Migalhas de IA e Proteção de Dados

Uma das vantagens de compreendermos os direitos da personalidade em um enfoque de cláusula geral de tutela da pessoa humana é o de percebermos a sua permeabilidade, a vagueza do conteúdo semântico e a aptidão evolutiva das situações existenciais conforme a sociedade e a cultura que lhe conferem substrato. Não há numerus clausus em matéria de direitos da personalidade, pois o ser humano se exibe em inesgotáveis manifestações1.  Destarte, para além de um direito geral da personalidade - globalmente considerado - há um direito especial da personalidade composto por bens intrínsecos já mapeados (só para ficarmos nos limites do Código Civil direito ao corpo, imagem, nome, honra e intimidade), sem que isso impeça a progressiva decantação de novas zonas de relevância ainda não proclamadas de um conceito elástico, em permanente expansão2. Na sociedade tecnológica, defende-se abertamente a existência de um direito da personalidade à proteção de dados pessoais com autonomia perante o direito à privacidade3. Em todas as suas derivações, a privacidade revela aquilo que a pessoa tem ou faz em um contexto espacial delimitado. Todavia, em matéria de dados pessoais a informação extrapola o âmbito da pessoa. Ela ainda é um bem em si, mas capaz de ser objetivado e tratado longe e a despeito dela. Em um cenário de despersonalização, no qual a premissa antropocêntrica do ordenamento é subvertida pela coisificação do ser humano em um conjunto de algoritmos passíveis de transação no mercado, a consolidação de um direito da personalidade à tutela dos dados - voltada aos poderes público e privado - converte-se em pré-condição de cidadania na era eletrônica. O conceito dinâmico de autodeterminação informativa demanda mesmo um estatuto jurídico de dados, afinal, eles definem autonomia, identidade e liberdade da pessoa4. Paradoxalmente, a IA e outras tecnologias digitais emergentes não desafiam a gama já existente de danos reparáveis. Em países que seguem a tradição francesa, o dano como pré-requisito para a obrigação de indenizar é um conceito flexível e qualquer lesão a um interesse lícito pode ser o ponto de partida para a responsabilidade extracontratual5, cujo controle se dará pela verificação do nexo causal entre o dano e o comportamento culposo ou o risco de uma atividade.  Por conseguinte, o interesse em jogo pode ser mais ou menos significativo e a extensão do dano a esse interesse também pode variar, com impacto na avaliação quanto à justificação da indenização em um caso concreto6.   Nada obstante, algumas incipientes categorias de danos podem ser mais relevantes em casos futuros do que em cenários tradicionais de responsabilidade civil7-8. Os danos causados ??aos dados pessoais podem resultar em responsabilidade civil quando a responsabilidade surge do contrato9; ou quando a responsabilidade decorra da interferência de terceiro no ambiente em que os dados foram armazenados10; ou ainda, naquilo que nos interessa de maneira mais próxima, o dano foi causado por conduta antijurídica (violadora do dever geral de não lesar)11. Não é universalmente aceito que destruição de dados seja equiparada à perda de propriedade, uma vez que em alguns sistemas jurídicos a noção de propriedade é limitada a objetos corporais e exclui bens intangíveis, todavia12 o surgimento de tecnologias digitais enfatizou a importância dos danos aos dados, por meio de sua subtração, deterioração, contaminação, criptografia, alteração ou supressão13. Com grande parte de nossas vidas e nossas propriedades sendo "digitalizadas", é inviável, por óbvio, limitar a responsabilidade civil ao mundo tangível14. Referimo-nos à categoria dos digital assets, digital property ou bens digitais, como aqueles ativos incorpóreos, progressivamente inseridos na internet, que consistem em informações intangíveis fisicamente, de caráter pessoal - conteúdos postados ou compartilhados no ambiente virtual -, que trazem em si utilidade, tenham ou não conteúdo econômico15. No terreno da responsabilidade extracontratual, uma adaptação recorrente é a de traduzir os danos aos dados como danos ao meio físico no qual os dados foram armazenados. Assim, se A armazena os seus arquivos na unidade de disco rígido de seu computador pessoal em casa e um colega de faculdade negligentemente danifica o computador, tornando os arquivos ilegíveis. Independentemente da qualificação dos danos aos dados, em qualquer caso, a ilicitude se dirigiu à propriedade tangível de A (a unidade de disco rígido) e, apenas por esse motivo, B já seria responsável. Contudo, não é adequado simplesmente equiparar o tratamento normativo entre ambos objetos. Basta uma pequena modificação no exemplo, para o caso em que o proprietário do computador não coincida com a pessoa que tem um interesse digno de tutela nos dados. Seria o caso de classificar esse interesse merecedor de proteção semelhante à propriedade como propriedade intelectual ou um segredo comercial, ou a necessidade de tutelar o progresso intelectual em nada se relaciona com o resguardo de um "hard disk" inserido em computador? Seja como for, da lesão a dados pessoais podem decorrer danos patrimoniais ou extrapatrimoniais, nas mais variadas correntes de qualificação da responsabilidade, de seus fundamentos e de sua justificação. Caberá aos juristas, estudiosos do direito de danos e das novas tecnologias, a árdua tarefa de construir um sistema de responsabilidade civil adequado que, ao mesmo tempo que possibilite a efetiva prevenção e a reparação dos danos residualmente sofridos, permita o pleno desenvolvimento das tecnologias emergentes que tanto beneficiarão a sociedade. *Carlos Edison do Rêgo Monteiro Filho é professor titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ. Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da PGE-RJ (ESAP). Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Advogado, pareceirista em temas de Direito Privado. **Nelson Rosenvald é professor do corpo permanente do doutorado e mestrado do IDP/DF. Procurador de Justiça do Ministério Público de Minas Gerais. Pós-doutor em Direito Civil na Università Roma Tre (IT-2011). Pós-doutor em Direito Societário na Universidade de Coimbra (PO-2017). Visiting Academic Oxford University (UK-2016/17). Professor Visitante na Universidade Carlos III (ES-2018). Doutor e mestre em Direito Civil pela PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC) e Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD) __________ 1 Talvez Saramago tenha explicado o conceito de personalidade de forma mais clara do que qualquer jurista: "Dentro de nós há uma coisa que não tem nome, essa coisa é o que somos". SARAMAGO, José. Ensaio sobre a cegueira. Lisboa: Editorial Caminho, 1995. 