater a disseminação de conteúdos falsos nas redes sociais, o PL conta com uma série de medidas, entre elas: (i) exigência de cadastro com documento de identidade para a criação de contas nas redes sociais e nos serviços de mensagens; (ii) proibição do uso de contas falsas obrigando que as plataformas adotem medidas para identificar e coibir contas inautênticas, automatizadas ou usadas para disseminar desinformação;(iii) criação de um conselho de transparência e responsabilidade na internet, formado por representantes do governo, da sociedade civil e das empresas para regulamentar e fiscalizar os provedores;(iv) obrigatoriedade de manutenção de um registro de mensagens encaminhadas em massa durante três meses por parte das empresas;(v) obrigatoriedade de rotular e limitar o alcance de conteúdos considerados enganosos ou manipulados; (vi) possibilidade de exclusão ou suspensão de contas que viole os termos de uso ou a legislação vigente; (vi) exigência de identificação dos usuários que patrocinam conteúdos publicados. A criação do Conselho de Transparência e Responsabilidade na Internet como entidade fiscalizadora dos provedores de internet, é uma grande novidade trazida pelo PL, sendo a mesma responsável pelos processos administrativos contra os provedores de conteúdo que resultarão na aplicação de sanções no caso de descumprimento da lei. Curioso é que a legislação proposta não aplicará sanções a empresas cujas atividades sejam comércio eletrônico, jogos e apostas online, tampouco a plataformas de reuniões fechadas por vídeo ou voz, nem a enciclopédias online sem fins lucrativos, ou repositórios de natureza científica ou educativa. Outrossim, cabe destacar que o texto do PL traz em sete artigos que compõem o Capítulo III que trata da atuação do Poder Público. Interesse público e os princípios da Administração Pública devem ser considerados pelas entidades e órgãos públicos quando da gestão de contas em redes sociais. Reforça a responsabilização para que o agente político indique uma  conta que represente oficialmente seu mandato ou cargo, sendo as demais eximidas das obrigações deste artigo.  Outro ponto de destaque é acerca do Princípio da Publicidade que trata da publicização nos portais de transparência sobre a contratação de empresas que oferecem serviços de publicidade e propaganda e/ou impulsionamento de conteúdo por meio da internet. Importante ênfase também para a publicização em sites e redes sociais para conteúdos sensíveis que promova a incitação à violência ou a discriminação sobre raça, cor, etnia, sexo, características genéticas, convicções filosóficas, deficiência física, imunológica, sensorial ou mental, por ter cumprido pena ou por qualquer particularidade ou condição que possa trazer danos irreparáveis à pessoa humana. E por fim, cabe ao Estado a promoção de campanhas educativas, em todos os níveis de ensino e de forma integrada que promova o uso ético, consciente, responsável e transparente das redes sociais e de conteúdos patrocinados, com respeito ao diálogo e à liberdade de expressão. Assim, entendemos que legislação sobre o combate às fake news e à desinformação é um assunto complexo, que envolve um equilíbrio delicado entre a proteção da sociedade contra informações falsas e a garantia dos direitos fundamentais, como a liberdade de expressão, o direito à proteção de dados e a privacidade. Acompanhar a evolução do Projeto de Lei 2630/2020 e as discussões em torno dele são fundamentais para entender os impactos que a legislação pode ter na liberdade de expressão e possíveis questões relacionadas à censura e à liberdade de expressão, sendo importante considerar os diferentes pontos de vista e opiniões. O debate público e a participação da sociedade civil são cruciais para garantir que a legislação seja equilibrada e respeite os direitos e liberdades dos cidadãos.
No dia 26 de abril, foi noticiado que a Comissão de Tecnologia da Informação e Inovação do Conselho Nacional de Justiça está analisando um pedido acerca da necessidade de proibir juízes brasileiros de utilizarem a tecnologia ChatGPT da empresa OpenAI1. A notícia veio dias depois de um advogado, que utilizou o ChatGPT para elaborar sua petição, ter sido condenado por litigância de má-fé pelo Tribunal Superior Eleitoral2. O Conselho Nacional do Ministério Público também anunciou que irá estabelecer regras claras para o uso da ferramenta, diante da possibilidade de dados pessoais sensíveis serem inseridas na plataforma.3 Esse tipo de tecnologia chamada de LLM - Large Language Model (modelo de linguagem), ganhou os holofotes do mundo no final de 2022 com a disponibilização da versão 3 do ChatGPT, produzida pela OpenAI, para acesso massificado. Em uma semana, o produto atingiu mais de 100 milhões de acessos, demonstrando o interesse e instigando a curiosidade da sociedade mundial por sua precisão na interação com o humano. A tecnologia, entretanto, tem provocado grandes discussões, tanto acadêmicas quanto legislativas, por trazer consequências ainda incalculáveis que podem alterar drasticamente a relação do ser humano com o conhecimento. Ao redor do mundo, desde antes da hype das IAs generativas, a União Europeia e o Brasil já empreendiam esforços para a regulação de tecnologias de inteligência artificial, inclusive ouvindo a sociedade civil e a comunidade acadêmica.4 Até mesmo nos Estados Unidos, país conhecido por suas posições mais flexíveis no contexto de regulação de tecnologias, disponibilizou uma possível estrutura regulatória a nível federal.5 Além disso, a China, que já tem uma forte estratégia para o desenvolvimento de IA e uma agenda até 2030, adiantou-se e iniciou um processo legislativo para regular IAs generativas.6 Como modelo de linguagem natural, esse tipo de tecnologia tem uma variedade infindável de aplicações, especialmente nas áreas que têm na comunicação seu principal meio de manifestação. O Direito se manifesta pela linguagem e, por isso, essa tecnologia já tem sido utilizada (ainda que, na maioria das vezes, não de forma declarada) pelos diversos atores do ecossistema de justiça. E por isso, se no mundo tem se discutido as consequências de sua utilização em todos os setores (educação, trabalho, artes, jornalismo, etc.), no Direito também existem formas de utilização e riscos específicos que precisam ser levantados. Neste artigo abordaremos três pontos: os usos que essas tecnologias podem ter no sistema jurídico, os riscos inerentes a esses usos e perspectivas futuras de formas possíveis para controle.  A relação entre Direito e linguagem começa a passar por uma transformação com as novas tecnologias e modelos de linguagem, uma vez que os algoritmos passam a realizar tarefas em nome dos profissionais da área. Dentre os usos já mapeados, temos: modelos preditivos, organização de documentos, busca textual, automação de documentos e decisões automatizadas7. Os modelos preditivos atualmente conhecidos são aqueles de jurimetria, que são voltados para a previsão de decisões com base na análise de históricos de decisões de juízes singulares. A França polemizou a utilização da jurimetria quando criminalizou8 a prática de coletar dados pessoais de magistrados com o objetivo de analisar suas decisões para previsão de tendências decisórias. Os sistemas de linguagem também podem auxiliar na organização de documentos e busca facilitada de informações em grandes quantidades de bases de dados, facilitando a busca por informações dentro de processos pelos juízes, servidores e partes. Essas tecnologias também podem gerar textos que reproduzem as informações armazenadas nas suas bases de dados, permitindo a automação do processo decisório. O caso em questão que o CNJ foi instado a analisar diz respeito a esse tipo de uso por meio do ChatGPT. Ocorre que esses usos vêm acompanhados de riscos, que podem ser aqueles inerentes aos desequilíbrios de poderes que acompanham os desenvolvimentos de tecnologias e aqueles que decorrem de modelos lógicos baseados em probabilidades, e não mais na lógica da tipografia do Direito9. Os primeiros riscos decorrem da concentração do poder tecnológico nas mãos de grandes corporações. Existe um motivo pelo qual o modelo GPT 3.5 acabou tomando os holofotes: ele é o principal modelo de linguagem que, através da interface ChatGPT, conseguiu êxito em facilitar a comunicação entre homem e máquinas no nível da linguagem humana usual. Isso só foi possível pelos milhões de dólares investidos pela empresa OpenAI e, agora, com grande participação da Microsoft10. Esses modelos são extremamente custosos para treinamento, impossibilitando a entrada no mercado da tecnologia por pequenas startups11 e, no caso de um Poder Público, o desenvolvimento dos próprios algoritmos. A implementação de sistemas que permitem a criação de decisões por meios de algoritmos concentrados nas mãos de uma ou duas empresas privadas demanda análises sobre o monopólio da jurisdição pelo Estado e os limites na adoção de tecnologias para auxílio dela.O segundo grande grupo de riscos diz respeito às consequências de tecnologias com lógicas numéricas baseadas em probabilidades serem utilizadas pelo Direito, que é um sistema social que tem como base a lógica da tipografia e da linguagem. Problemas envolvendo a uniformização da produção jurídica, o descompasso das bases de dados virtuais com os desenvolvimentos culturais da sociedade e até mesmo os danos que decorrem de probabilidades fazem parte desses riscos. O contexto da geração de petições e decisões automatizadas, ainda que permita uma maior produtividade por parte dos juízes e gere a possibilidade de diminuição da estrutura funcional do Judiciário e uma maior assertividade para os advogados, é acompanhado por todos esses riscos A proibição de uso pelo CNJ, entretanto, se coloca como solução simplista que, além de ineficaz, talvez seja impossível de ser garantida. No âmbito do Judiciário, essa solução demandaria que todos os domínios de aplicações que utilizam a tecnologia da OpenAI fossem banidos pelas configurações de acesso das redes dos tribunais brasileiros, o que, na prática, é um desafio por si só. Isso acontece porque muitas empresas e desenvolvedores estão criando aplicações que funcionam com a tecnologia da OpenAI através de APIs (Application Programming Interface) ou até mesmo com códigos abertos disponíveis na plataforma GitHub, o que torna quase impossível o mapeamento de um cenário que está em constante mudança. Além disso, obviamente, não impediria os juízes e demais servidores de utilizarem seus dispositivos e redes móveis para acessar essas aplicações. No que diz respeito à proibição dos advogados em utilizar a ferramenta, essa podeimpossível de ser verificada na prática. Primeiro porque, conforme demonstramos, elas podem ser utilizadas para várias funcionalidades além de geração de textos. Em relação ao banimento de petições e julgamentos criados exclusivamente por esses algoritmos, alguns indivíduos suscitam o uso de ferramentas de detecção que estão surgindo, havendo até mesmo a própria OpenAi disponibilizada uma. Ocorre que recentes artigos demonstram que essas ferramentas são extremamente falhas quando os parâmetros utilizados para geração são complexos ou palavras são modificadas, como recente um artigo publicado por pesquisadores da Universidade de Maryland, que demonstrou taxas de acerto de 57% em alguns casos12. Recentemente, uma dessas ferramentas identificou falsamente um texto como gerado pelo ChatGPT na Universidade da Califórnia, quase levando um aluno a ser reprovado por plágio13. Com a falta de ferramentas que efetivamente conseguem comprovar, com alto grau de precisão, se um texto foi gerado por inteligência artificial, uma proibição talvez seja impossível de ser efetivada na prática. Portanto, uma análise sobre a proibição ou não dessas tecnologias deve necessariamente passar por mecanismos de mitigação desses riscos a fim de serem adotadas medidas intermediárias que busquem o equilíbrio entre benefícios e danos causados pelos riscos. Dentre esses mecanismos, enxergamos a transparência e a reconceitualização das garantias processuais como pilares essenciais para essa nova realidade. Nota: o presente artigo, por exemplo, passou por uma revisão gramatical realizada pelo ChatGPT. Ele não participou da etapa da geração do conteúdo, mas na etapa da correção. __________ 1 CNJ avalia se deve proibir juízes de usar ChatGPT para fundamentar decisões. Acesso em 27 de abril de 2023. 2 Disponível aqui. Acesso em: 27 de abril de 2023. 3 BRIGIDO, Carolina. Ministério Público vai definir limites do uso do ChatGPT em processos. UOL Notícias. 29 de abril de 2023. Disponível aqui. Acesso em 30 de abril de 2023. 4 A autora deste artigo participou de audiência pública no Senado Federal brasileiro sobre o tema. As atas do trabalho da Comissão de Juristas do Senado Federal responsáveis pela elaboração do substitutivo podem ser encontradas no site oficial da Casa Legislativa. Disponível aqui. Acesso em 27 de abril de 2023. 5 O documento é denominado de "Blueprint for IA Bill of Rights". Disponível aqui. Acesso em 27 de abril de 2023 6 A iniciativa "DIGICHINA" da Universidade de Standford disponibilizou tradução para inglês do texto proposto. Disponível aqui . Acesso em 27 de abril de 2023 7 JUNQUILHO, Tainá Aguiar. Inteligência Artificial no Direito: Limites Éticos. São Paulo: Editora JusPodivm, 2022, p. 83-84. 8 "Os dados de identidade de juízes e membros do secretariado não podem ser reutilizados com o objetivo ou efeito de avaliar, analisar, comparar ou prever suas práticas profissionais reais ou supostas. A violação desta proibição é punível com as penalidades previstas nos artigos 226-18, 226-24 e 226-31 do Código Penal, sem prejuízo das medidas e sanções previstas pela Lei nº 78-17 de 6 de janeiro de 1978 relativa à informática, arquivos e liberdades" (Tradução livre). Disponível aqui. 9 Essa diferença de modelos racionais diferentes se deve às diferenças da lógica da tipografia, que até então pautou o Direito e a linguagem, e a lógica do digital, que pauta os algoritmos numéricos baseados em probabilidades. Cf: CAMPOS, Ricardo. Metamorfoses do Direito Global: sobre a interação entre direito, tempo e tecnologia. São Paulo: Editora Contracorrente, 2022, p. 320. 10 Disponível aqui . Acesso em 28 de abril de 2023. 11 HEIKKILÄ, Melissa. Generative AI risks concentrating Big Tech's power. Here's how to stop it. MIT Technology Review. 18 de Abril de 2023. Disponível aqui. Acesso em 28 de abril de 2023. 12 SADASIVAN, Vinu Sankar et al. Can AI-Generated Text be Reliably Detected?. arXiv preprint arXiv:2303.11156, 2023. Disponível aqui. Acesso em 28 de abril de 2023. 13 O caso ganhou os portais de notícias ao demonstrar que o falso positivo dessas ferramentas pode trazer inúmeros danos até para aqueles que sequer utilizam as novas tecnologias. Disponível aqui. Acesso em 28 de abril de 2023.
Introdução A Lei Geral de Proteção de Dados (LGPD)1 contribui para a discussão do conceito da interoperabilidade, que se constitui na capacidade de sistemas e organizações operarem entre si. A autoridade nacional (ANPD) poderá dispor sobre padrões de interoperabilidade para fins de portabilidade de dados, conforme estabelecido no artigo 40 da LGPD, os padrões de interoperabilidade, portabilidade, acesso, segurança e tempo de armazenamento de dados pessoais podem ser definidos pelo Governo, digo ANPD, da seguinte forma: "A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência." Sobre o tratamento de dados de pesquisa em prol da ciência aberta, vimos que a LGPD, determina em seu art. 25 a determinação da estruturação da interoperabilidade em prol de compartilhamento de dados abertos. Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral. O que é interoperabilidade? (SAYÃO; MARCONDES - 2008)2 O Online Dictionary for Library and Information Science (ODLIS), define o termo interoperabilidade como: "A capacidade de um sistema de hardware ou de software de se comunicar e trabalhar efetivamente no intercâmbio de dados com um outro sistema, geralmente de tipo diferente, projetado e produzido por um fornecedor diferente." (Online..., 2004). Num sentido lato, segundo a Wikipédia3, a interoperabilidade pode ser definida como a capacidade de um sistema (informatizado ou não) se comunicar de forma transparente (ou o mais próximo disso) com outro sistema (semelhante ou não). A NBR ISO 9126-1 (ABNT, 2003), que trata da qualidade de software, define a interoperabilidade como a capacidade do produto de software interagir com um ou mais sistemas especificados. A norma destaca que a interoperabilidade e' usada no lugar de compatibilidade para evitar confusões com a subcaracteri'stica "capacidade para substituir". A interoperabilidade observará a legislação aplicável e as recomendações técnicas da arquitetura dos Padrões de Interoperabilidade de Governo Eletrônico (e-Ping) que falaremos mais adiante. Cumpre lembrar que os efeitos do direito à informação não estão contidos, apenas, no âmbito da legislação comum, pois este direito eleva-se ao nível dos direitos fundamentais. Portanto, não diz respeito apenas à ordem privada dos sujeitos, mas irradia-se na consideração pública do campo indisponível da cidadania ativa, segundo a concepção contemporânea que não a vê apenas no exercício do direito oponível ao poder político, mas em face do poder econômico. A informação passou ser um bem jurídico essencial, para as mais simples vidas individuais e para as mais poderosas empresas e nações. O progresso tecnológico cresce, mas aumentam também os perigos de falta de respeito aos direitos humanos. Matéria de Direito Civil e previsão constitucional, a proteção de dados pessoais pode ser interpretada como um desdobramento do direito fundamental à privacidade, protegido pela Constituição Federal de 1988 (CF)4, em seu artigo 5º, inciso X, que prevê que "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito a indenização pelo dano material ou moral decorrente de sua violação". Com a edição da Lei 13.709, em 14/08/2018, a chamada LGPD5 - Lei Geral de Proteção de Dados Pessoais -, o Brasil passou a ter sua própria lei de proteção dos dados pessoais6.  Deve-se destacar que o texto original da LGPD teve alguns dispositivos modificados pela Lei 13.853/2019, especialmente no tocante à constituição e ao funcionamento da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade7. É possível perceber nesse cenário uma simplificação no processo de tratamento e coleta de dados, proporcionando benefícios ao tratamento desses dados, em especial no que se refere aos conceitos presentes na Lei nº 13.709/2018 (BRASIL, 2018), conhecida como Lei Geral de Proteção de Dados - LGPD. Objetivos da LGPD Como já é de conhecimento, a LGPD não se limita a regular o tratamento de dados pessoais nas relações privadas. Além disso, a LGPD tem capítulo específico sobre o tratamento de dados pelo Poder Público, no qual explicita sua aplicabilidade a todos os entes da administração direta e indireta da União, dos Estados, dos Municípios e do Distrito Federal, inclusive suas Cortes de Contas, Ministérios Públicos e entidades privadas sem fins lucrativos que recebam recursos públicos. Em seu Capítulo VI, na LGPD há uma série de dispositivos direcionados especificamente ao tratamento de dados pessoais pelo Poder Público. Embora submetidos a um tratamento especial, seja no que diz respeito aos limites materiais de incidência, seja no que diz respeito aos limites das sanções aplicáveis ao Poder Público. Desta proposta de incidência a posteriori do princípio da finalidade no tratamento de dados pessoais que independem do consentimento decorre outra diretriz não menos importante e que poderia ser apresentada como uma espécie de diretiva de design de privacidade mínimo para a formulação de políticas públicas e da própria legislação editada pelo Poder Público (Privacy by Design). Como foi visto acima, há hipóteses de tratamento de dados pessoais em que o consentimento livre e informado do titular não é exigido. Essas hipóteses são, sobretudo, aquelas hipóteses em que a lei assim autoriza. A ideia aqui proposta é simples: ao autorizar o tratamento de dados sem a manifestação do consentimento prévio do titular - ou em qualquer outro caso - a legislação deve sempre garantir que ele possa tomar conhecimento do tratamento realizado com os seus dados de forma precisa. Exatamente nesse sentido posicionou-se o Tribunal Constitucional Federal da Alemanha ao declara a inconstitucionalidade da Lei do Censo de 1983, que permitia o tratamento indistinto de dados pessoais para fins administrativos e estatísticos, o que tornaria impossível permitir que o indivíduo conhecesse como seus dados foram efetivamente tratados pelo Poder Público. Quando dirigido ao Poder Público, o princípio da finalidade do inciso I do art. 6º parece indicar que a própria concepção da política pública, já durante o processo legislativo legal ou infralegal, deve levar em conta em seu design esta exigência finalística, garantindo que ao titular, ainda que em momento posterior ao tratamento dos seus dados pessoais, pleno conhecimento de tudo o que foi feito com eles. Isso, claro, sem prejuízo, do dever de que o design normativo garanta outros direitos dos titulares, como o direito de que seus dados sejam tratados de forma adequada, no volume necessário, com o registro de todas as operações de tratamento e eventual responsabilização do agente que realizar o tratamento irregular. Qual o conceito de dado pessoal? A LGPD traz um conceito bem abrangente de dado pessoal, definindo-o como toda informação relacionada à pessoa natural (pessoa física) identificada ou identificável. São exemplos de dados pessoais: nome, CPF, RG, filiação, e-mail, endereço, data de nascimento, hábitos de consumo, geolocalização, identificadores eletrônicos, entre outros. Toda decisão de solicitação de dados deve ser motivada, ou seja, precisa ficar documentado qual o objetivo do pedido de informações. A LGPD, inclusive, traz um capítulo específico sobre o tratamento de dados pes­soais pelo Poder Público. O fato é que o nosso sistema de proteção de dados gira em torno dos direitos do titular e, como consequência, na regulação do consentimento. No entanto, sem diminuir a importância que o consentimento livre e informado do titular desempenha no nosso sistema, parece que há diversas exceções onde o tratamento de dados pessoais independentemente do consentimento do titular sobre uma finalidade determinada torna-se possível. É o que ocorre, por exemplo, no caso de um tratamento de dado pessoal por terceiro para a preservação da saúde do titular. Suponha uma situação em que determinada pessoa seja ferida com gravidade e, sem consciência, seja encaminhada para um hospital, público. À toda evidência, a unidade hospitalar teria autorização legal (art. 7º, incisos VII e VIII da LGPD) para tratar os dados pessoais do paciente enquanto durar seu estado de inconsciência. Informar a finalidade do tratamento para, a partir daí, obter o consentimento do titular, seria não apenas completamente dispensável, mas simplesmente impossível de ser obtido. Ao que parece, o princípio da finalidade, na forma nominal apresentada pelo inciso I do art. 6º da LGPD, deverá nortear principalmente as operações de tratamento de dados pessoais que tenham sua base legal (remota) na manifestação livre e informada da vontade do titular, como, por exemplo, ocorre com o consentimento (art. 7º, inciso I) e execução de contrato (art. 7º, inciso V). Nas operações de tratamento que independem como regra, da manifestação de vontade do titular, parece que o princípio da finalidade tem uma forma incidência um pouco diferente. Nestes casos, sua incidência é posterior ao tratamento, no sentido de garantir ao indivíduo a possibilidade de que ele possa tomar conhecimento a qualquer momento de quais dos seus dados foram tratados, por quem foram tratados e como foram tratados. Com a opção legislativa por exigir somente o propósito legítimo - e não legítimo interesse - para fundamentar o tratamento de dados disponíveis publicamente, depreende-se que a intenção do legislador foi criar um fundamento legal mais flexível para esse tipo de tratamento, reconhecendo a importância e finalidade de fontes públicas de dados pessoais. Na própria exposição de motivos da emenda parlamentar que levou à criação do Art. 7º, § 7º, relator reconhece que, "quando ele é publicamente acessível, o dado pessoal passa a ser um importante elemento para a realização de análises e estudos, [.] promovendo competividade, inovação, empregabilidade e prosperidade". Fatos que envolvam órgãos públicos, pela LGPD, não estarão sujeitos às sanções de multas, apenas a advertências e a eliminação de dados. Entretanto, isso não significa que servidores públicos envolvidos nos casos não sejam punidos ou penalizados. Para o setor público, o tratamento de dados pessoais não se inicia, em geral, a partir de uma decisão voluntária do titular, mas como decorrência das exigências do próprio pacto social disposto no ordenamento jurídico pátrio, já que conhecer seus cidadãos é, para o Estado, um pré-requisito para o próprio exercício de desempenho de suas finalidades públicas. Padrões de interoperabilidade A interoperabilidade é a capacidade de um sistema (informatizado ou não) de se comunicar de forma transparente (ou o mais próximo disso) com outro sistema (semelhante ou não)8. Para um sistema ser considerado interoperável, é muito importante que ele trabalhe com padrões abertos ou ontologias. Seja um sistema de portal, seja um sistema educacional ou ainda um sistema de comércio eletrônico, ou e-commerce, hoje em dia se caminha cada vez mais para a criação de padrões para sistemas. Os critérios relacionados à interoperabilidade são totalmente tecnológicos. Desde o início do movimento de arquivos abertos. No Brasil, ao se propor ações prévias para a regulamentação do uso da informação nos meios tecnológicos digitais, houve por parte do Comitê Gestor da Internet (CGI) a adoção de difusão dos princípios para a Governança e Uso da Internet . Considerando a necessidade de embasar e orientar suas ações e decisões, segundo princípios fundamentais, o CGI.br resolveu aprovar algumas orientações, dentre elas: Padronização e interoperabilidade Segundo informações no portal do Governo Digital, estruturado pelo Ministério da Gestão e da Inovação em Serviços Públicos, disponível no sitio eletrônico do governo federal, a interoperabilidade pode ser entendida como uma característica que se refere à capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficaz e eficiente. Para propiciar as condições de troca e interação com os demais Poderes e esferas de governo e com a sociedade em geral, foi criada a arquitetura dos Padrões de Interoperabilidade (EPING), que define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação no Governo Federal. A ePING é concebida como uma estrutura básica para a estratégia de transformação digital de governo, aplicada aos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp). Permite racionalizar investimentos em TIC, por meio do compartilhamento, reuso e intercâmbio de recursos tecnológicos. As informações sobre os "Padrões de Interoperabilidade" estão disponibilizadas no site do governo federal, como acima citado, nas definições sobre Interoperabilidade, Padrões de Interoperabilidade (ePING), e integração. "A arquitetura de Padrões de Interoperabilidade (ePING) define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação no Poder Executivo Federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral. Confira a versão 2018 do documento da ePING em HTML. Confira a versão 2018 do documento da ePING em PDF (692 KB) Os órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) devem observar a ePing no planejamento da contratação, aquisição e atualização de sistemas e equipamentos de tecnologia. A adoção do ePing pelos demais Poderes da União e demais entes federativos é facultativa, conforme a Portaria nº 92 de 24 de dezembro de 2014 que institui a ePING. (Atualizada pela Portaria Nº 41, de 3 de Setembro de 2019, publicada no DOU de 25 de setembro de 2019." Políticas Gerais Entre as políticas gerais que norteiam os trabalhos da ePING, podemos destacar: Adoção Preferencial de Padrões Abertos Sempre que possível, serão adotados padrões abertos nas especificações técnicas. Padrões proprietários são aceitos nas seguintes condições: de forma transitória, em soluções de tecnologia do legado. O escopo da ePING não atinge o legado, mas no caso de manutenção/atualização de qualquer solução de TI, o órgão deve se preocupar em seguir os padrões da ePING e substituir os padrões proprietários dessa solução pelos definidos no documento de referência; quando da inexistência de padrão aberto, na qual poderão ser adotados padrões proprietários até que um padrão aberto esteja disponível. Sem prejuízo dessas metas, serão respeitadas as situações em que haja necessidade de consideração de requisitos de segurança e integridade de informações. Uso de Software Público ou Software Livre A implementação dos padrões de interoperabilidade deve priorizar o uso de software público e/ou software livre, em conformidade com normas definidas no âmbito do Sisp. Existência de Suporte de mercado Todas as especificações contidas na ePING contemplam soluções amplamente utilizadas pelo mercado. O objetivo a ser alcançado é a redução dos custos e dos riscos na concepção e produção de serviços nos sistemas de informações governamentais. No mesmo site do Governo Digital há um material de apoio que direciona informações aos gestores de TIC dos órgãos do Governo sobre a aplicação da interoperabilidade. Esses documentos possuem diretrizes de gestão para a utilização adequada da ePING (Padrões de Interoperabilidade de Governo Eletrônico - ePING) Material de apoio ePING, Interoperabilidade Manual do Gestor de Interoperabilidade - formato.pdf (654 KB) - Tem como público-alvo principal os gestores de TIC dos órgãos do Governo. Esse documento possui diretrizes de gestão para a utilização adequada da ePING, assim como indicações de ações promovidas em nosso país com o objetivo de promover uma gestão de serviços governamentais direcionada à interoperabilidade. Cartilha Técnica de Interoperabilidade - formato .pdf (1.42 MB) - Tem como público-alvo os profissionais técnicos que atuam na TIC. Esse documento apresenta os requisitos técnicos, descreve práticas de projeto e indica melhores usos de tecnologias de mercado como forma de se atingir interoperabilidade governamental de melhor qualidade e maior abrangência. Guia de Bolso ePING - formato .pdf (584 KB) Logo ePING - formato .svg (12 KB) Manual de Padrão de Formação de Endereços de Correio Eletrônico - formato .pdf (91 KB) Conclusões A criação de padrões de interoperabilidade, sem a participação da comunidade acadêmica, ou sem antes ouvir especialistas e entidades da sociedade civil pode colocar em risco a promoção do desenvolvimento e inovação no Brasil por meio do acesso gratuito e universal a dados públicos abertos. Faz-se necessário que dados públicos abertos representam uma oportunidade ímpar para melhorar a prestação de serviços públicos essenciais e promover desenvolvimento e inovação em diversas dimensões da economia nacional, incluindo ainda o setor privado. Além do impacto econômico positivo, dados abertos também podem ser vistos como condutores de maior transparência pública, empoderamento social e aprimoramento democrático. Concluindo, faz-se necessário encontrar um ponto de equilíbrio entre os direitos existentes no que toca à coleta de dados dos usuários dos serviços públicos, realizando um juízo de ponderação entre a autonomia da vontade e a liberdade de cada cidadão, traduzida pelo princípio da livre iniciativa (art. 1º, IV da CF. c/c art. 2º, VI da LGPD) e o direito à privacidade e à proteção de dados pessoais, cumprindo a Lei Geral de Proteção de Dados um relevantíssimo papel neste sentido. Referencial Teórico BRASIL. Leis, decretos, etc. 2014  Portaria nº 92, de 24 de dezembro de 2014. Institui a arquitetura ePING (Padrões de Interoperabilidade de Governo Eletrônico). Diário Oficial da União. [Em linha]. (26 dez. 2014). [Consult. 20 Fev. 2023] Disponível aqui. BRASIL. Leis, decretos, etc. 2018  Lei Geral de Proteção de Dados Pessoais (LGPD), de 14 de agosto de 2018. Diário Oficial da União. [Em linha]. (15 ago. 2018). [Consult. 20 Fev. 2023] Disponível aqui. CAPURRO, R., NAGENBORG M., WEBER J., PINGEL C. (2006), ?Methodological issues in the ethics of human-robot interaction?, in G. Tamburrini, E. Datteri (eds.), Ethics of Human Interaction with Robotic, Bionic, and AI Systems, Workshop Book of Abstracts, Napoli, Istituto Italiano per gli Studi Filosofici, p. 9. CAPURRO, Rafael; HJORLAND, Birger. O conceito de informação. Perspectivas em Ciência da Informação, [S. l.], v. 12, p. 148-207, abr. 2007. Disponível aqui. DELFINO, S. S.; SOUSA, M.R.F. Ciência aberta e a lei geral de proteção de dados: interoperabilidade como alternativa para tratamento de dados de pesquisa em ambientes de saúde*. Páginas A&B, Arquivos e Bibliotecas (Portugal), n.Especial,p. 229-230, 2020. Disponível aqui. Acesso em:18 dez.2022. GONZÁLEZ DE GÓMEZ, M. N. As ciências sociais e as questões da informação. Morpheus - revista eletrônica em ciências humanas, Rio de Janeiro, Ano 09, n. 14, 2012a. Disponível aqui. Acesso em 10 de maio de 2016 ______. Regime de informação: construção de um conceito. Informação & sociedade: estudos, João Pessoa, v. 22, n. 3, p.43-60, 2012b. Disponível aqui. Acesso em 10 de maio de 2016. Padrões de Interoperabilidade. Disponível aqui. Acesso em: 18 dez.2022. SAYÃO, Luis Fernando; MARCONDES, Carlos Henrique. O desafio da interoperabilidade e as novas perspectivas para as bibliotecas digitais. Trans Informação, Campinas, 20(2): 133-148, maio/ago., 2008 SCHNEIDER, Marco. A Dialética do Gosto: informação, música e política. Rio de Janeiro: Circuito / Faperj, 2015. __________ 1 Lei Geral de Proteção de Dados Pessoais (LGPD), de 14 de agosto de 2018. Diário Oficial da União. [Em linha]. (15 ago. 2018). [Consult. 20 Fev. 2023] Disponível aqui. 2 SAYÃO, Luis Fernando; MARCONDES, Carlos Henrique. O desafio da interoperabilidade e as novas perspectivas para as bibliotecas digitais. Trans Informação, Campinas, 20(2): 133-148, maio/ago., 2008. 3 Disponível aqui. 4 Disponível aqui. Acesso em: 10 de agosto de 2020. 5 Disponível aqui. Acesso em: 10 de agosto de 2020. 6 LGPD - Art. 65. Esta Lei entra em vigor: (Redação dada pela lei 13.853, de 2019) I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e   (Incluído pela lei 13.853, de 2019) I-A - dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54;   (Incluído pela lei 14.010, de 2020) II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos. (Incluído pela lei 13.853, de 2019) *II - em 3 de maio de 2021, quanto aos demais artigos. (Redação dada pela MP 959, de 2020) *OBS.: Com a não aprovação deste item da MP 959, voltou a valer a redação anterior do inciso II 7 Decreto 10.474, de 26 de agosto de 2020. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança. 8 Disponível aqui.
