COLUNAS

  1. Home >
  2. Colunas

Impressões Digitais

Discussão de aspectos ligados ao Direito Digital.

Ricardo Maffeis Martins e Daniel Bittencourt Guariento
Na véspera da publicação desta coluna, fizemos uma rápida pesquisa em alguns dos mais conhecidos sites brasileiros sobre tecnologia e vejam alguns dos resultados encontrados, todos publicados no próprio 15 de julho: "Papo perigoso: WhatsApp é o app preferido para aplicação de golpes no Brasil", "Espanha prende gangue de cibercriminosos que usava malwares criados no Brasil" e "Veja como atua o grupo Mespinoza, conhecido por ciberataques com nomes criativos". O tema está na ordem do dia e novos golpes são criados de forma cada vez mais rápida e sofisticada, dificultando tanto a prevenção, quanto a repressão aos delitos. Nem mesmo o sancionamento, em maio deste ano, da lei 14.155/2021 - alterando dispositivos do Código Penal para tornar mais graves os crimes de furto e estelionato cometidos via internet mediante o uso de dispositivos eletrônicos - inibiu os cibercriminosos, que parecem estar sempre um passo à frente. A título de exemplo - e aproveitando-se de uma das reportagens acima citadas - atualmente quase não se ouve mais falar no golpe do telefonema do falso sequestro de um parente. Já conhecido da maioria das pessoas e exigindo uma verdadeira interpretação teatral do golpista, acabou substituído pelo "amigo que solicita um empréstimo pelo WhatsApp". Neste golpe, a vítima vê a fotografia de seu amigo ou parente e, às vezes, até o número da linha é o mesmo, gerando a falsa ideia de estar conversando com a pessoal verdadeira. As dicas mais comuns para prevenção contra estes crimes passam pela manutenção sempre atualizada dos programas de computador e dos aplicativos instalados em tablets e smartphones; o uso de boas ferramentas de proteção, como antivírus e firewalls, além de senhas fortes e o fator de autenticação em duas etapas para acessar contas e serviços; desconfiar de e-mails suspeitos, promoções mirabolantes ou mensagens enviadas por pessoas que não sejam de seus círculos de relacionamentos; não fazer downloads ou clicar em links que não conheça etc. Embora sejam providências importantes - e mínimas - a serem tomadas, elas minimizam a chance de ocorrência dos delitos, mas não as eliminam totalmente. Uma vez ocorrido, as autoridades policiais em geral têm pouco a fazer. Em primeiro lugar, porque muitos preferem incorporar o prejuízo à burocracia de registrar um boletim de ocorrência e, eventualmente, ter de participar de um inquérito policial ou ação criminal. Além disso, não raro se exige perícia de informática nos equipamentos da pessoa ou da empresa, além de solicitação de dados de acesso e de conexão por parte de distintos provedores. Se um deles não tiver filial ou escritório no Brasil, a tarefa torna-se ainda mais árdua. Se a situação já é complicada para pessoas físicas, os riscos a que empresas sérias estão sujeitas são ainda maiores. Isso porque, além de estarem também sujeitas a serem vítimas diretas dos golpistas, as pessoas jurídicas podem ser chamadas a responder judicialmente em casos em que seus consumidores sejam as vítimas diretas e elas não tenham responsabilidade ou essa, quando existente, seja ínfima. Em tais casos, a empresa é vítima indireta da ação do golpista e, perante seu consumidor, responde como se tivesse culpa pelo ocorrido, sob a figura da responsabilidade objetiva. Em artigo publicado em outubro de 2020, tratamos da necessidade de que as empresas estivessem adequadas à Lei Geral de Proteção de Dados Pessoais (LGPD) e que estruturassem um plano de prevenção e combate a incidentes de segurança, de modo que as primeiras providências fossem tomadas tão logo identificado um ataque ou vulnerabilidade em seus sistemas. As providências tornam-se cada vez mais imprescindíveis, uma vez que no próximo dia 1º de agosto entrarão em vigor os artigos da LGPD que tratam das sanções administrativas1 a serem aplicadas pela Autoridade Nacional de Proteção de Dados. No Judiciário, a situação também não é de fácil solução. As vítimas entendem não ter culpa pelo ocorrido, ainda que, por desatenção, tenham fornecido as informações necessárias para a consumação do delito. Para piorar, a falta de conhecimento faz com que atribuam a prática criminosa a uma empresa que por vezes não tem qualquer relação com os fatos. Voltando ao exemplo já citado, se uma pessoa adquire um chip numa banca de jornais, utiliza foto de terceiro e cria um perfil novo (falso) no WhatsApp, passando a enviar mensagens aos contatos daquela pessoa (que, de algum modo, ele sabe quais são), à princípio não há como imputar qualquer falha à operadora de telefonia, que, ademais, não teria como proibir o uso do aplicativo de mensagens por qualquer pessoa. Mesmo assim, há quem opte por processar a companhia telefônica por fatos como esses. Nessa situação, com fulcro na responsabilidade objetiva dos fornecedores de produtos e serviços e na possibilidade de inversão do ônus da prova em favor do consumidor, pode acontecer de a operadora ser condenada a indenizar seu cliente. Para piorar, eventual repercussão da decisão condenatória acaba por prejudicar a reputação da empresa, em que pese todo o esforço e investimento que possam ter sido realizados em compliance e proteção de dados pessoais. Outro facilitador para golpes acaba sendo o uso do recém-criado sistema de pagamentos Pix, que, ao diminuir as burocracias bancárias para realização de transferências entre contas, acaba por facilitar equívocos e dificultar a recuperação do dinheiro. Ora, mas se o erro foi de quem preencheu os dados e transferiu o dinheiro para outra pessoa, à primeira vista não há o que ser imputado à instituição financeira, que deve estar preparada para demonstrar em juízo ter realizado exatamente a operação solicitada pelo cliente. As soluções aos problemas narrados são de duas ordens: internas e externas. No âmbito interno, além da questão já abordada de adequação à LGPD e elaboração de um plano de prevenção e combate a incidentes, é necessário investimento em educação e treinamento dos colaboradores e análise dos golpes já conhecidos para que a área técnica possa, de forma ágil, fornecer todos os subsídios ao departamento jurídico. No âmbito externo, é essencial contar com apoio de um escritório especializado no tema, para tentar desde o início afastar eventual inversão do ônus probatório e definir a estratégia a ser seguida, aumentando as chances de êxito e inibindo ações semelhantes. Neste momento mais do que nunca, estar devidamente preparado pode fazer a diferença em termos de condenações judiciais e preservação do nome e marca da empresa. __________ 1 Artigos 52 a 54 da LGPD, com sanções de até 2% do faturamento do ano anterior, com teto de R$ 50 milhões por infração.
A edição da lei 13.709/2018, a Lei Geral de Proteção de Dados ("LGPD"), representou enorme avanço na tutela dos direitos fundamentais de liberdade e de privacidade, bem como do livre desenvolvimento da personalidade da pessoa natural. Entretanto, perdeu-se a oportunidade de regular a proteção de dados pessoais de titulares falecidos. Fortemente inspirado na regulamentação geral de proteção de dados da Comunidade Europeia, a General Data Protection Regulation ("GDPR"), o legislador brasileiro deixou de fora da LGPD o tratamento de dados post mortem, mas, diferentemente do legislador europeu, o fez de maneira tácita. Ao contrário da GDPR - cujos considerandos1 27, 158 e 160 indicam uma posição de neutralidade, consignando expressamente a sua inaplicabilidade aos dados de pessoas falecidas, inclusive para fins de arquivo e de investigação histórica, deixando essa regulamentação a cargo de cada Estado-Membro - a LGPD não possui nenhum dispositivo sobre o tratamento de dados pessoais de titulares mortos. Em linha com o quanto disposto na GDPR, alguns países da Comunidade Europeia editaram normas específicas sobre o tema. A Itália, por exemplo, alterou sua legislação para estabelecer que os direitos relacionados a dados pessoais de pessoas falecidas poderão ser exercidos por quem detenha interesse na proteção de tais dados2. A Bulgária, por sua vez, limita esse direito aos herdeiros do de cujus3. Na França, por outro lado, abriu-se a possibilidade de o titular dar ao controlador orientações gerais ou específicas sobre retenção, descarte e compartilhamento dos dados pessoais após a morte, permitindo inclusive a indicação de terceiro para assegurar a implementação dessas orientações4. No Brasil, a lacuna legal traz uma série de dúvidas acerca da chamada "herança digital", primeiro sobre a titularidade dos dados pessoais que a compõem e a efetiva existência de proteção a partir do falecimento, e, uma vez definidas essas incertezas, acerca do alcance de uma eventual tutela, lembrando que, mesmo com a morte dos respectivos titulares, seus dados pessoais permanecem sendo tratados por diversos controladores, tais como órgãos e serviços públicos e empresas com as quais se mantinha relação jurídica, inclusive com potencial exposição pública, como em aplicativos e redes sociais. Para tentarmos responder a essas dúvidas, podemos recorrer à regra geral do Código Civil, cujo art. 6º estabelece que a existência da pessoa natural termina com a sua morte, momento em que o indivíduo deixa de ser sujeito de direitos e obrigações, acarretando como efeitos jurídicos, via de regra, a extinção dos direitos e das obrigações de natureza personalíssima e a transmissão aos sucessores dos direitos não personalíssimos, em especial os de natureza patrimonial. Vale dizer, a personalidade da pessoa extingue-se com a morte, sendo por definição intransmissível, mas remanescem os respectivos bens e direitos. Tanto é assim, que os parágrafos únicos dos arts. 12 e 20 do Código Civil legitimam o cônjuge, ascendentes ou descendentes a defenderem os direitos da personalidade do de cujus, sua honra, boa fama e respeitabilidade, bem como a exploração comercial de sua imagem, voz e escritos. Nesse sentido, o Superior Tribunal de Justiça já reconheceu em diversas oportunidades a legitimidade dos herdeiros para pleitearem indenização por atos lesivos à honra e à imagem5 do falecido, "porque elas permanecem perenemente lembradas nas memórias, como bens imortais que se prolongam para muito além da vida, estando até acima desta"6. Enquanto não vem iniciativa legislativa ou regulamentação pela Autoridade Nacional de Proteção de Dados, as grandes plataformas digitais, de uma forma geral, permitem o cancelamento de perfis mantidos por usuários falecidos, mas o acesso e/ou gerenciamento das contas ainda não possui regras uniformes. Os provedores de aplicativos de relacionamento social têm procurado apresentar em seus termos de uso alternativas para o caso de falecimento. O Instagram7 e o LinkedIn8, por exemplo, autorizam a denúncia de contas de pessoas falecidas, solicitando a transformação em memorial e, sendo um familiar, o encerramento. Já o Twitter9 informa que pode interagir com pessoa autorizada em nome do Estado ou um familiar direto para efetuar a desativação da conta, enquanto o Facebook10 permite ao próprio usuário adicionar um "contato herdeiro" para gerenciar algumas funcionalidades do perfil transformado em memorial após o falecimento ou pedir a sua exclusão. Inclusive, a política do Facebook foi de certa forma validada pelo Tribunal de Justiça do Estado de São Paulo em julgado recente pela improcedência de ação de familiar contra a exclusão da conta de usuária falecida que não apontou o mencionado "contato herdeiro". De acordo com o Tribunal bandeirante, os termos e condições aderidos em vida pela titular vedavam o compartilhamento de senhas e a utilização do perfil por terceiros, tendo concluído que "devem prevalecer, quando existentes, as escolhas sobre o destino da conta realizadas pelos indivíduos em cada uma das plataformas, ou em outro instrumento negocial legítimo, não caracterizando arbitrariedade a exclusão post mortem dos perfis. Inexistente manifestação de vontade do titular neste particular, sobressaem os termos de uso dos sites, quando alinhados ao ordenamento jurídico"11. A despeito dessas iniciativas do setor privado e da jurisprudência que é paulatinamente construída em torno da matéria, ainda persistem diversas dúvidas acerca do tratamento post mortem de dados pessoais e dos direitos e obrigações relacionados à herança digital, as quais clamam por iniciativas legislativas e/ou regulatórias para eliminar a insegurança jurídica atualmente existente. __________ 1 Os considerandos da GDPR são uma espécie de preâmbulo à lei, com diversas orientações acerca do alcance, da interpretação e da aplicação da norma. 2 Disponível aqui. 3 Disponível aqui. 4 Disponível aqui. 5 AgInt no AREsp 1.094.835/SC, Rel. Min. Maria Isabel Gallotti, 4ª Turma, DJe de 5/6/2020; REsp 1.209.474/SP, Rel. Min. Paulo de Tarso Sanseverino, 3ª Turma, DJe de 23/9/2013; REsp 750.698/RJ, Rel. Min. Raul Araújo, 4ª Turma, DJe de 24/5/2012; e AgRg no Ag 850.273/BA, Rel. Min. Honildo Amaral de Mello Castro, 4ª Turma, DJe de 24/8/2010. 6 REsp 521.697/RJ, Rel. Min. Cesar Asfor Rocha, 4ª Turma, DJ de 20/3/2006. 7 Disponível aqui. 8 Disponível aqui. 9 Disponível aqui. 10 Disponível aqui. 11 AC 1119688-66.2019.8.26.0100, Rel. Des. Francisco Casconi, 31ª Câmara de Direito Privado, DJe de 13/3/2021.
