sábado, 28 de maio de 2022

COLUNAS

  1. Home >
  2. Colunas

Impressões Digitais

Discussão de aspectos ligados ao Direito Digital.

Ricardo Maffeis e Daniel Bittencourt Guariento
A entrada em vigor da Lei Geral de Proteção de Dados afetou de maneira significativa todas as atividades que envolvam o tratamento de dados pessoais. No caso especifico das eleições, a LGPD alcança todos os players do processo eleitoral, trazendo diversas implicações e desafios, potencializados, ainda, pelo cenário pandêmico por que passamos, que impedirá - ou pelo menos limitará significativamente - a realização de comícios e o corpo-a-corpo dos candidatos com os eleitores, fazendo do ambiente virtual o principal veículo para a disseminação de ideias e a captação de votos. Antes de mais nada, vale analisar a efetiva aplicabilidade da LGPD às eleições municipais de 2020. A polêmica surgiu devido ao princípio da anuidade, aplicável ao Direito Eleitoral nos termos do artigo 16 da Constituição Federal, segundo o qual a legislação que modificar o processo eleitoral não será aplicável à eleição que ocorrer até um ano da data de vigência da respectiva lei. A literalidade da norma - que visa, precipuamente, possibilitar aos envolvidos se adequarem às novas regras, garantindo a paridade de forças, a isonomia da disputa e a segurança jurídica do processo eleitoral -, no entanto, não subsiste a uma análise mais detida das circunstâncias específicas que resultaram na entrada em vigor da LGPD. Inicialmente, cumpre notar que o artigo 16 da Constituição inicia ressalvando que a lei que alterar o processo eleitoral entrará em vigor na data de sua publicação, sendo certo que a LGPD contou com uma vacância de dois anos, o que, a rigor, já permitiu plena adaptação de todos os afetados. Ademais, há de se considerar que a LGPD não se volta especificamente para o processo eleitoral. O seu cerne está na proteção de dados pessoais, com efeitos muito mais abrangentes e reflexos apenas indiretos para as eleições. Não bastasse, consoante recente decisão do Supremo Tribunal Federal no julgamento da ADPF 738/DF, regras de mero aperfeiçoamento do processo eleitoral, "de caráter eminentemente procedimental", não se sujeitam ao princípio da anuidade. É justamente este o caso da LGPD. Seja como for, ainda no ano passado, o Tribunal Superior Eleitoral editou a resolução 23.610/19, dispondo, entre outras coisas, sobre o uso e a cessão de dados pessoais em campanhas eleitorais. Nos termos do artigo 31 da resolução o tratamento de dados pessoais, inclusive a utilização, doação ou cessão destes por pessoa jurídica ou por pessoa natural, observará as disposições da LGPD. Assim, por todos esses motivos, entendemos que a LGPD se aplica às eleições deste ano, assumindo, inclusive, papel de extrema relevância, diante dos fatos ocorridos nas últimas eleições, com diversas notícias do uso abusivo de dados pessoais para a realização do denominado microtargeting, técnica de segmentação preditiva de mercado que, no âmbito da política, tem sido usado para angariar votos mediante a identificação e modulação de perfis de modo a facilitar o processo de convencimento e manipulação dos eleitores. Superada esta questão, avancemos para a análise dos reflexos da LGPD sobre os diversos participantes do processo eleitoral. Em primeiro lugar destacamos as implicações para empresas, que, historicamente, tiveram participação ativa e decisiva nas campanhas eleitorais, apoiando partidos e candidatos. Embora o financiamento de campanhas eleitorais por pessoas jurídicas esteja proibido desde o julgamento, pelo STF, da ADI 4.650/DF, e posterior advento da lei 13.488/2017, que alterou as Leis 9.096/1995 (Lei dos Partidos Políticos) e 9.504/1997 (Lei das Eleições) - vedando o recebimento, direto ou indireto, de contribuição ou auxílio pecuniário ou estimável em dinheiro, inclusive através de publicidade - a disponibilização de dados pessoais de colaboradores e clientes, para uso político direcionado, mantinha-se numa zona cinzenta, já que não caracteriza financiamento propriamente dito. Todavia, com a entrada em vigor da LGPD, o tratamento de dados pessoais exige o preenchimento de alguma das hipóteses previstas na lei (art. 7o), bem como respeito, entre outros, aos princípios da finalidade, adequação, necessidade e transparência (art. 6o, I, II, III e VI), os quais demandam que atividades de tratamento de dados sejam desenvolvidas para propósitos legítimos, específicos e informados ao titular, limitadas ao mínimo necessário para o alcance de tais propósitos, portanto sem extrapolação dos objetivos que originalmente levaram à coleta dos dados. Na prática portanto, a cessão, por empresas, de dados pessoais de funcionários, clientes e parceiros comerciais, via de regra passa a depender do prévio consentimento dos titulares, visto que tais dados não foram originalmente coletados para uso político e as demais hipóteses que autorizam o tratamento (art. 7o) em princípio não se aplicam a essa finalidade, valendo acrescentar, ainda, que dados ligados a opinião política e filiação partidária, bem como outros de importância estratégica para campanhas eleitorais, tais como orientação sexual e religiosa, são considerados sensíveis pela LGPD (art. 5o, II) e não admitem tratamento com base no legítimo interesse (art. 11). Até mesmo o simples envio de material de cunho eleitoral para essas pessoas diretamente pela empresa e sem o compartilhamento de informações com partidos e candidatos, já implica tratamento de dados pessoais - lembrando que o termo "tratamento", nos termos da lei, compreende toda e qualquer operação realizada com dados pessoais, desde a coleta até o descarte -, exigindo consentimento prévio dos titulares. O problema do tratamento com base no consentimento, é que este é precário, podendo ser revogado a qualquer tempo pelo titular (arts. 8, § 5o, e 18), assegurado procedimento gratuito e facilitado para tanto, com o que o uso dos dados para fins políticos deverá cessar imediatamente. De forma semelhante, partidos políticos e candidatos devem estar atentos ao preenchimento dos requisitos necessários ao tratamento de dados pessoais, certificando-se de que dispõem de autorização legal para a realização de análises de dados visando a traçar o perfil dos titulares, ainda que os dados estejam publicamente disponíveis na rede mundial de computadores ou em qualquer outro meio físico ou virtual. Nesse contexto, deverão deixar bastante claro ao titular, inclusive seus filiados, de que forma, para que finalidade, quem terá acesso aos dados, quais medidas de segurança da informação estão sendo adotadas, bem como a estimativa de tempo para que sejam descartados. Mesmo na parceria com instituições que promovam o crowdfunding ou financiamento coletivo de campanhas, que passou a ser autorizada a partir das alterações impostas à Lei das Eleições pela lei 13.488/2017 e regulada pela Resolução 23.607/19 do TSE, ambas as partes deverão adotar todos os cuidados concernentes à coleta, compartilhamento e processamento dos dados pessoais dos doadores, pois a base legal que autoriza o tratamento desses dados para fins de doação não autoriza o uso para outras atividades ligadas à campanha eleitoral. Por fim, no que tange à atuação de órgãos públicos como a Justiça Eleitoral no desenvolvimento do processo eleitoral, embora a LGPD também se aplique a pessoas jurídicas de direito público (art. 3o), nesta hipótese há respaldo legal autorizando o tratamento de dados pessoais para a execução de políticas públicas (art. 7o, III), inclusive de dados sensíveis (art. 11, II, "b"), desde que na persecução do interesse público, com o objetivo de exercer as competências legais e cumprir as atribuições legais do serviço público (art. 23). Dessa forma, esses órgãos a rigor não necessitam do consentimento do titular para o tratamento de dados pessoais tendente à viabilização do processo eleitoral, bastando que informem as hipóteses em que, no exercício de suas funções, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos (art. 23, I). Finalmente, vale pontuar que, embora ainda não tenhamos a Autoridade Nacional de Proteção de Dados devidamente constituída, nada impede a atuação de outros órgãos públicos, como o Ministério Público e a Justiça Eleitoral, ou mesmo a iniciativa individual de titulares de ajuizarem ações indenizatórias devido ao uso indevido de dados pessoais. Enfim, a LGPD passa a ter um papel determinante nas eleições, sobretudo nas estratégias de campanha, devendo ser rigorosamente observada por todos os participantes do processo eleitoral, especialmente até que tenhamos orientações e decisões da ANPD e dos tribunais, dando maior clareza acerca de como a lei será efetivamente interpretada e aplicada.
Com a Lei Geral de Proteção de Dados finalmente em vigor e as notícias que já começaram a sair na imprensa sobre a primeira ação ajuizada com base na LGPD e até mesmo uma condenação em primeiro grau por fatos ocorridos muito antes da vigência da nova lei, acendeu-se o alerta nas empresas: estamos prontos para a LGPD? E se um fato desses ocorrer conosco? Num mundo em que até o site da Agência Espacial dos EUA já foi invadido1 e onde algumas das mais altas autoridades brasileiras tiveram recentemente suas conversas trocadas em aplicativos de mensagens vazadas para a mídia, imaginar que uma empresa privada estaria imune a tais riscos pode ser considerado uma ingenuidade. E, se é praticamente impossível assegurar que nada aconteça, uma das melhores atitudes a ser tomada é a prevenção e, com ela, a estruturação também de um plano de combate a incidentes. Um plano de prevenção a incidentes envolvendo dados pessoais envolve, em primeiro lugar, o estudo e a adequação da própria empresa à LGPD. Trata-se de providência prioritária, na medida em que a plena consciência dos dados tratados pelos diversos departamentos da empresa, as bases legais que justificam o tratamento, o modo de atendimento aos titulares de dados e, de preferência, a nomeação de um bom encarregado - que pode ser vinculado à empresa ou terceirizado, como alguns serviços conhecidos como DPO as a service2 - formam o alicerce para que se passe às demais medidas preventivas. Uma vez adequada a empresa, outra importante providência preventiva é a contratação de parceiros que também estejam adaptados às regras da LGPD, bem como a renegociação dos contratos em vigor e a atenção redobrada aos que venham a ser firmados, em especial nas cláusulas que envolvam a proteção de dados, para que as responsabilidades de cada um fiquem bem claras. A questão da responsabilidade é tema sensível, uma vez que, além das regras de responsabilização previstas no Código Civil, a LGPD prevê que, especificamente em relação à proteção dos dados pessoais, o controlador e o operador são obrigados a reparar os danos patrimoniais, morais, individuais ou coletivos causados (art. 42), estabelecendo ainda casos de responsabilidade solidária e de inversão do ônus da prova em benefício dos titulares - à semelhança do que ocorre na defesa dos consumidores - sendo as cláusulas contratuais essenciais para que se possa buscar direito de regresso contra os demais responsáveis no caso de a empresa ter sido obrigada a indenizar algum titular de dados3. Com a empresa adequada à LGPD e contratados bons parceiros, é o momento de estruturar o plano de prevenção e combate a incidentes. Antes de mais nada, importante lembrar que incidentes envolvendo dados pessoais nem sempre estão ligados a ataques4 por parte de hackers. Não raras vezes, um descuido por parte de um funcionário ou uma falha na programação do site já são suficientes para permitir o acesso de terceiros estranhos à organização, cumulado ou não com um vazamento. O plano de prevenção e combate a incidentes envolve diversas fases. Uma das iniciais é a definição de competências: quais dirigentes e profissionais ficarão responsáveis por tomar que providências. Normalmente, costumam estar envolvidas as áreas de Segurança da Informação (TI), Comunicação, o Departamento Jurídico e os setores ligados ao atendimento ao público. Pela relevância do tema e diante do risco à reputação e nome da empresa, a participação do CEO ou de representantes da Diretoria também é recomendada no comitê ou sala de crise, sem esquecer, obviamente, do encarregado, que deve exercer o papel de interface entre a empresa, autoridades e titulares dos dados envolvidos no incidente. As primeiras medidas envolvem a verificação e contenção do incidente, seguidas da averiguação de sua extensão e dos dados pessoais que foram ou estão expostos. Em paralelo, a equipe responsável pela comunicação precisa alinhar - subsidiada pelo Jurídico - a necessidade e viabilidade de comunicação à Autoridade Nacional de Proteção de Dados e aos titulares dos dados, conforme regra do art. 48 da LGPD. Embora a ANPD sequer esteja instalada e as sanções administrativas previstas na lei só entrem em vigor em agosto de 2021, não se pode esquecer que a economia brasileira possui setores muito regulamentados, sujeitos à fiscalização dos mais variados órgãos e agências, tais como o Banco Central, a Anatel, a ANAC e a Anvisa, para citar apenas alguns dos mais atuantes. No âmbito da proteção do consumidor, a Secretaria Nacional do Consumidor (Senacon), integrante do Ministério da Justiça e Segurança Pública, é outro órgão cuja comunicação - a depender da amplitude do incidente - também pode ser recomendada. Como forma de mitigação de riscos e de eventuais prejuízos, na coordenação e validação das providências deve estar a assessoria jurídica da empresa, normalmente terceirizada, já que raramente um Departamento Jurídico será grande o suficiente para ter um especialista em Direito Digital e Proteção de Dados. A orientação jurídica é primordial quando se tem em mente que as sanções previstas na LGPD - que podem chegar a R$ 50 milhões por infração - seguirão parâmetros legais tais como boa-fé, cooperação, adoção de procedimentos voltados para minimizar o dano e políticas de boas práticas, além da pronta adoção de medidas corretivas5.  A Lei Geral de Proteção de Dados Pessoais já é uma realidade. A partir de agora, investir na prevenção - de modo a saber quais medidas tomar no caso de ocorrência de algum incidente, bem como estar preparado para tomá-las de forma célere - será um importante diferencial competitivo para as empresas. __________ 1 "Hackers brasileiros invadem site da NASA para protestar contra espionagem" - Tecnoblog, 10/9/2013. 2 Por ter funções equivalentes ao DPO (Data Protection Officer) da GDPR, a lei de proteção de dados europeia, o encarregado (arts. 5º, VIII e 41 da LGPD) também é tratado por vezes como DPO, o elo entre a empresa (controladora dos dados), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).  3 Disposições constantes dos parágrafos do mencionado art. 42 da LGPD. 4 Tais ataques são conhecidos como data breaches. 5 Conforme art. 52, II e incisos do parágrafo 1º da LGPD.
sexta-feira, 25 de setembro de 2020

Moedas digitais, moedas virtuais e criptomoedas

Progressivamente, o mundo parece caminhar para uma sociedade sem dinheiro físico, com a substituição da moeda em espécie por moedas intangíveis. A despeito do ceticismo de muitos analistas quanto ao fim do papel moeda, não há como negar que a evolução tecnológica e a inclusão digital - sobretudo depois do advento dos smartphones - têm tornado essas novas moedas cada vez mais populares, trazendo mudanças significativas para o mercado de investimentos e de pagamentos. Para que possamos entender melhor o cenário, vale antes de mais nada distinguir moedas digitais, moedas virtuais e criptomoedas. Embora sejam todas intangíveis e, por isso, muitas vezes utilizadas como sinônimos, na prática são coisas diferentes. A moeda, em termos econômicos, é tudo aquilo aceito como forma de pagamento, ou seja, que sirva como intermediário (meio de troca) entre mercadorias, como referencial para que o valor dos demais produtos seja cotado no mercado (unidade de conta ou denominador comum de valor) e como forma de preservação do poder de compra (reserva de valor). Primeiro surgiu a moeda-mercadoria (sal, animais etc.), passando pela moeda metálica (ouro, prata etc.), até chegarmos ao papel-moeda, que durante séculos seguiu o sistema de commodities denominado "padrão ouro" - ou seja, a emissão de cédulas pressupunha a existência de quantidade equivalente em reservas de ouro) - vindo, na década de 1970, a ser substituído pela moeda fiduciária ou Fiat Currency, para a qual não existe garantia física ou valor intrínseco (lastro), sendo sua aceitação uma imposição legal do governo e o seu valor dependente da credibilidade do país emissor. Feito esse introito acerca do conceito econômico de moeda, temos que as moedas digitais são formas imateriais de circulação da moeda fiduciária, isto é, da moeda corrente nacional. Tratam-se de moedas intangíveis, reconhecidas e controladas por autoridades estatais responsáveis por autorizar, regulamentar e intermediar a sua emissão, transferência e outras operações. No Brasil, esse controle é feito pelo Banco Central do Brasil e pelo Conselho Monetário Nacional. São exemplos de moedas digitais: cartões de crédito e débito e sistemas de pagamento online via carteira digital, como o Paypal. As moedas virtuais, por sua vez, são emitidas e controladas por entes privados, sendo utilizadas e aceitas entre membros de comunidades virtuais específicas. Cuida-se de uma forma de dinheiro eletrônico surgida a partir do desenvolvimento de sistemas de pagamento para jogos online. São exemplos de moedas virtuais: os fut coins dos jogos FIFA, o zeny do jogo Ragnarok, ou os riot points do jogo League of Legends. Por fim, chegamos às criptomoedas, que cada vez mais estampam as manchetes dos jornais, pelos mais variados motivos, que vão desde o seu crescimento como modalidade de investimento, até a sua utilização como meio de pagamento de resgate de sequestros internacionais. As criptomoedas são moedas intangíveis descentralizadas, não reguladas pelo governo e, portanto, dissociadas do sistema financeiro. Alguns países, como o Japão e a Coréia do Sul, estabeleceram regras gerais de funcionamento para as criptomoedas, mas elas se mantêm fora do sistema financeiro. No Brasil, a despeito das iniciativas de sua inclusão na definição de arranjos de pagamento sob supervisão do Banco Central - como o PL 2.303/2015, da Câmara dos Deputados, arquivado em janeiro/2019 - fato é que as criptomoedas seguem sem regulação específica. As criptomoedas surgiram com um objetivo ideológico, qual seja, criar uma moeda que pudesse ser aceita em todo o mundo, sem a influência de nenhum governo, ou seja, uma moeda sem fronteiras, que circule por todo o planeta, sem o recolhimento de impostos ou taxas e sem a necessidade de conversão. As mais conhecidas são a Bitcoin e a Ethereum, mas atualmente existem mais de duas mil criptomoedas em circulação. As criptomoedas são criadas em uma rede de blockchain - também conhecida como protocolo de segurança, consistente em uma base de dados pública em que consta o histórico de todas as operações realizadas com as unidades de criptomoeda ("tokens") - a partir de sistemas avançados de criptografia que protegem as transações, suas informações e os dados de quem transaciona. As transações são registradas no blockchain pelos chamados mineradores, que disponibilizam a capacidade de processamento de seus computadores para realizar tais registros e conferir as operações. De uma forma geral, entende-se que um sistema de criptomoeda deve atender os seguintes requisitos: (i) dispensa de uma autoridade central; (ii) manutenção de uma visão geral dos tokens e sua propriedade; (iii) controle da emissão de novos tokens e determinação da sua propriedade; (iv) comprovação da propriedade dos tokens feita exclusivamente por criptografia; (v) possibilidade de executar transações para transferência da propriedade dos tokens; e (vi) havendo tentativas simultâneas de transferência da propriedade dos tokens, o sistema executará apenas uma delas. No momento, as criptomoedas são vistas mais como um ativo financeiro do que como um meio de pagamento. Isso se deve principalmente à sua independência de terceiros fiduciários (a custódia das criptomoedas independe de um banco ou outro intermediário) e à sua privacidade financeira (dada a sua natureza descentralizada, as criptomoedas não podem ser constritas). Entretanto, trata-se de um investimento de alto risco, diante do seu elevado grau de volatilidade, fruto da quantidade limitada de tokens disponíveis (as criptomoedas foram pensadas para reproduzirem a extração de ouro ou outro metal precioso, portanto esgotável), do volume relativamente baixo de operações (que individualmente podem, pois, causar impacto relevante) e da enorme especulação de mercado. Para que se tenha uma noção, em dezembro de 2017 uma Bitcoin chegou a valer R$48,2 mil e, em janeiro de 2019, apenas pouco mais de um ano depois, havia sofrido uma desvalorização de quase 75%, passando a valer R$12,7 mil. Essa insegurança fez surgir as chamadas stablecoins (ou "moedas estáveis") criptomoedas lastreadas em moedas fiduciárias. Na prática, uma entidade ou algoritmo descentralizado garante que para cada token emitido, haja a mesma quantidade de moeda fiduciária (dólares, por exemplo) custodiada e que para emitir ou retirar esses tokens do mercado haverá a necessidade de ajustar o lastro. A lógica, aqui, é a mesma do sistema de commodities visto anteriormente. Como exemplo de stablecoin temos a Libra do Facebook, lançada em 2019, que usa um sistema de cesta de ativos (moedas fiduciárias e títulos governamentais) como meio de estabilização do valor do token. Diante de tudo isso, os especialistas têm se mostrado bastante divididos quando o assunto é o fim do papel moeda e o futuro das moedas intangíveis. Seja como for, não há como negar que o sistema monetário está em constante evolução. Em poucas décadas, passamos do padrão ouro para a moeda fiduciária, retirando o lastro das moedas e ligando o seu valor à estabilidade e força do país emissor. As moedas intangíveis, em especial as criptomoedas, podem ser consideradas mais uma evolução do sistema monetário, desvinculando-o dos governos e dando à sociedade mais poder para gerir a emissão de moedas e as transações a elas inerentes. Por outro lado, na ausência de regulamentação e enquanto forem vistas muito mais como um investimento do que como um meio de pagamento e de reserva de valor, será difícil que as criptomoedas assumam o status de unidade de conta para substituírem o dinheiro físico e servirem de parâmetro de precificação e de cálculo econômico.
