COLUNAS

  1. Home >
  2. Colunas

Impressões Digitais

Discussão de aspectos ligados ao Direito Digital.

Ricardo Maffeis Martins e Daniel Bittencourt Guariento
À medida em que os impactos do Coronavírus se agravam, exigindo medidas de contenção da doença, verifica-se uma tendência entre autoridades mundiais de abrandarem as restrições ligadas ao tratamento de dados pessoais, de modo a facilitar o monitoramento do surto e a pesquisa e o desenvolvimento de tratamentos. A Global Privacy Assembly, fórum mundial de proteção de dados e privacidade criado há mais de 40 anos e que reúne autoridades de cerca de 130 países, identificou alterações na privacidade de dados em ao menos 27 países, entre eles Hong Kong, Itália, Espanha, França e Estados Unidos, localidades fortemente atingidas pela pandemia1. Em Hong Kong, por exemplo, foi autorizada a extração de informações de mídias sociais para rastreamento de portadores do Covid-19. Por intermédio de declaração pública2, a Comissão de Privacidade para a Proteção de Dados, suscitando o artigo 59 do Personal Data Privacy Ordinance (PDPO, Decreto de Privacidade de Dados Pessoais de Hong Kong), que prevê exceção à regra geral de privacidade de dados para a salvaguarda da saúde física ou mental do titular ou de terceiros, afirma que o direito à privacidade de dados pessoais não é absoluto, cedendo frente ao direito absoluto à vida. Com base nessa premissa, declara que "o governo pode coletar e usar informações disponíveis online e off-line com o auxílio de dispositivos, aplicativos, softwares ou supercomputadores visando ao monitoramento de pacientes ou potenciais portadores de Covid-19". Na Espanha, por sua vez, foram editados diversos atos pela Agência de Proteção de Dados, relacionados ao controle do Coronavírus, baseados no Considerando 46 da General Data Protection Regulation (GDPR, Lei Geral de Proteção de Dados da Comunidade Europeia) - que autoriza o tratamento de dados pessoais em casos excepcionais, como para o controle de epidemias e a sua propagação -, obrigando, por exemplo, controladores de empresas públicas e privadas a repassarem informações sobre servidores e empregados infectados pelo Covid-193, bem como permitindo o tratamento de dados pessoais de saúde sem consentimento do titular4. No Brasil, embora nossa Lei Geral de Proteção de Dados, lei 13.709/2018 ("LGPD"), ainda não esteja em vigor e sequer tenhamos a Autoridade Nacional de Proteção de Dados devidamente constituída, é possível identificar dispositivos na lei que, em uma situação crítica como a que vivemos, conferem maior flexibilidade ao tratamento de dados pessoais, notadamente: (i) artigo 4o, III, "a", que não sujeita à lei o tratamento de dados pessoais realizado para fins exclusivos de segurança pública; artigos 7o, VIII, e 11, II, "f", que autorizam o tratamento de dados pessoais, mesmo que sensíveis, para a tutela da saúde por profissionais da área, serviços de saúde e autoridade sanitária; e (iii) artigo 13, que autoriza o acesso a bases de dados pessoais para a realização de estudos em saúde pública. A despeito da indiscutível existência de uma situação material e de base legal para a mitigação das regras gerais de proteção de dados pessoais, é indispensável que haja, em contrapartida, por parte de controladores e operadores, respeito aos limites do tratamento de dados nessa circunstância excepcional e conscientização quanto à necessidade de adoção de medidas adicionais de proteção e segurança. Nesse contexto, um outro caso que vale menção é o da China, onde há notícia5 de diversas medidas adotadas pelas autoridades locais visando, alegadamente, o controle do Coronavírus, entre elas que usuários de transporte público em todo o país informem seus dados pessoais antes de tomar ônibus, trens e táxis, bem como da existência de aplicativo que permite saber se a pessoa esteve em um trem ou avião com alguém que contraiu a doença. Medidas como essas à primeira vista poderiam ser tidas como excessivas e desproporcionais, mas podem ser justificáveis em caso de estado de calamidade, na hipótese de necessidade de proteção da vida do titular ou de terceiro, ou ainda tutela da saúde (artigo 7º, VII e VIII, da lei). Mesmo diante das novas possibilidades de tratamento de dados pessoais surgidas em virtude do Coronavírus, esse tratamento deve ser realizado exclusivamente pelos entes legitimados para tanto e ainda assim para fins específicos de prevenção ou tratamento da doença, enquanto esta representar um risco sanitário e jamais para fins discriminatórios, ilícitos ou abusivos, tal como preceitua o artigo 6o, incisos I, II, III e IX, da LGPD. Tais dados não podem ser tornados públicos e sujeitam à responsabilização em caso de utilização fora da finalidade legal. Ademais, mesmo nas hipóteses excepcionais de tratamento, ainda que dispensado o consentimento do titular, este deverá ser devidamente informado acerca de quais foram seus dados pessoais coletados (em especial dados sensíveis), com que finalidade e até quando serão armazenados, tudo conforme exigência do artigo 6o, incisos V e VI, da LGPD. Finalmente, há de se considerar a necessidade de cumprimento do dever de segurança contido no artigo 6o, inciso VII, da LGPD, o que exige um cuidado adicional com a privacidade e a segurança das bases de dados, objetivando evitar ataques de hackers e mesmo vazamentos acidentais por empregados e colaboradores. Aliás, no que tange especificamente à segurança da informação, vale acrescentar que o cenário pandêmico do Coronavírus tem levado a enormes mudanças no cotidiano de pessoas e empresas, impondo um regime de reclusão e isolamento que conduz inevitavelmente a um aumento significativo no acesso à rede mundial de computadores, às redes particulares de computadores (intranet) e à aplicativos para aparelhos móveis, circunstância que eleva, em igual medida, as preocupações com a proteção de dados pessoais. Diante das determinações de quarentena por governos locais, como é o caso dos Estados de São Paulo e Rio de Janeiro, e, de um modo geral, do justificável receio de interação social, a população em geral tem feito uso de programas e aplicativos que substituem a necessidade de presença física nos mais variados lugares e circunstâncias, como no trabalho, via home office, em consultórios e hospitais, via telemedicina, e em lojas e restaurantes, via aplicativos de entrega em domicílio. Essas novas rotinas induzem não apenas maior fluxo de dados pessoais pela via digital, como também aumentam a exposição desses dados a situações e ambientes mais inseguros, com a consequente elevação do risco de vazamento. Trazendo mais um exemplo da China, lá há registro de que parte dos moradores de Wuhan - provável origem e epicentro inicial do Covid-19 - teve seus dados pessoais, inclusive nome, endereço e deslocamentos diários, vazados na internet devido ao medo trazido pela disseminação da doença5. A verdade é que a situação propicia a coleta, o processamento e a divulgação de dados pessoais de forma abusiva, exigindo cuidado redobrado de todos, em especial no Brasil, onde o direito específico à proteção de dados pessoais é recente, ainda não arraigado nos costumes e na cultura do brasileiro. Diante disso, é fundamental que empresas revejam suas políticas de segurança e proteção internas e externas para delimitar as responsabilidades de seus colaboradores no tratamento de dados pessoais, garantindo o uso correto dos sistemas durante o home office, via disponibilização de ferramentas e soluções que mantenham os níveis de segurança da informação e esclarecimentos sobre a utilização de dispositivos pessoais e de redes públicas. Eventualmente, pode ser útil - e até mesmo recomendável - que empresas elaborem um relatório de impacto à proteção de dados, nos moldes daquele previsto nos artigos 38 e 50, § 2º, I, "d", da LGPD, específico para o cenário atual, contemplando projetos e iniciativas que envolvam formas novas ou adaptadas de tratamento de dados pessoais, de modo a identificar ameaças adicionais e propor medidas de salvaguarda e redução de riscos. Entre as medidas de segurança, pode-se destacar: (i) atualização e/ou upgrade dos sistemas de segurança digital para suportar o aumento de demanda decorrente de acessos remotos, realizando testes preventivos; (ii) instalação de sistemas de segurança cibernética em laptops, tablets, smartphones, dispositivos de armazenamento e computadores de acesso remoto; (iii) melhoria na qualidade das senhas de acesso e implantação de autenticações multifator (mecanismo de confirmação da autenticidade do usuário, geralmente por mensagem SMS automática ou um aplicativo que gera códigos secundários de acesso) para sistemas e fontes de acesso remoto, inclusive serviços de nuvem; (iv) assegurar que os dispositivos de acesso remoto estejam armazenados em local seguro quando não estejam sendo usados; e (v) utilização de contas de e-mail corporativas e não pessoais para todos os e-mails relacionados a trabalho. Nota-se que parte dessas medidas depende da conscientização dos próprios usuários, valendo lembrar que, em empresas, todo e qualquer indivíduo é um potencial vazador de dados. Por isso a importância do oferecimento constante de cursos de treinamento e reciclagem em proteção de dados, com vistas a difundir e perpetuar a cultura da empresa, criando um ambiente corporativo seguro, mesmo quando o trabalho é executado remotamente. Enfim, o Coronavírus tem justificado novas práticas que interferem diretamente no tratamento de dados pessoais. Embora legítimas e necessárias, os princípios fundamentais aplicáveis à proteção de dados pessoais, com destaque para a transparência, segurança, prevenção, não-discriminação, finalidade, adequação e necessidade, permanecem válidos e, mais do que nunca, devem ser rigorosamente observados por controladores e operadores, tanto na esfera pública quanto na privada, de modo a assegurar que, durante e após a superação dessa crise, sejam mantidos intactos direitos e garantias fundamentais ligados à privacidade. ___________ 1 https://globalprivacyassembly.org/covid19/ 2 https://www.pcpd.org.hk/english/media/media_statements/press_20200226.html 3 https://www.aepd.es/es/documento/2020-0017-en.pdf 4 https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en 5 Conforme artigo veiculado pelo jornal chinês South China Morning Post, intitulado Coronavirus accelerates China's big data collection, but privacy concerns remain: https://www.scmp.com/tech/apps-social/article/3052232/coronavirus-accelerates-chinas-big-data-collection-privacy.