Dois temas de direito digital criminal movimentaram as últimas semanas no país. De um lado, o reconhecimento da repercussão geral ao Recurso Extraordinário 1.301.250, em trâmite no Supremo Tribunal Federal (STF), recurso interposto pelo Google contra decisão do Superior Tribunal de Justiça (STJ) que considerou lícita a quebra de sigilo de pessoas que fizeram pesquisas em seu site de buscas nos dias anteriores à execução da vereadora Marielle Franco, no Rio de Janeiro, em março de 2018. De outro, decisão do STJ que considerou ilícita - em processo penal - prova obtida por meio de prints de tela do aplicativo WhatsApp. Começando pelo até hoje não solucionado homicídio da vereadora Marielle Franco (PSOL/RJ) e do motorista Anderson Gomes. Uma das linhas de investigação da polícia fluminense reside na quebra de sigilo de IP's do site de buscas do Google, como forma de se chegar às pessoas que pesquisaram naquela plataforma dados ligados à agenda da vereadora e aos endereços ligados ao crime, entre dos dias 7 e 14 de março de 2018. Do cruzamento de tais dados com outros, como os veículos que passaram pelo pedágio de uma determinada via, a polícia pretende identificar os ocupantes do automóvel utilizado no homicídio1. O Google resiste desde o início a entregar os dados, alegando que a combinação de palavras e termos comuns poderia levar a milhares de pessoas que fizeram a pesquisa no buscador, configurando uma "quebra de sigilo de uma gama de pessoas não identificadas e sequer individualizadas", o que não é autorizado pela lei. O STJ, em decisão de sua Terceira Seção, sob relatoria do ministro Rogério Schietti, entendeu que a quebra do sigilo estava "delimitada por parâmetros de pesquisa em determinada região e em período de tempo específico", de modo que não há risco à privacidade e intimidade das pessoas possivelmente atingidas que não tenham relação com o crime. No exame da proporcionalidade entre o que foi pedido pela polícia e pelo Ministério Público e os riscos apontados pela empresa, decidiu o STJ que "a restrição a direitos fundamentais (...) tendo como finalidade a apuração de crimes dolosos contra a vida de repercussão internacional, não enseja gravame às pessoas eventualmente afetadas"2. Agora, reconhecida a repercussão geral (tema nº 1.148), o Supremo Tribunal Federal decidirá sobre a constitucionalidade da decisão do STJ. A relatora é a ministra Rosa Weber. O maior risco está - caso o STF mantenha as decisões até aqui proferidas - na possibilidade de a decisão vire referência e medidas semelhantes se espalhem pelo Brasil, o que poderia levar a verdadeiro abuso por parte das polícias, com o uso do mecanismo para apuração de delitos não tão graves como o da vereadora Marielle. Numa ponta, a possibilidade da utilização de novas ferramentas para elucidação de crimes; noutra, o risco de abuso. No meio termo, o imprescindível bom senso na requisição e no uso de dados3. Da análise dos dois pontos de vista diametralmente opostos, o caminho passa pela autorização do fornecimento dos dados nesse caso concreto, diante da gravidade e repercussão do crime, bem como da delimitação do tipo de pesquisa que foi requerido, tomando o STF o cuidado de pontuar que se trata de uma exceção autorizada para aquele caso específico e não algo que possa ser deferido em toda e qualquer investigação. Afinal, pode-se usar prints de tela como provas na Justiça? A Sexta Turma do Superior Tribunal de Justiça proferiu recentíssima decisão em que confirmou a ilicitude de prints de tela do WhatsApp Web - versão para computadores e notebooks do famoso aplicativo de mensagens - e determinou seu desentranhamento dos autos. A decisão foi proferida no Recurso em Habeas Corpus (RHC) nº 133.430/PE, teve como relator o desembargador federal convocado Olindo Menezes e foi unânime4. Entendeu o STJ que as mensagens reproduzidas utilizando-se a tecla "Print Screen" ou outras ferramentas que copiem o que aparece na tela do computador poderiam ser facilmente adulteradas, uma vez que "eventual exclusão de mensagem enviada ou recebida não deixa vestígios (...) e, por conseguinte, não pode jamais ser recuperada para efeitos de prova em processo penal"5. Em investigação de possível prática do crime de corrupção ativa, foram anexados prints de tela de conversas que comprometeriam os réus. A defesa não obteve sucesso na tentativa de afastar tal prova, nem perante o juízo de origem, nem no Tribunal de Justiça de Pernambuco, tendo então recorrido ao STJ, que rechaçou as conversas do aplicativo e manteve válidas apenas as provas que não tivessem ligação com os prints de tela. Dois pontos merecem atenção. Em primeiro lugar, o TJ/PE entendeu pela validade da prova porque não existiam "elementos que possam apontar, extreme de dúvidas, que os prints de WhatsApp foram obtidos de forma ilícita", ou seja, transferiu ao acusado o ônus de comprovar que a conversa teria sido adulterada, o que foi invertido pelo STJ, que entendeu que a situação equivaleria ao "espelhamento de conversas do WhatsApp Web via Código QR", ressaltando que eventual exclusão de mensagens não deixa vestígios "em razão da tecnologia de encriptação ponta-a-ponta", que não armazena nos servidores da empresa o conteúdo das conversas. Se aceita no processo penal, haveria "indevida presunção absoluta da legitimidade dos atos dos investigadores, dado que exigir contraposição idônea por parte do investigado seria equivalente a demandar-lhe produção de prova diabólica", concluiu o STJ. O segundo ponto a ser destacado é que, no processo civil, não necessariamente a solução seria a mesma. Em coluna anterior publicada no Migalhas6, debatemos sobre três possibilidade de preservação de um conteúdo gerado na internet e sua utilização como meio de prova no processo civil: o print de tela, o uso da tecnologia blockchain e a produção de ata notarial. Naquela ocasião, pontuamos que, embora frágil - exatamente pela possibilidade de adulteração, tal como decidiu o STJ - o print pode validamente servir para comprovar algum fato no processo civil, "em especial quando tal prova é complementada por outras", situação em que o juiz cível definirá a quem atribuir o ônus de provar a veracidade ou não daquela prova. __________ 1 "Caso Marielle: Google deve quebrar sigilo e fornecer dados para investigação" - Migalhas de 26.08.2020. 2 Processos envolvidos no STJ: RMS 61.302, RMS 62.143 e RMS 60.698. 3 "Caso Marielle: Julgamento do STF sobre quebra de dados do Google servirá de referência para outras investigações no país" - Extra, 07.06.2021. 4 Vale mencionar que o relator original foi o ministro Nefi Cordeiro, que julgou monocraticamente o RHC, negando provimento ao pedido. O próprio STJ reformou aquela decisão em sede de agravo regimental, que declarou "nulas as mensagens obtidas por meio do print screen da tela", o que foi confirmado na decisão ora comentada, proferida em 01.06.2021 (EDcl no AgRg no RHC 133.430/PE). 5 "STJ: É ilícita prova obtida por meio de prints do WhatsApp Web" - Migalhas de 15.06.2021. 6 "O uso do blockchain na preservação das provas eletrônicas" - Migalhas de 22.05.2020.
sexta-feira, 21 de maio de 2021

Privacy by design, by default e by redesign

Os princípios do privacy by design e do privacy by default (em português, respectivamente, privacidade desde a concepção e privacidade por padrão) são frequentemente mencionados quando se fala em proteção de dados pessoais, tendo se popularizado com a entrada em vigor do Regulamento Geral de Proteção de Dados (General Data Protection Regulation, "GDPR") da União Europeia e, no Brasil, devido à sua incorporação, ainda que não de forma nominal, à lei 13.709/2018, a Lei Geral de Proteção de Dados ("LGPD"). Embora a maior projeção tenha vindo apenas nos últimos anos, o privacy by design foi criado na década de 1990 por Ann Cavoukian, professora da Universidade de Ryerson, no Canadá, e comissária de Informação e Privacidade de Ontário entre 1997 e 2014. Deriva de princípio mais amplo, do value sensitive design (no vernáculo, concepção sensível a valor), abordagem desenvolvida no final da década de 1980 por Batya Friedman e Peter Kahn, professores da Universidade de Washington, segundo a qual o desenvolvimento tecnológico deve priorizar os valores humanos de uma maneira ética, compreensiva e abrangente. Nesse contexto, o conceito por trás do privacy by design é de que todo o processo de engenharia de um produto ou serviço que envolva o tratamento de dados pessoais deve garantir a proteção da privacidade, enquanto direito à intimidade. Na prática, impõe ao agente de tratamento de dados o dever de assegurar que a privacidade esteja incorporada ao sistema durante todo o ciclo de vida e em todos os elementos/etapas do produto ou serviço. O privacy by design está baseado em sete fundamentos: (i) proatividade, agindo de modo a antecipar, identificar e prevenir incidentes envolvendo dados pessoais; (ii) padronização, para que a privacidade seja automática e independa de configuração pelo usuário; (iii) privacidade embutida na própria arquitetura de desenvolvimento do produto ou serviço, e não algo pensado de forma segregada, a ser acrescentada ao final ou até mesmo opcional; (iv) funcionalidade total, isto é, a implementação da privacidade em um produto ou serviço deve somar funcionalidades ao projeto, sem prejudicar nenhuma delas e sem oferecer vantagens àquele que aceite reduzir certas configurações. Não se deve trabalhar com a ideia de tradeoff, de prevalência de certas funcionalidades em detrimento de outras; (v) segurança ponta-a-ponta, de maneira que a proteção do dado esteja presente desde a coleta até a eliminação; (vi) visibilidade e transparência, com ampla informação sobre o processo de tratamento e proteção dos dados; e (vii) respeito pela autonomia do usuário, a quem cabe a decisão sobre os limites de privacidade dos seus dados. O privacy by default, por sua vez, pode ser considerado uma decorrência natural do privacy by design, pois incorpora a ideia de que o produto ou serviço seja comercializado com todas as salvaguardas de privacidade concebidas durante o seu desenvolvimento. Em outras palavras, o produto ou serviço deve ser entregue com a configuração de privacidade mais restritiva possível, de modo a que apenas os dados indispensáveis sejam coletados, cabendo ao próprio usuário, se assim desejar, habilitar de maneira informada e voluntária outras funcionalidades que ampliem o espectro de tratamento de seus dados pessoais. O privacy by design e o privacy by default estão expressamente previstos no artigo 25 do GDPR, segundo o qual os agentes devem aplicar, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, medidas técnicas e organizacionais adequadas, assegurando, por padrão, que somente sejam tratados dados pessoais essenciais para cada finalidade específica de tratamento e, em especial, que dados pessoais não sejam disponibilizados, sem intervenção humana, a um número indeterminado de pessoas. Ainda que não tenham sido adotadas pela LGPD de maneira expressa, o privacy by design e o privacy by default trazem conceitos análogos, notadamente em seu artigo 46, que obriga os agentes de tratamento a adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, com a ressalva, no § 2º do dispositivo, de que tais medidas "deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução". Esses princípios, no entanto, foram pensados para garantir a privacidade em sistemas de organizações em construção, nas quais os processos de engenharia de produção ainda não foram desenvolvidos, estando, pois, livres de práticas e vícios anteriores. A partir dessa constatação, surgiu nos últimos anos também o conceito de privacy by redisign (em português, algo como privacidade desde a reconcepção), que se preocupa com a inserção da privacidade em sistemas já desenvolvidos e em funcionamento, nos quais as características de operação dos produtos e serviços já estão definidas, podendo haver - e normalmente há - resistência na implantação de mudanças. A proposta é criar um mecanismo que permita reconceber sistemas já existentes para assegurar que sejam incorporados os principais fundamentos do privacy by design, quais sejam, proatividade, privacidade embutida no projeto e funcionalidade total. Nesse caso, o foco são as áreas ligadas às informações pessoalmente identificáveis1, de sorte que, localizados dados sensíveis, gatilhos automáticos sejam acionados para aplicação de protocolos e barreiras de gestão de identidade de acesso2, garantindo tratamento mínimo necessário. Mas, seja qual for o momento de implementar as mudanças, o grande desafio está em conscientizar as empresas como um todo acerca da importância da privacidade, já que grandes organizações costumam ter departamentos trabalhando de maneira segregada, muitas vezes sem a adoção de ações coordenadas. No Brasil, em que a regulamentação legal específica de proteção de dados pessoais é recente, inexistindo uma cultura de privacidade e segurança da informação, este desafio se mostra ainda maior. A efetividade e a eficiência da privacidade dependem do compromisso consciente de toda a organização quanto à necessidade de pensar nesse quesito durante todo o ciclo de vida do produto ou serviço, desde a sua concepção até a sua retirada definitiva do mercado. Mais do que o mero cumprimento de obrigações que, doravante, passam a ser legais e sujeitas a sancionamento, o cuidado com a privacidade do usuário terá impacto decisivo no próprio negócio e na marca da empresa, agregando vantagem competitiva num mercado cada vez mais preocupado com a ética, a transparência e o respeito aos direitos fundamentais do cliente. __________ 1 Informações de identificação pessoal ou, em inglês, personally identifiable information (PII), é um termo usado em segurança da informação para se referir a informações que podem ser utilizadas para identificar, contactar ou localizar um único indivíduo.   2 De acordo com o Gartner IT Glossary, a gestão de identidades e acessos (GIA) ou, em inglês, identity and access management (IAM), é uma disciplina de segurança da informação que "habilita os indivíduos corretos a acessar os recursos corretos no momento correto e pelos motivos corretos".  