Conforme noticiado em nossa última coluna, imediatamente após o Senado Federal derrubar o artigo da MP 959/20 que postergava o início da vigência da Lei Geral de Proteção de Dados (LGPD) para 2021, o Poder Executivo editou o decreto 10.474, aprovando a estrutura de cargos da Autoridade Nacional de Proteção de Dados, conhecida pela sigla ANPD. Na redação original do projeto de lei que deu origem à LGPD, a ANPD estava prevista para ser um órgão integrante da administração pública federal indireta e submetida a regime autárquico especial, de forma a garantir sua autonomia, com previsão expressa de "independência administrativa, ausência de subordinação hierárquica, mandato fixo, estabilidade de seus dirigentes e autonomia financeira"1. Mas a previsão acabou sendo vetada pela obrigatoriedade de edição de lei específica para criação de autarquias, cumulada com a iniciativa privativa do presidente da República em relação às leis que disponham sobre criação de órgãos estatais2. No apagar das luzes do governo Michel Temer foi então editada a MP 869/2018, depois convertida na lei 13.853/2019, que inseriu na LGPD os arts. 55-A a 55-L, alterando a natureza jurídica da ANPD, que passou a ser órgão da administração pública direta, vinculado à Presidência da República e dotado apenas de autonomia "técnica e decisória"3.  Como facilmente se percebe, já transcorreu tempo suficiente para que a Autoridade Nacional fosse constituída, estivesse com seus membros nomeados e em funcionamento. Contudo, as discussões até agora ficaram centradas praticamente só na indefinição quanto à data de entrada em vigor da lei. Vencida esta etapa e publicado o decreto regulamentador da ANPD, as atenções voltam-se a ela, em especial à pessoa de seu diretor-presidente, uma vez que o decreto 10.474 entrará em vigor juntamente com a nomeação de quem ocupará tal cargo (art. 6º). Trata-se de uma corrida contra o tempo, na medida em que a pouca tradição de preocupação dos brasileiros com seus dados pessoais aumenta a responsabilidade das funções educativas da ANPD, autoridade que irá elaborar as diretrizes da futura Política Nacional de Proteção de Dados Pessoais e da Privacidade. Empresas e pessoas físicas ainda possuem muitas dúvidas e somente com a definição clara das regras do jogo é que se terá segurança jurídica para saber o que deve ser feito e de que maneira. Traçando uma analogia, as orientações, regras de usos e padrões técnicos definidos pela ANPD funcionarão como a jurisprudência dos tribunais superiores, servindo de bússola ao intérprete sobre como se guiar pelas rotas da proteção de dados. Como já tivemos a oportunidade de expor em algumas de nossas colunas, embora a LGPD preveja severas sanções administrativas, como multas de até 2% do faturamento da empresa ou do conglomerado no Brasil no último exercício até a proibição total das atividades relacionadas a tratamento de dados (arts. 52 a 54 da LGPD), a função de orientação da Autoridade Nacional - pelo menos até que as novas regras já estejam minimamente consolidadas entre nós - é crucial neste momento, lembrando que, nos termos do art. 65, I-A, da LGPD, as sanções administrativas somente entrarão em vigor em 1o de agosto de 2021. Mesmo no que diz respeito à imposição de sanções, os processos administrativos também estão sujeitos a contraditório e ampla defesa por parte do administrado, sendo certo que compete à ANPD a definição - após consulta pública - das metodologias que serão utilizadas para cálculo do valor-base da multa, sendo certo que o decreto prevê claramente a necessidade de publicação prévia, formas e dosimetrias "objetivas" e "fundamentação detalhada" de todos os elementos e critérios para definição de uma sanção que pode atingir o expressivo valor de R$ 50 milhões por infração! Outra função de grande relevância prevista no novo decreto é a edição de regulamentos e procedimentos sobres os relatórios de impacto à proteção de dados pessoais4 nos casos em que exista "alto risco à garantia dos princípios gerais" previstos na LGPD (art. 2º, XIII, do anexo I do decreto 10.474). O relatório de impacto, de responsabilidade do controlador, deve servir como base para o cumprimento dos princípios legais, com o propósito de mitigar riscos e com uma visão completa de todo o ciclo de vida dos dados, de modo que o controlador conheça previamente os principais fatores do uso de dados que poderão impactar as liberdades civis e os direitos fundamentais dos titulares dos dados5. Não menos importante, o decreto repete a previsão da LGPD quanto à necessidade de articulação da ANPD com outros órgãos e entidades que possuem competências sancionatórias e normativas "afetas ao tema de proteção de dados pessoais"6. Trata-se de uma das funções mais importantes reservadas à ANPD enquanto órgão central de interpretação da lei e do estabelecimento das diretrizes para sua implementação, na medida em que, sem tal articulação, haverá risco real de aplicação cumulativa de mais de uma punição administrativa decorrente de um único fato (bis in idem), especialmente em setores econômicos muito regulados, como os de saúde, transporte aéreo e, de forma geral, aqueles sujeitos à proteção consumerista. Não há tempo a perder. Quanto antes estiverem em pleno funcionamento o Conselho Diretor (cinco membros nomeados pelo presidente da República após aprovação do Senado) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (órgão consultivo), mais cedo serão definidas as questões essenciais para a proteção dos dados pessoais no Brasil.  Comemoração Iniciamos estas Impressões Digitais em Migalhas em setembro de 2019. De lá para cá, foram 24 colunas debatendo assuntos ligados a Direito Digital, Lei Geral de Proteção de Dados e Inteligência Artificial. Ao iniciar o segundo ano do projeto, não podemos deixar de agradecer toda a equipe migalheira, bem como a nossos leitores e leitoras. Este novo ano, já com a LGPD em vigor, promete novas e importantes discussões. #Avante __________ 1 Conforme previa o vetado art. 55 do PL 53/2018. 2 Previsões dos arts. 37, XIX e 61, § 1º, II, "e", ambos da Constituição Federal, nos termos das razões de veto. 3 Com previsão genérica da possibilidade de, em até dois anos da entrada em vigor da estrutura regimental da ANPD, o Executivo transformá-la em autarquia, conforme art. 55-A, §§ 1º e 2º, da LGPD. 4 De acordo com o art. 5º, XVII da LGPD, o relatório de impacto à proteção de dados pessoais é a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco". 5 VAINZOF, Rony. In OPICE BLUM, Renato e MALDONADO, Viviane Nóbrega (coord.). LGPD - Lei Geral de Proteção de Dados Comentada, 2. ed. São Paulo: RT, 2019, p. 126/7. 6 Previsão do art. 55-K, parágrafo único da LGPD e do art. 2º, § 8º, do anexo I do decreto 10.474.
Na sessão da última quarta-feira, 26/8/2020, o Senado Federal acatou questão de ordem apresentada pelo senador Eduardo Braga (MDB/AM) e declarou prejudicado o artigo 4o da Medida Provisória 959/20, que pretendia alterar o inciso II do artigo 65 da lei 13.709/2018 (Lei Geral de Proteção de Dados, "LGPD") e adiar sua vigência para 31/12/2020 - ressalvadas as sanções, que seguem postergadas para 1/8/2021, nos termos do inciso I-A do mesmo artigo 65, incluído pela lei 14.010/2020. Conforme esclarecido pelo presidente do Senado, Davi Alcolumbre (DEM/AP), a Casa já havia deliberado sobre o assunto este ano no âmbito do PL 1.179/2020 - transformado justamente na lei 14.010/2020 -, sendo que o artigo 334, II, do Regimento Interno do Senado estabelece que será considerada prejudicada matéria dependente de deliberação "em virtude de seu prejulgamento pelo Plenário em outra deliberação". Com isso, uma vez sancionada pelo presidente da República a lei de conversão da MP 959/20 - sanção está que pode ocorrer em até 15 dias úteis do recebimento do Projeto de Lei de Conversão na Casa Civil - a LGPD entrará em vigor. Nesse meio tempo, nos termos do art. 62, § 12, da Constituição Federal, valem as disposições da MP 959/20. Superada a celeuma sobre a vigência da LGPD, as preocupações se voltam novamente - agora com rigor ainda maior - para a Agência Nacional de Proteção de Dados ("ANPD"), criada pela MP 869/2018, mas que até o momento praticamente não saiu do papel. A ANPD tem como funções, entre outras, a elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a fiscalização e aplicação das sanções ligadas à LGPD e a edição de regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, configurando-se como peça-chave para que a LGPD tenha efetividade. Não obstante a LGPD trace as regras gerais acerca da proteção de dados pessoais, diversos pontos são delegados à regulamentação da ANPD, tais como a definição: (i) de formas de publicidade das operações de tratamento de dados (artigo 23, § 1o); (ii) de regras para o uso compartilhado de dados pessoais (artigo 30); (iii) dos organismos de certificação quanto ao cumprimento dos requisitos autorizadores da transferência internacional de dados (artigo 35, § 3o); (iv) das situações que exigiram a elaboração de relatórios de impacto referentes a operações de tratamento de dados (artigo 38); (v) dos padrões de interoperabilidade para fins de portabilidade (artigo 40); (vi) da necessidade de indicação e atribuições do encarregado (artigo 41, § 3o); (vii) de padrões técnicos mínimos para os sistemas de proteção de dados (artigo 46, § 1o); e (viii) de prazos para a comunicação de incidentes de segurança (artigo 48, § 1o), entre tantos outros. Portanto, a ausência da ANPD, com a LGPD prestes a entrar em vigor, traz enorme insegurança jurídica para a interpretação e aplicação da lei, justamente num momento em que as empresas tentam entender melhor a norma e a ela se adequarem, lembrando que, diferentemente de outros países - como os que integram a Comunidade Europeia - o Brasil não possui legislação anterior específica atinente à proteção de dados pessoais que possa servir de parâmetro para ajudar na adaptação. A implementação de processos de adequação demanda uma quantidade significativa de tempo e dinheiro, sendo absolutamente temerário exigir das empresas que estejam aderentes à LGPD sem assegurar meios para que saibam exatamente o que e como deve ser feito. Tome-se como exemplo a obrigação de indicação de um encarregado, que, nos termos do artigo 41, § 3o, da LGPD, pode vir a ser dispensada pela ANPD, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Vale dizer, uma determinada empresa pode investir na contratação e treinamento de um encarregado e, pouco depois, ver a ANPD liberando-a da obrigação de indicação desse profissional. Outra situação emblemática é a definição dos sistemas de proteção de dados a serem utilizados. Empresas correm o risco de investir valores significativos na aquisição e implantação de sistemas que podem não preencher os padrões técnicos mínimos que venham a ser exigidos pela ANPD, nos termos do artigo 46, § 1o, da LGPD. Enfim, poderíamos trazer aqui diversos exemplos de medidas que, em breve, serão potencialmente obrigatórias, mas que suscitam dúvidas quanto à forma ou extensão em que devem ser cumpridas, trazendo insegurança jurídica para a vigência da LGPD. De outro lado, a ausência da atividade fiscalizatória da ANPD - ainda que, num primeiro momento, se dê a título informativo/didático, tendo em vista o adiamento das sanções para 1/8/2021 - dá maior margem à violação das normas de proteção de dados pessoais, colocando em xeque os direitos dos titulares, assegurados pela própria LGPD. Ciente desse cenário, o executivo federal agiu rapidamente e editou o decreto 10.474/2020, aprovando a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da ANPD. O decreto entrará em vigor na data de publicação da nomeação do diretor-presidente da ANPD no Diário Oficial da União. Nos termos da LGPD, o Diretor-Presidente da ANPD, assim como os demais membros do Conselho Diretor, devem ser escolhidos pelo presidente da República e nomeados após a aprovação pelo Senado Federal. Esperamos que agora o Governo siga promovendo a constituição de fato da ANPD, de modo a que esta passe a exercer as suas atividades o mais breve possível, garantindo a plena eficácia e aplicabilidade da Lei.
Na maior parte dos escritórios de advocacia brasileiros, estamos há aproximadamente cinco meses trabalhando em home office. O que antes era tabu para muitos ou a exceção permitida em esquema de rodízio e apenas um dia da semana - e olhe lá - virou regra, aplicável a toda equipe. Faltou preparação prévia, é certo, mas o fato é que a advocacia foi uma das profissões que melhor se adaptou à necessidade de isolamento social. Assim como já havia ocorrido com inúmeras outras profissões, nossa rotina migrou do ambiente físico para o virtual e, como as disputas não param, logo estávamos realizando o que parecia impossível: despachos, audiências e até sustentações orais por videoconferência. Aprender a operar1 ferramentas como o Zoom ou o Teams passou a ser mais importante que ter prática com editores de texto e planilhas, atingindo o mesmo grau de relevância para a profissão que o domínio do processo eletrônico. Para entender como foi possível chegarmos até aqui no que diz respeito à tecnologia, é necessário retornar uma década, para os anos de 2008 a 2010, quando, sob a presidência do ministro Cesar Asfor Rocha, o Superior Tribunal de Justiça (STJ) tomou uma iniciativa pioneira que, tempos depois, foi seguida pelos demais tribunais: a digitalização dos processos, com abandono paulatino dos autos físicos para os eletrônicos2. Mas a digitalização, que permitiu a consulta aos autos e o protocolo de petições à distância, foi apenas o primeiro passo. Pouco tempo depois, por exemplo, os órgãos julgadores do STJ passaram a adotar os julgamentos eletrônicos, trazendo maior rapidez às sessões, além do ganho em eficiência, ao permitir que os ministros - e o advogado que ocupasse a tribuna - consultassem online precedentes e, no caso dos julgadores, acompanhassem a leitura do voto do relator. Desde então, os avanços foram muitos, tendo-se a lamentar apenas o fato de os diferentes sistemas de processos eletrônicos em uso não conversarem entre si. Nesse sentido, embora não seja nada fácil a situação dos advogados, que precisam aprender os caminhos e nuances de sistemas eletrônicos muito diferentes entre si, os esforços do Conselho Nacional de Justiça para que todos os tribunais passassem a utilizar um único sistema foram extemporâneos, na medida em que as cortes já haviam investido tempo e dinheiro em determinado sistema para depois abandoná-lo. Chegamos então a 2020 e às mudanças ocorridas por conta da necessidade de adaptação do mundo jurídico ao isolamento social. Mas, como bem ponderado recentemente pelo criminalista Alberto Zacharias Toron, se é verdade que - salvo raríssimas exceções3 - não se utilizava a videoconferência para despachos com magistrados, até pelas dificuldades técnicas e a pouca familiaridade com a ferramenta, por que nunca antes se pensou no uso do telefone para esta função?4 Com efeito, é dispendioso e até mesmo ilógico o deslocamento a Brasília, que em geral consome um dia inteiro entre ida e volta, para um despacho que não costuma ultrapassar 15 ou 20 minutos. Neste sentido, o momento especial em que vivemos deve ser utilizado não apenas para que as adaptações já consolidadas permaneçam em uso após o término da quarentena. A continuidade da realização de despachos e julgamentos por videoconferência já representará um ganho em efetividade do trâmite processual, mas é possível avançar muito mais. Num despacho presencial, os advogados levam memoriais escritos para entregar ao julgador. Por que não se permitir que se exiba uma apresentação - em compartilhamento de tela - durante o despacho virtual? Essa apresentação não precisa ficar restrita a um texto, podendo ser utilizado um PowerPoint, um vídeo técnico ou até mesmo acessar um determinado website sobre o qual se pretenda produzir determinada prova. Semelhante ferramenta pode ser facilmente utilizada também nos julgamentos. Não há mais motivos para que não se permita utilizar a tecnologia durante a sustentação oral, respeitando-se o tempo destinado a ela e ficando sob a responsabilidade do advogado a qualidade do material a ser exibido durante o tempo de sua intervenção. A exibição do documento sob o qual reside a controvérsia, perante o órgão colegiado, facilita a compreensão de todos, trazendo ganho não apenas ao advogado que utiliza a ferramenta, mas também ao Judiciário e, em última análise, à sociedade, caso se chegue a decisões mais justas. Outro ponto em que se pode progredir - e muito - é na comunicação dos atos processuais. O Código de Processo Civil já traz algumas regras sobre a comunicação eletrônica5, mas a quarentena possibilitou o aprimoramento de novas facilidades, algumas das quais revestidas de grande informalidade, como o uso de aplicativos de mensagens. Desde que respeitado devido processo legal e asseguradas as garantias processuais, não há porque, passado este período, se retornar às comunicações físicas, em especial as cartas precatórias e rogatórias, cujos procedimentos burocráticos acabam por retardar o andamento processual. O uso das modalidades não eletrônicas pode ser reservado para determinadas situações em que a internet não possa substituí-la. Em conclusão, o período de pandemia fez com que o mundo jurídico rapidamente se adaptasse a novas rotinas. Agora, é o momento de aproveitar a tecnologia para ir além, para que as mudanças não se limitem à mera substituição do que antes era realizado presencialmente, mas contribuam com o aprimoramento da atividade jurisdicional. __________ 1 O uso equivocado já mostrou o enorme risco à reputação e imagem dos operadores de direito. Exemplos de maus comportamentos em sessões de julgamento aparecem diariamente na imprensa e nas redes sociais, a ponto de já ter sido afirmado que o uso correto dos botões de ligar/desligar a câmera e o microfone ser tão importante quanto a mensagem a ser transmitida. 2 É certo que antes do STJ já havia outras experiências com processos eletrônicos, mas a Corte Superior merece o reconhecimento porque foi a partir do incentivo do STJ - que passou a digitalizar todos os novos recursos e devolver os autos físicos aos tribunais de origem - que os tribunais estaduais e regionais viram que este era um caminho sem volta. 3 A ministra Nancy Andrighi, também do STJ, há anos despacha por videoconferência, via Skype. 4 Webinar Migalhas "Novas Tecnologias e o Judiciário", ocorrido em 06/08/2020. 5 Citação por meio eletrônico, "conforme regulado por em lei" (art. 246, V e §§ 1º e 2º), expedição de cartas eletrônicas (arts. 263 e 264) e intimação do advogado da parte contrária por correio eletrônico (art. 269, § 1º), todos do CPC.
Em nossa última coluna, trouxemos reflexões sobre as aplicabilidades da inteligência artificial (IA) ao meio jurídico - leitura e triagem de publicações, pesquisa de precedentes, elaboração de minutas de petições e sentenças, entre outras -, tendo apontado que, não obstante ainda estejamos longe de imaginar a substituição das atividades preponderantemente intelectuais por robôs, essa tecnologia já tem sido de grande valia ao trabalho dos chamados operadores do direito. Embora essa realidade de fato ainda esteja um tanto quanto distante, não há como ignorar que a IA já mostra sinais de que, assim como praticamente todo o mercado de trabalho, a nossa área irá passar por mudanças bastante sensíveis. A história nos mostra que o desenvolvimento tecnológico - aliado, é verdade, a outros fatores como urbanização e escassez de recursos - traz inovações disruptivas que provocam deslocamentos de grandes massas de mão de obra. Datilógrafos, telefonistas e vendedores de enciclopédias são apenas alguns exemplos de profissões que deixaram de existir, vindo, pelo menos até aqui, a serem substituídas por outras que acabam incorporando a mão de obra excedente e mantendo os níveis de empregabilidade. Entretanto, apesar desse movimento ser cíclico, o que se verifica mais recentemente é que as novas carreiras não têm sido capazes de absorver toda essa mão de obra excedente. Um estudo da PwC1 indica que, até 2030, países mais desenvolvidos como Japão, Reino Unido, Alemanha e Estados Unidos terão até um terço dos seus postos de trabalho ocupados por robôs. Além disso, conquanto no passado as profissões comprometidas fossem, via de regra, de baixa qualificação, a tendência atual é que mesmo carreiras que demandam conhecimento técnico sejam afetadas pela IA, dada a sua capacidade de perceber variáveis, tomar decisões e resolver problemas, aproximando-se do raciocínio e da inteligência humana. Consoante avaliação feita pelos professores Arthur Igreja e Allan Costa2 para reportagem da revista Exame3, profissões de elevada qualificação, como piloto de avião, anestesista e engenheiro de software, devem acabar até 2030. Embora não seja propriamente uma profissão, a lista dos professores inclui o estagiário em direito/assistente jurídico, devido ao fato de que tarefas repetitivas de acompanhamento de processos e pesquisas jurisprudenciais já podem ser realizadas por sistemas baseados em IA, como o Watson da IBM, com eficiência e precisão maiores do que quando executadas por seres humanos. De acordo com os professores "advogados que executam atividades que dependem de interpretação e deduções subjetivas continuarão sendo cada vez mais valiosos, mas assistentes jurídicos, principalmente em início de carreira, que realizam as tarefas repetitivas inerentes à atividade jurídica, fatalmente, serão substituídos por soluções de inteligência artificial". Com efeito, o momento atual já mostra uma redução sensível na contratação de estagiários e assistentes jurídicos por escritórios, empresas e mesmo repartições públicas, claramente fruto da diminuição dos serviços a serem por eles executados: (i) acompanhamentos de processos, obtenção de cópias e protocolos de petições, que antes demandavam diligências aos fóruns, hoje são realizados à distância pela via digital; (ii) pesquisas de doutrina e jurisprudência, bem como as denominadas due diligences (processos de busca e análise de contingências para avaliação dos riscos inerentes a determinada operação) são agilizadas e otimizadas por programas criados especificamente para esse fim; (iii) triagem de publicações, controle de prazos, preenchimento de guias e até mesmo a elaboração e protocolo de petições padrão - como juntada de mandato e oposição ao julgamento virtual - já podem ser feitas de maneira integrada e automática por determinados sistemas de gestão jurídica. Em suma, é difícil encontrar um trabalho típico de estagiário/assistente jurídico que não tenha sido substituído ou ao menos facilitado pela IA. Ademais, a oferta por programas e sistemas dessa natureza cresce exponencialmente, tornando o preço de tais produtos cada vez mais acessível, permitindo que até mesmo pequenos escritórios e empresas se beneficiem de toda essa tecnologia substitutiva da força de trabalho humano. Não bastasse, a Covid-19 trouxe - ou pelo menos acelerou a vinda de - mais um elemento para essa equação, consistente na virtualização de despachos, audiências e entrega de memoriais, trabalhos que, a rigor, não afetam apenas os estagiários e advogados mais jovens, mas todos aqueles que militam na área contenciosa. Ainda não se sabe se, passada a pandemia, essa nova dinâmica irá se perenizar, mas as comodidades e economias a ela inerentes levam a crer que boa parte dessas atividades seguirá sendo praticada pela via eletrônica, ou seja, mais uma rotina que reduz o trabalho dos estudantes e recém-formados - na entrega de memoriais nos gabinetes, acompanhamento de julgamentos e realização de despachos mais simples. Malgrado todas essas mudanças, a opinião quase unânime é de que as profissões ligadas ao Direito seguirão existindo, já que os trabalhos mais intelectuais, como a redação e interpretação de grandes contratos, a elaboração de peças processuais complexas e a tomada de decisões subjetivas continuarão sendo atividades eminentemente humanas. Nesse ponto, porém, surge uma questão que merece ponderação: como preparar as novas gerações de bacharéis em Direito para realizar esses trabalhos com excelência? Até hoje, boa parte da experiência desses profissionais não é adquirida nos bancos das faculdades, mas nos estágios e nos primeiros anos de exercício da advocacia. A famigerada "barriga no balcão" sempre foi fundamental para familiarização com os detalhes dos diversos ritos processuais e conhecimento dos meandros dos tribunais, assim como a assessoria a magistrados, de extrema valia para os que desejam prestar concursos públicos e o estágio em empresas, indispensável a quem quer agregar uma visão econômico e comercial do direito, para poder ocupar cargos de gerência e diretoria. Enfim, grande parcela do aprendizado e, principalmente, do amadurecimento profissional, é fruto desses trabalhos, de modo que a sua extinção tende a provocar sérias deficiências na formação e aperfeiçoamento dessas pessoas. Para evitar que isso ocorra, escritórios, empresas e órgãos do Poder Público devem agir de maneira consciente e, na medida do possível, manter essa mão de obra, ainda que com menos demanda de trabalho, investindo em treinamento para que se qualifiquem. O avanço da tecnologia no ramo do direito é um caminho sem volta. Por isso, não podemos rejeitar essa realidade, mas nos adaptarmos a ela. E, como sempre, aqueles que se aperceberem disso primeiro, desenvolvendo novos modelos de negócio, certamente sairão na frente. Será preciso dar a esses profissionais novas competências. Se, de um lado, atividades como as acima mencionadas passarão a ser realizados por máquinas, caberá a nós, de outro, a partir de um olhar integrado de mercado e uma dose de criatividade, pensar em meios para assegurar que as novas gerações de advogados desenvolvam habilidades que agreguem valor aos serviços por eles prestados, principalmente através da interdisciplinaridade. Os novos bacharéis em direito não poderão se limitar a desenvolver conhecimentos técnicos na sua área, deverão busca uma formação mais abrangente, em linha com as novas demandas de mercado, somando ao seu currículo outras aptidões. Aliás, esse movimento não é inédito. Não é raro encontrar advogados que buscam formações complementares - administração de empresas, contabilidade, engenharia e até medicina -, pensando na possibilidade de prestarem serviços mais especializados. A diferença é que, doravante, abre-se um novo horizonte, com a busca de capacitação nas áreas de tecnologia e informática, como conhecimento em programação de computador. Advogados programadores terão oportunidades destacadas de emprego em diversos novos setores, como lawtechs e empresas que trabalham com blockchain. Esse é apenas um exemplo de novas competências que podem manter a vantagem competitiva do advogado frente aos robôs. Afinal, se é verdade, como dito, que profissões tradicionais como medicina, engenharia e o próprio direito não serão extintas com o advento da IA, é igualmente verdade que tais profissões serão exercidas de maneiras substancialmente diferentes daquelas existentes na atualidade, cabendo a nós estarmos preparados para tanto. __________ 1 Workforce of the future. 2 Fundadores da plataforma digital AAA "Triple A", focada em disrupção em negócios, carreiras e economia transformadora. 3 Estas profissões podem acabar até 2030 (ao menos para os humanos).
