Coluna - Migalhas de IA e Proteção de Dados

Pesquisa

sexta-feira, 26 de março de 2021

São poucos os nomes lendários de brasileiros desportistas que não estejam ligados ao futebol. Um desses nomes é do ex-campeão mundial Éder Jofre, na verdade tricampeão mundial, também conhecido como o "Galo de Ouro". Nas TVs em preto e branco, no final da década de 1960 e início de 1970, vimos várias de suas vitórias. Não era raro também ver os técnicos adversários jogarem toalhas no ringue como sinal de abandono da luta em curso e concessão de vitória ao oponente. Isso acontecia quando seu pugilista já apresentava sinais de cansaço e falta de reação. Vou voltar a esse tema mais tarde. Falando de tecnologia e dados pessoais, é praticamente certo dizer que no mundo desenvolvido não existe uma viva alma que não esteja vinculada a um destes gigantes da tecnologia da informação, tais como Google, Apple, Microsoft ou Fabebook. Isso sem contar outros hábeis nichos da web também valiosos como Netflix, Spotfy, TikTok e vários outros. Só como um exemplo, a máquina de busca do Google é responsável por mais de 90% das buscas no mundo [Internet Health Report, 2018], e dos 4,4 bilhões de usuários web no planeta água, quase a metade, ou seja, 1,8 bilhões de usuários tem uma conta no Gmail. Seguindo a metodologia comparativa da revista Fortune [Fortune, 2020], destaco abaixo foi a receita anual, em dólares americanos, das maiores corporações na área de Tecnologia da Informação. Confira essa a relação completa na Wikipedia [Wikipedia]. Os dados são referentes ao ano de 2019, antes da pandemia, e assim não sofreram o viés da crise sanitária. 1) Apple, 260bi; 2) Alphabet (Google), 162bi; 3) Microsoft, 126bi; 4) Huawei, 124bi; 5) Facebook, 71bi. Existem outras empresas mais ligadas à produção de equipamentos e que não acrescentei nesta lista, tais como a Foxconn, que fabrica os iPhones, PlayStation, Nintendo e os Xbox circulantes, além da Samsung, Dell, IBM, Sony, entre outras. Se alguém não notou a ausência da Amazon, com receita superior a 280bi, é porque esta gigante é considerada parte da cadeia varejista, ao lado do Walmart e outras empresas do ramo de energia. A título de comparação, a receita da Apple de US$260 bilhões é maior que o PIB de Portugal, da Finlândia e da Nova Zelândia. Até mesmo o Facebook, 12o lugar na lista, tem receita superior ao nosso vizinho Uruguai (56bi) e ao Panamá (66bi). Pela soma das receitas destes 5 conglomerados, 743bi, juntos eles seriam o 18o maior PIB do mundo, superando a Suíça, a Suécia e a Arábia Saudita. Esses 743bi correspondem a 54% do PIB brasileiro de 1,363tri em 2019. Minha inquietação é simples. Estas empresas armazenam uma quantidade enorme de dados pessoais, não só de brasileiros, mas, como também, de grande parte dos usuários da web no mundo, além de deter um poder enorme pelo tipo e pela quantidade de dados e informações que manipulam. Na vida real "This is big money. Excuse-me, big data". Em tese, como estes mocinhos da web operam em território nacional, deveriam obedecer a LGPD e, como esperado, a GDPR na Europa, além de outras leis irmãs que abarcam demais países com legislação semelhante. No entanto, sabemos que não há uma autoridade central de proteção de dados nos EUA, que sedia 4 destes 5 conglomerados e muito menos na China, sede da Huawei. Além disso, pela anatomia dos serviços de armazenamento em nuvem, há uma grande possibilidade que os dados sejam armazenados nos países sede dessas companhias e não em território nacional. Nos EUA, a Federal Trade Comission (FTC) é a principal autoridade federal para as questões de proteção e segurança de dados, muito embora tenha uma jurisdição limitada devido, em grande parte, às leis estaduais. Isso porque, no federalismo norte-americano, cada estado promulga as suas próprias regras em relação à proteção de dados pessoais e informações. Esses são os casos dos estados da Califórnia, com a California Consumer Privacy Act (CCPA), e de Nova York, com a New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD). E agora que essa verdadeira "farra do boi" não acontece na nossa casa? Será que estamos realmente protegidos quando nossos dados pessoais estão fora do domínio nacional e nas mãos de algumas poucas empresas? Notem que esses dados nem foram realmente transferidos para fora do país pois as contas já foram criadas e cadastradas em sites internacionais. Se essa desconfiança nem ao menos deveria ser sugerida por mim nem por ninguém dado que essas empresas já obedecem a LGPD, conforme esses documentos aqui citados [iCloud Compliance][Apple][Microsoft], por qual motivo eu deveria me preocupar? A resposta está nos contratos chamados de Política de Privacidade e Proteção de Dados uma vez que o sucesso de muitas destas mega corporações depende em grande medida da divulgação de dados pessoais por seus usuários. Ou seja, muitas delas são máquinas trituradoras de dados pessoais. Embora possa ser argumentado que os usuários abandonam voluntariamente sua privacidade quando acessam e usam esses aplicativos de mídias sociais logo ao criarem suas contas e depois quando inserem dados pessoais online cotidianamente, não está claro como o consentimento de revelação desses dados realmente funciona. Em alguns casos para sabermos quais dados estamos revelando são necessários poucos cliques. Veja esse site esclarecedor da Google para os serviços de anúncios [Google Ads] no qual eles informam que dados como nome, endereço, número do IP, seus cookies armazenados, seus números de telefone, entre outros, são recuperados pela Google e utilizados. Lendo isso alguém comentaria: "Basta ler os termos de uso, o contrato, a política de cookies. Está tudo explicadinho lá." Essa preocupação com a exposição voluntária dos dados não é nova. Em 2008, um estudo de dois acadêmicos da Carnegie Mellon nos EUA [MCDONALD, CRANOR, 2008] estimou que levaria 244 horas por ano, ou seja, um pouco mais de 10 dias, para o usuário americano típico da web ler as políticas de privacidade de todos os sites que visita. Notem que esse estudo foi realizado antes de todo mundo carregar na palma da mão um smartphone com dezenas de aplicativos. Leitores, não se animem. Esse tipo de leitura provoca um tédio insuportável. Mesmo muitos aventureiros que se animam a ler as políticas de privacidade têm dificuldade em entendê-las, porque muitas vezes esses textos exigem habilidades de leitura de nível paranormal. As políticas de privacidade frequentemente cobrem vários serviços oferecidos pela empresa, resultando em declarações vagas que tornam difícil encontrar informações concretas sobre quais informações pessoais são coletadas, como são usadas e com quem são compartilhadas. Sobre estes questionamentos, Cíntia Rosa Pereira de Lima alerta para os desafios do consentimento dos titulares de dados nesta coluna (Políticas de proteção de dados e privacidade e o mito do consentimento - Migalhas) Segundo Steinfeld [STEINFELD, 2016] quando os usuários de serviços computacionais são questionados por que não leem as políticas de privacidade, os usuários oferecem vários motivos, incluindo complexidade, linguagem jurídica e extensão. Outras razões para não ler as políticas de privacidade incluem sua linguagem vaga e o uso de termos nebulosos, seu formato e tamanho da fonte, ou o conhecimento prévio dos usuários da empresa ou marca. Ou seja, eles já escrevem o que sabem que você não vai ler. Ponto para o bicho-papão! O consentimento do titular de dados é ainda mais crítico se pensarmos nas aplicações de Inteligência Artificial como alertado por Cristina Godoy Bernardo de Oliveira e Rafael Meira (Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook - Parte 3 - IAPD). Não obstante toda essa criatividade excessiva para dominar os nossos dados eu não entendo que esses fenômenos de buracos-negros de dados surgiram por mero acaso. É natural dizer que vivemos num sistema de organização política e social fundado na supremacia dos técnicos, ou seja, numa tecnocracia. Esta também é uma sociedade voltada aos direcionamentos mercadológicos e que adora decisões rápidas e de baixo custo. Tudo é para ontem e, preferencialmente, pela manhã. Foi esse exato modelo social que proporcionou essas "maravilhas" da web: o consumo simplificado, visitas infindáveis a um mundo de vitrines diferentes, as vitrines reversas em que você é a estrela, a facilidade de ver, ouvir, conferir e decidir estando em qualquer lugar, e muitas outras possibilidades que só esse mundo virtual pode realizar, esse mundo que te conhece e sabe as suas necessidades. Um mundo quase que sem barreiras. Mundos permissivos a cada um, a cada grupo. Sendo assim, volto a pergunta: Por que não jogar a toalha para a LGPD e deixar que cada um escolha, como hoje, quais dados pessoais compartilhar? Por que não apenas fazer uma campanha de esclarecimento sobre essas Políticas de Privacidade e Proteção de Dados e deixar que as pessoas decidam? Será que as pessoas não preferem "doar" os seus dados em troca de todas essas facilidades? Não seria essa uma intromissão do Estado na escolha das pessoas? Isso seria uma tentativa de controlar o mercado? São várias essas questões e confesso que não tenho uma resposta definitiva para várias delas. No entanto acredito que hoje a acepção maior de privacidade de dados seja a da plena liberdade individual. Ser um usuário livre na web hoje significa ter o domínio dos seus dados pessoais. "Desde a Segunda Guerra Mundial, o avanço dos dispositivos eletrônicos de espionagem apresenta ameaças crescentes à privacidade na sociedade. O Sr. Westin atribui a este aumento na vigilância o baixo custo e as facilidade com quais dispositivos eletrônicos podem ser obtidos. Um fator adicional é a mudança nos costumes sociais, evidenciada pela vontade individual de divulgar mais informações sobre hábitos de vida e um elemento geral de curiosidade presente em todas as sociedades, refletido pela demanda popular por íntimos detalhes da vida de figuras públicas." Este é um texto datado de 1968, ou seja, 53 anos e ainda atual. Trata-se de parte das notas explicativas de um artigo do Professor Emérito de Direito Público e Governo da Columbia University, Alan Furman Westin [WESTIN, 1968]. Aproveito este texto para interpretar, a meu modo, as brilhantes colocações feitas pelo Prof. Eduardo Tomasevicius Filho quando participou de um webinar comigo durante o qual expus essa tese, não minha como podem ver, da equivalência entre a liberdade e a privacidade de dados (IAPD, 2021, disponível em: (422) 4º Webinar do IAPD | Proteção de Dados Pessoais na era da Inteligência Artificial - YouTube). As acepções ou sentidos da palavra liberdade mudam conforme as condições e o tempo em que são afloradas. No sentido original, livre é a pessoa que não se encontra preso ou na condição de escrava. A liberdade também alcança um sentido social e político adjetivando a pessoa que tudo pode fazer desde que não seja proibido por lei (não sei se muitos governantes entenderam bem esse ponto...). Talvez como um corolário a liberdade seja também entendida como o uso responsável dos direitos e o exercício consciente dos deveres. A capacidade do ser racional e consciente de autodeterminação, diante às múltiplas de alternativas oferecidas, induz ao que chamamos de livre arbítrio, a faculdade de tomarmos posição espontânea diante do bem e do mal. Acepção essa abordada com distinção por Santo Agostinho [TOMASEVICIUS FILHO, 2006]. Não esquecendo a liberdade no âmbito moral, ou seja, como uma condição de uma pessoa imune de qualquer coerção. Se não devemos jogar a toalha para a LGPD diante de todas essas tentações do capiroto devemos essa decisão a supremacia da liberdade individual. Friedrich Hayek já dizia que "Freedom is order through law", ou seja, que a liberdade é a ordem por meio da lei. Portanto é imperiosa a LGPD. Restritiva? Sim, mas convém lembrar outro trecho de Hayek "A base da liberdade também são as restrições comumente aceitas pelos membros de um grupo em que as regras de moral prevalecem. A demanda por 'libertação' dessas restrições é um ataque a toda liberdade possível entre os seres humanos." Deste modo, o sentido de liberdade não é a liberdade absoluta de fazer o que quisermos, mas sim o reconhecimento da necessidade da lei e da moralidade, a fim de garantir que a interação humana seja cooperativa e ordeira. Luciano Floridi [FLORIDI, 2005] conta a história do reencontro entre Penélope e Ulisses, este último irreconhecível pela esposa dadas as feições marcadas após a guerra de Tróia. Nesse encontro só algo muito particular entre eles restabelece a confiança no enlace. Assim, Floridi encerra a tese que a privacidade informacional é uma função das forças que se opõem ao fluxo de informações dentro do espaço de informação. Hoje a confiança no segredo guardado entre Penélope e Ulisses não pode mais ser depositada no espaço comum que é a web e, portanto, se a quebra da privacidade de informação é uma agressão a identidade pessoal também o é quanto a liberdade individual. Referências bibliográficas Apple. Disponível em https://www.apple.com/legal/privacy/br/ FLORIDI, Luciano. The ontological interpretation of informational privacy. Ethics and Information Technology, v. 7, n. 4, p. 185-200, 2005. Fortune. Disponível aqui. Google Ads. Diponível aqui. IAPD - Instituto Avançado de Proteção de Dados. Webinar sobre "Proteção de Dados na era da Inteligência Artificial". Disponível aqui, acesso em: 24 de mar. 2021. iCloud Compliance. Disponível aqui. Internet Health Report, abril de 2018. Disponível aqui. LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. Disponível em: Políticas de proteção de dados e privacidade e o mito do consentimento - Migalhas, acesso em: 24 de mar. 2021. MCDONALD, Aleecia M.; CRANOR, Lorrie Faith. The cost of reading privacy policies. Isjlp, v. 4, p. 543, 2008. Microsoft. Disponível aqui. OLIVEIRA, Cristina Bernardo de; MEIRA, Rafael. Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook - Parte 3. Disponível em: Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook - Parte 3 - IAPD, acesso em: 24 de mar. 2021. STEINFELD, Nili. "I agree to the terms and conditions":(How) do users read privacy policies online? An eye-tracking experiment. Computers in human behavior, v. 55, p. 992-1000, 2016. TOMASEVICIUS FILHO, Eduardo. O conceito de liberdade em Santo Agostinho. Revista da Faculdade de Direito, Universidade de São Paulo, v. 101, p. 1079-1091, 2006. WESTIN, Alan F. Privacy and freedom. Washington and Lee Law Review, v. 25, n. 1, p. 166, 1968. Wikipedia. Disponível aqui. *Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP e estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

sexta-feira, 19 de março de 2021

sexta-feira, 12 de março de 2021

sexta-feira, 5 de março de 2021

sexta-feira, 26 de fevereiro de 2021

A Lei Geral de Proteção de Dados (LGPD), lei 13.709 de 2018, determina, no caput de seu art. 7º, que o tratamento de dados pessoais somente poderá ser realizado nas dez hipóteses que elenca1. Trata-se do que se denomina de enquadramento da hipótese de tratamento de dados pessoais em base legal adequada. A necessidade de fundamentar adequadamente o tratamento dos dados pessoais em base legal é um traço característico do que se poderia denominar de escola de proteção de dados com raízes europeias, a qual se filia a disciplina de proteção de dados existente no Brasil. Daniel Solove chega a afirmar que uma das distinções das leis europeias acerca da temática, quando comparadas com as norte-americanas, é a de que as europeias exigem uma base legal para que o dado pessoal possa ser tratado, enquanto que nos Estados Unidos, como regra geral, o tratamento poderá ser realizado, a menos que determinada lei especificamente proíba a atividade2. Pela dicção da LGPD, o agente de tratamento de dados pessoais terá o ônus de fundamentar as suas operações de tratamento de dados pessoais num dos incisos do art. 7º. Esses incisos contemplam as variadas autorizações para o tratamento dos dados pessoais: desde o clássico consentimento (inciso I), passando pelo cumprimento de obrigação legal ou regulatória pelo controlador (inciso II), bem como uma das bases legais mais desafiadoras ao controlador, que é o denominado interesse legítimo (inciso IX). E a pergunta que se coloca é a de se o controlador dos dados pessoais estará obrigado a enquadrar cada operação de tratamento de dados pessoais em apenas uma única base legal ou se haverá a possibilidade de enquadrar em mais de uma. Exemplificando, poderá o controlador fundamentar o tratamento na base legal da execução contratual e ao mesmo tempo se valer do interesse legítimo? Trata-se de indagação de alto interesse prático, pois a nova legislação brasileira passou a exigir um padrão de atuação dos agentes de tratamento de dados pessoais baseado na atuação preventiva e em boas práticas, dentre as quais se encontra o percurso de um iter concatenado de passos para implementar as diretrizes legais. E, nesse iter, encontram-se as etapas do mapeamento de processos de tratamento de dados pessoais (por exemplo para a admissão de um colaborador em determinada organização), e, num momento posterior, a do mapeamento dos dados pessoais que são tratados (no mesmo exemplo, chega-se á conclusão de que são tratados diversos dados pessoais como nome, endereço, foto da pessoa, CPF, RG entre outros). E, no âmbito do mapeamento dos dados pessoais, o controlador deverá explicitar qual a base legal (ou as bases legais) que fundamenta(m) a operação de tratamento de cada dado ou conjunto de dados pessoais. Antes de se realizar a análise da LGPD, propõe-se rápido exame do Regulamento Geral de Proteção de Dados Europeu (GDPR). E, neste ponto, faz-se o necessário alerta de que a regra europeia pode servir de base de estudo e reflexão, mas no contexto brasileiro é imperioso que sejam desenvolvidas análises adequadas do direito positivo brasileiro em vigor, tanto da LGPD quanto das regras setoriais, se for o caso, bem como de nosso ordenamento jurídico como um todo, evitando-se a importação de conceitos que tenham disciplinas distintas da legislação europeia, como é o caso, entre outros exemplos, da figura do legítimo interesse. O dispositivo do GDPR análogo ao art. 7º da LGPD, que dispõe sobre as bases legais, determina, em seu art. 6 (1), que "o tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:". Consoante se depreende da literalidade do texto do GDPR, não haveria maiores dúvidas em apontar que há uma abertura de sua redação para que mais de uma base legal seja eleita pelo controlador, haja vista e emprego da expressão "pelo menos uma". Muito embora seja esse o teor do principal artigo referente a bases legais no GDPR, a leitura dos considerandos3 relativiza o conteúdo do dispositivo mencionado. Nessa ordem de ideias, o Considerando 40 estabelece "Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base no consentimento do titular dos dados em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro(...)". Ne mesma linha, o art. 13 (1) (c) prevê que "Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta-lhe, quando da recolha desses dados pessoais, as seguintes informações: (...) c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;"4. O emprego, no Considerando 40, das expressões "ou noutro fundamento legítimo" e no art. art. 13 (1) (c): "(...) bem como o fundamento jurídico para o tratamento", denota a intenção do dispositivo de que apenas uma base legal seja utilizada pelo controlador. Na doutrina alemã, Jan Phillip Albrecht, nos comentários ao GDPR organizados por Simitis, Hornung e Spiecker, ao se debruçar sobre a questão, indica que apenas uma das bases legais elencadas no art. 6 (1) deve ser apontada pelo controlador5. Peter Gola, por outro lado, defende a interpretação literal do dispositivo, no sentido de que pelo menos uma das bases legais deverá ser eleita pelo controlador6. Em complemento, um outro dispositivo do GDPR indica que efetivamente é permitido ao controlador enquadrar o tratamento de dados pessoais em mais de uma base legal7. Cuida-se do art. 17 (1) (b), que trata das ocorrências em que o titular poder requerer ao controlador o denominado apagamento de seus dados pessoais. Nesse contexto, a norma estabelece que o titular poderá revogar o seu consentimento no qual se baseia o tratamento dos dados pessoais, caso não exista outro fundamento jurídico, leia-se, base legal, para o referido tratamento. Em síntese, pode haver certa divergência acerca da questão no âmbito do GDPR, mas existem autorizadas interpretações no sentido da possibilidade de que os controladores trabalhem com mais de uma base legal, o que é confirmado pela Autoridade de Proteção de Dados do Reino Unido na última edição de seu manual8. Quando se volta a análise para a LGPD, e se examina o artigo pertinente, verifica-se que sua literalidade é diferente do GDPR: "Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses". Não há, na literalidade da lei brasileira, comando expresso para que apenas uma base legal seja adotada quando do tratamento de dados pessoais. Recentemente, no Tratado de Proteção de Dados Pessoais, Mario Viola e Chiara Spadaccini de Teffé9 defenderam que, no âmbito da LGPD, existe a possibilidade de que ocorra "o encaixe do tratamento em pelo menos uma das hipóteses legais para que ele seja considerado legítimo e lícito, sendo possível inclusive cumular as mesmas, assim como no GDPR". Há que se considerar que, efetivamente, o entendimento mais adequado, de acordo com a redação da LGPD, é o de que é possível ao controlador de dados pessoais fundamentar o tratamento em mais de uma base legal. Primeiramente, porque não há a restrição no texto da lei. Quisesse o legislador limitar a fundamentação das operações de tratamento a apenas uma base legal, teria de expressar a exigência no caput do art. 7º, a partir do emprego de outra redação, como a seguinte: "Art. 7º O tratamento de dados pessoais somente poderá ser realizado de acordo com uma das seguintes hipóteses". Em segundo lugar, não parece razoável, a priori, o entendimento de que a opção por mais de uma base legal viole a principiologia e o espírito da LGPD. Neste ponto, não se pode olvidar que a boa-fé (na posição preferencial do caput do art. 6º da LGPD) é o princípio chave para aferir em que hipóteses o controlador elege mais de uma base legal como mera medida de salvaguarda, na ideia de prevenir por prevenir, e sem maiores cuidados, uma eventual contestação por parte da Autoridade Nacional de Proteção de Dados, por outros órgãos de poder ou prejudicados, ou quando existe efetivamente uma insegurança concreta enfrentada pelo controlador quando do enquadramento ou até mesmo a convicção de que a operação em questão efetivamente possa ser compatibilizada com mais de uma base legal. Tudo dependerá da análise da documentação que respalda a específica operação de tratamento de dados pessoais em que o controlador fundamenta em mais de uma base legal. Recorde-se, quanto a isso, de um dos mais relevantes princípios da LGPD, que é o do art. 6º, X, responsabilização e prestação de contas, sendo o qual é exigida, a "demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas". A atuação conforme a boa-fé, como se sabe, e como a longa tradição do Direito Civil nos ensinou10, é aquela que se coaduna com um padrão objetivo de conduta pautado por elementos como coerência, lealdade, fidelidade, não surpresa e atendimento das expectativas alheias. No caso, de nada vale o controlador indicar em sua documentação uma segunda base legal a fundamentar o tratamento de determinado dado pessoal, se finalidades não são explicitadas, restam ocultas e vêm a surpreender ou de alguma prejudicar o titular de dados pessoais. Nesse ponto, a escolha de uma segunda base de tratamento clama pela observância de outro princípio da LGPD que é o princípio da transparência11. É imperioso que o controlador atue indicando os dados efetivamente coletados, as finalidades específicas, se haverá o uso secundário e qual a sua finalidade. No caso de uma das bases legais escolhidas recair sobre o legítimo interesse12, dever-se-á adotar a metodologia adequada, com o emprego do teste de proporcionalidade. Nessa hipótese, o dever prévio de fundamentação é ainda mais reforçado, e, em virtude do previsto no art. 10, § 3º, da LGPD, "A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial". Em síntese, pode-se concluir que é razoável a interpretação do caput do art. 7º da LGPD, no sentido de que seja permitido o enquadramento da operação de tratamento de dados pessoais em mais de uma base legal. A aferição de se o controlador fará uso adequado de mais de um dos incisos do art. 7º, é esforço a ser empreendido, no caso concreto, na atuação da Autoridade Nacional de Proteção de Dados, de eventuais titulares de dados pessoais que tenham seus direitos violados, e, de um modo geral, dos atores que tenham a função de valorar o comportamento daqueles que realizam o tratamento. Os parâmetros de aferição de se a escolha da base legal é adequada podem ser extraídos do conjunto das regras da LGPD, com especial atenção aos princípios, valendo citar a boa-fé, a finalidade, a adequação, a transparência e a responsabilização e prestação de contas. Fabiano Menke é advogado e consultor jurídico em Porto Alegre, professor associado de Direito Civil da Faculdade de Direito e do programa de pós-graduação em Direito da Universidade Federal do Rio Grande do Sul - UFRGS. Doutor em Direito pela Universidade de Kassel, com bolsa de estudos de doutorado integral CAPES/DAAD. Coordenador do Projeto de Pesquisa "Os fundamentos da proteção de dados na contemporaneidade", na UFRGS. Membro Fundador do Instituto Avançado de Proteção de Dados - IAPD . Instagram: menkefabiano. __________ 1 São as seguintes as bases legais do Art. 7º da LGPD: I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 2 SOLOVE, Daniel J. "Introduction: Privacy Self-Management and the Consent Dilemma." Harvard Law Review, vol. 126, nº 7, Maio 2013, p. 1880-1903. HeinOnline. 3 Como se sabe, e consoante a técnica legislativa dos textos legais editados no âmbito da União Europeia, o GDPR contempla uma lista de cento e setenta e três considerandos sobre o conteúdo de suas regras, com a função de auxiliar o intérprete. Os considerandos não têm função vinculativa, como a pesquisa de Carlos Affonso Souza, Christian Perrone e Eduardo Magrani aponta, devendo ser dado destaque à decisão referida pelos autores do Tribunal de Justiça da União Europeia, Caso 215/88 Casa Fleischhandels, 1989. ECR 2789, parágrafo 31. SOUZA, Carlos Affonso; PERRONE, Christian; MAGRANI, Eduardo. O Direito à explicação entre a experiência europeia e a sua positivação na LGPD. In: Tratado de Proteção de Dados Pessoais. BIONI, Bruno Ricardo; DONEDA, Danilo; SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JR, Otavio Luiz. (Org.), São Paulo: Editora Forense, 2021, p. 243-270. 4 Na versão em inglês do GDPR é empregada a expressão "as well as the legal basis for the processing". 5 ALBRECHT, Jan Philipp. Comentário Art. 6 DSGV. In: SIMITIS, Spiros; HORNUNG, Gerrit; SPIECKER, Indra. (Org.): Datenschutzrecht: DSGVO mit BDSG. Nomos: Baden-Baden, 2019, p. 401. 6 GOLA, Peter. Datenschutz-Grundverordnung VO (EU) 2016/679 - Kommentar. Beck: Munique, 2017, p. 199. 7 Quem nos chamou a atenção para o dispositivo específico no âmbito do GDPR foi o Professor Gerrit Hornung, da Universidade de Kassel, no âmbito de troca de impressões acerca da temática com o subscritor do presente artigo. 8 Conferir o Guia, a partir da p. 49. Como se sabe, depois do Brexit, o GDPR foi incorporado ao direito de proteção de dados inglês, e, na prática, há pouca diferença entre as regras de proteção de dados inglesas, quando comparadas às da União Europeia. 9 VIOLA, Mario; TEFFÉ, Chiara Spadaccini de. Tratamento de Dados Pessoais na LGPD: estudo sobre as bases legais dos artigos 7º e 11. In: BIONI, Bruno Ricardo; DONEDA, Danilo; SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JR, Otavio Luiz. (Org.). Tratado de Proteção de Dados. 1ed.São Paulo: Editora Forense, 2021, p. 117-148. 10 E, no ponto, remetemos o leitor tanto aos trabalhos de Clóvis do Couto e Silva, quanto aos de Judith Martins-Costa e Claudia Lima Marques, juristas que, como poucos, souberam traduzir em palavras o conteúdo e a metodologia adequada para operar a boa-fé objetiva. COUTO E SILVA, Clóvis do. O princípio da boa-fé no Direito brasileiro e português. In: FRADERA, Vera Maria Jacob. O Direito Privado brasileiro na visão de Clóvis do Couto e Silva. Porto Alegre: Livraria do Advogado, 1997, p. 33-58; MARTINS-COSTA, Judith. A boa-fé no direito privado: sistema e tópica no processo obrigacional. São Paulo: Revista dos Tribunais, 1999, e, da mesma autora, A boa-fé no direito privado: critérios para a sua aplicação. São Paulo: Marcial Pons, 2015. MARQUES, Cláudia Lima. Contratos no Código de Defesa do Consumidor. 9. ed. rev. e atual. São Paulo: Revista dos Tribunais, 2019. 11 VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. 12 JOELSONS, Marcela. O legítimo interesse do controlador no tratamento de dados pessoais e o teste de proporcionalidade. Revista de Direito e as Novas Tecnologias, v. 8/2020, Jul-Set, p. 11430.