Acabou de terminar mais uma edição do Big Brother Brasil, programa que, apesar da baixa qualidade cultural, tem grande aceitação entre os brasileiros, gerando, além de altos índices de audiência, a mobilização de redes sociais em disputas entre as "torcidas" a favor e contra determinados participantes, em especial nos chamados "paredões". Nesta edição, um fato chamou a atenção, a eliminação de ao menos três competidores com mais de 90% dos votos em disputas tríplices1, algo absolutamente imprevisível. Por trás de tamanha rejeição está a cultura do cancelamento, termo em voga desde 2019 e que representa a desconstrução social, a rejeição pública de uma pessoa - em geral famosa ou conhecida - pela sociedade, externada pelas redes sociais, onde se forma um movimento forte e unidirecional com o intuito de que aquela pessoa, por conta de certa frase, atitude ou comportamento, seja punida pelos demais, algumas vezes apenas com a perda de seguidores e fãs, outras, com a publicação de críticas e comentários negativos, que não raro transbordam para ofensas e ameaças2. Mas, se a culpa pelo cancelamento vem de uma atitude ou conduta equivocada do próprio cancelado, como é que isso pode levar à responsabilização civil ou criminal de um terceiro? Lembremos que no tribunal da internet não estão presentes nem as garantias do devido processo legal (como ampla defesa e produção de provas), nem do jornalismo sério e ético (ouvir os dois lados da notícia e direito de resposta). Ao contrário, "condena-se" a pessoa com acusações que não necessariamente são verdadeiras e milhares de outros curtem e compartilham a acusação, que rapidamente circula como se fosse verdade absoluta. Por vezes, a pessoa que está sendo cancelada até tenta exercer um certo contraditório, apresentando sua versão dos fatos ou a justificativa para o que foi acusada. Porém, via de regra, o cancelamento tem alcance muito maior, em especial quando os influenciadores digitais participam da viralização daquele conteúdo. É justamente aí que reside a responsabilização do terceiro que participou ativamente do cancelamento ou, mesmo que tenha entrado na onda depois que o movimento já se iniciara, contribuiu para que maior número de pessoas fosse atingido. Dispõem os artigos 186 e 927 do Código Civil que aquele que - por ação ou omissão - causar dano a outrem, comete ato ilícito e fica obrigado a reparar o dano causado ao ofendido. No âmbito penal, tem-se os crimes a honra - calúnia, injúria e difamação - que podem ser potencializados pela facilidade e rapidez da disseminação proporcionada pela internet3. Imagine-se então a seguinte situação hipotética: uma pessoa pública passa a sofrer cancelamento pela internet porque é divulgado que o sujeito maltrataria animais domésticos. Para dar credibilidade à acusação, é compartilhado um vídeo com agressões a um filhote, atribuídas àquela pessoa, ainda que não seja possível confirmar a veracidade das imagens. No primeiro momento, apenas pessoas comuns compartilham a acusação e iniciam o cancelamento. Porém, a notícia chega ao influenciador digital Felipe Neto4, ao jogador de futebol Neymar5 e à advogada Juliette6. Se apenas um deles - ou qualquer outra pessoa com número tão expressivo de fãs - reproduzir a afirmação, praticamente selando sua concordância com o cancelamento do "acusado", a proporção tende a se multiplicar milhares de vezes e a pessoa poderá, além de ser vítima de acusações raivosas, xingamentos e eventuais ameaças, sofrer perdas ainda maiores, como o encerramento de seu contrato de trabalho ou de parcerias comerciais e patrocínios que possua. Numa hipótese como tal, embora não se possa afastar a responsabilidade daqueles que iniciaram a disseminação da informação que gerou o cancelamento, é certo que o alcance somente foi multiplicado e atingiu enorme proporção a partir do compartilhamento feito pelo influenciador, de modo que as consequências teriam sido muito menores, quiçá evitáveis, não fosse sua atuação direta na viralização do conteúdo. Parece-nos clara aqui a responsabilidade civil subjetiva de quem, com a disseminação do conteúdo, potencializou os danos, elevando-os de patamar e com consequências mais drásticas. Em tais casos, a desculpa de apenas ter repassado conteúdo que recebera de terceiros terá pouco impacto, na medida em que a omissão também pode contribuir para a ocorrência do ato ilícito indenizável por danos materiais ou morais. Situação semelhante pode ocorrer também na publicação de comentários em portais de notícias ou nos perfis de terceiros em redes sociais. Por vezes, a notícia ou a postagem, analisadas isoladamente, não têm o condão de gerar o cancelamento, mas o comentário feito naquela publicação sim, o que atrairá a potencial responsabilização ao autor do comentário. A prática pode ficar ainda mais grave e eventualmente atrair até a responsabilização criminal, se forem utilizadas fake news e impulsionamento coordenado e/ou pago na divulgação, como está sendo apurado atualmente com relação ao denominado "gabinete do ódio"7. Assim, é preciso ter cuidado na disseminação de conteúdo sobre o qual não se tem certeza na internet, na medida em que não apenas quem o criou, mas também aqueles que o compartilharam podem ser responsabilizados. Antes de "cancelar" alguém por uma atitude com a qual não se concorda, é importante refletir se vale mesmo a pena o engajamento em tal conduta. __________ 1 Uma das candidatas foi eliminada com rejeição de impressionantes 99,17% dos votos. 2 Sobre a cultura do cancelamento, confira reportagem do site Canal Tech. 3 Calúnia, difamação e injúria - artigos 138 a 140 do Código Penal - com aplicação do triplo da pena se o crime for cometido ou divulgado nas redes sociais da internet (art. 141, § 2º, do Código Penal, dispositivo incluído pela lei 13.964/2019). 4 Provavelmente a mais conhecida personalidade da internet brasileira, Felipe Neto possui mais de 13 milhões de seguidores no Twitter e quase 42 milhões de inscritos em seu canal no YouTube. 5 Neymar tem absurdos 150 milhões de seguidores no Instagram. 6 Juliette, ilustre desconhecida até janeiro de 2021, foi a campeã do Big Brother Brasil 21 e sua popularidade no programa global foi tamanha que, em maio, ao término do programa, já possuía 27 milhões de seguidores no Instagram. 7 Vide, a respeito "PF reforça ligação de 'gabinete do ódio' do Planalto com investigados por atos antidemocráticos" - Folha de S.Paulo de 4/12/2020 - (acesso apenas a assinantes).  
Recentemente, ganhou espaço na mídia a notícia de uma empresa que comprou da galeria de arte Taglialatella, em Nova Iorque, a obra "Morons (White)", do renomado pintor britânico Banksy, por US$95 mil, para, na sequência, queimá-la ao vivo em um evento transmitido via streaming e, momentos depois, criar uma representação virtual da referida obra. A idealizadora deste inusitado evento foi a Injective Protocol, uma das primeiras companhias especializadas em DeFi - diminutivo de Decentralized Finance ou finanças descentralizadas -, conceito que representa uma visão de sistema financeiro que opera exclusivamente com base em contratos digitais autoexecutáveis, os denominados smart contracts, portanto sem intermediários tais como bancos e câmaras de compensação. De acordo com o executivo da Injective Protocol, Mirza Uddin, tal evento foi "uma expressão de arte em si", parte de um projeto de validação da habilidade do blockchain de substituir obras materiais de arte. Mirza esclareceu que a empresa "recriou inteiramente a obra material, incluindo especificações no código do smart contract, de maneira que ninguém jamais consiga de nenhuma forma alterar a obra digital. A peça física será eternamente memorizada nesta NFT"1. Os NFT, iniciais de Non-Fungible Tokens - códigos infungíveis, numa tradução livre para o português - são itens virtuais que utilizam tecnologia de blockchain e smart contracts para assegurar sua singularidade e imutabilidade. Em outras palavras, o item virtual vem acompanhado de uma certidão de autenticidade e de um contrato com os direitos de propriedade, protegidos contra roubo, fraude e falsificação por protocolos e algoritmos complexos. Podem ser vinculados a qualquer arquivo digital, por exemplo, fotografias, vídeos, figurinhas virtuais e outros artigos colecionáveis, como é o caso das obras de arte, individualizando-os, tornando-os únicos e, com isso, agregando-lhes valor. A febre dos NFT vem se alastrando pelos mais diversos itens. Há alguns dias, Jack Dorsey, CEO do Twitter, vendeu a primeira mensagem da rede social de mesmo nome, publicada em 21 de março de 2006, como um NFT por US$2,9 milhões2. Na mesma semana, a artista Krista Keen vendeu por US$512 mil a Mars House, uma casa digital projetada para ser uma escultura de luz e que, de acordo com sua criadora, "está pronta para o futuro, podendo ser transportada para nosso ambiente real e desfrutada com outros [por meio de aplicativos]. Podemos eventualmente tê-la na superfície de Marte. Ela representa uma mudança de paradigma na nossa definição de arte em um mundo de realidade aumentada"3. No Brasil, o cantor e compositor Supla - seguindo a linha de dezenas de marcas e personalidades de renome internacional, como Gucci, Nike, Pizza Hut, Elon Musk, Mark Cuban e Snoop Dogg - colocou à venda um videoclipe feito no TikTok e edições limitadas de seis artes, por preços que vão de 0,3 a 1 Ethereum (algo entre R$500,00 e R$1.600,00)4. Ocorre que, em todos os exemplos acima, assim como em qualquer outra situação de itens digitais, um terceiro poderá obter uma cópia do arquivo, com exatamente o mesmo conteúdo. Qual, então, o sentido de se pagar valores tão altos por tais obras? O sucesso dos NFT parece estar associado ao seu significado cultural, aliado ao capital social decorrente da propriedade sobre os ativos, cuja autenticidade e rastreabilidade transportam, do mundo real para o virtual, a noção de valor e exclusividade sobre itens digitais que, até então, eram considerados uma commodity. Ao contrário de outros ativos como bitcoins, os NFT oferecem a capacidade de chamar a atenção das pessoas e se popularizar, justamente por estarem vinculados a itens únicos, de colecionador. Tanto é assim, que o valor dos NFT vem aumentando exponencialmente. Segundo a Trading Platforms, empresa especializada na classificação de sites de negócios e investimentos, somente em fevereiro deste ano houve um volume superior a US$400 milhões em transações envolvendo NFT, com mais de 17 milhões de traders ativos diariamente5. Entretanto, assim como ocorre com as criptomoeadas, o mercado de NFT ainda é extremamente volátil e incerto. É cedo para afirmar que se trata de um investimento sólido e seguro, ou se não passa de um modismo, um movimento de oportunidade e especulação. Questionado sobre os NFT, Drew Orlanoff, da TechCrunch, website especializado em tecnologia, pondera que "como alguém que coleciona itens materiais como suvenires de esporte, fico empolgado com propriedade e exclusividade. Mas tem havido propaganda exagerada em torno dos NFT. Tem muito do: participe agora para ficar rico ou fique para trás. Há potenciais vantagens para artistas, mas ainda não as vejo para consumidores"6. Realmente, para artistas este é um novo e potencialmente lucrativo mercado, especialmente considerando que os NFT podem agregar uma função que destina ao criador um percentual do valor sobre cada transferência da obra. Mas, para consumidores, as vantagens são subjetivas e questionáveis. Afinal, do ponto de vista de um colecionador - diferentemente do que ocorre com obras físicas, que, dada a sua singularidade, ficam expostas em museus, galerias ou mesmo em casa -, a originalidade de um NFT é basicamente uma questão formal e técnica, já que nada impede a reprodução digital do seu conteúdo. Por outro lado, na ótica de investidores, ganhos efetivos a longo prazo dependerão de os NFT de fato manterem a tendência de serem considerados uma nova forma de colecionar arte e, claro, de a obra adquirida de fato se valorizar, assim como tradicionalmente ocorre com ativos materiais. Seja como for, não há como negar o sucesso de momento dos NFT, impulsionado por grandes marcas e celebridades que vêm surfando esta onda, e a infinidade de possibilidades que eles permitem explorar. Entretanto, ainda será preciso algum tempo para confirmar se estamos diante de um modismo ou de uma forma perene e autossustentável de criar arte, colecionar e investir. __________ 1 Blockchain company buys and burns Banksy artwork to turn it into a digital original. 2 The first-ever tweet sold as an NFT for $2.9 million. 3 https://www.dezeen.com/2021/03/22/mars-house-krista-kim-nft-news/ 4 Supla NFT King. 5 Disponível aqui. 6 Disponível aqui.