Quando se fala no uso de Inteligência Artificial (IA) nos escritórios de advocacia e nos tribunais, a primeira reação é quase sempre de repúdio. "O computador nunca vai substituir nossa capacidade de pensamento e o trabalho intelectual envolvido na criação" bradam alguns, enquanto outros não se esquecem de ressaltar que a Justiça precisa ser humana, não pode ser tratada (só) por máquinas. Ambos estão corretos. Isso porém não afasta as inúmeras possibilidades de utilização das ferramentas de IA no dia a dia das atividades jurídicas, sobretudo em funções em que a tecnologia pode prestar um grande favor ao operador do Direito. E elas não são poucas, como veremos. A primeira atividade em que a utilização da Inteligência Artificial pode ser muito útil é na leitura e triagem de publicações. Os advogados mais experientes vão se recordar do tempo em que um dos serviços mais importantes do escritório era o recebimento dos chamados recortes dos Diários Oficiais com as publicações de decisões e despachos de seus processos. Para minimizar os riscos, muitos ainda colocavam seus estagiários para conferir na versão impressa do jornal se o serviço contratado não tinha deixado escapar nenhuma publicação. Se é verdade que há muitos anos a maioria dos serviços já migrou para a versão digital de leitura e encaminhamento das publicações por e-mail, além do acompanhamento nos próprios sites dos tribunais, o fato é que a IA, com seus mecanismos de machine learning - especialmente para afastar os falsos positivos - seria muito bem-vinda. A pesquisa de precedentes jurisprudenciais é outra atividade que passou por uma brutal modernização nas últimas duas ou três décadas. Quando o escritório não possuía aquelas imensas coleções - dentre as quais as mais famosas, Revista dos Tribunais (RT) e Revista Trimestral de Jurisprudência do Supremo Tribunal Federal (RTJ) - a saída era correr à biblioteca do tribunal ou de alguma entidade como a Associação dos Advogados de São Paulo (AASP) e debruçar-se sobre os livros na expectativa de encontrar um acórdão que se amoldasse à tese defendida. Atualmente, com paciência, encontra-se tudo nos sites dos tribunais, mas quem tem a oportunidade de utilizar um dos serviços de pesquisa incrementada pela IA possui o ganho competitivo de poder elaborar um banco de decisões de um julgador específico e, assim, traçar seu perfil com maior facilidade, ou mesmo saber quem são os doutrinadores mais utilizados para fundamentar suas decisões. O tema torna-se mais polêmico quando se discute a utilização de minutas de petições elaboradas por programas que utilizam Inteligência Artificial. Poderia um computador desempenhar tal função? A resposta é positiva, em alguns casos. Na chamada advocacia de escala, por exemplo, em que os casos se multiplicam às centenas ou aos milhares e as questões - tanto as jurídicas, quanto as factuais - são repetitivas, a IA tem grande utilidade na definição das defesas processuais e de mérito a serem apresentadas. Mas não é só, um bom estudo do entendimento das varas ou juizados especiais em que as ações ocorrem com maior frequência permite decidir com precisão se é ou não economicamente viável enfrentar a discussão até as instâncias superiores ou se a causa comporta acordo e em que bases1. Petições simples, como de juntada de documentos ou oposição ao julgamento virtual, também comportam o uso da IA nos escritórios de advocacia, podendo, inclusive, serem vinculadas ao sistema de leitura e triagem das publicações para que gerem automaticamente as respectivas minutas2. No Judiciário, o uso da Inteligência Artificial também não é novidade. Boa parte dos tribunais já utiliza algum sistema de IA, contando inclusive com o apoio e incentivo do Conselho Nacional de Justiça (CNJ), que em 2019 criou um laboratório de inovação para o processo eletrônico3. Embora ainda apresente alguns problemas e dificuldades, é visível o avanço dos sistemas de peticionamento eletrônico dos tribunais. A título de exemplo, a nova versão do e-SAJ do TJ de São Paulo identifica em um único local as últimas publicações feitas em nome do advogado e sugere, no momento do protocolo, se aquela petição está ligada à resposta ao despacho anterior. Tal qual na atividade advocatícia, a principal controvérsia reside na possiblidade de os sistemas de IA produzirem decisões no lugar dos julgadores. Poderiam eles substituir juízes, desembargadores e ministros? Dois dos sistemas mais avançados são o Victor, do Supremo Tribunal Federal e o Sócrates, do Superior Tribunal de Justiça. Com base nos temas já pacificados em sede de repercussão geral e de recursos repetitivos, tais sistemas conseguem identificar recursos extraordinários e especiais que se enquadrariam na orientação fixada por STF e STJ, facilitando a triagem dos gabinetes e a elaboração de decisões uniformes. À primeira vista, as vantagens são nítidas: celeridade processual, diminuição do acervo dos tribunais e uma possível - embora não comprovada - maior previsibilidade nas decisões judiciais, todas em consonância com os ditames do Código de Processo Civil e da Constituição Federal4. Mas há uma preocupação muito importante, externada com clareza pela ministra Nancy Andrighi, do STJ: "se usada a inteligência artificial, cujo trabalho é analisar um universo com centenas de julgados idênticos aplicando uma tese, a máquina iria separar a tese consolidada no tribunal (...) e que deve ser aplicada, com base nos precedentes", mas faria isso sem se atentar às peculiaridades do caso em questão. "É nesse momento que deve surgir o olhar atento e dedicado do juiz", concluiu5. Com efeito, a rápida identificação dos temas por meio da leitura automatizada das razões recursais pode direcionar o recurso a uma prateleira virtual de processos aguardando uma decisão já aplicada a inúmeros outros casos que não seja válida para aquele recurso específico ou, pelo menos, não seja a melhor decisão. E quem faria essa distinção? É aqui que entra o que a ministra Nancy Andrighi denominou olhar atento e dedicado do juiz, a separar situações idênticas das que devem ser decididas de maneira distinta, pois o que a princípio se enquadraria numa hipótese, pode ter peculiaridades não perceptíveis pela análise fria das máquinas e que justifiquem uma decisão diversa. Neste ponto, a IA seria um remédio que atacaria os sintomas, mas não a causa da doença. Não é possível que nossos tribunais superiores continuem a receber número exacerbado de recursos, funcionando como se fossem verdadeiro "3º grau de jurisdição". A função do Supremo Tribunal Federal e do Superior Tribunal de Justiça é a de pacificar os grandes temas constitucionais e legais e firmar uma orientação segura aos tribunais de justiça e regionais federais. Para tanto, a IA seria mero paliativo, pois a solução passa pela criação de filtros de admissibilidade que permitam aos ministros a escolha dos temas a serem decididos, como a própria repercussão geral do recurso extraordinário e a relevância da questão federal para o recurso especial, esta última ainda em debate no Congresso Nacional. Em conclusão, embora ainda se esteja longe de imaginar a substituição das funções jurídicas mais tradicionais por robôs, em especial das que envolvem a atividade intelectual, a IA pode ser de grande valia e auxílio ao trabalho de juízes e advogados, desde que esses não se esqueçam dos limites éticos do uso da tecnologia e de sua responsabilidade enquanto responsáveis finais pelas peças e decisões. __________ 1 A análise das decisões pode inclusive sugerir que a empresa evite uma nova demanda, ofertando uma solução extrajudicial que desestimule o consumidor - normalmente, quando se fala em advocacia de escala, se está diante de questões consumeristas - a procurar o Judiciário. 2 Há um outro aspecto relevante a ser avaliado, que é a potencial eliminação de mão-de-obra decorrente do maior uso das ferramentas de IA. Este tema, porém, será abordado numa próxima coluna. 3 Clique aqui (acesso em 13/07/2020). 4 Artigos 4º, 6º e 926 do CPC e 5º, LXXVIII, da CF. 5 Palestra promovida em outubro de 2019 pelo Instituto dos Advogados de São Paulo (IASP) e que pode ser acessada aqui (acesso em 16/07/2020).
Em 23/6/2020, o Banco Central editou a Circular no 4.032, dispondo sobre a estrutura inicial responsável pela governança do Sistema Financeiro Aberto, mais comumente conhecido como Open Banking, cuja implementação no país já havia sido prevista na Circular Conjunta no 1, de 4/5/2020, do Banco Central e do Conselho Monetário Nacional. A operacionalização de sistemas de Open Banking vem sendo discutida por diversos países, com destaque para o Reino Unido, que, em janeiro de 2018, com base na Diretiva de Serviços de Pagamento da União Europeia, inaugurou o Open Banking Limited, uma organização sem fins lucrativos criada especialmente para viabilizar o funcionamento do Open Banking. Esse sistema, que parte da premissa de que os dados bancários pertencem ao cliente e não às instituições financeiras, consiste em uma espécie de plataforma que permite a integração dos chamados Application Programming Interfaces (as interfaces de programação de aplicativos ou APIs, em sua sigla inglesa). As APIs podem ser entendidas como um conjunto de protocolos que garante a interoperabilidade entre dois ou mais programas. As APIs podem ser abertas ou fechadas. Empresas de tecnologia normalmente têm APIs abertas, como é o caso do Facebook, serviço de mídia e rede social virtual que pode ser integrado a qualquer site, por exemplo, para fins de login, ou seja, desde que haja a autorização do usuário, os dados que ele registrou no Facebook podem ser utilizados para realizar o cadastro em outros sites e aplicativos. O Open Banking propõe que todo o mercado financeiro tenha APIs abertas. Resumindo, o Open Banking propiciará um certo grau de comunicação entre as bases de dados das diversas instituições financeiras, facilitando a portabilidade, aumentando a transparência e estimulando a concorrência. Bancos, financeiras, plataformas de pagamento online, entre tantos outros, passarão a ter serviços integrados. Isso permite, de um lado, que uma série de novos produtos e serviços surjam para competir com aqueles que essas instituições oferecem e, de outro, que o cliente migre de uma instituição para outra ou mesmo que contrate múltiplos serviços perante instituições diferentes. Cria-se um ambiente de efetiva livre concorrência no mercado financeiro, "empoderando" o cliente, que se torna dono de seus dados e os utiliza da forma que lhe for mais conveniente. Nas palavras do diretor de Regulação do Banco Central, Otávio Ribeiro Damaso, a implementação do Open Banking no Brasil "constitui um marco notório da regulamentação do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro destinado a incentivar a inovação, a fomentar a concorrência e a aumentar a eficiência no âmbito desses sistemas, assim como a promover a cidadania financeira, em medida prioritária deste Banco Central, circunscrita na Agenda BC#, na dimensão Competitividade"1. Vale ressalvar que o Open Banking não pressupõe que toda a tecnologia das instituições seja compartilhada, muito menos que os dados dos clientes fiquem disponíveis para todo o mercado. Apenas uma camada de tecnologia será padronizada e as informações serão acessadas por uma ou outra instituição somente na medida em que haja a autorização do titular. O Open Banking trará, de uma forma geral, uma série de benefícios que tendem a ter um efeito disruptivo no mercado financeiro, tais como: (i) mais agilidade e transparência, pondo fim à burocracia interna atualmente existente nas instituições financeiras; (ii) maior liberdade e autonomia, permitindo que o cliente tenha todos os seus dados à disposição para contratar com múltiplas instituições, conjunta ou separadamente; (iii) menos custos, já que a integração do sistema permite a eliminação de intermediários como, por exemplo, operadoras de cartão de crédito; (iv) mais concorrência, pois rompe a barreira de entrada para novos produtos e serviços; e (v) novas oportunidades de negócio, devido ao surgimento de novas cadeias de serviço e ao aumento do fluxo de dados sobre os clientes. Por outro lado, o Open Banking exige extremo cuidado com a proteção de dados e a segurança da informação. Além do desenvolvimento de ferramentas cada vez mais sofisticadas para evitar o vazamento e roubo de dados, será fundamental criar normas e regulamentos para organizar o funcionamento do sistema, coibindo a utilização abusiva e/ou desautorizada das informações dos clientes. É justamente nesse sentido que caminha a Circular 4.032/2020 do Banco Central, cuja estrutura inicial de governança deverá ser formalizada até 15/7/2020 por meio de contrato a ser firmado entre associações representativas de instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central, contendo os padrões tecnológicos, procedimentos operacionais e outros aspectos necessários à implementação do Open Banking. Essa estrutura, que visa a garantir a representatividade e a pluralidade de instituições e segmentos participantes, o acesso não discriminatório dessas instituições, a mitigação de conflitos de interesse e a sustentabilidade do Open Banking, irá definir o escopo de dados, serviços e participantes, os requisitos para compartilhamento, as regras de responsabilidade das instituições no compartilhamento e o cronograma de implementação. A previsão do Banco Central é de que a implementação do Open Banking brasileiro tenha início em novembro de 2020 e seja concluído até outubro de 2021. A tendência é tenhamos um modelo mais amplo do que aquele implementado no Reino Unido, algo mais próximo do que vem sendo utilizado na União Europeia, em que todas as instituições reguladas pelo Banco Central são obrigadas a adotar a plataforma de Open Banking, disponibilizando APIs abertas, de modo a ampliar a oferta de serviços ao cliente, em conjunto com outras indústrias. É aguardar para ver. Mas, independentemente do padrão adotado, a expectativa é de que os produtos e serviços disponíveis no mercado financeiro passem por enormes mudanças, rompendo com os modelos de negócio atualmente existentes. __________ 1 Exposição de motivos da Circular 4.032/2020 do Banco Central. Saiba mais sobre a Agenda BC# em (acesso em 2/07/2020).
O combate às fake news é um dos temas mais comentados nas últimas semanas. Ele está presente nas discussões da Comissão Parlamentar Mista de Inquérito instaurada no Congresso Nacional; é objeto de importante inquérito policial em trâmite perante o Supremo Tribunal Federal, sob a relatoria do ministro Alexandre de Moraes; é um dos fundamentos de processo que tramita no Tribunal Superior Eleitoral cujo pedido é a cassação da chapa vitoriosa na última eleição presidencial; e consta de diversos projetos de lei nas duas Casas do Congresso. Em meio à confusão legislativa, o artigo desta semana destaca o controverso tema da necessidade de identificação dos internautas. Em nossa última coluna, foram abordadas falhas no PL 2.630/2020, que está no Senado Federal1 e é a proposição de andamento mais célere, quase tendo sido votada pelo Plenário daquela Casa no início de junho (foi retirado de pauta na manhã do dia da votação). Contudo, tramitando paralelamente a ele, temos: (i) na Câmara dos Deputados, o PL 3.063/20202, este de autoria dos deputados Felipe Rigoni (PSB/ES) e Tabata Amaral (PDT/SP); e (ii) de volta ao Senado, o substitutivo ao PL 2.630, apresentado pelo senador Antônio Anastasia (PSD/MG). Um dos problemas verificado para que se possa conferir maior transparência ao que é publicado nas redes sociais e transmitido em serviços de mensagens instantâneas tais como WhatsApp reside na identificação dos usuários responsáveis pela propagação das fake news. Assim, a autodenominada "Lei Brasileira de Liberdade, Responsabilidade e Transparência Digital na Internet" busca reprimir as chamadas contas inautênticas e regulamentar as contas automatizadas3 que não se identifiquem como tal perante os provedores de aplicações. O grande obstáculo é que, ainda que procurando não interferir em manifestações artísticas, intelectuais, humorísticas e literárias - que podem livremente se utilizar de pseudônimos - e existindo nítida preocupação com a liberdade de expressão dos usuários, inclusive prevendo meios de defesa contra denúncias feitas por terceiros, os projetos voltam-se a uma questão que não é nova quando se discute o combate a ilícitos propagados pela internet: a exigência de identificação precisa de cada usuário. Veja-se, a título de exemplo, como o substitutivo do senador Anastasia trata a questão: Art. 4º, § 3º - Os provedores de aplicação de que trata esta Lei devem exigir dos usuários e responsáveis pelas contas a confirmação de sua identificação e localização, inclusive por meio da apresentação de documento de identidade válido. Em outras palavras, se esse dispositivo for aprovado da forma como está redigido, cada um de nós terá que fornecer - para cada serviço que utilizarmos na internet - documento de identidade (leia-se RG e CPF), além da comprovação da "localização", o que provavelmente acabará em algum momento sendo regulado como a apresentação de uma conta de luz, água, gás ou telefone em que constem nome e endereço completos do usuário. Os provedores farão tal coleta não apenas para ter mais dados pessoais sob seu controle, mas para se precaverem de possível responsabilização civil caso seu usuário não possa vir a ser identificado quando tenha cometido algum ilícito. Como dito, a questão não é nova. Há pouco mais de uma década - época em que os dois autores desta coluna trabalhavam na assessoria de ministros do Superior Tribunal de Justiça - e muito antes da publicação do Marco Civil da Internet (lei 12.965/2014), a questão foi debatida, na medida em que começavam a chegar aos tribunais superiores as primeiras ações decorrentes de ilícitos virtuais. Diante da inexistência de lei que regulasse o tema, a pergunta que se fazia era a seguinte: na medida em que os provedores não conseguem identificar os responsáveis pelos ilícitos, devem ser eles responsabilizados? E uma das saídas então discutidas foi exatamente a exigência de que pudesse ser exigido um cadastramento prévio, comprovado pela apresentação de documentos pessoais, de modo a evitar que fossem fornecidas informações incorretas ou falsas. Tal providência acabou não sendo adotada pela jurisprudência, não tendo ultrapassado os debates. Entendeu-se à época, corretamente, que se criaria um entrave à própria dinâmica de funcionamento da internet, que exige velocidade, por vezes até mesmo uma interação imediata. Tempos depois, o Marco Civil regulou a questão, disciplinando a responsabilidade subsidiária dos provedores de aplicações por danos decorrentes de conteúdo gerado por terceiros, bem como definindo prazos mínimos de armazenamento de dados por parte tanto dos provedores de aplicações, quanto de conexão. Agora, em pleno ano de 2020, quando a proteção de dados pessoais passou a ser uma das maiores preocupações atuais e já temos - embora ainda não em vigor - uma Lei Geral de Proteção de Dados Pessoais (LGPD), a lei 13.709/2018, a questão ressurge das cinzas, numa exigência que não tem ligação propriamente dita com o combate às fake news, especialmente porque não há nada que indique que a identificação dos usuários tal como ocorre atualmente4 tenha se mostrado ineficaz. Façamos um breve exercício que sequer levará em conta os inúmeros serviços (aplicações) que mais utilizamos atualmente. O leitor já refletiu sobre quantos serviços já utilizou no passado e que sequer existem5 atualmente? Os provedores de e-mails da AOL, BOL e IG; as redes sociais Orkut, Fotolog, Google Plus e Second Life; os aplicativos de mensagens ICQ e MSN; o outrora popular Napster... A lista é infinita e todos esses serviços fizeram estrondoso sucesso e tiveram grande número de usuários em algum momento. Imagine se cada um deles tivesse uma cópia de seu RG, CPF e comprovante de residência. Onde estariam e quem seria o responsável por todos esses dados? A proposta de exigência de apresentação de documento pessoal válido para uso de toda e qualquer aplicação de internet vai de encontro aos princípios da adequação e da necessidade previstos no artigo 6º, incisos II e III, da LGPD, especialmente do último, que determina a limitação do tratamento ao "mínimo necessário para a realização de suas finalidades", com "dados pertinentes, proporcionais e não excessivos". Claramente, não é o caso deste dispositivo acrescentado na última hora ao projeto voltado ao enfrentamento das fake news. __________ 1 O PL 2.630/2020 tem autoria do senador Alessandro Vieira (Cidadania/SE) e relatoria do senador Angelo Coronel (PSD/BA). 2 Íntegra aqui. 3 De acordo com o art. 4º do PL 3.063/2020, conta inautêntica é a criada ou utilizada com o propósito de "assumir identidade inventada ou de terceiros para enganar o público", ao passo que automatizada é a conta "gerida por qualquer programa de tecnologia para simular, substituir ou facilitar atividades humanas na distribuição de conteúdo". O substitutivo ao PL 2.630/2020, por seu turno, somente faz referência às contas automatizadas. 4 Quando se deseja descobrir o responsável por um ilícito cometido na internet, requer-se ordem judicial para que o provedor de aplicações (uma rede social por exemplo) forneça informações de data, horário, IP e dados complementares, tal como a porta lógica de origem. Fornecidos esses dados, é possível a identificação do provedor de conexão e, também mediante determinação judicial, este informa os dados cadastrais do responsável pelo acesso à internet. 5 Ou que, embora ainda existam, já fizeram muito sucesso e hoje são pouco utilizados.
Tramita no Congresso Nacional, com votação em tempo recorde, o Projeto de Lei 2.630, de autoria do senador Alessandro Vieira (CIDADANIA-SE), que se propõe a instituir a lei brasileira de liberdade, responsabilidade e transparência na internet, fixando normas, diretrizes e mecanismos de funcionamento das redes sociais e serviços de mensageria privada (tais como WhatsApp, Telegram e Messenger, pra citar os mais populares), de modo a inibir a sua utilização de forma abusiva. A iniciativa vem em meio às crescentes discussões envolvendo as denominadas fake news, expressão que, embora cunhada ainda no século XIX, se popularizou em âmbito mundial durante as eleições de 2016 nos Estados Unidos da América, em que foram identificadas dezenas de sites veiculando conteúdo intencionalmente falso e enganoso envolvendo principalmente os então candidatos Donald Trump e Hillary Clinton. Desde então, o crescente aumento do acesso à internet e popularização das mídias sociais, impulsionando os lucros dos anúncios online, levou à propagação das fake news no Brasil, sobretudo a partir das eleições de 2018, em que inúmeras notícias de conteúdo duvidoso foram veiculadas, culminando com a instalação, em setembro/2019, de Comissão Parlamentar Mista de Inquérito para investigar o uso de perfis falsos para a prática de crimes cibernéticos. Este o cenário que levou à iniciativa do PL 2.630, cujo conteúdo, no entanto, trata o tema de forma inadequada e superficial, colocando em risco direitos fundamentais e trazendo enorme insegurança jurídica. O primeiro problema diz respeito às imprecisões técnicas contidas no Projeto, com conceitos que se mostram conflitantes em relação àqueles presentes na legislação em vigor, dando margem a confusões. É o caso, por exemplo, da definição de provedor de aplicação, que de acordo com o Projeto pode ser pessoa física ou jurídica, enquanto na lei 12.965/2014 - o denominado Marco Civil da Internet - são apenas pessoas jurídicas. Além do conflito frente a outras normas, o Projeto também faz uso de definições de enorme subjetividade, como a de desinformação, o que certamente resultará em dúvidas recorrentes quanto à incidência e extensão da lei. Outro grande problema refere-se ao fato de que, embora se proponha a estabelecer regras gerais aplicáveis a toda a rede mundial de computadores, o Projeto foi claramente concebido com base nas principais plataformas da internet - Google, WhatsApp, Facebook, e Twitter -, o que, diante da rápida e dinâmica evolução do meio virtual, tende a, num curto espaço de tempo, tornar a norma obsoleta. Leis dessa natureza devem ser principiológicas e não casuísticas, para que sejam perenes, capazes de acompanhar o constante desenvolvimento da tecnologia. Aliás, o Projeto em certa medida nasce ultrapassado, pois adota "soluções" já testadas - e abandonadas - como é o caso da exigência de que patrocinadores de conteúdo confirmem sua identificação e localização, inclusive por meio da apresentação de documento de identidade. Ademais, ao positivar o modelo de funcionamento de determinados aplicativos, o Projeto obriga os demais provedores a seguirem um padrão, o que induz prejuízos para a livre iniciativa, para a concorrência e para a inovação, além de impedir, ou pelo menos dificultar, que o Brasil acompanhe as modificações que venham a ser implementadas em aplicativos no resto do mundo. Por outro lado, o Projeto impõe elevada carga de obrigações aos provedores de internet, inclusive a responsabilidade exclusiva pelo combate à desinformação e o dever de monitorar conteúdos considerados falsos ou enganosos, indo na contramão do Marco Civil da Internet, que, como regra, determina que a remoção de conteúdos impróprios se dê mediante prévia ordem judicial. Ao contrariar o regime de responsabilidades do Marco Civil da Internet, o Projeto coloca em risco direitos fundamentais, em especial a liberdade de expressão, potencializando a censura, pois legitima e incentiva um maior controle dos provedores sobre a internet, até mesmo com vistas a mitigarem o risco de serem responsabilizados por danos derivados de conteúdos considerados impróprios. Seria melhor estimular a moderação de conteúdo e não exigir o seu monitoramento, o que, inclusive, vai de encontro à jurisprudência consolidada do Superior Tribunal de Justiça, segundo a qual "não se pode impor ao provedor de internet que monitore o conteúdo produzido pelos usuários da rede, de modo a impedir, ou censurar previamente, a divulgação de futuras manifestações ofensivas contra determinado indivíduo"1. Enfim, da forma com está, o Projeto não resolve o problema das fake news e, pior, cria distorções no funcionamento da internet. Não se ignora a importância de se coibir a disseminação de notícias falsas, mas justamente por conta da relevância do tema, tão caro à preservação da democracia e da ampla liberdade de expressão, o Projeto merece maior discussão, inclusive mediante consultas públicas, de modo a enriquecer o debate em torno da matéria, assegurando a edição de uma norma apta a efetivamente combater a utilização da rede mundial de computadores para fins perniciosos. __________ 1 REsp 1.568.935/RJ, Rel. Min. Ricardo Villas Bôas Cueva, 3a Turma, DJe de 14/4/2016. No mesmo sentido: REsp 1.641.155/SP, Rel. Min. Nancy Andrighi, 3a Turma, DJe de 22/6/2017; e AgInt nos EDcl no REsp 1.402.112/SE, Rel. Min. Lázaro Guimarães, 4a Turma, DJe de 26/6/2018.