sexta-feira, 19 de fevereiro de 2021

Que tipo de contribuição aos estudos jurídicos sistemáticos e regulares da Lei Geral de Proteção de Dados, a LGPD poderá gerar uma série televisiva que trata essencialmente de partidas de xadrez, relacionadas à experiência de vida da interlocutora? A imperdível série intitulada o Gambito da Rainha, contando com mais de 62 milhões de visualizações nos serviços de streaming ao redor do mundo, foi baseada no livro escrito por Walter Tevis, publicado em 1983 e adaptada, roteirizada e dirigida por Scott Frank, tendo Anya Taylor-Joy no papel da personagem principal Elizabeth Harmon que como enxadrista, foi obtendo vitórias sucessivas, até se consagrar campeã mundial. Durante os capítulos, procura-se mostrar a estrita relação entre os movimentos de xadrez e os atos, fatos e consequências relacionados à protagonista, cuja personalidade foi ricamente construída, não se afastando o autor de imprimir-lhe uma visão filosófica existencial, no contexto de sua vida de sacrifícios e de superação, descrita desde tenra idade, como também das demais personagens ao seu redor que, reconhecendo certas características de sua personalidade, por ela se sacrificam altruisticamente, contribuindo para que esta possa atingir bons resultados, inclusive no crescimento como pessoa. Neste cenário, a tomada de decisão estratégica e ponderada, é essencial e fundamental para o sucesso nas competições e a artista principal o faz, por meio de exercícios de visualização prévia de inúmeras jogadas (a partir da fixação de seu olhar num ponto qualquer do espaço), contando com a contribuição daqueles enxadristas que fora derrotando ao longo de sua trajetória e que com ela se uniram no mesmo ideário de fazê-la vitoriosa, exercitando preditivamente, todas as jogadas plausíveis e possíveis aos adversários competidores, com vistas a obter a oportunidade almejada. Mas as escolhas presentes e reais da personagem se ligam ao seu passado e às suas circunstâncias familiares, nas quais se inclui a morte da mãe em acidente automobilístico e a sua criação e educação em orfanato onde iniciou em tenra idade, o seu contato com o fascinante jogo de xadrez, tendo as primeiras lições sido ministradas por um zelador dedicado que lhe ensinava os movimentos do jogo, no porão do orfanato nas suas horas vagas e, a quem efetivou emocionante póstuma homenagem, dedicando-lhe uma de suas vitórias avassaladoras. Estas breves linhas não pretendem dar spoiler desta reputada série, mas sim, contribuir para que se possa traçar um paralelo analógico e metafórico, visando demonstrar a importância da certeira e temporalmente eficiente tomada de decisão na gestão em assuntos de LGPD, lastreada na avaliação das circunstâncias passadas e presentes, com vistas ao futuro protetivo e agregador. Apesar da correlação pretendida se adaptar a todo o teor da LGPD, fazemos aqui um recorte do Art. 50 desta lei que menciona que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. A questão primária que se coloca, reside na intelecção da necessidade de formulação destas regras voltadas para o desenvolvimento de políticas internas de boas práticas e de governança de Dados, como uma faculdade ou como uma obrigação ou dever imposto. A tomada de decisão de todos aqueles que estão em processo de adequação empresarial ou institucional aos termos da LGPD, do ponto de vista meramente financeiro, será clara pois estas políticas previstas, demandam planejamento sólido, desembolso financeiro, preparo, envolvimento de pessoas e manutenção para que possam ser minimamente implantadas de forma eficiente. Há assim, clara correlação de escolhas e consequências entre a tomada de decisão do gestor e a tomada de decisão da personagem, pela escolha da jogada de abertura denominada Gambito da Rainha. Para que melhor se entenda esta simetria relacional, retornamos ao jogo de xadrez e a explicação rasa do contexto que envolve esta jogada. Composto de 16 peças brancas e pretas de cada lado do tabuleiro, o jogo de xadrez envolve raciocínio lógico e estratégia constante onde, na partida que objetiva dar o xeque mate no adversário, é afastado o elemento sorte. Segundo a história, o xadrez surgiu no século VI na Índia, com o nome de Shaturanga, sendo praticado também na China e na Pérsia. No modelo atual de jogo, o desenvolvimento se deu no Sudoeste da Europa em meados do século XV, tendo o enxadrismo sido reconhecido como esporte pelo Comitê Olímpico Internacional no ano de 2001. Não vamos aqui dissertar sobre o funcionamento e regras deste jogo. Todavia, para a analogia pretendida, é oportuno que se mencione a visão conceitual segundo a qual, no jogo de xadrez se empreende uma batalha entre dois reinos, a partir de um grupo de soldados (peões) que devem proteger primariamente o Rei. Há ainda a Rainha (Dama) e três níveis de oficiais denominados de Bispo, Cavalo e Torre e, cada qual destes possui no tabuleiro, uma trajetória e movimento específico, ligados aos seus porquês e às suas funções e aspirações protetivas no jogo. Há características importantes que devem ser observadas nestes soldados peões de infantaria. São desbravadores de terreno e possibilitam que os demais possam avançar sobre o campo inimigo, muito embora tenham movimentos restritos e inferiores aos demais personagens da batalha. Neste contexto de batalha campal, não podem se arrepender em sua trajetória, não se admitindo regressão. Quando um destes soldados consegue avançar no tabuleiro até a última linha do lado opositor (oitava casa), imediatamente sofre uma mutação e é transformado em importante rainha, se a originária já havia sido liquidada ou, ainda, num bispo, torre ou cavalo, a critério do jogador e das condições de perdas anteriores destas peças assemelhadas no jogo. Portanto, um peão, do ponto de vista existencial, é essencialmente uma resplandecente Rainha em botão. A expressão "Gambito" (ou "cambito" que é sinônimo de pernas finas no Brasil) origina-se do italiano gambetta (perninha) , que é o diminutivo de gamba. Por sua vez, "Gambito da Rainha" é uma expressão utilizada para representar um movimento de abertura inicial no jogo de xadrez onde um soldado de infantaria "peão", pode ser colocado sumariamente ao sacrifício, para se tirar vantagem e possibilitar o ganho da partida, na forma idealizada pelo enxadrista, cabendo ao oponente aceitar ou não o "Gambito da Rainha". Se aceita esta jogada, o peão de abertura será sacrificado imediatamente, gerando vantagem inicial àquele que efetivou a jogada. Esta metáfora, na nossa ótica, pode claramente ser aplicada na tomada de decisão sobre a matéria que envolve LGPD e, em especial, na interpretação do artigo 50. A partir de uma análise econômica do direito, efetivada de forma precária e ligeira, sem se considerar o conjunto completo e contexto da LGPD e a sua relação com as necessidades e expectativas empresariais e institucionais, se poderia optar por "não sacrificar o peão" logo no início da aplicabilidade da lei. Em outras palavras, esta opção pode ser construída a partir da seguinte narrativa: Se o Artigo 50 da lei usa claramente a expressão "poderão formular regras de boas práticas e de governança" isso significa que se trata tão só de mera faculdade e, portanto, não se precisará destinar neste momento, recursos, ativos e trabalhos para o desenvolvimento de políticas internas que possam atender a esta disposição. Assim, metaforicamente falando, não vamos iniciar esta fase, com um "Gambito da Rainha" que levará ao sacrifício do peão, pois teremos tempo para construir um cenário estrutural adequado, ao longo da partida. A contraposição a este raciocínio, seria o seguinte: apesar de se reconhecer que em tese, nada obstará que se faça o preparo previsto em lei com o estabelecimento de políticas de boa governança de dados e melhores práticas, haja vista que o artigo 50 apresenta uma mera faculdade e não um dever ou uma obrigação, dada a repercussão da LGPD sob o campo jurídico de terceiros; seu caráter preventivo e protetivo e em observância ao seu conjunto de princípios e fundamentos, o ideal será efetivar a jogada "Gambito da Rainha" de imediato, logo na abertura, mesmo com riscos enormes de se "sacrificar o peão", imponto o necessário para a imediata implantação das políticas dispostas, reduzindo incertezas, gerando segurança futura na partida e possível vitória. A partir de um conjunto sistemático de norma de caráter principiológico, a LGPD propugna por buscar também a adequação e cumprimento pelos agentes que a ela se sujeitam, de uma série de rotinas visando proteção de dados pessoais, através da busca da harmonização, estabelecimento de padrões de proteção à privacidade e aos dados pessoais, criação de um sistema completo de proteção e padronização de tal forma que competirá aos agentes de mercado, no âmbito da responsividade social, criar procedimentos para gerar a adequação e proteção dos direitos tutelados, através de modelos apropriados e da adoção efetiva de melhores práticas na governança de dados. Assim é que, observando-se a regra contida no artigo 50 da LGPD, a partir dos seus parágrafos, a implantação das políticas sugeridas, atenderá a um conjunto de regras que se vinculam ao sentido finalista da norma. O parágrafo primeiro menciona que ao estabelecer regras de boas práticas, o controlador e o operador deverão levar em consideração, quando do tratamento de dados, a sua natureza, escopo e a finalidade, bem como a probabilidade e a gravidade dos riscos, considerando-se os benefícios decorrentes do tratamento de dados. Por sua vez, do parágrafo segundo do mesmo artigo, infere-se que, na aplicação dos princípios estabelecidos na LGPD, o controlador, uma vez observada a estrutura, escala, volume de suas operações, bem como a sensibilidade dos dados tratados e probabilidade de geração de danos aos seus titulares, poderá implementar um programa de governança em privacidade com requisitos mínimos previstos na lei e ainda, demonstrar a efetividade de seu programa, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da Lei. Assim, atentando-se para os fundamentos da LGPD, lastreados no respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, fica mais intuitiva a tomada de decisão pela jogada "Gambito da Rainha", na abertura dos procedimentos de adequação à LGPD. O Artigo 50, contendo a previsão de uma faculdade, deve ser interpretado em sintonia com os demais dispositivos legais, demonstrando-se, na realidade, ser esta faculdade um dever, na medida em que constitui uma regra programática alinhada com o fundamento e a principiologia do sistema protetivo de dados, idealizado pelo legislador para a consecução pelo Estado, das finalidades sociais previstas. E este poder - dever que justifica a tomada de decisão por parte da empresa ou da instituição, de implantação imediata das políticas mencionadas pelo legislador, encontra plena ressonância e sintonia com os princípios que norteiam o sistema protetivo de dados pessoais brasileiro, consubstanciados na finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas como forma de demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Deste ponto de vista, a governança de dados não poderá ser reduzida a uma simples conferência de adequabilidade acerca dos cumprimentos dos ditames legais pois, existe a real necessidade de adoção de um eficiente sistema para detectar riscos, fragilidades e exposições nocivas de dados, para que seja possível a mitigação e/ou a sua a anulação. Há assim, o dever de se construir um eficiente programa de compliance e prevenção, corroborando um cenário que comprove melhores práticas e boa-fé dos agentes na governança e no tratamento de dados pessoais, além de todos os esforços envidados para mitigar qualquer incidente de vazamento de dados que se possa vir a sofrer. A LGPD, quando trata das questões relacionadas aos programas de integridade, incentivando os agentes de tratamento à formulação de regras de boas práticas e de governança que estabeleçam condições, normas de segurança, padrões técnicos e mecanismos de mitigação de riscos, demonstra também a necessidade e a busca atual de Accountability no sentido de se estabelecer uma nova visão acerca da responsabilidade na proteção de dados pessoais e no tratamento, como categoria autônoma no rol de direitos fundamentais, trazendo a este conteúdo normativo, a necessária independência perante os demais direitos de proteção existentes no ordenamento. E, observando-se a natureza principiológica da regra, esta faculdade descrita no Art. 50, não deverá ser interpretada de forma isolada, assim como nenhum dos artigos da LGPD, na nossa ótica, deve ser analisado isoladamente pois há a necessidade de se avaliar todo o sistema em que a norma ou determinado artigo desta, está inserido. Tomada a decisão pela imediata elaboração das políticas protetivas concernentes, decorrentes do Art. 50, quando da edição de um Código de Melhores Práticas, poder-se-á adotar um padrão organizacional e de cunho ético contendo capítulo específico voltado para a formulação das regras de boas práticas e de governança de dados, observando-se para com relação à matéria de tratamento e proteção de dados, certas conformidades a serem seguidas no estabelecimento deste regramento, atentando-se para a sua natureza, escopo, finalidade, e probabilidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular, observada a finalidade protecionista da norma. Dois princípios podem ser observados na elaboração do regramento do Código de Melhores Práticas. O primeiro é voltado para a segurança que devem ser utilizadas as medidas técnicas e administrativas eficientes e existentes à época, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados. O segundo princípio é reservado para a prevenção pelo qual se relacionarão as medidas que possam ser adotadas para prevenir e contingenciar a ocorrência de danos em virtude de incidentes no tratamento e/ou armazenamento dos dados pessoais. Um programa de governança adequado, deve objetivar o estabelecimento de relação de confiança com o titular dos dados, por meio de atuação transparente e que assegure mecanismos de participação ativa deste quanto ao controle e destino dos seus dados pessoais. Ainda, deve estar integrado à estrutura geral de governança corporativa da empresa como já mencionado, e deve estabelecer as regras de aplicação dos mecanismos de supervisão internos e externos. O monitoramento do programa de governança de dados deve contar com planos de respostas a incidentes e remediação de ocorrências, com vistas a minimizar riscos, assim como deve ser continuamente aperfeiçoado e atualizado, observando-se a sua submissão às avaliações periódicas. Há ainda o aspecto extremamente positivo ao consumidor titular dos dados, quando a empresa/instituição ou quem estiver obrigado pela lei, efetivamente se propõe a ajustar o necessário do ponto de vista interno, para estruturar um programa de governança de dados e de políticas de natureza protetiva. Trata-se da transparência ao consumidor e da possibilidade de adesão prévia às políticas especificas, quando da oferta de serviços, principalmente por aplicativos. Neste contexto, não seria aplicável a prática de alguns provedores de serviços, de simplesmente negar acesso ao serviço, pelo fato de o Consumidor não concordar com a política de privacidade ou com o teor contido em algumas de suas disposições. A negativa de serviços àquele que discorda da forma de uso de seus dados, parece não se sintonizar com o espírito da LGPD e, neste ponto, regras de governança de dados, poderão corrigir de início esta delicada questão. Retomamos agora, ao paralelo pretendido acerca da tomada de decisão de gestão consistente do estabelecimento de uma jogada nos moldes "Gambito da Rainha", que leva ao sacrifício inicial do peão, tendo como consequência a imediata implementação dos ditames legais voltados para a completa segurança e proteção de dados, ou efetivar um programa de governança de dados, nos moldes estabelecido no Art. 50, utilizando-se tão só de variável finalista, voltada para os custos e investimentos necessários na adoção e implantação deste sistema, como forma de gerar o necessário compliance, diferindo as providencias executórias no tempo e no espaço. O sistema de governança de dados conjugado aos conceitos de boa governança corporativa, pretende a adoção de melhores práticas que possa levar a uma relação harmônica entre todos estes agentes responsáveis pelo tratamento de dados, titulares dos dados, empresas, instituições e mercados. A necessidade de adoção de códigos de conduta na materia protetiva de dados pessoais, faz também parte do Regulamento Europeu de Dados, inspirador da legislação brasileira, onde a secção 5 trata de Códigos de Conduta e Certificação e, em especial o Artigo 40 disciplina acerca da promoção por parte dos Estados-Membros, das autoridades de controle, Comitê e da Comissão de dados, da elaboração de códigos de conduta destinados a contribuir para a correta aplicação do regulamento, tendo-se em conta as características dos diferentes setores de tratamento e, ainda, as necessidades específicas das empresas. Nesta perspectiva europeia, as associações e os outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes, também podem elaborar códigos de conduta, a fim de especificar as melhores práticas, no ambito de matérias que são que sugeridas. Este regramento visa buscar tratamento equitativo e transparente na matéria protetiva de dados, com a observância dos legítimos interesses dos responsáveis pelo tratamento em contextos específicos, efetivando previsões especificas sobre temas como a pseudonimização dos dados pessoais, a necessidade de informação a ser prestada ao público e aos titulares dos dados; a previsão do exercício dos direitos dos titulares dos dados; especificações sobre informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido; as ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados e medidas destinadas a garantir a segurança do tratamento; notificação de violações de dados pessoais às autoridades de controle e a comunicação dessas violações de dados pessoais aos titulares dos dados. Observa-se que os códigos de conduta são de importância na consecução das políticas públicas europeias e devem ser submetidos à Autoridade de Controle para compliance, análise prévia e aprovação. Após, estes códigos serão registrados, disponibilizados ao público pelo princípio da publicidade e por ela supervisionados ou por um organismo credenciado pela Autoridade de Controle, gerando absoluta transparência. Na medida em que a ANPD-Autoridade Nacional de Proteção de Dados brasileira implemente as suas políticas, parece que ganhará força e estrutura a matéria sobre a governança de dados, gerando a expectativa e a necessidade de sua implantação imediata e eficaz, de forma plena, a exemplo do que ocorre na Europa. Ao adicionar mais variáveis na construção do paralelo inicialmente apresentado, poderá se conseguir gerar estrita eficiência na tomada de decisão imediata pela jogada de gestão nos moldes "Gambito da Rainha", gerando o possível sacrifício do peão a partir da implantação do programa de governança de dados e políticas concernentes, de forma imediata, visando a proteção dos dados pessoais nos exatos moldes idealizados pelas regras legais, em sintonia com as políticas pública, tendo como consequência a prevenção e mitigação dos riscos decorrentes de vazamentos e incidentes e representando um ato de cidadania social. Por fim, quando no jogo real de xadrez da vida empresarial e institucional, uma vez verificado o conjunto de circunstâncias que envolvem a tomada de decisão acerca da adoção da LGPD, sua forma de adequação, intensidade e momento, conjugado com a racionalização de seus objetivos, custos e investimentos envolvidos, e esforços para que se possa bem cumprir com o sistema legal de proteção de dados pessoais, qual será a sua jogada? Vamos Jogar... Diria Beth Harmon.