On October 2022, the Court of Justice of the European Union (CJEU) handed down the judgment of Case C-129/21, ruling on certain aspects of the publishing and sharing of data subjects' contact details in public electronic telephone directories or directory inquiry services. In a nutshell, drawing on the Directive 2002/58/EC (e-Privacy Directive)1 read together with the Regulation (EU) 2016/679 (GDPR),2 the CJEU ruled that (a) the "consent" of the subscriber of a telephone service provider is required in order for that subscriber's personal data to be listed in publicly available subscriber directories and directory inquiry services published by other providers, which consent may be given either to the telephone service provider concerned or to one of those other providers, (b) a subscriber's request to remove his or her personal data from publicly available subscriber directories and directory assistance services constitutes an exercise of the "right to erasure" within the meaning of this Article 17 of the GDPR, (c) data controllers shall take appropriate technical and organizational measures to inform other data controllers, namely the telephone service provider that supplied it with the personal data of its subscriber and the other providers of publicly available directories and directory inquiry services to which it has itself supplied such data, of the withdrawal of that subscriber's consent, and (d) a provider of publicly available subscriber directories and directory assistance services, from whom the subscriber of a telephone service provider has requested that the personal data concerning him cease to be published, shall take "reasonable steps" to inform search engine providers of that request for deletion of data.3 Although the decision was taken in the context of public electronic telephone directories and directory inquiry services, it may have a great impact on other contexts in which consent-based activity promotes the transfer of personal data along a chain of processing agents to enable one specific purpose, as is the case of Real Time Bidding (RTB) ecosystem. RTB is normally quoted as "the world's most widespread fully automated sales system for online ad space and, at the same time, a prime example of data-driven online marketing".4 It is a method of buying and selling online advertising in real-time, which (a) allows advertisers to bid on ad space on a website or app in real-time, as users are visiting the site or app, (b) enables advertisers to target specific audiences, such as users who have previously visited their website, and (c) enhances the chance of advertisers to bid on inventory that is most likely to result in a conversion. This process is facilitated by ad-exchanges5 and demand-side platforms (DSPs),6 which connect all the other actors involved (namely the advertisers that pay for advertising space, the publishers who offer advertising slots on their websites or apps, and consent management platforms (CMPs), which show sophisticated "cookie banners'' that publishers employ to interact with both users and technologies embedded on their websites and apps)7 and determine advertising placement by algorithmic systems.8 Imagine that a user accesses the website of a musical instrument store and gives consent for advertising. This store, on its website, enabled the Google ad-network scripts (e.g. the double-click network, integrated with Google Analytics). At that moment, the user is already being profiled by Google based on the consent given to the musical instrument store. Both are already aware of the user's interest in musical instruments. In addition, this same instrument store is also an advertiser and uses the Google network for remarketing, that is, to serve new advertisements on third-party platforms to other users. This advertising may now be published on third-party websites to any user that has the same interest in musical instruments. But how, on a third-party site, does the ad network identify that the user accessing the page at that moment is the same user who was at the musical instrument store before? Upon receiving the visit to the page, this third party triggers a bid request for the advertising space. And that request includes the personal data of the visitor who is on the page at that time. This could include data such as IP, user-agent information, or the Google User Identifier (in the case of the Google ad network). It is based on this information that the instrument store competes for advertising space to run its remarketing, since the personal data circulating in the bid-offer allows advertisers to know that it is a target profile. For that reason, "a single RTB request can result in personal data being processed by hundreds of organizations".9 The RTB system depends on the circulation of personal data in the chain so that advertisers can identify the profile of who is accessing the page whose advertising space is up for auction at that moment.         In fact, there are many similarities in how users' personal data are disclosed and accessed in the public directories maintained by telecommunications companies and the functioning of the RTB,10 especially how personal data is processed within data processing chains related to online advertising. For that reason, some consequences over the legal basis of processing, data subject rights, and other obligations of the actors playing within the RTB environment are to be expected. Concerning the legal base of RTB processing, the consequences are obvious. The specialized literature claims consent is the only appropriate legal basis for RTB activities.11 As a rule, a lawful base cannot be shared between controllers, even if their processing activities are aligned, in a way that each controller within the chain must assure their processing is made under valid consent regarding their activities.12 Nevertheless, according to CJEU's decision in Case C-129/21, the initial consent could be used for the same purpose by other controllers within the chain, regardless of specific consent given to the processing of the subsequent controllers (in the decision, other providers of telephone directories), so that the key point here is the identity of the purposes of the processing. At first glance, the same logic could be applied to the processing of RTB activities within the same chain. As the CJEU specified, it follows from a contextual and systematic interpretation of Article 12(2) of the e-Privacy Directive, in which "consent" refers to the purpose of publishing personal data in a public directory and not to the identity of a particular directory provider.13 It seems to be also clear that the processing of personal data by RTB actors is under the material scope of the e-Privacy Directive,14 once (a) RTB can be defined as an electronic communications service (ECS), (b) this service is offered over an electronic communications network,15 and (c) the service and network are publicly available.16 Therefore, based on the grounds of the decision in Case C-129/21, controllers are authorized to transfer to other controllers personal data collected and processed for the purpose of profiling users and advertising, without the need for specific consent regarding each controller within the same RTB chain of processing. In the example given above, regarding a user's consent to receive musical instrument advertisements, Google and all possible controllers within the processing chain are authorized to process the user's personal data for the purpose of sending musical instrument advertisements to this user. Concerning the data subject rights and the obligations of the controller,17 the decision of the CJEU has also some important impacts on RTB activities. First, since the RTB processing of personal data must be consent-based, the controller who first obtained consent for advertising purposes has a duty to adequately inform the data subject about all aspects related to the processing that will or may be carried out with their personal data as a consequence of his or her consent (with whom and how their data will be shared, for what purposes, what are the consequences subscriber's consent, how can subscriber's consent be revoked, what are subscriber's rights and how can they be exercised, etc.). Second, considering the nature of RTB and that a bid can go out to thousands of bidders at an auction under a second via automated means, the controller will have no direct control over where any data is transferred. There is no way to tell whether any transferred data is transient for the bid, or is stored for use by the data recipient. In theory, this control is made under the Transparency and Consent Framework (TCF),18 but this technology is currently unable to effectively control it.19 Taking the given example of musical instruments store, consent would be easier to manage to Google, but under TCF it would be near impossible. This means that the bigger tech players may have been granted market dominance by the Court decision and arguably the users of the TCF cannot lawfully meet the requirements of the GDPR. Third, despite falling mainly on the first controller, the other controllers within the chain are not free from the obligations imposed generally on all controllers, such as transparency, data minimization, data accuracy, data deletion, etc. In addition, the first controller in the chain must take all necessary technical and organizational measures to inform subsequent controllers within the chain of processing about the withdrawal of the subscriber's consent. Moreover, as a consequence of the CJEU decision, the first controller shall also take "reasonable steps" to inform the other controllers within the processing chain of any user's request for the deletion of personal data (right to erasure). In the example of the consent given to a musical instrument store to send advertisements, once consent is revoked by the user or he exercises his right to erasure, this store has a duty to inform all controllers with whom it has shared the user's personal data with the aim of sending targeted advertising about the impossibility of continuing processing activities. Thus, in the case of the musical instrument store, once the consent for advertising is revoked, this will not modify the profiling already carried out in the chain of the ad network. Revoking cookies from the store and refraining from further activations of the double-click network does not remove the profiling already carried out by Google. Similarly, for those who auction advertising space, the withdrawal of consent does not change the profiling already carried out by other controllers who receive bid requests, which often contain unique identifiers. Considering these factors, the controller receiving the consent revocation demand should adopt its best efforts to propagate this information along the chain, so that active profiles in subsequent layers are reassessed and, if applicable, removed. In summary, the CJEU decision on Case C-129/21 has a big impact on RTB activities, given the similarities between the processing carried out by controllers along the respective processing chain and the processing carried out by telecommunication companies in the publishing and sharing of data subjects' contact details in public electronic telephone directories or directory inquiry services. First, since consent is the appropriate legal basis for processing in both situations, the first controller is authorized to transfer to other controllers personal data collected and processed for the purpose of profiling users and advertising, without the need for specific consent regarding each controller within the same RTB chain of processing. Second, the original controller must be able to control data transferred within the chain, which is not possible under the current technology. Third, the same first controller has a main duty to adequately inform the data subject about all aspects related to the processing that will or may be carried out with their personal data. Fourth, the first controller in the chain must take all necessary technical and organizational measures to inform subsequent controllers within the chain of processing about the withdrawal of the subscriber's consent and take "reasonable steps" to inform the other controllers within the processing chain of any user's request for the deletion of personal data (right to erasure).  References CJEU Case C-129/21 Proximus NV ECLI:EU:C:2022:833. Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), OJ L 201, 31.7.2002, p. 37-47. Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), OJ L 321 17.12.2018, p. 36ss. EDPB, 'Opinion 05/2019 on the interplay between e-Privacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities', 12 March 2029 (Version 1.0), par. 26. Available here: Last checked: 24 Jan 2023. Herbrich T and Niekrenz E, 'Privacy Litigation Against Real-Time Bidding - Data-driven online marketing: Enforcing the GDPR by protecting the rights of individuals under civil law' (2021) 22(5) Computer Law Review International 129. James Hercher, 'The TCF - IAB Europe's GDPR Workaround - Got shot down by Belgium's DPA, with six months to fix it. Available here. Last checked: 24 Jan 2023. ICO, 'Update report into adtech and real time bidding ', 20 June 2019, p. 20. Available here. Last checked: 24 Jan 2023. Reed Smith, 'Another adtech blow: IAB TCF held to breach GDPR - what's next?`. Available here. Last checked: 24 Jan 2023. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1-88. Veale M and Borgesius FZ, 'Adtech and Real-Time Bidding under European Data Protection Law' (2022) 23(2) German Law Journal 226. Veale M, Nouwens M and Santos C, 'Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision?' [2022]. __________ *This paper was originally presented as a final paper for the course "Digital Trust: ePrivacy and the Protec-tion of Personal Data in Electronic Communications" within the Advanced Master in "Privacy, Cyberse-curity, Data Management, and Leadership" of the University of Maastricht, under the supervision of professors Karolina Podstawa and Christopher Mondschein. 1 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), OJ L 201, 31.7.2002, p. 37-47. 2 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1-88. 3 CJEU Case C-129/21 Proximus NV ECLI:EU:C:2022:833, par. 100. 4 Tilman Herbrich and Elisabeth Niekrenz, 'Privacy Litigation Against Real-Time Bidding - Data-driven online marketing: Enforcing the GDPR by protecting the rights of individuals under civil law' (2021) 22(5) Computer Law Review International 129 (129) 5 Ad-exchanges are platforms that facilitate the purchase and sale of inventory through real-time auctions, functioning as a single point of contact between vehicles and ad buyers. 6 DSPs are softwares that allow the automation of programmatic media buying, facilitating the decision-making process. 7 Michael Veale, Midas Nouwens and Cristiana Santos, 'Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision?' [2022], p. 12s. 8 Michael Veale and Frederik Z Borgesius, 'Adtech and Real-Time Bidding under European Data Protection Law' (2022) 23(2) German Law Journal 226, p. 231. 9 ICO, 'Update report into adtech and real time bidding ', 20 June 2019, p. 20. Available here. Last checked: 24 Jan 2023. 10 Although, in theory, potential advertising space can be auctioned on basis of generic data, in practice "bid requests contain enough data to identify an individual or device (.) in a number of ways". For this reason, is undeniable that "RTB is heavily entwined with individualized tracking and cannot be properly understood without it". Veale and Borgesius (n 8) (233, 227). 11 ibid, p. 243 12 According to Recital 42 GDPR, the required information to guarantee valid consent includes "the identity of the controller". 13 Thus, under the e-Privacy Directive, when that subscriber has consented to his data being published in a list with a specific purpose, CJEU considers that the subscriber will generally not have an interest in opposing the publication of the same data in another similar list. CJEU Case C-129/21 Proximus NV ECLI:EU:C:2022:833, par. 100. 14 Which, remember, "particularize and complement the provisions of the GDPR, with respect to the processing of personal data in the electronic communication sector". EDPB, 'Opinion 05/2019 on the interplay between e-Privacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities'. 12 March 2029 (Version 1.0), par. 21. Available here. Last checked: 24 Jan 2023. 15 According to Article 2(4) of the European Electronic Communications Code, electronic communications service "means a service normally provided for remuneration via electronic communications networks, which encompasses (.) content transmitted using electronic communications networks and services". Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), OJ L 321 17.12.2018, p. 36ss. 16 EDPB, 'Opinion 05/2019 on the interplay between e-Privacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities', 12 March 2029 (Version 1.0), par. 26. Available here. Last checked: 24 Jan 2023. 17 It is undeniable that, in the context of RTB, ad exchanges act as controllers, as well as publishers and advertisers. As for the characterization of CPM, there is some divergence, but the tendency is that they are also characterized as controllers since they have some discretion over how to design interfaces through which users indicate their preferences. Veale, Nouwens and Santos (n 7), p. 16. 18 TCF is a voluntary framework created by the Interactive Advertising Bureau Europe (IAB Europe), which "facilitates the processing of personal data and management of users' preferences for (among other things) online personalised advertising - including the collection of consent, legitimate interests opt outs and preferences for the sharing of personal data with adtech vendors -" and "created a standard that aims to achieve compliance with UK and EU privacy rules, primarily through the use of CMPs." James Hercher, 'The TCF - IAB Europe's GDPR Workaround - Got shot down by Belgium's DPA, with six months to fix it. Available here. Last checked: 24 Jan 2023. 19 Some technical difficulties of such control can be seen here: Reed Smith, 'Another adtech blow: IAB TCF held to breach GDPR - what's next?`. Available here. Last checked: 24 Jan 2023.
A criação de uma cultura de privacidade e proteção de dados pessoais no Brasil é urgente e vem se consolidando aos poucos. Deve-se compreender que as pessoas são peças chave para proteger os dados pessoais tratados em uma organização, e por isso há muito a ser ensinado e aprendido sobre o tema que já é pauta recorrente nas organizações e no dia a dia do cidadão brasileiro.  Passados 04 (quatro) anos da promulgação da  lei 13.709, de 14 de agosto de 2018, denominada de Lei Geral de Proteção de Dados Pessoais (LGPD), que tem como premissa proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo, a mudança de cultura em prol da proteção de dados pessoais ainda é uma realidade incipiente na governança organizacional das instituições públicas e empresas privadas brasileiras.   Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) foi transformada em autarquia com status de agência reguladora. A entidade, que era vinculada à Secretaria Geral da Presidência da República, passa a ter vínculo com o Ministério da Justiça e Segurança Pública, através da Medida Provisória 1.154/2023, que reorganizou a estrutura ministerial do poder executivo. Dessa forma, acreditamos que o processo de fiscalização será intensificado em 2023, posto ser a ANPD o órgão federal responsável por zelar pela proteção de dados pessoais, através da fiscalização e aplicação da LGPD.  Essa crença é reforçada através da aprovação da agenda regulatória da Autoridade para o biênio de 2023/2024, por meio da portaria nº 11, de 27 de janeiro de 2021, sendo considerada um instrumento de planejamento das suas ações regulatórias prioritárias, conferindo publicidade, previsibilidade, transparência e eficiência ao processo regulatório, e possibilitando seu acompanhamento pela sociedade ao mesmo tempo em que propicia segurança jurídica na relação com os agentes regulados.   Ao todo, estão previstas 20 (vinte) ações na referida agenda, das quais destacamos o regulamento de dosimetria e aplicação de sanções administrativas em cumprimento ao artigo 52 e seguintes da LGPD, por impactar diretamente no processo de fiscalização e de aplicação das sanções referidas na legislação. Isto porque, de acordo com o artigo 55-K da LGPD, a fiscalização e a aplicação de sanções são atribuições exclusivas da ANPD.  Tal previsão em destaque faz cair por terra o sentimento de muitos, de que a LGPD seria mais uma lei com o plano de eficácia frustrado, pois o cenário demonstra o oposto.  Isto porque, em leitura atenta ao artigo 53 da LGPD, percebe-se a necessidade de edição de um regulamento próprio para que as sanções administrativas cabíveis às infrações à LGPD possam ser aplicadas pela Autoridade. Vejamos :  Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.    § 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei.  § 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária. O caput do referido artigo é claro ao salientar a necessidade de consulta pública, ocorrida entre os dias 02 à 15 de setembro de 2022 com o escopo de elaborar resolução complementar ao Regulamento do Processo de Fiscalização  do Processo Administrativo Sancionador, em vigor desde 28 de outubro de 2021 na forma da resolução CD/ANPD nº 1. Através desta resolução complementar ao regulamento, a Autoridade visa um modelo de aplicação de sanções que recompense as organizações pela observância à lei, garantindo um processo administrativo com contraditório, ampla defesa e direito à recurso, em consonância com o artigo 55-J, IV da LGPD,  que assim ensina:  Art. 55-J. Compete à ANPD:      [...]     IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.  Tal consulta culminou em audiência pública no dia 16 de agosto de 2022, recebendo a Autoridade mais de 2.500 contribuições analisadas pela Coordenação-Geral de Normatização para fins de elaboração da versão final da resolução que estabelece os critérios e parâmetros de aplicação das sanções do artigo 52 da LGPD.  De acordo com a LGPD, as sanções só poderão ser aplicadas de acordo com as peculiaridades do caso concreto, sempre de forma gradativa, seja isolada ou cumulativamente, e após procedimento administrativo com proferimento de decisão fundamentada da ANPD. Eis o que determina o § 1º do citado artigo da legislação:  Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: [...] § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios. Dessa forma, a tão aguardada versão final foi publicada em 27 de fevereiro, de 2023 sob o título de Resolução CD/ANPD nº 4, definindo as regras quanto à Dosimetria e Aplicação de Sanções Administrativas, e assim, complementando o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, anteriormente aprovado pela Resolução CD/ANPD nº 1. A entrada em vigor da Resolução CD/ANPD nº 4 representa um grande marco, alavancando a efetividade plena da LGPD como um verdadeiro estímulo para que as empresas iniciem os programas de adequação e conformidade à lei. Além disso, traz segurança jurídica aos processos fiscalizatórios e garante o direito ao devido processo legal e ao contraditório. Destacamos as seguintes novidades trazidas pela referida Resolução: (i) classificação das infrações em leve, média, ou grave, levando em conta os direitos pessoais afetados e a natureza e a gravidade da infração; (ii) hipóteses de aplicabilidade das sanções de advertência e multa simples junto à apresentação da metodologia de definição do valor-base desta; (iii) rol de circunstâncias agravantes e atenuantes na aplicação de multa simples; (iv) metodologia de aplicação da sanção de multa diária; (v) prazo para o pagamento da sanção de multa; (vi) condição de aplicação da sanção de publicização atrelada ao interesse público e à relevância da matéria; (vii) a aplicação das sanções de suspensão parcial e total do funcionamento do banco de dados condicionadas à avaliação do interesse público, ao impacto causado aos direitos dos titulares de dados pessoais, à classificação da infração e ao grau de complexidade na regularização da atividade de tratamento por parte do infrator; (viii) aplicação da sanção de proibição do exercício da atividade de tratamento de dados condicionada à eventual reincidência em infração anteriormente punida com suspensão parcial do funcionamento do banco de dados ou com a suspensão do exercício da atividade de tratamento, ou ainda, a eventual tratamento ilícito de dados pessoais; e (ix) possibilidade de afastamento da metodologia de dosimetria na aplicação da sanção de multa bem como a substituição da mesma por outra constante no Regulamento, de acordo com a proporcionalidade, desde que haja motivação e fundamentação na decisão. A aprovação da resolução foi um passo importante para que, através da regulação das sanções, os processos de fiscalização possam alcançar a efetividade fazendo com que as empresas adotem medidas preventivas no que diz respeito à proteção de dados. Como estudos futuros, aguardamos a edição de novas Resoluções a fim de investigar outras ações previstas na Agenda Regulatória da ANPD, mas carentes de regulamentação específica, o que vai de encontro à determinação da LGPD, que ensina: Art. 55-J. Compete à ANPD:    [...]        XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei. Como temas que se demonstram lacunosos e carecem de regulamentação por parte da ANPD temos a transferência internacional de dados, os direitos dos titulares e os novos formulários para comunicados de incidentes de segurança. Segundo o Diretor-presidente da ANPD, Waldemar Ortunho, o objetivo não é virar uma fábrica de multas, mas conscientizar todos os envolvidos do uso e da importância de sua privacidade e de seus dados pessoais (VALOR ECONÔMICO, 2023). Assim, os próximos passos da ANPD considerarão a agenda regulatória como parâmetro de um cronograma que será seguido e respeitado, principalmente ao colmatar lacunas da LGPD que precisam de integração, não restando dúvidas ser tal atividade um exemplo de heterointegração diante da competência da Autoridade para tanto.  Referências BRASIL. Emenda Constitucional no 115, de 11 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Disponível aqui. Acesso em: 11 fev. 2023. BRASIL. Lei Federal No 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5o , no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a lei 8.112, de 11 de dezembro de 1990; revoga a lei 11.111, de 5 de maio de 2005, e dispositivos da lei 8.159, de 8 de janeiro de 1991; e dá outras providências. Disponível aqui. Acesso em: 31 jan. 2023. BRASIL. Lei Federal No 13.709 de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD), 15 ago. 2018, Sec. 1, p. 59. Disponível aqui. Acesso em: 31 jan. 2023. BRASIL. Lei Federal No 14.129, de 29 de Março de 2021. Dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública e altera a lei 7.116, de 29 de agosto de 1983, a lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), a lei 12.682, de 9 de julho de 2012, e a lei 13.460, de 26 de junho de 2017. . 30 mar. 2021, Sec. 1, p. 3.  Disponível aqui. Acesso em: 31 jan. 2023. BRASIL. Medida Provisória nº 1.154/2023, de 1º de janeiro de 2023. Estabelece a organização básica dos órgãos da Presidência da República e dos Ministérios. Disponível aqui. Acesso em: 11 fev. 2023. BRASIL, Resolução CD/ANPD nº dia 1, de 28 de outubro de 2021.Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD. Disponível aqui. Acesso em 13 fev 2023. Lei de proteção de dados entra em nova fase este ano. Agenda regulatória prevê definição de 20 itens até dezembro. Jornal Valor Econômico, 11, 12 e 13 de fevereiro de 2023. Disponível aqui. Acesso em: 13 fev 2023.