Bem sabem os processualistas e aqueles que atuam diuturnamente no contencioso que a fase probatória muitas vezes representa o ponto de inflexão em uma disputa judicial. Por melhor que seja o direito defendido, a falta de uma prova crucial ou algum defeito que a torne inválida pode levar o julgador a decidir desfavoravelmente. Quando se fala em provas eletrônicas - sobretudo aquelas que estão na internet, sem a correspondente versão física - a situação pode se tornar ainda mais complicada. Expliquemos. Como se pode preservar o conteúdo de um e-mail, uma página na internet ou postagem em redes sociais ou ainda uma conversa travada por meio dos aplicativos de mensagens, tais como os populares WhatsApp e o Telegram? Sem esquecer a possibilidade de outros meios de produção da prova, normalmente se está diante de duas opções mais comuns: o chamado print de tela e a elaboração de ata notarial. Entre esses dois extremos, está a tecnologia blockchain, desenvolvida há alguns anos, mas ainda com pequena utilização em processos judiciais. Segundo a Wikipédia, o blockchain é "uma tecnologia de registro distribuído que visa a descentralização como medida de segurança. São bases de registros e dados distribuídos e compartilhados que têm a função de criar um índice global para todas as transações que ocorrem em um determinado mercado. Funciona como um livro-razão, só que de forma pública, compartilhada e universal"1. Seu criador é identificado como Satoshi Nakamoto, que teria desenvolvido a tecnologia durante a crise econômica mundial de 2008 como uma rede de dados onde "por meio de blocos com segurança avançada, os conteúdos das transações são protegidos e guardados em um sistema de alta segurança, que pode ser comparada a uma grande biblioteca, já que seus conteúdos são armazenados de maneira pública e qualquer um pode visualizar as movimentações financeiras"2. Muito aplicada nas transações de moedas virtuais como o bitcoin, a tecnologia blockchain, por possuir esse perfil de livro-razão, também pode ser validamente utilizada para comprovar a existência de certo conteúdo online. Passemos então para a análise das três opções acima indicadas. De início, importante destacar que o processo civil brasileiro possui provas típicas - as que estão listadas no Código de Processo Civil (CPC) - e atípicas, como se observa do disposto no artigo 369 do CPC, segundo o qual as partes podem empregar todos os meios legais e moralmente legítimos para provar a verdade de seus fatos, mesmo que não previstos no código. Segundo Araken de Assis, "diferentemente de outros ordenamentos, como o italiano, o direito brasileiro admite provas atípicas: a enumeração legal das provas e dos meios de prova é exemplificativa"3. Assim, salvo raras exceções, não há que se falar na necessidade de uso exclusivo de uma determinada prova. Mero print de tela de uma postagem de rede social ou de uma conversa em aplicativo de mensagem pode servir validamente para comprovar o que se pretende, em especial quando tal prova é complementada por outras que levam naturalmente à conclusão do que se está pretendendo demonstrar. Todavia, não há como negar que este é o meio mais frágil de prova de algo no ambiente virtual. Em primeiro lugar, porque é de relativamente fácil adulteração ou, quando menos, corre-se o risco de que o interessado somente junte aos autos parte do todo, cujo sentido poderia ser o oposto se o print abrangesse o conteúdo completo. Outro aspecto que não pode deixar de ser levado em conta é que esse mero recorta e cola de um site ou aplicativo não comprova, por exemplo, quanto tempo a postagem ficou no ar ou quantos foram seus acessos, fatores que podem ser relevantes no momento de fixação de uma indenização pecuniária, por exemplo. Na outra ponta, temos a ata notarial, prevista no Código de Processo Civil como meio de um tabelião atestar ou documentar "a existência ou o modo de existir de algum fato", aí incluídos "imagens ou som gravados em arquivos eletrônicos" (artigo 384, caput e parágrafo único). A ata notarial tem a grande vantagem de ser instrumento da rotina forense, com ampla aceitação pelo Poder Judiciário. Embora não se possa lhe atribuir uma eficácia de prova plena, por trazer grande segurança jurídica pode ser utilizada com sucesso para provar as mais diversas situações ocorridas na internet. O tabelião pode atestar com segurança que, ao acessar determinado site, verificou o conteúdo (textos, imagens, áudios e vídeos) que lá estava disponível, em dia e hora determinados, registrando na ata a narração dos fatos que observou. Da mesma forma, pode descrever minuciosamente a forma como acessou uma conversa em um aplicativo instalado no celular do interessado e transcrever o conteúdo das mensagens trocadas. Sem embargo, dirigir-se a um cartório e ter que realizar todo esse procedimento implica em certo formalismo não condizente com a era digital em que nos encontramos. Além do formalismo, a depender do que se pretende registrar, a ata notarial pode ter um custo muito elevado, o que por vezes impossibilitará a parte de utilizá-la. Existe ainda uma questão de ordem prática que não pode ser desprezada. Imagine-se um conteúdo altamente ofensivo publicado numa rede social às 20h de uma sexta-feira e que rapidamente começa a viralizar. O ofendido precisa tomar medidas céleres para que o conteúdo seja removido o quanto antes, sob pena de a ofensa se tornar insuportável. Todavia, não será possível aguardar até a manhã de segunda-feira para que o tabelionato esteja aberto para preservar o conteúdo ilícito antes de solicitar sua remoção definitiva. O que fazer nesse caso? Situado, como dissemos, entre os dois opostos, o blockchain pode ser a solução ideal para diversas situações. Em primeiro lugar porque, uma vez preservado o conteúdo com o uso da tecnologia, se uma das partes fizer qualquer alteração, acréscimo ou supressão, o documento não será mais comprovado pelo blockchain. Ou seja, partes e julgador saberão que o documento então apresentado não corresponde ao que foi previamente preservado. O custo também costuma ser baixo quando comparado aos valores cobrados por uma ata notarial, o que amplia o alcance da tecnologia. E não se assuste o leitor que nunca tenha ouvido falar em blockchain e, portanto, não saiba nem como iniciar na utilização da ferramenta. Uma rápida consulta na internet apontará algumas empresas que prestam o serviço de preservação por meio de blockchain, bastando fazer o cadastro, contratar o serviço e seguir o tutorial indicado. Como quase tudo na vida, as primeiras vezes podem ser um pouco mais complicadas, mas assim que se familiariza com a ferramenta, não haverá maiores dificuldades. Este ponto resolve a questão feita quando tratamos da ata notarial. Como o próprio usuário que contratou o serviço pode fazer a preservação, sem depender de terceiros, o conteúdo pode ser salvo a qualquer hora do dia, sete dias por semana, de maneira ágil que permita comprovar eventual ilicitude antes que o ofensor a retire do ar ou mesmo preservar a prova e logo em seguida buscar sua rápida remoção. Fica uma última reflexão. Diferentemente da ata notarial, por se tratar de tecnologia recente, cuja utilização judicial ainda é muito restrita, os juízes estão pouco familiarizados a seu uso, o que pode levar à necessidade de se explicar seu funcionamento ao magistrado. De igual modo, não se encontram precedentes dos tribunais que tenham tratado especificamente da validade ou não de uma prova preservada por blockchain. A questão - quando abordada - costuma ser tratada de modo incidental. Como se vê, há uma ampla gama de possibilidades para se preservar e comprovar determinado conteúdo disponibilizado na internet. O uso de cada um dos meios de prova vai depender da estratégia a ser adotada e dos riscos e possibilidades envolvidos. __________ 1 Blockchain. 2 Revista Exame. 3 ASSIS, Araken de. Processo Civil Brasileiro - volume III - Parte Especial. São Paulo: Revista dos Tribunais, 2015, p. 470.
A extraordinária evolução da capacidade de processamento dos computadores, para além de confirmar a Lei de Moore1, permitiu, nos últimos anos, um crescimento significativo da inteligência artificial ("IA") - ramo da ciência da computação que se ocupa em desenvolver mecanismos e dispositivos que simulem o raciocínio humano, ou seja, a inteligência que é própria dos seres humanos - que hoje encontra aplicabilidade em inúmeras atividades, com potencial para imprimir mudanças sociais e econômicas radicais na vida das pessoas. De fato, a IA tem as mais variadas aplicações, já estando presente em áreas como saúde e medicina (consultas, diagnósticos, cirurgias), segurança (reconhecimento facial, identificação de ataques cibernéticos), ensino e pesquisa (professores e pesquisadores virtuais), gestão empresarial (controle de qualidade, eficiência de desempenho), criação de modelos preditivos (comportamento humano, previsão do tempo) e assistência pessoal (como os aplicativos de auxílio instalados em aparelhos celulares e ativados por comando de voz), entre tantas outras. Essa nova realidade suscita diversas dúvidas e preocupações acerca dos limites éticos e morais na aplicação da IA. Em 1950, quando a AI não passava de conjectura, Issac Asimov - novelista e bioquímico considerado um dos mestres da ficção científica - criou as "três leis da robótica"2, posteriormente acrescidas de uma quarta regra3, com o objetivo de tornar possível a coexistência de seres humanos e robôs. Agora, 70 anos depois, a ficção de Asimov se tornou realidade, mas suas leis se mostram incapazes de regular as complexas relações que têm surgido em torno da utilização da IA, obrigando a sociedade a intensificar o debate em torno do tema. Para que se tenha ideia da dimensão do problema, ainda em 2015, Stephen Hawking, Elon Musk e Steve Wosniak, entre centenas de outras proeminentes personalidades ligadas à ciência e tecnologia, divulgaram, durante Conferência Conjunta Internacional em Inteligência Artificial realizada na Argentina, carta aberta alertando para o fato de que, potencialmente, a IA é mais perigosa do que as armas nucleares. Diante desse cenário, a Organização para a Cooperação e Desenvolvimento Econômico - OCDE anunciou, no ano passado, princípios para o desenvolvimento da IA: crescimento inclusivo, desenvolvimento sustentável e bem-estar; valores centrados nos seres humanos e na justiça; transparência e divulgação; robustez, segurança e proteção; e responsabilização. O Brasil, juntamente com outros 41 países, foi um dos signatários do documento. Em linha com esse compromisso assumido pelo Brasil, a Câmara dos Deputados, na figura do deputado federal Eduardo Bismarck (PDT/CE), apresentou o Projeto de Lei nº 21/2020, por meio do qual propõe a criação de um marco legal para o desenvolvimento e uso da IA no país. A ideia é estabelecer princípios, direitos, deveres e instrumentos de governança para o uso da IA no Brasil, bem como fixar diretrizes para a atuação do Poder Público, da iniciativa privada e de pessoas físicas. Entre os princípios que, nos termos do projeto, passam a reger o uso da IA, merecem destaque os da: (i) centralidade no ser humano, consistente no dever de respeito à dignidade humana, à privacidade e à proteção de dados pessoais e aos direitos trabalhistas; (ii) não discriminação, impedindo o uso da IA para fins discriminatórios, ilícitos ou abusivos; e (iii) responsabilização e prestação de contas - reproduzindo princípio contido na Lei Geral de Proteção de Dados ("LGPD"), inspirado no princípio da accountability instituído pela General Data Protection Regulation da União Europeia - que obriga os agentes de IA não apenas a cumprirem, mas a efetivamente demonstrarem o cumprimento, das normas de IA e a adoção de medidas eficazes para o bom funcionamento e a segurança dos respectivos sistemas. Além disso, o projeto cria: (i) a figura do "agente de IA", assim entendido como aquele que desenvolve, implanta e/ou opera um sistema de Inteligência Artificial e que passa a responder legalmente pelas decisões tomadas pelo sistema, assegurando que os dados utilizados respeitam a LGPD; (ii) o "relatório de impacto de IA", documento a ser elaborado pelos agentes de IA, contendo a descrição do ciclo de vida do sistema de IA, bem como medidas, salvaguardas e mecanismos de gerenciamento e mitigação dos riscos relacionados a cada fase do sistema, incluindo segurança e privacidade. A iniciativa é louvável e certamente representará grande avanço, mas, na prática, exigirá do governo investimentos perenes, fomentando o desenvolvimento de uma IA atenta às suas implicações legais, sociais e éticas, de modo a que a sua constante e inevitável integração com o ecossistema digital ocorra de maneira justa e segura. Um estudo interessante divulgado este ano pelo jornal The Economist4 mostra que o Brasil ocupa o 34o lugar - entre 100 países pesquisados - em termos de inclusão digital, caindo para a 46a posição em termos de infraestrutura e despencando para o 77º posto quando analisado especificamente o quesito de alfabetização digital, ficando atrás de países como Argentina (25a), Peru (47o), Paraguai (52o), Bangladesh (69o) e Vietnã (72o). Fica evidente, portanto, a necessidade de acelerar esse processo de inclusão digital, com foco principalmente na população menos favorecida, submetendo-a a um processo de aculturamento e integração no uso da IA, inclusive quanto aos seus direitos e deveres, bem como acompanhando a pesquisa e o desenvolvimento dos sistemas de IA, de preferência com a criação de ambientes controlados nos quais tais sistemas possam ser testados e validados previamente à sua disponibilização para o mercado. Também será necessário lidar com as implicações laborais do rápido avanço da IA que, certamente, resultará em transformações significativas no mercado de trabalho. O Poder Público deve atuar em estreita cooperação com todos os stakeholders, buscando, num primeiro momento, uma transição equilibrada e progressiva na implementação da IA nos diversos setores da economia, e, a médio e longo prazos, a qualificação das pessoas, agregando-lhes as competências necessárias para utilizarem e interagirem com os sistemas de IA. Esse "empoderamento" da mão-de-obra produtiva tem reflexo direito no sistema educacional - desde a inclusão de matérias específicas no currículo do ensino fundamental e médio, passando pela revisão e atualização das disciplinas dos diversos cursos do ensino superior, até a implantação de programas de reciclagem e formação de pessoas já inseridas no mercado de trabalho - e se mostra vital para garantir a sua recolocação no mercado, em condições de assumir novas oportunidades, substitutas dos postos de trabalho que forem sendo extintos pela IA. Enfim, não há dúvida de que a criação de um marco legal para a Inteligência Artificial no Brasil é essencial, mas é apenas o primeiro passo rumo a uma transição sustentável para uma convivência saudável, equilibrada e não discriminatória entre seres humanos e máquinas. A efetividade desse arcabouço legal dependerá da implantação de políticas públicas e de governança que assegurem o cumprimento do principal objetivo das aplicações de IA: criar valor para a sociedade. __________ 1 Postulado estabelecido por Gordon Earl Moore, um dos fundadores da Intel, no sentido de que a capacidade de processamento dos computadores dobra a cada 18 a 24 meses. 2 Apresentadas na obra "Eu, Robô": 1ª lei: um robô não pode ferir um ser humano ou, por inação, permitir que um ser humano sofra algum mal; 2ª lei: um robô deve obedecer às ordens que lhe sejam dadas por seres humanos, exceto nos casos em que tais ordens contrariem a Primeira Lei; e 3ª lei: um robô deve proteger sua própria existência, desde que tal proteção não entre em conflito com a Primeira e Segunda Leis. 3 Na obra "Os Robôs do Amanhecer" foi instituída a "lei zero": um robô não pode fazer mal à humanidade e nem, por inação, permitir que ela sofra algum mal. 4 The Inclusive Internet Index 2020.
sexta-feira, 17 de abril de 2020

Adiamento da LGPD nesse momento é precipitado

O adiamento da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) foi uma das medidas aprovadas, na sexta-feira 3/4, pelo Senado Federal, fazendo parte do projeto de lei 1.179/2020, que estabelece o regime jurídico emergencial e transitório das relações de direito privado, diploma criado para o enfrentamento de questões jurídicas entre particulares que venham a surgir durante e após o período de pandemia do covid-19. Após aprovação no Senado, o projeto foi encaminhado à Câmara dos Deputados, onde agora tramita1. Fruto de uma iniciativa conjunta, foi apresentado inicialmente pelo senador Antonio Anastasia (PSD/MG) e a versão que seguiu à Câmara foi o substitutivo da senadora Simone Tebet (MDB/MS). Na sua elaboração, contou com a participação de um grupo de conhecidos professores de Direito capitaneado pelo professor Otavio Luiz Rodrigues Junior, da Faculdade de Direito da USP e o apoio decisivo do presidente do Supremo Tribunal Federal, ministro Dias Toffoli, bem como do ministro Antonio Carlos Ferreira, do Superior Tribunal de Justiça. No tema que toca a esta coluna, o artigo 21 do projeto traz uma única porém significativa alteração de redação à lei 13.709/2018 (LGPD), cujo preceito que dispõe sobre o período de vacatio legis - artigo 65 - passa a vigorar com a seguinte disposição: Art. 65. Esta Lei entra em vigor: I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; II - 1º de agosto de 2021, quanto aos arts. 52 ao 54; III - 1º de janeiro de 2021, quanto aos demais artigos. Trocando em miúdos: já estão em vigor, desde dezembro de 2018, os artigos que disciplinam a criação e o funcionamento da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados e da Privacidade (inciso I); as sanções administrativas decorrentes da lei só entrarão em vigor em 1º de agosto de 2021 (inciso II), aumentando, assim, o prazo de vacância inicialmente previsto de 18 para quase 36 meses; todo o restante da lei entrará em vigor em 1º de janeiro de 2021 (inciso III). Ou seja, deixando-se de lado os artigos que já se encontram vigentes, caso o projeto seja aprovado na Câmara da forma como proposto pelo Senado e, a seguir, seja sancionado pelo presidente da República, adia-se a entrada em vigor da Lei Geral de Proteção de Dados em aproximadamente mais quatro meses após o prazo que até então estava previsto - 15/8/2020 - e, no que toca às punições decorrentes da lei, o prazo é alargado em praticamente mais um ano. A ideia foi balizar, de um lado, "a proteção dos dados pessoais em sua plenitude" e, de outro, o argumento de que, por conta da pandemia, inúmeras empresas estariam "impossibilitadas de, nesse momento, adotar as medidas necessárias para cumprir as obrigações" previstas na LGPD2. Sem desconhecermos posicionamentos favoráveis ao adiamento - existia, antes mesmo do surgimento da pandemia, um projeto de lei que empurrava o início da vigência da LGPD para agosto de 2022, tendo por justificativa o alegado grande número de empresas que ainda não se encontrava pronta - a medida nos parece precipitada. Em primeiro lugar, porque, apesar de tudo, ainda se está num momento inicial da crise, sem que seja possível, por enquanto, prever ou estimar sua duração e seus reais impactos à sociedade e aos diversos setores da economia. Como a previsão de entrada em vigor da lei é somente meados de agosto, seria mais prudente que o adiamento, caso se mostrasse realmente necessário, fosse decidido mais para frente, em junho ou julho, quando provavelmente já se terá um panorama mais concreto dos efeitos da pandemia decorrente do coronavírus. Ademais, em nossa última coluna abordamos outras questões sensíveis relativas à proteção de dados e ao controle da privacidade durante a atual crise, destacando que diversos abusos podem ser cometidos sob o pretexto de proteção da saúde pública e combate à pandemia. Na última semana, a título de exemplo, o Fantástico abordou a vigilância severa e altamente tecnológica que o governo chinês vem exercendo sobre seus cidadãos e estrangeiros que se encontram naquele país3. Na mesma linha do aqui defendido, o Ministério Público Federal (MPF) externou posicionamento contrário ao adiamento do início da vigência da lei. Em nota técnica conjunta4 elaborada pela Procuradoria dos Direitos do Cidadão e pela Câmara Criminal, o MPF frisou que a garantia da proteção dos dados pessoais é "necessária tanto em relação ao Estado, quanto em relação às grandes companhias", na medida em que atualmente não se conhece o uso que é dado aos dados pessoais dos cidadãos. Ao contrário dos que entendem que o adiamento se faz necessário neste momento de crise, para o Parquet Federal a garantia da saúde pública e da aplicação de medidas sanitárias "não significa abrir mão de direitos de proteção de dados pessoais e de privacidade", além do que a manutenção da data prevista para entrada em vigor da lei demonstrará o comprometimento do Brasil em adequar nossa legislação aos diplomas mais modernos de proteção de dados, como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR). Mais relevante do que simplesmente transferir o problema para agosto de 2021 - uma vez que a entrada em vigor dos demais dispositivos da lei em janeiro do próximo ano, desprovidos de fiscalização e de sanções, terá efeito reduzidíssimo - seria a efetiva criação, instalação e efetivo início do funcionamento da ANPD. Destaque-se: aplicar sanções não é a única atribuição da ANPD. Ao contrário, o órgão tem como funções, entre tantas outras, zelar pela proteção dos dados pessoais, elaborar as diretrizes de como será a política nacional de proteção de dados e da privacidade, fiscalizar a aplicação da lei por parte de empresas e dos órgãos governamentais e difundir o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança. Espera-se, ao menos nos primeiros meses de sua atuação, uma postura de caráter muito mais educativo do que punitivo por parte da Autoridade Nacional. Num país com pouca tradição na proteção dos dados pessoais, a orientação clara por parte da ANPD é o porto seguro que as empresas encontrarão para definir e orientar os procedimentos que estão - ao menos para as empresas que não deixaram para a última hora - em fase final de implementação. Para tanto, é necessária vontade política por parte do governo Federal, já que a Autoridade Nacional foi criada como órgão da administração pública Federal diretamente ligado à presidência da República. Nessa linha, enquanto sequer há sinalização da efetiva instalação da ANPD, qualquer discussão sobre adiamento da entrada em vigor da lei se mostra precipitada. __________ 1 Até a véspera da publicação desta coluna, em 16/04/2020, o projeto não havia recebido nenhum andamento na Câmara dos Deputados, onde ainda aguardava despacho de seu presidente para início de tramitação. 2 De acordo com o parecer final da relatora, senadora Simone Tebet, na versão aprovada no Senado. 3 Assista à reportagem. 4 Íntegra.