sexta-feira, 12 de fevereiro de 2021

Introdução A lei 13.787, de 27 de dezembro de 2018 dispõe sobre a digitalização, guarda, armazenamento e manuseio dos prontuários eletrônicos (PE) de paciente. Este mesmo ano marca a promulgação da Lei Geral de Proteção de Dados (LGPD), lei 13.709, de 14 de agosto de 2018. A vinculação de ambas é direta por determinação do artigo 1º da lei 13.787/2018 que dispõe: a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente são regidas por esta lei e pela lei 13.709, de 14 de agosto de 2018. O estudo de aspectos centrais na regulação concernente ao prontuário eletrônico de paciente (PEP) e a proteção de dados e informações pessoais no âmbito de instituições de saúde, clínicas e consultórios privados, será o objetivo central deste texto. O texto está estruturado da seguinte forma: 1) Aspectos legais e deontológicos na regulação dos PEP; 2) O PEP no contexto da LGPD e 3) A certificação de sistemas de prontuário eletrônico. Prontuário eletrônico no Brasil: aspectos legais e deontológicos O prontuário de paciente é um documento essencial e necessário na assistência à saúde, para o registro acurado e guarda de dados pessoais e informações sobre a história de saúde e de informações adicionais de pacientes. O prontuário de paciente, seja físico ou eletrônico, é pauta de códigos deontológicos de vários profissionais da área da saúde - tais como médicos, enfermeiros, psicólogos, fisioterapeutas e nutricionistas -, pois é o documento mais importante para o registro da assistência prestada ao paciente. Os prontuários eletrônicos de paciente (PEP), tecnicamente, são considerados Registros Eletrônicos em Saúde (RES), e devem estar incorporados a um Sistema de Registro Eletrônico (S-RES). O Manual de Certificação de Sistemas de Registro Eletrônico, formulado e publicado pela Sociedade Brasileira de Informática em Saúde (IBIS), define RES como o repositório de informação a respeito da saúde de indivíduos, numa forma processável eletronicamente. E S-RES como um sistema para registro, recuperação e manipulação das informações de um Registro Eletrônico em Saúde. Neste mesmo sentido, ABNT ISSO/TR 20514 - Informática em saúde - Registro eletrônico de saúde - Definição, escopo e contexto-, define o S-RES como qualquer sistema que capture, armazene, apresente, transmita ou imprima informação identificada em saúde. Entende-se por informação identificada aquela que permite individualizar um paciente, o que abrange não apenas o seu nome, mas também números de identificação (tais como RG e CPF etc.) ou outros dados que, se tomados em conjunto, possibilitem a identificação do indivíduo. O PEP pode ser uniprofissional, quando é restrito ao atendimento realizado por apenas um profissional da saúde, em seu consultório ou clínica, ou pode ser multiprofissional, quando o paciente está vinculado, por exemplo, à uma clínica ou instituição de saúde. Entretanto, em qualquer uma das situações, o PEP deve conter dados pessoais e informações da história clínica, do diagnóstico, do prognóstico, condutas e planos de cuidado, de resultados de exames clínicos, laudos, imagens e demais anotações complementares, necessárias para promover a melhor assistência ao paciente, como as situações de vulnerabilidade social e/ou familiar.1 Os prontuários eletrônicos podem auxiliar na promoção à assistência integral de saúde do paciente. Igualmente, os dados e informações registrados no PEP pode ser fonte de pesquisa, retrospectiva, para estabelecer políticas públicas e garantir melhoramentos na assistência à saúde no presente e no futuro.2-3-4 Aliás, o princípio da integralidade em saúde é um dos princípios basilares ao Sistema Único de Saúde, lei 8080/1990, expresso no artigo 7º, inciso II, entendido como conjunto articulado e contínuo das ações e serviços preventivos e curativos, individuais e coletivos, exigidos para cada caso em todos os níveis de complexidade do sistema.5-6 É inegável a importância do Conselho Federal de Medicina (CFM) no estabelecimento de padrões normativos no que concerne ao prontuário de paciente (também denominado de prontuário médico), físico ou eletrônico. A resolução 1.331/1989 foi a primeira a explicitamente tratar do tema, limitando-se a determinar que o prontuário médico deveria ser documento de documentação permanente dos estabelecimentos de saúde - públicos ou privados. Na sequencia, a Resolução 1.331/1989 foi revogada pela resolução 1638/2002 e esta, por sua vez, revogada pela resolução 1.821/2007, ora vigente.7 O Código de Ética Médica e resolução CFM 1.821/2007 determinam que o médico deve manter o registro adequado das informações, em respeito ao sigilo profissional, para garantir a privacidade do paciente.8 Em particular, a Resolução define "Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico" e também regula os critérios de segurança que devem ser observados na utilização dos Prontuários Eletrônicos de Paciente (PEPs), estabelecendo critérios para certificação dos sistemas de informação em saúde. A resolução CFM 1.821/2007 estabelece nove regras que devem ser observados nos sistemas de prontuário eletrônico: 1) garantir a integridade da informação e qualidade do serviço; 2) garantir a privacidade e a confidencialidade dos dados e informações armazenadas; 3) organizar bancos de dados seguros e confiáveis; 4) garantir a autenticidade dos dados e informações, na medida possibilidade; 5) auditar o sistema de segurança; 6) garantir a transmissão de dados e informações em segurança; 7) utilizar software certificado; 8) exigir digitalização de prontuários existentes em meio físico e 9) fazer cópia de segurança na medida da possibilidade.9 Critérios semelhantes previstos na resolução CFM 1.821/2007 pautam a lei 13.787/2018. A lei, em seu artigo 2º, determina que o prontuário digitalizado deve assegurar a integridade, a autenticidade e a confidencialidade e, para tanto, o sistema deve obedecer a requisitos previstos em regulamento específico (§3º) e deve ser certificado por padrões legalmente aceitos (§2º). O PEP tem valor probatório para fins de direito, assim como os prontuário físicos, desde que respeitadas as normas legais (artigo 5º). Quanto ao tempo de guarda dos prontuários físicos ou microfilmados, após digitalização, deve ser de 20 anos (artigo 6º), a não ser quando diferente prazo for previsto em regulamento; por exemplo para fins de estudo e pesquisa (artigo 6º, §1º). Assim, a regulação concernente ao PEP exige uma análise sistemática, intra e extrajurídica, envolvendo aspectos jurídicos, técnicos, deontológicos e bioéticos. O princípio da confiança, da integridade das informações, do acesso livre e seguro ao sistema PEP, de forma não editável, obriga os responsáveis pelo tratamento de dados e informações de pacientes - controladores -, sejam eles profissionais liberais ou designados por instituições de saúde, públicas ou privadas. Os prontuários eletrônicos de paciente no contexto da LGPD Os dados e informações registrados no PEP têm natureza individual e, grande parte deles, têm natureza sensível, pois são relacionados diretamente à saúde e à intimidade do paciente (artigo 5º, incisos I e II e 11 da LGPD).10 Destaco: os fundamentos (artigo 2º), os princípios (artigo 6º), requisitos aplicáveis (artigo 7º); a forma para o consentimento informado de paciente (artigo 8º); a finalidade, a necessidade e o limite para organização e elaboração do PEP (artigo 9º); a demonstração do legítimo interesse para o tratamento dos dados (10º) e, primordialmente, as exigências para o tratamento de dados pessoais sensíveis (artigo 11º).11 Assim, todas as instituições, públicas ou privadas ou profissionais da área da saúde responsáveis pelo tratamento de dados pessoais, deverão ter suas atividades estruturadas e ajustadas conforme as regras e princípios da LGPD e da Autoridade Nacional de Proteção de Dados (ANPD), criada pelo decreto 10.474/2020. Da mesma forma, compete aos responsáveis pelas instituições ou aos profissionais liberais responsáveis pelos PEP as decisões referentes ao tratamento de dados pessoais de pacientes. Portanto, os controladores têm o dever de observar e respeitar os direitos fundamentais de liberdade, de intimidade e de privacidade dos pacientes, expressamente previstos no artigo 17 da LGPD, reforçando a previsão expressa da Constituição Federal, artigo 5º.12 Em particular, devem ser previstas formas e estruturas institucionais para, em segurança, dar conhecimento e acesso ao PEP ao paciente ou a terceiros autorizados, conforme deveres previstos no artigo 18 da LGPD. A exceção para o livre acesso, envolve dados ou informações que possam comprometer ou vulnerabilizar os cuidados assistenciais do paciente, tais como informações relacionadas a saúde mental; abuso e violência de vulnerável, entre outras. Por isso, o PEP deverá conter campos com restrição de acesso, justificados, para atender ao princípio da beneficência, em prol do paciente. Neste contexto, a forma mais adequada de nominar, talvez, seja o prontuário vinculado ao paciente e não o prontuário de paciente. O PEP possibilita que os dados e informações de saúde sejam registradas de forma sequencial, não editável, centralizada e coesa. Em tese, o PEP permite que os dados e informações possam ser compartilhados e/ou portabilizados entre profissionais e instituições de saúde. Por exemplo, a tecnologia de blockchain vem sendo testada em pesquisas na área da saúde - ainda em nível experimental - para permitir a interoperabilidade de sistemas de PEP e, simultaneamente, o estabelecer registro com índice único, mas com acesso distribuído, garantindo, assim a segurança e a privacidade dos pacientes.13 O E-saúde, caracterizado por práticas de digitalização em saúde e pela utilização de tecnologias de informação e comunicação (TIC), poderá ser fundamental para concretizar o princípio da integralidade na atenção à saúde, possibilitando a interligação de sistemas, equipamentos e aplicativos para saúde pessoal. No entanto, sabe-se que para atingir este objetivo, os desafios são significativos, sejam técnicos (p.ex. a interoperabilidade dos sistemas), bioéticos (p.ex. o respeito à pessoa e a atenção ao princípio da beneficência e da confiança) e jurídicos (p.ex. a garantia aos direitos fundamentais e ao livre desenvolvimento da personalidade, entre eles a privacidade e a proteção de dados pessoais). É importante, neste cenário, destacar o papel das figuras do controlador, operador e encarregado (artigo 5º, incisos VI, VII e VIII) para o ajuste de políticas e culturas em prol da proteção de dados pessoais de pacientes. Em particular, o controlador a quem compete as decisões referentes ao tratamento de dados pessoais, e que deve exigir do operador a implementação de todas as medidas técnicas, de segurança e de certificação dos sistemas utilizados e, exigir do encarregado a composição e elaboração de políticas institucionais, educacionais e de assessoria, por meio de comissões específicas ou grupos de trabalho. A certificação de prontuários eletrônicos A certificação dos sistemas envolvidos no tratamento de dados pessoais e sensíveis é uma das medidas fundamentais para garantir a segurança e o sigilo dos dados e informações; assim como, de forma preventiva, orientar e estabelecer medidas contra acidentes ou mesmo acessos ilícitos, não autorizados, que possam provocar a destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme determina o artigo 46 LGPD. A certificação também é relevante como meio de comprovação das medidas de segurança adotadas para serem apresentadas, quando necessário, à Autoridade Nacional de Proteção de Dados (ANPD) no exercício de suas competências (artigo 55-J). O risco de acessos ilícitos ou não autorizados envolvendo os dados de saúde são robustos, o setor da saúde é o mais visado por cibercriminosos. A empresa Check Point relata um aumento de 45% nos ataques cibernéticos a instituições e organizações de saúde em todo o mundo, particularmente nos meses de novembro e dezembro de 2020.Os hospitais são alvos de ataques atraentes porque têm se mostrado mais dispostos a atender às demandas geradas por ransomware (software maliciosos que limitam o acesso), uma vez, que estão sob forte pressão ao enfrentarem o número crescente de casos de Coronavírus e os programas de vacinas. Este aumento é mais que o dobro do crescimento geral (22%) de ataques cibernéticos, sofridos pelos demais setores no mundo durante o mesmo período.14 Arte da certificação está, como bem detalharam Simão Filho e Rodrigues, na certificação multinível, para prevenir e garantir a segurança necessária ao setor da saúde. A certificação deve ocorrer de forma conjugada entre o nível interno e externo às empresas, às instituições ou à prática de profissionais liberais.15 O nível interno, envolve as práticas primárias, que são àquelas para verificar a eficácia dos processos e procedimentos internos; a qualidade dos dados, de sistemas informáticos e de segurança, assim como o nível de adequação no tratamento de dados sensíveis, de crianças e de idosos, eventuais falhas sistêmicas, além da análise nas operações de compartilhamento e ou para transferência internacional de dados. Por sua vez, a certificação institucional, em nível externo, deve conectar as atividades a apreciação externa, realizada por órgãos de certificação, reconhecidos e independentes, que realizam a fiscalização e auditoria de sistemas e, também, estabelecem padrões e normas técnicas legalmente.16 No caso de PEP, a certificação é uma exigência desde 2007. A Resolução do CFM 1821/2007, artigos 2º, §2º, letra c; 3º, 4º e 5º, e o Manual de Certificação para Sistemas de Registro em Saúde exigem que a certificação seja realizada em todos os sistemas de PEP, em diferentes níveis.17 O CFM estabeleceu convênio com a Sociedade Brasileira de Informática em Saúde (SBIS)18 para estabelecer o padrão de qualidade brasileiro para os Sistemas de Registro Eletrônico de Saúde (S-RES), entre eles os prontuários eletrônicos. Os critérios de qualidade estabelecidos incluem padrões e nível de segurança indispensáveis para o uso legal e confiável; a certificação eletrônica dos usuários do sistema, a impossibilidade de alteração dos registros e o versionamento do sistema.19-20 A certificação da SBIS estabelece critérios distintos para as categorias de PEP, e seus respectivos Sistemas de Registro Eletrônico de Saúde (S-RES), para as instituições de saúde, como os hospitais, consultório de assistência individual e clínicas e ambulatórios, considerando as suas peculiaridades. No entanto, a LGPD exige de todos agentes, o respeito às suas normas, requisitos, conceitos e princípios, tanto no âmbito administrativo, submetido à fiscalização da ANPD, como em âmbito do controle jurisdicional, civil e/ou penal.21-22 Além da certificação do S-RES, deverá haver a adequação da certificação aos padrões e normas técnicas aceitas pela LGPD, sejam estes padrões internos ou externos, nas diferentes áreas de controle e comissões. Particularmente, no que que concerne aos hospitais, instituições ou unidades que prestem assistência médica e assistência de saúde, o RES deve estar sob atribuição da Comissão Permanente de Avaliação de Documentos, ou da Comissão de Revisão de Prontuários, conforme a Resolução do CFM 1.821/2007, artigo 9º. Conclusão O PEP registra dados e informações pessoais e sensíveis, portanto todas as atividades envolvidas na assistência e na prestação de serviços em saúde, que tenham RES, devem respeitar as regras e princípios estabelecidos na LGPD e as orientações da ANPD. O prontuário vinculado ao paciente, como entendo ser a denominação mais apropriado na sociedade da informação, consolida todas as espécies de dados e informações envolvidos na assistência ou na prestação de serviços na área da saúde Por fim, a LGPD impõe aos profissionais e instituições na área da saúde a necessidade de adequação organizacional e de cultura assistencial e de cuidado, para garantir a proteção de dados pessoais, a privacidade e a confidencialidade de pacientes, conjugada com a observância de normas deontológicas, referenciais bioéticos e respeito às exigências técnicas, de certificação dos S-RES. __________ 1 FERNANDES, M. S.; GOLDIM, J.R. A sistematização de dados e informações em saúde em um contexto de big data e blockchain, in Lucca, N.; Pereira de Lima, C.R.; Simão, A.; Maciel, R.M (Org). Direito e Internet IV, São Paulo: Quartier Latin, 2019. 2 HAUG CJ. Whose Data Are They Anyway? Can a Patient Perspective Advance the Data-Sharing Debate? N Engl J Med. 2017;;376(23):2203-5. 3 GOLDIM JR, GIBBON S. Between personal and relational privacy: understanding the work of informed consent in cancer genetics in Brazil. J Community Genet. 2015;6:287-93.). 4 MORAIS, L. S.; FERNANDES, M.S. ; ASHTON-PROLLA, P. ; GOLDIM, J. R. . Privacidade relacional no Ambulatório de Oncogenética do Hospital de Clínicas de Porto Alegre. Revista Brasileira de Políticas Públicas, v. 8, p. 146-174, 2018. 5 BRASIL, lei 8080, de 19 de setembro de 1990. Acessível aqui. 6 MINISTÉRIO DA SAÚDE. O SUS, no ano de 2020 apresentou a versão 4.0 do Prontuário Eletrônico do Cidadão (PEC) do e-SUS APS, projeto em vista de integrar os sistemas de PE de pacientes do SUS. Acessado em 08 de fevereiro de 2021, disponível em https://aps.saude.gov.br/noticia/9456 7 CONSELHO FEDERAL DE MEDICINA. Resolução nº 1.821/2007 do CFM, de 23 de novembro de 2007. Acessível aqui. 8 CONSELHO FEDERAL DE MEDICINA. Código de Ética Médica. Resolução nº 2.217/2018 do CFM, de 01 de novembro de 2018. Acessível aqui. 9 CONSELHO FEDERAL DE MEDICINA. Resolução nº 1.821/2007 do CFM, de 23 de novembro de 2007. Acessível aqui. 10 PEREIRA DE LIMA, C. R.; PEROLI, K. Epidemiologia, infectividade e os dados pessoais relativos à saúde: do passado ao presente. Migalhas, 25 de setembro de 2020. Acessado em 03 de fevereiro de 2021, disponível aqui. 11 SARLET, G. B.S; FERNANDES, M. S.; RUARO, R. L. A proteção de dados no setor de saúde em face do sistema normativo brasileiro atual, in Tratado de Proteção de Dados Pessoais, coord. Mendes, Laura; Doneda, Danilo; Sarlet, Ingo W. e Rodrigues Jr.; Otávio, Rio de Janeiro: Editora Forense, 2021. 12 SARLET, I. W. Fundamentos Constitucionais: o Direito fundamental à proteção de dados, in Tratado de Proteção de Dados Pessoais, coord. Mendes, Laura; Doneda, Danilo; Sarlet, Ingo W. e Rodrigues Jr.; Otávio, Rio de Janeiro: Editora Forense, 2021. 13 ROEHRS, A. ; DA COSTA, C. A.; DA ROSA RIGHIA, R., DA SILVA, V.F. , GOLDIM, J.R; SCHMIDT, D.C. Analyzing the performance of a blockchain-based personal health record implementation, J Biomed Inform. 2019 Apr;92:103140. doi: 10.1016/j.jbi.2019.103140. Epub 2019 Mar 4.(2019). 14 SECURITY REPORT. Instituições brasileiras do setor de saúde sofrem mais de 60% de ataques cibernéticos. Acessado em 08 de fevereiro de 2021, acessível aqui. 15 SIMÃO FILHO, A. e RODRIGUES, J. C. Certificarte: a arte da certificação em LGPD. Migalhas, 2020. Acessado em 05 de fevereiro de 2021, disponível aqui. 16 SIMÃO FILHO, A. e RODRIGUES, J. C. Op.Cit. 17 SOCIEDADE BRASILEIRA DE INFORMÁTICA EM SAÚDE (IBIS). Documentos e Manuais. Acessado em 05 de fevereiro de 2021, disponível aqui. 18 CONSELHO FEDERAL DE MEDICINA, Resolução CFM 2.218/2018. Acessada em 04 de fevereiro de 2021, disponível aqui. 19 CONSELHO FEDERAL DE MEDICINA, SOCIEDADE BRASILEIRA DE INFORMÁTICA EM SAÚDE. Cartilha sobre Prontuário Eletrônico - A certificação de sistemas de registro eletrônico de saúde. Brasília DF: CFM; SBIS; 2012.). 20 FERNANDES, M. S.; GOLDIM, J.R. A sistematização de dados e informações em saúde em um contexto de big data e blockchain, in Lucca, N.; Pereira de Lima, C.R.; Simão, A.; Maciel, R.M (Org). Direito e Internet IV, São Paulo: Quartier Latin, 2019. 21 A falta de prontuário de paciente ou o seu inadequado registro pode ser um aspecto crucial para a condenação por danos à saúde a integridade física de paciente. Neste sentido, o Tribunal de Justiça de São Paulo condenou Plano de saúde e corrés, instituição hospitalar e médico, ao pagamento R$400.000 reais, a título de indenização por danos materiais e morais, por erro médico. Neste caso, os réus deixaram de apresentar o prontuário da paciente, impossibilitando a comprovação de seus argumentos. Para maiores detalhes ver: o AgInt no AGRAVO EM RECURSO ESPECIAL Nº 1.610.097 - SP (2019/0321202-4), Superior Tribunal de Justiça, de 29 de junho de 2020, que julgou a improcedência do Recurso de Agravo. 22 ROSENVALD, N.; CORREIA, A.; MONTEIRO FILHO, C. E. do R.; KHOURI, P. R. e WESENDONCK, T. A LGPD e o fundamento da responsabilidade civil dos agentes de tratamento de dados pessoais: culpa ou risco? Migalhas, 30 de junho de 2020. Acessado em 01 de fevereiro de 2021, disponível aqui.