2 "O que está em causa nos direitos da personalidade não é apenas a tutela de um aspecto particular da pessoa humana, mas sim a tutela da pessoa humana globalmente considerada, podendo abranger novas zonas de relevância. Trata-se da pessoa não apenas perspectivada estaticamente, como ser humano, mas também em devir, em desenvolvimento" PINTO, Paulo Mota. Direitos da personalidade e direitos fundamentais. Coimbra: Gestlegal, 2018, p. 334. 3 "O esforço a ser empreendido pela doutrina e pela jurisprudência seria emo nosso ponto de vista uma interpretação dos incisos X e XII do art. 5. que seja mais fiel ao nosso tempo, reconhecendo a intima ligação que passam a ostentar os direitos relacionados à privacidade e à comunicação de dados. Dessa forma, a garantia da proteção dos dados pessoais, em si próprios considerados, com caráter de direito fundamental representa o passo necessário à integração da personalidade em sua acepção mais ampla e adequada à sociedade de informação" DONEDA, Danilo. O Direito fundamental à proteção de dados pessoais. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti. Direito digital, 3. Ed, Indaituba: Foco, 2020, p. 52. 4 Neste conceito dinâmico do direito à proteção dos dados pessoais já se insere o direito à portabilidade dos dados: "trata-se de uma ferramenta posta à disposição dos titulares para incrementar o controle dos mesmos sobre os seus dados pessoais de uma forma ativa, concorrendo dessa maneira para o exercício da autodeterminação informativa, ou seja, o controle das informações que lhe digam respeito, evitando que os ados se tornem mero objeto de transação". CRAVO, Daniella Copetti; KESSLER, Daniela Seadi e DRESCH, Rafael de Freitas Valle. Responsabilidade civil na portabilidade de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed. Indaiatuba: Foco, 2020, p. 187. 5 Art. 927 CC/2002: "Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem". 6 Neste sentido, o artigo 2:102 parágrafo 1, do PETL (Principles of European Tort Law): "O alcance da proteção de um interesse depende de sua natureza; sua proteção será mais ampla, quanto maior seja o seu valor, a precisão de sua definição e sua obviedade". 7 Exemplos sugeridos no Report from the expert group on liability and new technologies-New technologies formation-European Union 2019. Texto disponível aqui. 8 A utilização de dados pessoais para alimentar os novos sistemas de inteligência artificial e a sua utilização para tomar decisões proporcionam uma acurácia bastante significativa para um número crescentes de aplicações. Isto abre espaço para, ao menos, dois temas centrais para os debates sobre autonomia e direitos fundamentais nos próximos anos: os efeitos que a utilização desses sistemas causará para a pessoa e sua autonomia pessoal, bem como a necessidade de qualificar a natureza desses instrumentos e sistemas de inteligência artificial. (DONEDA, Danilo Cesar Maganhoto; MENDES, Laura Schertel; SOUZA, Carlos Affonso Pereira de; ANDRADE, Norberto Nuno Gomes de.  Considerações iniciais sobre inteligência artificial, ética e autonomia pessoal. In: Pensar: Revista de Ciências Jurídicas, v. 23, n. 4, p. 1-17, out./dez. 2018, p. 3). 9 Ilustrativamente, A armazena os seus arquivos no espaço em nuvem fornecido pelo provedor B com base contratual. B não protege adequadamente o espaço na nuvem, e, aproveitando-se disso, um hacker exclui todas as fotos de A. B será responsável perante A pela violação contratual, com fundamento em danos patrimoniais consubstanciados nos custos que A assumiu para restaurar os arquivos. Porém, pode-se acrescer os danos extrapatrimoniais pela perda de memórias familiares. 10 Exemplificando, os arquivos de A estão armazenados no espaço em nuvem fornecida por C. Sem nenhuma negligência da parte de C, B danifica negligentemente os seus servidores e todos os arquivos de A são excluídos. Não está claro por que deveria fazer diferença na responsabilidade de B se os arquivos continham texto ou fotos sobre os quais A detinha os direitos autorais;  os arquivos continham texto ou fotos sobre as quais terceiros detinham os direitos autorais, ou, por fim, os arquivos continham "machine data" de grande valor econômico, sobre os quais ninguém ainda titularizava direito autoral ou outro direito de propriedade intelectual. Trata-se da necessidade do ordenamento assegurar a tutela dos referidos interesses legais protegidos com eficácia contra terceiros. Um ponto de partida para a incidência da responsabilidade pelo ato ilícito é a semelhança dos danos aos dados com a ofensa à propriedade. 11 "Em havendo grandes fluxos de dados, grandes preocupações passam a permear a sociedade da informação, não apenas com os riscos de eventual uso discriminatório dos acervos de dados, mas também com o surgimento de potencial dependência em relação a eles e às práticas de coleta massiva e mineração (data mining). Nesse espírito, o intuito do legislador brasileiro, ao promulgar a Lei Geral de Proteção de Dados Pessoais está adequadamente alinhado ao propósito de assegurar direitos e promover o titular de dados - aqui visto como vulnerável". (MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. Compliance digital e responsabilidade civil na lei geral de proteção de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed.Indaiatuba: Foco, 2020, p. 271). 12 Ilustrativamente, enuncia o §90 do Código Civil da Alemanha - BGB: "conceito de coisa: apenas objetos corpóreos são coisas, como definido por lei". 13 "Le tecnologie dell'informazione non solo si impadroniscono della nostra vita, ma costruiscono un corpo elettronico, l'insieme delle nostre informazioni personali custodite in infinite banche dati, che vive accanto al corpo físico". (RODOTÀ, Stefano. Persona, libertà, tecnologia. Note per una discussione. In: Diritto e questioni pubbliche, v. 5, 2005). 14 Quando B ingressa no espaço na nuvem e exclui os arquivos de A, para além da esfera cível, o comportamento doloso se qualifica como ilícito criminal. Na União Europeia o art. 82 do Regulamento Geral de Proteção de Dados (RGPD) explicita que há responsabilidade quando os danos foram causados pela intencional violação dos seus requisitos. Ao definir tais regras o legislador assume a relevância dos dados como ativo e a sua ubiquidade. Se em tese é possível introduzir uma regra declarando amplamente a proibição de acesso ou modificação de quaisquer dados controlados por outra pessoa, atribuindo responsabilidade se esse padrão for violado, isso pode resultar em um desbalanceamento, na medida em que todos nós, constantemente acessamos e modificamos dados controlados por outras pessoas. 15 LACERDA, Bruno Torquato Zampier. A responsabilidade civil no universo dos bens digitais. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed.Indaiatuba: Foco, 2020, p. 95. O autor se serve de quatro categorias para retratar as possibilidades de lesões a bens digitais: "a) Lesões oriundas de conduta de outro particular; b) lesões oriundas da conduta do próprio provedor; c) lesões oriundas da conduta do estado; d) lesões oriundas da conduta de familiares do titular".Op.cit, p. 97.  