quinta-feira, 2 de março de 2023

O impacto do reconhecimento facial na sociedade

Um dos motores da inovação é a solução de problemas. Desenvolvemos novas tecnologias buscando trazer soluções para resolver questões que afligem o ser humano, de maneira a garantir uma melhor qualidade de vida, um maior bem-estar social. É assim que avançamos como sociedade. Na lista dos desafios, temos um que há muito tempo está no topo das prioridades, pois afeta diversos aspectos das relações entre pessoas e instituições, a necessidade fundamental de gerar uma única identificação de um indivíduo, com o máximo de assertividade possível. Isso permite que possamos capturar manifestações de vontade válidas, autenticar operações e gerar provas de autoria. Sendo assim, a evolução dos algoritmos de reconhecimento facial atende completamente a um grande anseio social e traz tanto ganhos econômicos como de segurança pública. No entanto, como ocorre com qualquer tecnologia, esses algoritmos estão sujeitos também a embarcar riscos e efeitos colaterais que precisam ser devidamente tratados. Portanto, a tecnologia de reconhecimento facial (TRF), na qual se encaixa na categoria de biometria facial, é uma tecnologia que se concentra em medir e analisar as características físicas e comportamentais de determinada pessoa, por meio da análise facial (do formato do rosto, nariz, boca, olhos), movimentos, rugas, expressões faciais, sendo um processo que utiliza algoritmos de machine learning para gerar uma identificação por meio de uma base de dados comparativa (banco de imagens capturados anteriormente). O nível de assertividade desta tecnologia deverá considerar alguns aspectos como a qualidade da imagem utilizada, iluminação, quantidade de pixels na imagem do rosto, entre outros itens que impactam na análise biométrica. A utilização da TRF apresenta inúmeras vantagens: a possibilidade de validações de acessos mais assertivas a determinados ambientes físicos e digitais, em comparação a outros meios como token e senhas, tornar o rosto do indivíduo, com suas características individuais e pessoais, como a principal chave de acesso, além de ser um meio de mitigar fraudes. Além disso, é possível utilizá-la não apenas para identificar ou verificar a identidade de alguém, mas para inferir o estado emocional, detectar sinais de doenças e envelhecimento por meio de dispositivos médicos. Mesmo diante de inúmeros benefícios, a TRF é inerentemente de natureza sociotécnica, podendo ser influenciada pela dinâmica social e pelo comportamento humano.   Sendo assim, os riscos e os benefícios podem estar relacionados à interação técnica combinada com fatores sociais que dependem de como a tecnologia é utilizada, suas interações com outros sistemas de inteligência artificial, o contexto social em que ela é implantada e quem a desenvolve e a opera. Como se trata de um sistema que está em constante aprendizagem, deve-se levar em consideração a base de dados que compõe esta tecnologia. Isso porque, caso as informações não sejam válidas ou corretas, é possível que o resultado da análise feita pela TRF não seja preciso ou, até mesmo, correto. Além disso, como é uma tecnologia desenvolvida por pessoas, os seus desenvolvedores devem ser capacitados dentro das melhores práticas de Environmental, Social, and Corporate Governance (ESG). Nas soluções de TRF, deve-se analisar as suas especificidades, sobretudo o seu ambiente de aplicação (saúde, bancário, educacional, segurança pública) a fim de identificar os níveis de viés e eventuais riscos envolvidos, frente ao cenário regulatório que abrange cada setor. Por isso a importância de se dar um tratamento mais específico, principalmente através de códigos de conduta e/ou melhores práticas setorizadas. Embora os algoritmos de reconhecimento facial tenham se tornado mais acessíveis, fazendo parte do cotidiano  das pessoas em rotinas que vão desde autenticações no celular em aplicativos de instituições financeiras, até como forma "fast track" em grandes eventos, o seu uso mais maciço, em especial nos espaços públicos, como nos grandes centros urbanos, tem acarretado uma preocupação crescente com três aspectos: ética, privacidade e segurança de dados. Nos últimos anos, devido à curva de aprendizado da própria tecnologia e às críticas recebidas com relação aos resultados de possível viés discriminatório apontados nas situações de vigilância coletiva, o debate em torno do banimento do reconhecimento facial ficou mais acalorado. Neste sentido, em 2019, a cidade de São Francisco, nos Estados Unidos, baniu o uso de softwares de reconhecimento facial que eram utilizados pela polícia e agências locais. Em maio de 2022, a Autoridade Europeia para a Proteção de Dados (EDPS) sugeriu o banimento do reconhecimento de pessoas por inteligência artificial em espaços públicos. No Brasil, em junho de 2022, a Coalizão Direitos na Rede também promoveu o lançamento de uma campanha nacional pelo banimento das tecnologias de reconhecimento facial na segurança pública, denominada "Tire meu rosto da sua mira". Além disso, em 20 de janeiro de 2023, foi publicado um relatório preliminar pelo Tribunal de Contas do Município de São Paulo com a indicação de que o projeto para monitoramento e reconhecimento facial que a prefeitura planeja implantar, o Smart Sampa, viola direitos dos cidadãos, em especial da população negra e LGBTQIA+. Importante esclarecer aqui que, neste aspecto, a problemática está relacionada ao modelo de aprendizagem. Como um agente policial é treinado para reconhecer indivíduos e comportamentos suspeitos? Examinando imagens. E como um algoritmo de reconhecimento facial é treinado? Da mesma maneira. Apesar do treinamento constante sobre perfis considerados suspeitos e que devem chamar atenção para uma aproximação da autoridade, é recomendável que os protocolos para aplicação de medidas de prevenção em termos de segurança pública, tenham uma dose de aleatoriedade, como acontece na revista de aeroportos e revista de veículos, pois há casos que justamente o infrator é aquele que não condiz com o "perfil suspeito". Sempre vamos ficar de algum modo incomodados com qualquer tipo de ação preventiva, seja ela para averiguar uma pessoa idosa, uma grávida, uma mulher com criança, um cadeirante. Isso não se restringe às situações em que possa haver traços relacionados a origem racial, orientação sexual, escolha religiosa. Logo, considerando todas estas implicações, é fundamental a condução de um Comitê de Ética Algorítmica para acompanhar todas as etapas da implementação, responder às denúncias e aplicar as devidas melhorias, dentro de um programa de aperfeiçoamento contínuo, que deve também garantir responsabilização e penalização de abusos. Considerando todo este contexto, é importante ressaltar que em todo processo de identificação e autenticação por imagem comparativa há algum risco de erro, seja ele executado por humano ou por máquina. Claro que se busca com o avanço das ferramentas, que a tecnologia seja mais eficiente e capaz de diminuir essa taxa de erro, além de seguir um protocolo mais rígido de transparência, ética, segurança e proteção de dados. Com toda certeza, qualquer contratação de TRF precisa ser acompanhada de uma análise criteriosa para o cumprimento de requisitos técnicos e legais, em conformidade com a legislação vigente, especialmente a Lei 13.709/2018 (LGPD), que já exige inclusive apresentação de relatório de impacto para o tratamento de dados pessoais sensíveis, que é o que ocorre nesse tipo de solução. É indiscutível que o uso do reconhecimento facial mudou a forma como nos relacionamos, afeta comportamentos e traz grandes impactos na sociedade. Por isso, precisa ser tratado sempre observando a melhor técnica e não apenas o menor preço, principalmente quando afetar diretamente o cidadão e sua interação com o agente público. Afinal, cabe ao Estado o dever de proteger e garantir a defesa dos direitos fundamentais dos indivíduos, assim como o poder de polícia e a segurança pública. O melhor caminho é focar no desenvolvimento da inovação sustentável, que cumpra com protocolos e medidas de salvaguarda, com regras claras, capazes de serem compreendidas pelos usuários, supervisionadas pela Sociedade Civil e fiscalizadas pelas Autoridades, dentro de um processo colaborativo e participativo.  Referências Disponível aqui. Acesso em 14 de fevereiro de 2023.  Disponível aqui. Acesso em 14 de fevereiro de 2023.  Disponível aqui. Acesso em 14 de fevereiro de 2023. Disponível aqui. Acesso em 14 de fevereiro de 2023. Disponível aqui. Acesso em 14 de fevereiro de 2023. 
Parafraseando a Lei de Moore, que, em meados da década de 70, previra que a capacidade de processamento dos dispositivos dobraria a cada dois anos, a adoção de Tecnologias da Informação e Comunicação (TICs) pela sociedade entrou em crescimento exponencial, ora pelo surgimento de novos dispositivos, como os smartphones, o uso doméstico da Internet como meio de comunicação, e, ora pela mudança de comportamento que tais tecnologias trazem para o cotidiano dos cidadãos, organizações e sociedade como um todo. Este fenômeno de transformar a sociedade por meio do digital costuma ser conhecido  como Transformação Digital (TD). Demirkan et al. (2016 apud VIAL, 2019) definem a TD como uma transformação profunda e acelerada das atividades, processos, competências e modelos de negócios para alavancar totalmente as mudanças e oportunidades trazidas pelas tecnologias digitais e seu impacto na sociedade de maneira estratégica e priorizada. Logo, a TD engloba as profundas mudanças que ocorrem na sociedade, na economia e nos governos por meio da modernização da governança, processos e gestão do uso de tecnologias digitais. Com o crescimento da TD no cotidiano, o uso de serviços digitais cresce, no setor público e privado, gerando impactos com efeitos positivos e negativos, na cultura, no funcionamento das organizações e nos seus colaboradores e usuários (VIAL, 2019). A TD é desenvolvida de forma integrada na sociedade, na economia e no setor público. A sociedade utiliza frequentemente os serviços digitais e a internet no seu cotidiano. A economia se transforma pelo meio digital e pela inovação, mediante um novo mercado de oportunidades para empresas nato-digitais, como as startups e as govtechs, como pela adoção do digital por cadeias tradicionais, como o agronegócio e a indústria. Nesta direção, o Governo Digital - aplicação da TD no setor público, representa um novo canal para a prestação de serviços governamentais (MACLEAN; TITAH, 2022).  Onde, para melhorar a eficiência e a qualidade dos serviços prestados aos cidadãos (e/ou empresas) e aumentar a relação de custo-benefício dos serviços públicos, os governos estão constantemente transformando digitalmente os seus serviços utilizando estratégias de geração de valor público e de fortalecimento da confiança entre cidadãos, governantes e o Estado (adaptado de HU et al., 2012; TEBIB A., 2013). Retomando ao modelo de Transformação Digital proposto por Vial (2019), dentre os principais efeitos negativos trazidos pelo autor encontram-se questões relacionadas à Segurança da Informação, Privacidade e Proteção de Dados Pessoais. Logo, baseado neste e em outros autores, o desenvolvimento da TD precisa caminhar de forma indissociável com a temática da Proteção de Dados Pessoais e Privacidade. No contexto brasileiro, são inúmeros os avanços no campo da Privacidade e da Proteção de Dados Pessoais desenvolvidos no arcabouço normativo-jurídico, bem como na implementação de cultura, processos e mecanismos das organizações públicas e privadas. No âmbito do setor público, em que pese tais temáticas já serem temas previstos na Constituição Federal, com ampliação de seus comandos por meio do Art. 31 da Lei Federal nº 12.527/2011 (Lei de Acesso à Informação), é inegável que o advento da Lei Geral de Proteção de Dados Pessoais (LGPD) com a respectiva criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados (CNPD) impulsionou definitiva e significativamente a consolidação da matéria no país (BRASIL, 2011, 2018). Mais recentemente, a lei Federal 14.129/2021 (Governo Digital e Eficiência Pública) instituiu a proteção de dados pessoais, nos termos da LGPD, como princípio do Governo Digital brasileiro. E ainda, a Emenda Constitucional 115/2022 passa a incluir a proteção de dados pessoais no rol dos direitos e garantias fundamentais dos brasileiros, fixando a competência privativa à União para legislar sobre a matéria (BRASIL, 2021, 2022). Por outro lado, o Estado brasileiro tem uma composição bastante complexa à luz de outras nações globais. Não somente somos uma Federação, mas ainda uma federação onde a União, Estados e Municípios são considerados como entes federados e têm autonomia administrativa, financeira e política para o exercício de governo e administração próprios. Em que pese a competência privativa da União para legislar sobre proteção de dados e privacidade; em temas correlatos a era digital, como o desenvolvimento da ciência, tecnologia, pesquisa e tal competência é comum de todos os entes federados vide os Arts. 23 e Art. 219-A da CF/1988. Logo, justifica-se investigar como os entes federados brasileiros, especialmente os subnacionais, têm se articulado para o desenvolvimento de matérias recentes e inovadoras. Neste diapasão, Ávila; Lanza e Valotto (2022a) desenvolveram investigação sobre quais foram as propostas relacionadas para os estados brasileiros nas temáticas de Transformação Digital, Tecnologia e Inovação para o ciclo governamental 2023-2026 por parte dos candidatos a governador no pleito de 2022. Os dados da base foram provenientes dos planos de governo dos candidatos a governador mais bem posicionados em pesquisas de intenção de votos nas 27 Unidades Federativas do Brasil do pleito de 2022. Foram coletadas propostas de governo relacionadas à era digital por meio de palavras-chave correspondentes ao assunto. Foram identificadas nesta base, 1.322 propostas de 85 candidatos, sendo 613 relacionadas ao Governo Digital (46,4%), 351 com a Economia Digital (26,6%) e 357 para a Cidadania Digital (27%), conforme indica a Ilustração 1. Apenas um candidato não declarou nenhuma proposta para a temática. Ao analisar as 589 propostas dos Governadores Eleitos, tivemos 268 propostas relacionadas ao Governo Digital (45,5%), 172 com a Economia Digital (29,2%) e 149 voltadas a Cidadania Digital (25,3%) (ÁVILA; LANZA; VALOTTO, 2022b). E como a privacidade e a proteção de dados pessoais foram contemplados em tais propostas? A partir da investigação de Ávila, Lanza e Valotto (2022a), este artigo identificou quais das 1.322 propostas selecionadas estão relacionadas às temáticas de proteção de dados pessoais e privacidade de dados. Para a seleção das propostas, foram adotados os seguintes termos:"LGPD", "proteção de dados" e "privacidade", sendo identificadas sete propostas conforme apresentado no Quadro 1. Quadro 1 - Propostas sobre proteção de dados e privacidade identificadas nos programas de governo dos candidatos à governador nas eleições de 2022 Estado Propostas Governador eleito (?) AL Consolidar a implementação da Lei Geral de Proteção de Dados (LGPD) e modernizar a gestão documental com vistas ao ambiente virtual. Sim BA Aumentar a qualidade do atendimento prestado aos cidadãos, para que seja realizado de maneira rápida, sem burocracia, com segurança, privacidade e proteção de dados, em linguagem simples, além de acessível para pessoas com deficiência. Sim GO Divulgar a LGPD (Lei Geral de Proteção de Dados) e fiscalizar seu cumprimento. Não SE Vamos reforçar e ampliar a transparência e o acesso às informações do Governo, por meio de ferramentas de comunicação que facilitem o acesso às informações da Administração, projetos e programas, conforme a Lei de Acesso à Informação - LAI e a Lei Geral de Proteção de Dados - LGPD. Sim SP Garantir a implementação da Lei geral de privacidade e proteção de dados (LGPD): Garantir que somente pessoas habilitadas tenham acesso a informações do cidadão e que este, por meio de consentimento, possa também compartilhar de forma segura estas informações com outros órgãos e com o setor privado. Sim SP Para aumentar a qualidade dos serviços públicos ao cidadão e garantir seu acesso a todos, especialmente a população mais vulnerável, vamos ampliar a oferta de serviços 100% digitais por meio do uso intensivo de novas tecnologias, reduzindo a burocracia, o custo e o tempo de prestação, com segurança, privacidade e proteção de dados. Não TO Acelerar a implantação da Lei Geral de Proteção de Dados - LGPD, para proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural. Não                Fonte: Elaboração própria a partir de (ÁVILA; LANZA; VALOTTO, 2022a). Por outro lado, para identificar quais governos estaduais já possuem ações para o desenvolvimento dos comandos da Lei Geral de Proteção de Dados Pessoais, utilizamos como proxy a existência ou não de ato normativo que regula a LGPD em cada estado. Por meio de dados coletados em janeiro/2023, existem 10 (dez) estados que ainda não regulamentaram a matéria, mesmo com a LGPD tendo sido promulgada em 2018. Contudo, destes 10 (dez) estados, apenas dois tiveram candidatos a governador que se comprometeram a desenvolver projetos de cumprimento à legislação e o desenvolvimento de ações de proteção e privacidade de dados pessoais. Dos 17 (dezessete) governos estaduais que já regulamentaram a matéria, um editou regulamento no ano de 2018, 5 (cinco) o fizeram em 2020, 9 (nove) no ano de 2021 e mais 1 (um) no fim do ano de 2022. Nesta análise temporal, podemos observar que o desenvolvimento da matéria ainda é um tema relativamente recente para os governos estaduais, ensejando maiores esforços de todas as partes interessadas para apoiar os estados na construção de uma cultura de privacidade e de proteção de dados pessoais. Como estudos futuros, outros artigos poderão investigar o escopo, a abrangência, os normativos instituídos e as principais ações desenvolvidas pelos governos estaduais para a temática. Sugere-se ainda que investigações desta natureza possam ser desenvolvidas no âmbito municipal, influenciando o amadurecimento desta pauta no ciclo governamental municipal vigente e sua evolução nos municípios após o pleito de 2024. Referências ÁVILA, T.; LANZA, B.; VALOTTO, D. Base de Dados sobre as propostas dos candidatos a governador dos 26 Estados e do Distrito Federal do Brasil para a Transformação Digital, Tecnologia e Inovação, 26 set. 2022a. ÁVILA, T.; LANZA, B.; VALOTTO, D. Transformação Digital e Inovação nos Estados Brasileiros: Os Caminhos Propostos Pelos Governadores Eleitos 2023-2026. v. 4, p. 113-127, 15 dez. 2022b. BRASIL. Lei Federal No 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5o , no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a lei 8.112, de 11 de dezembro de 1990; revoga a lei 11.111, de 5 de maio de 2005, e dispositivos da lei 8.159, de 8 de janeiro de 1991; e dá outras providências. Disponível aqui. Acesso em: 31 jan. 2023. BRASIL. Lei Federal No 13.709 de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD), 15 ago. 2018, Sec. 1, p. 59. Disponível aqui. Acesso em: 31 jan. 2023. BRASIL. Lei Federal No 14.129, de 29 de Março de 2021. Dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública e altera a Lei no 7.116, de 29 de agosto de 1983, a Lei no 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), a lei 12.682, de 9 de julho de 2012, e a Lei no 13.460, de 26 de junho de 2017. . 30 mar. 2021, Sec. 1, p. 3.  Disponível aqui. Acesso em: 31 jan. 2023. BRASIL. Emenda Constitucional no 115, de 11 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Disponível aqui. Acesso em: 11 fev. 2022. HU, G. et al. A hierarchical model of e-government service capability: An empirical analysis. Government Information Quarterly, v. 29, n. 4, p. 564-572, out. 2012. Disponível aqui. Acesso em: 11 fev. 2022. MACLEAN, D.; TITAH, R. A Systematic Literature Review of Empirical Research on the Impacts of e-Government: A Public Value Perspective. Public Administration Review, v. 82, n. 1, p. 23-38, jan. 2022. TEBIB A., B. M. A framework based protocol for a better interoperability among services in e-Government. v. 54, n. 1, jan. 2013. Disponível aqui. Acesso em: 11 fev. 2022. VIAL, G. Understanding digital transformation: A review and a research agenda. The Journal of Strategic Information Systems, v. 28, n. 2, p. 118-144, jun. 2019. Disponível aqui. Acesso em: 31 jan. 2023.
A previsão de um órgão regulador de proteção de dados com atribuições fiscalizatórias e sancionatórias sempre esteve presente na idealização de uma legislação protetiva de dados pessoais. Era intenção declarada tanto pelo Governo federal, como desejada por academia e entidades de representação da sociedade, dada a relevância do tema e a importância que os direitos de personalidade, em particular a privacidade e a própria proteção de dados pessoais, alcançam em uma sociedade informacional e hiperconectada. Não por outra razão, esse órgão já vinha sendo discutido desde os estudos preliminares do Ministério da Justiça, ainda em 2005, ainda sob a nomenclatura provisória de Conselho Nacional de Proteção de Dados Pessoais. Com a evolução das consultas públicas e a entrega prematura do anteprojeto de lei ao Congresso, em 2016, por ocasião do processo de impeachment, a criação do órgão acabou omitida no texto apresentado à Câmara dos Deputados, embora tenham sido mantidas dezenas de referências normativas a um "órgão competente", conferindo-lhe competências e atribuições diversas. Ao longo do processo legislativo, porém, a Câmara alterou o texto proposto para prever a instituição da Autoridade Nacional de Proteção de Dados (ANPD), denominação que perseverou. A despeito do veto jurídico por vício de inconstitucionalidade que a lei sofreu no ponto, foram editadas normas jurídicas posteriores que promoveram a criação e a transformação da ANPD como é hoje conhecida. Até recentemente, a ANPD era ainda um órgão pertencente à administração pública federal direta. Seu vínculo administrativo, como se sabe, era com a Presidência da República, órgão que até então integrava, conforme previsão da Medida Provisória 869, de 2018, posteriormente convertida na lei 13.853, de 2019 (art. 55-A). Em sequência, sobreveio o decreto Federal 10.474, de 26 de agosto de 2020, organizando sua estruturação regimental nos moldes definidos pelo legislador, seguido por mensagens de indicação de seus membros diretores submetendo-os à sabatina no Senado Federal. Posteriormente, com a edição da Medida Provisória 1.124, de 2022, promulgada, no mesmo ano, na forma da lei 14.460, a ANPD foi transformada em autarquia de regime especial. Um detalhe notável: a medida provisória, tanto quanto a lei que dele decorreu, deixaram de tratar, expressamente, da vinculação administrativa da nova autarquia. O quadro a seguir evidencia a evolução legislativa em relação a esse ponto: Tendo em vista, ainda, a organização administrativa que a Medida Provisória 869 promoveu, ainda ao final de 2018, e a mudança de governo decorrente do processo eleitoral daquele ano, foi editada a Medida Provisória 870, de 1º de janeiro de 2019, posteriormente convertida na lei 13.844, de 18 de junho 2019, que, trata da organização básica dos órgãos da Presidência da República e dos Ministérios, reforçou a integração da ANPD à Presidência da República em seu art. 2º, inc. VI. Como se nota, a própria lei 13.844, de 2019, sofreu derrogação pela MP 1.124, deixando de prever a ANPD como órgão integrante da Presidência da República. Dessa maneira, desde a edição da MP 1.124, não mais subsiste a relação vinculante da ANPD - prevista em lei -, tornando a questão resoluta apenas em norma infralegal. Com a mais recente alternação de governo, novas mudanças vêm sendo promovidas na organização da administração pública que, de forma inadvertida, afetaram o sistema de proteção de dados. Em 1º de janeiro deste ano, foi editada a Medida Provisória 1.154, estabelecendo nova configuração da organização básica dos órgãos da Presidência da República e dos Ministérios. Seu art. 35, inc. XXIII, deixa claro que o vetor de coordenação de políticas públicas sobre o tratamento de dados pessoais será o próprio MJSP, inclusive expressando competência material que o constituinte reformador entregou à União, quando da promulgação da Emenda à Constituição n.º 115, de 20221. Em sequência, foi editado o decreto Federal 11.348, de 1º de janeiro deste ano. Seu art. 2º, inc. IV, alínea "b", vincula a ANPD à estrutura organizacional do MJSP, para onde arrasta, expressa e destacadamente, também o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), este como órgão colegiado (art. 2º., inc. IV, alínea "i"). Essa reorganização administrativa atende à expectativa constitucional, uma vez que estabelece tanto o órgão formulador de políticas públicas como vetor de coordenação e organização do assunto em território nacional (MJSP), como aquele que executará, com os atributos de autonomia e independência que lhe foram concedidos pelo legislador, serviço público relacionado a essa área de interesse nacional. Como primeira e mais evidente consequência dessa alteração estruturante, importa esclarecer que, uma vez que o tratamento de dados pessoais se encontra, agora, sob as atribuições do Ministério, a formulação e a própria coordenação da Política Nacional de Proteção de Dados Pessoais e da Privacidade (PNPD), prevista expressamente pela LGPD, também será de incumbência ministerial, com a participação preponderante da ANPD2 e, mais particularmente, com auxílio do CNPD3, mediante a propositura e a elaboração de diretrizes estratégicas, encerrando, no Ministério, grande responsabilidade com o futuro da proteção de dados pessoais no Brasil.4 É preciso deixar claro, porém, que essa vinculação administrativa não significa subordinação de qualquer espécie, particularmente em razão da natureza jurídica da ANPD, que fora transformada em autarquia de regime especial e órgão da administração pública indireta ao final de 2022. Inclusive, é preciso rememorar que a própria LGPD conferiu o atributo de autonomia decisória à Autoridade, o que reforça esse caráter. Obviamente, e o tema não será objeto de discussão neste texto, essa autonomia não é absoluta, o que atrai um dos debates doutrinários mais controvertidos do direito administrativo contemporâneo, no que diz respeito à relação de entes autárquicos com a autoridade central. Discussão que, aliás, transborda inclusive para o Poder Judiciário e que, mais recentemente, foi formulado em jurisprudência do Supremo Tribunal Federal. Ainda assim, ao tempo em que a organização da administração pública reclama essa vinculação para fins estruturantes, também confere ao Ministério o papel de supervisão5, que não se confunde, no caso, com controle hierárquico propriamente dito, tema sempre controverso da doutrina administrativista. Em outras palavras, passam a conviver o órgão de formulação de políticas públicas e o órgão de regulação setorial responsável por sua execução. Um cenário indesejado, portanto, seria eventual distanciamento, desarticulação ou falta de integração entre esses órgãos, colocando em risco o sistema como um todo e, em último grau, a fragilização do direito fundamental à proteção de dados, evidenciando, por fim, a ineficácia de proteção de bens fundamentais. Seria, como adverte Ingo Wolfgang Scarlet, um risco real de inadimplência do dever geral de efetivação atribuído ao Estado6. Espera-se, agora, que, internamente, o Ministério organize-se para definir a gestão do tema, especialmente o(s) órgão(s) com competência para subsidiar o trabalho de coordenação e de supervisão dessa nova área de competência. Não apenas: com a mudança de governo, o CNPD também pode sofrer ajustes em sua composição e, provavelmente, em sua organização interna, uma vez que, nos termos do decreto 10.474, de 2020, cabe ao membro indicado pela Casa Civil presidir o colegiado. Uma vez que o MJSP passou a ter vínculo com a ANPD, e, por conseguinte, com o Conselho, parece-nos mais adequado que o Decreto sofra alteração nesse sentido também, provavelmente conferindo a presidência nata ao membro Conselheiro indicado pelo Ministério. Dessa maneira, inclusive, o Ministério assumiria função de efetiva supervisão não somente da ANPD, como também do próprio CNPD. Tendo em vista, inclusive, a interdisciplinaridade do assunto e sua inegável transversalidade, um Ministério técnico e de competência correlata a temas plurais que tocam a proteção de dados, como o direito do consumidor e o direito da concorrência, para citar alguns, é sem dúvida positivo, performando, inclusive, nas relações interinstitucionais com órgãos e entes de outros Poderes e níveis federativos. Também é possível que haja melhor coordenação técnica e política, em nível nacional, inclusive para alocação e aplicação de recursos materiais em torno do assunto, especialmente no âmbito do setor público, que hoje está excessivamente fragmentado e disperso. O que se constata, ao contrário, é que os entes federativos e os órgãos e entidades que integram tanto a administração pública direta, como indireta, de todos os Poderes da República realizam a própria adequação, entre erros e acertos, sem uma diretriz uniforme e harmônica, a despeito de esforços hercúleos de órgãos como o Conselho Nacional de Justiça (quanto ao Poder Judiciário) ou o Conselho Nacional do Ministério Público, no âmbito de suas competências constitucionais. E não se está referindo aqui às questões regulatórias, pois respeitada a atividade regulatória finalística da ANPD. Não raro, constata-se que parte expressiva do setor público parece não atentar sequer às orientações emanadas da ANPD, especialmente pela natureza não vinculante de seus Guias Orientativos, levando a autarquia a ter de suportar um duplo e passivo regulatório: de um lado, de ordem omissiva (fiscalizando aqueles que não procuraram se adequar à LGPD) e, de outro, corretiva (fiscalizando os que buscaram a adequação, mas o fizeram de maneira indevida adotando equivocadas interpretações legais). A discussão, portanto, em torno da vinculação administrativa da ANPD ao MJSP não é, como se vê, assunto lateral e de baixa relevância. Pelo contrário, merece a devida atenção da comunidade de proteção de dados pessoais, uma vez que, dessa integração, decorrerão os próximos passos rumo à efetividade do direito fundamental à proteção de dados pessoais no Brasil. __________ 1 Art. 21, inc. XXVI. 2 LGPD, art 55-J, inc. III. 3 LGPD, art. 58-B, inc. I e II. 4 A esse respeito, inclusive, a ANPD publicou sua agenda regulatória para o biênio 2023-2024, por meio da Portaria ANPD nº 35, de 4 de novembro de 2022, em que ostensivamente inseriu a elaboração de diretrizes para a PNPD na Fase 2, ou seja, como atividade cujo processo regulatório deverá iniciar-se até o final de 2023. 5 Art. 19, decreto-lei 200, de 25 de fevereiro de 1967. 6 SARLET, Ingo Wolfgang. A Eficácia dos Direitos Fundamentais: uma teoria geral dos direitos fundamentais na perspectiva constitucional. 13. ed. Porto Alegre: Livraria do Advogado, 2018.