sexta-feira, 5 de fevereiro de 2021

sexta-feira, 29 de janeiro de 2021

O que são esses cookies? Os cookies são o nome genérico para os pequenos arquivos de dados deixados nos nossos computadores quando visitamos algum site. Os cookies foram projetados para serem um repositório confiável para armazenamento de dados de operações que realizamos na web. Por exemplo, os cookies podem armazenar nosso login, os itens de um "carrinho virtual de compras", nossa preferência pelo idioma de um site, entre outros. Na navegação web os cookies são muito úteis como, por exemplo, em sites de serviços como os da Google. Se estamos usando o Gmail, por exemplo, e optamos por criar uma planilha usando o serviço Planilhas Google (Google Sheets), não precisamos entrar com a senha novamente. Para isso os cookies lembram nossos nomes de usuário e nossas senhas. Os cookies são essenciais no mundo da web para proporcionar uma navegação mais fluida, mais agradável e desembaraçada. Nestes termos, os cookies de autenticação são os mais utilizados atualmente pois eles armazenam as informações que mostram se estamos logados ou não num website enquanto, por exemplo, visitamos momentaneamente outra página. Bem, podemos falar mais de outros tipos de cookies mais adiante, mas, por hora, vale a pergunta: Devo me preocupar com esses cookies ou não? Sinto dizer que sim. O nome 'cookie' é charmoso, mas sua utilização muitas vezes passa ao largo deste prestígio. A própria história dos cookies na Computação já começa estranha. Eles foram criados e utilizados pela primeira vez em outubro de 1994 pelo navegador Mosaic Netscape mas o grande público só soube de sua existência em fevereiro de 1996 depois de um grande alarde da imprensa o que provocou até audiências na poderosa Federal Trade Commission dos EUA, a agência independente que também atua como um serviço de proteção ao consumidor. Hoje os cookies podem e devem, por obrigação da Lei Geral de Proteção de Dados, obedecer a todos os preceitos da lei. No entanto, talvez por causa de sua natureza abstrusa, por momentos falsamente recatada, verificar o conteúdo de cookies, o que eles armazenam e compartilham, não é considerada uma tarefa relevante. Vejamos agora as principais características que podem estar associadas a cookies e como elas podem ou não impactar a proteção de dados do usuário. Publicidade Como visto no início de artigo, muitos alertas para cookies são diretos a esse ponto "Este website utiliza cookies e tecnologias semelhantes para recomendar conteúdo e publicidade." Essa mensagem não foi criada por mim. Esta frase é parte de uma mensagem inicial de um dos sites de conteúdo de mídia mais acessados do Brasil. Nesse mesmo site eles são claros em dizer que irão usar os seus dados para "empurrar" anúncios de produtos e serviços para os usuários. Ooops! Eu não contei que os cookies também servem para isso, não é? Pois é, além daqueles cookies que servem para gerenciar a sua entrada e permanência no site, os chamados cookies de autenticação e de sessão, existem também os cookies de personalização. Reforço que tanto os cookies de autenticação como os cookies de sessão podem ser classificados de cookies funcionais. Estes servem para melhorar a experiência de navegação do usuário e, como toda informação armazenada e utilizada pelo serviço, essa também deveria obter o consentimento livre e esclarecido do usuário. Procedimento que raramente vemos nos websites brasileiros. Já os cookies de personalização armazenam todo tipo de preferência do usuário, não só como a moeda de negociação mostrada, por exemplo, nos preços dos produtos, mas também sobre os detalhes e características dos produtos que você mais consome, nas cores destes produtos, nas suas funcionalidades, entre outros. Armazenando esses dados no seu próprio computador o site poderá, numa próxima visita, oferecer-lhe produtos baseados nas suas escolhas anteriores. Complemento que, de maneira análoga, esse armazenamento de dados serve também para serviços em geral, desde streaming de músicas até serviços de hospedagem e hotelaria. Um pouco de tecnicalidade Os cookies são a memória da web. Eles armazenam senhas, números cartões, dados de compras anteriores, hiperlinks visitados, enfim, podem armazenar uma grande quantidade de informações. Tecnicamente um cookie pode armazenar até 4096 bytes, o equivalente a mais ou menos 4 mil caracteres. Quanto? Esse texto, até esse ponto tem um pouco mais de 4 mil caracteres. É isso que um cookie pode armazenar. É muita informação! Por padrão, todos os navegadores web devem manter até 50 cookies por site e armazenarem um mínimo total de até 3 mil cookies. Pergunto: Mas nós precisamos de tantos cookies assim? Talvez o usuário comum não necessite de tantos cookies assim para facilitar a sua navegação, mas não existem apenas os cookies primários. Como assim? Os cookies podem também ser classificados de acordo com o seu serviço de origem, ou seja, entre cookies primários e cookies de terceiros. Os chamados cookies primários são os cookies criados pelo próprio website acessado, ou seja, pelo site exibido na barra de endereços. Por outro lado, os cookies de terceiros são os cookies criados por outros sites, por exemplo, sites de anunciantes, de patrocinadores, apoiadores e que também são armazenados no seu computador junto com os cookies primários. Saliento que muitos navegadores permitem o bloqueio de cookies de terceiros, mas poucos usuários conhecem esse recurso. Dada a existência desses cookies de terceiros, sabemos que existem sites que armazenam até 800 cookies no seu computador numa única visita e que, em média, os websites armazenam 10 cookies cada. Esse assunto está ficando cada vez mais sombrio, não! Cookies usados para rastreamento Suponha que você acabou de trocar o seu computador por outro "novinho em folha". Ele deve estar com a memória limpa de qualquer dado, a não ser o seu sistema operacional. Tão logo você o instala, você acessa seu navegar para o seu site favorito. O computador servidor deste site logo percebe que você requisitou uma página pela primeira vez usando essa máquina nova e que esta ainda não tem nenhum cookie armazenado. O servidor cria assim um identificador único (ID) para você, uma cadeia complicada de números e letras, manda a página web que você solicitou e manda também esse ID na forma de cookie o qual o seu computador gentilmente armazena. Aqui começa a história. Nas próximas visitas a esta mesma página o servidor deste site será seu "parceiro" de navegação. Ele irá armazenar neste cookie todas as suas páginas preferidas, os horários e dias que você visitou, eventualmente outras preferências suas, ou seja, terá o seu histórico de navegação nestes 4Kbytes de dados. E não se preocupe, o servidor é tão bonzinho que irá permitir que sites de anunciantes façam coisa parecida pois, eles têm certeza de que é pelo seu bem. Nessa simples viagem você poderá terminar seu passeio virtual com a sua máquina carregada com dezenas ou centenas de cookies. Legal, não?! Ah! E tem mais, o periódico Wall Street Journal há tempos já anunciou que os top 50 websites dos EUA armazenavam uma média de 64 cookies cada um, de um total de 3.180 cookies coletados [RAINIE & WELLMAN, 2012], os quais depois podem ser vendidos, leiloados ou simplesmente usados por outras empresas. Bacana, não?! Segundo o artigo de URBAN e seus colegas da Westphalia University of Applied Sciences Gelsenkirchen [URBAN, 2020], na Alemanha, 99% dos cookies são usados para rastrear usuário ou para anunciar. Ainda, 72% dos cookies são usados por usuários de quarta ordem, ou seja, são "colegas dos colegas" do site que você visitou. Algo similar a famosa expressão "O amigo do amigo do meu pai". Um reforço nesse ponto. Estes mesmos autores também acharam muitos cookies de terceira ordem que permitem inclusão de "cargas secretas", como por exemplo Trojans que são softwares malware tipo Cavalo de Tróia, ou seja, um tipo de praga computacional que pode acabar com seus dados no computador. Cookies na GDPR e na LGPD Talvez a GDPR tendo percebido todas essas potencialidades boas e más dos cookies tenha até citado esse tipo de armazenamento diretamente no Recital 30. Lembro todos que a GDPR é constituída de dois componentes majoritários, os artigos e os recitais. Os artigos descrevem os requisitos legais a serem seguidos pelas organizações e indivíduos, enquanto os recitais proporcionam informações adicionais e de suporte aos artigos. A GDPR em seu Recital 30 diz: "Pessoas físicas podem estar associadas a identificadores on-line fornecidos por seus dispositivos, aplicativos, ferramentas e protocolos, como endereços de protocolos da Internet, identificadores de cookies ou outros identificadores, como etiquetas de identificação por radiofrequência. Isso pode deixar rastros que, em particular quando combinados com identificadores exclusivos e outras informações recebidas pelos servidores, podem ser usados para criar perfis das pessoas físicas e identificá-los." Ocorre que os cookies são um artefato tecnológico, talvez um dos muitos que entram em cena por um tempo e se rarefazem com o tempo. Hoje existem algumas alternativas aos cookies, tais como os JSON web tokens e os serviços de web storage do HTML5, a linguagem padrão de escrita das páginas web. Dadas essas condições, penso que o legislador acertou em não ter incluído os cookies como artigos da GDPR, o que também foi seguido na LGPD. De forma análoga esperamos que os documentos advindos da Autoridade Nacional de Proteção de Dados, ANPD, possam também tratar dos cookies. Hoje, como usuários da web e como cidadãos resta-nos alertar que cabe ao usuário da web o domínio sobre seus dados. Cabe ao usuário permitir ou não o uso de cookies, cabe a ele ser informado sobre a real utilidade e finalidade desses cookies como qualquer outro dado armazenado em seu computador ou em outro dispositivo (o dado é seu!), cabe saber por quanto tempo ele é armazenado e como o usuário pode apagar esses dados. Cabe a ele a ciência se esses dados são compartilhados, quais são os dados compartilhados e com quem são compartilhados, como também cabe ao usuário ter o controle desse compartilhamento. Raramente vemos Termos de Uso e funcionalidades nos sites que permitem todas essas prerrogativas da lei. Somos todos cientes que o combustível da web são os dados pessoais, mas, como usuários, devemos escolher quais tanques vamos encher. ____________ RAINIE, Harrison; WELLMAN, Barry. Networked: The new social operating system. Cambridge, MA: MIT Press, 2012. P. 237 URBAN, Tobias et al. Beyond the front page: Measuring third party dynamics in the field. In: Proceedings of The Web Conference 2020. 2020. p. 1275-1286.

sexta-feira, 22 de janeiro de 2021

sexta-feira, 15 de janeiro de 2021

sexta-feira, 8 de janeiro de 2021

A Lei Geral de Proteção de Dados (LGPD) prevê duas figuras como agentes de tratamentos de dados: o controlador e o operador1. O controlador é a pessoa responsável pelas decisões referentes ao tratamento de dados2. O operador é quem realiza o tratamento de dados em nome do controlador3. A partir do art. 42, a lei estabelece as regras de responsabilidade civil para os dois agentes. A diferença de responsabilidade em relação a outros sujeitos de dados é justificada pela diferença de poder e competência de atuação4. Estabelece-se também que a responsabilidade do agente ou controlador ocorreria por descumprimento da violação da legislação da proteção de dados. Contudo, quando da fixação de quais as espécies de danos indenizáveis, o legislador poderia ter sido mais preciso. O caput do art. 42 menciona a responsabilidade por danos materiais, morais, individuais e coletivos5. Essas expressões podem parecer banais, mas os conceitos empregados não foram técnicos. O termo dano é ambíguo e pode representar dois momentos da análise do resultado da conduta. Essa percepção ficou evidente com o termo empregado pelo direito italiano "dano injusto"6. A previsão italiana tem uma carga normativa extremamente relevante por deslocar o ilícito da conduta para resultado danoso. No Brasil, essa concepção gerou a discussão sobre a presença de dois momentos de análise do fenômeno danoso: o dano-evento e o dano-prejuízo. O dano-evento é a violação de um direito ou de um interesse juridicamente relevante no resultado da conduta. Essa hipótese não afasta o ilícito na conduta, mas exige a violação no seu resultado7. A violação das normas de LGPD representa um ilícito na conduta, mas, se não existir também violação do direito no resultado, não há dano indenizável. Um exemplo de dano indenizável seria a violação da LGPD que, no resultado, violou também um direito à honra. Essa hipótese permitiria indenização por dano moral. Contudo, sem que se caracterize violação à honra, por exemplo, não há que se falar em responsabilidade civil. Será possível sanções de natureza administrativa, tutela de natureza inibitória, mas indenização, sem a violação do direito no resultado da conduta, não será possível. O dano-prejuízo é representado pela consequência patrimonial ou extrapatrimonial correlata ao dano-evento8. É preciso compreender também que o pensamento jurídico em geral, principalmente no direito privado, pressupõe um forte cunho dicotômico em que basta a definição de algo que o "contra-algo" ocorra por exclusão9. Feitas as apresentações iniciais, o art. 42 da LGPD apresenta quatro espécies de danos: danos materiais, morais, individuais e coletivos. Pela redação, deduz-se que o legislador pretendeu estabelecer duas dicotomias: a) danos patrimoniais e danos morais; b) danos individuais e danos coletivos. Os danos materiais representam uma definição a partir do momento "dano-prejuízo", representam o resultado danoso suscetível de avaliação econômica. O contraposto dicotômico do dano material é o dano extrapatrimonial10. O dano moral é apenas uma das espécies de dano extrapatrimonial. A doutrina e a jurisprudência definem dano moral como o dano extrapatrimonial decorrente da violação do direito da violação de um direito da personalidade. Sua definição, portanto, parte do direito violado (dano-evento) e não de sua consequência. Logo, o dano moral não é contraposto ao dano material por utilizar critério de definição e identificação completamente distinto. Dessa forma, o art. 42 da LGPD, quando diz dano material e dano moral, em verdade, quer dizer dano material e dano extrapatrimonial. A segunda dicotomia também está mal empregada. Quando se pensa em dano individual, foca-se na consequência que atinge uma pessoa determinada ou determinável. Trata-se de uma definição, referente ao dano-prejuízo. No entanto, seu contraposto não é o dano coletivo. O dano coletivo é definido a partir do direito ou interesse violado. É a consequência da violação de um direito transindividual (difuso, coletivo em sentido estrito ou individual homogêneo)11. Logo, o dano coletivo representa outro critério de definição que parte de outro momento da análise do dano, o dano-evento. O contraposto ao dano individual é o dano social. O dano social é uma categoria autônoma de dano que, da mesma forma que o dano individual, parte do dano-prejuízo12. Ele representa a consequência patrimonial ou extrapatrimonial que ultrapassa a esfera do indivíduo13. Essa espécie autônoma já foi debatida nas Jornadas de Direito Civil14, que consagraram sua autonomia conceitual em relação ao dano coletivo e foi reconhecida pelo STJ como categoria indenizável15. Como se vê, o legislador da LGPD perdeu uma excelente oportunidade de precisão conceitual no tratamento do dano na responsabilidade civil ao disciplinar a matéria a partir de supostas dicotomias que não existem. Pela finalidade pretendida pelo legislador, o controlador e o operador de dados pessoais responderão por danos materiais, extrapatrimoniais, individuais e sociais. A utilização dessas expressões é mais precisa que a empregada e reflete o escopo pretendido pela legislação. *Silvano José Gomes Flumignan é doutor, mestre e bacharel em direito pela USP. Professor permanente do mestrado profissional do CERS. Professor adjunto da UPE e da Asces/UNITA. Membro do IEA da Asces/UNITA. Procurador do Estado de Pernambuco. Advogado. __________ 1 Art. 5º da LGPD. Para os fins desta Lei, considera-se: (...) IX - agentes de tratamento: o controlador e o operador. Ressalta-se que Cíntia Rosa Pereira de Lima entende que o encarregado também seria agente de tratamento (Agentes de tratamento de dados pessoais (controlador, operador e encarregado pelo tratamento de dados pessoais. In: LIMA, Cíntia Rosa Pereira de (coord.). Comentários à lei geral de proteção de dados. São Paulo: Almedina, 2020, p. 279). 2 Art. 5º, VI, da LGPD. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 3 Art. 5º, VII, da LGPD. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. 4 AZEVEDO, Antônio Junqueira de. Novos estudos e pareceres de direito privado. São Paulo: Saraiva, 2010, p. 408-409. "Na verdade, aprofundando teoricamente esse ponto, é nossa opinião que o poder sobre algo ou alguém é sempre um pressuposto da responsabilidade. Os pais têm poder sobre os filhos menores e, por isso, respondem por seus atos; o Estado tem poder sobre os presos e, assim, responde pelo que acontece no cárcere; as empresas têm poder sobre suas atividades e, por causa disso, respondem objetivamente etc. A responsabilidade resulta do poder". 5 Art. 42, caput, da LGPD. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. 6 BERGSTEIN, Laís. Pequenos grandes danos: a relevância da tutela coletiva do consumidor face aos danos de pequena expressão econômica. In: Revista de Direito do Consumidor, vol. 129, p. 341-368 (acesso online p. 1-23), Maio-Jun./2020, p. 4 "Diante de uma vasta gama de interesses que não mais se acomodam no conceito tradicional de ato ilícito, formou-se na pós-modernidade a compreensão de que a reparação de danos deve estar mais ligada à noção de dano injusto." No direito italiano também é o dano injusto que enseja a responsabilidade civil. O art. 2043 do Código Civil italiano, ao tratar do risarcimento per fatto illecito, estipula que: "Qualquer ato malicioso ou pernicioso, que causa danos injustos aos outros, obriga aquele que o fez a compensar o dano". 7 AZEVEDO, Antônio Junqueira de. Estudos e pareceres de direito privado. São Paulo: Saraiva, 2004, p. 33-34; FLUMIGNAN, Silvano José. Dano-evento e dano-prejuízo. Dissertação de Mestrado. São Paulo: USP, 2009, p. 204; MENDONÇA, Diogo Naves. Análise econômica da responsabilidade civil: o dano e a sua quantificação. São Paulo: Atlas, 2012, p. 74; REINIG, Guilherme Henrique Lima. A teoria da causalidade adequada no direito civil alemão. In: Revista de Direito Civil Contemporâneo, vol. 18, p. 215-248 (acesso online p. 1-25), Jan.-Mar./2019, p. 19. 8 AZEVEDO, Antônio Junqueira de. Ob. Cit., p. 33-34; FLUMIGNAN, Silvano José. Ob. Cit., p. 204; MENDONÇA, Diogo Naves. Ob. Cit., p. 74; REINIG, Guilherme Henrique Lima. Ob. Cit., p. 19. [9] FERRAZ JÚNIOR, Tércio Sampaio. Introdução ao estudo do direito: técnica, decisão, dominação. 4ª ed. São Paulo: Atlas, 2003, p. 132-133. 10 Antônio Junqueira de Azevedo discorda da definição de dano moral como o decorrente da violação de um direito da personalidade. Posto isso, o autor identifica o dano moral como contraposto ao dano material, definindo-o por exclusão (Ob. Cit. p. 378 "O dano moral, por sua vez, é, na verdade, o não-patrimonial; deve ser conceituado por exclusão e é todo aquele dano que ou não tem valor econômico ou não pode ser quantificado com precisão"). Contudo, como é consagrado na doutrina que o dano moral é o decorrente da violação de um direito da personalidade (SCHREIBER, Anderson. Direitos da personalidade. Rio de Janeiro: Atlas, 2011, 16), essa definição não seria possível. 11 BESSA, Leonardo Roscoe. Dano moral coletivo e seu caráter punitivo. In: Revista dos Tribunais, vol. 919, p. 515-528 (acesso online p. 1-10), Maio/2012, p. 6; 10. "Os tribunais brasileiros, com frequência, tem reconhecido a possibilidade jurídica de condenação por dano moral coletivo em face de ofensa a direito metaindividual. (...) Destaque-se, para finalizar estas considerações, que o denominado dano moral coletivo não se confunde com a indenização decorrente de tutela de direitos individuais homogêneos. Constitui-se em hipótese de condenação judicial em valor pecuniário com função punitiva em face de ofensa a direitos difusos e coletivos". 12 AZEVEDO, Antônio Junqueira de. Ob. Cit., p. 377 e ss. 13 FLUMIGNAN, Silvano José Gomes. Uma nova proposta para a diferenciação entre o dano moral, o dano social e os punitive damages. In: Revista dos Tribunais, vol. 958, p. 119-147 (acesso online p. 1-23), Ago./2015, p. 7. 14 Enunciado nº 456 da V Jornada de Direito Civil do CJF. A expressão "dano" no art. 944 abrange não só os danos individuais, materiais ou imateriais, mas também os danos sociais, difusos, coletivos e individuais homogêneos a serem reclamados pelos legitimados para propor ações coletivas. 15 STJ, Rcl 12.062/GO, Rel. Ministro Raul Araújo, Segunda Seção, julgado em 12/11/2014, DJe 20/11/2014.