Texto escrito por Isadora Maria Roseiro Ruiz Como toda novidade normativa, a Lei Geral de Proteção de Dados (lei 13.709/2018) também passará por várias análises, interpretações, críticas e estudos. Não por um capricho, mas, por trazer novos conceitos, normas e aplicações e, às vezes, até mesmo vocabulário. Como forma de contribuir na evolução e construção do debate envolvendo a LGPD, o terceiro texto da Coluna Migalha de Proteção de Dados irá abordar duas palavras, e suas consequências, trazidas por esse novo sistema legal. São elas: anonimização e, em especial, pseudonimização. Os termos, até então, não faziam parte do extenso e primoroso vernáculo jurídico e, como em outros aspectos da LGPD, exigem dos profissionais uma expansão em seus conhecimentos, demandando estudos interdisciplinares, e alargamento de informações. É o direito enfrentando a era tecnológica. Dessa forma, fez-se necessário conceituar determinados termos, criando, assim, uma base de conhecimento comum a todos para a aplicação da lei. O art. 5 foi incumbido desta missão e, dentre outros, traz o conceito de dado pessoal, dado pessoal sensível, dado anonimizado e anonimização; todos importantes para a continuidade desse texto. I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; Temos a anonimização como uma solução para a remoção de informações de um documento1, agindo de tal forma que os dados capazes de identificar e individualizar uma pessoa, tais como nome, endereço e telefone, passam por processos que o tornam dados anonimizados. Os processos pelos quais os dados pessoais podem passar para tonarem-se anonimizados são vários e não há, até então, diretrizes nacionais para uma definição sobre quais os parâmetros ou medidas mínimas que garantam a segurança dessa anonimização, ou seja, a segurança de que esses dados pessoais não permitam a associação, direta ou indireta, a um indivíduo. A importância da anonimização é que, uma vez anonimizados, esses dados, em tese, não teriam a capacidade de identificar uma pessoa natural, por isso, não são tidos como dados pessoais2 e, consequentemente, não são mais protegidos pela lei. Para compreender que o estado de anonimato pode não ser permanente é de extrema valia. A própria lei, em seu art.12, considera o processo de reversão da anonimização o que ocorre quando são aplicados procedimentos capazes de reverter o anonimato do dado, de tal forma que estes tornam-se dados pessoais novamente e, portanto, sujeitos às proteções da LGPD. O estudo interdisciplinar nesse assunto fornece uma singela amostra da necessidade de conhecimentos mais técnicos na área, como o fato de que não é possível a anonimização em absoluto de determinado dado e este continuar a ser útil para análises, informações e conhecimento3. Assim, a cautela e a prudência devem ser lembradas pois, em tese, todo dado anonimizado está sujeito a ser revertido e passível de identificação de seu titular. É possível observar que a anonimização é devidamente tratada na LGPD, que traz conceitos, aplicação e escopo de proteção. Diferentemente do que ocorre com a pseudonimização. Esta, por sua vez, é mencionada expressamente apenas duas vezes no texto da lei, no artigo 13 e, em seção destinada aos dados pessoais sensíveis; em contraste com o capítulo de disposições preliminares, local onde se encontra a anonimização. A pseudonimização é uma técnica que substitui informações contidas num conjunto de dados que identifica um indivíduo4 por um identificador artificial, um pseudônimo. Consideremos um conjunto de dados formados por dois tipos de dados, os dados pessoais, tais como nome e endereço, e demais dados que não singularizam a pessoa5. Na pseudonimização, os dados pessoais são substituídos por um identificador artificial e mantidos num banco de dados separado que liga dados pessoais e pseudônimo. Enquanto isso, os demais dados relativos à pessoa são referenciados por este pseudônimo e mantidos numa segunda base de dados. Desta maneira o processo de reidentificação só ocorre com a junção das duas bases de dados, ou seja, da base com os pseudônimos que os associa aos dados pessoais e os demais registros. Figura 1. Diagrama de pseudonimização. Utilizemos de um exemplo6 para uma compreensão mais facilitada e para notar o quão inserida na atualidade essa discussão está. Peguemos um tipo de empresa que está em alta em época de pandemia: uma empresa que faz entrega de produtos. Essa empresa processa dados, tais como: a distância percorrida pelos motoristas, a frequência e os tipos de viagens realizadas. Esses dados são considerados como pessoais, pois são dados relacionados aos motoristas. A empresa utiliza esses dados por dois motivos: (1) para calcular as despesas com as viagens; e (2) para cobrar os clientes pelo serviço. A identificação do motorista é essencial para realizar esses estudos. Porém, um departamento dessa empresa também utiliza esses dados para otimizar a eficiência das frotas e, para esse propósito, não é necessário a identificação do motorista. Portanto, a empresa se assegura de que esse departamento apenas tenha acesso aos dados em um formato em que não seja possível individualizar e identificar os motoristas. Ela utiliza uma técnica de pseudonimização para substituir identificadores tais como nome, cargo e histórico de navegação por um identificador artificial (um pseudônimo) como, por exemplo, uma sequência de números que, por si só, não possui significado algum. Os membros desse departamento só terão acesso aos dados pseudonimizados. No entanto, a empresa, como controladora, tem a capacidade de unir os dados originais aos dados pseudonimizados, tornando possível a (re)identificação dos motoristas. Em termos legais, a pseundonimização teve seu conceito tratado primeiramente no General Data Protection Regulation (GDPR), o regulamento europeu de proteção de dados. Aqui no Brasil, a LGPD trouxe sua definição no parágrafo 4º do art.13: § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Notemos que há uma sintonia entre o GDPR e a LGPD quanto à pseudonimização. Em ambas normativas o texto legal é similar e não dispõe expressamente quanto ao dado pseudonimizado ser ou não um dado pessoal e, portanto, sujeito à proteção da lei. Porém, o GDPR resolve esse problema com os chamados recitais que funcionam como uma espécie de conjunto de prerrogativas e instruções que devem ser obedecidas quando da aplicação da lei. Os recitais7 26 e 28 determinam que dados pseudonimizados permaneçam sob a proteção dos dados pessoais. Isso pois a utilização de técnicas de pseudonimização, apesar de possuírem o potencial de reduzirem o risco da exposição dessas informações pessoais e servirem como mecanismos de auxílio para os controladores e processadores cumprirem com sua obrigação de protegerem esses dados, continuam com o potencial de serem atribuídos aos seus titulares. O recital 26 também diz que os princípios da proteção de dados devem ser aplicados para qualquer informação relacionada a um indivíduo identificado ou identificável. Diz, ainda, que dados pessoais que foram pseudonimizados e que podem ser atribuídos a uma pessoa natural com o uso de informação adicional, devem ser considerados informações de indivíduos identificáveis. O que se