Daniel Bittencourt Guariento e Ricardo Maffeis Martins A notícia da disputa travada entre a Ordem dos Advogados do Brasil (OAB) e diversas startups criadas para pleitear indenizações por problemas no setor aéreo (atrasos, cancelamentos, perdas de bagagem etc.) leva ao necessário e iminente debate sobre como a advocacia vai se portar diante da possibilidade cada vez maior da prestação de serviços jurídicos - ou "quase jurídicos" - por lawtechs1. Nos últimos anos, muitas profissões e setores da economia foram fortemente afetados por sites e aplicativos dos mais diversos. Começando pelo setor das gravadoras musicais - provavelmente o primeiro a ser impactado pela economia digital - passando pelos taxistas, antes hegemônicos no transporte individual de passageiros e que atualmente concorrem com aplicativos de alcance mundial e preços baixos, como Uber e Cabify, e até o mercado hoteleiro, que passou a enfrentar a dura concorrência de pessoas e empresas alugando quartos ou residências inteiras em plataformas nas quais o AirBnB é o destaque. Os leitores mais jovens provavelmente nem saibam, mas muitos dos serviços que hoje contam com grande apelo popular e aceitação por parte do Poder Público eram proibidos. Por exemplo, o transporte remunerado em veículos particulares que não fossem táxis era conhecido como transporte clandestino ou pirata e combatido pelas autoridades de todo país2. É certo que o avanço tecnológico não para. Uma vez identificado um ramo em que os algoritmos possam organizar de forma eficiente a prestação do serviço, cobrando valores mais baixos e com prestadores sempre à disposição - de forma ágil - aos consumidores, tudo isso aliado ao desenvolvimento de uma ferramenta ou aplicativo de fácil utilização, não faltarão empresas interessadas em atuar naquele setor. Quando a atuação é exitosa, ou o setor rapidamente procura se adaptar, ou é duramente impactado, muitas vezes de forma desruptiva. Um dos problemas verificados é que, por vezes, grande parte do lucro fica com os desenvolvedores dos aplicativos, de modo que os trabalhadores - que não são considerados empregados, mas autônomos ou "parceiros" sem vínculos formais com a empresa, por possuírem liberalidade para trabalhar apenas quando desejam3 - acabam tendo poucos direitos trabalhistas e atuando com grande fragilidade, fenômeno que recebeu o nome de "uberização das relações de trabalho"4. A advocacia, até agora, estava livre deste problema. Embora já existissem algumas câmaras privadas de conciliação e mediação, que pudessem de certa forma praticar um serviço antes desempenhado por advogados, sua atuação ainda é muito restrita e o escopo é bem definido: atuam na tentativa de ajudar as partes a chegarem a um acordo. De igual modo, plataformas como Reclame Aqui (privada) ou Consumidor.Gov (pública), embora contem com grande aceitação por parte dos consumidores, não ultrapassam a barreira da tentativa extrajudicial de conciliação entre vendedor ou prestador de serviços e o cliente. Caso o acordo seja infrutífero, resta ao consumidor decidir se ingressa em juízo ou não. A situação muda de patamar com as startups criadas para defender direitos dos passageiros do setor aéreo. Uma das empresas, a Quick Brasil, informa em seu site que "você tem direito a receber uma compensação financeira em 2 dias úteis caso tenha passado por situações de perda de conexão, embarque negado, voo cancelado e atrasos de voo" e, em letras garrafais, anuncia: "receba R$ 1.000,00 em 2 dias". Qual o segredo para ofertar dinheiro de forma tão rápida e fácil? A empresa esclarece: "nós cuidaremos de cobrar a companhia aérea". E o que essas empresas ganham com isso? Ora, o que elas conseguirem junto às companhias aéreas - em nome do consumidor a quem já pagaram antecipadamente - ficará para elas. E esta cobrança pode ser feita extrajudicialmente ou ingressando em juízo5. Um estudo bem feito, com auxílio de inteligência artificial, pode rapidamente identificar qual o valor do tíquete médio da indenização para cada uma das ocorrências e, assim, indicar o caminho mais lucrativo a ser seguido, garantindo lucro certo para a empresa. A discussão atual é se essa prática constitui ou não serviço privativo de advogado. Para a OAB, não há dúvida que sim, tanto é que a seccional fluminense da Ordem já ajuizou sete ações contra as lawtechs do setor aéreo, além de propor ao Congresso Nacional a criminalização da prática. A OAB pontua que os valores oferecidos são irrisórios, além de alegada infração ao Estatuto da Advocacia (lei 8.906/1994). As empresas aéreas reclamam que a prática estaria causando verdadeiro overbooking de ações judiciais contra o setor, congestionando ainda mais o Poder Judiciário. Em sua defesa, as startups, que recentemente criaram uma associação para defesa de seus interesses, argumentam que há demanda dos consumidores e que as companhias aéreas deveriam melhorar seus serviços, ao mesmo tempo em que sustentam trabalhar com dados, o que as afastaria de qualquer regulamentação da OAB6. À primeira vista, fica difícil diferenciar o serviço prestado por elas da prática de advocacia quando outras dessas empresas, como LiberFly, Resolvvi e Indenizando, oferecem a opção de "negociação tradicional", em que elas ficam com 30% do valor da indenização, apenas em caso de êxito, também chamado de taxa de serviço. Também a questão da publicidade - algumas dessas empresas fazem divulgação maciça nas redes sociais - assusta os advogados, na medida em que os tribunais de ética da OAB são muito rigorosos nesse tema. Muitos setores da economia já se depararam com novos concorrentes surgidos a partir do desenvolvimento tecnológico. Num primeiro momento, adotaram uma postura de combate, mas, na maioria dos casos, tiveram que se adaptar e criar diferenciais competitivos. Ao que parece, chegou a hora da advocacia enfrentar esse desafio. Reconhecimento facial Em nossa coluna de 14/02/2020 sobre os riscos das tecnologias de reconhecimento facial, mencionamos o caso da empresa Clearview, que desenvolveu um aplicativo que seria capaz de comparar uma fotografia com um banco de bilhões de imagens recolhidas da internet, já em uso por centenas de agências policiais dos EUA. Pois bem, no último dia 26 de fevereiro, a empresa anunciou "ter perdido toda sua lista de clientes para hackers"7. Como afiramos na ocasião, é necessário o aprofundamento dos estudos e discussões sobre o uso dessa tecnologia antes de sua disseminação. __________ 1 Lawtechs ou legaltechs são as startups que criam produtos e serviços tecnológicos para a área jurídica. 2 A título de exemplo, o transporte da capital paulista ao litoral, nas imediações da rodoviária do Jabaquara: "Clandestino usa carro para transporte ao litoral" (AgoraSP, 24/08/2009) e da rodoviária do Plano Piloto, em Brasília, para as cidades satélite: "Transporte pirata cria táticas e burla fiscalização no DF" (Alô Brasília, 02/02/2010). 3 De acordo com a maior parte das decisões já proferidas pela Justiça em diversos países. No Brasil, vide "Motorista de Uber não tem vínculo empregatício com aplicativo, diz STJ" (Agência Brasil, 04/09/2019) e "Turma do TST nega vínculo de emprego entre Uber e motorista" (Consultor Jurídico, 05/02/2020). 4 Nesse sentido, "A uberização das relações de trabalho" (Carta Capital, 9/8/2019). 5 O site da Quick Brasil não deixa claro se a empresa ingressará em juízo ou utilizará outro meio de solução de conflitos. O que parece certo é que a pessoa que optar por receber os R$ 1 mil de forma rápida transfere seus direitos para aquela empresa. 6 A reportagem "Startups prometem indenização por problemas no setor aéreo; para OAB, serviço é ilegal" (Migalhas, 18/02/2020) traz todos os pontos de vista em debate. 7 "Empresa de IA tinha bilhões de fotos nossas, e agora hackers levaram tudo" (Tilt/UOL, 26/02/2020).
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Na última década o cotidiano da sociedade passou por enormes transformações em razão da Internet das Coisas ("IoT", na sua nomenclatura em inglês), revolução tecnológica que permite às máquinas e equipamentos se conectarem à rede mundial de computadores, trocando dados e informações. Tecnologias de comunicação de baixo custo e de baixo consumo de energia tornaram a IoT acessível à população em geral, fazendo com que objetos de uso diário se tornem parte das denominadas human-centric networks, isto é, redes de conexão centradas no ser humano. A IoT vai muito além de laptops e smartphones, alcançando residências e cidades inteligentes, carros, eletroeletrônicos, utensílios domésticos, relógios, brinquedos, inúmeros serviços conectados, entre tantos outros. De acordo com o relatório Gartner1, até 2025 teremos cerca de 1 trilhão de dispositivos conectados às diversas tecnologias de IoT2: RFID (identificação por rádio frequência), NFC (comunicação por campo de proximidade), 3G, 4G, 5G (gerações de redes móveis) e sensores. A despeito dos enormes benefícios e das facilidades proporcionadas pela IoT, a sua utilização tem suscitado grandes dúvidas e receios no campo da privacidade, sobretudo em vista da massiva quantidade de dados sujeita a tratamento, em especial os dados pessoais sensíveis, ou seja, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5o, II, da lei 13.709/2018, a Lei Geral de Proteção de Dados, "LGPD"). Vale destacar que, nessa seara, entram também os dados pessoais equiparados a dados pessoais sensíveis, assim entendidos como aqueles que possam revelar dados pessoais sensíveis (art. 11, § 1o, LGPD). Para além disso, o uso da IoT traz uma série de desafios, dentre os quais merecem destaque: (i) Dependência do usuário: os usuários estão cada vez mais imersos e dependentes da IoT; (ii) Dispersão: há enorme dificuldade de se rastrear e identificar os prestadores de serviço de IoT, que no mais das vezes estão localizados em países diversos daqueles em que os dados são coletados; (iii) Novos modelos de negócio: o uso da IoT exigirá a criação de novos modelos de negócio, que contemplem os novos tipos de dados disponíveis; (iv) Identidade: cada um dos bilhões de dispositivos de IoT deverá ter uma identificação própria para se conectar à rede, o que tende a acarretar problemas relacionados à identidade; (v) Exposição excessiva: dispositivos de IoT tendem a estar constantemente conectados à rede, resultando em uma quantidade massiva de dados (big data), que ficará exposta a ataques e vazamentos; (vi) Comportamento autônomo e inesperado: os bilhões de dispositivos de IoT, juntamente com outros dispositivos e sensores, formarão uma rede híbrida e interconectada que poderá interferir em ações humanas, gerando comportamentos ambíguos de difícil compreensão pelo usuário; e (vii) Governança: o número considerável de roteadores, switches e informações tornará a troca de dados mais rápida e barata, dificultando o monitoramento e controle da IoT, sobretudo diante do princípio da accountability3. Diante disso, de modo a enfrentar tais desafios e viabilizar um crescimento ordenado e seguro da IoT, muito se tem discutido sobre moral e ética, ou seja, a fixação de padrões mínimos de comportamento social na utilização da IoT, sobretudo no que diz respeito à privacidade, acessibilidade e integridade das informações. As maiores preocupações referem-se à correta identificação do titular e à obtenção de sua autorização para o tratamento dos dados, bem como à imposição de limites na coleta de informações dos usuários, com a definição do que deve ser considerado dado público e privado, considerando a hiperconectividade proporcionada pela IoT. O ideal é que diretrizes mínimas sejam fixadas desde logo, de modo a que a IoT se desenvolva em um ambiente estruturado e saudável, que permita a exploração de todas as suas potencialidades, mas sempre com os olhos voltados para a premissa maior de preservação dos direitos dos usuários. Cuida-se de um enorme desafio, em especial devido ao dinamismo da internet e à velocidade com que as mudanças ocorrem no mundo digital, cuja regulamentação jurídica certamente exigirá elevado grau de desprendimento frente a princípios tradicionais de direito, levando ao surgimento de novos paradigmas, que possam melhor tutelar essa nova realidade que nos cerca. __________ 1 Empresa líder de mercado em pesquisa e consultoria, responsável pelo desenvolvimento de tecnologias para ajudar na tomada de decisões, com visões de negócio, orientações e ferramentas necessárias ao atingimento de metas críticas e à construção das empresas do futuro. 