O setor público brasileiro ainda reflete os paradigmas da administração pública burocrática e é amplamente regido pelo formalismo. Significa dizer que a conduta dos agentes públicos - e, por consequência, a conduta das organizações públicas -, é pautada pelo que decorre das normas e instrumentos formais que estabelecem deveres, atribuições e procedimentos. Havendo o dever jurídico abstrato, mas inexistindo norma que estabeleça a conduta concreta, será observado, com frequência, o fenômeno da paralisia por análise (analysis paralysis). O estímulo à paralisia é reforçado porque há a percepção pelos agentes públicos de que, diante de incertezas normativas, não agir é menos pessoalmente arriscado que arbitrar uma linha de ação e o caminho ser posteriormente rechaçado pelos órgãos de controle. A incerteza, portanto, gera o estímulo indireto a que se decida não decidir. A LGPD, no contexto do poder público, trouxe inúmeras incertezas. Algumas decorrem da própria redação da LGPD, obscura em pontos relevantes. Outras decorrem do conflito aparente entre normas, como claramente se observa nas incertezas relacionadas à compatibilização com as obrigações da Lei de Acesso à Informação (LAI). Outras decorrem do vácuo regulatório em matérias para as quais a própria LGPD previu regulamentação superveniente e que ainda inexiste. De forma a suprir a demanda de informações pelo poder público diante de tantas incertezas, a ANPD, de forma prudente, emitiu, em janeiro de 2022, o Guia Orientativo de Tratamento de Dados Pessoais pelo Poder Público (doravante apenas Guia Orientativo). Embora o Guia Orientativo tenha sido útil como primeira abordagem ao tema pela ANPD, a capacidade de superar a paralisia por análise foi limitada, em especial por duas razões. A primeira é que o Guia Orientativo não foi antecedido por consulta pública. Isso impediu que críticas e sugestões tendentes a uma cobertura mais assertiva dos problemas práticos da administração pública fossem incorporadas à primeira versão. A segunda razão foi sua própria natureza. Guias não são normas, e, portanto, sinalizam a interpretação do regulador naquele momento, mas não possuem força cogente. Aliás, a publicação sumária de Guias Orientativos somente foi possível exatamente porque não são normas, ou teria havido a incidência do art. 55-J, §2º, da LGPD, que impõe que "os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório". A redução de incertezas no âmbito do poder público requer, na prática, normas em sentido estrito. Daí a importância de que a orientação ao poder público mediante Guias seja complementada futuramente por regulamentação própria, precedida de consulta e audiência públicas, bem como de análises de impacto regulatório, nos termos do art. 55-J, §2º, da LGPD. Nesse contexto, um dos aspectos a se reavaliar em eventual regulamentação futura é a questão conceitual que delimita a própria administração pública e as políticas públicas alcançadas pela hipótese de tratamento do art. 7º, III, e 11, II, b, da LGPD. A ANPD reconhece, no Guia Orientativo, que diversas consultas foram formuladas por órgãos e entidades públicos quanto à adequada interpretação das bases legais que autorizam o tratamento de dados pessoais (cf. Guia Orientativo, pág. 4, item 3). Nessa matéria, subsiste elevado grau de incerteza regulatória. E agravado, porque a interpretação dada no Guia Orientativo aos conceitos de administração pública e de política pública limitou excessivamente a utilização da base legal de execução de políticas públicas. Na realidade, o Guia Orientativo recomenda expressamente o uso da base de cumprimento de obrigação legal e regulatória para atividades que decorram de normas de organização no setor público (cf. Guia Orientativo, pág. 9, item 30, e pág. 11, item 35). A abordagem não parece ter sido a melhor, dá margem a atividades de difícil enquadramento no setor público, e cria uma ruptura aparentemente injustificável entre o regime público e o regime privado. Isso porque o cumprimento de obrigação legal ou regulatória é aplicável, como regra, nos cenários em que o tratamento de dados pessoais não decorre de uma escolha do agente de tratamento, mas de uma imposição normativa externa. O que caracteriza a obrigação legal ou regulatória, portanto, é a compulsoriedade do tratamento, não importa se por agente público ou privado. A interpretação de que tratamentos possam ser legitimados com base no cumprimento de obrigação legal ou regulatória quando há uma obrigação genérica de resultado ou atribuição, sem qualquer estipulação quanto aos meios - que decorreriam de escolhas internas de gestão ou de discricionariedade administrativa -, é de difícil assimilação pelos gestores públicos e abre margem a toda sorte de abusos, produzindo o efeito de paralisia diante da incerteza do enquadramento e de seus riscos. O paradoxo pode ser demonstrado a partir de um exemplo no setor privado. O art. 154 da lei Federal 6.404, de 1976, estabelece que o administrador da companhia deve exercer as atribuições que a lei e o estatuto lhe conferem para alcançar os fins da companhia e para atuar no interesse da companhia. Essa é a obrigação legal. E o estatuto da companhia fixa os poderes - no caso, poderes-deveres - desse administrador. Estariam então todos os tratamentos de dados pessoais, decorrentes de atos de gestão dos administradores, destinados a alcançar fins da companhia ou para atuar no interesse da companhia, respaldados pela base legal de cumprimento de obrigação legal ou regulatória? É evidente que não. A lei e o estatuto fixam atribuições e prerrogativas, mas os tratamentos de dados pessoais decorrentes de escolhas do administrador de uma companhia no exercício dessas atribuições - por exemplo, a decisão do uso de marketing direto para a ampliação de vendas - serão regidos por bases legais próprias e referentes a cada finalidade e contexto. O cumprimento de obrigação legal ou regulatória incidirá quando o tratamento, em si considerado, for compulsório por força legal ou regulatória. Um fim compulsório não implica, necessariamente, que os meios escolhidos sejam compulsórios. De forma semelhante, normas de organização no setor público frequentemente estabelecem atribuições, mas não impõem tratamento de dados pessoais específicos para o exercício dessas atribuições. A escolha dos meios - e, portanto, dos tratamentos de dados a eles relacionados - emergirá de escolhas discricionárias e do exercício de poder. Portanto, normas de organização no poder público não deveriam, por si, levar ao enquadramento de obrigação legal ou regulatória quando estabelecem atribuições e competências no setor público, tal como sugere o Guia Orientativo. Seja porque não parece ser a interpretação mais lógica, seja porque levaria a base de cumprimento de obrigação legal e regulatória a ter contornos díspares quando aplicada no setor público e privado. Melhor parece que tais tratamentos do setor público estejam compreendidos na base de execução de políticas públicas pela administração pública. A sugestão acima, entretanto, impõe uma revisão quanto ao entendimento dado à base de execução de políticas públicas. Isso porque o Guia Orientativo estabelece que a base de execução de políticas públicas apenas se aplica quando órgãos e entidades públicos estão atuando no exercício de suas funções administrativas (cf. Guia Orientativo, pág. 11, itens 35 a 37), o que excluiria as atividades finalísticas decorrentes das normas de organização. Não parece ter sido a melhor interpretação. O fundamento do Guia Orientativo é que o conceito de administração pública, embora abranja órgãos e entidades dos três Poderes e entes federativos, requer que estejam atuando no exercício de funções administrativas. Houve, aparentemente, uma aplicação equivocada do conceito objetivo da administração pública. Com efeito, diversas bases legais possuem limitações objetivas (a atividade) e subjetivas (quem a exerce) concomitantes. É o caso da realização de estudos (a atividade, limitação objetiva) por órgão de pesquisa (quem a exerce, limitação subjetiva); ou da tutela da saúde (a atividade, limitação objetiva), exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (quem a exerce, limitação subjetiva). No caso da base de execução de políticas públicas, a expressão legal é "pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis...". Parece claro que, na base legal, a expressão "administração pública" está empregada em seu aspecto subjetivo (quem a exerce), sendo a "execução de políticas públicas" a limitação objetiva (a atividade). Ora, o conceito de administração pública possui duas dimensões, que vêm a ser, precisamente, a objetiva e a subjetiva. Na dimensão objetiva, ou funcional, a administração pública é, de fato, o plexo de atividades relacionadas à função administrativa. Daí que, pelo critério objetivo (administração pública enquanto atividade), as atividades legislativas e jurisdicionais realmente não estariam abarcadas pelo conceito de administração pública. Ocorre que a administração pública também possui uma dimensão subjetiva, ou orgânica. E, na dimensão subjetiva (quem exerce a atividade), a expressão "administração pública" se refere a todos os órgãos e entidades que integram a administração direta e indireta, inclusive os órgãos cujas atividades precípuas sejam legislativas ou jurisdicionais. Daí que, pelo critério subjetivo, não apenas os órgãos que exercem funções administrativas, mas todos os integrantes do Poder Executivo, Legislativo e Judiciário, assim como órgãos constitucionais, como os Tribunais de Contas, bem como entidades da administração indireta, como autarquias e empresas públicas, integram a administração pública. Como visto, a expressão "administração pública" nas bases legais da LGPD claramente foi empregada na dimensão subjetiva, e não na dimensão objetiva, que é a equivocadamente constante do Guia Orientativo. Na realidade, o critério objetivo da base de execução de políticas públicas é, exatamente, a "execução de políticas públicas". Logo, parece irrelevante que a atividade seja administrativa para o uso da base legal, porque a administração pública, em seu conceito subjetivo, abrange toda a Administração Direta e Indireta independentemente da função exercida, e políticas públicas em sentido estrito podem ocorrer no âmbito de atividades finalísticas dos Poderes. Portanto, no que parece ser uma melhor interpretação, basta que um integrante da Administração Pública esteja executando política pública para que seja incidente a base legal. Além disso, parece interessante que, em regulamentação futura, haja uma ampliação do conceito de políticas públicas adotado no Guia Orientativo. A exigência de um ato formal instituidor é compatível com o próprio teor da base legal, que impõe previsão em leis e regulamentos ou respaldo em contratos, convênios ou instrumentos congêneres (no caso de dados sensíveis, admite-se apenas lei ou regulamento). Entretanto, o Guia Orientativo vai além, e, embora sugira interpretar o conceito de política pública de forma ampla, o associa, em regra, a programas ou ações governamentais em que haja delimitações de objetivos, metas, prazos e meios de execução (cf. Guia Orientativo, pág. 12, itens 41 e 42). Ora, se o próprio Guia Orientativo indica que tais elementos se referem a um tipo ideal, e que a presença de tais elementos ocorreria como regra, mas não como parte da essência, é recomendável que, para efeitos de enquadramento na base legal, o conceito de política pública seja efetivamente considerado de forma ampla, a mais ampla possível, e a partir de seus elementos essenciais, não de um tipo doutrinário ideal. A edição de normas em sentido estrito para o poder público, com a ampliação do alcance da base de execução de políticas públicas, de modo a abranger todos os tratamentos da administração pública direta e indireta que importar execução de políticas públicas, inclusive as decorrentes de normas de organização, associada a uma interpretação da expressão "administração pública" em sua perspectiva subjetiva, que foi a claramente dada pela LGPD, trarão maior segurança jurídica a diversas operações do poder público, ampliarão as possibilidades de controle das finalidades do tratamento e trarão grandes benefícios no combate diário à paralisia por análise. O Guia Orientativo foi um primeiro grande passo. Há uma estrada à frente. É fundamental que haja, o quanto antes, segurança jurídica quanto às hipóteses de tratamento para o poder público.
O legislador brasileiro, ao instituir, por meio da LGPD, o sistema brasileiro de proteção de dados pessoais, decidiu pela adoção de um sistema compreensivo. Isso significa que a legislação protetiva tem um amplo escopo de incidência, seja objetivo (todo e qualquer tratamento de dados pessoais), seja subjetivo (aplicando-se a todas as pessoas, privadas ou pública, que realizem o referido tratamento). Como regra, para que as normas desse sistema tenham incidência, basta que o fato ocorrido se caracterize como um tratamento de dado pessoal (art. 1º LGPD), independentemente da pessoa que realize a referida operação. Nada mais, nada menos. Todavia, após definir o seu escopo material de forma bastante clara, a LGPD (também à semelhança do que fez o RGPD), apresentou as situações que, uma vez configuradas e embora se enquadrem na hipótese de incidência genérica do seu art. 1º (ou seja, situações que se enquadram como "tratamento de dado pessoal"), geram uma derrogação, parcial ou total, do sistema de proteção de dados brasileiro. Assim, ainda que determinada situação fática possa ser enquadrada como um "tratamento de dado pessoal", tal fato não irá gerar a incidência das normas da LGPD e do seu sistema protetivo. Nesse ponto, um importante fator deve ser levado em consideração. Por se tratar de uma regra que estipula uma exceção, a interpretação das hipóteses da sua aplicabilidade deve ocorrer de forma restritiva. Ou seja: uma vez que a incidência da LGPD para todas as situações que caracterizem tratamento de dados pessoais é a regra do nosso sistema brasileiro de proteção de dados, todas exceções previstas pelo art. 4º ou pela legislação complementar que verse sobre o tema de proteção de dados devem ser interpretadas restritivamente. Não se esqueça, também, que a 2ª parte do art. 1º da LGPD estabelece que o seu sistema tem por objetivo "proteger os direitos fundamentais de liberdade e de privacidade", bem como assegurar "o livre desenvolvimento da personalidade da pessoa natural", sendo esse mais um motivo para a restrição hermenêutica das regras que criam exceções ao sistema brasileiro de proteção de dados pessoais. A derrogação da LGPD para fins de atividade de segurança pública está prevista pelo inciso III do art. 3º, atividade essa que pode ser definida a partir de um ponto de vista subjetivo ou objetivo. Sob o ponto de vista subjetivo, as atividades de segurança pública abarcadas pelo aludido dispositivo podem ser exercidas por: a) órgãos estatais encarregados de garantir a segurança pública desde a coleta original (eg. atividades de identificação criminal executadas por Secretarias de Segurança Pública, bem como a respectiva criação de bases de dados com essas informações etc.), b) órgãos estatais encarregados de garantir a segurança pública com dados coletados originariamente por entidades públicas ou privadas para finalidades diversas da segurança pública (eg. registro de condutores, atividades escolares etc.) ou c) entidades privadas com a finalidade de garantia da segurança privada e pública (eg. câmeras privadas em condomínios etc.).1 Note-se, no entanto, que, embora as entidades privadas possam colaborar com a segurança pública, essa é uma tarefa do Estado, de modo que a exceção ao âmbito de incidência material prevista pelo art. 4º, inciso III da LGPD somente se aplica quando o tratamento for realizado pelo próprio Estado. As imagens captadas por uma câmera de segurança instalada por um condomínio com a finalidade de monitorar o passeio público, por exemplo, não se beneficia dessa regra derrogatória. Mas, uma vez armazenadas pelo condomínio, o acesso a essas imagens pelo Estado para fins de investigação penal, por exemplo, não será um tratamento de dados pessoais regulado pela LGPD. Sob o ponto de vista objetivo, as atividades relativas à segurança pública lato sensu são dividas pelo art. 4º, inciso III da LGPD em quatro itens: a) segurança pública stricto sensu, b) defesa nacional, c) segurança do Estado ou d) atividades de investigação e repressão de infrações penais. Vale notar que cada um dos itens especificados no aludido dispositivo se refere a uma das frente de atividades de segurança presentes em Estados modernos e a papéis dispensados por diferentes agências e órgãos estatais.2 Além disso, também se referem a atividades inseridas em diferentes ramos de Direito (Direito Administrativo, Direito Militar, Direito Processual Penal), que, por isso, podem sofrer o influxo de outros subsistemas normativos, além do sistema brasileiro de proteção de dados pessoais. Na esfera da "segurança pública stricto sensu" (alínea "a"), inserem-se atividades policiais que interferem diretamente na vida cotidiana de cidadãos e que são exercidas "para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio", por meio da polícia federal, da polícia rodoviária federal, das polícias civis, das polícias militares e dos corpos de bombeiros militares (art. 144 da CF). Incluem-se, aqui, a atuação da polícia administrativa, com foco em prevenção a atividades criminosas, como policiamento ostensivo (principalmente das polícias militares e das guardas civis metropolitanas) e outras atividades de monitoramento geral que façam parte de políticas públicas de segurança (inclusive atividades da Unidade de Inteligência Financeira, por exemplo, voltada à prevenção à lavagem de dinheiro e ao combate ao financiamento do terrorismo).3 As atividades de "defesa nacional" (alínea "b") são aquelas que dizem respeito ao "conjunto de medidas e ações do Estado, com ênfase na expressão militar, para a defesa do território, da soberania e dos interesses nacionais contra ameaças preponderantemente externas, potenciais ou manifestas".4 Compõem os objetivos da defesa nacional: a) a garantia da soberania, do patrimônio nacional e da integridade territorial, b) a defesa dos interesses nacionais e das pessoas, dos bens e dos recursos brasileiros no exterior, c) a contribuição para a preservação da coesão e unidade nacionais, d) a promoção da estabilidade regional, e) a contribuição para a manutenção da paz e da segurança internacionais e f) a projeção do Brasil no concerto das nações e sua maior inserção em processos decisórios internacionais. Assim sendo, todo e qualquer tipo de tratamento de dados pessoais realizado pelas Forças Armadas, tendo em vista a consecução desses objetivos, parece estar fora do escopo material da LGPD.5 Já as atividades relativas à "segurança de Estado" (alínea "c") dizem respeito às ações de inteligência. Elas são ligadas ao "exercício permanente de ações especializadas, voltadas para a produção e difusão de conhecimentos, com vistas ao assessoramento das autoridades governamentais nos respectivos níveis e áreas de atribuição, para o planejamento, a execução, o acompanhamento e a avaliação das políticas de Estado" e estão divididas em duas áreas: a) a inteligência, que é a atividade que objetiva produzir e difundir conhecimentos às autoridades competentes, relativos a fatos e situações que ocorram dentro e fora do território nacional, de imediata ou potencial influência sobre o processo decisório, a ação governamental e a salvaguarda da sociedade e do Estado e b) a contrainteligência, que é a atividade que objetiva prevenir, detectar, obstruir e neutralizar a Inteligência adversa e as ações que constituam ameaça à salvaguarda de dados, conhecimentos, pessoas, áreas e instalações de interesse da sociedade e do Estado.6 Com base nesse dispositivo, estão excluídas as atividades de inteligência e contrainteligência ligadas à segurança de Estado, que se dão sobretudo no âmbito do Gabinete de Segurança Institucional e da Agência Brasileira de Inteligência.7 Em quarto e último lugar, as "atividades de investigação e repressão de infrações penais" (alínea "d") estão ligadas à repressão da atuação das forças policiais (ao contrário da hipótese da alínea "a", que está ligada às atividades de prevenção da atuação policial). Com base nesse dispositivo, estão excepcionadas do escopo material de incidência da LGPD todas as atividades da polícia judiciária ligadas à investigação de atividades criminosas com intuito de instruir inquéritos policiais e processos penais, bem como para cumprimento de determinações do Poder Judiciário.8 Ainda no que diz respeito ao tratamento de dados para fins de investigação e repressão de infrações penais, não se pode esquecer que a lei 12.965, de 23 de abril de 2014 (Marco Civil da Internet), regula o denominado "direito de retenção", por meio do qual se impõe às empresas que prestem serviços de telecomunicações, o armazenamento obrigatório dos dados de conexão (art. 13), pelo prazo de 01 (um) ano, e os registros de acesso à aplicação (art. 15), que devem ser mantidos por 06 (seis) meses. A finalidade de retenção obrigatória desses dados tem por finalidade facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil (art. 3º, inciso VI). Não há, entretanto, qualquer previsão legal determinando que os provedores de aplicações que oferecem serviços de e-mail devam armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas. Note-se, aqui, que o inciso III do art. 4º é claro ao limitar a derrogação do escopo material aos tratamentos de dados pessoais "para fins exclusivos de" segurança pública.9 O que importa, aqui, para fins de derrogação objetiva da LGPD é a atividade de segurança pública em si. Isso significa que, quando um órgão estatal de investigação ou repressão realizar tratamento de dados pessoais para outras finalidades que não aquelas diretamente ligadas com a segurança pública, haverá regular incidência da LGPD (eg. tratamento de dados pessoais realizado por uma Secretaria de Segurança pelo respectivo setor de RH para pagamento da remuneração dos seus servidores). Por isso, pouco importa, em princípio,10 qual é a natureza da pessoa que realiza o tratamento do dado pessoal, se pessoa natural ou jurídica, se de direito privado ou de direito público. Para que seja caracterizada uma das hipóteses excepcionais de derrogação do sistema de proteção de dados previstas pelo art. 4º, o fator mais importante a ser analisado é a finalidade do tratamento realizado. Assim sendo, caso o tratamento seja realizado para uma das finalidades elencadas pelo art. 4º da LGPD, sua aplicação está derrogada e o tratamento de dados pessoais estará fora do seu escopo. Além disso, dispõe o § 1º do art. 4º que o tratamento de dados pessoais realizados para fins de segurança pública "será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos" na LGPD. A observância do devido processo legal no tratamento de dados pessoais para fins de segurança pública sequer precisava estar ali mencionada, devido ao status constitucional dessa garantia. Da mesma forma, seria desnecessária a previsão de que a legislação "deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público", uma vez que essa limitação decorre do próprio regime jurídico de Direito Público imposto às ações estatais, no geral, e de segurança pública, no particular. Surge, no entanto, uma pergunta: a lei específica, que vier a regular o tratamento de dados para fins de segurança pública, deverá observar "os princípios gerais de proteção e os direitos do titular previstos" na LGPD? Ou seja: estaria o legislador futuro obrigado a respeitar essas garantias quando decidir regulamentar os tratamentos de dados para fins de segurança pública? Ao que parece, não. Caso o legislador futuro descumpra a determinação do legislador pretérito, qual seria o vício da lex posterior? Seria uma lei que desrespeite outra lei "ilegal"? A resposta para tais perguntas parte do pressuposto de que o conflito de normas de mesma hierarquia se resolve pela aplicação do princípio geral de hermenêutica lex posterior derogat lege priori. De fato, o parâmetro de conformidade de uma lei não pode ser uma outra lei, mas apenas uma norma que lhe seja hierarquicamente superior, no caso, a Constituição. Exatamente por isso, qualquer tentativa do legislador presente de vincular a atuação do legislador futuro seria inconstitucional, já que ninguém pode delegar um poder que não tem. Apenas a Constituição pode impor limites formais e materiais ao legislador, de forma que qualquer tentativa do legislador de limitar seu próprio poder seria inconstitucional, por ofensa ao princípio implícito da não-delegação,11 inerente ao próprio sistema constitucional. Desse modo, a regra constante no §1° do art. 4º é inconstitucional, na medida em que tenta impor ao legislador futuro uma obrigação. Isso não significa, no entanto, que a privacidade e os dados pessoais dos indivíduos estejam completamente desprotegidos. Há inúmeras normas constitucionais12 e infraconstitucionais13 que dispõe sobre os deveres do Estado na segurança pública, o que inclui a proteção aos dados pessoais dos indivíduos. Isso porque, o reconhecimento da proteção de dados como um direito fundamental pelo STF na MC em ADI nº 6.387-DF e pela publicação da EC nº 115/2022, garantem algum nível de proteção seja garantido ao titular de dados, ainda que o tratamento de dados pessoais seja realizado para garantir a segurança pública, competindo à doutrina e aos tribunais definir a medida dessa extensão até que o legislador regulamente a matéria. É lógico que, na ausência de lei formal que forneça os parâmetros para a proteção de dados pessoais no âmbito da segurança pública, a atuação doutrinária e jurisprudencial será calcada em princípios jurídicos, que, por natureza e definição, são vagos e imprecisos. Esses atores devem ter especial cuidado na aplicação direta do direito fundamental à proteção de dados aos casos concretos, uma vez que a sua atuação traz um evidente déficit de legitimidade democrática, já que a competência primária para ponderar os diversos valores e interesses protegidos pela Constituição da República é do Congresso Nacional, que o fará por meio de lei. Em todo caso, registre-se que o anteprojeto de uma "LGPD Penal", redigido por uma comissão de 14 juristas, já foi apresentado à Câmara dos Deputados.14 Espera-se que o Congresso Nacional não demore para dar andamento à questão, debatendo com a sociedade civil os pontos controvertidos e sensíveis e aprovando, ao final, um modelo regulatório adequado às peculiaridades do tratamento de dados pessoais em matéria de segurança pública. __________ 1 Abreu (2021), p. 590-593 2 Abreu (2021), p. 593 3 Abreu (2021), p. 594-595 4 Decreto nº 5.484, de 30 de junho de 2005 (Política de Defesa Nacional - PDN) 5 Abreu (2021), p. 593-594 6 Decreto nº 8.793, de 15 de dezembro de 2017 (Estratégia Nacional de Inteligência - ENI) 7 Abreu (2021), p. 594 8 Abreu (2021), p. 595 9 Abreu (2021) p. 595 10 A única exceção em que a natureza da pessoa deve ser levada em conta é aquela prevista pelo inciso I do art. 4º da LGPD, conforme será visto adiante. 11 A doutrina da não-delegação (nondelegation douctrine) surge no constitucionalismo americano e, basicamente, impede que o Congresso abdique ou transfira para terceiros funções legislativas essenciais das quais ele é constitucionalmente investido. De fato, a tentativa do legislador presente de vincular o legislador futuro equivale, na prática, à renúncia pelo legislador do seu poder de legislar. Sobre o tema, vide: A.L.A Schechter Poultry Corp. v. United States, 295 U.S. 495 (1935) 12 Por exemplo, as garantias da inviolabilidade da intimidade, da vida privada, da honra, da imagem das pessoas (art. 5º, X), do sigilo de dados e das comunicações telefônicas (art. 5º, XII) e do habeas data (art. 5º, LXIX). 13 O Código Civil, ao dispor sobre os direitos da personalidade, prevê que o nome da pessoa não pode ser empregado por ou trem em publicações ou representações que a exponham ao desprezo público, ainda quando não haja intenção difamatória (art. 17), bem como que, salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a publicação, a exposição ou a utilização da 'imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais (art. 22; v. também ADIN n. 4815). Da mesma forma, dispõe o art. 43 do Código de Defesa do Consumidor (CDC), ao versar sobre a abertura de cadastro, ficha, registro e dados pessoais de consumo, bem como o Decreto nº 7962, de 15 de março de 2013, que, ao regulamentar o CDC para o comércio eletrônico, dispôs sobre a necessidade de mecanismos de segurança eficazes para tratamento de dados elo consumidor (art. 4º, inciso VII). No mesmo sentido, dispõem (i) a Lei do Cadastro Positivo (Lei nº 12.414, de 9 de junho de 2011), ao definir diversos conceitos e vedar diversas práticas; (ii) a Lei de Acesso à Informação (Lei nº 12.527, de 18 de novembro de 2011)  também definindo diversos conceitos; (iii) a Lei de Direitos Autorais (art. 7, inciso XIII da Lei nº 9610 de 19 de fevereiro de 1998), ao considerar bases de dados como obra intelectualmente protegida; (iv) a Lei Complementar (Lei Complementar nº 105, de 10 de janeiro de 2001) que versa sobre o sigilo das operações de instituição financeiras; (v) a Lei Geral de Telecomunicações (Lei nº 9472, de 16 de julho de 1997), ao restringir o acesso aos dados dos usuários; (vi) a Lei de Cadastro de Usuários de Telefones Pré-Pagos (Lei nº 10.703, de 18 de julho de 2003), ao dispor sobre os dados que devem ser coletados e quando podem ser fornecidos; a regulamentação do serviço de comunicação multimídia, definindo conceitos e dispondo sobre o prazo para guarda de registros; (vii) a Lei que regulamenta a interceptação de comunicações telefônicas e do fluxo de comunicações em sistemas de informática e telemática (Lei nº 9296, de 24 de julho de 1996); (viii) a Lei de Organizações Criminosas  (Lei nº 12.850, de 2 de agosto de 2013); (ix) a Lei da Repressão ao Tráfico Interno e Internacional (Lei nº 13.334, de 6 de outubro de 2016), ao definir regras para a coleta de evidências ele ilícitos; na esfera penal, a inserção de dados falsos em sistemas de informações da administração pública; e (x) a Lei Carolina Dieckmann (Lei nº 12.737, de 30 de novembro de 2012), ao proteger dados ou Informações em dispositivos informáticos. Maldonado e Opice Blum (2019), p. 73 14 Anteprojeto de lei disciplina proteção de dados em investigações criminais. Acesso em 01.05.2022.