segunda-feira, 28 de dezembro de 2020

A pandemia da Covid-19 tem suscitado diversas iniciativas estatais voltadas ao controle de grandes aglomerações e à contenção da propagação viral, com impactos variados. Novas tecnologias baseadas em técnicas algorítmicas têm sido utilizadas amplamente pelo Poder Público, com destaque para o Sistema de Monitoramento Inteligente do Estado de São Paulo - Simi-SP, instituído pelo decreto estadual 64.963, de 5 de maio de 2020, que se tornou viável a partir de uma parceria com quatro grandes operadoras de telefonia do país e cuja finalidade é "consultar informações georreferenciadas de mobilidade urbana em tempo real nos municípios paulistas".1 A Lei Geral de Proteção de Dados Pessoais brasileira (lei 13.709, de 14 de agosto de 2018) não vigorou durante a pandemia, mas o debate em torno da coleta e do tratamento de dados de geolocalização para a contenção de aglomerações despertou inúmeras preocupações em razão do potencial discriminatório do chamado "profiling"2 - que aparece de forma tímida no artigo 12, §2º, da lei. Apesar do negacionismo3, fato é que, para embasar a finalidade de coleta e tratamento desses dados de mobilidade urbana, tem sido utilizada como justificativa a anonimização. O conceito de 'dado anonimizado' consta do artigo 5º, inciso III, da LGPD: trata-se de "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento". Já o conceito de 'anonimização' aparece no inciso XI do mesmo artigo: é a "utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo". Em complemento, no artigo 12, §1º, da norma, o legislador buscou descrever 'critérios objetivos' para a aferição dos sobreditos 'meios técnicos razoáveis', e elencou, exemplificativamente, "tempo e custo para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios". 'Anonimização' de dados pessoais é um tema complexo, carente de testagem e de difícil fiscalização e regulação. A doutrina debate, há anos, a necessidade de um critério de aferição adequado; um 'filtro', ou uma 'régua', que permita mensurar a 'qualidade' da técnica empregada. No ano 2000, Latanya Sweeney, uma das mais renomadas pesquisadoras do tema, demonstrou que mais de 87% dos cidadãos norte-americanos poderiam ser identificados exclusivamente por seu código postal de cinco dígitos (ZIP Code), combinado com data de nascimento (incluindo ano) e sexo.4 Sequer era necessário um nome ou social security number! O tema foi revisitado em 2006 por Philippe Golle, que esperava uma redução drástica desse resultado em razão da evolução das técnicas de anonimização de dados ao longo de seis anos, mas o número obtido também foi alarmante: 61%!5 Outros doutrinadores, como Arvind Narayanan e Vitaly Shmatikov, são vozes eloquentes quando se trata de registrar o desconforto e a desconfiança quanto às experiências de anonimização, conduzindo a dúvidas sobre sua real viabilidade.6 Por sua vez, Paul Ohm já listou alguns exemplos em que a facilidade de reversão de bases de dados originalmente anonimizadas desvelou a falibilidade de técnicas consideradas confiáveis.7 Inúmeros procedimentos específicos podem ser utilizados, quase sempre a partir da eliminação de determinados elementos identificadores que constam de uma base de dados, por meio de supressão, generalização, randomização ou pseudonimização.8 Quanto a esta última, a controvérsia é tão aguda que o termo aparece no artigo 13, §4º, da LGPD como subespécie ou técnica diversa, aplicável aos casos de estudos em saúde pública e se diferenciando por exigir a manutenção, em ambiente seguro, da parcela informacional suprimida do acervo de dados pseudonimizado. É importante comentar que o Regulamento Geral de Proteção de Dados europeu (2016/679) se reporta ao termo "pseudonimização"9 para descrever o que a lei brasileira enuncia como "anonimização". Na Europa - que está adiante nesse debate - já vigora o Regulamento (UE) 2018/1807, de 14 de novembro de 2018, relativo a um regime para o livre fluxo de 'dados não pessoais' na União Europeia, o qual complementa o RGPD.10 Lá, antes mesmo de ser editado este regulamento mais específico, já era notada a preocupação com o tema nos "considerandos" do RGPD, a exemplo do 83: A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento [controlador], ou o subcontratante [operador], deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem. Essas medidas deverão assegurar um nível de segurança adequado, nomeadamente a confidencialidade, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurança dos dados, deverão ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais. (Considerando 83) No caso europeu, há detalhamento, clareza e ênfase à imperativa avaliação de riscos... E, a despeito de qualquer predileção semântica, insta anotar que o dado anonimizado não se confunde com o dado "anônimo", pois é passível de reversão (ou reidentificação); se situa, em verdade, em posição mediana de um espectro que varia entre o dado pessoal e o anônimo, ou, nos dizeres de Doneda e Machado, em um continuum descritivo que demanda investigações mais profundas do que a puramente semântica.11 Para além da preocupação com a imposição de freios à hipervigilância, que decorre, na hipótese, da amplíssima utilização de smartphones que fornecem, em tempo real, as informações de mobilidade georreferenciada - epítome da tão debatida Internet das Coisas12 -, o que se nota, mesmo quando o legislador tenta aclarar o ambiente de nebulosidade conceitual, é que se recorre a conceitos abertos e de difícil aferição. Fala-se em 'meios técnicos razoáveis', mas não se esclarece quais são os critérios para dizê-los como tal; fala-se, ainda, em 'meios disponíveis por ocasião do tratamento', mas não se considera as conjecturas dessa disponibilidade, que pode ser afetada pela finalidade do tratamento, pela natureza da atividade explorada pelo agente de dados ou mesmo pela técnica de anonimização empregada; assevera-se, também, a necessidade de parametrização objetiva dos critérios de aferição de razoabilidade, embora o próprio exemplo indicado na norma (custo e tempo de reversão, no art. 12, §1º) seja baseado em aspectos que podem variar conforme o caso concreto. As perspectivas vislumbradas com o advento da Internet sempre foram norteadas por preocupações com o controle da técnica e com o favorecimento de determinados fatores de predição de resultados na tomada de decisões, especialmente com lastro em vasto repertório informacional.13 Assim, a intenção do legislador de trazer luz a um tema de grande complexidade técnica, embora louvável, acaba por incidir em um dilema de aplicação do direito, pois contribui para a proliferação de normas gerais e abstratas, que nada resolvem. A reforma de 2018 à Lei de Introdução às Normas do Direito Brasileiro trouxe a seguinte previsão, contida no artigo 20: "Nas esferas administrativa, controladora e judicial, não se decidirá com base em valores jurídicos abstratos sem que sejam consideradas as consequências práticas da decisão." Comentando o dispositivo, Justen Filho enfatiza não se tratar de uma alusão ao consequencialismo jurídico, mas ressalta a necessidade de contemplação dos eventos adversos (e consequenciais) que uma medida pode trazer: O art. 20 não impôs a preponderância de uma concepção consequencialista do direito. Não estabeleceu que a avaliação dos efeitos determinará a solução a ser adotada, independentemente das regras jurídicas aplicadas. O dispositivo restringe-se a exigir, de modo específico, que a autoridade estatal tome em consideração as consequências práticas da decisão adotada, inclusive para efeito de avaliação da proporcionalidade da decisão a ser adotada.14 No continuum em que se situa o dado anonimizado, defendemos, assim como Paul Ohm15, o conceito de entropia de dados: o termo é utilizado na física para, em um sistema termodinâmico bem definido, medir seu grau de irreversibilidade. Em breve nota, asseveramos que o conceito "surge como um parâmetro de reforço. Para além da razoabilidade que a lei já prevê, seria possível, a depender da heurística aplicada na aferição dos riscos de determinado procedimento de reidentificação, inferir falibilidades e, consequentemente, responsabilidades."16 Se um código postal (ZIP Code), combinado com outros dados, pode expor a identidade de uma pessoa, imagine-se o potencial de malversação de dados de geolocalização que, embora "anonimizados", podem ser cruzados com outros dados para revelar seu titular! O mínimo que se espera de uma iniciativa de controle, ainda que engendrada a partir de finalidade justa (controlar a propagação do coronavírus), é a clareza de seus fins, riscos e métodos. Se não é possível mapeá-los por completo, ao menos deve-se alertar os cidadãos potencialmente afetados quanto aos aspectos consequenciais da medida, como determina o art. 20 da LINDB. Insofismavelmente, o Simi-SP, ainda que louvável, é falho em sua gênese: (i) ao invés de primar pela transparência, não informa quais são as técnicas de segurança de dados utilizadas; (ii) ao invés de assumir verdadeira accountability, descrevendo riscos previsíveis e mapeáveis de malversação, utiliza a nebulosa 'anonimização' como escudo contra questionamentos. *José Luiz de Moura Faleiros Júnior é mestre e bacharel em Direito pela Faculdade de Direito da Universidade Federal de Uberlândia. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado. __________ 1 Disponível aqui. Acesso em: 14 ago. 2020. Para mais detalhes, conferir o sítio oficial do referido sistema: SÃO PAULO. Sistema de Monitoramento Inteligente. Acesso em: 14 ago. 2020. 2 MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura. A pandemia da Covid-19, o "profiling" e a Lei Geral de Proteção de Dados. Migalhas, 28 abr. 2020. Disponível aqui. Acesso em: 14 ago. 2020. 3 ARRUDA, Maria Clara Villasbôas. O Governo do Estado de São Paulo não utiliza dados pessoais para medir aglomerações: A privacidade dos titulares de aparelhos de celular está preservada. Migalhas, 28 maio 2020. Disponível aqui. Acesso em: 14 ago. 2020. 4 SWEENEY, Latanya. Uniqueness of Simple Demographics in the U.S. Population. Laboratory for International Data Privacy, Working Paper LIDAP-WP4, 2000. Disponível aqui. Acesso em: 14 ago. 2020. 5 GOLLE, Philippe. Revisiting the Uniqueness of Simple Demographics in the US Population. Proceedings of the 2006 ACM Workshop on Privacy in the Electronic Society, WPES 2006, Alexandria, VA, USA, out. 2006. Disponível aqui. Acesso em: 14 ago. 2020. 6 NARAYANAN, Arvind; SHMATIKOV, Vitaly. Myths and fallacies of "Personally Identifiable Information". Communications of the ACM, Nova York, v. 53, n. 06, p. 24-26, jun. 2010. 7 OHM, Paul. Broken promises of privacy. UCLA Law Review, Los Angeles, v. 57, p. 1701-1777, 2010, p. 1717. 8 MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. A anonimização de dados pessoais: consequências jurídicas do processo de reversão, a importância da entropia e sua tutela à luz da Lei Geral de Proteção de Dados. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de; MACIEL, Renata Mota (Coord.). Direito & Internet IV: sistema de proteção de dados pessoais. São Paulo: Quartier Latin, 2019, p. 61. 9 O tema consta do artigo 25(1) do RGPD: "Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares [físicas], o responsável pelo tratamento [controlador] e o subcontratante [operador] aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco (.), (Art.º 32.º n.º 1)". 10 CORDEIRO, A. Barreto Menezes. Direito da proteção de dados. Coimbra: Almedina, 2020, p. 326-335; 347-347. 11 DONEDA, Danilo; MACHADO, Diogo. Proteção de dados pessoais e criptografia: tecnologias criptográficas entre anonimização e pseudonimização de dados. In: DONEDA, Danilo; MACHADO, Diogo (Coords.). A criptografia no direito brasileiro. São Paulo: Revista dos Tribunais, 2019, p. 149. 12 Samuel Greengard sintetiza a preocupação que passou a permear a sociedade da informação do novo milênio: "Within this emerging IoT framework, a dizzying array of issues, questions, and challenges arise. One of the biggest questions revolves around living in a world where almost everything is monitored, recorded, and analyzed. While this has huge privacy implications, it also influences politics, social structures, and laws." GREENGARD, Samuel. The Internet of Things. Cambridge: The MIT Press, 2015, p. 58. 13 WIENER, Jonathan B. The regulation of technology, and the technology of regulation. Technology in Society, Durham, n. 26, p. 483-500, 2004, p. 485. 14 JUSTEN FILHO, Marçal. Art. 20 da LINDB: dever de transparência, concretude e proporcionalidade nas decisões públicas. Revista de Direito Administrativo, Rio de Janeiro, Edição Especial: Direito Público na Lei de Introdução às Normas do Direito Brasileiro - LINDB (Lei nº 13.655/2018), p. 13-41, nov. 2018, p. 38. 15 OHM, Paul. Broken promises of privacy. UCLA Law Review, Los Angeles, v. 57, p. 1701-1777, 2010, p. 1760. 16 MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. A anonimização de dados pessoais: consequências jurídicas do processo de reversão, a importância da entropia e sua tutela à luz da Lei Geral de Proteção de Dados. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de; MACIEL, Renata Mota (Coord.). Direito & Internet IV: sistema de proteção de dados pessoais. São Paulo: Quartier Latin, 2019, p. 74.

sexta-feira, 18 de dezembro de 2020

sexta-feira, 11 de dezembro de 2020

sexta-feira, 4 de dezembro de 2020

O encarregado de dados é uma das principais figuras do sistema brasileiro de proteção de dados pessoais. A própria lei o define como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados" (Art. 5º, VIII, LGPD). Conforme leciona Patrícia Peck Pinheiro, busca-se com a determinação do art. 41 "garantir que as informações fiquem centralizadas e que o controlador se certifique de que a aplicação das normas receberá efetiva validação. Esse encarregado deve ser pessoa natural, mas pode ser uma pessoa contratada de equipe própria ou terceirizada."1 Em uma leitura menos detida, a figura do encarregado no Brasil assemelhar-se-ia ao que é conhecido no Regulamento Geral de Proteção de Dados da União Europeia (RGPD), paradigma da legislação brasileira, por Data Protection Officer ou apenas DPO. Por seu turno, os artigos 37 a 39 do RGPD tratam propriamente da figura do encarregado de dados (DPO), cuja leitura revela se tratar "mais um serviço do que a atividade de uma única pessoa."2 Nos termos do art. 37 do RGPD, enumeram-se as hipóteses em que é obrigatória a designação do encarregado da proteção de dados. Ao analisar o dispositivo, Cintia Rosa Pereira Lima sintetiza que é obrigatória sua designação quando: a) o tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala.3 Ademais, o mesmo dispositivo dá a possibilidade de que se grupos empresariais ou várias entidades ou órgãos públicos indiquem terceiro coletivamente um único encarregado, ao mesmo passo que "o encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços (art. 37º, 6.)", sendo o elo entre as autoridades de controle. O art. 39º do RGPD, por sua vez, detalha as funções do encarregado da proteção de dados . O item 2 do mesmo dispositivo, em suma, leva consideração que, "no desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento." A regra de proporcionalidade entre o risco assumido pelo encarregado e os elementos de sua atividade se assemelha com regra do art. 41, §2º, da LGPD brasileira, dirigindo o comando inclusive à Agência Nacional de Proteção de Dados, quem reproduz o dispositivo ao asseverar que incumbe ao órgão "estabelecer normas complementares sobre a definição e as atribuições do encarregado pelo tratamento de dados pessoais, inclusive nas hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados" (art. 4º, VIII, alínea b, Dec. Fed. 10.474/20). Conforme destacou-se, a figura do encarregado brasileiro poderia ser análoga à do DPO europeu. Entretanto, Cintia Rosa Pereira Lima é taxativa ao asseverar que o encarregado, conforme designado na Lei Geral de Proteção de Dados brasileira, não é o DPO do RGPD, especialmente pela inegável complexidade de regras que hoje constam do Regulamento europeu ao encarregado, situação diferente da brasileira. Narra a autora, entretanto, que o que poderá vir a acontecer é que a Autoridade Nacional brasileira possa vir a transformar o encarregado de dados na figura do DPO nos termos e critérios do art. 41, §3º, LGPD.4 A lei brasileira é incipiente e até o presente momento o que se pode concluir com segurança é que não há grande detalhamento das funções do encarregado de dados no Brasil se comparado com a Europa. A LGPD é de fato mais suscinta quanto aos deveres e atividades do encarregado nos no art. 41 da LGPD, que essencialmente trata da transparência quanto à identidade e informações de contato do encarregado, determinando ao controlador que as divulgue publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico (§1º) ao mesmo passo que enumera não exaustivamente as atividades do encarregado, que, em síntese, são receber petições de titulares de dados pessoais, prestando-lhe as devidas informações e adotando providências; receber comunicações da ANPD e adotar providências; promover a orientação de colaboradores a respeito das práticas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, às quais se espera sejam especialmente provindas da Autoridade Nacional. Certo é que a figura do encarregado de dados veio para ser obrigatória para agentes e controladores privados e oriundos do poder público. Não obstante, o manejo de dados é um tema que tem sempre maior apelo junto ao setor privado, especialmente pela multiplicidade do modelo de negócios envolvendo este recente ativo empresarial, seja por que o poder público tradicionalmente gravita sob princípios próprios no concernente ao manejo de dados. No setor público o que se tem até o presente momento é uma relativa produção normativa infralegal de instituições públicas indicando como DPOs servidores ou membros das instituições respectivas e enumerando atribuições que procuram espelhar a LGPD sem que haja no presente momento maior detalhamento normativo à míngua de maiores diretrizes da Agência. O que se pode ao menos destacar é que é obrigatória indicação pelo poder público do encarregado de dados quanto houver tratamento de dados nos termos do art. 39 da lei (Art. 23, III, LGPD), lembrando sempre que os relatórios de impacto à proteção de dados deverão ser solicitados pela ANPD aos que se encontram na exceção à Proteção legal (art. 4º, inciso III c.c. §3º, LGPD). Nesse sentido, Fabrício da Mota Alves afirma que: "Parece evidente, nesse caso, que a indicação do DPO público seja compulsória e inafastável, uma vez que se trata de conditio sine qua non para o tratamento de dados pessoais pelo poder público. Porém, a questão é mais complexa do que se apresenta."5 No concernente à questão das requisições de dados pessoais do art. 19 da LGPD, há duas hipóteses legais. Uma (inciso I) diz respeito às respostas "automáticas" e, portanto, imediatas - que induzem à conclusão de que se trata de buscas simples e pressupõe sistemas automatizados. Já o inciso II dá o prazo de 15 dias para o fornecimento de "declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular." Destaque-se que o art. 4º do decreto 10.474/20 que regulamenta a Lei e estrutura a Autoridade Nacional de Proteção de Dados, dentre outras providências, estabelece que o Conselho Diretor da entidade "estabelecer prazos para o atendimento às requisições de que tratam os incisos I e II do caput do art. 19 da Lei nº 13.709, de 2018 [LPGD], para setores específicos, mediante avaliação fundamentada, observado o disposto no § 4º do art. 19 da referida Lei" (Art. 4º, inciso VII). Assim, resta a esperança que aos poucos a multiplicidade das figuras dos encarregados contribua para o fortalecimento da cultura de proteção dos dados pessoais no Brasil. Por essa razão, conforme leciona José Luiz de Moura Faleiros Júnior, não deve o administrador público ficar preso à legislação e aguardar que a Autoridade traga todas as normas prontas e acabadas, produzindo a "indesejável dependência tecnocrática" contrárias às boas práticas da Administração Pública Digital.6 É necessário ser proativo, em especial porque a administração pública deve combinar a proteção dos dados dos cidadãos como direito fundamental com outros interesses diretamente ligados à sua dignidade informacional, tais como a publicidade e transparência (art. 37, caput, CF). João Victor Rozatti Longhi é associado do IAPD e defensor público no Estado do Paraná, além de presidente da Comissão de Implementação da LGPD na Defensoria Pública do Estado do Paraná. Professor visitante do PPGD da Universidade Estadual do Norte do Paraná e de graduação da União Dinâmica das Faculdades das Cataratas-UDC. Pós-doutorando no International Post-doctoral Programme in New Technologies and Law do Mediterranea International Centre for Human Rights Research (MICHR) - Itália. Pós-doutor em Direito na UENP. Doutor em Direito Público pela USP. Mestre em Direito Civil pela Faculdade de Direito da UERJ. Bacharel em Direito pela UNESP, com intercâmbio na Universidade de Santiago de Compostela (Espanha). __________ 1 PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva. p. 99. 2 Idem. p. 99. 3 LIMA, Cintia Rosa Pereira. Comentários à Lei Geral de Proteção de Dados. Coimbra: Almedina, 2020. p. 269. 4 Idem. p. 293. 5 ALVES, Fabrício da Mota. Estruturação do cargo de DPO em entes públicos. BLUM, Renato Opice, VAINZOF, Rony; MORAES, Henrique Fabretti. Data Protection Officer (Encarregado) - Revista dos Tribunais, 2020. Página RB-24.3. Disponível aqui. Acesso em: 03 dez. 2020. 6 FALEIROS JÚNIOR, José Luiz de Moura. Administração Pública Digital: proposições para o aperfeiçoamento do regime jurídico administrativo na sociedade da informação. Indaiatuba/SP: Foco, 2020. p. 345.