2 Clique aqui. 3 O princípio da accountability foi incorporado à LGPD, encontrando-se expressamente previsto em seu artigo 6º, X, intitulado princípio da responsabilização e da prestação de contas. Cuida-se, em síntese, da obrigação do controlador de adotar medidas eficientes e capazes de comprovar a observância e o cumprimento, em bases contínuas e permanentes, das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Nos últimos anos, o reconhecimento facial deixou de ser uma tecnologia de filmes de ficção científica e passou a fazer parte do cotidiano de empresas e órgãos governamentais. Quase sempre sob o argumento de aumento da segurança e prevenção à ocorrência de crimes, a vigilância por reconhecimento facial passou a se fazer presente no noticiário, como no Carnaval de 2019, em que foi utilizada nas cidades de Salvador e do Rio de Janeiro. À época, noticiou-se que as câmeras de segurança instaladas nas vias públicas ajudariam a monitorar a festa, comparando os rostos identificados com as fotografias dos bancos de dados de órgãos como Polícia Civil e Detran. Embora as duas capitais estejam entre as mais visitadas do País durante o Carnaval, os resultados foram pífios: um suspeito preso na capital baiana e quatro no Rio de Janeiro1. Para este ano, já se anuncia o uso da tecnologia na capital paulista, que deverá comparar as imagens obtidas com um banco de dados de mais de 30 milhões de fotografias de carteiras de identidade2. O problema é que o propalado aumento da segurança vem atrelado à mitigação da privacidade das pessoas. O leitor já se deu conta de por quantas câmeras de segurança passou no dia de hoje? Desde o elevador e a garagem do prédio onde reside, passando pelas portarias dos edifícios comerciais e as inúmeras câmeras em shopping centers. Isso sem falar nas câmeras instaladas nas ruas, as quais nem sempre se tem facilidade em localizar. Embora poucas delas já estejam aptas a realizar o reconhecimento facial, não é preciso muito para tanto. A princípio, basta a instalação de um software e a associação a um banco de dados para tanto. Por conta disso, a sociedade civil começou a se questionar - mundialmente - sobre a rapidez com que a tecnologia vem sendo aplicada e, principalmente, suas consequências. Um dos movimentos mais conhecidos vem da União Europeia, que estuda proibir o uso do reconhecimento facial em espaços públicos por um período de três a cinco anos para que o debate seja ampliado e estudados os impactos e os riscos inerentes à adoção generalizada da tecnologia3, que já vem sendo implementada em diversos países. Na mesma linha, a cidade de São Francisco (EUA) desde maio de 2019 proíbe o uso da tecnologia pela polícia e pelos demais órgãos da Administração. No centro do debate, o possível abuso da ferramenta - que não é livre de falhas e é potencializada graças ao avanço da inteligência artificial - e a criação de um Estado de vigilância. Nas palavras do advogado de uma associação de liberdades civis estadunidense, o reconhecimento facial "dá ao governo um poder sem precedentes para rastrear as pessoas em seu dia a dia"4. A tecnologia já faz parte do cotidiano, como no Facebook, onde nossos familiares e amigos são apontados quando postamos uma foto - e nosso OK à indicação da pessoa ajuda a treinar os algoritmos -, para desbloquear determinados telefones celulares e no cadastramento de um novo chip em algumas operadoras de telefonia. Porém, mesmo já possuindo certa familiaridade com a ferramenta, algumas notícias impressionam, como a informação de que uma pequena empresa dos EUA criou um aplicativo supostamente capaz de comparar uma foto com um banco "de mais de três bilhões de imagens" recolhidas indistintamente da internet, nas redes sociais e em sites como o YouTube. Tal aplicativo já estaria em uso por mais de 600 agências policiais dos Estados Unidos5. Acrescente-se a existência de estudos que apontam para diversas falhas nos sistemas de reconhecimento, como o elevado percentual de "falsos positivos", quando a ferramenta identifica uma pessoa errada como sendo um procurado ou fugitivo. Os erros acontecem em número muito maior quando são analisadas pessoas negras ou asiáticas em comparação a brancos, o que vai na mesma linha da conclusão de uma pesquisa brasileira de que nove em cada dez pessoas presas por reconhecimento facial no Brasil são negras6. No Brasil, a discussão mais recente envolve a Companhia do Metropolitano de São Paulo (Metrô). A Defensoria Pública da União e entidades como o IDEC e a associação Artigo 19 questionaram judicialmente, por meio de pedido de produção antecipada de provas, a decisão da empresa de instalação de um sistema de reconhecimento facial nas estações7. As entidades requerem diversas informações sobre privacidade e se há ou não o consentimento dos usuários do metrô paulistano, uma das bases legais para tratamento de dados pessoais prevista na Lei Geral de Proteção de Dados (LGPD). Não se está a afirmar que a tecnologia de reconhecimento facial só tenha pontos negativos, ao contrário. No âmbito empresarial, por exemplo, pegando-se uma hipótese aqui já comentada, o reconhecimento pode ser muito útil para evitar que outra pessoa compre ou troque um chip de celular utilizando um aparelho e um documento furtados, evitando assim golpes como aquele em que um terceiro assume a conta de WhatsApp do titular e tem acesso total às suas comunicações. Contudo, o aumento do estudo dos diversos aspectos envolvendo o reconhecimento facial (em especial das questões ligadas à privacidade) e o aprofundamento das discussões sobre o uso da tecnologia pelas autoridades públicas é primordial, sob risco de instalação de um Estado cada vez mais próximo do Grande Irmão da célebre obra de George Orwell. __________ 1 Informações obtidas nos seguintes links: "Rio e Salvador terão sistema de reconhecimento facial no Carnaval" (Folha de S.Paulo), "Procurado por homicídio vai para o carnaval de Salvador vestido de mulher e é preso após ser flagrado por câmera" (G1) e "Câmeras de reconhecimento facial levam a 4 prisões no carnaval do Rio" (Agência Brasil). 2 "Carnaval de SP vai ter sistema de reconhecimento facial para identificar criminosos e desaparecidos, diz Doria" (G1, 28/1/2020). 3 "EU avalia proibição de até 5 anos para tecnologia de reconhecimento facial em áreas públicas" (Reuters, 16/2/2020). 4 "San Francisco proíbe uso de reconhecimento facial por polícia e órgãos municipais" (Reportagem do The New York Times reproduzida pela Folha de S.Paulo, 14/5/2019). 5 Sobre o tema, confira-se a bem produzida reportagem "Companhia sigilosa pode acabar com a privacidade na forma que conhecemos" do The New York Times (reproduzida na Folha de 20/1/2020) e o podcast "Reconhecimento facial, a nova ameaça" (Outras Palavras, 29/1/2020). 6 "Tecnologia de reconhecimento facial apresenta erros, aponta estudo dos EUA" (Agência France Press, 19/12/2019) e "90% das pessoas presas por reconhecimento facial são negras, diz estudo" (Carta Capital, 22/11/2019). 7 "Defensoria e entidades questionam câmeras de reconhecimento facial no metrô de SP" (Migalhas, 12/2/2020). O pedido de produção de provas foi parcialmente deferido na tarde de 12/2/2020 - Processo nº 1006616-14.2020.8.26.0053, em trâmite na 1ª Vara da Fazenda Pública de São Paulo.
sexta-feira, 31 de janeiro de 2020

A efetividade da anonimização de dados pessoais

Nesta importante semana, de comemoração do dia internacional da proteção de dados pessoais, cuja proposta é justamente aumentar a consciência das pessoas em torno da relevância da privacidade, trazemos para reflexão o tema da anonimização. Na última década, a capacidade de coletar e armazenar dados pessoais alcançou patamares nunca antes imaginados. Com 2/3 da população mundial tendo acesso à internet1, a difusão de prontuários médicos eletrônicos e a ascensão da Internet das Coisas2, a tendência é de que esse crescimento continue. Embora tenha diversos efeitos positivos, guiando, por exemplo, avanços na medicina e na ciência social, o tratamento de dados individuais em larga escala faz despertar uma legítima preocupação em torno da privacidade. As repercussões negativas do compartilhamento de dados médicos entre NHS3 e Deepmind Technologies4 e com a venda de dados pelo Facebook para a Cambridge Analitica5, colocam em evidência o fato de que as pessoas estão incomodadas com confidencialidade, privacidade e uso ético de seus dados. Boa parte dessa preocupação está no comércio digital, que também cresce de maneira exponencial com base na exploração de dados anonimizados. Na era do big data6 o grau de anonimato que se pode esperar de plataformas de comércio virtual vem diminuindo rapidamente, lançando dúvidas acerca dos limites da privacidade na internet. O artigo 5o, inciso XI, da lei 13.709/2018, a denominada Lei Geral de Proteção de Dados ("LGPD"), define como anonimização a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado pessoal perde a possibilidade de associação, direta ou indireta, com o seu titular. O artigo 18, IV, da LGPD, por sua vez, fixa como direito do titular dos dados pessoais a obtenção, junto ao controlador, da anonimização de dados desnecessários ou excessivos. Finalmente, o artigo 12 da LGPD estabelece que os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. O problema surge justamente com a possibilidade de reversão da anonimização por terceiros, mediante "esforços razoáveis", cuja determinação, nos termos do § 1o do próprio artigo 12, deve levar em consideração fatores objetivos, tais como custo e tempo necessários, de acordo com as tecnologias disponíveis. Nessa linha de ideias, estudos realizados por universidades renomadas comprovaram cientificamente a relativa facilidade com que essa reversão pode ser feita. No primeiro desses estudos, denominado "Unique in the crowd: the privacy bounds of human mobility"7, realizado em 2013 pelas universidades de Harvard, nos Estados Unidos, e Louvain, na Bélgica, bem como pelo Massachusetts Institute of Technology, também nos Estados Unidos, e publicado na Scientific Reports8, chegou-se à conclusão de que pessoas podem ser rastreadas e identificadas a partir de bancos de dados contendo informações em princípio consideradas anonimizadas. A pesquisa, realizada por 15 meses com base em dados de telefones móveis de cerca de 1,5 milhão de indivíduos, demonstrou que, quando a informação do indivíduo foi disponibilizada em base horária pelas antenas de celulares, apenas quatro pontos de dados foram necessários para reidentificar a pessoa. Isso se mostrou verdade em 95% dos casos, tendo levado à conclusão de que os movimentos de seres humanos são altamente idiossincrásicos, apresentando traços únicos que podem ser analisados com precisão. Um segundo estudo, este mais recente, de 2019, denominado "Estimating the success of re-identifications in incomplete datasets using generative models"9, realizado mais uma vez pela Universidade de Louvain, em conjunto com a Imperial College of Science, Technology and Medicine, em Londres, publicado na Nature Communications10, estimou, com a ajuda de machine learning11, a probabilidade de um indivíduo específico ser reidentificado a partir de bancos de dados anonimizados, ainda que incompletos. Nesta pesquisa, chegou-se à conclusão de que 99,98% dos americanos podem ser corretamente reidentificados a partir de qualquer banco de dados, utilizando 15 atributos demográficos - idade, gênero, estado civil etc. - sugerindo que técnicas tradicionais de anonimização como adding noise12 e sampling13 podem não ser suficientes para manter-se aderente às regras de privacidade de dados de normas como a General Data Protection Regulation - a Lei Geral de Proteção de Dados da Comunidade Europeia ("GDPR") ou a Consumer Privacy Act - o Ato de Privacidade do Consumidor da Califórnia ("CCPA"). A preocupação certamente se estende ao Brasil, já que a LGPD, amplamente inspirada na GDPR, traz dispositivos semelhantes de tutela da anonimização. Diante disso, é bastante provável que, conforme autoriza o § 3o do artigo 12 da LGPD, a Autoridade Nacional de Proteção de Dados ("ANPD"), em conjunto com o Conselho Nacional de Proteção de Dados Pessoais, venha a editar regulamento dispondo sobre os padrões e técnicas a serem empregados em processos de anonimização. Seja como for, independentemente de qualquer regulamentação pela ANPD, levando em consideração o ritmo atual de evolução tecnológica, parece certo que teremos cada vez mais dificuldade em garantir a efetiva anonimização de dados pessoais, exigindo, a nosso ver, que essa anonimização seja feita por empresa independente (e não internamente pelo controlador) e mediante a utilização continuada de técnicas de última geração, que sejam constantemente atualizadas, mantendo o estado da arte. Somente assim será possível realizar uma anonimização segura capaz de evitar que os dados, mesmo anonimizados, sejam considerados dados pessoais à luz do artigo 12 da LGPD. __________ 1 Pew Research Center. 2 Interconexão digital de objetos cotidianos com a internet, formando uma rede de objetos físicos capaz de reunir e de transmitir dados. 3 Serviço nacional de saúde do Reino Unido. 4 Empresa britânica com foco em pesquisas e desenvolvimento de máquinas de inteligência artificial. 5 Empresa especializada na combinação de mineração e análise de dados com comunicação estratégica para o processo eleitoral. 6 Análise algorítmica de volumes massivos de informações. 7 Em tradução livre, "único na multidão: os limites da privacidade na mobilidade humana". 8 O Scientific Reports é um jornal científico on-line publicado pelo Nature Publishing Group, cobrindo todas as áreas das ciências naturais e analisando a validade científica dos artigos enviados - www.nature.com/srep. 9 Em tradução livre, "estimando o sucesso da reidentificação em bases de dados incompletas utilizando modelos generativos". 10 A Nature Communications é uma revista científica on-line publicada pelo Nature Publishing Group - www.nature.com/ncomms. 11 Em português, aprendizagem de máquina, ramo da engenharia e da ciência da computação que evoluiu do estudo de reconhecimento de padrões e da teoria do aprendizado computacional em inteligência artificial, e que permite aos computadores aprenderem sem serem explicitamente programados. 12 Em tradução livre, "adicionar distorções", técnica consistente em incluir propositadamente informações imprecisas aos dados. Por exemplo, ao publicar os dados de uma pessoa de 55 anos, sua idade apareceria apenas como na faixa dos 50 a 59 anos. 13 Em tradução livre, "amostragem de dados" técnica estatística consistente em selecionar um subconjunto de indivíduos de uma população para estimar as características de toda essa população.