Em funcionamento desde 1995, após a experiência dos então chamados Juizados de Pequenas Causas, os Juizados Especiais Cíveis (JEC) - criação da lei 9.099/1995 - rapidamente alcançaram destacado sucesso na Justiça brasileira, especialmente devido a fatores como a pouca burocracia, o uso da oralidade e o fato de poder litigar sem advogado ou custas processuais1. Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), já se identificam as primeiras ações movidas nos JEC por titulares de dados pessoais, levando certa inquietação às empresas controladoras e operadoras de dados. Embora tenham competência ampla - desde que para as causas cíveis de menor complexidade -, os juizados passaram a ser cada vez mais utilizados para o trâmite e julgamento de causas envolvendo o direito do consumidor, sendo notória a ligação do Código de Defesa do Consumidor (CDC), promulgado cinco anos antes, com o sistema então criado. Além das vantagens já mencionadas, os JEC caíram como uma luva para conferir efetividade a um direito do consumidor em especial, a facilitação de sua defesa, "inclusive com a inversão do ônus da prova, a seu favor"2. Surge então um problema processual, na medida em que a opção do uso dos juizados - em contraposição à Justiça Comum - para o processamento da ação é feita, no momento inicial, tão somente pelo autor da demanda. Ao réu, até é possível alegar a incompetência do JEC, mas, caso não acolhida, o feito prosseguirá em seu trâmite normal no próprio juizado e, como regra, a questão da incompetência só poderá ser revista na Turma Recursal, em sede de recurso inominado. E onde está o problema? Ele decorre da interpretação sistemática dos dois diplomas legais - CDC e Lei nº 9.099/1995 - e da eventual dificuldade para que o réu possa comprovar os fatos impeditivos, modificativos ou extintivos do direito do autor. É que, competindo a escolha pela sistemática mais simples e rápida apenas ao autor, caso seja deferida a inversão do ônus probatório, o réu poderá enfrentar sérias restrições para demonstrar não ser o responsável pela situação de violação dos direitos dos titulares de dados. A situação se agrava na medida em que, muitas vezes, quem estará em juízo na posição de titular de um dado pessoal poderá ocupar também o posto de consumidor. A corroborar esta afirmação, estão as referências à defesa do consumidor na lei 13.709/2018, a LGPD3. Figurando como titular de dados e também como consumidor, poderá o autor da demanda valer-se da inversão do ônus da prova prevista no CDC (art. 6º, VIII) e/ou na própria LGPD (art. 52, § 2º), ambas com redações semelhantes. Com efeito, em não raras oportunidades o titular dos dados pessoais não terá acesso a elementos probatórios suficientes para demonstrar seu direito, enquadrando-se nas situações legais de hipossuficiência técnica ou de onerosidade excessiva para produção de tal prova. Assim, o caminho para a inversão estará aberto. Por outro lado, para demonstrar a inocorrência de danos ao titular ou a ausência de quaisquer outros elementos da responsabilidade civil, pode ser necessário que o agente de tratamento de dados necessite produzir alguma prova de natureza complexa, como uma perícia, o que não é permitido perante os Juizados Especiais. Ora, contando com a inversão do ônus probatório em seu desfavor e com a impossibilidade de se desincumbir desse ônus por conta da não autorização da realização de uma perícia ou outra prova técnica mais complexa perante o JEC, o controlador/operador dos dados terá, fatalmente, seu contraditório e ampla defesa prejudicados. Deste modo, faz-se necessário que haja efetivo controle jurisdicional sobre a opção do autor pela via dos juizados. Diferente do que se vê no cotidiano forense das ações consumeristas, simples por sua própria natureza, nos casos que versem sobre direitos dos titulares de dados pessoais - principalmente nos que envolvem questões complexas, como a suspeita de eventual vazamento de dados - a necessidade de que o réu possa comprovar sua não ocorrência ou, ao menos, sua não responsabilidade pelos fatos, faz com que seja recomendável que o processo tramite perante a Justiça Comum e não nos Juizados Especiais Cíveis. Embora não tão célere e mais formal que o JEC, é na Justiça Cível Comum que estarão presentes as garantias do devido processo legal, da ampla defesa e do contraditório. ANPD e Senacon atuarão de forma coordenada Na segunda-feira 22/03/2021, a Autoridade Nacional de Proteção de Dados (ANPD) e a Secretaria Nacional do Consumidor (Senacon) firmaram acordo de cooperação técnica para que os dois órgãos possam "alinhar esforços e reforçar as fiscalizações" e, assim, proteger dados dos consumidores brasileiros. A atuação conjunta é salutar e contribui para que os órgãos federais e agências reguladoras estabeleçam critérios uniformes com relação à proteção dos dados pessoais, mitigando ou até mesmo afastando por completo o risco de bis in idem na aplicação de sanções administrativas4. __________ 1 Quando o valor da causa não ultrapassa 20 salários mínimos, pode-se litigar sem advogado e só incidem custas a partir da interposição de recurso inominado. 2 Art. 6º, VIII, do CDC - São direitos básicos do consumidor: a facilitação da defesa de seus direitos, inclusive com a inversão do ônus da prova, a seu favor, no processo civil, quando, a critério do juiz, for verossímil a alegação ou quando for ele hipossuficiente, segundo as regras ordinárias da experiência". 3 A defesa do consumidor é um dos fundamentos da proteção de dados pessoais (art.2º, VI); e o titular dos dados pessoais pode optar por peticionar contra o controlador perante a Autoridade Nacional (ANPD) ou perante os diversos órgãos de defesa do consumidor (art. 18, §§ 1º e 8º). Vale destacar também que, embora a redação conferida ao art. 55-K da LGPD, que previa a articulação entre o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e a ANPD, não tenha sido mantida quando da promulgação da lei, recentemente a ANPD e a Secretaria Nacional do Consumidor (Senacon) firmaram acordo de cooperação técnica justamente para proteger os dados dos consumidores - (acesso em 25/03/2021). 4 Sobre o tema, confira nossa coluna de novembro de 2019 - "Enquanto uns querem adiar a entrada em vigor da LGPD, outros pretendem aplicá-la antes mesmo da necessária regulamentação", onde foi abordada a questão da eventual atuação de diversos órgãos da Administração Pública na proteção de dados pessoais.
Na última terça-feira, 9/3, seguindo o cronograma da agenda regulatória divulgada no início do ano, a Agência Nacional de Proteção de Dados - ANPD publicou sua Portaria no 1, com o regimento interno do órgão. Com isso, além de estabelecer sua estrutura organizacional e as regras para o desenvolvimento de suas atividades, a autoridade dá o primeiro passo rumo à regulação de diversos temas previstos na Lei Geral de Proteção de Dados. Do ponto de vista estrutural, a ANPD será composta: (i) pelo Conselho Diretor, órgão máximo da entidade, formado por cinco diretores, cada qual com um gerente de projeto a ele subordinado, e que será responsável, entre outras coisas, pela edição de regulamentos; definição de padrões e técnicas de anonimização, interoperabilidade e segurança; definição do conteúdo de cláusulas-padrão contratuais, normas corporativas globais, selos, certificados e códigos de conduta; e reexame de sanções administrativas;  (ii) pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade - CNPD, órgão consultivo da ANPD, cujos membros, em um total de 23, ainda pendem de indicação mas que será formado a partir de indicações setoriais (sociedade civil, instituições científicas, tecnológicas e de inovação, confederações sindicais, entidades representativas dos setores empresarial e laboral) e emissários do governo, do Senado, da Câmara, do Conselho Nacional de Justiça, do Conselho Nacional do Ministério Público e do Comitê Gestor da Internet no Brasil. O funcionamento do CNPD será disciplinado por regimento interno próprio, mas caberá ao órgão, prioritariamente, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;  (iii) por órgãos de assistência ao Conselho Diretor, notadamente uma Secretaria-Geral, uma Coordenação-Geral de Administração e uma Coordenação-Geral de Relações Institucionais e Internacionais;  (iv) por órgãos seccionais, quais sejam, corregedoria, ouvidoria e assessoria jurídica, que exercerão as atribuições de praxe; e   (v) por órgãos específicos singulares, especificamente coordenadorias gerais de normatização, fiscalização e tecnologia e pesquisa, voltadas para o apoio do Conselho Diretor no exercício de suas funções.   Interessante notar que as deliberações do Conselho Diretor poderão ser tomadas de duas formas distintas, ambas por maioria simples, estando presente a maioria absoluta de seus membros, tendo o Diretor-Presidente voto de qualidade em caso de empate: (i) reuniões deliberativas, para matérias que demandem debate mais aprofundado, observando-se os procedimentos de praxe em sessões de julgamento (publicação prévia da pauta, direito de sustentação oral, possibilidade de pedido de vista etc.). Os julgamentos realizados em reuniões deliberativas admitem, ainda, conversão em diligência, sempre que se entender que a matéria requer instrução adicional; e  (ii) circuitos deliberativos, para casos em relação aos quais já exista entendimento consolidado ou, excepcionalmente, para temas relevantes e urgentes, cuja omissão possa causar prejuízos irreversíveis. Ao contrário das reuniões deliberativas, que podem ser presenciais ou virtuais, os circuitos deliberativos serão realizados exclusivamente mediante votação eletrônica, salvo se o Conselho Diretor decidir pela conveniência da realização de debates orais, hipótese em que a matéria será incluída na pauta de reunião deliberativa.   O regimento interno também detalha os procedimentos administrativos da ANPD, estabelecendo a observância dos princípios gerais de direito público e administrativo, bem como da lei 9.784/1999, que regula o processo administrativo no âmbito da Administração Pública Federal. Dentre os procedimentos previstos, estão os de audiência pública, para debate de matérias de interesse relevante, e de consulta pública, destinado a submeter minuta de regulamento ou norma a críticas e sugestões do público em geral. No que se refere aos processos administrativos, a instância máxima de recurso é o Conselho Diretor e, funcionando este como instância única, caberá pedido de reconsideração, a ser distribuído para Diretor distinto daquele responsável pelo voto condutor da decisão recorrida. A edição de atos normativos, por sua vez, deverá ser precedida de análise de impacto regulatório ou nota técnica a serem elaborados pela coordenação-geral de normatização, contendo informações e dados sobre os prováveis efeitos do ato, de modo a verificar a razoabilidade do impacto e subsidiar a tomada de decisão. Esses, em suma, os principais pontos do regimento interno da ANPD, cujo inteiro teor recomendamos a leitura para conhecimento detalhado das atribuições e procedimentos dos diversos órgãos e departamentos que a compõem. Vale registrar que o regimento interno não delineia os procedimentos para apuração de infrações e aplicação de sanções, os quais, de acordo com o parágrafo único do artigo 49, serão objeto de regulamento específico que, nos termos do cronograma apresentado na agenda regulatória da ANPD1, será editado ainda neste primeiro semestre de 2021, período durante o qual também devem ser divulgadas regras para pequenas e médias empresas, startups e pessoas físicas e orientações sobre a elaboração de relatórios de impacto. Seja como for, o regimento interno representa um instrumento essencial para viabilizar as atividades da ANPD, permitindo que a autoridade desempenhe de forma efetiva as suas funções, trazendo, de um lado, concretude para as regras da LGPD, e, de outro, orientação e esclarecimento para os diversos stakeholders do tratamento e proteção de dados pessoais. __________ 1 A agenda regulatória para o biênio 2021-2022 foi objeto da Portaria 11/21 da ANPD.
Foi notícia nos últimos dias a disputa entre Austrália e Facebook com relação à obrigatoriedade de os gigantes da internet terem que pagar para continuar a exibir links com conteúdo jornalístico australiano, ao mesmo tempo em que o Google fechou um acordo financeiro com a News Corp1 para continuar direcionando a busca para os veículos daquele conglomerado. Para entender como chegamos a essa discussão, vale a pena fazer uma pequena digressão ao início da internet comercial, em meados dos anos 1990, início dos anos 2000. Nesta época, como regra geral tudo o que era oferecido pelos provedores de aplicações era gratuito: o conteúdo dos grandes portais e sites de jornais e revistas; a livre troca de músicas e filmes entre usuários, através de programas como o Napster, o Kazaa e o eMule; cursos; redes sociais; programas de e-mail. Naquele período, o internauta - expressão que também vem daqueles tempos - gastava basicamente com o acesso, pois, além dos valores pagos aos provedores de conexão, conectava-se à internet pela linha telefônica, o que implicava em altos custos. Porém, uma vez conectado, navegava-se livremente, com raros serviços pagos. De lá para cá, a situação passou por grande transformação. Músicos e a indústria fonográfica adaptaram-se aos novos tempos e, com o fim dos programas de livre compartilhamento de arquivos, fizeram a migração entre a venda de CD's para a reprodução sem sequer a necessidade de download (o streaming) e aplicativos que remuneram os artistas, como o Spotify. O mesmo ocorreu com os livros, cujas versões digitais atualmente são vendidas com grande lucro pelas editoras. Porém, os veículos de comunicação impressos não tiveram a mesma facilidade de adaptação à internet. Poucos são os casos de sucesso nas assinaturas eletrônicas, principalmente quando comparado às altíssimas tiragens que as versões impressas dos principais jornais possuíam no final do século XX. Um dos raros casos de êxito foi o New York Times, que este mês atingiu a impressionante marca de 7,5 milhões de assinantes2. As grandes plataformas da internet - Google e Facebook à frente - são consideradas em boa parte responsáveis pelo difícil momento financeiro enfrentado pelas empresas de mídia, na medida em que absorveram grande parte da publicidade antes pulverizada entre os demais veículos3. Por conta disso, em vários países teve início a discussão sobre se tais empresas deveriam ter que pagar por divulgar o conteúdo dos jornais (ainda que por vezes somente a manchete4 ou as primeiras linhas da reportagem, acompanhada do link que direciona para o site do próprio veículo de comunicação). A Austrália está tentando regular questão por meio de projeto de lei que obriga as plataformas digitais a pagar pelo conteúdo jornalístico. Se convertido em lei, as empresas terão que negociar para decidir qual o preço a pagar para que o conteúdo apareça nas pesquisas do Google e nas seções de notícias das redes sociais (feed), caso do Facebook e do Twitter, entre outras. O curioso é que, caso as plataformas digitais e os veículos australianos de imprensa não cheguem a um acordo, o projeto prevê que a Autoridade de Comunicação e Mídia do país decida o valor justo a ser pago pelo conteúdo jornalístico5. Em represália, o Facebook bloqueou o acesso às notícias - e compartilhamentos - dos sites australianos. O Google, que ameaçava tomar a drástica atitude de cancelar o seu mecanismo de buscas naquele país, adotou estratégia diferente, fechando um acordo com a News Corp que prevê pagamento pelo compartilhamento de notícias, o desenvolvimento de uma plataforma conjunta de assinaturas e a divisão das receitas de publicidade. Ao que se sabe, a gigante californiana firmou acordos também com outros veículos, adiantando-se à provável aprovação do projeto de lei e seguindo os passos do que já aceitara fazer na França, após anos de queda de braço com os jornais do país europeu6. Se, por um lado, os acordos são interessantes e vantajosos para os veículos locais de imprensa, a determinação de um órgão para impor o valor a ser pago no caso de as partes não chegarem a consenso é uma intervenção um tanto quanto radical e, ao que tudo indica, sem paralelo. Carlos Affonso de Souza, em sua coluna no UOL, lembrou de dois riscos reais: o aumento da concentração em torno das maiores empresas e a diminuição de uma cultura que segue firme desde os primórdios da internet, o compartilhamento de links. De fato, nada impede que, ao firmarem tais acordos, alguns players - em especial os mais poderosos - negociem algum atrativo como o recebimento de valor menor em troca de exclusividade ou preferência na divulgação de suas notícias em prejuízo das de seus concorrentes ou dos pequenos veículos. Já ficou claro como a internet tem potencial para criar monopólios e oligopólios muito fortes, alguns de âmbito praticamente mundial, e tal medida só aumentaria este poder, em prejuízo da livre circulação de ideias e de pontos de vista diferentes. Por outro lado, a questão dos links também preocupa. A depender da redação das leis ou do entendimento dos tribunais, a medida que visa atingir especificamente os gigantes da internet pode acabar encontrando maior abrangência, inclusive sobre quem não exerce qualquer concorrência com os demais veículos de imprensa. Esta coluna, por exemplo, indicou links para seis reportagens de diferentes meios de comunicação. Assim, o leitor que se interessar pelo assunto e quiser se aprofundar pode fazê-lo. Se a regra for interpretada de uma maneira mais cartesiana, a prática pode vir a ser considerada irregular. Em conclusão, jornais e revistas - tal como já fizeram diversos outros setores da economia - precisam procurar se reinventar para sobreviver à grande revolução tecnológica dos últimos anos. Não há solução fácil e dificilmente uma lei, por melhores que sejam suas intenções, resolverá todos os problemas. __________ 1 Conglomerado de comunicação de Rupert Murdoch, responsável por títulos como The Wall Street Journal, New York Post e The Times, entre outros. 2 Segundo reportagem do site Poder360, a alta nas receitas das assinaturas digitais compensou a queda na publicidade e hoje já supera o valor recebido com as vendas do jornal impresso. 3 Confira-se, a respeito, a reportagem "Facebook e Google lideram mercado global de publicidade móvel" (Mobiletime de 30/10/2020) e o infográfico "Google e Facebook dominam a publicidade digital" (Folha de S.Paulo). 4 Como se sabe, muitas pessoas leem apenas o título (manchete) de uma reportagem e, sendo do seu agrado, a compartilham em suas redes sociais e com seus contatos, sem se preocuparem sequer com a leitura do conteúdo, o que estimula sobremaneira o crescimento das fake news. A título de curiosidade, um dos autores desta coluna teve, durante vários anos, um blog jurídico. Por algumas vezes, contratou publicidade no Facebook. Era impressionante o número de curtidas que uma postagem patrocinada no Facebook recebia, ao passo que uma porcentagem mínima das pessoas que curtiam o post clicava no link para ler o que estavam curtindo e compartilhando. 5 "A briga da Austrália com o Facebook que provocou 'apagão' de notícias na rede social" - BBC Brasil de 18/02/2021. 6 Vide "Google fecha acordo para remunerar jornais franceses por conteúdo" (O Globo de 21/01/2021) e "Google se rende à França e vai pagar para publicar notícias" (Meiobit, 21/01/2021).