À medida em que os impactos do Coronavírus se agravam, exigindo medidas de contenção da doença, verifica-se uma tendência entre autoridades mundiais de abrandarem as restrições ligadas ao tratamento de dados pessoais, de modo a facilitar o monitoramento do surto e a pesquisa e o desenvolvimento de tratamentos. A Global Privacy Assembly, fórum mundial de proteção de dados e privacidade criado há mais de 40 anos e que reúne autoridades de cerca de 130 países, identificou alterações na privacidade de dados em ao menos 27 países, entre eles Hong Kong, Itália, Espanha, França e Estados Unidos, localidades fortemente atingidas pela pandemia1. Em Hong Kong, por exemplo, foi autorizada a extração de informações de mídias sociais para rastreamento de portadores do Covid-19. Por intermédio de declaração pública2, a Comissão de Privacidade para a Proteção de Dados, suscitando o artigo 59 do Personal Data Privacy Ordinance (PDPO, Decreto de Privacidade de Dados Pessoais de Hong Kong), que prevê exceção à regra geral de privacidade de dados para a salvaguarda da saúde física ou mental do titular ou de terceiros, afirma que o direito à privacidade de dados pessoais não é absoluto, cedendo frente ao direito absoluto à vida. Com base nessa premissa, declara que "o governo pode coletar e usar informações disponíveis online e off-line com o auxílio de dispositivos, aplicativos, softwares ou supercomputadores visando ao monitoramento de pacientes ou potenciais portadores de Covid-19". Na Espanha, por sua vez, foram editados diversos atos pela Agência de Proteção de Dados, relacionados ao controle do Coronavírus, baseados no Considerando 46 da General Data Protection Regulation (GDPR, Lei Geral de Proteção de Dados da Comunidade Europeia) - que autoriza o tratamento de dados pessoais em casos excepcionais, como para o controle de epidemias e a sua propagação -, obrigando, por exemplo, controladores de empresas públicas e privadas a repassarem informações sobre servidores e empregados infectados pelo Covid-193, bem como permitindo o tratamento de dados pessoais de saúde sem consentimento do titular4. No Brasil, embora nossa Lei Geral de Proteção de Dados, lei 13.709/2018 ("LGPD"), ainda não esteja em vigor e sequer tenhamos a Autoridade Nacional de Proteção de Dados devidamente constituída, é possível identificar dispositivos na lei que, em uma situação crítica como a que vivemos, conferem maior flexibilidade ao tratamento de dados pessoais, notadamente: (i) artigo 4o, III, "a", que não sujeita à lei o tratamento de dados pessoais realizado para fins exclusivos de segurança pública; artigos 7o, VIII, e 11, II, "f", que autorizam o tratamento de dados pessoais, mesmo que sensíveis, para a tutela da saúde por profissionais da área, serviços de saúde e autoridade sanitária; e (iii) artigo 13, que autoriza o acesso a bases de dados pessoais para a realização de estudos em saúde pública. A despeito da indiscutível existência de uma situação material e de base legal para a mitigação das regras gerais de proteção de dados pessoais, é indispensável que haja, em contrapartida, por parte de controladores e operadores, respeito aos limites do tratamento de dados nessa circunstância excepcional e conscientização quanto à necessidade de adoção de medidas adicionais de proteção e segurança. Nesse contexto, um outro caso que vale menção é o da China, onde há notícia5 de diversas medidas adotadas pelas autoridades locais visando, alegadamente, o controle do Coronavírus, entre elas que usuários de transporte público em todo o país informem seus dados pessoais antes de tomar ônibus, trens e táxis, bem como da existência de aplicativo que permite saber se a pessoa esteve em um trem ou avião com alguém que contraiu a doença. Medidas como essas à primeira vista poderiam ser tidas como excessivas e desproporcionais, mas podem ser justificáveis em caso de estado de calamidade, na hipótese de necessidade de proteção da vida do titular ou de terceiro, ou ainda tutela da saúde (artigo 7º, VII e VIII, da lei). Mesmo diante das novas possibilidades de tratamento de dados pessoais surgidas em virtude do Coronavírus, esse tratamento deve ser realizado exclusivamente pelos entes legitimados para tanto e ainda assim para fins específicos de prevenção ou tratamento da doença, enquanto esta representar um risco sanitário e jamais para fins discriminatórios, ilícitos ou abusivos, tal como preceitua o artigo 6o, incisos I, II, III e IX, da LGPD. Tais dados não podem ser tornados públicos e sujeitam à responsabilização em caso de utilização fora da finalidade legal. Ademais, mesmo nas hipóteses excepcionais de tratamento, ainda que dispensado o consentimento do titular, este deverá ser devidamente informado acerca de quais foram seus dados pessoais coletados (em especial dados sensíveis), com que finalidade e até quando serão armazenados, tudo conforme exigência do artigo 6o, incisos V e VI, da LGPD. Finalmente, há de se considerar a necessidade de cumprimento do dever de segurança contido no artigo 6o, inciso VII, da LGPD, o que exige um cuidado adicional com a privacidade e a segurança das bases de dados, objetivando evitar ataques de hackers e mesmo vazamentos acidentais por empregados e colaboradores. Aliás, no que tange especificamente à segurança da informação, vale acrescentar que o cenário pandêmico do Coronavírus tem levado a enormes mudanças no cotidiano de pessoas e empresas, impondo um regime de reclusão e isolamento que conduz inevitavelmente a um aumento significativo no acesso à rede mundial de computadores, às redes particulares de computadores (intranet) e à aplicativos para aparelhos móveis, circunstância que eleva, em igual medida, as preocupações com a proteção de dados pessoais. Diante das determinações de quarentena por governos locais, como é o caso dos Estados de São Paulo e Rio de Janeiro, e, de um modo geral, do justificável receio de interação social, a população em geral tem feito uso de programas e aplicativos que substituem a necessidade de presença física nos mais variados lugares e circunstâncias, como no trabalho, via home office, em consultórios e hospitais, via telemedicina, e em lojas e restaurantes, via aplicativos de entrega em domicílio. Essas novas rotinas induzem não apenas maior fluxo de dados pessoais pela via digital, como também aumentam a exposição desses dados a situações e ambientes mais inseguros, com a consequente elevação do risco de vazamento. Trazendo mais um exemplo da China, lá há registro de que parte dos moradores de Wuhan - provável origem e epicentro inicial do Covid-19 - teve seus dados pessoais, inclusive nome, endereço e deslocamentos diários, vazados na internet devido ao medo trazido pela disseminação da doença5. A verdade é que a situação propicia a coleta, o processamento e a divulgação de dados pessoais de forma abusiva, exigindo cuidado redobrado de todos, em especial no Brasil, onde o direito específico à proteção de dados pessoais é recente, ainda não arraigado nos costumes e na cultura do brasileiro. Diante disso, é fundamental que empresas revejam suas políticas de segurança e proteção internas e externas para delimitar as responsabilidades de seus colaboradores no tratamento de dados pessoais, garantindo o uso correto dos sistemas durante o home office, via disponibilização de ferramentas e soluções que mantenham os níveis de segurança da informação e esclarecimentos sobre a utilização de dispositivos pessoais e de redes públicas. Eventualmente, pode ser útil - e até mesmo recomendável - que empresas elaborem um relatório de impacto à proteção de dados, nos moldes daquele previsto nos artigos 38 e 50, § 2º, I, "d", da LGPD, específico para o cenário atual, contemplando projetos e iniciativas que envolvam formas novas ou adaptadas de tratamento de dados pessoais, de modo a identificar ameaças adicionais e propor medidas de salvaguarda e redução de riscos. Entre as medidas de segurança, pode-se destacar: (i) atualização e/ou upgrade dos sistemas de segurança digital para suportar o aumento de demanda decorrente de acessos remotos, realizando testes preventivos; (ii) instalação de sistemas de segurança cibernética em laptops, tablets, smartphones, dispositivos de armazenamento e computadores de acesso remoto; (iii) melhoria na qualidade das senhas de acesso e implantação de autenticações multifator (mecanismo de confirmação da autenticidade do usuário, geralmente por mensagem SMS automática ou um aplicativo que gera códigos secundários de acesso) para sistemas e fontes de acesso remoto, inclusive serviços de nuvem; (iv) assegurar que os dispositivos de acesso remoto estejam armazenados em local seguro quando não estejam sendo usados; e (v) utilização de contas de e-mail corporativas e não pessoais para todos os e-mails relacionados a trabalho. Nota-se que parte dessas medidas depende da conscientização dos próprios usuários, valendo lembrar que, em empresas, todo e qualquer indivíduo é um potencial vazador de dados. Por isso a importância do oferecimento constante de cursos de treinamento e reciclagem em proteção de dados, com vistas a difundir e perpetuar a cultura da empresa, criando um ambiente corporativo seguro, mesmo quando o trabalho é executado remotamente. Enfim, o Coronavírus tem justificado novas práticas que interferem diretamente no tratamento de dados pessoais. Embora legítimas e necessárias, os princípios fundamentais aplicáveis à proteção de dados pessoais, com destaque para a transparência, segurança, prevenção, não-discriminação, finalidade, adequação e necessidade, permanecem válidos e, mais do que nunca, devem ser rigorosamente observados por controladores e operadores, tanto na esfera pública quanto na privada, de modo a assegurar que, durante e após a superação dessa crise, sejam mantidos intactos direitos e garantias fundamentais ligados à privacidade. ___________ 1 https://globalprivacyassembly.org/covid19/ 2 https://www.pcpd.org.hk/english/media/media_statements/press_20200226.html 3 https://www.aepd.es/es/documento/2020-0017-en.pdf 4 https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en 5 Conforme artigo veiculado pelo jornal chinês South China Morning Post, intitulado Coronavirus accelerates China's big data collection, but privacy concerns remain: https://www.scmp.com/tech/apps-social/article/3052232/coronavirus-accelerates-chinas-big-data-collection-privacy.
Daniel Bittencourt Guariento e Ricardo Maffeis Martins A notícia da disputa travada entre a Ordem dos Advogados do Brasil (OAB) e diversas startups criadas para pleitear indenizações por problemas no setor aéreo (atrasos, cancelamentos, perdas de bagagem etc.) leva ao necessário e iminente debate sobre como a advocacia vai se portar diante da possibilidade cada vez maior da prestação de serviços jurídicos - ou "quase jurídicos" - por lawtechs1. Nos últimos anos, muitas profissões e setores da economia foram fortemente afetados por sites e aplicativos dos mais diversos. Começando pelo setor das gravadoras musicais - provavelmente o primeiro a ser impactado pela economia digital - passando pelos taxistas, antes hegemônicos no transporte individual de passageiros e que atualmente concorrem com aplicativos de alcance mundial e preços baixos, como Uber e Cabify, e até o mercado hoteleiro, que passou a enfrentar a dura concorrência de pessoas e empresas alugando quartos ou residências inteiras em plataformas nas quais o AirBnB é o destaque. Os leitores mais jovens provavelmente nem saibam, mas muitos dos serviços que hoje contam com grande apelo popular e aceitação por parte do Poder Público eram proibidos. Por exemplo, o transporte remunerado em veículos particulares que não fossem táxis era conhecido como transporte clandestino ou pirata e combatido pelas autoridades de todo país2. É certo que o avanço tecnológico não para. Uma vez identificado um ramo em que os algoritmos possam organizar de forma eficiente a prestação do serviço, cobrando valores mais baixos e com prestadores sempre à disposição - de forma ágil - aos consumidores, tudo isso aliado ao desenvolvimento de uma ferramenta ou aplicativo de fácil utilização, não faltarão empresas interessadas em atuar naquele setor. Quando a atuação é exitosa, ou o setor rapidamente procura se adaptar, ou é duramente impactado, muitas vezes de forma desruptiva. Um dos problemas verificados é que, por vezes, grande parte do lucro fica com os desenvolvedores dos aplicativos, de modo que os trabalhadores - que não são considerados empregados, mas autônomos ou "parceiros" sem vínculos formais com a empresa, por possuírem liberalidade para trabalhar apenas quando desejam3 - acabam tendo poucos direitos trabalhistas e atuando com grande fragilidade, fenômeno que recebeu o nome de "uberização das relações de trabalho"4. A advocacia, até agora, estava livre deste problema. Embora já existissem algumas câmaras privadas de conciliação e mediação, que pudessem de certa forma praticar um serviço antes desempenhado por advogados, sua atuação ainda é muito restrita e o escopo é bem definido: atuam na tentativa de ajudar as partes a chegarem a um acordo. De igual modo, plataformas como Reclame Aqui (privada) ou Consumidor.Gov (pública), embora contem com grande aceitação por parte dos consumidores, não ultrapassam a barreira da tentativa extrajudicial de conciliação entre vendedor ou prestador de serviços e o cliente. Caso o acordo seja infrutífero, resta ao consumidor decidir se ingressa em juízo ou não. A situação muda de patamar com as startups criadas para defender direitos dos passageiros do setor aéreo. Uma das empresas, a Quick Brasil, informa em seu site que "você tem direito a receber uma compensação financeira em 2 dias úteis caso tenha passado por situações de perda de conexão, embarque negado, voo cancelado e atrasos de voo" e, em letras garrafais, anuncia: "receba R$ 1.000,00 em 2 dias". Qual o segredo para ofertar dinheiro de forma tão rápida e fácil? A empresa esclarece: "nós cuidaremos de cobrar a companhia aérea". E o que essas empresas ganham com isso? Ora, o que elas conseguirem junto às companhias aéreas - em nome do consumidor a quem já pagaram antecipadamente - ficará para elas. E esta cobrança pode ser feita extrajudicialmente ou ingressando em juízo5. Um estudo bem feito, com auxílio de inteligência artificial, pode rapidamente identificar qual o valor do tíquete médio da indenização para cada uma das ocorrências e, assim, indicar o caminho mais lucrativo a ser seguido, garantindo lucro certo para a empresa. A discussão atual é se essa prática constitui ou não serviço privativo de advogado. Para a OAB, não há dúvida que sim, tanto é que a seccional fluminense da Ordem já ajuizou sete ações contra as lawtechs do setor aéreo, além de propor ao Congresso Nacional a criminalização da prática. A OAB pontua que os valores oferecidos são irrisórios, além de alegada infração ao Estatuto da Advocacia (lei 8.906/1994). As empresas aéreas reclamam que a prática estaria causando verdadeiro overbooking de ações judiciais contra o setor, congestionando ainda mais o Poder Judiciário. Em sua defesa, as startups, que recentemente criaram uma associação para defesa de seus interesses, argumentam que há demanda dos consumidores e que as companhias aéreas deveriam melhorar seus serviços, ao mesmo tempo em que sustentam trabalhar com dados, o que as afastaria de qualquer regulamentação da OAB6. À primeira vista, fica difícil diferenciar o serviço prestado por elas da prática de advocacia quando outras dessas empresas, como LiberFly, Resolvvi e Indenizando, oferecem a opção de "negociação tradicional", em que elas ficam com 30% do valor da indenização, apenas em caso de êxito, também chamado de taxa de serviço. Também a questão da publicidade - algumas dessas empresas fazem divulgação maciça nas redes sociais - assusta os advogados, na medida em que os tribunais de ética da OAB são muito rigorosos nesse tema. Muitos setores da economia já se depararam com novos concorrentes surgidos a partir do desenvolvimento tecnológico. Num primeiro momento, adotaram uma postura de combate, mas, na maioria dos casos, tiveram que se adaptar e criar diferenciais competitivos. Ao que parece, chegou a hora da advocacia enfrentar esse desafio. Reconhecimento facial Em nossa coluna de 14/02/2020 sobre os riscos das tecnologias de reconhecimento facial, mencionamos o caso da empresa Clearview, que desenvolveu um aplicativo que seria capaz de comparar uma fotografia com um banco de bilhões de imagens recolhidas da internet, já em uso por centenas de agências policiais dos EUA. Pois bem, no último dia 26 de fevereiro, a empresa anunciou "ter perdido toda sua lista de clientes para hackers"7. Como afiramos na ocasião, é necessário o aprofundamento dos estudos e discussões sobre o uso dessa tecnologia antes de sua disseminação. __________ 1 Lawtechs ou legaltechs são as startups que criam produtos e serviços tecnológicos para a área jurídica. 2 A título de exemplo, o transporte da capital paulista ao litoral, nas imediações da rodoviária do Jabaquara: "Clandestino usa carro para transporte ao litoral" (AgoraSP, 24/08/2009) e da rodoviária do Plano Piloto, em Brasília, para as cidades satélite: "Transporte pirata cria táticas e burla fiscalização no DF" (Alô Brasília, 02/02/2010). 3 De acordo com a maior parte das decisões já proferidas pela Justiça em diversos países. No Brasil, vide "Motorista de Uber não tem vínculo empregatício com aplicativo, diz STJ" (Agência Brasil, 04/09/2019) e "Turma do TST nega vínculo de emprego entre Uber e motorista" (Consultor Jurídico, 05/02/2020). 4 Nesse sentido, "A uberização das relações de trabalho" (Carta Capital, 9/8/2019). 5 O site da Quick Brasil não deixa claro se a empresa ingressará em juízo ou utilizará outro meio de solução de conflitos. O que parece certo é que a pessoa que optar por receber os R$ 1 mil de forma rápida transfere seus direitos para aquela empresa. 6 A reportagem "Startups prometem indenização por problemas no setor aéreo; para OAB, serviço é ilegal" (Migalhas, 18/02/2020) traz todos os pontos de vista em debate. 7 "Empresa de IA tinha bilhões de fotos nossas, e agora hackers levaram tudo" (Tilt/UOL, 26/02/2020).
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Na última década o cotidiano da sociedade passou por enormes transformações em razão da Internet das Coisas ("IoT", na sua nomenclatura em inglês), revolução tecnológica que permite às máquinas e equipamentos se conectarem à rede mundial de computadores, trocando dados e informações. Tecnologias de comunicação de baixo custo e de baixo consumo de energia tornaram a IoT acessível à população em geral, fazendo com que objetos de uso diário se tornem parte das denominadas human-centric networks, isto é, redes de conexão centradas no ser humano. A IoT vai muito além de laptops e smartphones, alcançando residências e cidades inteligentes, carros, eletroeletrônicos, utensílios domésticos, relógios, brinquedos, inúmeros serviços conectados, entre tantos outros. De acordo com o relatório Gartner1, até 2025 teremos cerca de 1 trilhão de dispositivos conectados às diversas tecnologias de IoT2: RFID (identificação por rádio frequência), NFC (comunicação por campo de proximidade), 3G, 4G, 5G (gerações de redes móveis) e sensores. A despeito dos enormes benefícios e das facilidades proporcionadas pela IoT, a sua utilização tem suscitado grandes dúvidas e receios no campo da privacidade, sobretudo em vista da massiva quantidade de dados sujeita a tratamento, em especial os dados pessoais sensíveis, ou seja, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5o, II, da lei 13.709/2018, a Lei Geral de Proteção de Dados, "LGPD"). Vale destacar que, nessa seara, entram também os dados pessoais equiparados a dados pessoais sensíveis, assim entendidos como aqueles que possam revelar dados pessoais sensíveis (art. 11, § 1o, LGPD). Para além disso, o uso da IoT traz uma série de desafios, dentre os quais merecem destaque: (i) Dependência do usuário: os usuários estão cada vez mais imersos e dependentes da IoT; (ii) Dispersão: há enorme dificuldade de se rastrear e identificar os prestadores de serviço de IoT, que no mais das vezes estão localizados em países diversos daqueles em que os dados são coletados; (iii) Novos modelos de negócio: o uso da IoT exigirá a criação de novos modelos de negócio, que contemplem os novos tipos de dados disponíveis; (iv) Identidade: cada um dos bilhões de dispositivos de IoT deverá ter uma identificação própria para se conectar à rede, o que tende a acarretar problemas relacionados à identidade; (v) Exposição excessiva: dispositivos de IoT tendem a estar constantemente conectados à rede, resultando em uma quantidade massiva de dados (big data), que ficará exposta a ataques e vazamentos; (vi) Comportamento autônomo e inesperado: os bilhões de dispositivos de IoT, juntamente com outros dispositivos e sensores, formarão uma rede híbrida e interconectada que poderá interferir em ações humanas, gerando comportamentos ambíguos de difícil compreensão pelo usuário; e (vii) Governança: o número considerável de roteadores, switches e informações tornará a troca de dados mais rápida e barata, dificultando o monitoramento e controle da IoT, sobretudo diante do princípio da accountability3. Diante disso, de modo a enfrentar tais desafios e viabilizar um crescimento ordenado e seguro da IoT, muito se tem discutido sobre moral e ética, ou seja, a fixação de padrões mínimos de comportamento social na utilização da IoT, sobretudo no que diz respeito à privacidade, acessibilidade e integridade das informações. As maiores preocupações referem-se à correta identificação do titular e à obtenção de sua autorização para o tratamento dos dados, bem como à imposição de limites na coleta de informações dos usuários, com a definição do que deve ser considerado dado público e privado, considerando a hiperconectividade proporcionada pela IoT. O ideal é que diretrizes mínimas sejam fixadas desde logo, de modo a que a IoT se desenvolva em um ambiente estruturado e saudável, que permita a exploração de todas as suas potencialidades, mas sempre com os olhos voltados para a premissa maior de preservação dos direitos dos usuários. Cuida-se de um enorme desafio, em especial devido ao dinamismo da internet e à velocidade com que as mudanças ocorrem no mundo digital, cuja regulamentação jurídica certamente exigirá elevado grau de desprendimento frente a princípios tradicionais de direito, levando ao surgimento de novos paradigmas, que possam melhor tutelar essa nova realidade que nos cerca. __________ 1 Empresa líder de mercado em pesquisa e consultoria, responsável pelo desenvolvimento de tecnologias para ajudar na tomada de decisões, com visões de negócio, orientações e ferramentas necessárias ao atingimento de metas críticas e à construção das empresas do futuro. 2 Clique aqui. 3 O princípio da accountability foi incorporado à LGPD, encontrando-se expressamente previsto em seu artigo 6º, X, intitulado princípio da responsabilização e da prestação de contas. Cuida-se, em síntese, da obrigação do controlador de adotar medidas eficientes e capazes de comprovar a observância e o cumprimento, em bases contínuas e permanentes, das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Nos últimos anos, o reconhecimento facial deixou de ser uma tecnologia de filmes de ficção científica e passou a fazer parte do cotidiano de empresas e órgãos governamentais. Quase sempre sob o argumento de aumento da segurança e prevenção à ocorrência de crimes, a vigilância por reconhecimento facial passou a se fazer presente no noticiário, como no Carnaval de 2019, em que foi utilizada nas cidades de Salvador e do Rio de Janeiro. À época, noticiou-se que as câmeras de segurança instaladas nas vias públicas ajudariam a monitorar a festa, comparando os rostos identificados com as fotografias dos bancos de dados de órgãos como Polícia Civil e Detran. Embora as duas capitais estejam entre as mais visitadas do País durante o Carnaval, os resultados foram pífios: um suspeito preso na capital baiana e quatro no Rio de Janeiro1. Para este ano, já se anuncia o uso da tecnologia na capital paulista, que deverá comparar as imagens obtidas com um banco de dados de mais de 30 milhões de fotografias de carteiras de identidade2. O problema é que o propalado aumento da segurança vem atrelado à mitigação da privacidade das pessoas. O leitor já se deu conta de por quantas câmeras de segurança passou no dia de hoje? Desde o elevador e a garagem do prédio onde reside, passando pelas portarias dos edifícios comerciais e as inúmeras câmeras em shopping centers. Isso sem falar nas câmeras instaladas nas ruas, as quais nem sempre se tem facilidade em localizar. Embora poucas delas já estejam aptas a realizar o reconhecimento facial, não é preciso muito para tanto. A princípio, basta a instalação de um software e a associação a um banco de dados para tanto. Por conta disso, a sociedade civil começou a se questionar - mundialmente - sobre a rapidez com que a tecnologia vem sendo aplicada e, principalmente, suas consequências. Um dos movimentos mais conhecidos vem da União Europeia, que estuda proibir o uso do reconhecimento facial em espaços públicos por um período de três a cinco anos para que o debate seja ampliado e estudados os impactos e os riscos inerentes à adoção generalizada da tecnologia3, que já vem sendo implementada em diversos países. Na mesma linha, a cidade de São Francisco (EUA) desde maio de 2019 proíbe o uso da tecnologia pela polícia e pelos demais órgãos da Administração. No centro do debate, o possível abuso da ferramenta - que não é livre de falhas e é potencializada graças ao avanço da inteligência artificial - e a criação de um Estado de vigilância. Nas palavras do advogado de uma associação de liberdades civis estadunidense, o reconhecimento facial "dá ao governo um poder sem precedentes para rastrear as pessoas em seu dia a dia"4. A tecnologia já faz parte do cotidiano, como no Facebook, onde nossos familiares e amigos são apontados quando postamos uma foto - e nosso OK à indicação da pessoa ajuda a treinar os algoritmos -, para desbloquear determinados telefones celulares e no cadastramento de um novo chip em algumas operadoras de telefonia. Porém, mesmo já possuindo certa familiaridade com a ferramenta, algumas notícias impressionam, como a informação de que uma pequena empresa dos EUA criou um aplicativo supostamente capaz de comparar uma foto com um banco "de mais de três bilhões de imagens" recolhidas indistintamente da internet, nas redes sociais e em sites como o YouTube. Tal aplicativo já estaria em uso por mais de 600 agências policiais dos Estados Unidos5. Acrescente-se a existência de estudos que apontam para diversas falhas nos sistemas de reconhecimento, como o elevado percentual de "falsos positivos", quando a ferramenta identifica uma pessoa errada como sendo um procurado ou fugitivo. Os erros acontecem em número muito maior quando são analisadas pessoas negras ou asiáticas em comparação a brancos, o que vai na mesma linha da conclusão de uma pesquisa brasileira de que nove em cada dez pessoas presas por reconhecimento facial no Brasil são negras6. No Brasil, a discussão mais recente envolve a Companhia do Metropolitano de São Paulo (Metrô). A Defensoria Pública da União e entidades como o IDEC e a associação Artigo 19 questionaram judicialmente, por meio de pedido de produção antecipada de provas, a decisão da empresa de instalação de um sistema de reconhecimento facial nas estações7. As entidades requerem diversas informações sobre privacidade e se há ou não o consentimento dos usuários do metrô paulistano, uma das bases legais para tratamento de dados pessoais prevista na Lei Geral de Proteção de Dados (LGPD). Não se está a afirmar que a tecnologia de reconhecimento facial só tenha pontos negativos, ao contrário. No âmbito empresarial, por exemplo, pegando-se uma hipótese aqui já comentada, o reconhecimento pode ser muito útil para evitar que outra pessoa compre ou troque um chip de celular utilizando um aparelho e um documento furtados, evitando assim golpes como aquele em que um terceiro assume a conta de WhatsApp do titular e tem acesso total às suas comunicações. Contudo, o aumento do estudo dos diversos aspectos envolvendo o reconhecimento facial (em especial das questões ligadas à privacidade) e o aprofundamento das discussões sobre o uso da tecnologia pelas autoridades públicas é primordial, sob risco de instalação de um Estado cada vez mais próximo do Grande Irmão da célebre obra de George Orwell. __________ 1 Informações obtidas nos seguintes links: "Rio e Salvador terão sistema de reconhecimento facial no Carnaval" (Folha de S.Paulo), "Procurado por homicídio vai para o carnaval de Salvador vestido de mulher e é preso após ser flagrado por câmera" (G1) e "Câmeras de reconhecimento facial levam a 4 prisões no carnaval do Rio" (Agência Brasil). 2 "Carnaval de SP vai ter sistema de reconhecimento facial para identificar criminosos e desaparecidos, diz Doria" (G1, 28/1/2020). 3 "EU avalia proibição de até 5 anos para tecnologia de reconhecimento facial em áreas públicas" (Reuters, 16/2/2020). 4 "San Francisco proíbe uso de reconhecimento facial por polícia e órgãos municipais" (Reportagem do The New York Times reproduzida pela Folha de S.Paulo, 14/5/2019). 5 Sobre o tema, confira-se a bem produzida reportagem "Companhia sigilosa pode acabar com a privacidade na forma que conhecemos" do The New York Times (reproduzida na Folha de 20/1/2020) e o podcast "Reconhecimento facial, a nova ameaça" (Outras Palavras, 29/1/2020). 6 "Tecnologia de reconhecimento facial apresenta erros, aponta estudo dos EUA" (Agência France Press, 19/12/2019) e "90% das pessoas presas por reconhecimento facial são negras, diz estudo" (Carta Capital, 22/11/2019). 7 "Defensoria e entidades questionam câmeras de reconhecimento facial no metrô de SP" (Migalhas, 12/2/2020). O pedido de produção de provas foi parcialmente deferido na tarde de 12/2/2020 - Processo nº 1006616-14.2020.8.26.0053, em trâmite na 1ª Vara da Fazenda Pública de São Paulo.