quinta-feira, 8 de dezembro de 2022

Os desafios jurídicos do web scraping

Recentemente a vice-presidente da área legal do LinkedIn, Sarah Wight1 anunciou vitória da empresa contra a hiQ Labs em processo que corre há mais de seis anos na Corte de Justiça da Califórnia (hiQ Labs, Inc. v. LinkedIn Corp., No. 17-3301) sobre a ilegalidade de scraping de dados dos usuários da plataforma. O caso, que já esteve na Suprema Corte dos Estados Unidos e voltou à jurisdição estadual2, aborda a legalidade da prática de scraping de dados tornados públicos pelos próprios indivíduos perante a Computer Fraud and Abuse Act (CFFA) e os Termos de Uso do próprio LinkedIn. O LinkedIn, que já foi forçado a retirar quaisquer barreiras técnicas contra as práticas de scraping até a resolução do caso, pode voltar a bloquear acessos de empresas que utilizam algoritmos para essa finalidade e ganha força para levar à justiça os responsáveis. Ocorre que a prática é utilizada por muitas empresas atualmente e não só em redes sociais, mas também em plataformas abertas de Governos. O próprio SERPRO, no Brasil, já se pronunciou sobre alguns riscos de utilização dessa prática3. O assunto é complexo e demanda análises sob várias perspectivas legais, uma vez que diferentes elementos atraem legislações e regulações diferentes, como, por exemplo, o tipo de dado pode atrair a Lei Geral de Proteção de Dados ou proteções à propriedade intelectual e segredo industrial corporativo, a natureza da plataforma pode atrair legislações e regulações de transparência de entes públicos (Portal de Transparência, Processo Judicial eletrônico - PJe, etc) assim como também existem casos que legislações de outros países podem ser aplicadas (a situação aqui pode ser a coleta e utilização de dados pessoais de titulares de dados na União Europeia que atrai a aplicação do sistema normativo europeu), entre outros. O presente artigo se propõe a analisar diferentes perspectivas que podem ser levantadas no Brasil sobre o tema. Inicialmente, cabe descrever, em síntese, o que é a prática scraping e alguns de seus empregos no mercado tecnológico atual. O nome diz respeito à extração de dados da internet que pode ser usada para a combinação de informações. Nesse processo, um software imita a interação de navegação entre os servidores da Web e um ser humano, agindo como se fosse uma navegação de usuário real. O robô acessa quantos sites forem necessários, analisa seu conteúdo para encontrar e extrair dados de interesse e estrutura esses conteúdos conforme desejado4. Atualmente, esse processo é utilizado para a formação de grandes bases de dados que podem ser utilizadas de diferentes maneiras, como para auxiliar na tomada de decisões internas de uma empresa a fim de melhorar a eficiência de seu negócio, ou, então, para a disponibilização de serviços baseadas em bases de dados específicas à outras empresas. Considerando a grande possibilidade de utilização de dados coletados por esse processo, muitas empresas acabam dependendo dele para a tomada de decisões ou até mesmo a continuidade de produtos e serviços. Entretanto, considerando a ampla variedade de agentes que podem ser envolvidos no procedimento, a legalidade da prática passou a ser questionada sob várias óticas. A primeira diz respeito a conflitos entre agentes privados, como o caso do LinkedIn citado acima. Na economia contemporânea a concentração de dados está ligada diretamente com ganhos econômicos, motivando a rede social a iniciar uma cruzada processual que já conta com mais de 5 anos contra a prática de scraping de dados que são disponibilizados pelos seus usuários. Essa relação entre controle de dados e valores econômicos chamou atenção quando a Meta estimou em 10 bilhões de dólares a perda em decorrência da mudança que a Apple passou a implementar em 2021 que possibilita ao usuário escolher sobre a possibilidade de rastreamento de dados entre aplicativos5. O processo judicial do LinkedIn, apesar de ter como objeto a utilização de dados pessoais, está sendo discutida sob a ótica de relações contratuais estabelecidas através de Termos de Uso entre a plataforma e seus usuários, assim como a utilização da CFFA para a defesa do entendimento de violação de sistemas informáticos privados. A prática de scraping por uma empresa privada em bases de dados públicas também suscita discussões sobre a possibilidade de informações que são disponibilizadas para a garantia da transparência do Estado como um direito constitucional dos cidadãos nas democracias contemporâneas serem utilizadas para ganhos financeiros de agentes privados. Em 2019 a França proibiu, através da LOI Nº 2019-222, que reformou o sistema da Justiça francesa, a prática de scraping e análise automatizada de dados de decisões judiciais com base em princípios de igualdade de acesso à justiça e paridade de armas. As razões completas podem ser encontradas na Decision of the Council 2019 - 7786. No Brasil, a prática foi citada pelo próprio SERPRO no pronunciamento acima citado, desestimulando a prática por terceiros com argumentos relacionados à falhas de coleta, indisponibilidades dos sistemas, entre outros, para reforçar a venda de serviços de scraping da própria empresa pública. Além de questões envolvendo possíveis ilegalidades referentes à quebra de limitações estabelecidas nas legislações que regem as plataformas de transparência pública, a questão é de grande repercussão perante a perspectiva de utilização de dados pessoais para finalidades secundárias. O ponto em comum que talvez mais desafia a prática podem ser as construções jurídicas decorrentes da proteção de dados pessoais, tanto para os casos envolvendo bases de dados de entes públicos quanto de empresas privadas. A Lei Geral de Proteção de Dados do Brasil - LGPD segue o padrão internacional que decorre da Regulação Geral de Proteção de Dados da União Europeia e que está sendo adotado em outros países. Essas legislações têm como limitações para o tratamento de dados pessoais a indicação de finalidades específicas e prévias para a coleta desses dados, obrigações envolvendo a manutenção do consentimento, quando essa é a base legal elencada, na cadeia de compartilhamento dos dados entre diferentes agentes de tratamento, além de outros mecanismos que impõem grandes dificuldades para defender a legalidade da prática. A Autoridade de Proteção de Dados da França (CNIL), publicou em 2020 um guia sobre scraping  de dados pessoais para o setor de marketing7 que elenca vários dos requisitos que deveriam ser observados para a utilização de dados pessoais que são originados por esse método e deixa claro o desafio que é demonstrar o cumprimento total das condições legais. Além disso, quando os dados pessoais são originados de bases de dados que são públicas por força legal e para a transparência do Estado, e não estão sob uma possível exceção de dado tornado público pelo próprio titular (Art. 7º, §4º da LGPD), os desafios são maiores. Plataformas como o Portal da Transparência podem ser utilizadas para finalidades que podem causar danos aos titulares de dados que lá têm informações pessoais disponibilizadas por força legal, que os titulares possuam ao seu dispor meios efetivos para evitar esses dados ou mitigar seus efeitos. O debate normalmente é tratado no Brasil na perspectiva de utilização para finalidades secundárias dentro da própria administração pública, podendo ser citado, como exemplo, o artigo "Limites e possibilidades para o uso secundário de dados pessoais no poder público: lições da pandemia" da Dra. Miriam Wimmer8, que trata sobre a dificuldade de enquadrar diferentes finalidades para dados pessoais nesse contexto. Aqui, o seguinte questionamento se impõe: quando os dados disponibilizados para a  transparência são utilizados para finalidades econômicas de agentes privados como consequência do acesso amplo que as plataformas públicas permitem, além do desafio da legalidade do tratamento, qual a responsabilidade do próprio Estado? Os pontos levantados até aqui demonstram como a prática de scraping, um suporte de muitos modelos de negócios no Brasil e no mundo, encontra resistências legais cada vez maiores e demanda discussões gerais e setoriais para trazer segurança jurídica aos agentes econômicos que dependem dela, sob pena de, futuramente, setores inteiros da economia sofrerem com entendimentos superficiais.  __________ 1 Disponível aqui. 2 O resumo completo do caso é explicado na seguinte matéria. 3 Disponível aqui. 4 GLEZ-PEÑA, Daniel et al. Web scraping technologies in an API world. Briefings in bioinformatics, v. 15, n. 5, p. 788-797, 2014. Disponível aqui. 5 Disponível aqui. 6 Disponível aqui. 7 Disponível aqui. 8 WIMMER, Miriam. Limites e possibilidade para o uso secundário de dados pessoais no poder público: lições da pandemia. Revista Brasileira de Políticas Públicas, v. 11, n. 1, 2021.
A princípio, toda e qualquer organização, independentemente do seu tamanho, deve indicar um encarregado. Isso porque, embora a LGPD preveja a possibilidade da dispensa, de acordo com a natureza e o porte ou o volume de operações de tratamento de dados, esta depende de regulamentação por parte da ANPD, que se consolidou com a RESOLUÇÃO CD/ANPD 2, de 27 de janeiro de 2022 (Regulamento de aplicação da LGPD, para agentes de tratamento de pequeno porte). Embora a LGPD não apresente detalhes sobre o tema, a Autoridade Nacional de Proteção de Dados trouxe contribuições importantes através de um guia. Segundo a ANPD, o encarregado pode ser tanto um funcionário da empresa quanto um terceiro, inclusive uma pessoa jurídica, o importante é que o indicado possua conhecimento mínimo sobre o tema, bem como liberdade para exercer as suas atribuições. Na prática, considerando o custo de contratar uma pessoa para desempenhar exclusivamente o papel de encarregado, o que tem sido visto é a indicação de um colaborador que passa, então, a acumular funções na organização. Ocorre que, apesar de ser algo comum no mundo real, esse acúmulo pode não ser recomendável. O problema é que, com frequência, verifica-se a existência de um claro conflito de interesses entre as funções desempenhadas pelo colaborador que acumula a função do encarregado. O tal do conflito acontece quando a mesma pessoa que executa as atividades é responsável por fiscalizá-las, o que acaba por implicar em uma "autoavaliação" sobre a incompatibilidade ou não. Aqui, vale um exemplo clássico para ilustrar: se o responsável pelo setor de TI possui a função de definir e implementar as soluções tecnológicas aplicáveis ao tratamento de dados pessoais, este não poderá ser nomeado como encarregado, tendo em vista que, se assim fosse, ele estaria fiscalizando o seu próprio trabalho, o que, nem de longe, parece ser uma análise imparcial. O Perfil desejado para o Encarregado de Proteção de Dados Pessoais (DPO) é o de um profissional híbrido que independentemente de sua origem precisará expandir seu conhecimento para outra área. Essa necessidade é o motivo para uma certificação tão completa como DPO, que envolve segurança da informação, legislação e estabelecimento de um sistema de gestão para garantir que a privacidade e proteção de dados seja parte do cotidiano da instituição, e não apenas um projeto. De toda forma, como não há exigências para se tornar um Encarregado (DPO), espera-se do profissional conhecimentos jurídicos a respeito da legislação de proteção de dados, não se limitando apenas à LGPD, mas também conhecimentos sobre segurança de informação.   Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnológica (TI), Financeiro, Marketing, Comercial e Recursos Humanos.  Para que a LGPD seja cumprida de forma correta, é necessário que o Encarregado seja o principal ponto de apoio do Controlador.  Mesmo que ainda não tenha sido avaliado na prática no Brasil como vai funcionar a figura do DPO, já é possível concluir que será uma peça-chave para a adequação da empresa à legislação e para as atividades relacionadas ao tratamento de dados pessoais de seus clientes, funcionários e fornecedores. Na definição do artigo 5º, inciso VIII, da LGPD, o encarregado é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". Em outras palavras, um DPO não pode ocupar uma posição em uma organização na qual tenha "autoridade para decidir os fins para os quais os dados pessoais são processados e os meios pelos quais eles são processados". Em geral, posições conflitantes estão relacionadas aos cargos de chefia, gerência ou direção. No caso dos cartórios, esta posição de autoridade recai sobre os titulares e seus substitutos. Na prática, portanto, a designação do encarregado vem se revelando uma verdadeira dificuldade para as instituições, sejam elas públicas ou privadas, mais ainda nas atividades notarial e de registro. E, embora a LGPD não mencione expressamente a questão do conflito de interesses, é bem provável que a ANPD se ocupe com o tema e defina normas complementares sobre o encarregado (artigo 42, §3º), tendo em vista que, já no Guia de Agentes de Tratamento e Encarregados, a autoridade se preocupou em citar a importância da sua independência. Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD ou do CNJ, desde já é importante que os controladores tenham cautela ao indicar o seu encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD. Conforme dispõe o art. 4º do Provimento 134/22 e na inteligência do art. 5º, VI, da LGPD, os delegatários, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, aos quais competem as decisões referentes ao tratamento de dados pessoais. Apesar disso, não estão sozinhos na jornada de adequação do cartório, contando com a ajuda do encarregado pelo tratamento de dados. Essa figura foi instituída pela LGPD, sendo responsável por atuar não só como canal de comunicação entre o agente delegado, titulares dos dados e autoridades, como também na liderança da implementação de medidas rumo à conformidade à lei 13.709/18. O Provimento determina a nomeação de um encarregado (art. 10), uma vez que sua indicação pelo controlador, em regra, é obrigatória. Não obstante a existência de serventias extrajudiciais dos mais variados portes e com diferentes volumes de dados pessoais tratados, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não estabeleceu um regramento para dispensa de indicação do encarregado pelos delegatários. O Encarregado poderá ser um funcionário ou colaborador do quadro interno da Serventia Notarial, figura reconhecida como preposto do titular do Cartório, mas poderá ainda ser nomeado um terceiro contratado para esse fim, neste caso, um consultor, pessoa jurídica ou profissional liberal. Para os Prepostos (substitutos, escreventes e auxiliares), nomeados na forma do disposto no art. 20 da lei 8.935/1994, não há impedimentos dos escreventes e auxiliares serem nomeados com Encarregados, mas há impedimento na nomeação dos substitutos como Encarregados, pela vedação expressa do art.10, inciso II, do Provimento 134/22 do CNJ. Em nosso entendimento, ainda não há disposição legal ou normativa que indique o conflito de interesse entre os prepostos de Cartório com a atividade de DPO, desde que mantida sua autonomia e imparcialidade por "autoavaliação", o que não se aplica aos substitutos que recebem atributos idênticos da delegação do titular de Cartório (art. 10, inciso II, do Provimento 134/22 do CNJ). O Provimento 134/22 do CNJ permite que as serventias poderão designar um encarregado de maneira conjunta, bem como terceirizar o exercício da função mediante contratação de um prestador de serviços ("Encarregado Externo" ou "DPO as a service"), seja pessoa física ou jurídica. Adicionalmente, o Provimento prevê que os cartórios poderão ter a remuneração do encarregado subsidiada ou custeada pelas entidades representativas de classe (ANOREGs, SINOREGs, etc). Importante pontuar que não há óbice para contratação de um mesmo encarregado por cartórios de qualquer classe, conforme assegura o art. 10, § 3º, desde que demonstrável a inexistência de conflito na cumulação de funções e na manutenção da qualidade dos serviços prestados. As regras sobre Encarregado no Provimento 134/22 do CNJ, constam do artigo 10: "DO ENCARREGADO Art. 10. Deverá ser designado o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD, consideradas as seguintes particularidades: I - os responsáveis pelas Serventias Extrajudiciais poderão terceirizar o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função; II - a função do Encarregado não se confunde com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro; III - a nomeação do Encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o Encarregado; e IV - a nomeação de Encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais. § 1º Serventias classificadas como "Classe I" e "Classe II" pelo Provimento n. 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça, poderão designar Encarregado de maneira conjunta. § 2º A nomeação e contratação do Encarregado de Proteção de Dados Pessoais pelas Serventias será de livre escolha do titular da Serventias, podendo, eventualmente, ser realizada de forma conjunta, ou ser subsidiado ou custeado pelas entidades de classe. § 3º Não há óbice para a contratação independente de um mesmo Encarregado por serventias de qualquer Classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados." Sobre esse tema, também há recomendações no Guia Orientativo para definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, neste caso algumas informações deverão ser aplicadas para uma boa governança, como a constante no Item 75. "Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização." Conforme o artigo 41 da LGPD, o controlador de dados (titular do Cartório) deverá indicar um encarregado pelo tratamento de dados pessoais. No exercício de suas atribuições, o encarregado pode desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, como, por exemplo, ao receber solicitações de titulares e da autoridade nacional e adotar providências ou, ainda, ao orientar funcionários e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD, desde já é importante que os controladores, titulares de Cartório, tenham cautela ao indicar o seu encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD. ___________ ALBUQUERQUE, Izabel. É possível cumular as funções de Compliance Officer e de Data Protection Officer (DPO)? 2021. Disponível em: https://www.nextlawacademy.com.br/blog/e-possivel-cumular-as-funcoes-de-compliance-officer-e-de-data-protection-officer-dpo. Acesso em 30 de out. de 2022. ANPD. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf. Acesso em 30 de out. de 2022. CONSELHO FEDERAL DO COLÉGIO NOTARIAL DO BRASIL. Cartilha Orientativa sobre a Lei Geral de Proteção de Dados (LGPD) - Lei Federal nº 13.709/2018.  Disponível em: ttps://www.notariado.org.br/wp-content/uploads/2021/06/CNB_CF-Cartilha-LGPD.pdf. Acesso em 30 de out. de 2022. TEIXEIRA, Tarcísio et al. (org.). LGPD e cartórios: implementação e questões práticas. São Paulo: Saraiva, 2021 ROCHA, William Lima. Tratamento de dados pessoais pelo poder público: uma análise da aplicação da LGPD no registro empresarial. Revista Brasileira de Direito Societário e Registro Empresarial, v. 1, p. 191-224, 2020. LGPD no setor Público Tratamento de dados pelo poder púbico. Apresentação. 13 de set. de 2022. Disponível em: https://youtu.be/t3kCP1Djs7M  Os impactos da LGPD nos Serviços Notariais e de Registro. Apresentação. 15 de dez. de 2020 Disponível em: https://youtu.be/sjaqJDz4xy4
A Autoridade Nacional de Proteção de Dados (ANPD) acaba de publicar um Guia Orientativo de Cookies e proteção de dados pessoais. Muitos acertos, alguns pontos a eventualmente melhorar em edições futuras e o grande mérito de trazer alguma segurança jurídica nesse tema tão importante. A pergunta anterior, entretanto, é se o campo da proteção de dados pessoais - que transformou os cookies em inimigos a derrotar - está adotando o foco correto, ou se, para adotar a ilustração milenar, estamos coando o mosquito e engolindo o camelo. A primeira dificuldade é a delimitação adequada do que efetivamente são os cookies, já que, inclusive entre especialistas, é comum encontrarmos conceitos ou atributos equivocados. O próprio Guia, reproduzindo uma ideia comum, mas imprecisa, afirma que cookies são "arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações". Na realidade, cookies são mecanismos de persistência de dados entre requisições HTTP, nos termos do RFC 6265. Para essa persistência, os principais navegadores atualmente utilizam bancos de dados. Cookies são dados gravados pelo navegador, não um arquivo instalado. Exatamente por serem apenas dados gravados, cookies não coletam informações. Um cookie do Google Analytics, por exemplo, seria algo como _ga=GA1.1.1422343456.1666469123. Assim como uma frase em um documento de texto não observa ninguém, um cookie - que é apenas um par de dados (nome/valor) gravado - não realiza ação nenhuma. Não coleta dados, não monitora comportamento, não perfila usuários, não gera estatísticas, não direciona publicidade. De onde vem então a má fama dos cookies? Do seu uso como identificadores para sistemas de rastreamento. Vamos a um exemplo. Suponha que um usuário entre em um site de viagens que utiliza ferramentas de anúncio do Google, e, na primeira requisição, receba um cookie com o identificador ABC12345. Após uma breve pesquisa, passa a navegar, por vários minutos, na área de um pacote de viagem para Buenos Aires. O mesmo usuário, tempos depois, entra em um site de notícias que utiliza a rede de anúncios do Google para ver as novidades esportivas. E aí uma "mágica" acontece: o Google, pelo identificador já existente, saberá que quem está lendo as notícias é o ABC12345. E, analisando sua base de dados (não o cookie), saberá que o ABC12345 estava antes no site de viagens, que paga por remarketing, mais especificamente na página do pacote para Buenos Aires. Resultado: um belíssimo anúncio do pacote de viagem a Buenos Aires aparecerá em meio às notícias esportivas. Todos nós já observamos essa "mágica" ocorrer, certo? O relevante aqui é que o interesse pela viagem a Buenos Aires não está no cookie. O histórico de navegação também não. A propaganda a ser veiculada também não. Nenhuma informação do perfilamento está no cookie ou é coletada pelo cookie: o cookie contém apenas o identificador ABC12345. Todo o resto é realizado por scripts que interagem diretamente com servidores do Google e que estão inseridos nessas páginas. A ideia de que cookies coletam informação é equivocada. A ideia de que navegadores coletam informações do cookie também. Notem que o valor ABC12345 foi atribuído pelo próprio Google durante a requisição original. E esse valor é repassado automaticamente e proativamente pelo navegador a cada nova requisição a servidores do Google: ou seja, tecnicamente, o Google sequer "busca" a informação no navegador, ele já a recebe passivamente. O risco à privacidade dos indivíduos não está nos cookies em si mesmos, mas nos sistemas que monitoram e perfilam indivíduos, e que têm sido ajustados para depender cada vez menos de cookies. Na realidade, há sistemas de estatísticas que operam integralmente a partir de técnicas de fingerprinting muito mais invasivas que cookies. Mas, vejam que ótimo, como não usam cookies são vistos como mais protetivos. Não são. Da mesma forma, já há mecanismos cada vez mais sofisticados para associar conversões de marketing a usuários sem a necessidade de cookies, como a API de Conversões do Facebook, em que as informações transitam de servidor para servidor. Mas, olha que ótimo, não usam cookies. São então super protetivos, certo? Errado. É importante lembrarmos que os tais banners de cookies nasceram com a Diretiva ePrivacy, uma norma de 2002. Estamos copiando, em 2022, uma abordagem de 2002. De lá para cá, muita coisa mudou. Tanto é assim que os próprios europeus já se preparam para a ePrivacy Regulation, que adota uma abordagem bastante diferente. Mais restritiva em atividades de risco elevado que independem de cookies - como fingerprinting -, e mais flexível em atividades de menor risco mesmo que usem cookies - como estatísticas próprias. O foco dos reguladores, em 2022, não deve estar nos cookies, tal como foi o foco da Diretiva ePrivacy vinte anos atrás. Devemos atacar, de forma efetiva, o crescente e abusivo monitoramento online, o perfilamento por meios ocultos, as práticas discriminatórias, sendo irrelevante a tecnologia empregada. E isso não se resolve com banners de cookies. Regular cookies, em 2022, pode ser uma solução de transição, mas é uma solução anacrônica. A ANPD trouxe regras importantes, como as que combatem os "dark patterns", mas com vida útil limitada. Com os grandes navegadores já anunciando o fim do suporte aos cookies de terceiros, e com cada vez mais tecnologias imersivas ganhando espaço sobretudo entre os mais jovens, é preciso redirecionar o foco. Talvez o único aspecto regulatório relacionado especificamente aos cookies e ainda relevantíssimo em 2022 seja definirmos, de uma vez por todas, que o nome disso em português é biscoito, e não bolacha. Para todo o resto, parece melhor que o esforço regulatório esteja direcionado ao tratamento de dados pessoais, não à tecnologia adotada. Os banners de cookies coam os mosquitos. Precisamos agora olhar os camelos.
As disciplinas de proteção de dados pessoais e direito da concorrência possuem finalidades próprias e distintas, que, no entanto, se convergem1. Se, no passado, essa intersecção era pouco explorada, nos últimos anos se tornou inquestionavelmente relevante, dado que o desenvolvimento de tecnologias complexas, aliadas ao crescimento da Internet, propiciou o surgimento de gigantes empresas no mercado digital. As denominadas big techs, como Google, Facebook, Apple e Amazon, operantes na condição de plataformas de múltiplos lados, encontram nos dados coletados de seus usuários o seu principal insumo. Não por outra razão, ponderou Meglena Kuneva, antiga comissária europeia de Defesa do Consumidor, que "os dados pessoais são o novo petróleo da Internet e a nova moeda do mundo digital".2 Com efeito, por intermédio da coleta e da administração de tais informações, é possível que empresas adquiram poder de mercado, vantagens anticompetitivas e posição dominante às custas de violações de privacidade, tornando-se verdadeiros monopólios informacionais aptos a impedir a entrada de novos agentes em seus setores de atuação. Com o avanço dessa prática, surgiu o que hoje se denomina de "data-driven economy", isto é, uma economia movida pela coleta e utilização massiva de dados. Diante desse contexto, é importante (i) entender os impactos concorrenciais decorrentes do uso de dados pessoais no mercado digital - o que será feito por meio do estudo sobre o caso do Facebook na Alemanha, em 2019; bem como (ii) analisar os diplomas legais que regem essas matérias no Brasil - Lei de Defesa da Concorrência (lei 12.529/2011) e Lei Geral de Proteção de Dados (lei 13.709/2018). Afinal, o Conselho Administrativo de Defesa Econômica (CADE) pode se debruçar sobre demandas que envolvam a LGPD? Se sim, como deve ser realizada essa atuação? Clique aqui e confira a coluna na íntegra. __________ 1 ZANATTA, Rafaella A. F., Proteção de Dados Pessoais e Direito Concorrencial: Razões da Aproximação e Potencialidades para Pesquisa. Revista Fórum de Direito na Economia Digital, 2019, p. 141-170. 2 KUNEVA, M. "Personal data is the new oil of the Internet and the new currency of the digital world.". Discurso proferido na mesa redonda sobre coleta de dados, direcionamento e perfilação, Bruxelas, 2009.