entende desses dois recitais acima mencionados é de extrema importância pois uma vez que se determina que dados capazes de tornar um indivíduo identificável devem ser considerados dados pessoais, entende-se que dados pseudonimizados são dados pessoais, pois eles possuem o poder de (re)identificar determinado indivíduo. Como dito anteriormente, a LGPD no Brasil foi espelhada no GDPR e esse espelhamento deve ser estendido com a adoção do entendimento de que dados pseudonimizados devem ser equiparados aos dados pessoais e, portanto, protegidos pela LGPD. Tal entendimento vai ao encontro com o objetivo da lei que, em seu artigo 1º, diz que a lei tem por objetivo a proteção de direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também encontra respaldo nos princípios norteadores da lei que, elenca em seu artigo 2º, dentre outros princípios, o de respeito à privacidade (inciso I), a inviolabilidade da intimidade e da honra (inciso IV). Há, também, uma razão técnica que justifica o dado pseudonimizado ser um dado protegido pela LGPD, é que, atualmente, os dados relativos à pessoa natural podem possuir uma alta dimensionalidade. Isso significa que um indivíduo pode ser identificado por meio de mais de um tipo de conjunto de dados. Uma pessoa é normalmente identificada por seu nome, telefone, endereço e CPF, por exemplo. Esse tipo de dado é chamado de identificador direto8, ou seja, são atributos, características, que identificam explicitamente um indivíduo. Mas há, também, os chamados identificadores indiretos que, em conjunto, são capazes de identificar um indivíduo. Como exemplo, podemos citar os dados que um supermercado ou farmácia armazena das compras feitas por seus clientes, ou seja, aquele conjunto de dados do perfil de compra determina, singulariza uma pessoa. Temos, dessa forma, que a pseudonimização, para ocorrer, substitui os dados diretos por uma identificação artificial (ver Figura 1) e armazena essa associação em um banco de dados separado. Porém, ainda persistem os demais dados, que são os identificadores indiretos. E esses identificadores indiretos, ao serem analisados conjuntamente, podem (re)identificar o indivíduo. Num outro exemplo, suponhamos que a prefeitura de uma cidade com 100mil habitantes esteja realizando um estudo sobre a doença de Crohn, um tipo raro de doença9, e levanta os dados da população por meio do banco de dados das farmácias. Os dados que as farmácias locais possuem são os dados de compra de seus clientes e, portanto, dados pessoais. Para promover o sigilo dos clientes, as farmácias utilizam a técnica de pseudonimização para substituir os nomes, CPFs e endereços desses clientes por identificadores numéricos aleatórios e sem significado algum, armazenando essas informações que ligam esses dados diretos aos dados fabricados. Os outros dados desses clientes, e ainda dados pessoais, como os medicamentos comprados, a data de compra, a profissão do indivíduo e sua idade e gênero são permanecidos em sua forma original e repassados à prefeitura para o estudo. Ao divulgar o estudo, o jornal da cidade faz uma reportagem dizendo que a doença rara atingiu 1 morador daquela cidade: uma mulher de 57 anos, funcionária do hospital da cidade, que ficou doente no ano 2017. Para os moradores daquela cidade, ou pelo menos para a comunidade médica, a (re)identificação da pessoa que foi atingida pela doença rara é facilmente feita. Seus colegas, amigos, familiares e até outros habitantes irão associar que o indivíduo divulgado pelo jornal, resultado do estudo, é a pessoa que eles conhecem. No exemplo citado, vemos que a (re)identificação de um indivíduo, tomado o contexto, pode facilmente ocorrer com poucos dados. No exemplo, citamos apenas cinco. Mas, trazendo para uma realidade em que esses dados estão cada vez em formato digital, a quantidade de dados disponíveis é, em muito, superior. Essa multidimensionalidade de dados nem sempre é "visível". No exemplo acima, os clientes de farmácias e supermercados possuem um maior controle e ciência dos dados fornecidos, pois fizeram um cadastro, compartilharam dados voluntariamente e são recorrentemente lembrados que estão compartilhando esses dados quando informam seu número de CPF, por exemplo, no momento em que procedem com o pagamento das mercadorias. Porém, há tantos outros dados que indivíduos fornecem sem uma clareza de que suas informações pessoais estão sendo coletadas. São os casos das câmeras de segurança espalhadas por lojas, shoppings e ruas; o uso de aplicativos e sites de navegação na web e postagem de fotos em redes sociais, para mencionar alguns. A coleta desses dados é realizada com uma constância elevada e nem sempre seus titulares possuem uma visão de que tipo de informação está sendo fornecida. Dizer que os dados pseudonimizados devem ser considerados dados pessoais e, portanto, devem ter o respaldo da LGPD é defender a proteção dos dados pessoais dentro do próprio texto da lei. A LGPD, no artigo 5º, inciso I, diz, expressamente, que dado pessoal é informação relacionada a pessoa natural identificada ou identificável. Dessa forma, se dados que, por vezes, não são diretamente associados a um indivíduo, mas, analisados em conjunto com outros dados disponíveis, possuem altas chances de (re)identificação de um indivíduo, esse indivíduo é identificável e, portanto, esses dados devem ser considerados como dados pessoais. *Isadora Maria Roseiro Ruiz é pesquisadora e integrante dos Grupos de Pesquisa "Direito, Ética e Inteligência Artificial", "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", USP - CNPq. Graduada pela Faculdade de Direito de Franca - FDF. Advogada. Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD. __________ 1 RUIZ, E. E. S. Anonimização, Pseudonimização e Desanonimização de Dados Pessoais. In: LIMA, Cíntia Rosa Pereira de. (coord.) Comentários à lei geral de proteção de dados: Lei n. 13.709/2018, com alteração da lei n. 13.853/2019. São Paulo: Almedina, 2020. pp. 101-122. 2 Artigo 12, da lei n. 13.709, de 14 de agosto de 2018, diz: "Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido". 3 OHM, Paul. Broken promises of privacy: responding to the surprising failure of anonymization. In: UCLA Law Review, v.57, pp.1701-1777, 2010. 4 ICO. What is personal data? In: Information Comissioner's Office, Wilmslow, 2020. Disponível em: . Acesso em 18 ago. 2020. 5 POSSI, Ana Carolina Benincasa. O que é anonimização e pseudoanonimização de dados? Disponível aqui, acessado em 20 de agosto de 2020. 6 ICO. What is personal data? In Information Comissioner's Office, Wilmslow, 2020. Disponível em: . Acesso em 18 ago. 2020. 7 Thomson Reuters. GDPR: Recitals. In Thomson Reuters Practical Law, Londres, 2020. Disponível aqui. Acesso em 18 ago. 2020. 8 Ruiz, E. E S. e Lima, C.R.P. "Perspectivas Regulatórias de Anonimização no Brasil a partir da Lei Geral de Proteção de Dados Pessoais" (comunicação pessoal de 10 de agosto de 2020). 9 VICTORIA, Carlos Roberto; SASSAK, Ligia Yukie; NUNES, Hélio Rubens de Carvalho. Incidence and prevalence rates of inflammatory bowel diseases, in midwestern of São Paulo State, Brazil. Arq. Gastroenterol., São Paulo , v. 46, n. 1, p. 20-25, Mar. 2009. Disponível em: . Acesso em 18 ago. 2020.