sexta-feira, 31 de janeiro de 2020

A efetividade da anonimização de dados pessoais

Nesta importante semana, de comemoração do dia internacional da proteção de dados pessoais, cuja proposta é justamente aumentar a consciência das pessoas em torno da relevância da privacidade, trazemos para reflexão o tema da anonimização. Na última década, a capacidade de coletar e armazenar dados pessoais alcançou patamares nunca antes imaginados. Com 2/3 da população mundial tendo acesso à internet1, a difusão de prontuários médicos eletrônicos e a ascensão da Internet das Coisas2, a tendência é de que esse crescimento continue. Embora tenha diversos efeitos positivos, guiando, por exemplo, avanços na medicina e na ciência social, o tratamento de dados individuais em larga escala faz despertar uma legítima preocupação em torno da privacidade. As repercussões negativas do compartilhamento de dados médicos entre NHS3 e Deepmind Technologies4 e com a venda de dados pelo Facebook para a Cambridge Analitica5, colocam em evidência o fato de que as pessoas estão incomodadas com confidencialidade, privacidade e uso ético de seus dados. Boa parte dessa preocupação está no comércio digital, que também cresce de maneira exponencial com base na exploração de dados anonimizados. Na era do big data6 o grau de anonimato que se pode esperar de plataformas de comércio virtual vem diminuindo rapidamente, lançando dúvidas acerca dos limites da privacidade na internet. O artigo 5o, inciso XI, da lei 13.709/2018, a denominada Lei Geral de Proteção de Dados ("LGPD"), define como anonimização a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado pessoal perde a possibilidade de associação, direta ou indireta, com o seu titular. O artigo 18, IV, da LGPD, por sua vez, fixa como direito do titular dos dados pessoais a obtenção, junto ao controlador, da anonimização de dados desnecessários ou excessivos. Finalmente, o artigo 12 da LGPD estabelece que os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. O problema surge justamente com a possibilidade de reversão da anonimização por terceiros, mediante "esforços razoáveis", cuja determinação, nos termos do § 1o do próprio artigo 12, deve levar em consideração fatores objetivos, tais como custo e tempo necessários, de acordo com as tecnologias disponíveis. Nessa linha de ideias, estudos realizados por universidades renomadas comprovaram cientificamente a relativa facilidade com que essa reversão pode ser feita. No primeiro desses estudos, denominado "Unique in the crowd: the privacy bounds of human mobility"7, realizado em 2013 pelas universidades de Harvard, nos Estados Unidos, e Louvain, na Bélgica, bem como pelo Massachusetts Institute of Technology, também nos Estados Unidos, e publicado na Scientific Reports8, chegou-se à conclusão de que pessoas podem ser rastreadas e identificadas a partir de bancos de dados contendo informações em princípio consideradas anonimizadas. A pesquisa, realizada por 15 meses com base em dados de telefones móveis de cerca de 1,5 milhão de indivíduos, demonstrou que, quando a informação do indivíduo foi disponibilizada em base horária pelas antenas de celulares, apenas quatro pontos de dados foram necessários para reidentificar a pessoa. Isso se mostrou verdade em 95% dos casos, tendo levado à conclusão de que os movimentos de seres humanos são altamente idiossincrásicos, apresentando traços únicos que podem ser analisados com precisão. Um segundo estudo, este mais recente, de 2019, denominado "Estimating the success of re-identifications in incomplete datasets using generative models"9, realizado mais uma vez pela Universidade de Louvain, em conjunto com a Imperial College of Science, Technology and Medicine, em Londres, publicado na Nature Communications10, estimou, com a ajuda de machine learning11, a probabilidade de um indivíduo específico ser reidentificado a partir de bancos de dados anonimizados, ainda que incompletos. Nesta pesquisa, chegou-se à conclusão de que 99,98% dos americanos podem ser corretamente reidentificados a partir de qualquer banco de dados, utilizando 15 atributos demográficos - idade, gênero, estado civil etc. - sugerindo que técnicas tradicionais de anonimização como adding noise12 e sampling13 podem não ser suficientes para manter-se aderente às regras de privacidade de dados de normas como a General Data Protection Regulation - a Lei Geral de Proteção de Dados da Comunidade Europeia ("GDPR") ou a Consumer Privacy Act - o Ato de Privacidade do Consumidor da Califórnia ("CCPA"). A preocupação certamente se estende ao Brasil, já que a LGPD, amplamente inspirada na GDPR, traz dispositivos semelhantes de tutela da anonimização. Diante disso, é bastante provável que, conforme autoriza o § 3o do artigo 12 da LGPD, a Autoridade Nacional de Proteção de Dados ("ANPD"), em conjunto com o Conselho Nacional de Proteção de Dados Pessoais, venha a editar regulamento dispondo sobre os padrões e técnicas a serem empregados em processos de anonimização. Seja como for, independentemente de qualquer regulamentação pela ANPD, levando em consideração o ritmo atual de evolução tecnológica, parece certo que teremos cada vez mais dificuldade em garantir a efetiva anonimização de dados pessoais, exigindo, a nosso ver, que essa anonimização seja feita por empresa independente (e não internamente pelo controlador) e mediante a utilização continuada de técnicas de última geração, que sejam constantemente atualizadas, mantendo o estado da arte. Somente assim será possível realizar uma anonimização segura capaz de evitar que os dados, mesmo anonimizados, sejam considerados dados pessoais à luz do artigo 12 da LGPD. __________ 1 Pew Research Center. 2 Interconexão digital de objetos cotidianos com a internet, formando uma rede de objetos físicos capaz de reunir e de transmitir dados. 3 Serviço nacional de saúde do Reino Unido. 4 Empresa britânica com foco em pesquisas e desenvolvimento de máquinas de inteligência artificial. 5 Empresa especializada na combinação de mineração e análise de dados com comunicação estratégica para o processo eleitoral. 6 Análise algorítmica de volumes massivos de informações. 7 Em tradução livre, "único na multidão: os limites da privacidade na mobilidade humana". 8 O Scientific Reports é um jornal científico on-line publicado pelo Nature Publishing Group, cobrindo todas as áreas das ciências naturais e analisando a validade científica dos artigos enviados - www.nature.com/srep. 9 Em tradução livre, "estimando o sucesso da reidentificação em bases de dados incompletas utilizando modelos generativos". 10 A Nature Communications é uma revista científica on-line publicada pelo Nature Publishing Group - www.nature.com/ncomms. 11 Em português, aprendizagem de máquina, ramo da engenharia e da ciência da computação que evoluiu do estudo de reconhecimento de padrões e da teoria do aprendizado computacional em inteligência artificial, e que permite aos computadores aprenderem sem serem explicitamente programados. 12 Em tradução livre, "adicionar distorções", técnica consistente em incluir propositadamente informações imprecisas aos dados. Por exemplo, ao publicar os dados de uma pessoa de 55 anos, sua idade apareceria apenas como na faixa dos 50 a 59 anos. 13 Em tradução livre, "amostragem de dados" técnica estatística consistente em selecionar um subconjunto de indivíduos de uma população para estimar as características de toda essa população.
Estamos na era da economia compartilhada. Se até pouco tempo atrás a preocupação maior da economia capitalista era "ter" e "possuir", o início do século XXI trouxe uma nova realidade que aos poucos angaria maior número de adeptos mundo afora, conferindo maior importância ao "usar" e "usufruir" um bem apenas nos momentos de real necessidade. A mudança se deve em grande parte ao desenvolvimento dos mais diversos aplicativos possibilitando pessoas a compartilharem suas casas, quartos, veículos, ferramentas ou até mesmo serviços. Tome-se como exemplo o mais popular de todos, o AirBnb, surgido do aprimoramento do projeto CouchSurfing, serviços nos quais o proprietário de um imóvel disponibiliza um quarto de sua residência - ou, no caso do Airbnb, até o imóvel inteiro - a turistas. Ainda não tão populares, os aplicativos de empréstimo remunerado de veículos - ou locação por curtíssimos espaços de tempo - vêm aos poucos ganhando força. Já estão no mercado brasileiro o Moobie e o ZazCar1, em que você compartilha seu carro com terceiros nos períodos em que ele normalmente ficava estacionado na garagem. Há ainda aplicativos destinados a caronas, como o BlablaCar e o Waze Carpool. Em comum, estes serviços conectam entre si, principalmente, pessoas físicas, diferenciando-se de um hotel, flat ou locadora de veículos, onde, por mais informal que seja, há uma empresa ou startup responsável pela prestação do serviço. A primeira conclusão é que, se a prestação do serviço em questão for esporádica e não uma verdadeira atividade econômica, fica afastada a incidência do Código de Defesa do Consumidor (CDC) e, como consequência, não se aplica mais a responsabilidade objetiva do artigo 12 do CDC. Trata-se, pois, de uma nova mudança de paradigma, na medida em que a responsabilidade civil, que historicamente teve início a partir de uma ideia de vingança ou desforra, com o passar do tempo foi substituída pela apuração dos danos e a necessidade de sua reparação, evoluindo então ao conceito de culpa em seus diversos graus. Com a revolução industrial, surgem as primeiras ideias de responsabilidade objetiva como forma de conferir maior proteção às vítimas, de modo que, nas últimas décadas, passa-se então a ser adotada a teoria do risco para os casos de atividade perigosa ou utilização de instrumentos de produção cuja manipulação ofereça, por si só, risco2. O Código Civil de 2002 contempla tanto a responsabilidade civil subjetiva (artigos 186, 187 e 927, caput), quanto a objetiva (parágrafo único do artigo 927, como regra geral, além de diversas situações específicas, como as dos artigos 936 a 938), casos nos quais não é necessária a comprovação da culpa, permanecendo a obrigatoriedade de comprovação dos demais pressupostos: ação ou omissão, nexo causal e dano. Recentemente, como bem pontuado por Schreiber, a unanimidade obtida em torno da teoria do risco deu lugar a discussões mais profundas, desdobrando-se nas teorias do risco-proveito, do risco-criado e do risco mitigado, entre outras, de modo que "o discurso do risco como fundamento exclusivo da responsabilidade objetiva parece, hoje, questionável"3. É nesse sentido que a era do compartilhamento exige uma maior discussão com relação às regras pacificadas pela doutrina e jurisprudência no decorrer do século XX e início do atual. A título de exemplo, com o objetivo de não deixar as vítimas desamparadas, entendeu-se que o proprietário do veículo reponde solidariamente com o condutor no caso de acidente em que se verifique a culpa do motorista. A ideia atinente a esta regra é a de que as pessoas somente emprestam seus veículos a outros em quem confiam e que, se não houve o devido cuidado (entrega do automóvel a pessoa imprudente, a chamada culpa in eligendo), o nexo causal entre o acidente e o dano ocorrido alcança o proprietário do veículo. A nova questão a ser enfrentada é: como assegurar essa obrigação por parte do proprietário que empresta/aluga seu automóvel por aplicativo a outra pessoa lá cadastrada mas com quem ele não possui qualquer vínculo e provavelmente nunca tenha visto o condutor até o momento da entrega das chaves? A hipótese nitidamente se diferencia do empréstimo a um parente ou amigo íntimo, tal qual firmada pela jurisprudência há anos. Também digna de reflexão é a questão sobre se um condomínio residencial pode ou não vetar o uso de uma das unidades autônomas para locação temporária pelo AirBnb ou aplicativos semelhantes. De um lado, está o direito do proprietário de livre usar e gozar de sua propriedade; de outro, o do condomínio de zelar pela segurança e bom uso do imóvel como um todo, em especial por normalmente não possuir funcionários e equipamentos de controle necessários para acompanhar a troca de inquilinos a cada dois ou três dias, como se fosse um hotel. Embora já haja decisões nos dois sentidos nos tribunais4, é certo que tal questão difere da possibilidade de aluguel de um apartamento pelo período de um ou mais anos, tal qual previsto e disciplinado na lei de locações. Estamos passando por grandes transformações, de forma cada vez mais célere. Sem se pretender afastar a proteção às vítimas assegurada pelos institutos ligados à responsabilidade civil, é certo que os entendimentos anteriores devem servir como orientação, mas, em muitos casos, não se amoldam mais às disputas atuais. Daí a necessidade de se rediscutir a responsabilidade civil na era do compartilhamento. Os grandes julgamentos de 2020 Importantes questões ligadas ao direito digital devem ser decididas pelos tribunais superiores no ano que se inicia. Além da possível definição com relação às locações por aplicativos tratada neste artigo, teremos o julgamento da constitucionalidade do artigo 19 do Marco Civil da Internet5, a ação que discute a constitucionalidade dos tratados internacionais para obtenção de conteúdo de comunicações eletrônicas por empresas estrangeiras6 e a obrigatoriedade de ordem judicial para análise do conteúdo de um celular apreendido pela polícia7. _______________ 1 O ZazCar acabou encerrando suas atividades na cidade de São Paulo em novembro de 2019. 2 Sobre a evolução histórica da responsabilidade, confira-se: RIZZARDO, Arnaldo. Responsabilidade Civil, 7. ed. Rio de Janeiro: Forense, 2015, p. 28/31. 3 SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil - da erosão dos filtros da reparação à diluição dos danos, 6. ed. São Paulo: Atlas, 2015, p. 28/30. 4 A discussão sobre a possiblidade ou não de o condomínio proibir locações de curta temporada via aplicativos está sendo discutida na Quarta Turma do Superior Tribunal de Justiça, no Recurso Especial nº 1.819.075/RS. O relator, Ministro Luis Felipe Salomão, votou pela impossibilidade da proibição. Na sequência, pediu vista o Ministro Raul Araújo, sem data para continuidade do julgamento. 5 STF - RE nº 1.037.396. Sobre o tema, vide nossa coluna. 6 STF - Ação Direta de Constitucionalidade nº 51, relator o mMinistro Gilmar Mendes. 7 STF - ARE nº 1.042.075 e HC nº 158.052. Sobre o tema, confira-se a coluna.  
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Muito sem tem discutido acerca da constitucionalidade do artigo 19 do Marco Civil da Internet ("MCI"), segundo o qual o provedor de aplicação1 de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial prévia e específica, não tomar as providências tendentes a indisponibilizar o conteúdo apontado como infringente. Um passo decisivo para o deslinde da controvérsia seria dado no último dia 4 de dezembro, data em que o Supremo Tribunal Federal se manifestaria sobre a constitucionalidade do dispositivo legal, no âmbito do recurso extraordinário 1.037.396, interposto pelo Facebook, em processo no qual foi condenado em segunda instância ao pagamento de R$ 10 mil de indenização a uma usuária que teve perfil falso criado na rede. Entretanto, o presidente da Suprema Corte, min. Dias Toffoli, excluiu o recurso da pauta do plenário, no intuito de, antes do julgamento, realizar audiência pública conjunta com o vice-presidente, min. Luiz Fux, que é relator do recurso extraordinário 1.057.258, versando sobre o mesmo tema. Ainda não há data para a realização da audiência pública. A discussão de tema tão controvertido em audiência pública é saudável, fortalece nossa democracia e nos dá a possiblidade de debater e melhor refletir sobre regra que terá forte impacto sobre atividade que, nos tempos atuais, direta ou indiretamente, afeta toda a sociedade, consistente no relacionamento via mídias sociais, que nada mais são do que canais digitais de relacionamento com variada gama de interação e participação entre os usuários. A difusão das mídias sociais, aliada ao avanço da tecnologia e ao acesso facilitado com a inclusão digital, induz enorme mudança na estrutura de poder social, colocando nas mãos de cada um de nós a possibilidade de difundir informações e influenciar pessoas, inclusive por intermédio das chamadas fake news, notícias falsas disseminadas com o propósito de obtenção de vantagens financeiras ou políticas. Diante desse cenário, e sempre tendo em perspectiva a necessidade de garantir a liberdade de expressão e impedir a censura - direitos assegurados no artigo 5º, IX, da Constituição Federal ("CF") e no próprio artigo 19 do MCI - muito tem se discutido acerca dos limites da exigência legal de ordem judicial prévia e específica para obrigar o provedor de aplicação à exclusão de conteúdos impróprios. Nas legislações estrangeiras, notadamente europeia e norte-americana, a notificação (notice and take down2) é preponderantemente extrajudicial. A rigor, basta ao usuário provar que deu ciência ao provedor do fato ensejador da violação dos seus direitos, permitindo-lhe agir de modo a coibir tal prática. Aqueles que defendem a possibilidade de utilização da via extrajudicial, argumentam que a exigência de utilização do Poder Judiciário impõe forte limitação ao direito da vítima de ver conteúdo ofensivo retirado da internet, violando o direito à privacidade, à intimidade e à dignidade. Ressalva-se que o artigo 19 do MCI acaba por gerar a necessidade de uma dupla apreciação pelo Poder Judiciário, que, como condição de procedibilidade da responsabilidade civil por conteúdos postados por terceiros, deve previamente notificar o provedor, violando também o direito constitucional de livre acesso à Justiça. Vale lembrar que, previamente à entrada em vigor do MCI, o Superior Tribunal de Justiça tinha consolidado o entendimento de que a ciência do provedor acerca de qualquer conteúdo reputado ofensivo poderia se dar inclusive pela via extrajudicial, por iniciativa do próprio usuário3. De outro lado, aqueles que defendem a constitucionalidade do artigo 19 do MCI sustentam que a liberdade de comunicação vai além dos direitos individuais, encampando também um direito de dimensão coletiva, de permitir que a sociedade seja informada sem censura. Nessa linha de argumentação, admitir a exclusão de conteúdo postado por terceiros sem prévia análise do Poder Judiciário acabaria conferindo ao particular o poder de exercer um juízo subjetivo e discricionário sobre o teor das informações postadas, juízo este que somente poderia ser realizado via poder jurisdicional do Estado. Respeitadas as duas posições e a razoabilidade dos argumentos postos de ambos os lados, mostra-se de todo conveniente acrescentar mais um elemento nessa rica discussão, decorrente da própria redação do artigo 19 do MCI, cuja parte final, após estabelecer a necessidade de prévio e específico comunicado judicial do provedor, consigna que ficam "ressalvadas as disposições legais em contrário". Nesse contexto, dependendo da relação jurídica contratual estabelecida entre o provedor e seus usuários, não seria possível argumentar, sobretudo à luz do Código de Defesa do Consumidor ("CDC"), que fica mantida a possibilidade de se obrigar a retirada imediata de conteúdo considerado ofensivo mediante simples notificação extrajudicial, sem que isso implique contrariedade à regra do artigo 19 do MCI? Melhor explicando, muitos provedores mantêm uma política de uso que lhes autoriza a remoção indiscriminada de conteúdo considerado inapropriado4, obtendo do próprio usuário autorização para monitorar (ainda que passivamente) os dados postados, com direito à exclusão de conteúdo cuja classificação como "inapropriado" exige o exercício de um juízo de valor subjetivo. Aliás, em geral trata-se de procedimento padrão, rogando-se o provedor, nos termos de uso a que cada usuário é obrigado a aderir, o direito de suprimir as páginas que considerar nocivas ou inapropriadas. Na prática, provedor e usuário firmam, no ato de adesão deste ao serviço, um acordo particular que autoriza expressamente o provedor a, mediante provocação ou não, exercer esse juízo discricionário, sendo possível, ao menos em tese, equipará-lo a uma espécie de mediador ou árbitro sobre tudo o que é inserido no seu site, com poderes para decidir se determinado conteúdo deve ou não ser removido. Afinal, dada a natureza consumerista da relação, o papel de mediador ou árbitro frente aos usuários, assumido contratualmente, para além de um direito, pode ser visto como um dever contratual do provedor, sobretudo à luz dos princípios da vulnerabilidade do consumidor e da harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, inseridos no art. 4º, I e III, do CDC, permitindo a atuação do provedor independentemente do ajuizamento de medida judicial. Salvo melhor juízo, a regra do artigo 19 do MCI, diante da ressalva final contida no dispositivo legal, parece não interferir nesse raciocínio que, vale repisar, se baseia na existência de um acordo particular de vontades, por meio do qual o usuário outorga ao provedor poder para realizar um juízo discricionário sobre o conteúdo postado, inclusive com o direito de supressão das páginas que ele próprio (ou mediante denúncia de outros usuários) considerar prejudiciais ou inapropriadas. Enfim, sem querer pôr fim ao debate e sim enriquecer a discussão, parece importante que essa ressalva final do artigo 19 do MCI seja levada em consideração na fixação dos limites de aplicabilidade do dispositivo legal, buscando um equilíbrio na sua interpretação, que permita, a um só tempo, assegurar a liberdade de expressão e garantir os direitos fundamentais dos usuários. Como já tivemos a oportunidade de destacar em coluna anterior5, as enormes transformações propiciadas pelo atual estágio e ritmo de evolução tecnológica clamam por uma releitura profunda da ordem jurídica, como fenômeno cultural que é, atendendo aos novos anseios sociais. Finalmente, aproveitamos este último artigo do ano para desejar um feliz Natal e um próspero ano novo a todos os leitores que têm nos acompanhado, com um agradecimento especial ao time do Migalhas pela oportunidade, parceria e confiança em nosso trabalho. Retornamos em janeiro de 2020 com energia renovada e novos temas para reflexão! __________ 1 Embora o MCI não traga o conceito de provedor de aplicação, os seus arts. 5o, VIII, e 15, caput e § 1o, definem, respectivamente, o que vem a ser aplicação de internet e quem pode exercê-la, permitindo inferir que a provedoria de aplicação diz respeito a qualquer pessoa natural ou jurídica que, de forma profissional ou não, forneça um conjunto de funcionalidades que possam ser acessadas por meio de um terminal conectado à internet, ainda que seus objetivos não sejam econômicos. 2 O notice and take down surgiu no Direito norte-americano em 1998, consistente num mecanismo de retirada (take down), pelo provedor de Internet, de conteúdos ofensivos ou que violem direitos autorais, a partir da notificação (notice) da parte interessada ou em cumprimento a ordem judicial. A prática foi incorporada também pelo Direito europeu em 2000, através de Diretiva de Comércio Eletrônico editada pela Comunidade Europeia 3 Confira, nesse sentido, os seguintes julgados: REsp 1.193.764/SP, Rel. Min. Nancy Andrighi, 3ª Turma, DJe de 8.8.2011; REsp 1.186.616/MG, Rel. Min. Nancy Andrighi, 3ª Turma, DJe de 31.8.2011; AgRg no REsp 1.396.963/RS, Rel. Min. Raul Araújo, 4ª Turma, DJe de 23.5.2014; e REsp 1.306.157/SP, Rel. Min. Luis Felipe Salomão, 4ª Turma, DJe de 24.3.2014. 4 É o caso do GOOGLE, por exemplo, cuja política de uso do Google Ads "exige que os anunciantes estejam em conformidade com todas as legislações e normas aplicáveis e as políticas do Google descritas acima. É importante que você se familiarize e se mantenha atualizado sobre esses requisitos para os locais onde sua empresa atua, bem como quaisquer outros lugares onde seus anúncios são veiculados. Quando encontramos algum conteúdo que viola esses requisitos, bloqueamos a exibição dele e, em casos de violações recorrentes ou graves, não aceitamos que você volte a anunciar conosco". Acesso em 18/12/2019. 5 Inteligência artificial e responsabilidade civil dos robôs, publicado nesta coluna em 25/10/2019.