Introdução A Lei Geral de Proteção de Dados Pessoais (LGPD), ao estabelecer princípios e regras objetivando a materialização do direito fundamental à proteção de dados pessoais - à época implícito, hoje explícito no art. 5º, LXXIX, da Constituição -, abrangeu expressamente as atividades do setor público e as do setor privado. Entretanto, a LGPD não adotou uma abordagem prescritiva direta, como seria esperado em um contexto de comando e controle. Pelo contrário. A redação da LGPD (i) usa e abusa de conceitos jurídicos indeterminados - o que é o "risco ou dano relevante" do art. 48? -; (ii) faz inúmeras remessas a regulamentação futura - aguardamos ansiosamente como se dará a "adequação progressiva de bancos de dados" constituídos antes da vigência da LGPD, que, embora tenham comemorado aniversários (a LGPD e os bancos de dados), ainda aguardam a regulamentação pela autoridade nacional prevista no art. 63 -; e contém dispositivos simplesmente crípticos - diz a lenda que a ANPD já tem um troféu e uma medalha prontos para o primeiro criptógrafo que conseguir interpretar coerentemente o art. 4º, II, b, da LGPD, que trata da excludente (seguida da includente) nos tratamentos para fins acadêmicos. Foi sobre esse difícil terreno que a LGPD previu a instituição da Autoridade Nacional de Proteção de Dados (ANPD), cujas atribuições abrangem editar regulamentos e procedimentos sobre proteção de dados pessoais, realizar auditorias, fiscalizar e aplicar sanções, inclusive sobre o poder público. Adotou-se, nas atribuições, o típico modelo das agências reguladoras. Faltaram, entretanto, dois detalhes relevantes. O primeiro, evidente, foi a natureza de agência reguladora. O segundo, mais sutil e restrito à regulação sobre o poder público, foi a ausência da assimetria de poder entre regulador e regulado que caracteriza (e viabiliza) a própria atuação típica das agências reguladoras. A rigor, as agências reguladoras se valem da assimetria decorrente da supremacia do interesse público para a regulação das atividades privadas. A transposição desse modelo para a regulação do setor público, de forma transversal, (i) não importa a típica intervenção no domínio econômico que caracteriza historicamente as agências reguladoras; e (ii) não se sustenta na supremacia do interesse público, o que traz diversas dificuldades interpretativas quanto à abrangência do poder sancionador, agravadas pela ausência de parâmetros doutrinários e jurisprudenciais relevantes para os limites dessa atuação. Conforme ensina Norberto Bobbio, a aplicação da sanção pressupõe um aparato coercitivo, e o aparato coercitivo pressupõe o poder, isto é, uma carga de força imperativa, ou se se preferir, de autoridade, entre aquele que estabelece a norma e aquele que deve obedecê-la1. Essa assimetria está claramente presente na regulação social ou econômica ordinária. Entretanto, na regulação sobre o poder público, um poder que legitimasse força imperativa - leia-se, autoridade -, capaz de mover o aparato coercitivo do Estado, por si mesmo, em face dos próprios Poderes do Estado, seria, a depender da extensão de seu poder normatizador e sancionador, um suprapoder. E um suprapoder de tal ordem só poderia ser estabelecido pelo constituinte originário. Registre-se que a ideia de uma autoridade nacional de proteção de dados com atuação em face do poder público não foi uma invenção brasileira. O modelo, já presente na Diretiva 95/46/CE, de 1995, foi mantido pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, cujas autoridades nacionais têm competência para apreciar tratamentos de dados por autoridades e órgãos públicos2. A LGPD, nesse sentido, basicamente transpôs o modelo do RGPD europeu - importando, conjuntamente, as dificuldades inerentes às sanções sobre o poder público. Entretanto, a menos que queiramos retornar o Brasil ao status de colônia europeia - que é o que se faz, por via indireta, quando se decide o que é ou não constitucional no Brasil a partir do que pensam os europeus em matéria de proteção de dados -, o poder sancionador da ANPD deve ser interpretado à luz da Constituição brasileira. E, para essa interpretação, é útil a compreensão teórica do modelo de regulação responsiva adotado pela LGPD e os limites constitucionais à obstrução de atividades do poder público por órgãos reguladores. É essa a proposta deste artigo. Clique aqui e confira a íntegra da coluna. __________ 1 BOBBIO, Norberto. Teoria da Norma Jurídica. Bauru: EDIPRO, 2003. 2 Cf. art. 55º e Considerando 122 do RGPD. Disponível aqui. Acesso em: 29 set. 2022.
Na Parte I desse artigo (que pode ser encontrada aqui), foram apresentados os pontos centrais da teoria dos deveres fiduciários informacionais, em especial sua origem, conceitos, alcance e a sua relevância para o debate sobre a proteção de dados pessoais.1 Nessa Parte II serão apresentados os riscos e as críticas ao modelo, bem como a sua potencial aplicação no direito brasileiro, tanto do ponto de vista da base normativa e complementaridade com a LGPD, quanto dos aspectos práticos dos arranjos regulatórios possíveis. Como já explicado, o modelo fiduciário de proteção de dados pessoais ainda é uma ideia sem força normativa2. Se algum dia se tornar realidade, pode, ainda, não conseguir atingir o seu objetivo central, que é coibir abusos e estabelecer um dever geral de confiança que impeça que as organizações se aproveitem de posições privilegiadas em relações assimétricas para tratar os dados pessoais de forma prejudicial aos interesses e a legítima expectativa dos seus titulares. De todo modo, é inegável que a ideia ganhou a simpatia de inúmeros atores, como acadêmicos3, ONGs4, imprensa5, políticos6 e até mesmo diretores de plataformas de redes sociais, como o Facebook7. No debate sobre os deveres fiduciários informacionais nos EUA, poucos foram aqueles que levantaram preocupações quanto à viabilidade do modelo. Enquanto a vasta maioria se juntou ao grupo dos entusiastas, alguns se mostraram cautelosos, ou até mesmo céticos, quanto à proposta. Entre os últimos, destacam-se Lina Khan e David Pozen, professores da Columbia Law School que, em 2019, publicaram o artigo "A Skeptical View of Information Fiduciaries"8. Khan e Pozen não pouparam críticas ao modelo dos deveres fiduciários informacionais. Pozen chegou a afirmar, em um post no blog criado por Balkin, que "a proposta dos deveres fiduciários informacionais é defeituosa - provavelmente para além de um reparo possível - de um ponto de vista conceitual, jurídico e normativo."9 No artigo, os autores desenvolveram os argumentos, que, por limitações de espaço, não puderam ser reproduzidos na íntegra aqui. No entanto, algumas das críticas são as seguintes:  Conflito de interesses entre acionistas e titulares de dados pessoais: Ao assumir deveres fiduciários para com os titulares de dados, as empresas (de capital aberto) estariam se colocando em uma posição de conflito com os deveres fiduciários assumidos perante os seus acionistas, já que, em muitas situações, haverá uma tensão entre a proteção dos interesses de privacidade dos usuários e os interesses econômicos dos acionistas. Em síntese, a "lealdade dividida" tornaria o modelo logicamente insustentável.  Problemas da analogia com os agentes fiduciários tradicionais: Haveria mais distinções do que semelhanças entre as relações de médico-paciente, por exemplo, e a relação das redes sociais com os seus usuários, o que faz com que a equiparação seja inapropriada. A expertise médica que gera a assimetria informacional não seria a mesma expertise de um Facebook, que, na leitura de Khan e Pozen, apenas viabiliza o acesso a uma rede de comunicações. A vulnerabilidade do consumidor também não seria inerente à natureza da relação, mas artificial, já que as pessoas não costumam buscar determinada rede social por conta dos seus serviços especializados, mas sim por conta do seu domínio de mercado. O fornecimento excessivo de dados pessoais também não seria um pré-requisito necessário para o uso da maioria das redes sociais, mas o preço voluntariamente definido por essas empresas.  (In)compatibilidade do modelo com a prática de publicidade direcionada: Balkin entende que a adoção dos deveres fiduciários informacionais não implicaria, necessariamente, no fim da publicidade direcionada. O modelo simplesmente vedaria práticas específicas que fossem danosas às expectativas de privacidade e de confiança dos usuários. No entanto, Khan and Pozen acham que, na prática, a distinção seria muito obscura, de modo que o desalinhamento entre a proposta dos deveres fiduciários informacionais e o modelo de negócios baseado em economia comportamental e publicidade direcionada tornaria a ideia impraticável, com sérios riscos para os serviços prestados no mundo digital.  Essas críticas foram rebatidas pelo Balkin em um artigo-resposta publicado em 202010. Quanto ao primeiro ponto, o professor de Yale esclarece que o interesse econômico das empresas é limitado pelos limites impostos pela legislação, de modo que não haveria qualquer violação ao dever de lealdade aos acionistas pelo estrito cumprimento do modelo fiduciário de proteção de dados pessoais, assim como não há quando a empresa deixa de auferir receita por cumprir a legislação ambiental que internaliza custos de poluição.11 Quanto ao segundo ponto, Balkin esclarece que os problemas da analogia não minam a importância do modelo fiduciário de proteção de dados, mas o contrário, os fortalecem. Na sua visão, as obrigações fiduciárias resultam de relações sociais caracterizadas pelo desequilíbrio de poder e pela vulnerabilidade de uma das partes. Assim, os titulares de dados pessoais estariam ainda mais vulneráveis nas relações com prestadores de serviço online do que com profissionais tradicionais, como médicos, psicólogos e advogados. Quanto ao último ponto, Balkin não concorda que toda publicidade direcionada seja, por essência, abusiva e inconsistente com o interesse dos titulares de dados. Ele apenas defende o banimento de práticas comerciais que violem a confiança ou que causem danos aos interesses dos titulares de dados, trazendo como argumento as diferenças entre a publicidade contextual e a publicidade comportamental. O debate entre os professores é rico, mas, sopesando os argumentos de ambos os lados, não identificamos um obstáculo intransponível que condene, peremptoriamente, a teoria dos deveres fiduciários informacionais, ainda que essa possa ser aprimorada pelas críticas. Feitas essas considerações, resta saber se a teoria dos deveres fiduciários informacionais seria aplicável no Brasil e, não apenas isso, se haveria algum proveito real nessa aplicação, dada a pré-existência da LGPD. No nosso entender, a teoria dos deveres fiduciários informacionais não só é compatível com a LGPD, como poderia servir como um precioso instrumento para dar maior densidade ao conceito de boa-fé objetiva no contexto do tratamento dos dados pessoais. De acordo com o artigo 6º, caput da LGPD, qualquer atividade de tratamento de dados pessoais deve observar a boa-fé e dez outros subprincípios previstos nos incisos. Pouca atenção, no entanto, é dada à boa-fé do caput nos manuais e trabalhos sobre proteção de dados12, o que traz os riscos de sub e superutilização, ou até mesmo de uso trivial e retórico do princípio.13 Tradicionalmente, a doutrina brasileira conceitua a boa-fé objetiva como uma cláusula geral que impõe a adoção de comportamentos compatíveis com a mútua lealdade e confiança nas relações jurídicas, a qual teria uma tríplice função no ordenamento jurídico (i) interpretativa; (ii) restritiva do exercício de direitos; e (iii) criadora de deveres anexos à prestação principal.14 É essa última função que, ao nosso ver, serviria de porta de entrada para a incorporação da teoria dos deveres fiduciários informacionais no tratamento de dados pessoais no Brasil. A função criadora de deveres anexos à prestação principal é normalmente apresentada no estudo da teoria geral dos contratos e associada ao artigo 422 do Código Civil. Ainda segundo a doutrina, os deveres anexos são, por definição, contextuais e dinâmicos, variando de acordo com cada relação jurídica da qual decorram, sendo impossível, por isso, definir o seu conteúdo aprioristicamente.15 Por fim, os deveres anexos independem da vontade das partes, incidindo quando e na medida em que imponham os parâmetros de mútua lealdade e confiança.16 Essas palavras-chave - lealdade e confiança - guardam estrita correlação com a teoria dos deveres fiduciários informacionais, sendo a boa-fé objetiva o ponto de contato natural com a LGPD. Ademais, assim como defendido pelos civilistas, os deveres fiduciários informacionais são contextuais, independem da vontade das partes e são extensíveis a terceiros17, sendo norma cogente no tratamento de dados pessoais abrangidos pela LGPD, em condições, grau e alcance a serem definidos, preferencialmente, pela ANPD.18 Vale dizer que o STJ possui diversos acórdãos que tratam do dever anexo de lealdade19, sendo que, no Incidente de Assunção de Competência de no 2, ao julgar o REsp n. 1.303.374/ES, a Corte adotou a terminologia do Professor Humberto Theodoro Júnior em uma causa envolvendo uma relação jurídica securitária e tratou os deveres anexos como sinônimos de deveres fiduciários. Confira-se parte da ementa:  "Nessa perspectiva, o conteu'do da obrigac¸a~o contratual (direitos e obrigac¸o~es das partes) transcende as "prestac¸o~es nucleares" expressamente pactuadas (os chamados deveres principais ou prima'rios), abrangendo, outrossim, deveres secunda'rios (ou acesso'rios) e fiducia'rios (ou anexos)."20  No entanto, se os deveres anexos da boa-fé objetiva já são reconhecidos pela doutrina e pela jurisprudência, qual seria o proveito da incorporação da teoria dos deveres fiduciários informacionais no Brasil? Vemos, ao menos, três possíveis utilidades: (i) o reforço axiológico da boa-fé objetiva no tratamento dos dados pessoais; (ii) a transversalidade dos deveres fiduciários informacionais para além das bases de tratamento contratuais e (iii) a maleabilidade necessária para criação de standards e padrões de condutas diferenciados, conforme as especificidades da relação jurídica em questão, especialmente para fins de dosimetria da multa. Como explicado na "Parte I" do presente artigo, o modelo fiduciário não é excludente ou autossuficiente. Ele é compatível com outros sistemas, como o GDPR e a LGPD, e convida o diálogo das fontes. O que ele agrega, no entanto, é um enfoque na relação jurídica entre o controlador e o titular de dados e no plexo de deveres, ao invés de centrar a atenção na autodeterminação informativa do titular de dados. Há, portanto, uma inegável relação de complementaridade. Se, por um lado, os artigos 18 a 20 da LGPD trazem direitos que empoderam o titular de dados pessoais frente ao controlador, de outro, uma leitura fiduciária da boa-fé objetiva contida no art. 6º proscreveria certos tratamentos que fossem incompatíveis com os deveres de lealdade, confidencialidade e cuidado, independentemente da postura proativa do titular. Tal acréscimo à LGPD traria as vantagens já citadas de diminuição da fadiga do titular de dados e da pressão sobre o seu consentimento, além da proteção holística aos dados pessoais dos destinatários da norma, independentemente do eventual desinteresse ou desconhecimento dos titulares de dados individualmente considerados. Noutro passo, a leitura dos deveres fiduciários por meio da boa-fé do artigo 6º da LGPD permitiria que os deveres de lealdade, confidencialidade e cuidado fossem vistos em diversos contextos de tratamento de dados pessoais, e não apenas naqueles com base contratual21. Por certo, a teoria de Balkin foi pensada à luz dos termos de uso e dos contratos de prestação de serviço com os provedores de aplicação na internet. Contudo, nada impede que a teoria seja apropriada para a realidade brasileira, que admite múltiplas bases de tratamento nos artigos 7º, 11 e 23 da LGPD, nem todas elas contratuais. É o caso, por exemplo, do tratamento de dados pessoais pela Administração Pública, que pode se dar em uma relação marcada pelas mesmas características de assimetria e vulnerabilidade do cidadão, e, ainda assim, não ter por base um contrato, mas a própria lei. Por fim, por mais que seja da natureza dos deveres anexos a impossibilidade de determinação apriorística do seu conteúdo, uma vez que dependem das peculiaridades da relação jurídica do caso concreto, o seu próprio espaço de conformação traz a flexibilidade necessária para que a ANPD, pela via regulatória22, possa trazer standards e padrões de condutas que sirvam de guia para a aplicação dos deveres fiduciários informacionais em setores distintos, seja da iniciativa privada ou do Poder Público, servindo de base, também, para a dosimetria da multa, que leva em consideração a boa-fé do infrator, nos termos do artigo 52, §1º, II da LGPD23. Igualmente, à luz da teoria dos deveres fiduciários informacionais, não seria impensável que a ANPD editasse resoluções conjuntas com outras agências reguladoras24, como a ANATEL e ANS, especificando como se se daria a aplicação dos deveres de lealdade, confidencialidade e cuidado nesses setores regulados25. Outra opção à regulação de comando e controle seria a implementação de incentivos (econômicos e jurídicos) para a adoção voluntária dos deveres de lealdade, confidencialidade e cuidado por parte dos controladores, de modo a diminuir os custos de transação e fomentar uma cultura de respeito à proteção dos dados pessoais no Brasil26. Em conclusão, a teoria dos deveres fiduciários informacionais é uma ideia interessante defendida pelo professor Jack Balkin para a tutela da privacidade e dos dados pessoais nos EUA, país que, até hoje, carece de uma lei federal abrangente sobre a matéria. Trata-se de proposta inovadora, diferente da regulação europeia e brasileira, mas, ao que tudo indica, compatível com ambas.  Todavia, enquanto os EUA ainda discutem o projeto de lei que, um dia, pode tornar esses deveres uma realidade, o Brasil já dispõe, na nossa visão, da base legal necessária para a adoção dos deveres fiduciários informacionais, qual seja, o princípio da boa-fé objetiva previsto no art. 6º da LGPD, na sua função de criação de deveres anexos à prestação principal. Note-se, no entanto, que, apesar dos seus méritos e críticas, o modelo de proteção fiduciária dos dados pessoais ainda é um conceito em construção, o qual merece detalhamento regulatório27, sobretudo por conta de eventuais efeitos colaterais que possam inibir a livre iniciativa, o desenvolvimento econômico e tecnológico e a inovação, que são fundamentos da proteção dos dados pessoais, tanto como a privacidade, a inviolabilidade da intimidade e a autodeterminação informativa, conforme o art. 2º da LGPD. É por isso que, a despeito da previsão legal existente no art. 6º, caput da LGPD, parece que a melhor forma de introdução dos deveres fiduciários informacionais no sistema brasileiro de proteção de dados pessoais seria por meio de regulamentação por parte da ANPD, nos termos do art. 55-J da LGPD, precedida de audiências públicas, análise de impacto regulatório e coordenação com os órgãos e entidades públicos responsáveis regulação de setores específicos da atividade econômica e governamental, observado, em todo o caso, o disposto no §1º desse dispositivo28. De qualquer modo, e levando-se em consideração que, recentemente, houve uma audiência pública para a discussão da minuta de resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas29 e que a própria ANPD reconhece o conceito da boa-fé objetiva como "nebuloso"30, a presente discussão se mostra atual e oportuna. __________ 1 Em breve recapitulação, trata-se de modelo de proteção de dados defendido pelos professores Jack Balkin e Jonathan Zittrain (professores de direito da Yale Law School e Harvard Law School, respectivamente), segundo o qual as organizações deveriam obedecer a deveres de lealdade, confidencialidade e cuidado sempre que tratarem dados pessoais em uma relação marcada pela sujeição e confiança do seu titular, dadas as questões de assimetria informacional, de vulnerabilidade do consumidor e de incentivo econômico ao abuso no tratamento dos dados na era da economia da informação.   2 A despeito de ter sido introduzido no projeto de lei intitulado "Data Care Act of 2018". Disponível aqui. Acesso em 12 de setembro de 2022. 3 Cf., e.g., PASQUALE, Frank. Toward a Fourth Law of Robotics: Preserving Attribution, Responsibility, and Explainability in an Algorithmic Society; WU, Tim. An American Alternative to Europe's Privacy Law; DOBKIN, Ariel. Information Fiduciaries in Practice: Data Privacy and User Expectations; e SCRIPA, Andrea. Artificial Intelligence as a Digital Privacy Protector. Acesso em 12 de setembro de 2022. 4 Cf, e.g., ELECTRONIC FRONTIER FOUNDATION, "Information Fiduciaries" Must Protect Your Data Privacy. Disponível aqui. Acesso em 12 de setembro de 2022. 5 Cf., e.g., BLOOMBERG (EDITORIAL), How to Make Facebook and Google Behave; BRANDOM, Russel. This Plan Would Regulate Facebook Without Going Through Facebook ; HELLER, Nathan. We May Own Our Data, but Facebook Has a Duty to Protect It. Acesso em 12 de setembro de 2022. 6 Cf. SCHATZ, Brian. Schatz Leads Group of 15 Senators In Introducing New Bill To Help Protect People's Personal Data Online. Disponível aqui. Acesso em 12 de setembro de 2022. 7 Cf. WRIGHT, Kim. At Harvard Law, Zittrain and Zuckerberg discuss encryption, 'information fiduciaries' and targeted advertisements. Disponível aqui. Acesso em 12 de setembro de 2022. 8 KHAN, Lina; POZEN, David E. A Skeptical View of Information Fiduciaries. Harvard Law Review, Vol. 133, pp. 497-541, 2019. Disponível aqui. Acesso em 12 de setembro de 2022. 9 POZEN, David. Balkanization on Balkinization: A Skeptical View of Information Fiduciaries. Disponível aqui. Acesso em 12 de setembro de 2022. 10 BALKIN, Jack M. The Fiduciary Model of Privacy. Harvard Law Review Forum, Vol. 134, No. 1 (November 2020). Disponível aqui. Acesso em 12 de setembro de 2022. 11 Semelhante argumento foi desenvolvido pelo autor Victor Leahy na sua dissertação de LL.M da Harvard Law School, em 2019. Cf Campos Clement Leahy, Victor. Harvard Law School degree granting institution. (2019). Loyalty, confidentiality and care: the future of privacy and data protection under information fiduciary duties. 12 Se comparado com os demais princípios do art. 6º da LGPD. 13 Preocupação essa que é compartilhada pelos doutrinadores de Direito Civil. Cf. SCHREIBER, Anderson. Manual de direito civil: contemporâneo. 3. ed. - Sa~o Paulo: Saraiva Educação, 2020. 14 Ibid. 15 Ibid. 16 Cf. SCHREIBER, Anderson et al. Co'digo Civil comentado: doutrina e jurisprude^ncia. 3.ed. Rio de Janeiro: Forense, 2021. 17 Cf. KONDER, Carlos Nelson. Boa-fe' objetiva, violac¸a~o positiva do contrato e prescric¸a~o: repercusso~es pra'ticas da contratualizac¸a~o dos deveres anexos no julgamento do REsp 1276311. Revista Trimestral de Direito Civil, Rio de Janeiro: Padma, v. 50, 2012, p. 224. 18 Diz-se "preferecialmente" porque, a rigor, nada impediria que o Judiciário, na sua função interpretativa, enxergasse no artigo 6º da LGPD a fonte normativa dos deveres fiduciários informacionais, se valendo dos standards cunhados pela doutrina para impor obediência a esses deveres. Não obstante, diante do seu grau de indeterminação, dos riscos à segurança jurídica e dos possíveis impactos de uma adoção irrestrita e inconsequente de novas interdições à livre inciativa, é essencial que eventual introdução regulatória seja promovida pela ANPD, com prévios estudos, análise de impacto regulatório e audiências públicas para coleta de subsídios para a tomada de decisão, como defendido na conclusão deste trabalho. 19 Vide, e.g., REsp n. 595.631/SC, REsp n. 925.313/DF, REsp n. 1.317.731/SP e REsp n. 1.862.508/SP. 20 REsp n. 1.303.374/ES, relator Ministro Luis Felipe Salomão, Segunda Seção, julgado em 30/11/2021, DJe de 16/12/2021. 21 Embora sua aplicação se dê, na vasta maioria dos casos, em uma relação contratual. 22 Com base no art. 55-J, VII e XIII da LGPD. 23 Por outro lado, a ANPD se mostrou reticente a definir padrões de conduta pautados na boa-fé no Relatório de Análise de Impacto Regulatório sobre o modelo de aplicações de sanções administrativas e as metodologias de cálculo do valor-base das sanções de multa. De acordo com o item 8.2.5 do documento: "Cabe ponderar, ainda, que os deveres gerais de conduta se materializam no caso concreto, considerados o ambiente social e as dimenso~es do tempo e do espac¸o de sua observa^ncia ou aplicac¸a~o. Especialmente no caso de uma legislac¸a~o e de um sistema de protec¸a~o de dados com ligac¸o~es profundas com a inovac¸a~o tecnolo'gica, um rol de condutas deseja'veis, mesmo que apenas exemplificativa, podera' tornar-se obsoleta em curto prazo, comprometendo a efica'cia da norma." Disponível aqui. Acesso em 12 de setembro de 2022. 24 Sobre a natureza jurídica da ANPD, remetemos o leitor à coluna publicada por Fabrício da Mota Alves e Rodrigo Borges Valadão em 07/07/2022. ANPD: Agência reguladora ou autoridade reguladora independente? Disponível aqui. Acesso em 12 de setembro de 2022. 25 Com amparo no art. 55-J, XXIII e §3º da LGPD. 26 Parece ser esse o caminho de preferência da ANPD, que, ao considerar as opções regulatórias relacionadas ao art. 52, §1º da LGPD, optou por usar a boa-fé do infrator como atenuante. Na justificativa do Relatório de Análise de Impacto Regulatório, a ANPD informou o seguinte: "No que se relaciona ao fato de se considerar a obrigac¸a~o legal de boa-fe' como bonificac¸a~o no processo sancionador, faz-se necessa'rio recordar que o AIR sobre a norma de processo sancionador da ANPD optou por uma estrate'gia de atuac¸a~o fiscalizato'ria voltada para promover a conformidade e orientar, baseada em risco e com foco em promover melhorias significativas no respeito a`s normas de protec¸a~o de dados pela sociedade. Reconhecer e estimular a adequac¸a~o a` lei, portanto, vai ao encontro da regulac¸a~o responsiva, alicerce da proposta normativa da ANPD." Op. Cit. 27 Nas palavras de Balkin, "This is yet another reason to assign the task of concretizing fiduciary obligations to administrative agencies with appropriate expertise." BALKIN, Jack M. The Fiduciary Model of Privacy. Op. cit. 28 Balkin defende o mesmo na seguinte passagem: "If vagueness is the concern, the answer is to use either common law decisionmaking (as in antitrust and products liability) or rulemaking and adjudication by administrative agencies to articulate privacy obligations in more concrete rules and standards. If the federal government includes the fiduciary model in comprehensive privacy regulation, it should delegate this task to a federal agency." BALKIN, Jack M. The Fiduciary Model of Privacy. Op. cit. 29 Despacho de 22 de agosto de 2022 do Diretor-Presidente da ANPD, publicado no DOU em 23/08/2022. 30 Cf. item 8.2.5 do. "E' fato que o conceito da boa-fe' e' conceito nebuloso, cuja aplicac¸a~o e correta interpretac¸a~o devera~o ser objeto de avaliac¸a~o cuidadosa por aquele que interpretar a norma de forma a conferir previsibilidade e seguranc¸a juri'dica ao administrado." Op. Cit.