sexta-feira, 27 de novembro de 2020

sexta-feira, 20 de novembro de 2020

Evandro Eduardo Seron Ruiz, brasileiro, casado, professor, portador da cédula de identidade número 98.765.432, SSP-SP, inscrito no CPF sob número 123.456.789-10, residente e domiciliado descendo a Rua da Ladeira, 22, Ribeirão Preto, SP. Acima vemos uma clássica qualificação individual que poderia constar de muitos documentos oficiais não fosse por alguns desvios de veracidade. Nesta qualificação, saltam aos olhos dois números importantes, o da cédula de identidade e o da inscrição no CPF. Esses números são também conhecidos como identificadores diretos de um indivíduo. Na linguagem das tecnologias de informação e comunicação, TIC, esses dois números são capazes de identificar univocamente um cidadão no território nacional. A bem da verdade, sabemos que o famoso número do RG não é um número nacional, mas mesmo assim, conhecendo o emissor deste identificador, essa identificação individual é possível. Até aqui, são poucas as novidades já que, se refletirmos um pouco mais, nós também, como cidadãos da webesfera, criamos endereços de emails, e nomes de perfis nas redes sociais que, neste universo de informação e conhecimento, também podem ser tratados como identificadores diretos. No entanto, do outro lado da vida real de consumidores, o poder destes identificadores diretos é ampliado quando muitos repositórios de dados usam os mesmos identificadores. Tomemos como base o CPF. Hoje o CPF é tudo o que a LGPD não gostaria de ter como BFF (best friend forever). O CPF, dado o enorme poder da Receita Federal de controlar da unicidade do seu cadastro, é certamente o mais confiável identificador direto que temos no Brasil. Além de ser usado como comprovação de identidade, o CPF está sendo utilizado com chave de acesso a benefícios sociais e cadastros dos mais variados, da conta da farmácia, aos serviços privados de medicina, do boleto da tv por assinatura à matrícula escolar. E qual seria o prejuízo ao consumidor desta 'viralidade' do CPF? O grande prejuízo ao consumidor, ao cidadão, é o que chamamos de ligação de registros [DE LIMA, 2020]. O fato de termos um único identificador como fator de ligação entre todos esses vários bancos de dados permite a fusão destes dados e a geração de novas informações e novos conhecimentos. Essa fusão de dados permite, por exemplo, identificarmos não só que uma mesma pessoa que compra um medicamento X na farmácia local é a mesma pessoa que está matriculada na escola Y do bairro, mas também que essa mesma pessoa pode estar vinculada a uma seguradora ou plano privado de saúde. Reparem no perigo desta circulação de dados indexados por um identificador único como o CPF. Nesta situação particular do vínculo entre farmácias e provedores de saúde, reparo que esse assunto já foi tema de investigação do MP do Distrito Federal em 2018 sobre eventuais repasses de dados de clientes de farmácias para planos de saúde [VEJA, 2018]. O CPF nunca teve essa finalidade, sempre foi apenas um identificador fiscal e deveria ficar restrito a este âmbito. No entanto, hoje ele é estranhamente vinculado até às certidões de nascimento, desde o ano de 2015, sob o pretexto de "agilizar a emissão para quem pretende, por exemplo, abrir um plano de previdência para o filho que acabou de nascer, em casos de doação de imóvel e inscrições em programas sociais ou ainda no acesso a remédios que são distribuídos de graça na área de saúde" [EBC, 2015]. Sob o mantra de incentivar a praticidade a despeito dos direitos à privacidade, seja bem-vindos os novos cidadãos a esse locus horrendus da privação de escolha e da liberdade a partir do momento em que seus pais compram, pela primeira vez, um singelo antibiótico. Há anos deveria estar claro, como elucida a LGPD, que o direito à privacidade compreende o direito à reserva de informações pessoais. Isso é claro como o sol entre os norte-americanos que reservam o uso do seu Social Security Number a situações muito específicas. Menos sutil é a sugestão de uso do CPF para a realização deste novo modelo nacional de pagamento instantâneo, o Pix. Além dos objetivos de estimular a competitividade e a eficiência dos sistemas de pagamento, o Pix surgiu como uma forma de promover a inclusão financeira. Os pagamentos via Pix são formas facilitadas de pagamento pois os correntistas bancários podem depositar em contas de outros correntistas usando apenas uma chave ao invés de usarem o nome, o tipo de conta, o banco, a agência e o número da conta do beneficiário, não esquecendo de citar o CPF ou o CNPJ deste. Agora, os pagamentos via Pix, podem ser realizados usando apenas uma chave. Esta chave pode ser uma chave aleatória criada pelo banco, um e-mail, um número de celular ou um dos dois cúmplices, o CPF, ou seu assemelhado, o CNPJ. Vejamos, a título de exemplo, como seria a praticidade da inclusão financeira de um ambulante. Agora este ambulante também pode aceitar pagamentos eletrônicos dispensando essas máquinas que operam com cartões bancários. Ele pode alcançar esse benefício dando publicidade ao seu email, ou ao número do seu telefone celular, ou a uma chave estranha para humanos lerem, ou também ao seu já calejado CPF. Estreia assim mais um capítulo da série "Adeus à sua privacidade". Oras BCB, ainda temos que comentar que aparte essa forçada paridade da segurança do CPF, garantido pela Receita Federal, a identificadores como emails gerados por agentes de qualquer provedor de endereço eletrônico, acompanha-se a sofrível confiabilidade do sistema de pagamentos quando o vê sugerindo chaves criadas por agentes externos ao sistema financeiro. Perde o Pix a grande oportunidade de gerar ou co-gerar essas chaves com seus usuários. Ganham os oportunistas que roubam identidades, os que promovem a ligação de registros, enfim, àqueles que não se importam com seu "direito de ser deixado em paz", numa tradução adaptada da expressão inglesa "the right to be let alone" que se tornou marca do artigo Warren e Brandeis, 1890, "um dos ensaios mais influentes na história do direito dos Estados Unidos da América" (GALLAGHER). Situações como essa apontada acima revelam a potencialidade da utilização dos identificadores diretos como promotores da agregação de um sem número de bases de dados que usam um mesmo tipo de atributo (o CPF, por exemplo) para identificar seus clientes. Se assim feito, o armazenamento deste tipo de dado e também o seu intercâmbio com outros agentes, deve ser sempre um motivo de alerta e preocupação tanto para o controlador, como para operador de dados. Cabe também a todos, nos seus papeis de cidadãos que zelam pelo bem comum, a tarefa de alertar os titulares dos dados sobre a real necessidade ou não de algumas instituições armazenarem identificadores deste tipo, ou pior, usarem estes identificadores para promoções de marketing e descontos em produtos. A banalidade no tratamento desse tipo de dado pessoal não só deveria nos impressionar pela investida inescrupulosa sobre nossos dados pessoais como também pela abrangência de instituições e serviços que usam deste expediente. Nessas situações, a moeda de troca invariavelmente é o desconto ou alguma vantagem promocional que resulta em favorecimento pecuniário ao usuário. A de se reparar, no entanto, que a clara moeda de troca, ou seja, o que o consumidor assente, é a violação do seu direito à privacidade e à sua liberdade. A troca implica na aquiescência, na permissão para esses agentes estabelecerem 'perfis de consumidor', na anuência tácita para a segmentação do extrato social ao bel-prazer dos interesses destas instituições a despeito de nossos direitos fundamentais. E o sapato? Bem, vamos agora mergulhar mais profundamente nestes conceitos de identificadores e analisá-los sob a luz da LGPD. Apertem os cintos! Não é novidade para os leitores dessa coluna que a navegação na web deixa vestígios. Esses vestígios não se resumem apenas ao histórico de navegação armazenado no nosso navegado de web, mas podem incluir a sua localização geográfica, seu IP, o tipo de dispositivo que você usa, o software que esse dispositivo usa, os anúncios que o usuário clica, o tempo de permanência em cada página, entre outros vários e vários indicadores que, na linguagem da Computação, chamamos de atributos. Esses atributos da navegação são marcas deixadas pelo usuário ao surfar na web. Alguns destes atributos também são conhecidos como metadados e eles expandem esse universo de informação que existe abaixo dos textos e imagens que vimos na tela. Esses metadados são dados que conceitualizam outros dados, ou seja, são dados que explicam outros dados. Por exemplo, uma mensagem de Twitter carrega mais de 100 metadados, dados que colocam a mensagem trocada num contexto. São alguns metadados de um tweet: data, hora, nome do usuário, localização, imagem de fundo da tela, hashtags usadas, links para outras páginas, entre vários outros. É obvio que esses dados não existiriam sem a ação do usuário, seja ele humano ou não. É este usuário que interage com a web e as suas "pegadas" são próprias daquela navegação. Em 2006 a Netflix lançou um grande desafio na intenção de melhorar o desempenho dos seus algoritmos de sugestão de filmes aos seus clientes. Para tanto, disponibilizaram dados anonimizados de 100 milhões de avaliações, de 480 mil clientes escolhidos aleatoriamente e que avaliaram mais de 17 mil títulos da, então, locadora de DVD. No mesmo ano, dois pesquisadores da Universidade do Texas, Arvind Narayanan e Vitaly Shmatikov [NARAYANAN; SHMATIKOV, 2006] mostraram que pouca informação é necessária para reidentificar um cliente destes registros proporcionados pela Netflix. Reforço que os dados anonimizados correspondiam a apenas 1/8 da base original da empresa. Com apenas 8 avaliações (2 das quais podem estar completamente erradas) e suas datas (com erro de até 14 dias) é possível reidentificar 99% dos clientes. É... lamento lembrar, mas o tinhoso mora nos detalhes. O Dr. Murilo Rosa é leitor assíduo da nossa coluna e não tardou em nos alertar sobre essa empresa que agrupa dados de navegação para formar um perfil de usuário e promover a venda de produtos da empresa. Ou seja, eles escolhem a cor do seu tênis para a próxima estação. Clever! Dangerous! Tirem suas conclusões [CROCT]. A minha todos sabem: Être entre le marteau et l'enclume. ____________ DE LIMA, Cíntia Rosa Pereira (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei 13.709/18, com alteração da lei 13.853/19. Almedina, 2020. Cap.4, p. 101-121. VEJA. MP investiga se farmácias repassam dados de clientes a planos de saúde. Disponível em: clique aqui. Acesso em: em 14 nov. 2020. EBC Agência Brasil. CPF passa a ser emitido junto com a certidão de nascimento. Disponível em: clique aqui. Acesso em: em 14 nov. 2020. Pix Banco Central do Brasil. Disponível em: clique aqui. Acesso em: em 14 nov. 2020. WARREN, Samuel D.; BRANDEIS, Louis D. The right to privacy. Harvard Law Review, p. 193-220, 1890. GALLAGHER, Susan E. Introduction the "The Right to Privacy" by Louis D. Brandeis and Samuel Warren: A Digital Critical Edition. A ser publicado. NARAYANAN, Arvind; SHMATIKOV, Vitaly. How to break anonymity of the netflix prize dataset. arXiv preprint cs/0610105, 2006. Disponível em: clique aqui. Croct. Brazil Journal. Disponível em: clique aqui. Acesso em: em 14 nov. 2020.

sexta-feira, 13 de novembro de 2020

sexta-feira, 6 de novembro de 2020

You cannot escape the responsibility of tomorrow by evading it today.Abraham Lincoln Muito se discute sobre responsabilidade civil na LGPD. A responsabilidade civil insculpida na lei 13.709/18 seria objetiva ou subjetiva? Caso considerada objetiva, o nexo de imputação remeteria ao risco da atividade (em razão do exercício - art. 42) ou ao defeito do produto/serviço (tratamento irregular- art. 44)? Em sendo a responsabilidade apreciada como subjetiva, assume-se a culpa como fator atributivo, ou nos serviremos de um conceito objetivo de ilícito? Em sendo assim, a eliminação da culpa excluiria a responsabilidade subjetiva (como em França) ou só se alcança a real obrigação objetiva de indenizar quando afastamos a ilicitude, tal como na legislação da Alemanha ou Portugal? Esse debate é importante - bem como as diversas soluções até então construídas -, mas não esgota as múltiplas variáveis e dimensões do termo "responsabilidade" e as suas possíveis aplicações na LGPD. Em verdade, a controvérsia sobre o exato fator de atribuição da responsabilidade civil concerne tão somente à qualificação da obrigação de indenizar, para que se proceda à reparação integral de danos patrimoniais e extrapatrimoniais a serem transferidos da esfera da vítima para o patrimônio dos causadores de danos. No common law há um termo que se ajusta perfeitamente ao clássico sentido civilistico da responsabilidade. Trata-se da "liability". Várias teorias desenvolvem a liability no contexto da responsabilidade civil. Em comum, remetem à uma indenização cujo núcleo consiste em um nexo causal entre uma conduta e um dano, acrescida por outros elementos conforme o nexo de imputação concreto, tendo em consideração as peculiaridades de cada jurisdição. Porém, este é apenas um dos sentidos da responsabilidade. Ao lado dela, colocam-se três outros vocábulos: "responsibility", "accountability" e "answerability". Os três podem ser traduzidos em nossa língua de maneira direta com o significado de responsabilidade, mas na verdade diferem do sentido monopolístico que as jurisdições da civil law conferem a liability, como palco iluminado da responsabilidade civil (artigos 927 a 954 do Código Civil). Em comum, os três vocábulos transcendem a função judicial de desfazimento de prejuízos, conferindo novas camadas à responsabilidade, capazes de responder à complexidade e velocidade dos arranjos sociais. Cremos ser importante enfatizar o sentido de cada um dos termos utilizados na língua inglesa para ampliarmos o sentido de responsabilidade. Palavras muitas vezes servem como redomas de compreensão do sentido, sendo que a polissemia da responsabilidade nos auxilia a escapar do monopólio da função compensatória da responsabilidade civil (liability), como se ela se resumisse ao pagamento de uma quantia em dinheiro apta a repor o ofendido na situação pré-danosa. A liability não é o epicentro da responsabilidade civil, mas apenas a sua epiderme. Em verdade, trata-se apenas de um last resort para aquilo que se pretende da responsabilidade civil no século XXI, destacadamente na tutela dos dados pessoais. Começando por "responsibility", trata-se do sentido moral de responsabilidade, voluntariamente aceito e jamais legalmente imposto. É um conceito prospectivo de responsabilidade, no qual ela se converte em instrumento para autogoverno e modelação da vida. No campo do tratamento dos dados pessoais, assume duas vertentes: para agentes de tratamentos, significa a inserção da ética no exercício de sua atividade; para os titulares dos dados, a educação digital, no sentido de "...capacitação, integrada a outras práticas educacionais, para o uso seguro, consciente e responsável da internet como ferramenta para o exercício da cidadania" (art. 26 MCI). Se uma pessoa não sabe o que acontece com os seus dados, não poderá se proteger. Conceitos como de "anonimização de dados", sequer são dominados por advogados, quanto mais pelo cidadão em geral. Por isto a educação digital não se confunde com o direito fundamental à inclusão digital (tratado neste espaço na coluna de 23/10 por Carlos Edison do Rêgo e Diana Loureiro). A educação digital extrapola a ideia de acesso à internet, alcançando o sentido de uma autodeterminação informativa, tal como delineado entre os fundamentos da LGPD (art. 2, II, lei 13.709/18). Avançando para a "accountability", ampliamos o espectro da responsabilidade, mediante a inclusão de parâmetros regulatórios preventivos, que promovem uma interação entre a liability do Código Civil com uma regulamentação voltada à governança de dados, seja em caráter ex ante ou ex post. No plano ex ante a accountability é compreendida como um guia para controladores e operadores, protagonistas do tratamento de dados pessoais, mediante a inserção de regras de boas práticas que estabeleçam procedimentos, normas de segurança e padrões técnicos, tal como se extraí do artigo 50 da LGPD. Impõe-se o compliance como planificação para os riscos de maior impacto negativo. Não por outra razão, ao discorrer sobre os princípios da atividade de tratamento de dados, o art. 6. da lei 13.709/18 se refere à "responsabilização e prestação de contas", ou seja, liability e accountability. Aliás, ao tratar da avaliação de impacto sobre a proteção de dados, em um viés de direitos humanos, a GDPR da União Europeia amplia o espectro do accountability para que os stakeholders sejam cientificados sobre operações que impactem em vulneração ao livre desenvolvimento da personalidade, causem discriminação, violem a dignidade e o exercício da cidadania. Já na vertente ex post, a accountability atua como um guia para o magistrado e outras autoridades, tanto para identificar e quantificar responsabilidades, como para estabelecer os remédios mais adequados. Assim, ao invés do juiz se socorrer da discricionariedade para aferir o risco intrínseco de uma certa atividade por sua elevada danosidade - o desincentivo ao empreendedorismo é a reação dos agentes econômicos à insegurança jurídica -, estabelecem-se padrões e garantias instrumentais que atuam como parâmetros objetivos para a mensuração do risco em comparação com outras atividades. Aliás, se o causador do dano houver investido em compliance, com efetividade, pode-se mesmo cogitar da redução da indenização, como espécie de sanção premial, a teor do parágrafo único do art. 944 do Código Civil. Em acréscimo, a ausência de previsão legal de um modelo jurídico similar aos punitive damages, não impede que em resposta às infrações cometidas por Agentes de Tratamento de Dados, a Autoridade Nacional de Proteção de Dados, sirva-se da accountability para a estipulação de sanções de natureza punitiva e quantificação de multas, conforme previsão do artigo 52 da LGPD. Não se pode afastar a possibilidade de que, em reação a perspectiva de uma liability acrescida de uma accountability, os agentes econômicos respondam ao esforço conjunto de legislação e regulação, mediante a padronização de arranjos contratuais aptos à diluição dos custos dos acidentes. O recurso à gestão contratual dos riscos, pode ser dar mediante a limitação de responsabilidade ou a sua transferência ao usuário ou a seguradoras. Mas não podemos olvidar da assimetria informativa dos usuários, associada à sua frequente condição de consumidores, para a rígida aferição das cláusulas contratuais gerais. Por último, entramos na seara da answerability. O termo é traduzido ao pé da letra como "explicabilidade", impondo-se como mais uma camada da função preventiva da responsabilidade. A answerability é um procedimento de justificação de escolhas que extrapola o direito à informação, facultando-se a compreensão de todo o cenário da operação de tratamento de dados. No âmbito da LGPD ela amplia o seu raio, convertendo-se em uma "ability to appeal", ou seja, o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (art. 20, lei 13.709/18). Prioriza-se uma revisão extrajudicial por humanos, de decisões produzidas por inteligência artificial. A liability surgirá em um momento posterior, se eventualmente eclodem danos em razão de atos ou atividades danosas que vulneram o profiling da pessoa ou alcançam situações existenciais. Responsibility, accountability e answerability executam exemplarmente as funções preventiva e precaucional da responsabilidade civil, eventualmente complementadas pela função compensatória (liability). Ao contrário do que propaga a escola clássica da responsabilidade, distancia-se o efeito preventivo de um mero efeito colateral de uma sentença condenatória a um ressarcimento. Aliás, a multifuncionalidade da responsabilidade civil não se resume a uma discussão acadêmica: a perspectiva plural da sua aplicabilidade à LGPD é um bem-acabado exemplo legislativo da necessidade de ampliarmos a percepção sobre a responsabilidade civil. Não se trata tão somente de um mecanismo de contenção de danos, mas também de contenção de comportamentos. Transpusemos o "direito de danos" e alcançamos uma responsabilidade civil para muito além dos danos. Evidencia-se, assim, uma renovada perspectiva bilateralizada: a responsabilidade como mecanismo de imputação de danos - foco da análise reparatória - no qual o agente se responsabiliza "perante" a vítima, convive com a responsabilidade "pelo outro", o ser humano. Aqui, agrega-se a pessoa do agente e a indução à conformidade mediante uma regulação de gestão de riscos, sobremaneira a sua mitigação, seja por parte de um desenvolvedor de tecnologias digitais emergentes como de um agente de tratamento (accountability/answerability). Porém, em uma noção de reciprocidade, a mitigação de ilícitos e danos também incumbe a cada um de nós, mediante a paulatina construção de uma autodeterminação responsável que nos alforrie da heteronomia e vitimização (responsibility), pois como já inferia Isaiah Berlin "O paternalismo é a pior forma de opressão". *Nelson Rosenvald é procurador de Justiça do MP/MG. Pós-doutor em Direito Civil na Università Roma Tre (IT-2011). Pós-doutor em Direito Societário na Universidade de Coimbra (PO-2017). Visiting Academic na Oxford University (UK-2016/17). Professor visitante na Universidade Carlos III (ES-2018). Doutor e mestre em Direito Civil pela PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Associado Fundador do Instituto Avançado de Proteção de Dados - IAPD.

sexta-feira, 30 de outubro de 2020

sexta-feira, 23 de outubro de 2020

Em um sistema aberto, as figuras jurídicas passam por alterações em seus sentidos ao longo do tempo, ainda que a terminologia permaneça idêntica. Trata-se do caráter histórico-relativo dos conceitos, que sofrem verdadeira mutabilidade de significado, podendo desempenhar distintas funções, a depender do contexto histórico, geográfico, cultural e social em que se inserem. A privacidade parece constituir boa ilustração de tal característica. Tradicionalmente, a privacidade era definida como o direito a ser deixado só, isto é, a um espaço reservado de intromissões indesejadas. Todavia, na sociedade tecnológica, o conceito de privacidade passa a se distinguir do de intimidade e a ser concebido também como direito ao controle dos dados pessoais. Analisa-se a privacidade em perspectiva extrapatrimonial, diante de sua relação essencial com o princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB/88). Na prática, a adequada tutela do direito à privacidade depende essencialmente da efetividade do que se denomina de direito de acesso. De fato, escanteado do tratamento dos dados que lhe pertencem, torna-se inviável qualquer possibilidade de exercício do controle por parte do titular. O direito de acesso se traduz, assim, em pedra angular para a proteção das informações pessoais. Há, contudo, barreiras que devem ser transpostas para a plena realização das potencialidades funcionais do direito de acesso. A esse respeito, Stefano Rodotà enunciou as principais causas do tímido exercício desse direito na prática, as quais foram por nós divididas, para fins didáticos, em três grupos: (i) o aspecto do procedimento do acesso, relativo aos custos financeiros e de tempo envolvidos, à carência de alfabetização, à falta de informação e ao desnível de poder entre os titulares dos dados pessoais e os agentes que detêm as informações; (ii) o aspecto do funcionamento do acesso, que diz com a escassa relevância das informações fornecidas quando não se conhece a maneira de atuação do sistema de tratamento e (iii) o aspecto do âmbito de incidência do acesso, referente ao excesso de vedações a certas categorias de informações1. Buscando superar, de certo modo, esses conhecidos obstáculos, o legislador brasileiro fornece, na recém-vigente Lei Geral de Proteção de Dados Pessoais (LGPD, lei 13.709/2018), inúmeras previsões para a efetividade do direito de acesso. É o que se passa a ver. A LGPD consagra, como dois de seus princípios basilares, o do livre acesso, estabelecendo a "garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais" (art. 6º, IV), e o da transparência, assegurando aos titulares "informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial" (art. 6º, VI). Mais especificamente quanto ao procedimento do acesso, cabe destacar que os custos financeiros envolvidos no exercício do direito em análise sem dúvida se traduzem em barreira à sua efetividade, sobretudo em países marcados por desigualdades sociais, como no caso brasileiro. Por tal razão, essencial a previsão do artigo 6º, IV, da LGPD, a respeito da gratuidade no exercício do direito, ao dispor sobre o princípio do livre acesso. No mesmo sentido, demanda o artigo 18, § 5º, da LGPD, que o requerimento de acesso seja atendido sem custos para o solicitante. Também no que diz com a superação dos obstáculos referentes à obtenção e à compreensão dos dados pelo titular, bem como à demora do processo, a lei visa a assegurar a facilitação do acesso (art. 6º, IV). Nesse sentido, estabelece o artigo 9º que as informações sejam disponibilizadas de forma clara, adequada e ostensiva. Além disso, o requerimento de acesso será atendido em formato simplificado, de modo imediato, ou no prazo de 15 dias, contados da data do pedido, por meio de declaração clara e completa, que informe a origem dos dados, a inexistência de registro, os critérios utilizados e o objetivo do tratamento, ressalvado o sigilo comercial e o industrial (art. 19, I e II)2. As informações poderão ser obtidas por meio digital, seguro e idôneo, ou por meio físico. A escolha da forma de atendimento do pedido caberá ao requerente (art. 19, § 2º, I e II). Por fim, prevê o artigo 19, em seu § 1º, que os dados pessoais serão armazenados em condições que favoreçam o exercício do direito de acesso. Sob outro ângulo, os obstáculos descritos, referentes ao desnível de poder entre as partes e à falta de informação do requerente, encontram importante solução na possibilidade de assistência do titular por profissional qualificado bem como de tutela coletiva desse direito. De fato, a assistência do titular por um especialista permite mitigar a disparidade de conhecimentos técnicos e jurídicos entre o titular dos dados e o agente de tratamento. No mesmo sentido, a forma coletiva de tutela do direito de acesso assegura uma ação coordenada, sistemática e, por consequência, possivelmente mais assertiva. A lei cuida do tema no artigo 18, § 3º, ao dispor que "os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento", e no artigo 22, ao prever que "a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva", de modo a dotar de efetividade o direito de acesso. Já no aspecto do funcionamento do acesso, o obstáculo a ser superado diz com a escassa relevância das informações fornecidas quando não se conhece a maneira de atuação do sistema. A esse respeito, a lei permite que o acesso seja estendido, para além do dado pessoal em si, à forma de operação do tratamento, bem como à circulação da informação. Assegura-se, desta feita, que o direito de controle dos dados pessoais seja exercido de modo efetivo, abarcando o modo de desempenho do sistema e alcançando as informações onde quer que estejam, no bojo do processo dinâmico de uso e compartilhamento dos dados. Nesse sentido, o artigo 9º da LGPD garante o acesso a informações sobre a finalidade específica, a forma e a duração do tratamento, ressalvados os segredos comercial e industrial, a identificação e os dados de contato do controlador, o uso compartilhado de dados pelo controlador e a finalidade, as responsabilidades dos agentes que realizarão o tratamento e os direitos do titular, com menção explícita aos contidos no artigo 18 da lei. Ainda no tocante ao funcionamento do sistema, destaca-se a previsão do artigo 20, que, em tema de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive com a formação de perfis, permite o pedido de revisão dessas decisões, bem como o acesso aos critérios e procedimentos utilizados na operação, observados os segredos comercial e industrial. Neste último caso, se o conhecimento esbarrar na proteção do sigilo, a autoridade nacional zelará pelo princípio da não discriminação, assegurando a isonomia. O dispositivo se destina à tutela do livre desenvolvimento da personalidade do titular. Com efeito, constata-se que, na sociedade tecnológica, a construção da identidade do sujeito passa a depender do modo como os dados o descrevem. O corpo se torna eletrônico e a percepção de si se opera de fora para dentro - a personalidade é aquela definida pelo conjunto de informações3. Nessa toada, o controle dos dados pessoais, por meio do acesso aos critérios e procedimentos utilizados e da solicitação de revisão das decisões automatizadas, objetiva evitar que aquela pessoa humana seja indevidamente discriminada com base em característica que lhe foi atribuída por meio do tratamento de dados pessoais. Sobre o tema, a lei contempla como princípio basilar de sua incidência o de não discriminação, que preconiza a "impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos" (art. 6º, IX). Note-se, portanto, que se admite que os titulares de dados pessoais sejam tratados de modo distinto, como o oferecimento de condições de crédito diferenciadas a partir do perfil de cada consumidor, mas se afigura vedada a discriminação quando ilícita ou abusiva4. Além disso, tomando-se o direito de acesso como instrumento de efetividade da tutela de diferentes situações jurídicas existenciais, cabe destacar a amplitude dos direitos conferidos pela lei ao titular dos dados pessoais, que pode requerer: (i) confirmação da existência de tratamento; (ii) correção de dados incompletos, inexatos ou desatualizados; (iii) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei; (iv) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial5; (v) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da lei; (vi) informação das entidades com as quais o controlador realizou uso compartilhado de dados; (vii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (viii) revogação do consentimento, nos termos do § 5º do artigo 8º da lei6 (art. 18, incisos I a IX7); (ix) medidas em relação aos seus dados contra o controlador perante a autoridade nacional, bem como perante os organismos de defesa do consumidor (art. 18, §§ 1º e 8º); (x) oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, uma vez descumprida a lei (art. 18, § 2º) e (xi) cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, quando o tratamento tiver origem no consentimento do titular ou em contrato (art. 19, § 3º8).9 No que tange ao âmbito de incidência do acesso, pretendeu o legislador superar o obstáculo relativo ao excesso de vedações a certas categorias de informações. Para tanto, foi contemplado o direito de acesso à integralidade dos dados pessoais (art. 6º, IV) e prevista a regra da possibilidade de seu exercício em relação a qualquer tratamento realizado por pessoa natural ou por pessoa jurídica, de forma a estabelecer, em todas as searas sociais, a prevalência do controle sobre o sigilo (arts. 1º e 3º). Em síntese, o recém-chegado direito de acesso se apresenta, no cenário jurídico nacional, marcado pela busca por efetividade. Trata-se de produto da nova concepção do direito à privacidade e associado à transparência que permeia grande parte das relações sociais na contemporaneidade. Nesse cenário, a Lei Geral de Proteção de Dados Pessoais, que acaba de entrar em vigor no ordenamento pátrio, escorada nos avanços doutrinários sobre os assuntos de que se ocupa, procurou enfrentar as principais barreiras que obstaculizam o controle dos dados pessoais. Incorporou, assim, poderoso cabedal de ferramentas, ora postas à disposição das pessoas, convidando-as, então, ao exercício do direito de controle de suas informações pessoais. Em meio às turbulências do mundo líquido do Século XXI, a plena eficácia social do direito de acesso consubstancia gigantesco passo civilizatório a favor da tutela integral da pessoa humana. *Carlos Edison do Rêgo Monteiro Filho é professor Titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ. Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da PGE-RJ (ESAP). Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Advogado, parecerista em temas de Direito Privado. **Diana Loureiro Paiva de Castro é mestre em Direito Civil pela UERJ. __________ 1 RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008, p. 68. 2 Ressalve-se a previsão do artigo 19, § 4º, da LGPD: "A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos". 3 RODOTÀ, Stefano. Dal soggetto alla persona. Napoli: Editoriale Scientifica, 2007, p. 35. 4 MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da Lei Geral de Proteção de Dados (lei 13.709/18). Revista de Direitos e Garantias Fundamentais, v. 19, n. 3, 2018, p. 164. 5 Conforme o artigo 18, § 7º, da LGPD, "a portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador". 6 Aqui também há a garantia de gratuidade, conforme prevê o artigo 8º, § 5º, da LGPD. 7 Importante ressaltar que, consoante o artigo 18, § 6º, da LGPD, "O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional". 8 Isso se dará, segundo o dispositivo, "nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento". 9 Ademais, dispõe o artigo 21 da LGPD: "os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo".