O Supremo Tribunal Federal anunciou que julgará em 2020 um dos temas mais importantes para o Direito Digital: a constitucionalidade ou não do artigo 19 do Marco Civil da Internet (lei 12.965/2014). Pouco se falou, mas este dispositivo que afasta a responsabilidade dos provedores de aplicações de internet enquanto não houver ordem judicial que determine a remoção de determinado conteúdo tem relação direta com a obrigatoriedade de os provedores armazenarem e fornecerem os dados de seus usuários. A obrigatoriedade de armazenamento e fornecimento de dados de identificação dos internautas vem prevista em diversos preceitos do Marco Civil, em especial nos artigos 10 a 17 da lei. Para o que interessa a este artigo, transcreve-se o seguinte: "Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. § 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º". (g.n.) De início, entendeu-se por uma interpretação restritiva do dispositivo, uma vez que os "registros de conexão e de acesso a aplicações de internet" eram estritamente os previstos no art. 5º, inc. VIII, da lei, a saber: "o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP"1, de modo que os provedores limitavam-se a fornecer tais dados, sempre após ordem judicial. Todavia, a partir de certo momento, o fornecimento de data e hora de acesso e o respectivo IP passou a ser insuficiente para identificação do usuário. É que houve o esgotamento da tecnologia então utilizada (conhecida como IPv4), de modo que os provedores de conexão passaram a migrar - paulatinamente - para a versão mais nova (IPv6). No período de transição, foram autorizados a compartilhar um mesmo endereço de IP com dezenas e às vezes centenas de usuários2. A partir de então, para identificar cada um dos usuários que compartilhavam um mesmo IP, passou-se a utilizar outro dado, conhecido como "porta lógica de origem", informação que pertence tanto aos provedores de conexão, quanto aos de aplicações. Explica-se: o provedor de conexão distribui um IP para vários usuários e atribui a cada um deles uma respectiva porta lógica. Todavia, como esses provedores não podem fazer qualquer tipo de distinção "por conteúdo, origem e destino, serviço, terminal ou aplicação" - segundo a regra da neutralidade de rede, disciplinada no art. 9º do Marco Civil - são os provedores de aplicações que possuem a informação complementar: qual IP e porta lógica acessou seus serviços em determinada data e horário. Fazendo uma analogia, teríamos o seguinte: o provedor de conexão pode ser visto como a máquina que distribuiu senhas numéricas a cada pessoa que entra numa agência bancária. Numa determinada manhã, a máquina informa que entraram naquela agência 200 clientes. Todavia, ao distribuir as senhas, ela não sabe o que cada pessoa fez no banco. Nesta comparação, os provedores de aplicações seriam os funcionários dos caixas, que recebendo a senha que foi distribuída a cada um, podem identificar que o cliente 1 fez um saque, o cliente 2 um empréstimo, o 3 uma transferência entre contas, o 4 um depósito em dinheiro, assim por diante. Para saber o que um determinado cliente (usuário) fez, é necessário juntar as informações da senha recebida com a operação feita no caixa. Doutrina e jurisprudência divergiram sobre (i) se os provedores de aplicações deveriam fornecer apenas as informações definidas no art. 5º, VIII, da lei, numa interpretação gramatical do Marco Civil da Internet, que não faz qualquer menção à porta lógica de origem ou (ii) se tais provedores deveriam também armazenar e fornecer a porta lógica, com fundamento em interpretação sistemática da lei, em especial do acima transcrito art. 10, § 1º, que menciona que os registros de conexão e acesso podem estar "associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário"3. Recentemente, a Terceira Turma do Superior Tribunal de Justiça definiu - em dois acórdãos que são considerados os leading cases do tema no âmbito do STJ - que o fornecimento da porta lógica é essencial para a identificação dos usuários e, assim para o "correto funcionamento da rede e de seus agentes operando sobre ela", sendo fundamental a guarda de tal informação pelos provedores, para fornecimento mediante ordem judicial. Tratam-se dos Recursos Especiais nº 1.777.769/SP, da relatoria da Ministra Nancy Andrighi e nº 1.784.156/SP, relator o ministro Marco Aurélio Bellizze, ambos julgados em 5/11/2019. Como os dois recursos foram julgados à unanimidade pela Terceira Turma e ainda não se tem notícia de que a Quarta Turma do STJ tenha pautado algum recurso sobre o mesmo assunto, há a expectativa de que a orientação recentemente firmada no Superior Tribunal de Justiça passe a ser adotada pelos tribunais estaduais, que até o momento possuem decisões em ambos os sentidos. Afinal, a correta e efetiva identificação dos usuários é essencial para a atribuição de responsabilidades na internet. ___________ 1 IP ou Internet Protocol é uma identificação numérica para cada computador ou dispositivo (impressora, smartphone, etc) conectado a uma rede, responsável por endereçar e encaminhar os pacotes ou blocos de informações que trafegam pela internet. 2 Sobre o tema, vide o relatório final do Grupo de Trabalho para implantação do protocolo IPv6, da Anatel. Acesso em 4/12/2019. 3 Confira-se, a título de exemplo das diferentes posições, os artigos de Renato Opice Blum, Ettore Zamidi, Omar Kaminski e Dennys Antonialli et al. Acessos de 5/12/2019.
Uma das grandes inovações trazidas pelo Regulamento Geral de Proteção de Dados (General Data Protection Regulation,"GDPR") da União Europeia, não prevista na anterior Diretiva 95/46 CE, é o princípio denominado accountability, que também foi incorporado à Lei Geral de Proteção de Dados ("LGPD") pelo nosso legislador, encontrando-se expressamente previsto em seu artigo 6º, X, intitulado princípio da responsabilização e da prestação de contas. Cuida-se, em síntese, da obrigação do controlador1 de adotar medidas eficientes e capazes de comprovar a observância e o cumprimento, em bases contínuas e permanentes, das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Nota-se, portanto, que não basta simplesmente estar em conformidade com a LGPD, o controlador deve ser capaz de demonstrar essa sua aderência à lei. Trata-se, a rigor, de um desdobramento ou complemento do princípio da transparência, igualmente previsto no artigo 6º da LGPD, em seu inciso VI. Veja que a accountability não pressupõe a busca da perfeição, à plena conformidade com a LGPD, até porque, diante da constante e rápida evolução tecnológica, isso seria uma tarefa quase que impossível de se cumprir, sem falar no custo proibitivo que isto acarretaria aos controladores. Na realidade, o dever de responsabilidade e de prestação de contas diz respeito à demonstração de como o controlador conduz suas atividades de tratamento de dados à luz: (i) das medidas técnicas adequadas - assim entendidas, de acordo com o artigo 44, III, da LGPD, como aquelas disponíveis à época em que for realizado o tratamento - que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los, nos exatos termos do artigo 48, § 3º, da LGPD; e (ii) dos relatórios de impacto por ela produzidos, em linha com o artigo 38 da LGPD. Com efeito, cumpre ao controlador fazer tudo aquilo que estiver ao seu alcance para garantir o sigilo e a inviolabilidade dos dados pessoais por ele tratados, com base nos riscos apurados, na tecnologia acessível e nos recursos razoavelmente disponíveis para tanto2. Nesse contexto, o respeito ao princípio da accountability pressupõe, além de um modelo de governança corporativa que assegure o efetivo cumprimento das obrigações acima, a organização e a manutenção de um conjunto de documentos capaz de evidenciar que tais obrigações estão de fato sendo satisfeitas. Esse conjunto de documentos pode basicamente ser dividido em cinco grandes grupos, todos pensados e elaborados com base nos princípios gerais de tratamento de dados pessoais contidos no artigo 6o da LGPD: (i) políticas corporativas; (ii) registro das operações de tratamento; (iii) atividades do encarregado3; (iv) relatórios de impacto; e (v) registro de incidentes de segurança. Em primeiro lugar, o artigo 50 da LGPD prevê a formulação de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas de treinamento e reciclagem, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Será com base nessas políticas corporativas que a empresa irá nortear toda a sua atividade de tratamento de dados pessoais. A obrigação de registro das operações, por sua vez, encontra-se prevista no artigo 37 da LGPD e deve compreender todas as atividades de tratamento de dados pessoais, em especial quando baseado no legítimo interesse. Esse relatório deve indicar de maneira detalhada todas a informações relevantes acerca do tratamento de dados pessoais, tais como, quais os dados tratados, de que forma, com que finalidade, por quanto tempo, inclusive de modo a identificar eventuais riscos potenciais que possam justificar a realização de relatórios de impacto. No que tange às atividades do encarregado, previsto no artigo 41 da LGPD, não basta a mera indicação da pessoa física ou jurídica nomeada para o exercício do cargo. Deve haver o registro minucioso de todas as suas atividades, evidenciando o efetivo desempenho de suas funções com total independência, como, por exemplo, a fiscalização das operações de tratamento, as orientações dadas a empregados e contratados acerca das práticas e políticas da empresa, as repostas dadas e as providências adotadas em relação às reclamações e comunicados recebidos de titulares. Já o relatório de impacto encontra-se previsto em linhas gerais no artigo 38 da LGPD, que deixa maiores detalhes para regulamentação a ser editada pela Autoridade Nacional de Proteção de Dados ("ANPD"). De todo modo, o relatório de impacto deverá conter, no mínimo, a descrição dos tipos de dados tratados, a metodologia utilizada para a tratamento e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Embora a LGPD estabeleça que caberá à ANPD determinar em que circunstâncias será necessária a elaboração de relatórios de impacto, a experiência derivada do tratamento de dados no âmbito da Comunidade Europeia4 mostra que as empresas devem ter a iniciativa de preparar relatórios de impacto sempre que suas atividades de tratamento de dados compreendam mais de uma das seguintes hipóteses: (i) avaliações ou scoring; (ii) tomada de decisões por meios automatizados, como nas classificações de crédito; (iii) monitoramento sistemático, tal qual o realizado por shopping centers; (iv) dados sensíveis, nos termos do artigo 5o, II, da LGPD; (v) dados tratados em larga escala, considerando a quantidade de titulares, o volume de dados, o tempo de tratamento e/ou a extensão geográfica da área de coleta; (vi) realização de cruzamentos ou combinações de grupos de dados; (vii) dados de titulares vulneráveis, como crianças e idosos; (viii) utilização de soluções tecnológicas ou organizacionais inovadoras; ou (ix) quando o próprio meio de tratamento do dado possa prevenir os titulares de exercerem seus direitos ou usarem o produto ou serviço, como, por exemplo, na implantação de processos de autenticação que induzam limitações de acesso (leituras biométricas, assinaturas digitais etc.). A presença de duas ou mais dessas hipóteses é um forte indicativo da necessidade de elaboração do relatório de impacto. Por fim, o registro de incidentes de segurança, previsto no artigo 48 da LGPD, derivado do dever de comunicar à ANPD e ao titular do dado a ocorrência de eventos que possam acarretar risco ou dano relevante, mencionando, no mínimo: (i) a natureza dos dados pessoais afetados; (ii) os titulares envolvidos; (iii) as medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv) os riscos relacionados ao incidente; e (v) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Ademais, mesmo antes do comunicado à ANPD, é importante que se mantenha registro de todo procedimento adotado, em linha com plano de gestão de crise, desde o momento em que o vazamento de dados foi identificado5: pessoas envolvidas, atas das reuniões realizadas, decisão pela necessidade ou não de comunicar a ANPD e os titulares etc. Em suma, o dever de responsabilidade e de prestação de contas imposto pela LGPD exigirá das empresas não apenas adequação de suas rotinas de trabalho às exigências da Lei, mas também a estruturação de um rigoroso e detalhado sistema de documentação das atividades de tratamento de dados pessoais, o qual certamente ficará sujeito à fiscalização pela ANPD6 e servirá como meio de defesa e mitigação de responsabilidades/penalidades em caso de vazamento de dados. ___________ 1 O controlador, nos termos do artigo 5º, VI, da LGPD é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 2 Nos termos do considerando 83 da GDPR, visando à preservação e segurança, bem como para evitar o tratamento indevido de dados, o responsável pelo tratamento deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Esse mesmo considerando ressalva que tais medidas deverão assegurar um nível de segurança adequado, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. 3 O encarregado, nos termos do artigo 5º, VI, da LGPD é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. 4 Mencionadas no considerando 91 da LGPD. 5 Nos termos do considerando 85 da GDPR, logo que o responsável pelo tratamento tenha ciência de uma violação de dados pessoais, deverá notificá-la à autoridade, sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a menos que seja capaz de demonstrar, em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar risco para os direitos e liberdades dos titulares. Esse mesmo considerando ressalva que, se não for possível efetuar essa notificação no prazo de 72 horas, a notificação deverá ser acompanhada dos motivos do atraso, podendo as informações serem fornecidas por fases. 6 Nos termos do considerando 82 da GDPR, os responsáveis pelo tratamento de dados pessoais deverão cooperar com a autoridade e facultar-lhe acesso aos respectivos registros de tratamento, a pedido, para fiscalização dessas atividades de tratamento.
No apagar das luzes de outubro, o deputado Federal Carlos Bezerra (MDB/MT) apresentou à Câmara dos Deputados o projeto de lei 5.762/2019, que possui apenas três artigos e um único propósito, adiar a entrada em vigor da lei 13.709/2018 - a Lei Geral de Proteção de Dados (LGPD) - para 15 de agosto de 2022, ou seja, acrescentando mais dois anos ao período de vacatio legis da LGPD. Entendeu o parlamentar mato-grossense que, embora a nova lei seja "um marco para a garantia da privacidade e da proteção de dados dos cidadãos", aumentando a competitividade das empresas nacionais no exterior - argumento que já tivemos a oportunidade de expor em coluna anterior1 - "apenas uma pequena parcela das empresas brasileiras iniciou o processo de adequação ao novo cenário jurídico". O projeto apresenta ainda como justificativa a alegada "morosidade" do governo federal na instalação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração federal que será responsável por zelar pela proteção dos dados pessoais, elaborar as diretrizes da política brasileira de proteção de dados, fiscalizar e aplicar sanções2. A notícia pegou de surpresa o mundo jurídico, atingindo especialmente as empresas que já iniciaram seus projetos de adequação ou que pelo menos estão finalizando os estudos para implementá-lo. Até mesmo porque, num primeiro momento, pode passar a equivocada impressão de que a nova lei não seria tão importante ou - o que também seria muito ruim - gerar uma expectativa de novos adiamentos. Antes de mais nada, contudo, é bom lembrar que o projeto acabou de ser apresentado e nada indica que será aprovado ou mesmo que terá uma tramitação célere, podendo ser engolido pelo calendário, que atualmente conduz à entrada em vigor da LGPD em agosto de 2020. Por outro lado, enquanto as empresas se adaptam às regras de proteção de dados - uma tarefa que demanda tempo e a participação de diversos setores internos, como o departamento jurídico, as equipes de tecnologia da informação e a área de compliance, além de parceiros estratégicos para auxiliar na condução do trabalho - alguns órgãos públicos e o Ministério Público de certos Estados já estão requerendo a apresentação de relatórios de impacto à proteção de dados pessoais, novidade criada pela LGPD e definida como a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco"3. Além do fato de as empresas estarem em período de transição e adaptação à nova lei, duas são as principais questões colocadas em debate no que diz respeito a tais pedidos que, a depender do modo como formulados, podem ser considerados como verdadeiras exigências: em primeiro lugar, o fato de a LGPD ainda não se encontrar em vigor; e, não menos importante, a previsão legal de que o órgão que possui a competência para regulamentar e solicitar a apresentação do relatório de impacto é a Autoridade Nacional de Proteção de Dados (ANPD)4, ainda não implementada5. Exatamente por conta desses dois pontos, ganha especial relevância a sentença proferida pelo juiz Flavio Augusto Martins Leite, da 24ª vara Cível de Brasília, datada de 4/11/2019. Ao julgar ação civil pública6 ajuizada pela Unidade de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal contra uma empresa de telefonia, em que se buscava, como um dos pedidos principais, a obrigação de fazer consistente na elaboração e entrega de relatório de impacto, decidiu-se pela improcedência dos pedidos. No tema que interessa para o presente artigo, alegou a empresa de telefonia que ainda não se encontram definidos e regulamentados os contornos de um relatório de impacto à proteção de dados pessoais, de modo que descabida, neste momento, sua apresentação. Embora tenha entendido pela existência de interesse de agir por parte do órgão ministerial, entendeu o magistrado que a LGPD ainda não se encontra em vigor e que sequer foram estabelecidos os limites daquele documento por parte da ANPD, órgão responsável para tanto. Em face disso, o Ministério Público (MP) não pode exigir a apresentação do relatório de impacto: "Não se questiona aqui o poder requisitório do Parquet, mas a imputação ao requerido de produção de relatório cujos moldes não estão definidos, o que implica na impossibilidade de coerção direta para o estabelecimento de obrigação de fazer de documento ainda não discriminado pela legislação competente. Com efeito, nada impede que o Ministério Público exija as informações que entender necessárias à proteção dos direitos em tela, mas deve indicar os elementos que devem constar do relatório pretendido. A simples menção a um relatório que ainda não tem forma ou conteúdo definidos impõe uma obrigação impossível de ser cumprida". A decisão é acertada. Eventual acolhimento do pedido do MP poderia impactar sensivelmente na defesa da empresa, na medida em que esta poderia apresentar um documento que viesse a ser considerado incompleto ou inadequado posteriormente, quando a ANPD regulamentar os requisitos de um relatório de impacto. Enquanto isso não ocorre, é imprescindível que as autoridades especifiquem - e demonstrem fundamentadamente a necessidade - daquilo que pretendem seja apresentado. Há ainda uma outra questão que merece especial atenção. Uma vez que a LGPD dispõe competir à Autoridade Nacional a solicitação do relatório de impacto, quando tal órgão estiver estruturado e em pleno funcionamento poderão outros órgãos da Administração solicitar tal documento? Sem prejuízo de um debate mais aprofundado, parece existir à primeira vista um sério risco de invasão de competência e possível bis in idem na exigência e possível aplicação posterior de sanções. __________ 1 "Adequação à LGPD: uma oportunidade para empresas reverem seus modelos de negócios e desenvolverem novos produtos", Migalhas, 27/09/2019. 2 Criada pela MP 869/2018, posteriormente convertida na lei 13.853/2019, que, inclusive, adiou a entrada em vigor da LGPD de 18 meses para 24 meses após a publicação da lei. 3 Art. 5º, XVII, da Lei Geral de Proteção de Dados. 4 De acordo com os artigos 10, § 3º, 32, 38 e 55-J, inciso XIII, todos da LGPD. 5 Por enquanto, só se tem notícia da indicação dos representantes (titulares e suplentes) indicados pela Câmara e pelo Senado para integrarem o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo integrante da ANPD. São eles, respectivamente: os advogados Danilo Doneda e Fernando Santiago Junior pela Câmara e Fabrício Mota Alves e Gustavo Afonso Sabóia Vieira pelo Senado (Acesso em 7/11/2019). 6 Processo nº 0721735-15.2019.8.07.0001, cuja sentença pode ser conferida aqui (Acesso em 7/11/2019).