A internet inegavelmente trouxe impactos positivos para a economia, com destaque para as áreas de competição, investimentos e inovação. Potencializou um fenômeno já conhecido dos economistas, o chamado efeito de rede, no qual a concentração de pessoas em torno de um determinado produto ou serviço propicia a sua valorização. O exemplo clássico é o telefone: conforme aumenta o número de usuários, mais valioso o aparelho (e a linha) se torna para cada pessoa. Esse efeito foi, em boa medida, o responsável pelo crescimento das grandes empresas de tecnologia, as chamadas big techs - Google, Amazon, Apple, Facebook e Microsoft - sobretudo por atuarem ao mesmo tempo nas "duas pontas" do negócio, como grandes plataformas intermediárias (facilitadoras do uso da internet) e provedoras de produtos e serviços. Nas últimas duas décadas, o aumento significativo da capacidade de processamento e armazenagem de dados gerou grandes oportunidades de negócios para essas empresas. Além de intermediarem o contato entre usuários e fornecedores, elas tratam enorme quantidade de informações sobre comportamento, preferências, interesses, saúde etc., que são usadas para diversas finalidades: aprimorar seus próprios serviços, desenvolver novos modelos de negócio, antecipar tendências, lançar novos produtos, realizar análises de risco e muito mais. Como, no caso específico das big techs, suas plataformas de negócios alcançam diversos mercados digitais, como aplicativos, streamings de vídeo e mídias sociais, elas acabam tendo condições de coletar e processar uma enorme gama de dados, dos mais variados grupos de pessoas. Isso tem suscitado dúvidas acerca de potenciais danos decorrentes da estrutura concentrada da economia digital, aliada (i) a práticas questionáveis de combate à concorrência, como a aquisição massiva de startups no intuito único de preservar sua posição de mercado (concentrando o know-how em torno de ideias inovadoras) e a celebração de contratos de exclusividade visando o controle do consumo do usuário final; e (ii) ao surgimento da denominada kill zone (zona de morte), isto é, nichos da indústria que passam a enfrentar dificuldades na atração de venture capital (investimentos focados em empresas novas e de pequeno faturamento, porém com elevado potencial de crescimento). Essa nova realidade exige a revisão dos parâmetros de caracterização do conceito de poder de mercado - a capacidade de um agente econômico de manter seus preços acima do nível competitivo - especificamente para os mercados digitais, caracterizados, como visto, pelos efeitos de rede e por vantagens competitivas geradas a partir do acúmulo de dados. Nesse contexto, muito se tem discutido sobre a necessidade de criação de mecanismos regulatórios específicos para o mercado digital, dotados de maior celeridade e maleabilidade, aptas a reduzir as barreiras de ingresso de novos participantes nesse mercado. Em artigo1 dedicado ao tema, Tiago Sousa Prado aponta a interoperabilidade entre plataformas, a portabilidade de dados do usuário e o compartilhamento de dados (data sharing) como possíveis medidas regulatórias capazes de garantir estabilidade para o mercado digital. Ademais, como bem destacado por Gesner de Oliveira2, talvez seja o caso de estabelecer outros patamares de faturamento a justificar o exame de concentração no âmbito das empresas digitais. Para ilustrar o ponto, o professor faz uma ponderação curiosa, questionando se a revolução do streaming seria a mesma se, em 2000, a Blockbuster tivesse adquirido por US$50 milhões a Netflix, hoje avaliada em cerca de US$180 bilhões. Outra alternativa, seguindo a experiência do governo britânico, seria a criação de um código de conduta específico para empresas do mercado digital, fomentando, por exemplo, maior transparência nos serviços oferecidos e na forma como dados pessoais são tratados. No caso do Reino Unido, esse código ficará a cargo de órgão criado exclusivamente para fiscalização de plataformas digitais globais, vinculado ao Consumer Markets Authority, equivalente ao nosso Conselho Administrativo de Defesa Econômica. Enfim, sem a pretensão de esgotar o tema, estas são apenas algumas ideias que têm surgido quando se pensa na salvaguarda do mercado digital frente a um potencial abuso de empresas dominantes. Autoridades dos Estados Unidos e da União Europeia já há algum tempo estão atentas à necessidade de reavaliar o nível de controle de mercado por empresas de tecnologia. Passa da hora de as nossas autoridades também dedicarem atenção especial ao assunto, criando meios para assegurar a manutenção de um mercado digital saudável, com equilíbrio entre os ganhos de escala proporcionados pelas gigantes da tecnologia e a criatividade e inovação trazidas pelas startups. __________ 1 Assessing the market power of digital platforms, Michigan State University, dez/2020. 2 Economia digital, direito da concorrência e crise da Covid-19, Conjur, dez/2020.
Não é tarefa fácil acompanhar os principais julgamentos do Supremo Tribunal Federal (STF). Como sua competência é muito ampla, qualquer assunto em que possa haver uma inconstitucionalidade ou algum desdobramento de natureza constitucional pode bater às portas da Suprema Corte. Um grande avanço teve início há alguns anos e se tornou tradição: a divulgação antecipada da pauta semestral do Plenário. No último dia de 2020, o site do STF publicou a pauta do primeiro semestre de 2021 e, dentre os temas que devem ser julgados1 até junho deste ano, estão três de grande interesse para quem estuda direito digital: o direito ao esquecimento, a regulamentação do direito de resposta contra veículos de imprensa e a tormentosa questão de o que fazer quando, num processo judicial, descobre-se que os dados estão armazenados no exterior pelos provedores de internet. A filial deve cumprir a determinação de um juiz brasileiro ou é necessário seguir todo o trâmite dos tratados internacionais? Vamos a eles. Direito ao Esquecimento Está agendado para a abertura do ano forense - dia 3 de fevereiro - o julgamento do Recurso Extraordinário 1.010.606, da relatoria do ministro Dias Toffoli, em que se discutirá o direito ao esquecimento. Trata-se de ação indenizatória movida pelos familiares de Aída Curi (assassinada em 1958) contra a TV Globo, em razão da exibição de reportagem sobre o crime no programa Linha Direta - Justiça, décadas mais tarde. O recurso foi interposto em 2010 contra acórdão do Tribunal de Justiça fluminense (TJ/RJ), juntamente com recurso especial. Como no Superior Tribunal de Justiça (STJ) o recurso dos familiares não teve êxito2, agora será a vez do STF apreciar o tema, em que se questionam os limites da liberdade de imprensa e a necessária ponderação com a proteção da imagem, nome e honra das pessoas. Argumentam os recorrentes que o direito ao esquecimento é um reforço na defesa da dignidade da pessoa humana e que o artigo 220 da Constituição Federal impõe limites à liberdade de expressão, nos termos do que foi decidido no julgamento da ADPF3 130, ação em que foi declarada a incompatibilidade da Lei de Imprensa com a Constituição.  A repercussão geral do tema foi reconhecida em dezembro de 2014 e, na sequência, o relator deu provimento ao agravo para admitir o recurso extraordinário, que havia sido inadmitido pelo TJ/RJ. O parecer da Procuradoria-Geral da República (PGR) pelo não provimento do recurso, destacando que o "denominado direito a esquecimento" ainda não foi reconhecido ou demarcado no âmbito civil por nenhuma norma jurídica brasileira, não podendo, assim, limitar a liberdade de expressão ou justificar indenização "pela só lembrança de fatos pretéritos". Diversas entidades e provedores, como a Associação Brasileira de Jornalismo Investigativo (Abraji), o Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS), a organização Artigo 19 Brasil, o Google e o Yahoo atuam na condição de amicus curiae. Por fim, reconhecendo a importância do tema, em junho de 2017 foi realizada uma audiência pública para que os interessados pudessem apresentar seus pontos de vista ao relator. Direito de resposta Está previsto para 10 de março o julgamento de três ações diretas de inconstitucionalidade, as ADIn's  5.436, 5.418 e 5.415, todas também de relatoria do ministro Dias Toffoli, envolvendo dispositivos da lei 13.188/15, que regulamentou o direito de resposta ou de retificação do ofendido em matéria publicada pelos veículos de comunicação4. A Associação Nacional de Jornais (ANJ), a Ordem dos Advogados do Brasil e a Associação Brasileira de Imprensa (ABI) pedem a inconstitucionalidade de alguns artigos da lei5 e a interpretação conforme de outros dispositivos, sob o argumento de que o trâmite célere criado restringiria as garantias do devido processo legal e do contraditório por parte da imprensa. Após manifestações contrárias às ações por parte das Casas do Congresso Nacional e da Advocacia-Geral da União (AGU), a Procuradoria-Geral da República defendeu a procedência parcial dos pedidos, considerando o que o rito é efetivamente muito abreviado, prejudicando o direito de defesa, bem como para que seja afastada a exigência de julgamento colegiado para concessão de efeito suspensivo. Vale mencionar que a eficácia do direito de resposta é muito questionada quando a ofensa ou notícia inverídica foi publicada na internet. Ordens judiciais brasileiras e dados no exterior Por fim, poderá ser julgada em abril a Ação Declaratória de Constitucionalidade 51, ajuizada  pela Federação das Associações das Empresas de Tecnologia da Informação, que defende a constitucionalidade do Decreto nº 3.810/2001, que promulgou o Acordo de Assistência Judiciário-penal entre o Brasil e os EUA, conhecido pela sigla "MLAT". Argumenta-se que diversas decisões judicias afastam a expedição de carta rogatória ou mesmo o trâmite firmado no referido acordo, determinando que filiais brasileiras de empresas estrangeiras cumpram ordens judiciais brasileiras quando "a competência para determinar a entrega de dados é da autoridade competente no território em que o provedor de aplicação estiver localizado". Busca-se então a declaração de constitucionalidade do decreto para que tais decisões não possam mais ser proferidas no Brasil. AGU e PGR posicionaram-se contrariamente ao pedido, sendo que o órgão ministerial pugnou até mesmo pela falta de legitimidade ativa da autora e inexistência de controvérsia constitucional. Tal qual no caso do direito ao esquecimento, o relator, ministro Gilmar Mendes, convocou audiência pública para aprofundamento dos debates, oportunidade em que inúmeros especialistas puderam expor seus argumentos técnicos e jurídicos. Foi deferida liminar apenas para impedir o levantamento de valores depositados judicialmente a título de multa pecuniária nos processos em que a discussão seja a adoção ou não do MLAT. Agora, é ficar de olho. Por se tratarem de ações e recursos em trâmite no Supremo Tribunal Federal, as decisões proferidas terão grande impacto nos demais tribunais. ___________ 1 Trata-se de expectativa, uma vez que julgamentos que não sejam encerrados na data prevista acabam por postergar outros já agendados. Há ainda a possibilidade de retirada de pauta pelo relator ou pelo próprio presidente do tribunal. 2 Vide, a respeito, o Recurso Especial nº 1.335.153/RJ, julgado pela Quarta Turma do STJ, relator o ministro Luis Felipe Salomão. 3 ADPF - Arguição de Descumprimento de Preceito Fundamental. 4 A lei veio na sequência da declaração de não recepção da antiga Lei de Imprensa pela Constituição Federal de 1988 (ADPF nº130). Como o STF declarou a Lei nº 5.250/1967 integralmente não recepcionada, o legislador editou este novo diploma com o intuito de que o direito de resposta não ficasse desprotegido. 5 O dispositivo mais questionado é o artigo 10, que prevê que contra as decisões proferidas nos processos ajuizados com base na lei, somente pode ser concedido efeito suspensivo a recurso em juízo colegiado, afastando o poder do relator. O STF concedeu medida cautelar para que o efeito suspensivo possa ser deferido também em decisões monocráticas.