sexta-feira, 16 de outubro de 2020

Diante do cenário da nova lei 13.709/2018, a chamada Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 18 de setembro de 2020, mudará muita coisa nas eleições municipais de 2020, adiadas para novembro devido à pandemia de coronavírus. A LGPD, quando interpretada em vistas ao processo eleitoral, visa a coibir as fake news1, as deepfakes2e os disparos em massa, sobretudo mediante a atenção dispensada ao uso de dados pessoais dos eleitores. Isso porque já são comuns as ferramentas que simulam vozes em áudios, vídeos, além daqueles que são chamados robôs - bots (programas de automatização) - sendo que conseguem, por exemplo, atingir grupos de pessoas específicos do colégio eleitoral do candidato que as contrata, por meio de empresas que utilizam os dados pessoais de usuários do facebook e instagram, Não obstante, as eleições municipais são, tradicionalmente, palco das primeiras aplicações de mudanças estruturais. Dessa vez, não será diferente, pois se sabe que o estado pandêmico altera gravemente, para além da data do pleito, as possibilidades de realização de campanha eleitoral. Além disso, a vigência da nova Lei Geral de Proteção de Dados tende a criar novos desafios para os candidatos, sobretudo, para aqueles desconhecidos do grande público. As intersecções possíveis entre os temas eleitorais e a proteção de dados são inúmeras. Fala-se, principalmente, na Resolução 23.610/2019 do TSE, que perfaz o assunto em seus dispositivos, dentre os quais, destacam-se: Art. 31. É vedada às pessoas relacionadas no art. 24 da Lei nº 9.504/1997, bem como às pessoas jurídicas de direito privado, a utilização, doação ou cessão de dados pessoais de seus clientes, em favor de candidatos, de partidos políticos ou de coligações. § 1º É proibida às pessoas jurídicas e às pessoas naturais a venda de cadastro de endereços eletrônicos, nos termos do art. 57- E, § 1º, da Lei nº 9.504/1997. § 4º Observadas as vedações do caput deste artigo, o tratamento de dados pessoais, inclusive a utilização, doação ou cessão destes por pessoa jurídica ou por pessoa natural, observará as disposições da Lei nº 13.709/2018 (LGPD) (Lei nº 9.504/1997, art. 57-J). (destaques nossos). A medida possui íntima relação com os ocorridos nos recentes pleitos em toda a comunidade internacional, sobretudo com o método utilizado pela Cambridge Analytica - a captação maciça de dados pessoais, como preferências pessoais e, a partir de tal, a personalização da propaganda nas redes, de modo a atingir os usuários em sua "bolha"3. Ainda que, a priori, tal relação possa não despertar problematização, basta um olhar atento aos resultados da crescente divisão popular e polarização política nas democracias modernas. O ambiente criado favorece a circulação de desinformação a partir da apresentação tautológica de uma "realidade virtual" personalizada que agrada o usuário e o aproxima do candidato, enquanto cria uma barreira intransponível para o contato com os outros, impossibilitando que as informações cheguem de maneira democrática. A LGPD, portanto, contribuirá para coibir tais práticas por meio da obrigatoriedade do consentimento do usuário em hipóteses de captação de dados pessoais, por exemplo, para que este faça parte da listagem de disparos propagandísticos em massa como já mencionado. É importante esclarecer que, na LGPD, não se proibiu a coleta de dados, o que se lê é a exigência do consentimento expresso do eleitor, com esclarecimento da finalidade para práticas de utilização dos dados pessoais. Trata-se de instituto novo e que carece de mais regulamentações por parte do legislador, da futura Autoridade Nacional de Proteção de Dados (ANPD) e de esclarecimentos pelas resoluções do Tribunal Superior Eleitoral como explorado por Cíntia Rosa Pereira de Lima e Maria Eduarda Sampaio de Sousa na Coluna Migalhas de Proteção de Dados "LGPD e combate às fake news"4. O PL 2630, polêmico projeto de 'Lei das Fake News', prevê, em seu texto inicial, tratamento específico para a disseminação de mensagens em massa, sobretudo em período de propaganda eleitoral, emergência ou calamidade pública, determinando, nessas situações, a limitação de encaminhamento de mensagem privada a um usuário ou grupo, conforme o §1º do art. 135 (do texto inicial). Essa medida vai ao encontro da Resolução 23.610/2019 do TSE. São diversas maneiras de se enfrentar o problema da desinformação, para além da mera problemática da coleta de dados. Em todo caso, fomentam-se boas práticas no ambiente virtual, como a exigência de consentimento, a transparência e a vedação às contas inautênticas. Por esses motivos que a legislação eleitoral no Brasil é reconhecida por seu alto nível de intervenção, com inúmeras regras para realização da propaganda, como as legislações sobre comício, aparições midiáticas e regulamentações de audiovisual. Ainda, a campanha eleitoral terá duração de, aproximadamente, 45 dias6, sem possibilidade de doações financeiras provenientes de pessoa jurídica, proibidas pelo STF em 2015. Depreende-se disso uma grande dificuldade para que novos candidatos possam despontar no cenário político, com uma taxa alta de reeleição e perpetuação de nomes já conhecidos. A forma como se delineará, juridicamente, a campanha eleitoral em respeito à proteção de dados, portanto, passará pela compreensão dos candidatos e de sua equipe acerca do que são dados pessoais sensíveis e dados pessoais e como será o tratamento dos dados no período de campanha. O que são dados pessoais sensíveis? A própria LGPD define em seu art. 5º, inc. II, que dados pessoais sensíveis são: "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural"7. Portanto, os dados dos eleitores podem ser dados pessoais sensíveis no que se referem às preferências políticas e pautas ideológicas dos candidatos, às filiações partidárias, às páginas e perfis dos candidatos curtidas, etc. O candidato que conhecer tais dados dos eleitores, por meio de uma equipe de marketing eleitoral, pode traçar sua campanha a fim de atingir públicos específicos e em grande quantidade. Acontece que a LGPD oferece proteção aos dados pessoais sensíveis e isso tem implicação direta numa campanha eleitoral, pois delimita o que pode ou não ser utilizado. Vale ressaltar o exemplo problemático do sistema "Filiaweb", da Justiça Eleitoral, que disponibiliza a relação de filiados a partidos políticos, um dado sensível, sem necessidade de qualquer informação ou consentimento. Para tanto, questiona-se a validade de tal mecanismo com a vigência do novo dispositivo. Contrapõem-se transparência e direito à privacidade. Essa limitação para a utilização de dados pessoais sensíveis exige o consentimento de cada usuário, e a LGPD dispõe, em seu art. 7,º as hipóteses em que pode haver tratamento de dados pessoais. As eleições municipais de 2020 e a LGPD Com a campanha eleitoral em curso, o que se verifica é o aumento do marketing político dos candidatos nas redes sociais. Mesmo com a proibição do TSE aos disparos de mensagens em massa, o jornal Folha de São Paulo identificou ao menos 5 empresas vendendo o serviço de coleta de dados de perfis no facebook, instagram e whatsapp e oferecendo a candidatos8. Em razão disso, o Ministério Público eleitoral já anunciou abertura de investigação sobre o caso9. No Brasil, há 91 milhões de usuários do Instagram10; aproximadamente ,141 milhões de usuários do facebook11 e, aproximadamente, 142 milhões de usuários do aplicativo whatsapp12. Acrescenta-se que, por mais que essas plataformas sejam distintas, pertencem ao mesmo grupo empresarial Facebook, possibilitando o compartilhamento de dados de um mesmo usuário que possua 2 ou mais plataformas da empresa. Com tantos eleitores utilizando as redes sociais, sobretudo, neste período de isolamento social, é lógico e provável que os candidatos tracem seu marketing político com os dados do usuário, entretanto, essa prática, como entendeu o TSE, visa a burlar o processo eleitoral, impedindo que o eleitor reflita livremente sobre os candidatos, pois seria alvo de mensagens direcionadas quando utilizasse a sua rede. A prática ilegal na utilização de dados pessoais prevê multa de até R$50 milhões. Ressalta-se, mais uma vez, que a problemática das eleições municipais é complexa. Para além das novas restrições previstas, o cenário de adiamento eleitoral e das outras restrições legais no sentido de coibir abusos, dificulta, em muito, a viabilidade de novos candidatos desconhecidos disputarem a eleição em pé de igualdade com aqueles já conhecidos e que já puderam ocupar cargos eletivos anteriormente. É inevitável que surjam conflitos de interpretação na aplicação da LGPD nas lides eleitorais, tendo em vista muitas lacunas legais, o contexto de pandemia, o pioneirismo dos dispositivos legais e o tradicional protagonismo do Tribunal Superior Eleitoral em editar Resoluções que regulam a dinâmica das campanhas eleitorais. Essa realidade deve ser levada em conta ao se analisar a extensão das restrições trazidas pela LGPD no que concerne a sua aplicação nas eleições. Assim, ao se exigir o consentimento do eleitor para o recebimento de informações sobre o candidato, para coletar de dados e para as demais operações possíveis; visa-se a estabelecer uma barreira entre o cidadãos e o possível representante, fato que pode tornar a democracia ainda mais indireta, impactando, negativamente, no Estado Democrático de Direito, mas que também auxilia na redução da manipulação do processo eleitoral pelo abuso na utilização de dados dos eleitores. Por conseguinte, deve-se buscar um equilíbrio entre estas duas forças (disputas eleitorais em que haja viabilidade de novos candidatos disputarem de forma equânime as eleições e proteção dos dados) para preservar os princípios democráticos de nosso Estado. *Cristina Godoy Bernardo de Oliveira é professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD. **Tiago Augustini de Lima é graduando em Direito na Faculdade de Direito de Ribeirão Preto - USP, bolsista PET e bolsista da Iniciação Científica PUB-USP. ***Pedro Sberni Rodrigues é graduando em Direito na Faculdade de Direito de Ribeirão Preto - USP. __________ 1 SOUSA, Maria Eduarda Sampaio de. Proteção de dados pessoais: LGPD e possibilidade de combate às fake News. Disponível aqui, último acesso em 15 de outubro de 2020. 2 BRASIL. Justiça Eleitoral. Disponível aqui. Acesso em 06 de outubro de 2020. 3 SOUSA, Maria Eduarda Sampaio de. LGPD e Eleições: Proteção dos Dados Pessoais dos Eleitores na era do Big Data. Disponível aqui, último acesso em 15 de outubro de 2020. 4 Disponível aqui, último acesso em 14 de outubro de 2020. 5 BRASIL. PL 2630/2020. Art. 13. Os provedores de aplicação que prestarem serviços de mensageria privada desenvolverão políticas de uso que limitem o número de encaminhamentos de uma mesma mensagem a no máximo 5 (cinco) usuários ou grupos, bem como o número máximo de membros de cada grupo de usuários para o máximo de 256 (duzentos e cinquenta e seis) membros. §1º Em período de propaganda eleitoral, estabelecido pelo art. 36 da lei 9.504 de 1997 e durante situações de emergência ou de calamidade pública, o número de encaminhamentos de uma mesma mensagem fica limitado a no máximo 1 (um) usuários ou grupos. Disponivel aqui, último acesso em 14 de outubro de 2020. 6 Disponível aqui, último acesso em 14 de outubro de 2020. 7 Cf. PEROLI, Kelvin. O que são dados pessoais sensíveis? Instituto Avançado de Proteção de Dados, Ribeirão Preto, 03 de novembro de 2019. Disponível aqui, último acesso em 14 de outubro de 2020. 8 Disponível aqui, último acesso em 14 de outubro de 2020. 9 Disponível aqui, último acesso em 14 de outubro de 2020. 10 Disponível aqui, último acesso em 14 de outubro de 2020. 11 Disponível aqui, último acesso em 14 de outubro de 2020. 12 Disponível aqui, último acesso em 14 de outubro de 2020.