Estamos na era da economia compartilhada. Se até pouco tempo atrás a preocupação maior da economia capitalista era "ter" e "possuir", o início do século XXI trouxe uma nova realidade que aos poucos angaria maior número de adeptos mundo afora, conferindo maior importância ao "usar" e "usufruir" um bem apenas nos momentos de real necessidade. A mudança se deve em grande parte ao desenvolvimento dos mais diversos aplicativos possibilitando pessoas a compartilharem suas casas, quartos, veículos, ferramentas ou até mesmo serviços. Tome-se como exemplo o mais popular de todos, o AirBnb, surgido do aprimoramento do projeto CouchSurfing, serviços nos quais o proprietário de um imóvel disponibiliza um quarto de sua residência - ou, no caso do Airbnb, até o imóvel inteiro - a turistas. Ainda não tão populares, os aplicativos de empréstimo remunerado de veículos - ou locação por curtíssimos espaços de tempo - vêm aos poucos ganhando força. Já estão no mercado brasileiro o Moobie e o ZazCar1, em que você compartilha seu carro com terceiros nos períodos em que ele normalmente ficava estacionado na garagem. Há ainda aplicativos destinados a caronas, como o BlablaCar e o Waze Carpool. Em comum, estes serviços conectam entre si, principalmente, pessoas físicas, diferenciando-se de um hotel, flat ou locadora de veículos, onde, por mais informal que seja, há uma empresa ou startup responsável pela prestação do serviço. A primeira conclusão é que, se a prestação do serviço em questão for esporádica e não uma verdadeira atividade econômica, fica afastada a incidência do Código de Defesa do Consumidor (CDC) e, como consequência, não se aplica mais a responsabilidade objetiva do artigo 12 do CDC. Trata-se, pois, de uma nova mudança de paradigma, na medida em que a responsabilidade civil, que historicamente teve início a partir de uma ideia de vingança ou desforra, com o passar do tempo foi substituída pela apuração dos danos e a necessidade de sua reparação, evoluindo então ao conceito de culpa em seus diversos graus. Com a revolução industrial, surgem as primeiras ideias de responsabilidade objetiva como forma de conferir maior proteção às vítimas, de modo que, nas últimas décadas, passa-se então a ser adotada a teoria do risco para os casos de atividade perigosa ou utilização de instrumentos de produção cuja manipulação ofereça, por si só, risco2. O Código Civil de 2002 contempla tanto a responsabilidade civil subjetiva (artigos 186, 187 e 927, caput), quanto a objetiva (parágrafo único do artigo 927, como regra geral, além de diversas situações específicas, como as dos artigos 936 a 938), casos nos quais não é necessária a comprovação da culpa, permanecendo a obrigatoriedade de comprovação dos demais pressupostos: ação ou omissão, nexo causal e dano. Recentemente, como bem pontuado por Schreiber, a unanimidade obtida em torno da teoria do risco deu lugar a discussões mais profundas, desdobrando-se nas teorias do risco-proveito, do risco-criado e do risco mitigado, entre outras, de modo que "o discurso do risco como fundamento exclusivo da responsabilidade objetiva parece, hoje, questionável"3. É nesse sentido que a era do compartilhamento exige uma maior discussão com relação às regras pacificadas pela doutrina e jurisprudência no decorrer do século XX e início do atual. A título de exemplo, com o objetivo de não deixar as vítimas desamparadas, entendeu-se que o proprietário do veículo reponde solidariamente com o condutor no caso de acidente em que se verifique a culpa do motorista. A ideia atinente a esta regra é a de que as pessoas somente emprestam seus veículos a outros em quem confiam e que, se não houve o devido cuidado (entrega do automóvel a pessoa imprudente, a chamada culpa in eligendo), o nexo causal entre o acidente e o dano ocorrido alcança o proprietário do veículo. A nova questão a ser enfrentada é: como assegurar essa obrigação por parte do proprietário que empresta/aluga seu automóvel por aplicativo a outra pessoa lá cadastrada mas com quem ele não possui qualquer vínculo e provavelmente nunca tenha visto o condutor até o momento da entrega das chaves? A hipótese nitidamente se diferencia do empréstimo a um parente ou amigo íntimo, tal qual firmada pela jurisprudência há anos. Também digna de reflexão é a questão sobre se um condomínio residencial pode ou não vetar o uso de uma das unidades autônomas para locação temporária pelo AirBnb ou aplicativos semelhantes. De um lado, está o direito do proprietário de livre usar e gozar de sua propriedade; de outro, o do condomínio de zelar pela segurança e bom uso do imóvel como um todo, em especial por normalmente não possuir funcionários e equipamentos de controle necessários para acompanhar a troca de inquilinos a cada dois ou três dias, como se fosse um hotel. Embora já haja decisões nos dois sentidos nos tribunais4, é certo que tal questão difere da possibilidade de aluguel de um apartamento pelo período de um ou mais anos, tal qual previsto e disciplinado na lei de locações. Estamos passando por grandes transformações, de forma cada vez mais célere. Sem se pretender afastar a proteção às vítimas assegurada pelos institutos ligados à responsabilidade civil, é certo que os entendimentos anteriores devem servir como orientação, mas, em muitos casos, não se amoldam mais às disputas atuais. Daí a necessidade de se rediscutir a responsabilidade civil na era do compartilhamento. Os grandes julgamentos de 2020 Importantes questões ligadas ao direito digital devem ser decididas pelos tribunais superiores no ano que se inicia. Além da possível definição com relação às locações por aplicativos tratada neste artigo, teremos o julgamento da constitucionalidade do artigo 19 do Marco Civil da Internet5, a ação que discute a constitucionalidade dos tratados internacionais para obtenção de conteúdo de comunicações eletrônicas por empresas estrangeiras6 e a obrigatoriedade de ordem judicial para análise do conteúdo de um celular apreendido pela polícia7. _______________ 1 O ZazCar acabou encerrando suas atividades na cidade de São Paulo em novembro de 2019. 2 Sobre a evolução histórica da responsabilidade, confira-se: RIZZARDO, Arnaldo. Responsabilidade Civil, 7. ed. Rio de Janeiro: Forense, 2015, p. 28/31. 3 SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil - da erosão dos filtros da reparação à diluição dos danos, 6. ed. São Paulo: Atlas, 2015, p. 28/30. 4 A discussão sobre a possiblidade ou não de o condomínio proibir locações de curta temporada via aplicativos está sendo discutida na Quarta Turma do Superior Tribunal de Justiça, no Recurso Especial nº 1.819.075/RS. O relator, Ministro Luis Felipe Salomão, votou pela impossibilidade da proibição. Na sequência, pediu vista o Ministro Raul Araújo, sem data para continuidade do julgamento. 5 STF - RE nº 1.037.396. Sobre o tema, vide nossa coluna. 6 STF - Ação Direta de Constitucionalidade nº 51, relator o mMinistro Gilmar Mendes. 7 STF - ARE nº 1.042.075 e HC nº 158.052. Sobre o tema, confira-se a coluna.  
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Muito sem tem discutido acerca da constitucionalidade do artigo 19 do Marco Civil da Internet ("MCI"), segundo o qual o provedor de aplicação1 de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial prévia e específica, não tomar as providências tendentes a indisponibilizar o conteúdo apontado como infringente. Um passo decisivo para o deslinde da controvérsia seria dado no último dia 4 de dezembro, data em que o Supremo Tribunal Federal se manifestaria sobre a constitucionalidade do dispositivo legal, no âmbito do recurso extraordinário 1.037.396, interposto pelo Facebook, em processo no qual foi condenado em segunda instância ao pagamento de R$ 10 mil de indenização a uma usuária que teve perfil falso criado na rede. Entretanto, o presidente da Suprema Corte, min. Dias Toffoli, excluiu o recurso da pauta do plenário, no intuito de, antes do julgamento, realizar audiência pública conjunta com o vice-presidente, min. Luiz Fux, que é relator do recurso extraordinário 1.057.258, versando sobre o mesmo tema. Ainda não há data para a realização da audiência pública. A discussão de tema tão controvertido em audiência pública é saudável, fortalece nossa democracia e nos dá a possiblidade de debater e melhor refletir sobre regra que terá forte impacto sobre atividade que, nos tempos atuais, direta ou indiretamente, afeta toda a sociedade, consistente no relacionamento via mídias sociais, que nada mais são do que canais digitais de relacionamento com variada gama de interação e participação entre os usuários. A difusão das mídias sociais, aliada ao avanço da tecnologia e ao acesso facilitado com a inclusão digital, induz enorme mudança na estrutura de poder social, colocando nas mãos de cada um de nós a possibilidade de difundir informações e influenciar pessoas, inclusive por intermédio das chamadas fake news, notícias falsas disseminadas com o propósito de obtenção de vantagens financeiras ou políticas. Diante desse cenário, e sempre tendo em perspectiva a necessidade de garantir a liberdade de expressão e impedir a censura - direitos assegurados no artigo 5º, IX, da Constituição Federal ("CF") e no próprio artigo 19 do MCI - muito tem se discutido acerca dos limites da exigência legal de ordem judicial prévia e específica para obrigar o provedor de aplicação à exclusão de conteúdos impróprios. Nas legislações estrangeiras, notadamente europeia e norte-americana, a notificação (notice and take down2) é preponderantemente extrajudicial. A rigor, basta ao usuário provar que deu ciência ao provedor do fato ensejador da violação dos seus direitos, permitindo-lhe agir de modo a coibir tal prática. Aqueles que defendem a possibilidade de utilização da via extrajudicial, argumentam que a exigência de utilização do Poder Judiciário impõe forte limitação ao direito da vítima de ver conteúdo ofensivo retirado da internet, violando o direito à privacidade, à intimidade e à dignidade. Ressalva-se que o artigo 19 do MCI acaba por gerar a necessidade de uma dupla apreciação pelo Poder Judiciário, que, como condição de procedibilidade da responsabilidade civil por conteúdos postados por terceiros, deve previamente notificar o provedor, violando também o direito constitucional de livre acesso à Justiça. Vale lembrar que, previamente à entrada em vigor do MCI, o Superior Tribunal de Justiça tinha consolidado o entendimento de que a ciência do provedor acerca de qualquer conteúdo reputado ofensivo poderia se dar inclusive pela via extrajudicial, por iniciativa do próprio usuário3. De outro lado, aqueles que defendem a constitucionalidade do artigo 19 do MCI sustentam que a liberdade de comunicação vai além dos direitos individuais, encampando também um direito de dimensão coletiva, de permitir que a sociedade seja informada sem censura. Nessa linha de argumentação, admitir a exclusão de conteúdo postado por terceiros sem prévia análise do Poder Judiciário acabaria conferindo ao particular o poder de exercer um juízo subjetivo e discricionário sobre o teor das informações postadas, juízo este que somente poderia ser realizado via poder jurisdicional do Estado. Respeitadas as duas posições e a razoabilidade dos argumentos postos de ambos os lados, mostra-se de todo conveniente acrescentar mais um elemento nessa rica discussão, decorrente da própria redação do artigo 19 do MCI, cuja parte final, após estabelecer a necessidade de prévio e específico comunicado judicial do provedor, consigna que ficam "ressalvadas as disposições legais em contrário". Nesse contexto, dependendo da relação jurídica contratual estabelecida entre o provedor e seus usuários, não seria possível argumentar, sobretudo à luz do Código de Defesa do Consumidor ("CDC"), que fica mantida a possibilidade de se obrigar a retirada imediata de conteúdo considerado ofensivo mediante simples notificação extrajudicial, sem que isso implique contrariedade à regra do artigo 19 do MCI? Melhor explicando, muitos provedores mantêm uma política de uso que lhes autoriza a remoção indiscriminada de conteúdo considerado inapropriado4, obtendo do próprio usuário autorização para monitorar (ainda que passivamente) os dados postados, com direito à exclusão de conteúdo cuja classificação como "inapropriado" exige o exercício de um juízo de valor subjetivo. Aliás, em geral trata-se de procedimento padrão, rogando-se o provedor, nos termos de uso a que cada usuário é obrigado a aderir, o direito de suprimir as páginas que considerar nocivas ou inapropriadas. Na prática, provedor e usuário firmam, no ato de adesão deste ao serviço, um acordo particular que autoriza expressamente o provedor a, mediante provocação ou não, exercer esse juízo discricionário, sendo possível, ao menos em tese, equipará-lo a uma espécie de mediador ou árbitro sobre tudo o que é inserido no seu site, com poderes para decidir se determinado conteúdo deve ou não ser removido. Afinal, dada a natureza consumerista da relação, o papel de mediador ou árbitro frente aos usuários, assumido contratualmente, para além de um direito, pode ser visto como um dever contratual do provedor, sobretudo à luz dos princípios da vulnerabilidade do consumidor e da harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, inseridos no art. 4º, I e III, do CDC, permitindo a atuação do provedor independentemente do ajuizamento de medida judicial. Salvo melhor juízo, a regra do artigo 19 do MCI, diante da ressalva final contida no dispositivo legal, parece não interferir nesse raciocínio que, vale repisar, se baseia na existência de um acordo particular de vontades, por meio do qual o usuário outorga ao provedor poder para realizar um juízo discricionário sobre o conteúdo postado, inclusive com o direito de supressão das páginas que ele próprio (ou mediante denúncia de outros usuários) considerar prejudiciais ou inapropriadas. Enfim, sem querer pôr fim ao debate e sim enriquecer a discussão, parece importante que essa ressalva final do artigo 19 do MCI seja levada em consideração na fixação dos limites de aplicabilidade do dispositivo legal, buscando um equilíbrio na sua interpretação, que permita, a um só tempo, assegurar a liberdade de expressão e garantir os direitos fundamentais dos usuários. Como já tivemos a oportunidade de destacar em coluna anterior5, as enormes transformações propiciadas pelo atual estágio e ritmo de evolução tecnológica clamam por uma releitura profunda da ordem jurídica, como fenômeno cultural que é, atendendo aos novos anseios sociais. Finalmente, aproveitamos este último artigo do ano para desejar um feliz Natal e um próspero ano novo a todos os leitores que têm nos acompanhado, com um agradecimento especial ao time do Migalhas pela oportunidade, parceria e confiança em nosso trabalho. Retornamos em janeiro de 2020 com energia renovada e novos temas para reflexão! __________ 1 Embora o MCI não traga o conceito de provedor de aplicação, os seus arts. 5o, VIII, e 15, caput e § 1o, definem, respectivamente, o que vem a ser aplicação de internet e quem pode exercê-la, permitindo inferir que a provedoria de aplicação diz respeito a qualquer pessoa natural ou jurídica que, de forma profissional ou não, forneça um conjunto de funcionalidades que possam ser acessadas por meio de um terminal conectado à internet, ainda que seus objetivos não sejam econômicos. 2 O notice and take down surgiu no Direito norte-americano em 1998, consistente num mecanismo de retirada (take down), pelo provedor de Internet, de conteúdos ofensivos ou que violem direitos autorais, a partir da notificação (notice) da parte interessada ou em cumprimento a ordem judicial. A prática foi incorporada também pelo Direito europeu em 2000, através de Diretiva de Comércio Eletrônico editada pela Comunidade Europeia 3 Confira, nesse sentido, os seguintes julgados: REsp 1.193.764/SP, Rel. Min. Nancy Andrighi, 3ª Turma, DJe de 8.8.2011; REsp 1.186.616/MG, Rel. Min. Nancy Andrighi, 3ª Turma, DJe de 31.8.2011; AgRg no REsp 1.396.963/RS, Rel. Min. Raul Araújo, 4ª Turma, DJe de 23.5.2014; e REsp 1.306.157/SP, Rel. Min. Luis Felipe Salomão, 4ª Turma, DJe de 24.3.2014. 4 É o caso do GOOGLE, por exemplo, cuja política de uso do Google Ads "exige que os anunciantes estejam em conformidade com todas as legislações e normas aplicáveis e as políticas do Google descritas acima. É importante que você se familiarize e se mantenha atualizado sobre esses requisitos para os locais onde sua empresa atua, bem como quaisquer outros lugares onde seus anúncios são veiculados. Quando encontramos algum conteúdo que viola esses requisitos, bloqueamos a exibição dele e, em casos de violações recorrentes ou graves, não aceitamos que você volte a anunciar conosco". Acesso em 18/12/2019. 5 Inteligência artificial e responsabilidade civil dos robôs, publicado nesta coluna em 25/10/2019.