Texto escrito por Isadora Maria Roseiro Ruiz e Cristina Godoy Bernardo de Oliveira A essa altura, o problema da pandemia não é novidade para ninguém: trata-se de um vírus transmissível entre humanos que causa uma doença que pode levar à morte. Sem vacinas e remédios específicos que garantam a curada Covid-19, as novidades (e as polêmicas) ficam por conta das estratégias que as autoridades públicas optam por adotar na tentativa de frear a disseminação do vírus e de evitar a contaminação de mais pessoas.Neste artigo, será realizado o estudo de caso1 concernente ao Sistema de Informações e Monitoramento Inteligente (SIMI) do Governo do Estado de São Paulo que foi, oficialmente, instituído em 05 de maio de 2020. Por meio do método monográfico, serão analisadas as principais problemáticas relativas à proteção de dados em período de pandemia, tendo em vista a necessidade de se implementarem políticas públicas rápidas neste período de pandemia.As estratégias são várias e, dentre elas, o distanciamento social teve uma aceitação mais generalizada2,com a promessa de achatar a crescente curva do número de infectados e,consequentemente, de diminuir a contaminação em massa da população. Nessa linha, com um aumento de 1.350% no número de mortes do Estado de São Paulo no mês de abril3, em relação ao mês anterior, a necessidade do isolamento social estava clara,porém, era preciso um meio para monitorar e para medir esse isolamento.Dessa forma, a solução encontrada pelo Estado de São Paulo foi adotar a taxa de 70% de isolamento social como meta. Ainda que não analisemos os critérios aplicados na escolha desse percentual, o segundo problema era como realizar essa medição. Assim, instituiu-se o Sistema de Informações e Monitoramento Inteligente (SIMI) por meio do decreto estadual 64.963, de 5de maio de 2020, como a "ferramenta de consolidação de dados e informações coligidos por órgãos e entidades da Administração Pública estadual".Para funcionar, o SIMI precisa ser alimentado por dados capazes de informar se há ou não deslocamento populacional. Optou-se, então,por utilizar uma base de dados já existente e que abrangesse quase 100% da população, isto é, a base de dados das principais operadoras de telefonia do País: Claro, Oi, Vivo e Tim, que possuem a capacidade de monitorar o deslocamento(movimentação que corresponda ao não respeito ao isolamento social) da população a partir dos sinais enviados às torres de antena. Pode-se observar abaixo o cronograma do desenvolvimento do programa SIMI no Estado de São Paulo:A estratégia anunciada é digna do patamar técnico atingido em 2020: os avanços da tecnologia permitem a criação em massa de dados e,também, o compartilhamento destes. Esses dados, por serem muitos, permitem a realização de análises apuradas e diversificadas, possibilitando, portanto, um alto nível de geração de informações e, em um segundo momento, novos conhecimentos sobre o comportamento social paulista. Além disso, diferentemente das outras pandemias vividas pela humanidade, dessa vez, temos a tecnologia como aliada, proporcionando oportunidades diversas para a busca de soluções. No entanto, o Poder Judiciário foi provocado para que fosse feita a exclusão dos dados dos usuários que estavam sendo monitorados pelas quatro operadoras de telefonia acima citadas e repassados ao Governo do Estado de São Paulo. As alegações dos interessados convergiam, principalmente, no tocante ao direito à proteção dos dados pessoais, direito à privacidade e à restrição do direito de ir e de vir.Nossos telefones móveis têm receptores de dados de satélite de geolocalização que, por meio de sinais, permitem que os nossos telefones informem às operadoras a localização dos mesmos na superfície terrestre. Esse mesmo recurso é usado, por exemplo, pelos aplicativos de mapas que nos guiam pelas cidades. No entanto, há uma grande diferença em relação aos aplicativos de mapa, pois, esses dados da localização dos nossos telefones são passados para estas empresas com consentimento expresso e prévio.A discussão sobre a afronta à proteção de dados e privacidade dos titulares dos dados foi solucionada pelos tribunais com a alegação de que não houve tal violação por não se tratarem de dados pessoais, mas sim, dados já "anonimizados e agregados, sem a possibilidade de identificação do dado e da prestadora de serviços de telecomunicação que a disponibilizou", conforme estipula o referido Acordo de Cooperação Técnica (ACT)4.O Acordo de Cooperação Técnica5 estipula que as operadoras Claro S.A., Oi Móvel S.A., Telefônica Brasil S.A.,Tim S.A. e Associação Brasileira de Recursos em Telecomunicações - ABR - Telecom repassarão dados anônimos e agrupados ao Governo do Estado de São Paulo por meio do Instituto de Pesquisas Tecnológicas (IPT). Esses dados alimentarão a plataforma SIMI, que disponibilizará esse conteúdo às autoridades locais para monitoramento do distanciamento social.É importante mencionar que o termo dados "agregados" significa os dados que são vistos em blocos. No caso em questão, o SIMI disponibiliza um mapa de calor6 que permite a visualização dos agrupamentos de pessoas. Além disso, os dados são renovados e atualizados pelas operadoras para serem novamente compartilhados no dia seguinte. Apesar de se afirmar no ACT que os dados são agregados, surge a seguinte reflexão: o dado de um aparelho celular precisa de ser individualizado para que seja possível acompanhar esse deslocamento. Ora, se não identificado isoladamente é impossível saber se aquele celular, e não outro, se deslocou ou não.No que se refere ao conceito de dado anonimizado, o próprio acórdão7 do Egrégio Tribunal de Justiça de São Paulo utiliza a norma do art. 5º, inciso III, da Lei Geral de Proteção de Dados (LGPD - lei 13.709/2018): é o "dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento".Para que seja possível o processo de anonimização dos dados dos usuários de telefones móveis, as operadoras tratam esses dados para torná-los anônimos. São vários os tipos de procedimentos que podem ser feitos,como por exemplo, randomização e generalização8,mas o termo agregação sugere uma sumarização dos dados porque a agregação dedados converte um conjunto de dados de uma lista para valores resumidos, não sendo, portanto, necessários registros individuais9.O primeiro problema com que nos deparamos é a ausência de concordância, ou seja, de um consentimento esclarecido dos usuários sobre a disponibilidade das informações