sexta-feira, 9 de outubro de 2020

terça-feira, 29 de setembro de 2020

sexta-feira, 25 de setembro de 2020

sexta-feira, 18 de setembro de 2020

Há grande expectativa quanto aos impactos da Lei Geral de Proteção de Dados Pessoais brasileira. Sua própria vigência tem sido objeto de amplas discussões e tem gerado controvérsias acerca dos desdobramentos que poderá vir a ter, especialmente quanto às sanções administrativas que prevê (artigos 52 a 54) e à responsabilidade civil (artigos 42 e seguintes). O legislador brasileiro não cuidou, todavia, de aspectos penais relacionados às más práticas que envolvam dados pessoais, e este é um debate que suscita reflexões. Por isso, notícia recente informa que uma comissão de juristas está cuidando da elaboração de um anteprojeto voltado exatamente a este fim1. Uma das intenções é regulamentar a utilização de dados pessoais e as hipóteses de fornecimento nos casos de investigação penal, sendo que a hipótese de interesse público não poderia ser utilizada de forma ampla e irrestrita. Não se trata, portanto, da criação de tipos penais especificamente relacionados às violações de dados pessoais. Noutros ordenamentos jurídicos, porém, tem-se previsões de natureza penal mais específicas, e alguns breves apontamentos podem propiciar reflexões importantes sobre o tema e até mesmo sobre sua viabilidade no Brasil. Exemplo emblemático é o Japão, onde vigora uma legislação especificamente voltada à proteção de dados pessoais desde 30 de maio de 2017 - trata-se da (lê-se "Kojin joho no hogo ni kansuru horitsu", na transliteração Hepburn), a "lei de proteção de dados pessoais" japonesa - que prevê tipos penais específicos em seus artigos 82 a 88. As penas são, basicamente, de multa, à exceção do crime descrito no artigo 84, que prevê pena restritiva de liberdade de até 6 (seis) meses, além de multa, para hipóteses variadas de violações (tendo em vista que o dispositivo faz remissão ao artigo 42, ns. 2 e 3): Artigo 84. A pessoa que violar os termos do artigo 42, parágrafo (2) ou parágrafo (3) será punida com pena de prisão, com possibilidade de trabalho, por período não superior a seis meses ou multa de até 300.000 ienes. (tradução livre) Artigo 42. (...) (2) A Comissão de Proteção de Dados Pessoais pode ordenar ao operador de tratamento de dados pessoais que atue em conformidade com recomendação por ela expedida, ao reconhecer que uma violação grave aos direitos e interesses de um indivíduo é iminente quando já tenha, anteriormente, expedido uma recomendação ao agente de tratamento de dados pessoais, nos termos do parágrafo anterior, e este não tenha realizado ação em conformidade com a recomendação, tampouco apresentado fundamento legítimo para não fazê-lo. (tradução livre) (3) A Comissão de Proteção de Dados Pessoais pode, não obstante as disposições dos dois parágrafos anteriores, ao reconhecer a necessidade de tomar medidas urgentes porque há um fato que prejudica gravemente os direitos e interesses de um indivíduo, nos casos em que um operador de dados manipula informações pessoais e tenha violado as disposições dos Artigos 16, 17, 20 a 22, do Artigo 23, parágrafo (1), do Artigo 24 ou do Artigo 36, parágrafo (1), parágrafo (2) ou parágrafo (5), ou nos casos em que tenha havido violação às disposições do Artigo 38 (gestão de dados anonimizados), ordenar ao operador que tome as medidas necessárias para retificar a violação, como suspender o ato respectivo. (tradução livre)2. O exemplo do país asiático não é isolado. Na Itália, um dos países pioneiros na positivação de normas para a proteção de dados pessoais, as alterações realizadas pelo decreto legislativo 101/2018 à Parte III, do Título II, do decreto legislativo 193/2003 (Codice della Privacy), justamente para adaptar a legislação já existente aos rigores do Regulamento Geral sobre a Proteção de Dados (2016/679), da União Europeia (o conhecido RGPD europeu), ampliou o escopo protetivo da norma local, adaptando-a aos regramentos supranacionais, mas mantendo a tipificação penal. Basicamente, o DL 101/2018 passou a prever seis condutas típicas: (i) tratamento ilícito de dados (art. 167); (ii) comunicação e difusão ilegais de dados pessoais processados em grande escala (art. 167-bis); (iii) aquisição fraudulenta de dados pessoais processados em grande escala (art. 167-ter); (iv) comunicação falsa de ilícito à Autoridade Garante (Garante della Privacy) ou embaraço ao cumprimento, por esta, de suas funções institucionais (art. 168); (v) inobservância de provimentos emanados da Autoridade Garante (art. 170); (vi) violação de disposições em matéria de controle (art. 171). Além de anotar o fato de que, no referido país, a tipificação penal por decreto legislativo não viola o princípio da reserva legal3, cumpre analisar a hipótese clara de novatio legis incriminadora, na medida em que a redação anterior contemplava apenas a punição ao tratamento ilícito de dados (art. 167); a comunicação falsa de ilícito, embora sem a remissão - inserida pela reforma de 2018 - à possibilidade de enquadramento típico noutro delito, com pena mais grave ("[s]alvo che il fatto costituisca più grave reato", art. 168); e a omissão de medidas de proteção (art. 169), mantida com a mesma redação. Quanto à primeira figura, qual seja, o tratamento ilícito de dados (art. 167), a menos que o ato constitua uma ofensa mais grave, quem quer que, a fim de obter lucro para si ou para outrem ou causar danos à pessoa, agindo em violação às regras definidas, será punido com reclusão, que poderá variar de seis meses a um ano e seis meses. E, nos casos mais graves, até três anos4. A comunicação e difusão ilegais de dados pessoais processados em grande escala (art. 167-bis) é punível com pena de reclusão de um a seis anos5. Por sua vez, aquisição fraudulenta de dados pessoais processados em grande escala (art. 167-ter) é punível com pena de reclusão de um a quatro anos6. Enfim, o não cumprimento das funções de garante, devido à comunicação falsa ou à criação de embaraços (art. 168), gera sanção penal (pena de reclusão de três meses a dois anos) a quem o fizer, tendo ocorrido alteração, neste ponto, apenas quanto à já mencionada ressalva inserida na parte inicial do dispositivo. Os artigos 170 e 171, por outro lado, sofreram apenas alterações textuais para a correção de remissões feitas a outros dispositivos legais. Neste ponto específico, nota-se a preocupação do legislador italiano com a sanção de eventos relacionados à utilização indevida de dados pessoais. Indo além das sanções administrativas e da responsabilidade civil visualizadas nos artigos 77 a 84 do RGPD, tem-se tipos penais7, o que revela a preocupação extrema em punir determinadas condutas, notadamente em cenários de comercialização de dados e de criação de embaraços ou empecilhos ao exercício das funções da Autoridade Garante. Outrossim, a Lei de Proteção de Dados Pessoais Portuguesa (lei 58/2019), que regulamenta o RGPD, estabelece como crime a utilização de dados de forma incompatível com a finalidade da coleta. Nesse diapasão, o art. 46º da referida norma prevê a pena de prisão até um ano ou multa para a referida hipótese. No mesmo sentido, o acesso indevido de dados pessoais também é combatido pelo art. 47 com prisão ou multa. Há naquele diploma a hipótese para desvio de dados, destruição de dados, inserção de dados falsos e também tipo penal para a violação do dever de sigilo. A LGPD brasileira, embora admita a sanção penal ao fazer remissão específica aos crimes tipificados no Código de Defesa do Consumidor (artigo 52, §2º8), não a regulamenta, deixando ao legislador a missão de, em lei própria, tipificar condutas relacionadas à violação da proteção de dados. Com efeito, o objetivo da Comissão de juristas, é ampliar o espectro de aplicação material da LGPD. Atualmente, o microssistema protetivo dos dados pessoais não se sujeita às atividades de segurança pública, assim como de investigação e repressão de infrações penais, como dispõe o art. 4º da lei. De acordo com a informação exarada, o objetivo é vincular as hipóteses de tratamento de dados pessoais em persecução penal, efetivamente, para melhor circunscrever o interesse público nessas hipóteses de tratamento. Por oportuno, é importante observar que em matéria de tramitação processual, notadamente, no que concerne aos atos, a regra constitucional é da publicidade dos mesmos (art. 5º, LX, e 93, IX, da Constituição da República). Nesse sentido, inevitavelmente, em termos práticos, as eventuais adequações devem observar essa máxima. Naturalmente, por força de processo judicial ou do próprio inquérito, dados são tratados e, inclusive, expostos em sistemas públicos. Em sendo assim, as hipóteses de avanço da proteção de dados pessoais em matéria persecutória deverão encontrar apoio nas balizas dos princípios constitucionais que iluminam o sistema de justiça brasileiro. Desse modo, a estrutura principiológica da carta constitucional endereça os limites da publicidade dos atos por meio da redação do inc. IX do art. 93: "todos os julgamentos dos órgãos do Poder Judiciário serão públicos, e fundamentadas todas as decisões, sob pena de nulidade, podendo a lei limitar a presença, em determinados atos, às próprias partes e a seus advogados, ou somente a estes, em casos nos quais a preservação do direito à intimidade do interessado no sigilo não prejudique o interesse público à informação". Nessa senda, a opacidade do tratamento referenciado pela Constituição deve ser analisada no caso concreto, situação em que o Juiz detém legitimidade para mitigar a publicidade. Entretanto, ao que consta, a iniciativa pretende avançar no cerne dos agentes responsáveis por investigações e/ou gestões de informação sobre inteligência. Atualmente, a cooperação entre agentes ocorre sob a tutela do controle jurisdicional, que não esclarece o dever do uso de bases de dados, assim como compartilhamento de informações para fins de investigação. Como se sabe, a estrutura estatal possui marcante capacidade de gerenciamento, organização e processamento de dados pessoais dos cidadãos em geral. O uso indevido dessas informações, sem limitações claras, pode mitigar as garantias constitucionais que permeiam a relação entre o indivíduo e o Estado. Nesse sentido, observa-se que o compartilhamento de dados entre agentes de investigação, em suas linhas gerais, enquadra-se como flexão de hipótese de tratamento de dados. Sendo assim, o avanço da LGPD penal poderia prever sanções claras para hipóteses dessa natureza, resguardando a legitimidade para situações suportadas por decisões judiciais autorizadoras nos limites da finalidade requerida. Acreditar que as pretensões não comprometeram a liberdade investigativa é um equívoco. De outro modo, sob a ótica do contraditório, ampla defesa e, principalmente, paridade de armas, será possível o debate aprofundado pelas partes angularizadas em um determinado procedimento de natureza penal. Por fim, a referida comissão de juristas acena para a possibilidade de regulação da cooperação internacional em matéria de compartilhamento de dados. O tema é de extrema relevância. Contudo, destacamos que eventual previsão nesse sentido deve prever a hipótese de resguardo técnico hígido dos dados pessoais, assim como não fazer com que o compartilhamento de dados entre Estados promova a alimentação de bancos de dados pessoais transfronteiriços. *José Luiz de Moura Faleiros Júnior é mestre e bacharel em Direito pela Faculdade de Direito da UFU. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado. **Juliano Madalena é professor de Direito na Fundação Escola Superior do Ministério Público. Doutorando e mestre em Direito pela Faculdade de Direito da Universidade Federal do Rio Grande do Sul, onde também adquiriu o título de especialista em Direito Internacional. É graduado em Direito pela Fundação Escola Superior do Ministério Público. Pesquisador do Grupo de Pesquisa Mercosul e Direito do Consumidor - CNPQ/UFRGS. Coordenador do curso de pós-graduação em Direito Digital e Advocacia Corporativa da Fundação Escola Superior do Ministério Público. __________ 1 IGNACIO, Laura. Comissão de juristas elabora proposta para a LGPD penal. Valor Econômico, 15 set. 2020. Disponível aqui. Acesso em 16 set. 2020. 2 JAPÃO. Kojin joho no hogo ni kansuru horitsu [Lei para a Proteção de Dados Pessoais], No. 57/2003 (30 maio 2003), com alterações pela Lei No. 51/2016. Disponível, no original, aqui. Disponível, em tradução para o inglês, atualizada até as emendas realizadas pela lei 65/2015, aqui. Acesso em 16 set. 2020. 3 O princípio da reserva legal, em matéria de direito penal, implica a expressa proibição de punir uma conduta específica na ausência de uma lei preexistente que a constitua como crime. Está previsto no art. 25, II, da Constituição italiana. Ocorre que, no sistema jurídico da Itália, para parte da doutrina, decretos legislativos e decretos-lei, que são comumente utilizados, não são compatíveis com a reserva legal. A doutrina dominante, porém, entende que tanto o decreto legislativo, quanto o decreto-lei, podem ser fontes do direito penal, uma vez que é o mesmo sistema constitucional que reconhece esses atos normativos de forma eficiente como ocorre quanto às leis comuns, em sentido formal. Nesse sentido, a doutrina anota que, na hipótese do decreto legislativo, o princípio da reserva legal é garantido pelo fato de o Parlamento preservar, com a lei de delegação, a iniciativa legislativa e a identificação das escolhas políticas criminais, ao passo que, no caso do decreto-lei, o mesmo requisito de proteção é satisfeito através do mecanismo de conversão do decreto em lei. (MANTOVANI, Ferrando. Principi di diritto penale. 2. ed. Pádua: Cedam, 2007, p. 11-16.). 4"Art. 167 (Trattamento illecito di dati). 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni. 3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all'interessato. 4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante. 5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni delle disposizioni di cui al presente decreto. 6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita." 5 "Art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala). 1. Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per se' o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se' o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell'interessato è richiesto per le operazioni di comunicazione e di diffusione. 3. Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell'articolo 167." 6 "Art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala). 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se' o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni. 2. Per il reato di cui al comma 1 si applicano i commi 4, 5 e 6 dell'articolo 167." 7 A responsabilidade civil e seus desdobramentos administrativos estão contemplados no regulamento europeu e na lei brasileira, mas, nota-se uma lacuna no que diz respeito à tutela penal que, em eventos relacionados às violações de dados, se entrelaça fortemente às outras esferas punitivas. Nesse contexto, para uma melhor compreensão da correlação entre responsabilidade civil e crimes, confira-se: DYSON, Matthew. Tort and crime. University of Cambridge Faculty of Law, Cambridge, Research Paper n. 48, p. 1-26, out. 2013. Disponível aqui. Acesso em 19 jun. 2020. 8 "Art. 52. (.) § 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na lei 8.078, de 11 de setembro de 1990, e em legislação específica."

sexta-feira, 11 de setembro de 2020

sexta-feira, 4 de setembro de 2020

sexta-feira, 28 de agosto de 2020

Uma das vantagens de compreendermos os direitos da personalidade em um enfoque de cláusula geral de tutela da pessoa humana é o de percebermos a sua permeabilidade, a vagueza do conteúdo semântico e a aptidão evolutiva das situações existenciais conforme a sociedade e a cultura que lhe conferem substrato. Não há numerus clausus em matéria de direitos da personalidade, pois o ser humano se exibe em inesgotáveis manifestações1. Destarte, para além de um direito geral da personalidade - globalmente considerado - há um direito especial da personalidade composto por bens intrínsecos já mapeados (só para ficarmos nos limites do Código Civil direito ao corpo, imagem, nome, honra e intimidade), sem que isso impeça a progressiva decantação de novas zonas de relevância ainda não proclamadas de um conceito elástico, em permanente expansão2. Na sociedade tecnológica, defende-se abertamente a existência de um direito da personalidade à proteção de dados pessoais com autonomia perante o direito à privacidade3. Em todas as suas derivações, a privacidade revela aquilo que a pessoa tem ou faz em um contexto espacial delimitado. Todavia, em matéria de dados pessoais a informação extrapola o âmbito da pessoa. Ela ainda é um bem em si, mas capaz de ser objetivado e tratado longe e a despeito dela. Em um cenário de despersonalização, no qual a premissa antropocêntrica do ordenamento é subvertida pela coisificação do ser humano em um conjunto de algoritmos passíveis de transação no mercado, a consolidação de um direito da personalidade à tutela dos dados - voltada aos poderes público e privado - converte-se em pré-condição de cidadania na era eletrônica. O conceito dinâmico de autodeterminação informativa demanda mesmo um estatuto jurídico de dados, afinal, eles definem autonomia, identidade e liberdade da pessoa4. Paradoxalmente, a IA e outras tecnologias digitais emergentes não desafiam a gama já existente de danos reparáveis. Em países que seguem a tradição francesa, o dano como pré-requisito para a obrigação de indenizar é um conceito flexível e qualquer lesão a um interesse lícito pode ser o ponto de partida para a responsabilidade extracontratual5, cujo controle se dará pela verificação do nexo causal entre o dano e o comportamento culposo ou o risco de uma atividade. Por conseguinte, o interesse em jogo pode ser mais ou menos significativo e a extensão do dano a esse interesse também pode variar, com impacto na avaliação quanto à justificação da indenização em um caso concreto6. Nada obstante, algumas incipientes categorias de danos podem ser mais relevantes em casos futuros do que em cenários tradicionais de responsabilidade civil7-8. Os danos causados ??aos dados pessoais podem resultar em responsabilidade civil quando a responsabilidade surge do contrato9; ou quando a responsabilidade decorra da interferência de terceiro no ambiente em que os dados foram armazenados10; ou ainda, naquilo que nos interessa de maneira mais próxima, o dano foi causado por conduta antijurídica (violadora do dever geral de não lesar)11. Não é universalmente aceito que destruição de dados seja equiparada à perda de propriedade, uma vez que em alguns sistemas jurídicos a noção de propriedade é limitada a objetos corporais e exclui bens intangíveis, todavia12 o surgimento de tecnologias digitais enfatizou a importância dos danos aos dados, por meio de sua subtração, deterioração, contaminação, criptografia, alteração ou supressão13. Com grande parte de nossas vidas e nossas propriedades sendo "digitalizadas", é inviável, por óbvio, limitar a responsabilidade civil ao mundo tangível14. Referimo-nos à categoria dos digital assets, digital property ou bens digitais, como aqueles ativos incorpóreos, progressivamente inseridos na internet, que consistem em informações intangíveis fisicamente, de caráter pessoal - conteúdos postados ou compartilhados no ambiente virtual -, que trazem em si utilidade, tenham ou não conteúdo econômico15. No terreno da responsabilidade extracontratual, uma adaptação recorrente é a de traduzir os danos aos dados como danos ao meio físico no qual os dados foram armazenados. Assim, se A armazena os seus arquivos na unidade de disco rígido de seu computador pessoal em casa e um colega de faculdade negligentemente danifica o computador, tornando os arquivos ilegíveis. Independentemente da qualificação dos danos aos dados, em qualquer caso, a ilicitude se dirigiu à propriedade tangível de A (a unidade de disco rígido) e, apenas por esse motivo, B já seria responsável. Contudo, não é adequado simplesmente equiparar o tratamento normativo entre ambos objetos. Basta uma pequena modificação no exemplo, para o caso em que o proprietário do computador não coincida com a pessoa que tem um interesse digno de tutela nos dados. Seria o caso de classificar esse interesse merecedor de proteção semelhante à propriedade como propriedade intelectual ou um segredo comercial, ou a necessidade de tutelar o progresso intelectual em nada se relaciona com o resguardo de um "hard disk" inserido em computador? Seja como for, da lesão a dados pessoais podem decorrer danos patrimoniais ou extrapatrimoniais, nas mais variadas correntes de qualificação da responsabilidade, de seus fundamentos e de sua justificação. Caberá aos juristas, estudiosos do direito de danos e das novas tecnologias, a árdua tarefa de construir um sistema de responsabilidade civil adequado que, ao mesmo tempo que possibilite a efetiva prevenção e a reparação dos danos residualmente sofridos, permita o pleno desenvolvimento das tecnologias emergentes que tanto beneficiarão a sociedade. *Carlos Edison do Rêgo Monteiro Filho é professor titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ. Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da PGE-RJ (ESAP). Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Advogado, pareceirista em temas de Direito Privado. **Nelson Rosenvald é professor do corpo permanente do doutorado e mestrado do IDP/DF. Procurador de Justiça do Ministério Público de Minas Gerais. Pós-doutor em Direito Civil na Università Roma Tre (IT-2011). Pós-doutor em Direito Societário na Universidade de Coimbra (PO-2017). Visiting Academic Oxford University (UK-2016/17). Professor Visitante na Universidade Carlos III (ES-2018). Doutor e mestre em Direito Civil pela PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC) e Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD) __________ 1 Talvez Saramago tenha explicado o conceito de personalidade de forma mais clara do que qualquer jurista: "Dentro de nós há uma coisa que não tem nome, essa coisa é o que somos". SARAMAGO, José. Ensaio sobre a cegueira. Lisboa: Editorial Caminho, 1995. 2 "O que está em causa nos direitos da personalidade não é apenas a tutela de um aspecto particular da pessoa humana, mas sim a tutela da pessoa humana globalmente considerada, podendo abranger novas zonas de relevância. Trata-se da pessoa não apenas perspectivada estaticamente, como ser humano, mas também em devir, em desenvolvimento" PINTO, Paulo Mota. Direitos da personalidade e direitos fundamentais. Coimbra: Gestlegal, 2018, p. 334. 3 "O esforço a ser empreendido pela doutrina e pela jurisprudência seria emo nosso ponto de vista uma interpretação dos incisos X e XII do art. 5. que seja mais fiel ao nosso tempo, reconhecendo a intima ligação que passam a ostentar os direitos relacionados à privacidade e à comunicação de dados. Dessa forma, a garantia da proteção dos dados pessoais, em si próprios considerados, com caráter de direito fundamental representa o passo necessário à integração da personalidade em sua acepção mais ampla e adequada à sociedade de informação" DONEDA, Danilo. O Direito fundamental à proteção de dados pessoais. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti. Direito digital, 3. Ed, Indaituba: Foco, 2020, p. 52. 4 Neste conceito dinâmico do direito à proteção dos dados pessoais já se insere o direito à portabilidade dos dados: "trata-se de uma ferramenta posta à disposição dos titulares para incrementar o controle dos mesmos sobre os seus dados pessoais de uma forma ativa, concorrendo dessa maneira para o exercício da autodeterminação informativa, ou seja, o controle das informações que lhe digam respeito, evitando que os ados se tornem mero objeto de transação". CRAVO, Daniella Copetti; KESSLER, Daniela Seadi e DRESCH, Rafael de Freitas Valle. Responsabilidade civil na portabilidade de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed. Indaiatuba: Foco, 2020, p. 187. 5 Art. 927 CC/2002: "Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem". 6 Neste sentido, o artigo 2:102 parágrafo 1, do PETL (Principles of European Tort Law): "O alcance da proteção de um interesse depende de sua natureza; sua proteção será mais ampla, quanto maior seja o seu valor, a precisão de sua definição e sua obviedade". 7 Exemplos sugeridos no Report from the expert group on liability and new technologies-New technologies formation-European Union 2019. Texto disponível aqui. 8 A utilização de dados pessoais para alimentar os novos sistemas de inteligência artificial e a sua utilização para tomar decisões proporcionam uma acurácia bastante significativa para um número crescentes de aplicações. Isto abre espaço para, ao menos, dois temas centrais para os debates sobre autonomia e direitos fundamentais nos próximos anos: os efeitos que a utilização desses sistemas causará para a pessoa e sua autonomia pessoal, bem como a necessidade de qualificar a natureza desses instrumentos e sistemas de inteligência artificial. (DONEDA, Danilo Cesar Maganhoto; MENDES, Laura Schertel; SOUZA, Carlos Affonso Pereira de; ANDRADE, Norberto Nuno Gomes de. Considerações iniciais sobre inteligência artificial, ética e autonomia pessoal. In: Pensar: Revista de Ciências Jurídicas, v. 23, n. 4, p. 1-17, out./dez. 2018, p. 3). 9 Ilustrativamente, A armazena os seus arquivos no espaço em nuvem fornecido pelo provedor B com base contratual. B não protege adequadamente o espaço na nuvem, e, aproveitando-se disso, um hacker exclui todas as fotos de A. B será responsável perante A pela violação contratual, com fundamento em danos patrimoniais consubstanciados nos custos que A assumiu para restaurar os arquivos. Porém, pode-se acrescer os danos extrapatrimoniais pela perda de memórias familiares. 10 Exemplificando, os arquivos de A estão armazenados no espaço em nuvem fornecida por C. Sem nenhuma negligência da parte de C, B danifica negligentemente os seus servidores e todos os arquivos de A são excluídos. Não está claro por que deveria fazer diferença na responsabilidade de B se os arquivos continham texto ou fotos sobre os quais A detinha os direitos autorais; os arquivos continham texto ou fotos sobre as quais terceiros detinham os direitos autorais, ou, por fim, os arquivos continham "machine data" de grande valor econômico, sobre os quais ninguém ainda titularizava direito autoral ou outro direito de propriedade intelectual. Trata-se da necessidade do ordenamento assegurar a tutela dos referidos interesses legais protegidos com eficácia contra terceiros. Um ponto de partida para a incidência da responsabilidade pelo ato ilícito é a semelhança dos danos aos dados com a ofensa à propriedade. 11 "Em havendo grandes fluxos de dados, grandes preocupações passam a permear a sociedade da informação, não apenas com os riscos de eventual uso discriminatório dos acervos de dados, mas também com o surgimento de potencial dependência em relação a eles e às práticas de coleta massiva e mineração (data mining). Nesse espírito, o intuito do legislador brasileiro, ao promulgar a Lei Geral de Proteção de Dados Pessoais está adequadamente alinhado ao propósito de assegurar direitos e promover o titular de dados - aqui visto como vulnerável". (MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. Compliance digital e responsabilidade civil na lei geral de proteção de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed.Indaiatuba: Foco, 2020, p. 271). 12 Ilustrativamente, enuncia o §90 do Código Civil da Alemanha - BGB: "conceito de coisa: apenas objetos corpóreos são coisas, como definido por lei". 13 "Le tecnologie dell'informazione non solo si impadroniscono della nostra vita, ma costruiscono un corpo elettronico, l'insieme delle nostre informazioni personali custodite in infinite banche dati, che vive accanto al corpo físico". (RODOTÀ, Stefano. Persona, libertà, tecnologia. Note per una discussione. In: Diritto e questioni pubbliche, v. 5, 2005). 14 Quando B ingressa no espaço na nuvem e exclui os arquivos de A, para além da esfera cível, o comportamento doloso se qualifica como ilícito criminal. Na União Europeia o art. 82 do Regulamento Geral de Proteção de Dados (RGPD) explicita que há responsabilidade quando os danos foram causados pela intencional violação dos seus requisitos. Ao definir tais regras o legislador assume a relevância dos dados como ativo e a sua ubiquidade. Se em tese é possível introduzir uma regra declarando amplamente a proibição de acesso ou modificação de quaisquer dados controlados por outra pessoa, atribuindo responsabilidade se esse padrão for violado, isso pode resultar em um desbalanceamento, na medida em que todos nós, constantemente acessamos e modificamos dados controlados por outras pessoas. 15 LACERDA, Bruno Torquato Zampier. A responsabilidade civil no universo dos bens digitais. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed.Indaiatuba: Foco, 2020, p. 95. O autor se serve de quatro categorias para retratar as possibilidades de lesões a bens digitais: "a) Lesões oriundas de conduta de outro particular; b) lesões oriundas da conduta do próprio provedor; c) lesões oriundas da conduta do estado; d) lesões oriundas da conduta de familiares do titular".Op.cit, p. 97.

Página anterior Próxima página

APOIADORES

FOMENTADORES

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

Migalhas de IA e Proteção de Dados

Oferecer uma visão 360º sobre a Lei Geral de Proteção de Dados.

Está na hora de jogar a toalha para a LGPD?

O compliance e a redução equitativa da indenização na LGPD

Mineração de processos para conformidade legal: perspectivas de aplicação à LGPD

O provimento 23/2020 da Corregedoria Geral da Justiça do Estado de São Paulo: a LGPD e os serviços extrajudiciais de notas e de registro

A possibilidade de cumulação de bases legais nas operações de tratamento de dados pessoais

O Gambito da Rainha e as estratégias para a tomada de decisão na governança de dados em LGPD

Prontuário eletrônico e a lei geral de proteção de dados

O 'caso TikTok' e a necessidade de efetivação da proteção de dados de crianças em plataformas digitais

Cookies: doces ou travessuras na LGPD

Inteligência Artificial e proteção de dados: Definição de perfil e desafios

Políticas de proteção de dados e privacidade e o mito do consentimento

A LGPD é imprecisa na terminologia do dano na responsabilidade civil

Dados anonimizados e o controle de aglomerações na pandemia da Covid-19

Meu nome é Silva, José da Silva

39 dias após o ataque cibernético ao STJ: reflexões e desafios

O encarregado pelo tratamento de dados pessoais: desafios para a implementação dos Data Protection Officers no setor público

Direito fundamental à proteção de dados e responsabilidade civil

LGPD, qual é a cor do meu sapato?

A responsabilidade civil do estado por danos no tratamento de dados pessoais: LGPD & LAI

A polissemia da responsabilidade civil na LGPD

As origens alemãs e o significado da autodeterminação informativa

O direito de acesso na Lei Geral de Proteção de Dados Pessoais (LGPD)

Eleições municipais, LGPD e pandemia: uma combinação imprevisível

Proteção de dados e pandemia: os perigos das tecnologias de rastreamento pessoal

A figura caleidoscópica do direito ao esquecimento e a (in)utilidade de um tema em repercussão geral

Epidemiologia, infectividade e os dados pessoais relativos à saúde: do passado ao presente

Proteção de dados pessoais e aspectos criminais: breves reflexões

Certificarte: a arte da certificação em LGPD

LGPD e combate às fake news

Danos causados a dados pessoais: novos contornos