O Supremo Tribunal Federal anunciou que julgará em 2020 um dos temas mais importantes para o Direito Digital: a constitucionalidade ou não do artigo 19 do Marco Civil da Internet (lei 12.965/2014). Pouco se falou, mas este dispositivo que afasta a responsabilidade dos provedores de aplicações de internet enquanto não houver ordem judicial que determine a remoção de determinado conteúdo tem relação direta com a obrigatoriedade de os provedores armazenarem e fornecerem os dados de seus usuários. A obrigatoriedade de armazenamento e fornecimento de dados de identificação dos internautas vem prevista em diversos preceitos do Marco Civil, em especial nos artigos 10 a 17 da lei. Para o que interessa a este artigo, transcreve-se o seguinte: "Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. § 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º". (g.n.) De início, entendeu-se por uma interpretação restritiva do dispositivo, uma vez que os "registros de conexão e de acesso a aplicações de internet" eram estritamente os previstos no art. 5º, inc. VIII, da lei, a saber: "o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP"1, de modo que os provedores limitavam-se a fornecer tais dados, sempre após ordem judicial. Todavia, a partir de certo momento, o fornecimento de data e hora de acesso e o respectivo IP passou a ser insuficiente para identificação do usuário. É que houve o esgotamento da tecnologia então utilizada (conhecida como IPv4), de modo que os provedores de conexão passaram a migrar - paulatinamente - para a versão mais nova (IPv6). No período de transição, foram autorizados a compartilhar um mesmo endereço de IP com dezenas e às vezes centenas de usuários2. A partir de então, para identificar cada um dos usuários que compartilhavam um mesmo IP, passou-se a utilizar outro dado, conhecido como "porta lógica de origem", informação que pertence tanto aos provedores de conexão, quanto aos de aplicações. Explica-se: o provedor de conexão distribui um IP para vários usuários e atribui a cada um deles uma respectiva porta lógica. Todavia, como esses provedores não podem fazer qualquer tipo de distinção "por conteúdo, origem e destino, serviço, terminal ou aplicação" - segundo a regra da neutralidade de rede, disciplinada no art. 9º do Marco Civil - são os provedores de aplicações que possuem a informação complementar: qual IP e porta lógica acessou seus serviços em determinada data e horário. Fazendo uma analogia, teríamos o seguinte: o provedor de conexão pode ser visto como a máquina que distribuiu senhas numéricas a cada pessoa que entra numa agência bancária. Numa determinada manhã, a máquina informa que entraram naquela agência 200 clientes. Todavia, ao distribuir as senhas, ela não sabe o que cada pessoa fez no banco. Nesta comparação, os provedores de aplicações seriam os funcionários dos caixas, que recebendo a senha que foi distribuída a cada um, podem identificar que o cliente 1 fez um saque, o cliente 2 um empréstimo, o 3 uma transferência entre contas, o 4 um depósito em dinheiro, assim por diante. Para saber o que um determinado cliente (usuário) fez, é necessário juntar as informações da senha recebida com a operação feita no caixa. Doutrina e jurisprudência divergiram sobre (i) se os provedores de aplicações deveriam fornecer apenas as informações definidas no art. 5º, VIII, da lei, numa interpretação gramatical do Marco Civil da Internet, que não faz qualquer menção à porta lógica de origem ou (ii) se tais provedores deveriam também armazenar e fornecer a porta lógica, com fundamento em interpretação sistemática da lei, em especial do acima transcrito art. 10, § 1º, que menciona que os registros de conexão e acesso podem estar "associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário"3. Recentemente, a Terceira Turma do Superior Tribunal de Justiça definiu - em dois acórdãos que são considerados os leading cases do tema no âmbito do STJ - que o fornecimento da porta lógica é essencial para a identificação dos usuários e, assim para o "correto funcionamento da rede e de seus agentes operando sobre ela", sendo fundamental a guarda de tal informação pelos provedores, para fornecimento mediante ordem judicial. Tratam-se dos Recursos Especiais nº 1.777.769/SP, da relatoria da Ministra Nancy Andrighi e nº 1.784.156/SP, relator o ministro Marco Aurélio Bellizze, ambos julgados em 5/11/2019. Como os dois recursos foram julgados à unanimidade pela Terceira Turma e ainda não se tem notícia de que a Quarta Turma do STJ tenha pautado algum recurso sobre o mesmo assunto, há a expectativa de que a orientação recentemente firmada no Superior Tribunal de Justiça passe a ser adotada pelos tribunais estaduais, que até o momento possuem decisões em ambos os sentidos. Afinal, a correta e efetiva identificação dos usuários é essencial para a atribuição de responsabilidades na internet. ___________ 1 IP ou Internet Protocol é uma identificação numérica para cada computador ou dispositivo (impressora, smartphone, etc) conectado a uma rede, responsável por endereçar e encaminhar os pacotes ou blocos de informações que trafegam pela internet. 2 Sobre o tema, vide o relatório final do Grupo de Trabalho para implantação do protocolo IPv6, da Anatel. Acesso em 4/12/2019. 3 Confira-se, a título de exemplo das diferentes posições, os artigos de Renato Opice Blum, Ettore Zamidi, Omar Kaminski e Dennys Antonialli et al. Acessos de 5/12/2019.
Uma das grandes inovações trazidas pelo Regulamento Geral de Proteção de Dados (General Data Protection Regulation,"GDPR") da União Europeia, não prevista na anterior Diretiva 95/46 CE, é o princípio denominado accountability, que também foi incorporado à Lei Geral de Proteção de Dados ("LGPD") pelo nosso legislador, encontrando-se expressamente previsto em seu artigo 6º, X, intitulado princípio da responsabilização e da prestação de contas. Cuida-se, em síntese, da obrigação do controlador1 de adotar medidas eficientes e capazes de comprovar a observância e o cumprimento, em bases contínuas e permanentes, das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Nota-se, portanto, que não basta simplesmente estar em conformidade com a LGPD, o controlador deve ser capaz de demonstrar essa sua aderência à lei. Trata-se, a rigor, de um desdobramento ou complemento do princípio da transparência, igualmente previsto no artigo 6º da LGPD, em seu inciso VI. Veja que a accountability não pressupõe a busca da perfeição, à plena conformidade com a LGPD, até porque, diante da constante e rápida evolução tecnológica, isso seria uma tarefa quase que impossível de se cumprir, sem falar no custo proibitivo que isto acarretaria aos controladores. Na realidade, o dever de responsabilidade e de prestação de contas diz respeito à demonstração de como o controlador conduz suas atividades de tratamento de dados à luz: (i) das medidas técnicas adequadas - assim entendidas, de acordo com o artigo 44, III, da LGPD, como aquelas disponíveis à época em que for realizado o tratamento - que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los, nos exatos termos do artigo 48, § 3º, da LGPD; e (ii) dos relatórios de impacto por ela produzidos, em linha com o artigo 38 da LGPD. Com efeito, cumpre ao controlador fazer tudo aquilo que estiver ao seu alcance para garantir o sigilo e a inviolabilidade dos dados pessoais por ele tratados, com base nos riscos apurados, na tecnologia acessível e nos recursos razoavelmente disponíveis para tanto2. Nesse contexto, o respeito ao princípio da accountability pressupõe, além de um modelo de governança corporativa que assegure o efetivo cumprimento das obrigações acima, a organização e a manutenção de um conjunto de documentos capaz de evidenciar que tais obrigações estão de fato sendo satisfeitas. Esse conjunto de documentos pode basicamente ser dividido em cinco grandes grupos, todos pensados e elaborados com base nos princípios gerais de tratamento de dados pessoais contidos no artigo 6o da LGPD: (i) políticas corporativas; (ii) registro das operações de tratamento; (iii) atividades do encarregado3; (iv) relatórios de impacto; e (v) registro de incidentes de segurança. Em primeiro lugar, o artigo 50 da LGPD prevê a formulação de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas de treinamento e reciclagem, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Será com base nessas políticas corporativas que a empresa irá nortear toda a sua atividade de tratamento de dados pessoais. A obrigação de registro das operações, por sua vez, encontra-se prevista no artigo 37 da LGPD e deve compreender todas as atividades de tratamento de dados pessoais, em especial quando baseado no legítimo interesse. Esse relatório deve indicar de maneira detalhada todas a informações relevantes acerca do tratamento de dados pessoais, tais como, quais os dados tratados, de que forma, com que finalidade, por quanto tempo, inclusive de modo a identificar eventuais riscos potenciais que possam justificar a realização de relatórios de impacto. No que tange às atividades do encarregado, previsto no artigo 41 da LGPD, não basta a mera indicação da pessoa física ou jurídica nomeada para o exercício do cargo. Deve haver o registro minucioso de todas as suas atividades, evidenciando o efetivo desempenho de suas funções com total independência, como, por exemplo, a fiscalização das operações de tratamento, as orientações dadas a empregados e contratados acerca das práticas e políticas da empresa, as repostas dadas e as providências adotadas em relação às reclamações e comunicados recebidos de titulares. Já o relatório de impacto encontra-se previsto em linhas gerais no artigo 38 da LGPD, que deixa maiores detalhes para regulamentação a ser editada pela Autoridade Nacional de Proteção de Dados ("ANPD"). De todo modo, o relatório de impacto deverá conter, no mínimo, a descrição dos tipos de dados tratados, a metodologia utilizada para a tratamento e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Embora a LGPD estabeleça que caberá à ANPD determinar em que circunstâncias será necessária a elaboração de relatórios de impacto, a experiência derivada do tratamento de dados no âmbito da Comunidade Europeia4 mostra que as empresas devem ter a iniciativa de preparar relatórios de impacto sempre que suas atividades de tratamento de dados