As campanhas eleitorais de 2022 iniciaram em 16 de agosto e já presenciamos uma decisão importante do Tribunal Superior Eleitoral: a divulgação de algumas informações sobre os candidatos e seus limites perante a Lei Geral de Proteção de Dados Pessoais. O presente artigo tem como objetivo demonstrar que o novo cenário constitucional brasileiro reconhecendo a proteção de dados como um direito fundamental não foi observado na fundamentação da decisão que revogou a limitação de exibição de alguns dados de um candidato no caso analisado. Ainda, será realizado um breve comparativo com o Case C-184/201 da Corte de Justiça da União Europeia, que, no início de agosto, realizou uma ponderação entre o direito fundamental à proteção de dados e a transparência de servidores públicos na Lituânia com base no interesse público. O atrito entre a LGPD e a construção de uma cultura de transparência no Brasil não é novidade para aqueles que estudam e acompanham o tema. Vivemos em um país que, salvo algumas exceções legislativas pontuais, não seguiu o movimento internacional pós década de 1990 (iniciado pela Diretiva de Proteção de Dados da União Europeia) de reconhecer a proteção de dados em seus ordenamentos internos, como, por exemplo, Argentina e Chile em 1999 e 2000, respectivamente.  Desde então, a privacidade era o limitador de mecanismos de transparência, principalmente em se tratando de questões de interesse público. Por exemplo, a Lei de Acesso à Informação, 12.527 de 2011, limita a transparência só em casos de segurança da sociedade e privacidade (art.  6º, inciso III). Importante destacar que a transparência é essencial para o Estado Democrático, sendo reconhecido como um valor constitucional no Brasil, garantindo aos cidadãos a possibilidade de controle das ações estatais e seus representantes. Ocorre que a proteção de dados pessoais é um direito com que tem sua importância reconhecida no cenário internacional desde a década de 1980 com a Convenção 108 do Conselho Europeia e as Diretrizes sobre Proteção da Privacidade e o Fluxo Transnacional de Informações Pessoais da OCDE, resultando na construção de sistemas de transparência equilibrados com esse direito protetivo pelos países que o reconheceram internamente, diferente do nosso país, que o fez somente com base na privacidade. Esse cenário mostra como o Brasil, ao ter a sua primeira legislação de proteção de dados somente em 2020 e a consequente constitucionalização da proteção de dados reconhecida através de via jurisprudencial em 2020 (decisão do Supremo Tribunal Federal sobre a constitucionalidade da Medida Provisória 954/20) e positivada em 2022 (Emenda Constitucional 115/22), enfrenta o desafio de entender o princípio constitucional da transparência com novos contornos constitucionais. O julgamento do Tribunal Superior Eleitoral no Processo Administrativo 0600231-37.2021.6.00.0000 não realizou sua análise com esse novo cenário constitucional, em que pese foram realizadas audiências públicas sobre o tema e que contou com a participação de entidades e especialistas. O Tribunal entendeu é necessário: a) manter públicos os dados relativos ao candidato, incluindo dados pessoais, certidões e declaração de bens, mantidos somente, em virtude da necessidade de garantir-se a sua segurança pessoal, a ocultação do lote ou apartamento, telefone ou e-mail pessoal; b) manter a declaração de bens fornecida pelo candidato, que deve ser feita de forma pública e individualizada, mediante retomada do campo "descrição" no sistema DivulgaCandContas; e c) de inexistir limitação temporal quanto à publicidade dos dados fornecidos à Justiça Eleitoral pelos candidatos, nos termos do voto do Ministro Alexandre de Moraes (Presidente). Destarte, importante destacar que os votos não foram publicados pelos ministros julgadores. A análise aqui realizada é com base na sessão em que o caso foi julgado2. Chama a atenção que, no voto do relator Ministro Alexandre de Moraes (que foi acompanhado quase integralmente), em que foi citada a previsão constitucional da publicidade e os valores da transparência, sem citar a proteção de dados como outro direito com status fundamental (positivado no art. 5°, inciso LXXIX). Somente foram citados dispositivos da LGPD referentes à sua não aplicabilidade para atividade jornalística (art. 4º da Lei) como sendo um "sinal verde" para a divulgação irrestrita de dados. Inclusive, o Ministro chega a expressar que a LGPD não seria aplicável na seara de publicidade de dados eleitorais, ignorando completamente o seu conteúdo de direito fundamental, sendo acompanhado nesse entendimento pelo Ministro Lewandoski ao citar o art. 5°, inciso XXXIII que trata sobre o direito fundamental de acesso a informações de interesse coletivo ou geral. É certo que o agente que pretende um cargo de natureza pública deve renunciar ao controle de alguns aspectos da sua vida pessoal em prol do interesse social, mas isso não significa uma exclusão total do direito fundamental à proteção de dados para esses indivíduos. O julgamento da Corte de Justiça da União Europeia sobre a lei VIII/371 da República da Lituânia realizou esse confronto de direitos com previsão constitucional. No caso, questionavam-se disposições legais da Lituânia que demanda a disponibilização de informações sobre pessoas que trabalham em serviços públicos entre elas: participação em associações, grupos e iniciativas (exceto partidos políticos e sindicatos), presentes com valor acima de 150 euros recebidos nos últimos 12 meses, informações sobre transações acima de 3 mil euros realizadas nos últimos 12 meses e informações sobre companheiros/companheiras e familiares. As informações eram divulgadas em site de órgão do governo como mecanismo de transparência para combate à corrupção. A Corte de Justiça explorou não só a importância de mecanismos de transparência para o combate à corrupção, como também aspectos do interesse social em ter disponível, com fácil acesso, informações sobre agentes públicos. Ocorre que o raciocínio jurisdicional confrontou esses direitos e valores com o direito fundamental à proteção de dados pessoais previsto no art. 8º da Carta de Direitos Fundamentais da União Europeia e os princípios que dele derivam, principalmente o da proporcionalidade (parágrafo 70 do acórdão) e o princípio da necessidade (parágrafo 85 do acórdão). Com esse raciocínio, uma das conclusões foi que a disponibilização online de informações sobre pessoas que trabalham em serviços públicos deve estar amparada no princípio da necessidade, ou seja, somente aquelas informações estritamente necessárias para a finalidade do combate à corrupção devem estar disponíveis. Ainda, é de extrema importância destacar que a Corte de Justiça em questão levou em conta o aspecto tecnológico envolvido, uma vez que a divulgação de dados pessoais através de plataforma online gera diferentes impactos do que em outros formatos, como o analógico. O parágrafo 92 do julgamento diz que: Em segundo lugar, mesmo que a publicação dos dados privados em causa no processo principal se revele necessária para atingir os objetivos prosseguidos pela lei sobre a conciliação de interesses, é de notar que um número potencialmente ilimitado de pessoas pode consultar os dados pessoais em causa. No entanto, não resulta dos autos do Tribunal de Justiça que o legislador lituano, ao adotar esta disposição, tenha examinado se a publicação desses dados na Internet sem qualquer restrição de acesso é estritamente necessária ou se os objectivos prosseguidos pela lei sobre a reconciliação interesses podem ser alcançados com a mesma eficácia se o número de pessoas aptas a consultar esses dados for limitado. Essa atenção para o contexto tecnológico do tratamento foi um dos argumentos do voto do Ministro Gilmar Mendes in REFERENDO NA MEDIDA CAUTELAR NA AÇÃO DIRETA DE INCONSTITUCIONALIDADE 6.390 no item "II - A inovação jurídica como contraface da inovação técnica: a permanente abertura da ordem constitucional à transformação tecnológica"3, principalmente no seu grifo: É por isso que, para muito além do mero debate sobre o sigilo comunicacional, este Tribunal deve reconhecer que a disciplina jurídica do processamento e da utilização da informação acaba por afetar o sistema de proteção de garantias individuais como um todo. Esse ponto, no caso do Tribunal Superior Eleitoral, sequer foi mencionado pelos julgadores. Por fim, é necessário destacar que aqui somente pretendemos demonstrar que o julgamento ignorou exercícios de ponderação de normas e princípios com status constitucionais que eram essenciais para o caso em tela e que colocam em risco a decisão diante de uma análise mais aprofundada. Reforçamos que não desejamos aqui defender que a transparência dos dados de candidatos a cargos de representação pública deve ser limitada e privar a sociedade de informações essenciais para a definição de seus representantes, mas, sim, que, tal como a Corte de Justiça da União Europeia demonstrou com poucas semanas de diferença, a análise com olhar de direitos constitucionais pode e deve ser realizada. ---------- 1 Disponível em inglês aqui. Acesso em 23/08/2022 2 A sessão foi gravada na íntegra. Acesso em 23/08/2022 3 BRASIL, Supremo Tribunal Federal. REFERENDO NA MEDIDA CAUTELAR NA AÇÃO DIRETA DE INCONSTITUCIONALIDADE 6.390, relatora Ministra Rosa Weber. Brasília, Distrito Federal. Disponível aqui . Acesso em 23/08/2022. Páginas 90-97
O Marco Legal das Startups (MLS), instituído pela Lei Complementar 182/21, inaugurou uma nova modalidade de contratação pública denominada "Contrato Público para Solução Inovadora" (CPSI). Um ano após a vigência do marco legal, é de interesse acadêmico investigar como a Administração Pública e a iniciativa privada reagiram à novidade. De início, cumpre pontuar que o MLS nasceu com a ousada proposta de desburocratizar o procedimento de contratação de práticas tecnológicas pelo Poder Público e de fomentar o empreendedorismo inovador. Há a reafirmação do laço de cooperação entre o público e o privado, direcionado ao incentivo do estímulo à inovação nas empresas e à modernização tecnológica do Estado a partir de seu poder de compra (art. 12, II). Por meio do CPSI, busca-se o "fomento à inovação e as potenciais oportunidades de economicidade, de benefício e de solução de problemas públicos com soluções inovadoras" (art. 3º, VIII). Em termos normativos, a edição do MLS não trouxe muitas novidades para a seara do direito administrativo licitatório, visto que, de certa forma, as práticas ali delineadas já eram consideradas possíveis a partir da combinação de outros diplomas legais1 (em especial: lei 10.973/2004 - Lei de Inovação - e sua consequente alteração pela lei 13.243/2016; lei 14.133/2021 - Nova Lei de Licitações; e lei 13.303/2016 - Lei das Estatais). Não se discute, contudo, que houve a inauguração de práticas modernas e convenientes com o cenário empresarial atual, sobretudo ao se considerar que as startups - protagonistas da norma - são tidas como os grandes berços da inovação tecnológica. Com isso, buscou-se aproximar a Administração Pública de boas técnicas resolutivas, de modo que constituem finalidades do CPSI "resolver demandas públicas que exijam solução inovadora com emprego de tecnologia"; e "promover a inovação no setor produtivo por meio do uso do poder de compra do Estado" (art. 12, caput). A edição do MLS vincula todo o Poder Público ao novo regime de compras, até mesmo a Administração Pública direta, autárquica e fundacional, inclusive no âmbito estadual, distrital e municipal2 (art. 12, § 1º), com possibilidade de adoção também pelas empresas públicas e sociedades de economia mista3, no que couber, observadas disposições específicas em regulamento interno (art. 12, § 2º). Para estudar o CPSI, inaugurado pelo MLS, optou-se por analisar editais públicos lançados ao longo do último ano e em diversos níveis da Administração Pública. No âmbito do Programa ImpulsiONar, parceria do Instituto Lemann com vários municípios brasileiros, foram lançados diversos editais baseados no MLS com o objetivo de construir práticas inovadoras voltadas à construção de tecnologias para o combate da defasagem nas disciplinas de Língua Portuguesa e Matemática entre os estudantes do 6º ao 9º ano da rede pública de ensino4. Todos os editais foram elaborados com a finalidade de atrair edtechs - startups focadas no desenvolvimento de soluções tecnológicas em educação - para encontrar caminhos inovadores de combate à defasagem escolar a partir de um problema social específico: o déficit nas disciplinas básicas durante as fases finais do ensino fundamental. Para atrair competitividade e fomentar a participação da maior quantidade possível de soluções, os editais delimitam o escopo da licitação com proposituras abrangentes e fazem constar especificamente os resultados que são esperados com a contratação pública, nos moldes do que autoriza o art. 13, § 1º, do MLS. No âmbito do programa ImpulsiONar, muitos são os desafios encontrados pelos gestores em educação no Brasil, de modo que a possibilidade de aliar tecnologia com práticas pedagógicas a partir da contratação pública abre novas portas para soluções criativas. Contribui para a abertura de novos caminhos a possibilidade de delimitação aberta do objeto do contrato, a partir da indicação do problema a ser resolvido e dos resultados esperados pela Administração Pública, o que permite que as startups proponham práticas tecnológicas modernas e personalizadas para a resolução da necessidade específica. Há uma integração entre a demanda e a oferta, de sorte que essa última passa a ter que se adequar ao problema a ser solucionado não mais de forma abstrata, mas para atender às necessidades específicas do ente público. Para a seleção da proposta, dispõe o art. 13, § 4º, do MLS que os critérios de julgamento, sem prejuízos de outros constantes do edital de licitação, devem considerar: o potencial de resolução do problema a partir da solução proposta; a potencial economia para a administração pública; o grau de desenvolvimento da solução; a viabilidade e a maturidade do modelo de negócio da solução; a viabilidade econômica da proposta, considerando os recursos financeiros disponíveis; e a demonstração comparativa de custo e benefício da proposta em relação às demais. Há, ainda, a possibilidade de contratação de mais de uma proposta, cujo quantitativo deve ser exposto no edital (art. 13, § 6º), inclusive em modalidade de consórcio (art. 13, caput). Com isso, o legislador tentou aproximar startups concorrentes para a resolução conjunta de problemas específicos, o que cria cooperação para o cumprimento do interesse público - além de alocação mais eficiente dos recursos. Nos editais do Programa ImpulsiONar há vedação específica da contratação de consórcio, diferentemente do que ocorre no Edital CPSI - Licitação n. 2857625219 - lançado pela Petrobrás S.A em 2021. Neste caso, a opção pela possibilidade de formação de  consórcios para a proposta de soluções tecnológicas conjuntas aos desafios da Empresa foi o de atrair a maior quantidade possível de players do mercado nacional e internacional para dirimir questões técnicas inerentes às áreas finalísticas. O edital contempla diversos desafios que visam munir a Petrobras S.A de soluções tecnológicas nas áreas de robótica, tecnologias digitais e saúde. Os desafios são divididos em Fast Track - de seleção única e simplificada - e Inception - cuja seleção é feita em duas etapas. No primeiro caso, as propostas foram submetidas a uma comissão de licitação composta por especialistas responsáveis por avaliar os critérios de julgamento do edital. Já quanto aos desafios mais complexos (Inception), as propostas foram indicadas pela Autoridade Superior e apresentadas pela Comissão de Licitação ao Comitê Técnico composto por especialistas na área de cada desafio, com o objetivo de dirimir dúvidas específicas. Cabe pontuar que o MLS dispõe que as propostas devem ser julgadas e avaliadas por comissão especial integrada por, no mínimo, três pessoas de reputação ilibada e notório conhecimento técnico, obrigatoriamente sendo: um servidor público integrante do órgão contratante; e um professor de instituição pública de ensino superior na área relacionada ao tema objeto do contrato (art. 13, § 3º, I e II). Nesse ponto, as críticas especializadas apontam um engessamento no processo de tomada de decisão e de escolha da melhor proposta, já que a designação de comissão especial, de acordo com a doutrina administrativista, não é capaz de assegurar completamente a tecnicidade e a impessoalidade5. Isso porque, sobretudo no campo de tecnologia e inovação, há uma específica proximidade entre os atores e os técnicos-julgadores que costumam ser conhecidos, direta ou indiretamente, o que pode impor na influência de critérios subjetivos na tomada de decisão6. Uma vantagem é que os editais ora analisados se aproveitaram da possibilidade de análise posterior da documentação relativa aos requisitos de habilitação (art. 13, § 7º), o que traz maior celeridade ao procedimento. Agora, a administração pública somente avança para analisar o dossiê daquelas propostas que passaram pelo crivo prévio de adequação. Ainda, há a possibilidade de dispensa motivada da documentação de habilitação ou da prestação de garantia para a contratação (art. 13, § 8º, I e II), cuja permissividade legal objetiva também oportunizar a participação de startups que não tenham experiência prévia em processos licitatórios e que buscam no poder público oportunidades de crescimento. É certo que o MLS e o CPSI trazem vantagens para a Administração Pública e para o setor das startups no Brasil, em especial as govtechs. Sua consolidação depende do desenvolvimento de hábitos jurídicos positivos que serão estruturados com o passar dos anos e a partir do pronunciamento dos órgãos de controle em casos concretos. Sua existência no mundo normativo reforça a concepção de que o avanço social, em questão de direito administrativo, depende do alinhamento com a inovação e tecnologia. Em matérias de compras públicas, o alinhamento com as melhores soluções em tecnologia e inovação é o diferencial para a construção de políticas públicas de qualidade que façam sentido para o progresso do País. No último ano, houve a mobilização de CPSI para atrair o setor de tecnologia para a administração pública. Viu-se que, a partir do MLS, o Programa ImpulsiONar auxilia na conexão de edtechs com órgãos da administração pública que necessitam de soluções inovadoras para melhorar a qualidade do ensino na rede pública. A partir de outro contexto, também delineou-se a aplicação do CPSI no âmbito do Estado Empreendedor para garantir maior proximidade com o setor privado na busca de soluções e serviços inovadores na área de petróleo e energia. Ficam claras as vantagens do uso de instrumento de contratação pública tanto para a Administração Pública, quanto para a iniciativa privada. Logo, muito embora ainda exista muito no que avançar em termos de legislação de compras públicas e inovação, é indubitável que o MLS abriu portas para a aproximação mais eficiente, e com certa segurança jurídica, entre Estado e startups. __________ 1 Para críticas que se aprofundam nesse ponto, conferir: Schiefler, Gustavo. CPSI no Marco Legal das Startups: o que se vê e o que não se vê. Revista Conjur, 08 de agosto de 2021. 2 Exemplo do Edital n. 003/2021 do Município de Guaramiranga/CE que objetivou a construção de inovação tecnológica para combater a defasagem nas disciplinas Língua Portuguesa e Matemática dentre os estudantes do 6º ao 9º ano da rede pública de ensino. 3 Vide, como exemplo, o Edital Petrobrás de Chamada Pública de Testes de Soluções 2021/1, elaborado com base no MLS e com o objetivo de "selecionar soluções já validadas ou em fase de validação no mercado, com potencial para atender os desafios da Petrobras". 4 Exemplos: Edital n. 003/2021 do Município de Guaramiranga/CE; Edital 001/2022 do Município de Volta Redonda/RJ; Edital 001/2022 do Município de Bonito/PE; Edital n. 001/2021 do Município de Cabrobó/CE; Edital n. 001/2022 do Município de Santa Maria/RS. 5 Ver Di Pietro, Maria Sylvia. Licitações e contratos administrativos. São Paulo: Editora Forense, 2021. 6 Em igual sentido, conferir: Schiefler, Gustavo. CPSI no Marco Legal das Startups: o que se vê e o que não se vê. Revista Conjur, 08 de agosto de 2021.
É difícil achar um tema sobre privacidade e proteção de dados pessoais que já não tenha sido objeto de discussão no Brasil. Desde a entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e da Lei Geral de Proteção de Dados Pessoais (LGPD), inúmeros foram os seminários, palestras, livros e lives que trataram sobre os variados aspectos das legislações, incluindo seus pontos controvertidos1 e omissões. No entanto, ao menos um debate - importante e promissor - permanece inédito (ou insuficientemente enfrentado2) em solo nacional: a proteção dos dados pessoais sob a ótica dos deveres fiduciários informacionais. Para facilitar a leitura, a presente exposição foi divida em duas partes. A primeira foca nos pontos centrais da teoria, incluindo sua origem, conceitos, alcance e atrativos. Já a segunda trata dos riscos, das críticas e da sua potencial aplicação no direito brasileiro, tanto do ponto de vista da base normativa e complementaridade com a LGPD, quanto dos aspectos práticos dos modelos regulatórios possíveis. Feita essa nota introdutória, passamos ao estudo do tema. O modelo fiduciário de proteção de dados pessoais foi originalmente pensado por Jack Balkin, professor de Direito da Yale Law School, em 20143. Em uma publicação em seu blog4, Balkin esboçou as primeiras linhas do que viria a ser uma proposta inovadora de proteção da privacidade e dos dados pessoais nos EUA. Desde então, o conceito foi ampliado e desenvolvido em uma série de artigos5, com a colaboração de Jonathan Zittrain, professor de Direito da Harvard Law School6, tendo influenciado, ainda, o projeto de lei intitulado "Data Care Act of 2018", apresentado no Senado Federal em 12/12/2018.7 Mas no que consiste a teoria dos deveres fiduciários informacionais? Segundo Balkin e Zittrain, vivemos em uma era em que a informação tem um papel central no desenvolvimento econômico e na organização social, de modo que as organizações têm um incentivo de maximização de coleta de dados dos seus usuários, no intuito de usá-los em benefício próprio. Nesse ambiente, quando o titular fornece seus dados em troca de bens e serviços, ele se vê obrigado a confiar no prestador, já que, em regra, ele não compreende a complexidade do mundo virtual e de que maneira seus dados podem ser usados contra os seus interesses. Ainda que entenda, raramente terá a faculdade de não utilizar o serviço ou o poder de barganha para mudar os termos do contrato.8 É justamente por conta dessa relação de sujeição e confiança "cega", aliada aos problemas de assimetria informacional, de vulnerabilidade do consumidor e de incentivo econômico ao abuso no tratamento dos dados pessoais, que Balkin sugere que os provedores de aplicação de internet deveriam ser tratados como fiduciários informacionais, os quais deveriam obedecer a três deveres legais: lealdade, confidencialidade e cuidado. No entanto, antes de minudenciar o conteúdo desses deveres, é preciso entender o porquê da analogia proposta por Balkin. A palavra fiduciário vem do verbo latim fidere, que significa confiar.9 Conceitualmente, fiduciário é alguém que mantém uma relação de confiança com um terceiro (conhecido como "beneficiário", "principal" ou "cliente") e que está autorizado a manter e gerir algo valioso - como dinheiro, propriedade e informações - em nome deste beneficiário. Nessa relação, o beneficiário deposita sua confiança no fiduciário, que, por sua vez, tem o dever (fiduciário) de não trair essa confiança. Esses "deveres fiduciários" já são amplamente reconhecidos em uma gama bem ampla de relações jurídicas, como, por exemplo, nas relações que os clientes têm com os seus advogados, médicos e psicólogos, que devem utilizar tais informações em benefício do cliente/paciente ou, na pior das hipóteses, de modo que não prejudique os seus interesses ou as suas expectativas legítimas. Deveres fiduciários existem para proteger indivíduos que estão numa posição de fraqueza numa relação jurídica e servem, sobretudo, para regular os casos de interesses conflitantes entre as partes. No Brasil, por exemplo, advogados não podem violar seu sigilo profissional, estabelecer entendimento com a parte adversa sem autorização do cliente, locupletar-se às custas deste ou receber valores, da parte contrária ou de terceiro, relacionados com o objeto do mandato, sem expressa autorização do constituinte10. Médicos também devem resguardar o sigilo profissional e se valer dos seus conhecimentos técnicos sempre em benefício do paciente11. Psicólogos não podem induzir a convicções políticas, filosóficas, morais ou religiosas, ou receber vantagens por encaminhamento de serviços, e devem "considerar as relações de poder nos contextos em que atuam e os impactos dessas relações sobre as suas atividades profissionais"12. A lista de exemplos é extensa, mas todos os casos possuem os mesmos elementos em comum: (i) desequilíbrio de poder entre as partes e assimetria informacional; (ii) inabilidade do cliente/paciente para supervisionar, controlar ou monitorar as atividades do profissional; (iii) a relação de sujeição que se estabelece entre o profissional e o interessado; e (iv) a consequente vulnerabilidade associada à necessidade de confiança naquele prestador. A ideia, portanto, é que os agentes de tratamento, no geral, e as plataformas, no particular, sejam compelidas a agir de maneira confiável, tal como fiduciários tradicionais, rentabilizando seus serviços dentro dos limites impostos não só pela legítima expectativa dos clientes, mas também pela natureza da relação fiduciária, que pressupõe que o agente fiduciário não se locupletará em detrimento do próprio beneficiário, ainda que este possa não ter o conhecimento técnico necessário para identificar e mensurar a dimensão do dano. É nesse cenário que exsurgem os três deveres fundamentais do fiduciário informacional. O primeiro deles é o dever de lealdade, que requer que as organizações ajam de modo a satisfazer os interesses e as expectativas do usuário, evitando práticas que permitam um benefício próprio em detrimento do titular de dados. O segundo é o dever de confidencialidade, que exige que o provedor do serviço não divulgue ou compartilhe os dados em desconformidade com a legítima expectativa de privacidade dos seus usuários. O terceiro é o dever de cuidado, que exige que a organização proteja os dados pessoais sob sua guarda e não os compartilhe com terceiros que não assumam deveres fiduciários informacionais de igual estatura. Todos esses deveres convergem em um dever geral de confiança, que impede que as organizações se aproveitem de uma situação privilegiada em uma relação assimétrica para coletar, processar, usar e compartilhar dados de uma forma que seja prejudicial aos interesses e legítima expectativas dos seus usuários.13 Vale dizer que essa construção do Balkin é teórica e contextual, muito como a definição de privacidade enquanto "integridade contextual"14. Ela se inspira nos fundamentos dos deveres fiduciários tradicionais para criar um sistema equivalente de tutela da privacidade e dos dados pessoais, sem entrar nas minúcias regulatórias envolvendo cada tipo de negócio. A proposta é, portanto, deliberadamente aberta, se limitando às diretrizes que devem guiar as relações sociais em um mundo conectado, sem fechar as portas para futuros serviços e modelos de negócio que ainda não conhecemos. E o que essa teoria traz de novo para o debate sobre privacidade e proteção dos dados pessoais? Em que medida ela se compara (e se compatibiliza) com o RGPD e a LGPD? É possível dizer que ambas as propostas comungam dos mesmos diagnósticos a respeito dos problemas relacionados à violação da privacidade e mercantilização dos dados pessoais, mas propõem vias alternativas de solução. Assim como a proposta legislativa de Balkin, o GDPR e a LGPD também admitem a existência de uma assimetria informacional entre titulares de dados e controladores. No entanto, enquanto o GDPR e a LGPD dão ênfase ao empoderamento e à autodeterminação informativa do titular do dado pessoal, a proposta de Balkin foca na relação em si e na mudança de status jurídico que traz obrigações próprias ao seu controlador. Apesar das suas diferenças, parece não haver incompatibilidade entre os modelos. Em um dos seus artigos, Balkin contrastou a sua proposta com o GDPR, concluindo que "existe uma sobreposição razoável entre os dois, sendo que a principal diferença é a base para a proteção da privacidade - enquanto o GDPR foca no consentimento do usuário em um modelo contratual, a abordagem fiduciária se afasta dos termos de uso e obriga os provedores de serviço na internet a agirem em boa-fé e de modo não manipulativo."15 A ausência de incompatibilidade entre os modelos é, na realidade, um dos atrativos da teoria de Balkin. Os deveres fiduciários informacionais podem (e devem) dialogar com outras fontes do ordenamento jurídico, como as normas oriundas do direito do consumidor, do direito da concorrência e das leis gerais de proteção de dados pessoais. Além dessa versatilidade, outras vantagens dessa teoria podem ser notadas:  Diminuição da fadiga do usuário e da pressão sobre o seu consentimento - Muitos titulares de dados têm dificuldade para entender o complexo fluxo de informações no ambiente virtual e as consequências práticas das suas escolhas de privacidade. Não só isso, seu consentimento raramente é livre e informado, sendo influenciado por vieses cognitivos e pela própria arquitetura de escolha. Assim, ao fim do dia, o usuário-médio não está preocupado com o aviso de privacidade da plataforma. Ele apenas espera usar o serviço, não ser prejudicado e não ter a sua confiança abusada (o que é um dos objetivos almejados pelos deveres fiduciários informacionais).   Abordagem menos formalista - Enquanto soluções baseadas em consentimento16 ignoram a realidade de desinteresse do usuário (que, normalmente, consente com os termos de uso sem ler), a teoria dos deveres fiduciários informacionais impõe às organizações um dever de atuação contínua em prol dos interesses do usuário. Em outras palavras, a teoria traz um novo padrão de conduta para os provedores, e não apenas uma camada artificial de conformidade regulatória.   Deslocamento do paradigma de proteção do "contratual" para o "regulatório" - Modelos contratuais se mostram pouco protetivos se o usuário-médio for incapaz de avaliar o dano e o risco cumulativo das suas escolhas de privacidade. Portanto, os deveres fiduciários informacionais seriam um modelo de imposição regulatória, que traria maior confiança, previsibilidade e estabilidade nas expectativas de privacidade, já que os direitos dos usuários não ficariam sujeitos aos simples termos de uso das plataformas, que podem mudar subitamente.  À luz de todos esses traços e características originais, a proposta de Balkin merece, no mínimo, debate e consideração pela academia brasileira. É uma perspectiva nova e instigante, sem precedente no direito positivo, mas com vasto potencial a ser explorado. Em síntese, é mais uma ferramenta à disposição do Estado para a tutela efetiva do direito fundamental à proteção de dados pessoais. Agora, há espaço para adoção da teoria dos deveres fiduciários informacionais no Brasil? Há base normativa (na LGPD ou no ordenamento jurídico pátrio) para adoção dessa ferramenta de tutela dos dados pessoais? Quais são as suas principais críticas e riscos? Qual seria o melhor desenho regulatório, no caso de sua eventual implementação? Essas são algumas das questões que serão tratadas na segunda parte desta exposição. __________ 1 Especial ênfase deve ser dada à discussão a respeito dos limites das bases de tratamento de dados pelo "consentimento" e "legítimo interesse", já que se conectam diretamente com a presente discussão sobre a teoria dos deveres fiduciários informacionais. 2 Em consulta realizada em 31/07/2022, o Google não retornou nenhum resultado para a expressão "deveres fiduciários informacionais", seja em seu buscador geral, seja em seu buscador acadêmico. 3 Embora haja quem defenda que a ideia de plataformas online enquanto "fiduciários informacionais" foi cunhada pelo professor Kenneth Laudon no início dos anos 90. Cf. KHAN, Lina M.; POZEN, David. E. A Skeptical View of Information Fiduciaries. Harvard Law Review, Vol. 133, pp. 497-541, 2019. Disponível aqui. Acesso em 31 de julho de 2022. 4 BALKIN, Jack M. Information Fiduciaries in the Digital Age. Balkinization, 5 de março de 2014. Disponível aqui. Acesso em 31 de julho de 2022. 5 Cf. BALKIN, Jack M.; ZITTRAIN, Jonathan. A Grand Bargain to Make Tech Companies Trustworthy. Atlantic, 03 de outubro de 2016. Disponível aqui; BALKIN, Jack M. Information Fiduciaries and the First Amendment. UC Davis Law Review, Vol. 49, No. 4, 2016. Disponível aqui. Id. Free Speech in the Algorithmic Society: Big Data, Private Governance, and New School Speech Regulation. Yale Law School, Public Law Research Paper No. 615. Disponível aqui. Id. Free Speech is a Triangle. Yale Law School, Public Law Research Paper No. 640. Disponível aqui. Id. Fixing Social Media's Grand Bargain. Yale Law School, Public Law Research Paper No. 652. Disponível aqui; Id. The First Amendment in the Second Gilded Age. 66 Buff. L. Rev. 979 (2018). Disponível aqui; Id. The Fiduciary Model of Privacy. Harvard Law Review, Vol. 134, No. 1 (2020). Disponível aqui; e Id. How to Regulate (and Not Regulate) Social Media. Journal of Free Speech Law 71 (2021). Disponível aqui. 6 ZITTRAIN, Jonathan. Facebook Could Decide an Election Without Anyone Ever Finding Out. New Republic, 1º de junho 2014. Disponível aqui; Id. How to Exercise the Power You Didn't Ask For, Harv. Bus. Rev., 19 de setembro de 2018. Disponível aqui; Id. Mark Zuckerberg Can Still Fix This Mess. N.Y. Times, 7 de abril de 2018. Disponível aqui.; e Id. Engineering an Election. Harvard Law Review Forum, Vol. 127, p. 335, 2014. Disponível aqui. 7 Data Care Act of 2018, S. 3744, 115th Congress. Disponível aqui. Acesso em 31 de julho de 2022. 8 Não se pode perder de vista que a proposta de Balkin parte da premissa que, nos EUA, ainda não existe uma legislação compreensiva federal sobre proteção de dados, de modo que os termos de uso e os avisos de privacidade ainda são a principal fonte de proteção da privacidade e dos dados pessoais. 9 Véliz (n 8), p. 185 10 Art. 34, VII, VIII, XIX e XX da Lei Federal no 8.906/1994. 11 Cap. I, V, XI, XVII, XXIII; Cap. III, art. 20 e Cap. V, art. 32 da Resolução CFM no 1.931/09. 12  Art. 2º, alíneas "b" e "p" da Resolução CFP no 010/05. 13 Balkin sintetiza a ideia da seguinte forma: "Perhaps the best way of summarizing the idea of information fiduciaries in the digital age is that online service providers may not act like con men. The term 'con man' is short for 'confidence man,' and the point of a 'con game' (or 'confidence game') is to gain the trust and confidence of a mark in order to act against their interests later on. The idea of a con game is just the mirror image of the idea of a fiduciary duty: if you induce another to treat you with confidence, you cannot turn around and betray that confidence." BALKIN, Jack M. Information Fiduciaries and the First Amendment. UC Davis Law Review, Vol. 49, No. 4, 2016. p. 1224. 14 Cf. NISSENBAUM, Helen. Privacy as contextual integrity. Washington Law Review, Vol. 79, No. 1 (2004), pp. 119-157. 15 BALKIN, Jack M. Fixing Social Media's Grand Bargain. Yale Law School, Public Law Research Paper No. 652. Disponível aqui. p. 15. 16 Note-se, no entanto, que esse ponto pode carregar uma certa compreensão equivocada ou, no mínimo, desatualizada sobre o sistema europeu. De fato, nas suas origens no constitucionalismo alemão, o consentimento acabava desempenhando um papel de destaque, tendo em vista o princípio da autodeterminação informacional. Se essa crítica era, de certa forma, válida sob o regime da Diretiva 95/46/CE, o mesmo não pode ser dito do regime do RGPD, que representa um tremendo esforço regulatório contra a centralidade do consentimento.