Está no ar o site da Autoridade Nacional de Proteção de Dados.  Com algum atraso - é verdade - neste mês entrou em operação o site institucional da Autoridade Nacional de Proteção de Dados ("ANPD"), órgão responsável, entre outras coisas, pela regulamentação, fiscalização e aplicação de sanções no âmbito da Lei Geral de Proteção de Dados ("LGPD"). O conteúdo do site ainda é bastante limitado, trazendo notícias e informações institucionais, apresentando a composição do Conselho Diretor e as agendas oficiais de seus membros, respondendo a perguntas frequentes (FAQ) relacionadas à LGPD, indicando a legislação básica relacionada ao funcionamento do órgão e disponibilizando canais de atendimento ao público para elogios, sugestões, solicitações e, o mais importante, denúncias. Interessante notar que, ao menos por hora, o atendimento ao público é feito por intermédio do Fala.BR, plataforma integrada de ouvidoria e acesso à informação da Controladoria-Geral da União. As manifestações podem ser feitas de maneira identificada ou anônima e o prazo de resposta é de trinta dias, prorrogável por igual período, mediante justificativa, nos termos do art. 16 da lei 13.460/17. Com isso, embora o site - e o próprio órgão - de fato ainda tenha muito a evoluir, inaugura-se uma importante ferramenta de fiscalização e proteção de dados pessoais, sendo certo que, a despeito do órgão ainda não estar em pleno funcionamento e das sanções da LGPD somente entrarem em vigor a partir de agosto de 2021, nada impede que outros entes ligados à tutela dos direitos do cidadão, como o Ministério Público e os órgãos de defesa do consumidor, ajam visando à aplicação de sanções administrativas, civis e/ou penais previstas em legislação específica, conforme prevê o próprio artigo 52, § 2o, da LGPD. Por enquanto, o órgão dispõe apenas de Conselho Diretor, faltando ainda a nomeação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade ("CNPD"), composto por 23 representantes escolhidos entre diversos setores - tais como o Poder Executivo Federal, Congresso Nacional, Conselho Nacional da Justiça, Comitê Gestor da Internet no Brasil e entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais - e a quem caberá, sobretudo, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e para atuação da ANPD. O Conselho Diretor da ANPD foi aprovado pelo Senado em outubro deste ano, sendo composto por três militares - coronel Waldemar Gonçalves Ortunho, atual presidente da Telebrás, eleito para um mandato de seis anos no posto de diretor-presidente; coronel Arthur Pereira Sabbat, especialista em segurança da informação no Gabinete de Segurança Institucional, nomeado para um mandato de cinco anos; e Joacil Basílio Rael, formado na Academia Militar das Agulhas Negras e atualmente encarregado de proteção de dados na Telebrás, nomeado para um mandato de três anos - além da professora Miriam Wimmer, diretora de políticas para telecomunicações e acompanhamento regulatório no ministério das comunicações, eleita para um mandato de dois anos; e da advogada Nairane Farias Rabelo Leitão, única representante da iniciativa privada no Conselho, eleita para um mandato de quatro anos1. A presença de tantos militares na diretoria da ANPD recebeu críticas, inclusive formais, como a carta-denúncia encaminhada pela Coalizão Direitos na Rede e pela Acess Now para a Comissão Europeia, o Conselho da Europa e a Global Privacy Assembly, ressaltando a necessidade do governo brasileiro reforçar seu compromisso com a revisão do modelo da ANPD, realizar discussões sobre sua independência e autonomia técnica e respeitar o processo de nomeações de representantes dos setores para o CNPD2. A despeito disso e da ainda incompleta estrutura da ANPD, não há como negar que a entrada em funcionamento do site representa um avanço importante na transparência do órgão e na tutela dos direitos e garantias dos titulares de dados pessoas, em especial da sua autodeterminação informativa. Como último comentário, vale registrar que, dando o exemplo, o site da ANPD atende às determinações da LGPD e apresenta pop-up informando o usuário sobre a política de cookies. Aproveitamos este último artigo do ano para desejar um feliz Natal e um próspero Ano Novo a todos os leitores que nos acompanham, com um agradecimento especial ao time do Migalhas por mais este ano de parceria e confiança em nosso trabalho. Retornamos em janeiro de 2021 com energia renovada e novos temas para reflexão! __________ 1 Apesar da regra geral dos artigos 55-D, § 3o, da LGPD e 6o do Decreto 10.474/20 seja de mandatos de quatro anos, aplicou-se a exceção dos artigos 55-D, § 4o e 7o, dos mesmos Diplomas Legais, no sentido de que os primeiros membros do Conselho Diretor tenham mandatos de dois a seis anos, de modo a proporcionar que a renovação do órgão não seja simultânea. 2 Leia a íntegra da carta.
Imagine-se a seguinte situação: numa abordagem realizada após uma denúncia anônima, o policial, ao verificar que a pessoa está portando um smartphone, exige que esta desbloqueie a tela e passa a examinar arquivos, fotos, contatos armazenados na agenda, ligações efetuadas e recebidas, procurando, com isso, verificar se a pessoa é ou não a autora do delito investigado ou, por vezes, de "algum delito". Esta conduta é válida? Em nossa primeira coluna - publicada aqui em Migalhas em setembro de 2019 - comentávamos sobre o início da discussão do Tema 977 da Repercussão Geral do Supremo Tribunal Federal (STF), a saber: "aferição da licitude da prova produzida durante o inquérito policial relativa ao acesso, sem autorização judicial, a registros e informações contidos em aparelho de telefone celular, relacionados à conduta delitiva e hábeis a identificar o agente do crime". O tema está em discussão no STF no Recurso Extraordinário com Agravo (ARE) nº 1.042.075, da relatoria do ministro Dias Toffoli. O recurso estava liberado para julgamento desde agosto de 2018 e, um ano depois, o então presidente da Suprema Corte divulgara calendário com previsão de seu julgamento naquele semestre. Passou-se mais um ano até que o recurso finalmente foi incluído na sessão virtual do Plenário do STF, que teve início em 30 de outubro passado. Em breve histórico do caso, o Tribunal de Justiça do Rio de Janeiro (TJ/RJ) absolvera o acusado justamente por considerar ilícita a prova produzida após a apreensão de seu telefone e acesso ao registro de chamadas e contatos encontrados no celular sem ordem judicial para tanto. O Ministério Público fluminense não se conformou e recorreu ao Supremo, defendendo que o ato configuraria apreensão de objetos necessários à prova da infração penal, o que é permitido pela legislação brasileira (artigo 6º do Código de Processo Penal). Como expusemos à época, o entendimento do TJ/RJ coincidia com o das duas Turmas criminais do Superior Tribunal de Justiça (STJ), para quem a proteção conferida pelo sigilo telefônico prevalece, de modo que a autoridade policial deve requerer judicialmente a quebra do sigilo dos dados armazenados no celular1. Conhecendo o posicionamento do STJ, a estratégia do órgão de acusação foi levar a discussão para o âmbito constitucional. Pois bem, iniciado o julgamento no STF, o relator deu provimento ao agravo e, na sequência, ao próprio recurso extraordinário, determinando que os autos retornassem ao tribunal fluminense para que - afastada a ilicitude da prova - fosse novamente julgada a apelação.  Para o ministro Dias Toffoli, é lícita a prova obtida com o acesso a registro telefônico ou agenda de contatos do celular mesmo sem autorização judicial, por não configurar ofensa ao sigilo das comunicações, à intimidade o à privacidade do acusado. Os ministros Gilmar Mendes e Edson Fachin divergiram. Para eles, a verificação dos dados contidos nos celulares depende de "prévia decisão judicial que justifique, com base em elementos concretos", a necessidade e adequação da medida, bem como "delimite a sua abrangência"2. Em seu voto, Gilmar Mendes destacou que a jurisprudência do próprio Supremo firmada entre o final da década passada e o início da atual estava superada diante do enorme avanço das tecnologias aplicadas aos smartphones. "Sem dúvidas, cada vez mais a nossa vida quase inteira está registrada em nossos aparelhos celulares"3, afirmou, ponderando a necessidade de cautela e a imposição de limites para que não estejamos diante de um "Estado espião e onipresente". Para o ministro, desde que haja suspeita de que o telefone contenha provas importantes à investigação criminal, é permitido que a autoridade policial apreenda o celular. Ficam proibidas, no entanto, as buscas genéricas, com o intuito de tentar achar algo que incrimine o suspeito. Antes do acesso aos dados, é necessário que se obtenha ordem judicial. Mantemos o entendimento de que esta é a posição correta e que o uso das novas tecnologias - embora possa e deva contribuir com a segurança pública - não pode simplesmente dispensar a necessidade de investigação policial. Não apenas neste exemplo, mas também nos cada vez mais corriqueiros pedidos de interceptações telefônicas4 e de correspondências eletrônicas, com o chamado espelhamento de contas de e-mail. O julgamento aqui tratado foi suspenso por pedido de vista do ministro Alexandre de Moraes - ex-promotor de Justiça - e não tem data para ser retomado. Faltam ainda oito votos a serem proferidos.     __________ 1 Confira-se, a respeito, o RHC 51.531/RO, da Sexta Turma, relator o ministro Nefi Cordeiro (DJe 9/5/2016) e o RHC 67.379/RN, da Quinta Turma, relator o ministro Ribeiro Dantas (DJe 9/11/2016). 2 Em reportagem datada de 2/11/2020, Migalhas divulgou as íntegras dos votos provisórios dos ministros Toffoli e Mendes. Como o julgamento ainda não se encerrou, os votos podem ser alterados. 3 Argumento semelhante ao que utilizamos em nossa coluna anterior sobre o tema: "(...) um smartphone não deve ser comparado a uma antiga agenda de endereços e telefones (...) levamos atualmente conosco, para todos os lugares, dados muito sensíveis, uma gama de informações que inclui mensagens, lista de contatos, fotografias, e-mails, registro de ligações, perfis (e comunicações) em redes sociais, contas bancárias, trajetos percorridos nos dias anteriores e muito mais". 4 Sobre a impossibilidade de interceptações telefônicas decorrentes de denúncias anônimas e sem qualquer outra diligência policial a justificá-las, recomenda-se a leitura da recente decisão do ministro Edson Fachin no HC 181.020, que considerou ilícita a interceptação baseada em considerações genéricas, sem prova de materialidade e indícios de autoria. Este processo já transitou em julgado.
O Marco Civil da Internet (Lei 12.965/14) foi promulgado em abril de 2014 e entrou em vigor 60 dias após sua publicação no Diário Oficial. Já são, portanto, mais de seis anos de vigência, com intensos debates doutrinários e jurisprudenciais1, muitos elogios - vários dos quais internacionais, destacando o pioneirismo brasileiro ao regulamentar a matéria - e, também, diversas críticas. Embora o Marco Civil não tenha sofrido qualquer alteração em sua redação original ao longo deste tempo, é certo que diversos projetos de lei buscam modificá-lo, ganhando especial relevo as tentativas de se alterar a regra de seu artigo 19, dispositivo que afasta a responsabilidade civil dos provedores de aplicações de internet por conteúdo gerado por terceiros, a menos que o provedor, no âmbito e nos limites técnicos de seu serviço, descumpra ordem judicial com determinação de tornar indisponível o conteúdo2. Já tivemos a oportunidade, nesta coluna, de defender que a lei merecia ser atualizada especificamente no que diz respeito à proteção dos direitos autorais, regulamentação que acabou sendo deixada de lado no Marco Civil da Internet, nos termos dos artigos 19, § 2º, e 31 da própria lei. Esta semana, contudo, foi disponibilizada a debates públicos a primeira versão da Carta de Direitos Digitais espanhola, com interessantes questões que nos levaram à seguinte indagação: será que já é o momento de uma revisão/atualização da lei brasileira? O processo de elaboração do texto espanhol tem um quê de semelhança com a nossa "Constituição da Internet", apelido atribuído ao Marco Civil, pois contou com a participação de um grupo de especialistas com forte atuação em direito digital. Agora, a versão elaborada pelos estudiosos foi colocada em consulta pública até 4 de dezembro, devendo, após a aprovação de sua redação final, se converter na primeira norma daquele País3 aprovada com tal nível de participação4. Vejamos alguns dos principais pontos da Carta espanhola: Pseudoanonimato - Interessantíssima previsão que certamente geraria muita discussão em nosso País, por conta da proibição do anonimato contida no art. 5º, IV, da Constituição Federal. A Carta de Direitos Digitais permite o chamado pseudoanonimato, assegurando o direito de utilização de pseudônimos àqueles que não desejam fornecer seus nomes completos, tudo de acordo com as possibilidades técnicas de cada serviço e assegurada a possibilidade de identificação dos autores nos casos previstos em lei. Conforme um dos autores desta coluna já teve a oportunidade de defender, em determinadas ocasiões acaba ocorrendo verdadeira confusão entre os conceitos de anonimato, sigilo e pseudônimo, sendo possível que um texto opinativo ou crítico mantenha o sigilo de seus responsáveis sem que isso implique em anonimato5. Mas, não se desconhece que o assunto é polêmico. Patrimônio e herança digitais - Inexiste dúvida de que, embora para a maioria das pessoas a internet seja primordialmente um meio de entretenimento, leitura, informação e acesso a serviços, muitos encontram na rede sua principal fonte de remuneração, por vezes em profissões que sequer eram imagináveis há alguns anos, como os youtubers, blogueiros, influenciadores digitais e, mais recentemente, com grande crescimento na quarentena, até mesmo com o lucrativo mercado de nudes pessoais, do qual o maior exemplo talvez seja o site OnlyFans6. Pois bem, a Carta espanhola reconhece o direito à herança de todos os bens e direitos que o falecido possua no ambiente digital, sendo certo que as especificidades do meio digital devem seguir as regras gerais do Código Civil daquele País. Longe de ser uma regra redundante com a lei civil, a previsão é de grande relevância numa época em que cada vez mais bens e direitos podem ser adquiridos e exercidos no meio virtual. Liberdade de expressão e de informação - Este tema, que está previsto em diversos dispositivos do Marco Civil da Internet (como fundamento, garantia e um dos objetivos do uso da internet no Brasil - arts. 2º, 3º, I e 4º, II), recebe contornos específicos na Carta de Direitos Digitais. Destacam-se tanto a proteção da verdade, pluralismo informativo e diversidade de opiniões e informações (à semelhança de nossa lei), quanto garantias bem específicas, como o direito de conhecer quando uma informação foi elaborada sem intervenção humana, ou seja, unicamente mediante processos automatizados, bem como quando a informação foi classificada ou priorizada pelo provedor de acordo com o perfil do usuário. Notícias e informações patrocinadas (anúncios) também devem obrigatoriamente informar sua natureza publicitária. Estes últimos pontos - ao menos em tese - permitem que se entenda porque o conteúdo que acessamos em sites e redes sociais difere do que outras pessoas acessam, aumentando a transparência em favor dos usuários. Inteligência Artificial e neurotecnologia - A Carta prevê a proibição de que as pessoas sejam discriminadas por decisões tomadas por algoritmos e busca que se assegurem transparência, auditabilidade e rastreabilidade destes, prevendo ainda o direito de solicitar supervisão humana. O uso da neurotecnologia, por seu turno, deve ter como objetivo preservar a identidade individual, garantir a autodeterminação e a liberdade na tomada de decisões, além de assegurar a segurança dos dados. Nestes temas, há certo paralelismo com nossa Lei Geral de Proteção de Dados Pessoais (LGPD). O cuidado com os dados pessoais, aliás, está presente ao longo de todo o texto espanhol. As leis, como se sabe, não têm condições de acompanhar todas as mudanças sociais e tecnológicas, ainda mais em anos de avanço tão rápido como atualmente. Mas, como se vê comparando-se os dois diplomas, a lei brasileira, mesmo com seu pioneirismo, continua atual, passível de pontuais aperfeiçoamentos, mas sem necessitar de uma reforma completa.     ______________ 1 Indicamos, por todos, os comentários feitos no Observatório do Marco Civil da Internet, projeto coordenado pelo advogado e professor Omar Kaminski - Clique aqui. 2 A única exceção legal encontra-se no artigo 21, que traz a responsabilidade subsidiária decorrente de divulgação não autorizada de imagens ou vídeos com cenas de nudez ou de atos sexuais de caráter privado. Em tais casos, dispensa-se a necessidade de ordem judicial, bastando a notificação por parte do participante. 3 Trata-se, na verdade, de uma carta de intenções, na medida em que não possui natureza normativa, constituindo-se num guia dos direitos que devem ser levados em consideração na elaboração de leis sobre internet. 4 Confome reportagem "Inteligencia artificial y 'seudonimato': el Gobierno presenta la primera versión de la Carta de Derechos Digitales". El País, 17/11/2020, original em espanhol - Clique aqui. 5 MARTINS, Ricardo Maffeis. "A garantia do sigilo diante da inexistência de ilícito". In COSTA, Maria Cristina Castilho (coord.). Privacidade, sigilo, compartilhamento. São Paulo: ECA/USP, 2017 - Clique aqui. 6 Trata-se de serviço onde pessoas cobram uma assinatura de seus "fãs" para que estes acessem um conteúdo que os demais não têm acesso nas redes sociais tradicionais. Em geral, fotos e vídeos com cenas de nudez. Confira a reportagem "OnlyFans: site que permite vender nudes cresce no Brasil e amplia mercado de influencers do sexo". G1, 10/06/2020 - Clique aqui.