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Surgida na década de 1940, a inteligência artificial teve início como meio de busca de novas funcionalidades para o computador, então em projeto. Contudo, embora existente há décadas, esta vertente da ciência da computação destinada à elaboração de dispositivos que simulem a capacidade humana de raciocinar, perceber, tomar decisões e resolver problemas, ou seja, de aprender com suas próprias experiências, só se popularizou nos últimos anos, impulsionada pelo desenvolvimento significativo da informática e ramificada em diversas frentes de estudo, inclusive a biológica, procurando imitar as redes neurais humanas e, por conseguinte, a capacidade de ser inteligente. Esses primeiros trabalhos possibilitaram a automação e o raciocínio formal presente nos computadores de hoje, incluindo sistemas de apoio à decisão e sistemas inteligentes de pesquisa que podem ser projetados para complementar e expandir as capacidades humanas, resultando no chamando machine learning, isto é, a habilidade do computador de aprender sem ser programado diretamente. Atualmente, já se fala em deep learning, considerada a maior disrupção tecnológica da área, consistente em um modelo computacional baseado em um conjunto de algoritmos que modelam abstrações de alto nível de dados para decifrar a linguagem natural. Essa técnica dá uma nova dimensão ao aprendizado automático, permitindo a análise de dados brutos para a classificação de informações contidas em diferentes formatos, como áudios, textos, imagens, sensores e bancos de dados. O deep learning permite que os computadores entendam o que ouvem, vejam e descrevam uma imagem, aprendam conceitos, enfim, as possibilidades são infinitas, indo desde análises preditivas, passando por dispositivos para reconhecimentos ótico de caracteres e de voz, chegando até mesmo à realização de diagnósticos médicos e à condução de veículos autônomos. Há quem diga, inclusive, que estamos à beira de uma nova revolução industrial. Entretanto, à medida em que essa tecnologia avança e garante um grau de autonomia cada vez maior à tomada de decisões por máquinas, surgem diversos questionamentos, entre eles os limites da responsabilidade civil por danos decorrentes de atos considerados independentes desses robôs. De início, vale ressalvar que não é possível regular essa nova realidade com base nas regras clássicas de Direito, concebidas muito antes do advento das tecnologias existentes hoje. A evolução da informática fez surgir novos paradigmas, inclusive do ponto de vista legal, exigindo que conceitos tradicionais e institutos clássicos do Direito sejam revistos, ou ao menos analisados, sob novos ângulos e perspectivas, sem o que será impossível alcançar uma regulação efetiva e eficiente das relações virtuais. Nesse sentido, em fevereiro de 2017, o Comitê de Assuntos Jurídicos do Parlamento Europeu editou resolução sobre as disposições de Direito Civil aplicáveis à robótica, ressalvando a insuficiência do atual quadro jurídico-normativo para alcançar danos provocados pela nova geração de robôs, tendo em vista as capacidades adaptativas e de aprendizagem que induzem um certo grau de imprevisibilidade no seu comportamento. Ganhou notoriedade mundial, por exemplo, o atropelamento, por carro autônomo da UBER, de uma senhora que cruzava via pública fora da faixa de pedestres. Embora a UBER tenha sido inocentada - as investigações seguem em face da motorista de apoio que estava no automóvel na hora do acidente - há suspeitas de falha do sistema operacional do veículo, cujos sensores teriam detectado a vítima mas decidido não frear, entendendo tratar-se de um "falso positivo", ou seja, um objeto que não representaria risco. Diante disso, discute-se o desenvolvimento de novas matrizes de responsabilização civil de robôs, baseadas na responsabilidade objetiva derivada da gestão de riscos, considerando as já destacadas possibilidades infinitas e a falta de limites da inteligência artificial. A ideia é que se exija apenas a prova de ocorrência do dano e o estabelecimento de um liame causal entre o comportamento lesivo do robô e os danos causados à vítima. Pela abordagem de gestão de riscos, não se atribui a responsabilidade àquele que agiu de forma negligente, mas àquele capaz de mitigar riscos e gerenciar impactos negativos. De todo relevante, aqui, a teoria norte-americana do deep-pocket, segundo a qual todas as pessoas ligadas a atividades de risco que sejam, a um só tempo, rentáveis e úteis para a sociedade, devem compensar os danos causados pelo lucro obtido. Em outras palavras, o desenvolvedor da inteligência artificial, o fabricante de produtos que a utilizam ou mesmo quem apenas a explora em sua atividade, ou seja, qualquer um que tenha o "bolso profundo" e aufira lucro com essa nova tecnologia, deve garantir terceiros contra os riscos inerentes às suas atividades. Nessa linha de raciocínio, uma solução possível, proposta inclusive pelo Parlamento Europeu, seria a instituição de um regime de seguros obrigatórios, impondo aos fabricantes ou aos exploradores de robôs a sua contratação com cobertura específica para potenciais danos que possam vir a ser causados por tais máquinas. Avançando nessa proposta, e sem prejuízo da manutenção da responsabilidade objetiva das empresas, pode ser ainda mais efetiva, inclusive do ponto de vista da socialização e coletivização do risco, a instituição obrigatória de um fundo de compensação visando a assegurar a reparação dos danos causados por máquinas dotadas de inteligência artificial, fundo esse a ser mantido com base em contribuições feitas "pelos próprios robôs". Melhor explicando, e traçando um paralelo entre a força de trabalho humana e a força de trabalho dos robôs - que, cada vez mais, agem de forma autônoma, raciocinando e tomando decisões, gerando lucro para seus "empregadores" e, portanto, fazendo jus a uma "remuneração" - os ganhos proporcionados pela "atividade laboral" destas "máquinas pensantes" reverteriam para o mencionado fundo de compensação. De acordo com tal hipótese, esse exercício de equiparação da força de trabalho robótica à humana permitiria vislumbrar outros "direitos" para as máquinas, semelhantes àqueles atualmente conferidos aos trabalhadores, tais como "folga semanal" (para que os robôs passem por manutenção), "férias" (para que eles sejam atualizados), e "aposentadoria" (como garantia contra a obsolescência dos robôs). Todavia, a construção de uma teoria da responsabilidade civil das máquinas gira em torno da possibilidade de robôs virem a ter personalidade jurídica, se tornando sujeitos de direitos e obrigações, tal como imaginado pelo escritor russo Isaac Asimov ao propor as três leis da robótica, sobre o robô não poder ferir humanos, ser obediente aos mesmos e proteger sua existência desde que não viole as duas primeiras regras. A Arábia Saudita, por exemplo, já se desvencilhou do pensamento antropocêntrico e reconheceu a possibilidade de robôs terem personalidade jurídica: no final de 2017, tornou-se o primeiro país a conceder cidadania oficial a uma máquina, no caso a Sophia, um robô humanoide com inteligência artificial projetado para aprender, adaptar-se ao comportamento humano e trabalhar com seres humanos. Seguindo esse caminho, podemos pensar na divisão do conceito clássico de pessoa singular em duas espécies: pessoas singulares humanas (biológicas) e pessoas singulares humanoides (cibernéticas). Assim como as pessoas humanas, as pessoas humanoides podem ter diferentes graus de capacidade, conforme o seu nível de inteligência e autodeterminação. A partir daí, abre-se a porta para a responsabilização dos robôs por suas ações. O presente artigo não teve a pretensão de trazer uma solução para essa problemática, mas de provocar a discussão em torno do tema. Ainda há muito o que avançar, rompendo com antigos paradigmas e buscando alternativas que se adequem à nova realidade. As enormes transformações propiciadas pelo atual estágio e ritmo de evolução tecnológica clamam por uma releitura profunda da ordem jurídica, como fenômeno cultural que é, atendendo aos novos anseios sociais.
Em meio a intensos debates legislativos, optou-se por deixar as questões relativas aos direitos do autor fora do Marco Civil da Internet (MCI - lei 12.965/2014). Neste sentido, nas disposições finais da lei, constou expressamente que, até a entrada em vigor de lei específica, "a responsabilidade do provedor de aplicações de internet por danos decorrentes de conteúdo gerado por terceiros, quando se tratar de infração a direitos de autor ou a direitos conexos, continuará a ser disciplinada pela legislação autoral vigente"1. Passados cinco anos, ainda não foi editada nova lei, sendo certo também que a Lei de Direitos Autorais (LDA - lei 9.610/1998), editada quando a internet dava seus primeiros passos no país, faz menções um tanto quanto genéricas às novas tecnologias2, não apresentando soluções adequadas, em especial no tocante à responsabilização por danos decorrentes de conteúdo gerado por terceiros. Não à toa, na visão de autoralistas, o MCI já foi inclusive taxado como uma lei "hostil" à criação intelectual, na medida em que classifica como subjetiva a responsabilização dos provedores de aplicações e exige ordem judicial específica para que tais empresas removam determinado conteúdo do ar3. É certo que, embora o próprio MCI fale na dependência de lei específica para regular o tema, como ainda não foi editada tal lei, tem prevalecido a regra geral do artigo 19, que é prejudicial aos titulares de direitos autorais e conexos, sobretudo quando comparada à regra até então adotada do notice and takedown, procedimento segundo o qual o titular do direito notificava extrajudicialmente o provedor para que tornasse indisponível o conteúdo, sob pena de negligência que já poderia ser responsabilizada civilmente. O conflito que se verifica neste tema reside na discussão sobre se a proteção aos direitos autorais e conexos prejudicaria a potencialidade de difusão das informações pelas novas tecnologias4. Seria o direito autoral verdadeira restrição à liberdade de circulação de obras literárias e artísticas pela internet? Visando resolver o impasse, o anteprojeto de lei de modernização da Lei de Direito Autoral (de 2010) buscou criar regra específica de responsabilidade solidária dos provedores "de hospedagem" por danos decorrentes da disponibilização ao público, por terceiros e sem autorização de seus titulares, de "obras e fonogramas". Pelo anteprojeto, seria incluído o art. 105-A à lei 9.610/1998, que tornaria o provedor responsável se, após notificação pelo titular ofendido, não tomasse as providências a seu alcance para tornar indisponível o conteúdo, em nítida contraposição à regra geral do Marco Civil5. O projeto, contudo, não foi à frente, sendo certo que o Ministério da Cidadania abriu - em junho de 2019 - nova consulta pública para reforma da LDA, indicando que se retornou à estaca zero, na medida em que a consulta será "o primeiro passo para a construção de um anteprojeto de lei para a reforma da LDA"6. Embora não se questione que a consulta à sociedade civil, sobretudo às associações ligadas ao tema e aos estudiosos da matéria, sempre seja bem-vinda, parece ser contraproducente deixar de lado tudo que foi debatido nos últimos anos para se recomeçar, ainda mais sabendo que as discussões serão polêmicas e que o processo legislativo brasileiro não costuma ser nada célere. Fato é que ainda não possuímos uma regulamentação específica para as questões ligadas ao direito de autor na internet e a aplicação da regra geral do Marco Civil está longe de ser a mais adequada, pela grande distinção das hipóteses: uma coisa é discutir se um texto crítico está protegido pela liberdade de expressão ou se viola os direitos de personalidade de alguém; outra - bem distinta - é o combate à pirataria, que prejudica não apenas os autores, como toda a indústria literária e audiovisual. Algo que certamente marcará os debates será a recém aprovada Diretiva sobre Direitos do Autor da União Europeia e seu polêmico artigo 13, que vai muito além do notice and takedown, que é a regra atual na Europa. Quando os países europeus criarem suas regras internas em obediência à diretiva, as plataformas e redes sociais deverão tomar medidas que variam desde a tentativa de licenciar conteúdo protegido ou removê-lo após notificação, passando por proibir que o material removido seja novamente disponibilizado, até a criação de filtros de upload, para impedir que um conteúdo protegido por direitos autorais e não licenciado sequer chegue à internet7. Há bons argumentos para os dois lados. Numa ponta, defende-se o direito de autores, que não foi adequadamente protegido pelo Marco Civil e que sofreu enorme impacto pelo incremento da atividade de pirataria pela internet8. Na outra, o risco de que uma eventual obrigação de monitoramento, tal qual criada na Europa, acabe se mostrando exagerada e possa afetar inclusive o chamado uso aceitável (fair use) do material protegido por direitos autorais, por exemplo para fins educacionais, divulgação de notícias, críticas literárias ou paródias. Aguarda-se que os debates levem o futuro projeto que irá regulamentar a matéria a uma solução equilibrada e que a aprovação das novas regras não demore. O que não se pode mais admitir é que a proteção dos direitos do autor continue sem regulamentação, gerando enorme insegurança jurídica. __________ 1 Art. 31 da lei 12.965/2014, fazendo remissão ao art. 19, § 2º, da lei. 2 A LDA fala em "meios óticos ou qualquer outro processo eletromagnético", "qualquer outra forma de transferência" de obras literárias ou artísticas, "meios eletrônicos" de reprodução, "armazenamento em computador", etc. Não há uma única menção à internet. 3 MORATO, Antonio Carlos; MORAES, Rodrigo. Breve crônica dos riscos de uma lei criada sob o signo da hostilidade à criação intelectual. In DEL MASSO, Fabiana; ABRUSIO, Juliana; FLORÊNCIO FILHO, Marco Aurélio (coord.). Marco civil da internet - lei 12.965/2014. São Paulo: RT, 2014. 4 DOS SANTOS, Manoel J. Pereira. Direito de autor, direito de informação e internet. In Direito Autoral - série GVLaw - Propriedade Intelectual. São Paulo: Saraiva, 2014. 5 O anteprojeto falava ainda em "prazo razoável", ao contrário da redação do art. 19 do MCI, que fala em cumprimento no "prazo assinalado" pela decisão judicial. Ficaria, portanto, a cargo da jurisprudência e da doutrina definir o que seria razoável nestas hipóteses. 6 Notícia veiculada - acesso em 10/10/2019). A consulta encerrou-se em setembro de 2019. 7 Sobre o tema, confira-se: VALENTE, Mariana G. A diretiva sobre direitos de autor na União Europeia pode acabar com a internet? In (acesso em 8/10/2019). 8 Desde livros inteiros cujas versões em PDF circulam livremente pelas redes sociais e aplicativos de mensagens, até a pirataria de filmes e programação de TV por assinatura, disseminada por meio de receptadores, aplicativos de celular e listas IPTV.
Entramos na contagem regressiva de um ano para a entrada em vigor - no dia 14/8/2020 - da Lei Geral de Proteção de Dados1 ("LGPD"), já considerando o prazo adicional de seis meses proporcionado pela Medida Provisória 869/2018, convertida na lei 13.853/2019. Transcorrido mais da metade do período de vacatio legis, constata-se que a grande maioria das empresas ainda não iniciou o processo de adequação à LGPD. Muitas se questionam se a LGPD não irá cair no ostracismo, como tantas outras normas que são letra morta no país, rendendo-se ao fenômeno que os americanos denominam backlash, ou seja, leis que, por estarem de alguma forma dissociadas da razoabilidade ou do senso comum, acabam sendo sistematicamente descumpridas. Definitivamente, não será este o caso da LGPD, que não é fruto de mero oportunismo ou conveniência política, tampouco encontra-se divorciada da realidade; ao contrário, advém de uma exigência mundial de mercado, de conferir maior segurança e transparência ao tratamento de dados pessoais, que, aliado ao atual - e crescente - grau de desenvolvimento tecnológico, se tornou poderosa ferramenta de profiling, isto é, de monitoramento centrado de pessoas para, com base em algoritmos complexos, criar modelos ou perfis de comportamento. São inúmeras as aplicações do profiling, estando presente em diversas atividades do nosso cotidiano, tais como na oferta de bens e serviços, no controle e segurança de espaços com grande circulação de pessoas e na análise de crédito. Diferente do que muitos imaginam, tal preocupação não é nova. A proteção de dados pessoais é regulamentada na Europa desde a década de 1970, quando foi instituído o Ato de Proteção de Dados de Hesse, na Alemanha, e em âmbito transnacional desde da década de 1980, quando o Conselho da Europa aprovou a Convenção 108 para a proteção das pessoas relativamente ao tratamento automatizado de dados de caráter pessoal. Mas a regulamentação do tratamento de dados pessoais não foi uma iniciativa exclusiva da Comunidade Europeia. Na América do Sul, por exemplo, Argentina, Chile, Uruguai, Colômbia e tantos outros países já dispõem de normas nesse sentido, algumas vigentes desde a década de 1990. Tudo leva a crer, portanto, de que a LGPD será largamente fiscalizada e aplicada, não apenas por reciprocidade às legislações estrangeiras, que para a transferência internacional de dados pessoais exigem dos países receptores o mesmo grau de proteção e garantia, mas sobretudo por uma exigência de mercado e da própria sociedade, que paulatinamente vem se conscientizando do valor, das possibilidades e, sobretudo, dos riscos associados ao tratamento de dados pessoais. Aliás, a LGPD também tende a exercer papel educador2, gerando um processo de aculturamento dos brasileiros acerca dos direitos e obrigações inerentes à proteção de dados, num fenômeno semelhante ao ocorrido com o Código de Defesa do Consumidor que, passados quase trinta anos de sua entrada em vigor, trouxe enorme conscientização da sociedade acerca de seus direitos e obrigações enquanto consumidores. Nesse contexto, estar em conformidade com a LGPD ultrapassa o aspecto da mera legalidade para se tornar verdadeiramente uma vantagem competitiva entre as organizações, na medida em que as pessoas tenderão a preferir manter relacionamento comercial com aquelas empresas que lhes garantam transparência, privacidade, controle e segurança no tratamento de seus dados. Focar na experiência do consumidor é um diferencial competitivo. Não se trata, pois, de cumprir o mínimo para estar aderente à lei, mas de encarar a LGPD como uma oportunidade para rever modelos de negócio e desenvolver novos produtos, ciente de que os conceitos de privacy by design (priorização da privacidade do dado de ponta a ponta, desde a concepção do produto ou serviço, conferindo segurança ao dado durante todo o seu ciclo de vida, da coleta à eliminação) e de privacy by default (configuração padrão deve assegurar o máximo de privacidade ao titular, coletando apenas os dados essenciais à entrega do bem ou prestação do serviço), muito mais do que uma exigência legal, representam uma expectativa crescente e legítima do cliente. Já do ponto de vista interno, a aderência à LGPD propiciará a implementação de uma cultura corporativa voltada para o tratamento ético, seguro e otimizado de dados, desvencilhando-se da atual praxe de algumas empresas, de coletar o maior volume possível de dados pessoais, sem qualquer critério e sem sequer atentar para a real utilidade dos dados coletados. Ao buscarem efetivo alinhamento com os limites impostos pela LGPD, as empresas terão a oportunidade de construir um banco de dados mais eficiente e menos custoso, centrado apenas nas informações que tenham utilidade prática, reduzindo inclusive suas contingências de segurança e possibilitando uma relação de absoluta transparência com os clientes. Em suma, a LGPD veio para ficar e a implementação do processo de adequação às suas regras não deve ser vista como um gasto, mas como um investimento para ganho em competitividade e reputação de mercado, alavancando novos negócios. Deve-se olhar essa nova legislação de forma prospectiva e estratégica, não como um ônus, mas como uma oportunidade. Este, sem dúvida, parece ser o melhor caminho. __________ 1 Lei 13.709/2018. 2 Este deve ser o papel desempenhado pela Autoridade Nacional de Proteção de Dados (ANPD), pelo menos nos seus primeiros anos. Como ainda inexiste uma cultura brasileira de preocupação com os dados pessoais, o caminho da educação e orientação das empresas é mais indicado do que o da simples punição.
Daniel Bittencourt Guariento e Ricardo Maffeis Martins Caros leitores, iniciamos hoje em Migalhas esta coluna quinzenal que pretende abordar e discutir aspectos ligados ao Direito Digital e, como não poderia deixar de ser, à Lei Geral de Proteção de Dados (LGPD), a lei 13.709/2018, que entrará em vigor em agosto de 2020 e tem potencial de impacto na sociedade e na vida das empresas semelhante ao ocorrido, na década de 1990, com o Código de Defesa do Consumidor. Pretendemos trazer para o debate questões e implicações jurídicas sobre Inteligência Artificial, Internet das Coisas, privacidade, liberdade de expressão versus direitos da personalidade, responsabilidade civil e como nossos tribunais têm decidido tais temas, sempre que possível comparando com decisões estrangeiras. Neste primeiro artigo, abordamos um tema que está na pauta do Supremo Tribunal Federal (STF): a possibilidade de acesso aos dados de um telefone celular apreendido com um acusado em situação de flagrante ou no local do crime. A controvérsia está sendo discutida no Recurso Extraordinário com Agravo (ARE) 1.042.075, da relatoria do ministro Dias Toffoli, com repercussão geral reconhecida1. No caso, o Tribunal de Justiça do Rio de Janeiro (TJ/RJ) decretou a absolvição do acusado sob o fundamento de que a apreensão do celular seguida de acesso à agenda telefônica e ao registro de chamadas constituíra prova ilícita, por ter sido realizada sem autorização judicial. O Ministério Público recorreu ao STF defendendo a licitude da medida adotada pela polícia, que configuraria mera apreensão de objetos necessários à prova da infração penal, "servindo os registros e fotos ali armazenados como linha investigativa hábil a identificar o agente", não implicando em invasão à privacidade ou à intimidade, nem em interceptação de comunicação telefônica ou de dados. A matéria já foi decidida algumas vezes pelo Superior Tribunal de Justiça (STJ)2, que fixou o entendimento de que, em tais casos, a prova é ilícita. Vide, a título de exemplo, o Recurso em Habeas Corpus (RHC) 51.531/RO, julgado pela 6ª Turma, relator o ministro Nefi Cordeiro (DJe de 9/5/2016). No mesmo sentido, o RHC 67.379/RN, da relatoria do ministro Ribeiro Dantas, em que a 5ª Turma do STJ decidiu, em votação unânime, que a conduta era irregular, a ponto de a prova ter sido desentranhada dos autos. Confira-se trecho da ementa deste julgado3: "2. Embora seja despicienda ordem judicial para a apreensão dos celulares, pois os réus encontravam-se em situação de flagrância, as mensagens armazenadas no aparelho estão protegidas pelo sigilo telefônico, que deve abranger igualmente a transmissão, recepção ou emissão de símbolos, caracteres, sinais, escritos, imagens, sons ou informações de qualquer natureza, por meio de telefonia fixa ou móvel ou, ainda, através de sistemas de informática e telemática. Em verdade, deveria a autoridade policial, após a apreensão do telefone, ter requerido judicialmente a quebra do sigilo dos dados nele armazenados, de modo a proteger tanto o direito individual à intimidade quanto o direito difuso à segurança pública. Precedente". (RHC 67.379/RN, 5ª Turma, Rel. Min. Ribeiro Dantas, DJe de 9/11/2016) O tema já havia sido tratado, em junho de 2014, pela Suprema Corte dos Estados Unidos. No caso Riley v. Califórnia, também prevaleceu a proteção dos dados encontrados em celular apreendido por policial sem ordem judicial. Naquele caso, o acusado foi detido por dirigir com documentação vencida e, na abordagem, foram encontradas em seu carro duas armas de fogo e, no bolso da calça de Riley, um smartphone. A partir da análise dos dados encontrados no telefone, foi possível denunciar o acusado pela participação em um tiroteio ocorrido algum tempo antes. No precedente estadunidense, decidiu-se que o celular pode ser apreendido pela autoridade policial, até mesmo para que não possa ser utilizado como "arma" pelo acusado. Porém, os dados armazenados no aparelho não podem ser vistoriados sem a existência de ordem judicial. Reputamos correto o entendimento - tanto da Suprema Corte dos EUA, quanto do STJ - na medida em que, ao contrário da tese defendida pelo Ministério Público, um smartphone não deve ser comparado a uma antiga agenda de endereços e telefones onde uma pessoa ligada ao tráfico de entorpecentes anotava dados de seus clientes ou fornecedores. Ao contrário, levamos atualmente conosco, para todos os lugares, dados muito sensíveis, uma gama de informações que inclui mensagens, lista de contatos, fotografias, e-mails, registro de ligações, perfis (e comunicações) em redes sociais, contas bancárias, trajetos percorridos nos dias anteriores e muito mais. Diante disso, apreendido o telefone celular, cabe à autoridade policial requerer judicialmente a quebra do sigilo dos dados armazenados, de sorte a respeitar a garantia constitucional à inviolabilidade da intimidade e da vida privada, contida no artigo 5º, inciso X, da Carta Magna. Embora a Constituição Federal permita, em situações extremas, a relativização dos direitos fundamentais, sopesados os valores envolvidos na situação em comento, não nos parece ser possível. O acesso indevido, sem ordem judicial fundamentada, implicaria em grave violação à privacidade e intimidade das pessoas, atingindo, ainda que por analogia - já que não há, propriamente, uma interceptação telefônica - a inviolabilidade das comunicações privadas, regulada pela lei 9.296/1996, que, malgrado já pudesse ter sido atualizada às novas tecnologias, encontra-se em vigor e é perfeitamente aplicável à hipótese. Por fim, mesmo nas hipóteses em que possa haver a concordância do investigado com o acesso ao seu celular, a intimidação e o constrangimento causados pela prisão viciam tal manifestação da vontade, salvo se o investigado estiver acompanhado por advogado e for advertido formalmente dos direitos renunciados. Aguarda-se agora que o Supremo Tribunal Federal valide este entendimento, mantendo a necessidade de ordem judicial para acesso aos dados existentes em celulares. P.S. - Vale a pena acompanhar, na 2ª Turma do STF, o trâmite do Habeas Corpus  168.052, da relatoria do ministro Gilmar Mendes, atualmente com pedido de vista da ministra Cármen Lúcia. Neste caso, após denúncia anônima de tráfico de drogas, policiais abordaram o suspeito em via pública e nada encontraram. Todavia, ao consultarem suas conversas no aplicativo WhatsApp, encontraram indícios da prática do crime. Por conta disso, decidiram realizar busca em seu domicílio, onde foram apreendidas drogas, arma, munição e certa quantia em dinheiro. O réu foi condenado em primeiro grau, teve a pena aumentada pelo TJ/SP, decisão que foi mantida pelo STJ. No STF, o relator votou pela concessão da ordem. __________ 1 Tema 977 da Repercussão Geral - "Aferição da licitude da prova produzida durante o inquérito policial relativa ao acesso, sem autorização judicial, a registros e informações contidos em aparelho de telefone celular, relacionados à conduta delitiva e hábeis a identificar o agente do crime". 2 Sobre os julgados do STJ, inclusive alguns que validaram a prova obtida, graças à existência de ordem judicial prévia, vide: MARTINS, Ricardo Maffeis. Apreensão de smartphone e acesso a dados, in Observatório do Marco Civil da Internet (Acesso em 20/8/2019). 3 A íntegra do acórdão pode ser obtida no site do tribunal.