"Todos os dados sobre nós são, na verdade, componentes da nossa personalidade." Rachel Richterich Os dados estão em toda parte. Eles constituem um dos pilares da denominada 4ª revolução industrial,1 uma profunda transformação tecnológica ainda em curso, caracterizada por ondas simultâneas de notáveis avanços tecnológicos em diversas áreas do conhecimento e pela interação/fusão dessas tecnologias nos domínios físico, biológico e digital. Na "era da informação", todos os dados - com especial destaque para os dados pessoais - são negociados como verdadeiras "commodities", cujos custos de armazenamento, transporte e replicação são praticamente nulos.2 Os perigos da "comoditização" dos dados, no geral, e dos dados pessoais, em particular, já foram bem explorados pela literatura especializada.3 Há uma espécie de consenso de que o maior dos perigos é que a coleta e o processamento dessa enorme quantidade de dados geram conhecimento, e isso, por sua vez, implica poder. A partir dos dados pessoais, empresas e governos aprendem cada vez mais sobre o seu titular. No limite, esse imenso poder acaba permitindo que organizações decidam à revelia das pessoas o que conta e o que não conta como conhecimento sobre elas.4 E essa nova forma de exploração pode representar um risco mensurável a partir de diferentes escalas e com diferentes repercussões pessoais. Exatamente para combater os efeitos indesejados da "economia de dados"5 é que surgiram, nas últimas décadas, diversas leis sobre proteção de dados pessoais. A preocupação de recolocar o indivíduo no controle das informações que lhe digam respeito está na base dessas legislações desde a histórica decisão do BVerfG,6 de 1983, que reconheceu a autodeterminação informacional como um direito fundamental.7 Seu objetivo é fornecer aos indivíduos um poder real e permanente de controle sobre os seus próprios dados,8 livrando-o de influências externas e dando-lhe conhecimento de como terceiros lidam com as informações lhe dizem respeito. Apesar de alguns avanços pontuais, ainda há muitos desafios em aberto e diversos problemas a serem resolvidos.9 A razão dessas limitações parece ser óbvia. Da forma em que evoluíram nas últimas décadas, essas legislações acabaram sendo muito eficientes para proteger as informações relacionadas à pessoa natural, mas não necessariamente a própria pessoa natural.10 Com efeito, as legislações atuais regulam e, como consequência, protegem especialmente o uso de certos elementos dessa identidade, e não a identidade em si. Um desvirtuamento de propósito e uma incongruência em relação ao intuito original dessas regulações. Em última análise, importante destacar que os dados pessoais não são - ou não deveriam ser - categorias externas, mas, sim, uma projeção da própria pessoa natural.11 De fato, parece que as legislações de proteção de dados inspiradas no sistema europeu evoluíram centradas no conceito de informação, falhando em estabelecer uma noção compreensiva do conceito de identidade digital da pessoa humana. Ocorre, contudo, que os dados pessoais são elementos constitutivos da própria identidade pessoal, e não algo externo a ela, de modo que não haveria qualquer "diferença entre a esfera de informação de uma pessoa e sua identidade pessoal".12 Uma vez que a proteção da pessoa no mundo digital é mais importante que a proteção dos seus dados pessoais,13 seria necessária uma mudança de paradigma, com o reconhecimento de uma categoria jurídica centrada na pessoa, e não nas suas informações. Note-se que houve um esforço, nesse sentido, na própria cláusula preliminar da LGPD: seu art. 1º, destinado a propagar o objeto da norma e seu âmbito de aplicação (art. 7º da LC  95/98), declara que seu propósito é "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural", mas busca fazê-lo através de regras e de um estatuto de direitos voltados à conformação do tratamento da informação pessoal. Assim sendo, para aumentar a eficácia dos sistemas de proteção de dados pessoais, seria necessário o reconhecimento, em sede constitucional, de uma nova categoria jurídica compreensiva, que sirva de base adequada para a proteção da pessoa humana na era da informação. Esse seria o direito à integridade digital, um novo fundamento constitucional para os direitos digitais e uma nova manifestação do conceito restritivo de dignidade humana.14 De fato, na "era da informação", a existência humana não se limita aos seus atributos psicofísicos, mas, na atualidade, também inclui representações digitais desses atributos. É inegável que a vida de uma pessoa hoje se desenvolve em duas dimensões diferentes, que estão intrinsecamente interligadas como dois lados da mesma moeda: a dimensão psicofísica e a dimensão digital, que simplesmente não podem ser separadas. Como consequência, não é possível proteger juridicamente apenas uma dimensão e ignorar a outra.15 Assim sendo, se a existência psicofísica da pessoa é protegida por meio do reconhecimento de direitos fundamentais que impedem qualquer violação à sua integridade, o advento do homo digitalis também deve levar ao reconhecimento de direitos fundamentais que protejam a sua integridade no mundo digital.16 A lógica do argumento é simples: se as pessoas vivem digitalmente, sua integridade também se estende a essa dimensão e, por isso, deve ser protegida.17 E da mesma forma que o corpo psicofísico pode ser protegido de forma alheia ou, no limite, de forma contrária à vontade do seu titular, talvez também seja importante reconhecer uma proteção compreensiva do corpo digital. Essa proteção compreensiva decorre da própria natureza bidimensional da dignidade humana, suporte final da integridade humana, no geral, e da integridade digital, em particular. De um lado, a dignidade humana pode funcionar como um mandado de empoderamento. Essa é a abordagem clássica do direito da proteção de dados, que remonta ao reconhecimento da autodeterminação informacional como direito fundamental pelo BVerfG.18 Trata-se de uma leitura apoiada numa concepção formal de dignidade humana, própria da filosofia política,19 cuja máxima é "o homem é um sujeito capaz de se autodeterminar" (fórmula do reconhecimento mútuo).20 A ideia aqui é reconhecer a cada indivíduo autonomia21 para decidir os rumos da própria vida e, como consequência, o poder de decisão sobre o tratamento dos seus dados pessoais.22 De outro lado, a dignidade humana também pode funcionar como um mandado de constrangimento, ancorada numa leitura material da dignidade humana, uma formulação própria da filosofia moral, cuja máxima é "o homem não pode ser reduzido a um objeto, um meio para o atingimento de um fim" (fórmula da objetificação).23 Trata-se de uma abordagem que serve como um guarda-chuva para uma série de mandamentos orientados para o reconhecimento de direitos individuais oponíveis erga omnes. Nesse caso, a vontade (autonomia) do indivíduo tem pouco ou nenhum peso, porque a preocupação é resguardar a sua condição humana in re ipsa. Extrai-se dessa concepção de dignidade humana, por exemplo, a proibição de venda dos próprios órgãos pelo indivíduo ou a proteção daqueles que, por qualquer motivo, não podem fazer uso das suas faculdades de autodeterminação. Concepções perfeitamente extensíveis aos dados pessoais e já amparadas por proteção tanto jurídica, como, mais recentemente, moral (até recentemente, não era repreensível socialmente o "comércio de dados pessoais", o que mudou a partir da evolução sobre o direito à proteção de dados pessoais). Desse modo, uma proteção satisfatória da dimensão digital da pessoa humana não deve ser limitada à sua autodeterminação informacional. O reconhecimento da integridade digital como um novo direito fundamental também deve ser orientado pela "dignidade como constrangimento", com o intuito de coibir o processo de mercantilização dos dados pessoais dos indivíduos, evitar os indivíduos "abram mão" de aspectos substanciais relativos à sua personalidade e ajudar que a tecnologia funcione no interesse da dignidade humana.24 Uma pessoa não deve apenas poder controlar informações sobre si mesma usando direitos digitais, mas também ter certeza de que, se tal controle não for completamente possível, ninguém extrairá, transferirá ou usará suas informações para prejudicá-la, mesmo no caso de seu consentimento.25 Talvez seja importante reconhecer um novo quadro regulatório, centrado no direito à integridade digital (e não na simples proteção dos dados pessoais), que contenha aspectos da dignidade humana como constrangimento ao lado da já tradicional dignidade humana como empoderamento, tradicional no direito à proteção de dados. O reconhecimento da integridade digital como um novo direito fundamental, de status constitucional,26 pode contribuir com a proteção efetiva do indivíduo na esfera digital e enfraquecer a tendência de comoditização dos dados pessoais, não propriamente impedindo sua utilização, mas redefindo-a em um novo contexto social e individual. _____ 1 A 1ª revolução industrial ocorreu entre 1760 e 1840, com o surgimento da máquina a vapor, que mecanizou a produção, e das estradas de ferro. A 2ª revolução industrial ocorreu na virada do século XIX para o século XX, com o advento da eletricidade e com o início da produção em massa, e com ela vieram o automóvel, o telefone, o rádio e o avião. Já a 3ª revolução industrial aconteceu na década de 1960, com a junção da eletrônica com a tecnologia da informação, responsável pelo movimento de automação. Sobre o tema: Schwab (2016), p. 11.  2 Schwab (2016), p. 12.  3 Apenas para citar alguns: Morozov e Marcondes (2018); Da Empoli e Bloch (2019); O'Neil (2020); Zuboff (2020). 4 Véliz (2021), p. 82.  5 Carrière-Swallow e Haksar (2019). 6 Bundesverfassungsgericht (Tribunal Federal Constitucional da Alemanha) 7 BVerfG 1 BvR 209, 269, 362, 420, 440, 484/83 (). 8 Maldonado e Opice Blum (2019), p. 27.  9 Apenas para dar um exemplo, o EDPS Ethics Advisory Group, num relatório de 2018, apontou que o direito à proteção de dados não parece suficiente para resolver todos os problemas éticos causados pelos recentes desenvolvimentos tecnológicos digitais, e que "as legislações de proteção de dados pessoais, como o GDPR, [...] parecem inadequados para enfrentar os desafios sem precedentes levantados pela virada digital.", EDPS Ethics Advisory Group (2008), p. 7. 10 Urgessa (2016) p. 106.  11 Vardanyan, Stehlík, Kocharyan (2022), p. 9. 12 Floridi (2005), p. 195. 13 Vardanyan, Stehlík, Kocharyan (2022), p. 169.  14 Vardanyan, Stehlík, Kocharyan (2022); p. 161.  15 Vardanyan, Stehlík, Kocharyan (2022), p. 170.  16 Vardanyan, Stehlík, Kocharyan (2022), p. 171.  17 Barbey (2019). 18 Em síntese, entendeu o BVerfG que que, com ajuda do processamento eletrônico, informações detalhadas de uma pessoa podem ser ilimitadamente armazenadas, consultadas e combinadas, formando um quadro da personalidade relativamente completo, sem que a pessoa atingida possa controlar suficientemente sua exatidão e seu uso. Isso ampliaria, de maneira até então desconhecida, as possibilidades de influência sobre o comportamento do indivíduo em função da pressão psíquica causada. 19 Sobre as distinções entre as concepções material e formal do princípio da dignidade da pessoa humana confira-se: Christoph Möllers (2009), p. 435. 20 Christoph Möllers (2009), p. 427; Pfordten (2006), p. 511. 21 Do grego auto (próprio/própria) e nomos (norma). 22 BVerfG 1 BvR 209, 269, 362, 420, 440, 484/83 (). 23 Christoph Möllers (2009), p. 434. 24 Vardanyan, Stehlík, Kocharyan (2022), p. 175, 176 e 178. 25 Vardanyan, Stehlík, Kocharyan (2022), p. 179. 26 Essa ideia de constitucionalização do direito à integridade digital vem sendo travada atualmente na Suíça, em 2 (dois) níveis distintos: a) no âmbito regional, por uma proposta de alteração da constituição do cantão de Valais, e b) no âmbito nacional, por um projeto de emenda constitucional de iniciativa popular. No segundo caso, a ideia adicionar um segundo parágrafo ao artigo 10 da Constituição da Suíça, nos seguintes termos: "Toda pessoa tem o direito à liberdade pessoal e em particular à integridade física, mental e digital, bem como à liberdade de locomoção".  BIBLIOGRAFIA 1 Barbey, Grégoire. Il est temps de reconnaître l'intégrité numérique des individus. Disponível aqui.  2 BVerfG 1 BvR 209, 269, 362, 420, 440, 484/83. (Völkszählungsgesetz). 3 Carrière-Swallow, Yan; Haksar, Vikram. A economia dos dados. Disponível aqui. 4 Christoph Möllers. Democracy and Human Dignity: Limits of a Moralized Conception of Rights in German Constitutional Law. Israel Law Review, v. 42, 2009. 5 Da Empoli, Giuliano; Bloch, Arnaldo. Os engenheiros do caos. São Paulo: Vestígio, 2019. 190 p. ISBN 9788554126605. 6 EDPS Ethics Advisory Group. Towards a digital ethics, 2008. Disponível aqui. 7 Floridi, Luciano. The Ontological Interpretation of Informational Privacy. Ethics and Information Technology, v. 7, n. 4, p. 185-200, 2005. doi:10.1007/s10676-006-0001-7. 8 Maldonado, Viviane Nóbrega; Opice Blum, Renato (Ed.). LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thompson Reuters, 2019. ISBN 978-85-5321-393-1. 9 Morozov, Evgeny; Marcondes, Claudio. Big tech: A ascensão dos dados e a morte da política. São Paulo: Ubu, 2018. 189 p. (Coleção exit). ISBN 9788571260122. 10 O'Neil, Cathy. Algoritmos de Destruição em Massa: Como o big data aumenta a desigualdade e ameaça a democracia. Santo André: Editora Rua do Sabão, 2020. 11 Pfordten, Dietmar von der. Zur Würde des Menschen bei Kant. Jahrbuch für Recht und Ethik / Annual Review of Law and Ethics, v. 14, p. 501-517, 2006. 12 Richterich, Rachel. L'intégrité numérique: le vrai combat pour nos données. Disponível aqui.  13 Schwab, Klaus. The Fourth Industrial Revolution. Geneva: World Economic Forum, 2016. ISBN 978-1-944835-01-9. 14 Urgessa, Worku Gedefa. The Feasibility of Applying EU Data Protection Law to Biological Materials: Challenging 'Data' as Exclusively Informational. Information Technology and Electronic Commerce LawJournal of Intellectual Property,, v. 7, n. 2, 2016. 15 Vardanyan, Lusine; Stehlík, Václav; Kocharyan, Hovsep. Digital Integrity: A Foundation for Digital Rights and the New Manifestation of Human Dignity. TalTech Journal of European Studies, v. 12, n. 1, p. 159-185, 2022. doi:10.2478/bjes-2022-0008. 16 Véliz, Carissa. Privacidade é poder: Por que e como você deveria retomar o controle de seus dados. 1. ed. São Paulo: Contracorrente, 2021. 287 p. ISBN 9786588470725. 17 Zuboff, Shoshana. A Era do Capitalismo de Vigilância: A luta por um futuro humano na nova fronteira do poder. Rio de Janeiro: Intrínseca, 2020.
A Medida Provisória 1.124, editada em 13/6/2022, promoveu mudanças substanciais na natureza jurídica da Autoridade Nacional de Proteção de Dados (ANPD), órgão "responsável por zelar, implementar e fiscalizar o cumprimento" da Lei Geral de Proteção de Dados Pessoais (LGPD) "em todo o território nacional" (art. 5º, inc. XIX, LGPD). A proposição atende à expectativa declaradamente prevista no art. 55-A, § 1º, da lei de dados, que estabelecia ser a natureza jurídica do órgão transitória, abrindo-se espaço para uma possível transformação em "entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República". Mas não corresponde, historicamente, ao anseio original do Congresso Nacional. É bem verdade que a necessidade de um órgão regulador e de fiscalização sempre foi consenso entre os Poderes Executivo e Legislativo e a própria sociedade. Tanto assim que o Congresso, ao final do processo legislativo dos projetos de lei aprovados e sancionados na forma da LGPD, propôs, por emenda parlamentar, sua criação. Porém, em sua primeira proposta, vetada pelo Presidente da República, a ANPD teria sido órgão "integrante da administração pública federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça", ao qual se aplicaria a lei 9.986, de 18 de julho de 2000, que "dispõe sobre a gestão de recursos humanos das Agências Reguladoras e dá outras providências". Tanto a medida provisória 869, de 2018, como a legislação dela convertida, a lei 13.853, de 2019, já propuseram ora um órgão integrante da administração pública federal, ora integrante da Presidência da República, ou seja, sem a natureza jurídica de autarquia especial, tal como era o desejo parlamentar. Nessa toada, o Parlamento negociou com o Governo federal um meio-termo, que é precisamente a declaração de transitoriedade, contida no art. 55-A, § 1º, fruto de emenda do relator da matéria, materializada na forma de um projeto de lei de conversão: dois anos após a entrada em vigor da estrutura regimental da ANPD, foi estabelecido que poderia haver sua transformação em autarquia especial. Obviamente, essa cláusula não possuía força normativa vinculante alguma, mas meramente sugestiva. Em primeiro lugar, porque o legislador presente não pode vincular a atuação do legislador futuro, de modo que eventual lei posterior que fosse incompatível com esse mandamento iria simplesmente revogá-lo. Em segundo lugar, porque é reservado constitucionalmente ao Presidente da República a iniciativa de projetos de lei que proponham a criação de órgãos da administração pública (art. 61, § 1º, inc. II, al. "e", CF). Entendimento diverso, no sentido de se tratar de uma obrigação imposta pelo Legislativo ao Executivo, seria entendida inconstitucional, por violar a reserva de iniciativa legislativa e a reserva de Administração do Presidente da República, afetando ainda o princípio da separação dos Poderes. Ademais, deve ser registrado que foram necessários estudos técnicos e administrativos que sustentassem a proposta, além, claro, do juízo de oportunidade, que compete exclusivamente a quem detém a competência privativa constitucional para assim agir. Eis que, não obstante inexistir obrigação legal que lhe impusesse promover a transformação da ANPD, o Presidente da República assim o fez, editando a MP 1.124, de 2022. Porém, a natureza jurídica proposta pela medida excepcional não foi a de agência reguladora, tal como era o desejo original do Parlamento, mas a de autarquia federal de natureza especial. A bem da verdade, o Poder Executivo jamais manifestou oficialmente qualquer interesse em criar uma agência reguladora de proteção de dados: desde as primeiras propostas, mais especificamente aquela constante da MP 869, de 2018, o intuito sempre foi o que hoje se constata na MP 1.124. Note-se que a MP 869, de 2018, tramitou concomitantemente com os projetos de lei do novo marco regulatório das agências reguladoras (Lei nº 13.848, de 25.06.2019): vale dizer, houvesse algum interesse em alinhar as proposições e organizar a administração pública federal, poderia tê-lo feito quando da sanção do projeto de lei de conversão na lei 13.853, de 08.07.2019 - menos de duas semanas os separam. Ainda que os atributos administrativos da ANPD, na proposta da MP 1.124, de 2022, sejam, em grande medida, equivalentes àqueles previstos no art. 3º, da Lei das Agências Reguladoras (LAR) (ausência de tutela ou de subordinação hierárquica, autonomia funcional, decisória, administrativa e financeira, investidura a termo de seus dirigentes e estabilidade durante os mandatos), o que poderia suscitar a discussão se, de fato, a ANPD tornou-se ou não uma agência reguladora (art. 2º, par. único, LAR), a intenção da Presidência da República não foi submeter a ANPD ao regime jurídico da LAR em sua integralidade. Tanto assim que, alterada a natureza jurídica da ANPD, a MP preservou todos os demais artigos da LGPD, entre os quais alguns que, claramente, confrontariam com os atributos e a estruturação administrativa de uma agência reguladora, como, por exemplo, o prazo do mandato dos diretores: pela LGPD, permanece sendo de 4 anos (art. 6º, decreto 10.474/2020), permitida uma recondução, mas, pela LAR, fosse agência reguladora, seria de 5 anos, vedada a recondução. Ou mesmo os critérios para sua nomeação aos cargos: a LAR possui muitos mais requisitos para indicação de nomes que a LGPD. Ainda, a estrutura e o funcionamento de sua ouvidoria, que difere entre as legislações. Entre outras diferenças relevantes. É claro que, como norma posterior, a MP 1.124 não estava adstrita aos termos da LAR, mas a adoção de critérios distintos, combinados com a ausência de denominação da ANPD como uma "agência reguladora" (um verdadeiro silêncio eloquente), revelam ao intérprete a sua inequívoca intenção: criar uma Autarquia Especial, e não uma Agência Reguladora. Por fim, não se extrai da Exposição de Motivos que acompanha o envio da medida provisória ao Congresso Nacional nenhuma intenção declarada de a tornar Agência Reguladora. Pelo contrário, o documento expressa a necessidade de se criar uma "autoridade reguladora independente". Daí que a mens legislatoris revela tão somente esse intuito, nada mais. Fosse de outra forma, inclusive, alterações deveriam ser propostas tanto na LGPD, como na LAR, a fim de buscar harmonizar o ordenamento jurídico vigente. Mas não foi o que ocorreu, em mais um indício do desinteresse governamental em se criar uma agência reguladora de proteção de dados. Para muito além de um debate meramente teórico, a questão possui repercussões administrativas relevantes e que impactariam inclusive o processo de nomeação dos próximos diretores. Mas, à toda evidência, quis o Governo federal o que se vê: a ANPD é, afinal, uma autoridade reguladora independente. Ainda que possua atributos e funcionamento similares, ela não pode ser considerada, a partir do texto originário da MP 1.124/2022, como uma agência reguladora, não se aplicando, por isso, o regime jurídico da LAR.