A extensão dos efeitos da lei 13.709/2018, a Lei Geral de Proteção de Dados, aos advogados tem sido tema recorrente no meio jurídico e muitos têm demonstrado certa tranquilidade em relação à necessidade de adequação, entendendo que a atividade do advogado já era - e continuará sendo - coberta pelo sigilo da relação cliente-advogado, de modo que pouca coisa mudaria com a entrada em vigor da LGPD. De fato, o sigilo profissional do advogado, em certa medida, pode ser considerado até mais amplo e rígido do que as regras impostas pela LGPD para o tratamento de dados pessoais. Nos termos do Código de Ética e Disciplina da OAB (art. 25), o sigilo profissional é inerente ao exercício da advocacia. O advogado não pode sequer depor como testemunha sobre fato relacionado ao seu cliente (art. 7o, XIX, da Lei 8.906/1994), mesmo que autorizado ou solicitado por este (art. 26, Código de Ética), salvo em defesa própria (art. 27, Código de Ética). Nesse sentido, mesmo havendo consentimento do titular, o advogado possui certas restrições éticas e morais quanto ao tratamento dos dados pessoais. Em contrapartida, porém, a Lei 8.906/1994 e o Código de Ética dispõem sobre o dever de sigilo profissional de maneira bastante genérica, determinando apenas que o advogado mantenha em segredo toda e qualquer informação que venha a ter acesso a respeito dos seus clientes. Não há regras específicas sobre quais dados o advogado pode acessar, por quanto tempo, em que condições deve guardá-los, entre tantas outras regras agora trazidas pela LGPD. Dentre essas regras, constata-se a necessidade de enquadramento do advogado como controlador ou operador dos dados, para fins de determinação dos limites de sua responsabilidade. No que tange aos dados pessoais coletados fora do exercício do core business do escritório, não há muita dúvida quanto à natureza do tratamento. Dados recebidos, por exemplo, para a execução de contratos com fornecedores, na relação de trabalho com colaboradores ou para controle de acesso às suas dependências, são tratados na condição de controlador. A grande dúvida fica para os dados tratados no próprio exercício da profissão, na prestação direta do serviço de advocacia. É bastante comum que, ao consultar um advogado, o cliente relate fatos e lhe entregue diversos documentos, dos quais muitos podem vir a se mostrar absolutamente desnecessários à execução do trabalho. Até aqui, não havia maiores problemas em receber todas essas informações, desde que fossem mantidas em sigilo. Agora, com as regras da LGPD em vigor, em especial os princípios da adequação, da necessidade e da transparência, o advogado passa a ter a obrigação de identificar quais dados serão necessários para a execução do trabalho, orientando o cliente a não encaminhar informações desnecessárias e, no limite, devolvendo ou eliminando imediatamente de sua base os dados considerados dispensáveis. Tem se tornado cada vez mais frequente, por exemplo, principalmente por empresas multinacionais, o procedimento de riscada de informações pessoais - o chamado redacting - justamente para evitar o acesso de parte a parte de dados considerados desnecessários para a finalidade do trabalho que está sendo executado. Esse é um enorme desafio, pois a proteção do dado pessoal não está na cultura do brasileiro, não faz parte do nosso mind set, diferentemente do que ocorre em outros locais, como na Comunidade Europeia, em que existe a consciência da importância na preservação do dado pessoal pelo menos desde a década de 1970. Daqui em diante, portanto, o advogado deverá ter enorme cuidado com que dados está recebendo do cliente, se eles serão úteis para a prestação do serviço, se está claro para o cliente como esses dados serão tratados. Isso tudo será muito importante para definir os limites da responsabilidade do advogado. Nesse contexto, assume grande relevância a definição do papel do advogado como controlador ou operador de dados pessoais. Isso terá grande impacto na sua responsabilidade, visto que o operador realiza o tratamento do dado em nome e nos limites daquilo que for determinado pelo controlador, a quem, por sua vez, competem as decisões referentes a esse tratamento. Assim, enquanto controlador, o advogado terá uma responsabilidade mais abrangente, pois caberá a ele definir todos os aspectos relacionados aos dados recebidos para tratamento. Na Comunidade Europeia, por exemplo, a tendência tem sido considerar escritórios, via de regra, como controladores. Mesmo antes do advento da General Data Protection Regulation, fonte de inspiração da nossa LGPD, o denominado Article 29 Working Party1 já se posicionava no sentido de que, se o prestador do serviço exerce uma atividade tradicional e de expertise profissional que lhe imponha definir o propósito e os meios de tratamento, aquela determinada expertise em geral define o prestador do serviço como um controlador. Na Opinião 1/2010, a Working Party analisou especificamente o caso dos advogados atuando em juízo, concluindo que estes são controladores. O argumento foi de que a instrução que o cliente dá ao advogado não é para tratar o dado, mas para representar seus interesses em juízo. O tratamento do dado seria uma atividade auxiliar, a ser total ou pelo menos parcialmente determinada pelo advogado, dentro da sua independência profissional e funcional, portanto sem ingerência do cliente. A United Kingdom Information Commissioner's Office, Agência de Informações do Reino Unido, chegou a conclusão similar, entendendo que o advogado deve ser considerado controlador: (i) quando receber dados pessoais sobre terceiros para assessorar o cliente em relação a seus direitos; e (ii) quando o cliente tiver pouco discernimento acerca de como os dados serão tratados no curso da representação profissional pelo advogado. Posições semelhantes podem ser encontradas em manifestações de órgãos de outros países da Comunidade Europeia, inclusive de ordens de advogados, como na França, na Alemanha e na Itália. O Conselho Europeu de Proteção de Dados, embora não tenha uma diretiva específica sobre o papel de advogados, divulgou recentemente, em setembro, o Guia 7/20 sobre conceitos de controlador e operador, estabelecendo em seu item 33 que o controlador é aquele que determina o porquê do tratamento do dado, ou seja, qual a finalidade do tratamento e como esta será atingida. A orientação se mostra alinhada com o racional adotado pela Working Party e pela UK ICO em relação a escritórios de advocacia, que leva em consideração a independência com que o advogado atua no exercício da profissão. Vale destacar, contudo, que muitos desses órgãos ressalvam situações em que advogados podem, eventualmente, ser considerados operadores, por exemplo em contratações para revisão de documentos, com base em objetivos/premissas específicas, ou com base em métodos/formas específicas de tratamento. A experiência europeia aplica-se à nossa realidade: no Brasil, à luz da LGPD, advogados devem ser preponderantemente caracterizados como controladores, sem prejuízo de, em determinadas situações, serem considerados operadores. Assim, para alguns trabalhos mais específicos, como análise de contratos e due diligences, os advogados podem ser considerados operadores, conforme recebam diretrizes específicas para o tratamento dos dados. Outra hipótese é a do correspondente, que, mesmo atuando em juízo, pode ser considerado mero operador quando tiver um escopo específico de trabalho e conforme orientações recebidas do escritório contratante. No geral, porém, os advogados devem ser considerados controladores, já que boa parte da própria execução do trabalho e da expertise do advogado estará na definição de como tratar o dado, eventualmente até por imposição legal e como forma de assegurar a sua independência profissional: atuações em juízo, opiniões legais, auxílio em grandes operações; nesses casos haverá inegável controle do advogado sobre o tratamento do dado. A depender do perfil do cliente, quando este tiver hipossuficiência técnica sobre o tratamento dos dados (por exemplo, empresas de grande porte, com departamentos jurídicos estruturados, que participam ativamente do trabalho terceirizado para um escritório, ou mesmo pessoas físicas com conhecimento técnico-jurídico que lhes deixe em pé de igualdade com o advogado), pode-se cogitar de ambas as partes serem controladoras, mas jamais em regime de co-controladoria, já que, como dito, o advogado deve manter sua independência profissional, tendo a palavra final em relação ao tratamento dos dados sob seu controle. Estas são apenas primeiras impressões sobre o tema. Ainda há muito a discutir e que nesse momento, com a LGPD recém em vigor, sem autoridade formalmente constituída e sem jurisprudência, estamos num terreno de enorme incerteza, por isso todo cuidado é pouco e os advogados devem agir com extrema cautela no tratamento de dados de seus clientes. __________ 1 Grupo de trabalho independente que atuou por mais de 20 anos, formado a partir do art. 29 da Diretiva 95/46 de 1996, lidando com as questões relacionadas à proteção de dados pessoais e privacidade até a entrada em vigor da GDPR, quando foi substituída pelo European Data Protection Board, o Conselho Europeu de Proteção de Dados, atualmente em atividade.