acerca da sua localização com o intuito de monitorar seu deslocamento. No início da relação contratual entre o usuário e a operadora, há, efetivamente, um consentimento amplo, com o objetivo primordial de ofertar um serviço adequado pela operadora; porém, não há o consentimento específico para qualquer finalidade que não se refira à comunicação à distância, por exemplo, a identificação de sua posição geográfica.Nesse sentido, o artigo 7º da LGPD é determina que o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular. Ainda, a mesma lei reserva um capítulo específico para tratar dos direitos do titular dos dados, sendo um deles a eliminação dos dados tratados (artigo 18, inciso III).Esse entendimento nos permite perceber o segundo problema.Os usuários, assegurados pelo direito de seus interesses serem defendidos em juízo (artigo 22 da LGPD) pleitearam a remoção de seus telefones celulares do monitoramento feito pelas operadoras e repassadas ao IPT. Entretanto, os seus pedidos foram denegados pelo Poder Judiciário sob o argumento de que não há tratamento de dados pessoais. Neste sentido, cumpre-se mencionar que o processo de anonimização dos dados pessoais já se configura como tratamento de dados.Independentemente de estarem anônimos, esses dados estão sendo utilizados para formar o mencionado agrupamento, o qual tem como objetivo o monitoramento individual. Assim, pode-se compreender que há monitoramento quando a finalidade do uso do georreferenciamento é identificar o deslocamento de um indivíduo.Evidenciamos, ainda, um terceiro problema no que diz respeito a esses julgados. É inadmissível afirmar que o autor da ação deve provar que os dados não foram anonimizados. O fundamento legal para este entendimento está na própria LGPD (artigo 42, § 2º), que estabelece que haverá a inversão do ônus da prova quando "houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa". Por conseguinte, não há o que se discutir acerca da hipossuficiência do usuário do serviço de telefonia celular, visto que ele não possui condições (informacionais, técnicas e econômicas) de demonstrar a existência ou não do processo de a nonimização dos dados.Além dos problemas identificados no âmbito judicial, deve-se apontar um quarto problema, o qual é concernente às datas de disponibilização dos dados ao IPT pelas operadoras de telefonia e a celebração do ACT. O anúncio feito pelo Governador João Doria apresentando a plataforma SIMI foi realizado sem qualquer formalização prévia, pois o ACT somente foi assinado no dia 14 de abril, sendo que o anúncio foi dia 09 de abril, ou seja, 5 dias após o anúncio.Há, ainda, a denúncia10 de que o sistema SIMI começou a funcionar desde o dia 24 de março, coletando informações desde o dia 9 de março. Ademais, caso seja visitado o site do SIMI11,pode-se verificar que os dados referentes ao monitoramento do isolamento social começam a ser apresentados a partir do dia 06 de março de 2020. Assim, notamos que esses dados dos usuários, clientes dessas operadoras, foram indevidamente utilizados. É possível, ainda, estender para a dúvida de que se não havia convênio firmado entre essas empresas públicas com a entidade estadual, nada garante que, por esse período de mais de 20 dias, esses dados foram ao menos estavam anonimizados.Dessa forma, como quarto problema identificado, aponta-se a falta de instrumento jurídico para a realização de convênio entre o Governo do Estado de São Paulo e as empresas privadas. Apesar de flexibilizadas algumas normas da Lei de Licitação por conta da pandemia pela MPV 926/20 ( O PLV 25/20 que converte a MPV 926/20 em lei foi aprovado pelo Senado Federal e aguarda sanção presidencial, sendo o prazo máximo para a sanção ou veto: 20 de agosto de 2020), a Administração Pública não pode firmar acordos verbais sob pena de serem nulos (parágrafo único do artigo 60 da lei 8.666). Trata-se declara afronta ao princípio da publicidade e da garantia de acesso às informações como preconiza nossa Constituição Federal (artigo 37 e parágrafos).Em que pese o decreto estadual 64.879 de 20/3/2020 reconhecer o estado de calamidade pública no Estado de São Paulo, ou a Lei Federal nº 13.979,que dispõe acerca das medidas que poderão ser adotadas para enfrentamento da Covid-19, não é possível afirmar que o Estado pode intervir e monitorar o direito de ir e vir e invadir a inviolabilidade dos meios de comunicação individuais. Em síntese, o Estado não pode desrespeitar quaisquer direitos individuais se pode empregar outros meios (por exemplo, contact tracing tradicionais por agentes públicos) para assegurar o controle da pandemia.Todos os problemas e questionamentos trazidos ao longo deste artigo são relevantes para o mundo jurídico e, principalmente, para a sociedade brasileira, que ainda está se desenvolvendo e se ambientando com a proteção dos dados. Sabe-se que, apesar da LGPD ainda não estar em vigor, nosso sistema legislativo conta uma tutela esparsa que, direta ou indiretamente, protege os dados pessoais12. Por exemplo, o Marco Civil da Internet (Lei n. 12.965/2014) garante, no art. 7º: o direito à inviolabilidade da intimidade e da vida privada (inc. I); direito à inviolabilidade e sigilo do fluxo de suas comunicações (inc. II); direito à inviolabilidade e sigilo de suas comunicações (inc. III); informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de dados pessoais (inc. VIII); direito ao consentimento (inc. IX); direito à exclusão(inc. X).Em suma, os questionamentos advindos, neste caso específico de monitoramento do isolamento social, configuram-se o início do que o Poder Judiciário enfrentará nos próximo anos, uma vez que, cada vez mais, problemas surgirão quanto à violação da proteção de dados e da privacidade dos cidadãos,sendo necessária a compreensão de como as tecnologias estão sendo empregadas e até que ponto está sendo realizado o correto tratamento dos dados pessoais. *Cristina Godoy Bernardo de Oliveira é Professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitorda Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da Universidade de São Paulo(2011). Graduada pela Faculdade de Direito da Universidade de São Paulo (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD.*Isadora Maria Roseiro Ruiz é pesquisadora e integrante dos Grupos de Pesquisa "Direito, Ética e Inteligência Artificial", "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e"Observatório do Marco Civil da Internet", USP - CNPq. Graduada pela Faculdade de Direito de Franca - FDF. Advogada. Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD.__________1 OLIVEIRA,Cristina Godoy Bernardo de; SILVA, Rafael Meira. O que é Estudo de Caso e Como Fazer? In Codex Data, São Paulo, 2019. Disponível aqui. Acesso em: 10 ago. 2020.2 GOVERNO DO ESTADO DE SÃO PAULO. Saúde define critérios de distanciamento social com base em diferentes cenários. In Saúde Notícias, São Paulo, 06 abr.2020. Disponível aqui. Acesso em: 10 ago. 2020.3 G1SP. Mortes por coronavírus aumentam 1.350% em abril em São Paulo. In G1, Rio de Janeiro, 2020. Disponível aqui. Acesso em: 11 ago. 2020.4 IPT. Ações emergenciais no combate ao Covid-19. In Notícias do Instituto de Pesquisas Tecnológicas, São Paulo,2020. Disponível aqui. Acesso em: 11 ago. 2020.5 IPT. Ações emergenciais no combate ao Covid-19. In Notícias do Instituto de Pesquisas Tecnológicas, São Paulo,2020. Disponível aqui. Acesso em: 10 ago. 2020.6 IPT. Ações emergenciais no combate ao Covid-19. In Notícias do Instituto de Pesquisas Tecnológicas, São Paulo,2020. Disponível aqui. Acesso em: 10 ago. 2020.7 BRASIL. Tribunal de Justiça de São Paulo (TJ-SP). Mandado de Segurança Cível nº 2073723-23.2020.8.26.0000. Relator: Desembargador Evaristo dos Santos, 2020,p.4. 8 POSSI, Ana Carolina Benincasa. O que é anonimização e pseudo anonimização dedados? In Instituto Avançado de Proteção de Dados (IAPD), Ribeirão Preto, 3 nov. 2019. Disponível aqui. Acesso em: 10 ago. 2020.9 GOVERNO DA REGIÃO ADMINISTRATIVA ESPECIAL DE MACAU. Guia para Técnicas Básicas de Anonimização de Dados. In Gabinete para a Proteção de Dados Pessoais,Macau, Abri/2020. Disponível aqui. Acesso em: 10 ago. 2020.10 UOL. Sem avisar, SPiniciou monitoramento de celular antes de acordo formal. In Tilti, o canalde tecnologia do UOL, São Paulo, 2020. Disponível aqui. Acesso em: 11ago. 2020.11 GOVERNO DO ESTADO DE SÃO PAULO. Adesão ao Isolamento Social em SP. São Paulo, 2020. Disponível aqui. Acesso em: 10ago. 2020.12 Ver texto inaugural da Coluna Migalhas de Proteção de Dados: LIMA, Cíntia Rosa Pereira de - DE LUCCA, Newton.Polêmicas em torno da vigência da Lei Geral de Proteção de Dados. In Migalhas,2020. Disponível aqui. Acesso em: 10 ago. 2020.

Texto escrito por Cíntia Rosa Pereira de Lima e Newton De Lucca Neste primeiro texto que inaugura a coluna "Migalhas de Proteção de Dados", escolheu-se explorar a problemática em torno da vigência da Lei Geral de Proteção de Dados (LGPD), lei 13.709, de 14 de agosto de 2018. Esta lei inaugura, no Brasil, um sistema de proteção de dados, trazendo princípios basilares para salvaguardar os titulares dos dados pessoais. Até a promulgação da LGPD, o Brasil oferecia uma tutela esparsa em algumas leis setoriais, como o Código de Defesa do Consumidor (especialmente o art. 43 do CDC), a Lei de Acesso à Informação (lei 12.527, de 18 de novembro de 2011), a Lei do Cadastro Positivo (lei 12.414, de 09 de junho de 2011), e o Marco Civil da Internet (lei 12.965, de 23 de abril de 2014), entre outras. Neste sentido, o grande avanço preconizado pela LGPD é estabelecer um sistema de proteção de dados, servindo de base para o tratamento de dados pessoais, realizado pelos entes públicos ou pelas empresas privadas1. Portanto, a LGPD é um importante instrumento para a segurança jurídica quanto aos direitos dos titulares de dados pessoais e às obrigações dos agentes de tratamento2, à semelhança do que dispunha a Diretiva 95/46/EC3, que foi substituída pelo Regulamento Geral Europeu sobre Proteção de Dados (General Data Protection Regulation - GDPR)4. Muito embora existissem (e continuam a existir) leis que traziam certa proteção aos titulares de dados, é inegável que a LGPD impõe uma mudança sociocultural. Em outras palavras, a "cultura da superexposição" dá lugar para a "cultura do controle das informações pelos seus titulares", ou seja, aquelas pessoas identificadas ou identificáveis a partir de determinadas informações têm direito à informação, ao acesso, à correção, entre outros direitos previstos na LGPD. Justamente por isso, a vacatio legis da LGPD, em seu texto original, já era longa. Importante destacar que a polêmica em torno da vigência da LGPD é marcada por um forte lobby que organizou muitas tentativas para se prorrogar a vigência da lei. O art. 65 da lei 13.709/2018, originalmente, estabelecia o prazo de vigência para 18 meses a partir da sua publicação. Todavia, esse prazo foi ampliado para 24 meses por ocasião da conversão da Medida Provisória nº 869, de 27 de dezembro de 2018, que reinseriu a Autoridade Nacional de Proteção de Dados, cuja criação fora vetada pelo então Presidente Michel Temer5. A MP 869/2018 foi convertida em lei pela lei 13.853, de 09 de julho de 2019, mantendo a vigência da LGPD em 24 meses a partir da publicação da lei 13.709/2018. Portanto, a lei entraria em vigor em 16 de agosto de 2020. Nota-se a constante influência do direito europeu na LGPD brasileira, inclusive o prazo de vigência. Em outras palavras, o art. 99 do GDPR previa a entrada em vigor da lei europeia para 25 de maio de 2018, ou seja, 25 meses após sua publicação, que se deu em 27 de abril de 2016. Assim, com toda a tradição europeia na matéria sobre proteção de dados, o GDPR trouxe mudanças importantes que exigiam um longo período para que os entes públicos e privados se adequassem aos ditames legais. Contudo, no Brasil, ainda segue incerta a entrada em vigor da Lei Geral de Proteção de Dados. Alguns projetos de lei, como o PL 5.762/20196, que pretendia prorrogar a vigência da LGPD para 16 de agosto de 2020, insistem em adiar o quanto puderem o início da vigência da LGPD. Entretanto, diante da situação de emergência sanitária que o Brasil e o mundo enfrentam, decorrente da pandemia do coronavirus (covid-19), o tema voltou a ser destaque na pauta do Congresso Nacional. Assim, a Medida Provisória nº 959, de 29 de abril de 2020, pretende alterar o art. 65 da LGPD, determinando o início da vigência da lei para 03 de maio de 2021. Essa medida provisória precisa ser convertida em lei até 28 de agosto de 2020, caso contrário, a LGPD entrará em vigor imediatamente conforme o texto da lei 13.709/2020. Tal resistência à entrada em vigor da LGPD parece desarrazoada, ainda que se considere o contexto de emergência sanitária em que o mundo vive. Isto coloca o Brasil em uma situação vexatória e compromete a inserção do Brasil no capitalismo informacional, haja vista a necessária comprovação do nível adequado