compreendam mais de uma das seguintes hipóteses: (i) avaliações ou scoring; (ii) tomada de decisões por meios automatizados, como nas classificações de crédito; (iii) monitoramento sistemático, tal qual o realizado por shopping centers; (iv) dados sensíveis, nos termos do artigo 5o, II, da LGPD; (v) dados tratados em larga escala, considerando a quantidade de titulares, o volume de dados, o tempo de tratamento e/ou a extensão geográfica da área de coleta; (vi) realização de cruzamentos ou combinações de grupos de dados; (vii) dados de titulares vulneráveis, como crianças e idosos; (viii) utilização de soluções tecnológicas ou organizacionais inovadoras; ou (ix) quando o próprio meio de tratamento do dado possa prevenir os titulares de exercerem seus direitos ou usarem o produto ou serviço, como, por exemplo, na implantação de processos de autenticação que induzam limitações de acesso (leituras biométricas, assinaturas digitais etc.). A presença de duas ou mais dessas hipóteses é um forte indicativo da necessidade de elaboração do relatório de impacto. Por fim, o registro de incidentes de segurança, previsto no artigo 48 da LGPD, derivado do dever de comunicar à ANPD e ao titular do dado a ocorrência de eventos que possam acarretar risco ou dano relevante, mencionando, no mínimo: (i) a natureza dos dados pessoais afetados; (ii) os titulares envolvidos; (iii) as medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv) os riscos relacionados ao incidente; e (v) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Ademais, mesmo antes do comunicado à ANPD, é importante que se mantenha registro de todo procedimento adotado, em linha com plano de gestão de crise, desde o momento em que o vazamento de dados foi identificado5: pessoas envolvidas, atas das reuniões realizadas, decisão pela necessidade ou não de comunicar a ANPD e os titulares etc. Em suma, o dever de responsabilidade e de prestação de contas imposto pela LGPD exigirá das empresas não apenas adequação de suas rotinas de trabalho às exigências da Lei, mas também a estruturação de um rigoroso e detalhado sistema de documentação das atividades de tratamento de dados pessoais, o qual certamente ficará sujeito à fiscalização pela ANPD6 e servirá como meio de defesa e mitigação de responsabilidades/penalidades em caso de vazamento de dados. ___________ 1 O controlador, nos termos do artigo 5º, VI, da LGPD é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 2 Nos termos do considerando 83 da GDPR, visando à preservação e segurança, bem como para evitar o tratamento indevido de dados, o responsável pelo tratamento deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Esse mesmo considerando ressalva que tais medidas deverão assegurar um nível de segurança adequado, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. 3 O encarregado, nos termos do artigo 5º, VI, da LGPD é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. 4 Mencionadas no considerando 91 da LGPD. 5 Nos termos do considerando 85 da GDPR, logo que o responsável pelo tratamento tenha ciência de uma violação de dados pessoais, deverá notificá-la à autoridade, sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a menos que seja capaz de demonstrar, em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar risco para os direitos e liberdades dos titulares. Esse mesmo considerando ressalva que, se não for possível efetuar essa notificação no prazo de 72 horas, a notificação deverá ser acompanhada dos motivos do atraso, podendo as informações serem fornecidas por fases. 6 Nos termos do considerando 82 da GDPR, os responsáveis pelo tratamento de dados pessoais deverão cooperar com a autoridade e facultar-lhe acesso aos respectivos registros de tratamento, a pedido, para fiscalização dessas atividades de tratamento.
No apagar das luzes de outubro, o deputado Federal Carlos Bezerra (MDB/MT) apresentou à Câmara dos Deputados o projeto de lei 5.762/2019, que possui apenas três artigos e um único propósito, adiar a entrada em vigor da lei 13.709/2018 - a Lei Geral de Proteção de Dados (LGPD) - para 15 de agosto de 2022, ou seja, acrescentando mais dois anos ao período de vacatio legis da LGPD. Entendeu o parlamentar mato-grossense que, embora a nova lei seja "um marco para a garantia da privacidade e da proteção de dados dos cidadãos", aumentando a competitividade das empresas nacionais no exterior - argumento que já tivemos a oportunidade de expor em coluna anterior1 - "apenas uma pequena parcela das empresas brasileiras iniciou o processo de adequação ao novo cenário jurídico". O projeto apresenta ainda como justificativa a alegada "morosidade" do governo federal na instalação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração federal que será responsável por zelar pela proteção dos dados pessoais, elaborar as diretrizes da política brasileira de proteção de dados, fiscalizar e aplicar sanções2. A notícia pegou de surpresa o mundo jurídico, atingindo especialmente as empresas que já iniciaram seus projetos de adequação ou que pelo menos estão finalizando os estudos para implementá-lo. Até mesmo porque, num primeiro momento, pode passar a equivocada impressão de que a nova lei não seria tão importante ou - o que também seria muito ruim - gerar uma expectativa de novos adiamentos. Antes de mais nada, contudo, é bom lembrar que o projeto acabou de ser apresentado e nada indica que será aprovado ou mesmo que terá uma tramitação célere, podendo ser engolido pelo calendário, que atualmente conduz à entrada em vigor da LGPD em agosto de 2020. Por outro lado, enquanto as empresas se adaptam às regras de proteção de dados - uma tarefa que demanda tempo e a participação de diversos setores internos, como o departamento jurídico, as equipes de tecnologia da informação e a área de compliance, além de parceiros estratégicos para auxiliar na condução do trabalho - alguns órgãos públicos e o Ministério Público de certos Estados já estão requerendo a apresentação de relatórios de impacto à proteção de dados pessoais, novidade criada pela LGPD e definida como a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco"3. Além do fato de as empresas estarem em período de transição e adaptação à nova lei, duas são as principais questões colocadas em debate no que diz respeito a tais pedidos que, a depender do modo como formulados, podem ser considerados como verdadeiras exigências: em primeiro lugar, o fato de a LGPD ainda não se encontrar em vigor; e, não menos importante, a previsão legal de que o órgão que possui a competência para regulamentar e solicitar a apresentação do relatório de impacto é a Autoridade Nacional de Proteção de Dados (ANPD)4, ainda não implementada5. Exatamente por conta desses dois pontos, ganha especial relevância a sentença proferida pelo juiz Flavio Augusto Martins Leite, da 24ª vara Cível de Brasília, datada de 4/11/2019. Ao julgar ação civil pública6 ajuizada pela Unidade de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal contra uma empresa de telefonia, em que se buscava, como um dos pedidos principais, a obrigação de fazer consistente na elaboração e entrega de relatório de impacto, decidiu-se pela improcedência dos pedidos. No tema que interessa para o presente artigo, alegou a empresa de telefonia que ainda não se encontram definidos e regulamentados os contornos de um relatório de impacto à proteção de dados pessoais, de modo que descabida, neste momento, sua apresentação. Embora tenha entendido pela existência de interesse de agir por parte do órgão ministerial, entendeu o magistrado que a LGPD ainda não se encontra em vigor e que sequer foram estabelecidos os limites daquele documento por parte da ANPD, órgão responsável para tanto. Em face disso, o Ministério Público (MP) não pode exigir a apresentação do relatório de impacto: "Não se questiona aqui o poder requisitório do Parquet, mas a imputação ao requerido de produção de relatório cujos moldes não estão definidos, o que implica na impossibilidade de coerção direta para o estabelecimento de obrigação de fazer de documento ainda não discriminado pela legislação competente. Com efeito, nada impede que o Ministério Público exija as informações que entender necessárias à proteção dos direitos em tela, mas deve indicar os elementos que devem constar do relatório pretendido. A simples menção a um relatório que ainda não tem forma ou conteúdo definidos impõe uma obrigação impossível de ser cumprida". A decisão é acertada. Eventual acolhimento do pedido do MP poderia impactar sensivelmente na defesa da empresa, na medida em que esta poderia apresentar um documento que viesse a ser considerado incompleto ou inadequado posteriormente, quando a ANPD regulamentar os requisitos de um relatório de impacto. Enquanto isso não ocorre, é imprescindível que as autoridades especifiquem - e demonstrem fundamentadamente a necessidade - daquilo que pretendem seja apresentado. Há ainda uma outra questão que merece especial atenção. Uma vez que a LGPD dispõe competir à Autoridade Nacional a solicitação do relatório de impacto, quando tal órgão estiver estruturado e em pleno funcionamento poderão outros órgãos da Administração solicitar tal documento? Sem prejuízo de um debate mais aprofundado, parece existir à primeira vista um sério risco de invasão de competência e possível bis in idem na exigência e possível aplicação posterior de sanções. __________ 1 "Adequação à LGPD: uma oportunidade para empresas reverem seus modelos de negócios e desenvolverem novos produtos", Migalhas, 27/09/2019. 2 Criada pela MP 869/2018, posteriormente convertida na lei 13.853/2019, que, inclusive, adiou a entrada em vigor da LGPD de 18 meses para 24 meses após a publicação da lei. 3 Art. 5º, XVII, da Lei Geral de Proteção de Dados. 4 De acordo com os artigos 10, § 3º, 32, 38 e 55-J, inciso XIII, todos da LGPD. 5 Por enquanto, só se tem notícia da indicação dos representantes (titulares e suplentes) indicados pela Câmara e pelo Senado para integrarem o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo integrante da ANPD. São eles, respectivamente: os advogados Danilo Doneda e Fernando Santiago Junior pela Câmara e Fabrício Mota Alves e Gustavo Afonso Sabóia Vieira pelo Senado (Acesso em 7/11/2019). 6 Processo nº 0721735-15.2019.8.07.0001, cuja sentença pode ser conferida aqui (Acesso em 7/11/2019).
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Surgida na década de 1940, a inteligência artificial teve início como meio de busca de novas funcionalidades para o computador, então em projeto. Contudo, embora existente há décadas, esta vertente da ciência da computação destinada à elaboração de dispositivos que simulem a capacidade humana de raciocinar, perceber, tomar decisões e resolver problemas, ou seja, de aprender com suas próprias experiências, só se popularizou nos últimos anos, impulsionada pelo desenvolvimento significativo da informática e ramificada em diversas frentes de estudo, inclusive a biológica, procurando imitar as redes neurais humanas e, por conseguinte, a capacidade de ser inteligente. Esses primeiros trabalhos possibilitaram a automação e o raciocínio formal presente nos computadores de hoje, incluindo sistemas de apoio à decisão e sistemas inteligentes de pesquisa que podem ser projetados para complementar e expandir as capacidades humanas, resultando no chamando machine learning, isto é, a habilidade do computador de aprender sem ser programado diretamente. Atualmente, já se fala em deep learning, considerada a maior disrupção tecnológica da área, consistente em um modelo computacional baseado em um conjunto de algoritmos que modelam abstrações de alto nível de dados para decifrar a linguagem natural. Essa técnica dá uma nova dimensão ao aprendizado automático, permitindo a análise de dados brutos para a classificação de informações contidas em diferentes formatos, como áudios, textos, imagens, sensores e bancos de dados. O deep learning permite que os computadores entendam o que ouvem, vejam e descrevam uma imagem, aprendam conceitos, enfim, as possibilidades são infinitas, indo desde análises preditivas, passando por dispositivos para reconhecimentos ótico de caracteres e de voz, chegando até mesmo à realização de diagnósticos médicos e à condução de veículos autônomos. Há quem diga, inclusive, que estamos à beira de uma nova revolução industrial. Entretanto, à medida em que essa tecnologia avança e garante um grau de autonomia cada vez maior à tomada de decisões por máquinas, surgem diversos questionamentos, entre eles os limites da responsabilidade civil por danos decorrentes de atos considerados independentes desses robôs. De início, vale ressalvar que não é possível regular essa nova realidade com base nas regras clássicas de Direito, concebidas muito antes do advento das tecnologias existentes hoje. A evolução da informática fez surgir novos paradigmas, inclusive do ponto de vista legal, exigindo que conceitos tradicionais e institutos clássicos do Direito sejam revistos, ou ao menos analisados, sob novos ângulos e perspectivas, sem o que será impossível alcançar uma regulação efetiva e eficiente das relações virtuais. Nesse sentido, em fevereiro de 2017, o Comitê de Assuntos Jurídicos do Parlamento Europeu editou resolução sobre as disposições de Direito Civil aplicáveis à robótica, ressalvando a insuficiência do atual quadro jurídico-normativo para alcançar danos provocados pela nova geração de robôs, tendo em vista as capacidades adaptativas e de aprendizagem que induzem um certo grau de imprevisibilidade no seu comportamento. Ganhou notoriedade mundial, por exemplo, o atropelamento, por carro autônomo da UBER, de uma senhora que cruzava via pública fora da faixa de pedestres. Embora a UBER tenha sido inocentada - as investigações seguem em face da motorista de apoio que estava no automóvel na hora do acidente - há suspeitas de falha do sistema operacional do veículo, cujos sensores teriam detectado a vítima mas decidido não frear, entendendo tratar-se de um "falso positivo", ou seja, um objeto que não representaria risco. Diante disso, discute-se o desenvolvimento de novas matrizes de responsabilização civil de robôs, baseadas na responsabilidade objetiva derivada da gestão de riscos, considerando as já destacadas possibilidades infinitas e a falta de limites da inteligência artificial. A ideia é que se exija apenas a prova de ocorrência do dano e o estabelecimento de um liame causal entre o comportamento lesivo do robô e os danos causados à vítima. Pela abordagem de gestão de riscos, não se atribui a responsabilidade àquele que agiu de forma negligente, mas àquele capaz de mitigar riscos e gerenciar impactos negativos. De todo relevante, aqui, a teoria norte-americana do deep-pocket, segundo a qual todas as pessoas ligadas a atividades de risco que sejam, a um só tempo, rentáveis e úteis para a sociedade, devem compensar os danos causados pelo lucro obtido. Em outras palavras, o desenvolvedor da inteligência artificial, o fabricante de produtos que a utilizam ou mesmo quem apenas a explora em sua atividade, ou seja, qualquer um que tenha o "bolso profundo" e aufira lucro com essa nova tecnologia, deve garantir terceiros contra os riscos inerentes às suas atividades. Nessa linha de raciocínio, uma solução possível, proposta inclusive pelo Parlamento Europeu, seria a instituição de um regime de seguros obrigatórios, impondo aos fabricantes ou aos exploradores de robôs a sua contratação com cobertura específica para potenciais danos que possam vir a ser causados por tais máquinas. Avançando nessa proposta, e sem prejuízo da manutenção da responsabilidade objetiva das empresas, pode ser ainda mais efetiva, inclusive do ponto de vista da socialização e coletivização do risco, a instituição obrigatória de um fundo de compensação visando a assegurar a reparação dos danos causados por máquinas dotadas de inteligência artificial, fundo esse a ser mantido com base em contribuições feitas "pelos próprios robôs". Melhor explicando, e traçando um paralelo entre a força de trabalho humana e a força de trabalho dos robôs - que, cada vez mais, agem de forma autônoma, raciocinando e tomando decisões, gerando lucro para seus "empregadores" e, portanto, fazendo jus a uma "remuneração" - os ganhos proporcionados pela "atividade laboral" destas "máquinas pensantes" reverteriam para o mencionado fundo de compensação. De acordo com tal hipótese, esse exercício de equiparação da força de trabalho robótica à humana permitiria vislumbrar outros "direitos" para as máquinas, semelhantes àqueles atualmente conferidos aos trabalhadores, tais como "folga semanal" (para que os robôs passem por manutenção), "férias" (para que eles sejam atualizados), e "aposentadoria" (como garantia contra a obsolescência dos robôs). Todavia, a construção de uma teoria da responsabilidade civil das máquinas gira em torno da possibilidade de robôs virem a ter personalidade jurídica, se tornando sujeitos de direitos e obrigações, tal como imaginado pelo escritor russo Isaac Asimov ao propor as três leis da robótica, sobre o robô não poder ferir humanos, ser obediente aos mesmos e proteger sua existência desde que não viole as duas primeiras regras. A Arábia Saudita, por exemplo, já se desvencilhou do pensamento antropocêntrico e reconheceu a possibilidade de robôs terem personalidade jurídica: no final de 2017, tornou-se o primeiro país a conceder cidadania oficial a uma máquina, no caso a Sophia, um robô humanoide com inteligência artificial projetado para aprender, adaptar-se ao comportamento humano e trabalhar com seres humanos. Seguindo esse caminho, podemos pensar na divisão do conceito clássico de pessoa singular em duas espécies: pessoas singulares humanas (biológicas) e pessoas singulares humanoides (cibernéticas). Assim como as pessoas humanas, as pessoas humanoides podem ter diferentes graus de capacidade, conforme o seu nível de inteligência e autodeterminação. A partir daí, abre-se a porta para a responsabilização dos robôs por suas ações. O presente artigo não teve a pretensão de trazer uma solução para essa problemática, mas de provocar a discussão em torno do tema. Ainda há muito o que avançar, rompendo com antigos paradigmas e buscando alternativas que se adequem à nova realidade. As enormes transformações propiciadas pelo atual estágio e ritmo de evolução tecnológica clamam por uma releitura profunda da ordem jurídica, como fenômeno cultural que é, atendendo aos novos anseios sociais.
Em meio a intensos debates legislativos, optou-se por deixar as questões relativas aos direitos do autor fora do Marco Civil da Internet (MCI - lei 12.965/2014). Neste sentido, nas disposições finais da lei, constou expressamente que, até a entrada em vigor de lei específica, "a responsabilidade do provedor de aplicações de internet por danos decorrentes de conteúdo gerado por terceiros, quando se tratar de infração a direitos de autor ou a direitos conexos, continuará a ser disciplinada pela legislação autoral vigente"1. Passados cinco anos, ainda não foi editada nova lei, sendo certo também que a Lei de Direitos Autorais (LDA - lei 9.610/1998), editada quando a internet dava seus primeiros passos no país, faz menções um tanto quanto genéricas às novas tecnologias2, não apresentando soluções adequadas, em especial no tocante à responsabilização por danos decorrentes de conteúdo gerado por terceiros. Não à toa, na visão de autoralistas, o MCI já foi inclusive taxado como uma lei "hostil" à criação intelectual, na medida em que classifica como subjetiva a responsabilização dos provedores de aplicações e exige ordem judicial específica para que tais empresas removam determinado conteúdo do ar3. É certo que, embora o próprio MCI fale na dependência de lei específica para regular o tema, como ainda não foi editada tal lei, tem prevalecido a regra geral do artigo 19, que é prejudicial aos titulares de direitos autorais e conexos, sobretudo quando comparada à regra até então adotada do notice and takedown, procedimento segundo o qual o titular do direito notificava extrajudicialmente o provedor para que tornasse indisponível o conteúdo, sob pena de negligência que já poderia ser responsabilizada civilmente. O conflito que se verifica neste tema reside na discussão sobre se a proteção aos direitos autorais e conexos prejudicaria a potencialidade de difusão das informações pelas novas tecnologias4. Seria o direito autoral verdadeira restrição à liberdade de circulação de obras literárias e artísticas pela internet? Visando resolver o impasse, o anteprojeto de lei de modernização da Lei de Direito Autoral (de 2010) buscou criar regra específica de responsabilidade solidária dos provedores "de hospedagem" por danos decorrentes da disponibilização ao público, por terceiros e sem autorização de seus titulares, de "obras e fonogramas". Pelo anteprojeto, seria incluído o art. 105-A à lei 9.610/1998, que tornaria o provedor responsável se, após notificação pelo titular ofendido, não tomasse as providências a seu alcance para tornar indisponível o conteúdo, em nítida contraposição à regra geral do Marco Civil5. O projeto, contudo, não foi à frente, sendo certo que o Ministério da Cidadania abriu - em junho de 2019 - nova consulta pública para reforma da LDA, indicando que se retornou à estaca zero, na medida em que a consulta será "o primeiro passo para a construção de um anteprojeto de lei para a reforma da LDA"6. Embora não se questione que a consulta à sociedade civil, sobretudo às associações ligadas ao tema e aos estudiosos da matéria, sempre seja bem-vinda, parece ser contraproducente deixar de lado tudo que foi debatido nos últimos anos para se recomeçar, ainda mais sabendo que as discussões serão polêmicas e que o processo legislativo brasileiro não costuma ser nada célere. Fato é que ainda não possuímos uma regulamentação específica para as questões ligadas ao direito de autor na internet e a aplicação da regra geral do Marco Civil está longe de ser a mais adequada, pela grande distinção das hipóteses: uma coisa é discutir se um texto crítico está protegido pela liberdade de expressão ou se viola os direitos de personalidade de alguém; outra - bem distinta - é o combate à pirataria, que prejudica não apenas os autores, como toda a indústria literária e audiovisual. Algo que certamente marcará os debates será a recém aprovada Diretiva sobre Direitos do Autor da União Europeia e seu polêmico artigo 13, que vai muito além do notice and takedown, que é a regra atual na Europa. Quando os países europeus criarem suas regras internas em obediência à diretiva, as plataformas e redes sociais deverão tomar medidas que variam desde a tentativa de licenciar conteúdo protegido ou removê-lo após notificação, passando por proibir que o material removido seja novamente disponibilizado, até a criação de filtros de upload, para impedir que um conteúdo protegido por direitos autorais e não licenciado sequer chegue à internet7. Há bons argumentos para os dois lados. Numa ponta, defende-se o direito de autores, que não foi adequadamente protegido pelo Marco Civil e que sofreu enorme impacto pelo incremento da atividade de pirataria pela internet8. Na outra, o risco de que uma eventual obrigação de monitoramento, tal qual criada na Europa, acabe se mostrando exagerada e possa afetar inclusive o chamado uso aceitável (fair use) do material protegido por direitos autorais, por exemplo para fins educacionais, divulgação de notícias, críticas literárias ou paródias. Aguarda-se que os debates levem o futuro projeto que irá regulamentar a matéria a uma solução equilibrada e que a aprovação das novas regras não demore. O que não se pode mais admitir é que a proteção dos direitos do autor continue sem regulamentação, gerando enorme insegurança jurídica. __________ 1 Art. 31 da lei 12.965/2014, fazendo remissão ao art. 19, § 2º, da lei. 2 A LDA fala em "meios óticos ou qualquer outro processo eletromagnético", "qualquer outra forma de transferência" de obras literárias ou artísticas, "meios eletrônicos" de reprodução, "armazenamento em computador", etc. Não há uma única menção à internet. 3 MORATO, Antonio Carlos; MORAES, Rodrigo. Breve crônica dos riscos de uma lei criada sob o signo da hostilidade à criação intelectual. In DEL MASSO, Fabiana; ABRUSIO, Juliana; FLORÊNCIO FILHO, Marco Aurélio (coord.). Marco civil da internet - lei 12.965/2014. São Paulo: RT, 2014. 4 DOS SANTOS, Manoel J. Pereira. Direito de autor, direito de informação e internet. In Direito Autoral - série GVLaw - Propriedade Intelectual. São Paulo: Saraiva, 2014. 5 O anteprojeto falava ainda em "prazo razoável", ao contrário da redação do art. 19 do MCI, que fala em cumprimento no "prazo assinalado" pela decisão judicial. Ficaria, portanto, a cargo da jurisprudência e da doutrina definir o que seria razoável nestas hipóteses. 6 Notícia veiculada - acesso em 10/10/2019). A consulta encerrou-se em setembro de 2019. 7 Sobre o tema, confira-se: VALENTE, Mariana G. A diretiva sobre direitos de autor na União Europeia pode acabar com a internet? In (acesso em 8/10/2019). 8 Desde livros inteiros cujas versões em PDF circulam livremente pelas redes sociais e aplicativos de mensagens, até a pirataria de filmes e programação de TV por assinatura, disseminada por meio de receptadores, aplicativos de celular e listas IPTV.