de proteção de dados para que empresas brasileiras possam receber dados pessoais de cidadãos que residam em países com um sólido sistema de proteção de dados, como Alemanha, Canadá, França, Itália, Estados Unidos etc7. Deve-se considerar, ainda, a lei 14.010, de 10 de Junho de 2020, que dispõe sobre o Regime Jurídico Emergencial e Transitório das Relações Jurídicas de Direito Privado (RJET) no período da pandemia do coronavirus (covid-19), no art. 20, prorroga apenas a vigência dos artigos 52, 53 e 54 da LGPD, que tratam das sanções previstas na lei. Portanto, conforme o texto aprovado pelo RJET, a LGPD entra em vigor imediatamente, postergando apenas as sanções previstas na lei para agosto de 2021. Esta foi uma resposta ao temor dos agentes de tratamento de dados que estão sujeitos às penalidades previstas na LGPD por violação às regras legais para o tratamento de dados pessoais, principalmente à penalidade de multa prevista no inc. II do art. 52 da LGPD, de até 2% sobre o faturamento da empresa, limitada a 50 milhões de reais por infração. No entanto, parece-nos um paradoxo se comparar o valor dessa sanção com o inc. II do art. 12 do Marco Civil da Internet, plenamente em vigor, que prevê a multa de até 10% do faturamento da empresa, muito mais alta que o valor previsto na LGPD. Portanto, é possível que a multa prevista no MCI seja aplicada por violação aos direitos dos usuários da Internet previstos no art. 7º, entre os quais, os incisos VIII, IX e X garantem a proteção de dados pessoais. Em síntese, têm-se alguns possíveis cenários quanto à vigência da LGPD: 1) A MP 959/2020 não é convertida em lei: hipótese em que a LGPD entra em vigor imediatamente, sendo as sanções aplicáveis apenas a partir de agosto de 2021 conforme o RJET; 2) A MP 959/2020 é convertida em lei, vigorando com o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021, no entanto, as sanções seriam aplicáveis apenas a partir de agosto de 2021; 3) A MP 959/2020 é convertida em lei revogando o RJET: a LGPD entraria em vigor no dia 3 de maio de 2021 em sua integralidade, com a possibilidade de aplicação das sanções. Esse desfecho incerto é uma grave ameaça à segurança jurídica, pois as empresas e os órgãos públicos não sabem, ao certo, a partir de quando terão de se adequar ao que dispõe a LGPD. Além disso, deixa margem ao ativismo judicial para colmatar lacunas quanto à proteção de dados pessoais, podendo, inclusive, aplicar a grave sanção prevista no Marco Civil da Internet. A relevância da LGPD é ainda mais acentuada no contexto da coleta de dados e compartilhamento de informações pessoais no contexto da pandemia da covid-19. Diante do uso das tecnologias de rastreamento pessoal para identificar a proximidade de pessoas infectadas pelo coronavirus ou do compartilhamento de dados pessoais entre empresas e órgãos públicos para medir a taxa de isolamento social, a proteção de dados pessoais precisa estar na ordem do dia. Entretanto, enquanto o Brasil ainda está patinando em matéria de proteção de dados, haja vista as tentativas de prorrogação de vigência da LGPD; a União Europeia tem enfrentado o uso dessas tecnologias com muita responsabilidade com destaque para a Declaração Conjunta do Conselho Europeu sobre Proteção de Dados no Contexto da COVID-19, de 30/03/20208. As diretrizes na União Europeia quanto à proteção de dados na época da pandemia da covid-19 são: tratar os dados minimamente necessários; eliminação desses dados após a situação de emergência global decorrente da pandemia; precedência do relatório de impacto à proteção de dados; adoção de medidas técnicas e organizacionais que asseguram a inviolabilidade destes bancos de dados; tecnologias de coleta e tratamento de dados pessoais, como as tecnologias de rastreamento pessoal, somente podem ser utilizadas se se comprovar que os benefícios superam em muito os prejuízos à proteção de dados pessoais. Em suma, a situação de emergência sanitária decorrente da pandemia do coronavirus não pode ser uma justificativa para prorrogar a vigência da LGPD. Ao contrário, tal situação demanda um olhar atento ao tema para que se possa garantir o pleno desenvolvimento da pessoa humana, tendo em vista o reconhecimento do direito à proteção de dados como um direito fundamental pelo Supremo Tribunal Federal no julgamento das Ações Diretas de Constitucionalidade (ADI nº 6387, nº 6388, nº 6389, nº 6390 e nº 6393)9. *Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada. *Newton De Lucca é professor Titular da Faculdade de Direito da Universidade de São Paulo. Professor do Corpo Permanente da Pós-Graduação Stricto Sensu da UNINOVE. Desembargador Federal, Presidente do Tribunal Regional Federal da 3a Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-Presidente do Instituto Avançado de Proteção de Dados. __________ 1 DE LUCCA, Newton; MACIEL, Renata Mota. A lei 13.709, de 14 de Agosto de 2018: a Disciplina Normativa que Faltava. In: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de; SIMÃO FILHO, Adalberto; MACIEL, Renata Mota. Direito & Internet IV: Sistema de Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019. pp. 21 - 50. 2 LIMA, Cíntia Rosa Pereira de. O que é LGPD? Disponível aqui. Último acesso em 02/02/2020. 3 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Disponível aqui. Acesso em 02/08/2020. 4 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível aqui. Acesso em 02/08/2020. 5 Sobre a Autoridade Nacional de Proteção de Dados e os argumentos do veto à criação da ANPD vide: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: LIMA, Cíntia Rosa Pereira de. Comentários à Lei Geral de Proteção de Dados. São Paulo: Editora Almedina, 2019. pp. 373 - 398. 6 CAMARA DOS DEPUTADOS. Altera a lei 13.709, de 2018, prorrogando a data da entrada em vigor de dispositivos da Lei Geral de Proteção de Dados Pessoais - LGPD - para 15 de agosto de 2022. Disponível aqui. Acesso em 02/08/2020. 7 PEROLI, Kelvin. Quais são as hipóteses em que é possível a transferência internacional de dados pessoais? Disponível aqui. Acesso em 02/08/2020. 8 Joint Statement on the right to data protection in the context of the COVID-19 pandemic by Alessandra Pierucci, Chair of the Committee of Convention 108 and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe. Disponível aqui. Acesso em 02/08/2020. 9 SUPREMO TRIBUNAL FEDERAL. STF suspende compartilhamento de dados de usuários de telefônicas com IBGE. Disponível aqui. Acesso em 02/08/2020.