Entramos na contagem regressiva de um ano para a entrada em vigor - no dia 14/8/2020 - da Lei Geral de Proteção de Dados1 ("LGPD"), já considerando o prazo adicional de seis meses proporcionado pela Medida Provisória 869/2018, convertida na lei 13.853/2019. Transcorrido mais da metade do período de vacatio legis, constata-se que a grande maioria das empresas ainda não iniciou o processo de adequação à LGPD. Muitas se questionam se a LGPD não irá cair no ostracismo, como tantas outras normas que são letra morta no país, rendendo-se ao fenômeno que os americanos denominam backlash, ou seja, leis que, por estarem de alguma forma dissociadas da razoabilidade ou do senso comum, acabam sendo sistematicamente descumpridas. Definitivamente, não será este o caso da LGPD, que não é fruto de mero oportunismo ou conveniência política, tampouco encontra-se divorciada da realidade; ao contrário, advém de uma exigência mundial de mercado, de conferir maior segurança e transparência ao tratamento de dados pessoais, que, aliado ao atual - e crescente - grau de desenvolvimento tecnológico, se tornou poderosa ferramenta de profiling, isto é, de monitoramento centrado de pessoas para, com base em algoritmos complexos, criar modelos ou perfis de comportamento. São inúmeras as aplicações do profiling, estando presente em diversas atividades do nosso cotidiano, tais como na oferta de bens e serviços, no controle e segurança de espaços com grande circulação de pessoas e na análise de crédito. Diferente do que muitos imaginam, tal preocupação não é nova. A proteção de dados pessoais é regulamentada na Europa desde a década de 1970, quando foi instituído o Ato de Proteção de Dados de Hesse, na Alemanha, e em âmbito transnacional desde da década de 1980, quando o Conselho da Europa aprovou a Convenção 108 para a proteção das pessoas relativamente ao tratamento automatizado de dados de caráter pessoal. Mas a regulamentação do tratamento de dados pessoais não foi uma iniciativa exclusiva da Comunidade Europeia. Na América do Sul, por exemplo, Argentina, Chile, Uruguai, Colômbia e tantos outros países já dispõem de normas nesse sentido, algumas vigentes desde a década de 1990. Tudo leva a crer, portanto, de que a LGPD será largamente fiscalizada e aplicada, não apenas por reciprocidade às legislações estrangeiras, que para a transferência internacional de dados pessoais exigem dos países receptores o mesmo grau de proteção e garantia, mas sobretudo por uma exigência de mercado e da própria sociedade, que paulatinamente vem se conscientizando do valor, das possibilidades e, sobretudo, dos riscos associados ao tratamento de dados pessoais. Aliás, a LGPD também tende a exercer papel educador2, gerando um processo de aculturamento dos brasileiros acerca dos direitos e obrigações inerentes à proteção de dados, num fenômeno semelhante ao ocorrido com o Código de Defesa do Consumidor que, passados quase trinta anos de sua entrada em vigor, trouxe enorme conscientização da sociedade acerca de seus direitos e obrigações enquanto consumidores. Nesse contexto, estar em conformidade com a LGPD ultrapassa o aspecto da mera legalidade para se tornar verdadeiramente uma vantagem competitiva entre as organizações, na medida em que as pessoas tenderão a preferir manter relacionamento comercial com aquelas empresas que lhes garantam transparência, privacidade, controle e segurança no tratamento de seus dados. Focar na experiência do consumidor é um diferencial competitivo. Não se trata, pois, de cumprir o mínimo para estar aderente à lei, mas de encarar a LGPD como uma oportunidade para rever modelos de negócio e desenvolver novos produtos, ciente de que os conceitos de privacy by design (priorização da privacidade do dado de ponta a ponta, desde a concepção do produto ou serviço, conferindo segurança ao dado durante todo o seu ciclo de vida, da coleta à eliminação) e de privacy by default (configuração padrão deve assegurar o máximo de privacidade ao titular, coletando apenas os dados essenciais à entrega do bem ou prestação do serviço), muito mais do que uma exigência legal, representam uma expectativa crescente e legítima do cliente. Já do ponto de vista interno, a aderência à LGPD propiciará a implementação de uma cultura corporativa voltada para o tratamento ético, seguro e otimizado de dados, desvencilhando-se da atual praxe de algumas empresas, de coletar o maior volume possível de dados pessoais, sem qualquer critério e sem sequer atentar para a real utilidade dos dados coletados. Ao buscarem efetivo alinhamento com os limites impostos pela LGPD, as empresas terão a oportunidade de construir um banco de dados mais eficiente e menos custoso, centrado apenas nas informações que tenham utilidade prática, reduzindo inclusive suas contingências de segurança e possibilitando uma relação de absoluta transparência com os clientes. Em suma, a LGPD veio para ficar e a implementação do processo de adequação às suas regras não deve ser vista como um gasto, mas como um investimento para ganho em competitividade e reputação de mercado, alavancando novos negócios. Deve-se olhar essa nova legislação de forma prospectiva e estratégica, não como um ônus, mas como uma oportunidade. Este, sem dúvida, parece ser o melhor caminho. __________ 1 Lei 13.709/2018. 2 Este deve ser o papel desempenhado pela Autoridade Nacional de Proteção de Dados (ANPD), pelo menos nos seus primeiros anos. Como ainda inexiste uma cultura brasileira de preocupação com os dados pessoais, o caminho da educação e orientação das empresas é mais indicado do que o da simples punição.
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Caros leitores, iniciamos hoje em Migalhas esta coluna quinzenal que pretende abordar e discutir aspectos ligados ao Direito Digital e, como não poderia deixar de ser, à Lei Geral de Proteção de Dados (LGPD), a lei 13.709/2018, que entrará em vigor em agosto de 2020 e tem potencial de impacto na sociedade e na vida das empresas semelhante ao ocorrido, na década de 1990, com o Código de Defesa do Consumidor. Pretendemos trazer para o debate questões e implicações jurídicas sobre Inteligência Artificial, Internet das Coisas, privacidade, liberdade de expressão versus direitos da personalidade, responsabilidade civil e como nossos tribunais têm decidido tais temas, sempre que possível comparando com decisões estrangeiras. Neste primeiro artigo, abordamos um tema que está na pauta do Supremo Tribunal Federal (STF): a possibilidade de acesso aos dados de um telefone celular apreendido com um acusado em situação de flagrante ou no local do crime. A controvérsia está sendo discutida no Recurso Extraordinário com Agravo (ARE) 1.042.075, da relatoria do ministro Dias Toffoli, com repercussão geral reconhecida1. No caso, o Tribunal de Justiça do Rio de Janeiro (TJ/RJ) decretou a absolvição do acusado sob o fundamento de que a apreensão do celular seguida de acesso à agenda telefônica e ao registro de chamadas constituíra prova ilícita, por ter sido realizada sem autorização judicial. O Ministério Público recorreu ao STF defendendo a licitude da medida adotada pela polícia, que configuraria mera apreensão de objetos necessários à prova da infração penal, "servindo os registros e fotos ali armazenados como linha investigativa hábil a identificar o agente", não implicando em invasão à privacidade ou à intimidade, nem em interceptação de comunicação telefônica ou de dados. A matéria já foi decidida algumas vezes pelo Superior Tribunal de Justiça (STJ)2, que fixou o entendimento de que, em tais casos, a prova é ilícita. Vide, a título de exemplo, o Recurso em Habeas Corpus (RHC) 51.531/RO, julgado pela 6ª Turma, relator o ministro Nefi Cordeiro (DJe de 9/5/2016). No mesmo sentido, o RHC 67.379/RN, da relatoria do ministro Ribeiro Dantas, em que a 5ª Turma do STJ decidiu, em votação unânime, que a conduta era irregular, a ponto de a prova ter sido desentranhada dos autos. Confira-se trecho da ementa deste julgado3: "2. Embora seja despicienda ordem judicial para a apreensão dos celulares, pois os réus encontravam-se em situação de flagrância, as mensagens armazenadas no aparelho estão protegidas pelo sigilo telefônico, que deve abranger igualmente a transmissão, recepção ou emissão de símbolos, caracteres, sinais, escritos, imagens, sons ou informações de qualquer natureza, por meio de telefonia fixa ou móvel ou, ainda, através de sistemas de informática e telemática. Em verdade, deveria a autoridade policial, após a apreensão do telefone, ter requerido judicialmente a quebra do sigilo dos dados nele armazenados, de modo a proteger tanto o direito individual à intimidade quanto o direito difuso à segurança pública. Precedente". (RHC 67.379/RN, 5ª Turma, Rel. Min. Ribeiro Dantas, DJe de 9/11/2016) O tema já havia sido tratado, em junho de 2014, pela Suprema Corte dos Estados Unidos. No caso Riley v. Califórnia, também prevaleceu a proteção dos dados encontrados em celular apreendido por policial sem ordem judicial. Naquele caso, o acusado foi detido por dirigir com documentação vencida e, na abordagem, foram encontradas em seu carro duas armas de fogo e, no bolso da calça de Riley, um smartphone. A partir da análise dos dados encontrados no telefone, foi possível denunciar o acusado pela participação em um tiroteio ocorrido algum tempo antes. No precedente estadunidense, decidiu-se que o celular pode ser apreendido pela autoridade policial, até mesmo para que não possa ser utilizado como "arma" pelo acusado. Porém, os dados armazenados no aparelho não podem ser vistoriados sem a existência de ordem judicial. Reputamos correto o entendimento - tanto da Suprema Corte dos EUA, quanto do STJ - na medida em que, ao contrário da tese defendida pelo Ministério Público, um smartphone não deve ser comparado a uma antiga agenda de endereços e telefones onde uma pessoa ligada ao tráfico de entorpecentes anotava dados de seus clientes ou fornecedores. Ao contrário, levamos atualmente conosco, para todos os lugares, dados muito sensíveis, uma gama de informações que inclui mensagens, lista de contatos, fotografias, e-mails, registro de ligações, perfis (e comunicações) em redes sociais, contas bancárias, trajetos percorridos nos dias anteriores e muito mais. Diante disso, apreendido o telefone celular, cabe à autoridade policial requerer judicialmente a quebra do sigilo dos dados armazenados, de sorte a respeitar a garantia constitucional à inviolabilidade da intimidade e da vida privada, contida no artigo 5º, inciso X, da Carta Magna. Embora a Constituição Federal permita, em situações extremas, a relativização dos direitos fundamentais, sopesados os valores envolvidos na situação em comento, não nos parece ser possível. O acesso indevido, sem ordem judicial fundamentada, implicaria em grave violação à privacidade e intimidade das pessoas, atingindo, ainda que por analogia - já que não há, propriamente, uma interceptação telefônica - a inviolabilidade das comunicações privadas, regulada pela lei 9.296/1996, que, malgrado já pudesse ter sido atualizada às novas tecnologias, encontra-se em vigor e é perfeitamente aplicável à hipótese. Por fim, mesmo nas hipóteses em que possa haver a concordância do investigado com o acesso ao seu celular, a intimidação e o constrangimento causados pela prisão viciam tal manifestação da vontade, salvo se o investigado estiver acompanhado por advogado e for advertido formalmente dos direitos renunciados. Aguarda-se agora que o Supremo Tribunal Federal valide este entendimento, mantendo a necessidade de ordem judicial para acesso aos dados existentes em celulares. P.S. - Vale a pena acompanhar, na 2ª Turma do STF, o trâmite do Habeas Corpus  168.052, da relatoria do ministro Gilmar Mendes, atualmente com pedido de vista da ministra Cármen Lúcia. Neste caso, após denúncia anônima de tráfico de drogas, policiais abordaram o suspeito em via pública e nada encontraram. Todavia, ao consultarem suas conversas no aplicativo WhatsApp, encontraram indícios da prática do crime. Por conta disso, decidiram realizar busca em seu domicílio, onde foram apreendidas drogas, arma, munição e certa quantia em dinheiro. O réu foi condenado em primeiro grau, teve a pena aumentada pelo TJ/SP, decisão que foi mantida pelo STJ. No STF, o relator votou pela concessão da ordem. __________ 1 Tema 977 da Repercussão Geral - "Aferição da licitude da prova produzida durante o inquérito policial relativa ao acesso, sem autorização judicial, a registros e informações contidos em aparelho de telefone celular, relacionados à conduta delitiva e hábeis a identificar o agente do crime". 2 Sobre os julgados do STJ, inclusive alguns que validaram a prova obtida, graças à existência de ordem judicial prévia, vide: MARTINS, Ricardo Maffeis. Apreensão de smartphone e acesso a dados, in Observatório do Marco Civil da Internet (Acesso em 20/8/2019). 3 A íntegra do acórdão pode ser obtida no site do tribunal.