A entrada em vigor da Lei Geral de Proteção de Dados afetou de maneira significativa todas as atividades que envolvam o tratamento de dados pessoais. No caso especifico das eleições, a LGPD alcança todos os players do processo eleitoral, trazendo diversas implicações e desafios, potencializados, ainda, pelo cenário pandêmico por que passamos, que impedirá - ou pelo menos limitará significativamente - a realização de comícios e o corpo-a-corpo dos candidatos com os eleitores, fazendo do ambiente virtual o principal veículo para a disseminação de ideias e a captação de votos. Antes de mais nada, vale analisar a efetiva aplicabilidade da LGPD às eleições municipais de 2020. A polêmica surgiu devido ao princípio da anuidade, aplicável ao Direito Eleitoral nos termos do artigo 16 da Constituição Federal, segundo o qual a legislação que modificar o processo eleitoral não será aplicável à eleição que ocorrer até um ano da data de vigência da respectiva lei. A literalidade da norma - que visa, precipuamente, possibilitar aos envolvidos se adequarem às novas regras, garantindo a paridade de forças, a isonomia da disputa e a segurança jurídica do processo eleitoral -, no entanto, não subsiste a uma análise mais detida das circunstâncias específicas que resultaram na entrada em vigor da LGPD. Inicialmente, cumpre notar que o artigo 16 da Constituição inicia ressalvando que a lei que alterar o processo eleitoral entrará em vigor na data de sua publicação, sendo certo que a LGPD contou com uma vacância de dois anos, o que, a rigor, já permitiu plena adaptação de todos os afetados. Ademais, há de se considerar que a LGPD não se volta especificamente para o processo eleitoral. O seu cerne está na proteção de dados pessoais, com efeitos muito mais abrangentes e reflexos apenas indiretos para as eleições. Não bastasse, consoante recente decisão do Supremo Tribunal Federal no julgamento da ADPF 738/DF, regras de mero aperfeiçoamento do processo eleitoral, "de caráter eminentemente procedimental", não se sujeitam ao princípio da anuidade. É justamente este o caso da LGPD. Seja como for, ainda no ano passado, o Tribunal Superior Eleitoral editou a resolução 23.610/19, dispondo, entre outras coisas, sobre o uso e a cessão de dados pessoais em campanhas eleitorais. Nos termos do artigo 31 da resolução o tratamento de dados pessoais, inclusive a utilização, doação ou cessão destes por pessoa jurídica ou por pessoa natural, observará as disposições da LGPD. Assim, por todos esses motivos, entendemos que a LGPD se aplica às eleições deste ano, assumindo, inclusive, papel de extrema relevância, diante dos fatos ocorridos nas últimas eleições, com diversas notícias do uso abusivo de dados pessoais para a realização do denominado microtargeting, técnica de segmentação preditiva de mercado que, no âmbito da política, tem sido usado para angariar votos mediante a identificação e modulação de perfis de modo a facilitar o processo de convencimento e manipulação dos eleitores. Superada esta questão, avancemos para a análise dos reflexos da LGPD sobre os diversos participantes do processo eleitoral. Em primeiro lugar destacamos as implicações para empresas, que, historicamente, tiveram participação ativa e decisiva nas campanhas eleitorais, apoiando partidos e candidatos. Embora o financiamento de campanhas eleitorais por pessoas jurídicas esteja proibido desde o julgamento, pelo STF, da ADI 4.650/DF, e posterior advento da lei 13.488/2017, que alterou as Leis 9.096/1995 (Lei dos Partidos Políticos) e 9.504/1997 (Lei das Eleições) - vedando o recebimento, direto ou indireto, de contribuição ou auxílio pecuniário ou estimável em dinheiro, inclusive através de publicidade - a disponibilização de dados pessoais de colaboradores e clientes, para uso político direcionado, mantinha-se numa zona cinzenta, já que não caracteriza financiamento propriamente dito. Todavia, com a entrada em vigor da LGPD, o tratamento de dados pessoais exige o preenchimento de alguma das hipóteses previstas na lei (art. 7o), bem como respeito, entre outros, aos princípios da finalidade, adequação, necessidade e transparência (art. 6o, I, II, III e VI), os quais demandam que atividades de tratamento de dados sejam desenvolvidas para propósitos legítimos, específicos e informados ao titular, limitadas ao mínimo necessário para o alcance de tais propósitos, portanto sem extrapolação dos objetivos que originalmente levaram à coleta dos dados. Na prática portanto, a cessão, por empresas, de dados pessoais de funcionários, clientes e parceiros comerciais, via de regra passa a depender do prévio consentimento dos titulares, visto que tais dados não foram originalmente coletados para uso político e as demais hipóteses que autorizam o tratamento (art. 7o) em princípio não se aplicam a essa finalidade, valendo acrescentar, ainda, que dados ligados a opinião política e filiação partidária, bem como outros de importância estratégica para campanhas eleitorais, tais como orientação sexual e religiosa, são considerados sensíveis pela LGPD (art. 5o, II) e não admitem tratamento com base no legítimo interesse (art. 11). Até mesmo o simples envio de material de cunho eleitoral para essas pessoas diretamente pela empresa e sem o compartilhamento de informações com partidos e candidatos, já implica tratamento de dados pessoais - lembrando que o termo "tratamento", nos termos da lei, compreende toda e qualquer operação realizada com dados pessoais, desde a coleta até o descarte -, exigindo consentimento prévio dos titulares. O problema do tratamento com base no consentimento, é que este é precário, podendo ser revogado a qualquer tempo pelo titular (arts. 8, § 5o, e 18), assegurado procedimento gratuito e facilitado para tanto, com o que o uso dos dados para fins políticos deverá cessar imediatamente. De forma semelhante, partidos políticos e candidatos devem estar atentos ao preenchimento dos requisitos necessários ao tratamento de dados pessoais, certificando-se de que dispõem de autorização legal para a realização de análises de dados visando a traçar o perfil dos titulares, ainda que os dados estejam publicamente disponíveis na rede mundial de computadores ou em qualquer outro meio físico ou virtual. Nesse contexto, deverão deixar bastante claro ao titular, inclusive seus filiados, de que forma, para que finalidade, quem terá acesso aos dados, quais medidas de segurança da informação estão sendo adotadas, bem como a estimativa de tempo para que sejam descartados. Mesmo na parceria com instituições que promovam o crowdfunding ou financiamento coletivo de campanhas, que passou a ser autorizada a partir das alterações impostas à Lei das Eleições pela lei 13.488/2017 e regulada pela Resolução 23.607/19 do TSE, ambas as partes deverão adotar todos os cuidados concernentes à coleta, compartilhamento e processamento dos dados pessoais dos doadores, pois a base legal que autoriza o tratamento desses dados para fins de doação não autoriza o uso para outras atividades ligadas à campanha eleitoral. Por fim, no que tange à atuação de órgãos públicos como a Justiça Eleitoral no desenvolvimento do processo eleitoral, embora a LGPD também se aplique a pessoas jurídicas de direito público (art. 3o), nesta hipótese há respaldo legal autorizando o tratamento de dados pessoais para a execução de políticas públicas (art. 7o, III), inclusive de dados sensíveis (art. 11, II, "b"), desde que na persecução do interesse público, com o objetivo de exercer as competências legais e cumprir as atribuições legais do serviço público (art. 23). Dessa forma, esses órgãos a rigor não necessitam do consentimento do titular para o tratamento de dados pessoais tendente à viabilização do processo eleitoral, bastando que informem as hipóteses em que, no exercício de suas funções, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos (art. 23, I). Finalmente, vale pontuar que, embora ainda não tenhamos a Autoridade Nacional de Proteção de Dados devidamente constituída, nada impede a atuação de outros órgãos públicos, como o Ministério Público e a Justiça Eleitoral, ou mesmo a iniciativa individual de titulares de ajuizarem ações indenizatórias devido ao uso indevido de dados pessoais. Enfim, a LGPD passa a ter um papel determinante nas eleições, sobretudo nas estratégias de campanha, devendo ser rigorosamente observada por todos os participantes do processo eleitoral, especialmente até que tenhamos orientações e decisões da ANPD e dos tribunais, dando maior clareza acerca de como a lei será efetivamente interpretada e aplicada.
Com a Lei Geral de Proteção de Dados finalmente em vigor e as notícias que já começaram a sair na imprensa sobre a primeira ação ajuizada com base na LGPD e até mesmo uma condenação em primeiro grau por fatos ocorridos muito antes da vigência da nova lei, acendeu-se o alerta nas empresas: estamos prontos para a LGPD? E se um fato desses ocorrer conosco? Num mundo em que até o site da Agência Espacial dos EUA já foi invadido1 e onde algumas das mais altas autoridades brasileiras tiveram recentemente suas conversas trocadas em aplicativos de mensagens vazadas para a mídia, imaginar que uma empresa privada estaria imune a tais riscos pode ser considerado uma ingenuidade. E, se é praticamente impossível assegurar que nada aconteça, uma das melhores atitudes a ser tomada é a prevenção e, com ela, a estruturação também de um plano de combate a incidentes. Um plano de prevenção a incidentes envolvendo dados pessoais envolve, em primeiro lugar, o estudo e a adequação da própria empresa à LGPD. Trata-se de providência prioritária, na medida em que a plena consciência dos dados tratados pelos diversos departamentos da empresa, as bases legais que justificam o tratamento, o modo de atendimento aos titulares de dados e, de preferência, a nomeação de um bom encarregado - que pode ser vinculado à empresa ou terceirizado, como alguns serviços conhecidos como DPO as a service2 - formam o alicerce para que se passe às demais medidas preventivas. Uma vez adequada a empresa, outra importante providência preventiva é a contratação de parceiros que também estejam adaptados às regras da LGPD, bem como a renegociação dos contratos em vigor e a atenção redobrada aos que venham a ser firmados, em especial nas cláusulas que envolvam a proteção de dados, para que as responsabilidades de cada um fiquem bem claras. A questão da responsabilidade é tema sensível, uma vez que, além das regras de responsabilização previstas no Código Civil, a LGPD prevê que, especificamente em relação à proteção dos dados pessoais, o controlador e o operador são obrigados a reparar os danos patrimoniais, morais, individuais ou coletivos causados (art. 42), estabelecendo ainda casos de responsabilidade solidária e de inversão do ônus da prova em benefício dos titulares - à semelhança do que ocorre na defesa dos consumidores - sendo as cláusulas contratuais essenciais para que se possa buscar direito de regresso contra os demais responsáveis no caso de a empresa ter sido obrigada a indenizar algum titular de dados3. Com a empresa adequada à LGPD e contratados bons parceiros, é o momento de estruturar o plano de prevenção e combate a incidentes. Antes de mais nada, importante lembrar que incidentes envolvendo dados pessoais nem sempre estão ligados a ataques4 por parte de hackers. Não raras vezes, um descuido por parte de um funcionário ou uma falha na programação do site já são suficientes para permitir o acesso de terceiros estranhos à organização, cumulado ou não com um vazamento. O plano de prevenção e combate a incidentes envolve diversas fases. Uma das iniciais é a definição de competências: quais dirigentes e profissionais ficarão responsáveis por tomar que providências. Normalmente, costumam estar envolvidas as áreas de Segurança da Informação (TI), Comunicação, o Departamento Jurídico e os setores ligados ao atendimento ao público. Pela relevância do tema e diante do risco à reputação e nome da empresa, a participação do CEO ou de representantes da Diretoria também é recomendada no comitê ou sala de crise, sem esquecer, obviamente, do encarregado, que deve exercer o papel de interface entre a empresa, autoridades e titulares dos dados envolvidos no incidente. As primeiras medidas envolvem a verificação e contenção do incidente, seguidas da averiguação de sua extensão e dos dados pessoais que foram ou estão expostos. Em paralelo, a equipe responsável pela comunicação precisa alinhar - subsidiada pelo Jurídico - a necessidade e viabilidade de comunicação à Autoridade Nacional de Proteção de Dados e aos titulares dos dados, conforme regra do art. 48 da LGPD. Embora a ANPD sequer esteja instalada e as sanções administrativas previstas na lei só entrem em vigor em agosto de 2021, não se pode esquecer que a economia brasileira possui setores muito regulamentados, sujeitos à fiscalização dos mais variados órgãos e agências, tais como o Banco Central, a Anatel, a ANAC e a Anvisa, para citar apenas alguns dos mais atuantes. No âmbito da proteção do consumidor, a Secretaria Nacional do Consumidor (Senacon), integrante do Ministério da Justiça e Segurança Pública, é outro órgão cuja comunicação - a depender da amplitude do incidente - também pode ser recomendada. Como forma de mitigação de riscos e de eventuais prejuízos, na coordenação e validação das providências deve estar a assessoria jurídica da empresa, normalmente terceirizada, já que raramente um Departamento Jurídico será grande o suficiente para ter um especialista em Direito Digital e Proteção de Dados. A orientação jurídica é primordial quando se tem em mente que as sanções previstas na LGPD - que podem chegar a R$ 50 milhões por infração - seguirão parâmetros legais tais como boa-fé, cooperação, adoção de procedimentos voltados para minimizar o dano e políticas de boas práticas, além da pronta adoção de medidas corretivas5.  A Lei Geral de Proteção de Dados Pessoais já é uma realidade. A partir de agora, investir na prevenção - de modo a saber quais medidas tomar no caso de ocorrência de algum incidente, bem como estar preparado para tomá-las de forma célere - será um importante diferencial competitivo para as empresas. __________ 1 "Hackers brasileiros invadem site da NASA para protestar contra espionagem" - Tecnoblog, 10/9/2013. 2 Por ter funções equivalentes ao DPO (Data Protection Officer) da GDPR, a lei de proteção de dados europeia, o encarregado (arts. 5º, VIII e 41 da LGPD) também é tratado por vezes como DPO, o elo entre a empresa (controladora dos dados), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).  3 Disposições constantes dos parágrafos do mencionado art. 42 da LGPD. 4 Tais ataques são conhecidos como data breaches. 5 Conforme art. 52, II e incisos do parágrafo 1º da LGPD.
sexta-feira, 25 de setembro de 2020

Moedas digitais, moedas virtuais e criptomoedas

Progressivamente, o mundo parece caminhar para uma sociedade sem dinheiro físico, com a substituição da moeda em espécie por moedas intangíveis. A despeito do ceticismo de muitos analistas quanto ao fim do papel moeda, não há como negar que a evolução tecnológica e a inclusão digital - sobretudo depois do advento dos smartphones - têm tornado essas novas moedas cada vez mais populares, trazendo mudanças significativas para o mercado de investimentos e de pagamentos. Para que possamos entender melhor o cenário, vale antes de mais nada distinguir moedas digitais, moedas virtuais e criptomoedas. Embora sejam todas intangíveis e, por isso, muitas vezes utilizadas como sinônimos, na prática são coisas diferentes. A moeda, em termos econômicos, é tudo aquilo aceito como forma de pagamento, ou seja, que sirva como intermediário (meio de troca) entre mercadorias, como referencial para que o valor dos demais produtos seja cotado no mercado (unidade de conta ou denominador comum de valor) e como forma de preservação do poder de compra (reserva de valor). Primeiro surgiu a moeda-mercadoria (sal, animais etc.), passando pela moeda metálica (ouro, prata etc.), até chegarmos ao papel-moeda, que durante séculos seguiu o sistema de commodities denominado "padrão ouro" - ou seja, a emissão de cédulas pressupunha a existência de quantidade equivalente em reservas de ouro) - vindo, na década de 1970, a ser substituído pela moeda fiduciária ou Fiat Currency, para a qual não existe garantia física ou valor intrínseco (lastro), sendo sua aceitação uma imposição legal do governo e o seu valor dependente da credibilidade do país emissor. Feito esse introito acerca do conceito econômico de moeda, temos que as moedas digitais são formas imateriais de circulação da moeda fiduciária, isto é, da moeda corrente nacional. Tratam-se de moedas intangíveis, reconhecidas e controladas por autoridades estatais responsáveis por autorizar, regulamentar e intermediar a sua emissão, transferência e outras operações. No Brasil, esse controle é feito pelo Banco Central do Brasil e pelo Conselho Monetário Nacional. São exemplos de moedas digitais: cartões de crédito e débito e sistemas de pagamento online via carteira digital, como o Paypal. As moedas virtuais, por sua vez, são emitidas e controladas por entes privados, sendo utilizadas e aceitas entre membros de comunidades virtuais específicas. Cuida-se de uma forma de dinheiro eletrônico surgida a partir do desenvolvimento de sistemas de pagamento para jogos online. São exemplos de moedas virtuais: os fut coins dos jogos FIFA, o zeny do jogo Ragnarok, ou os riot points do jogo League of Legends. Por fim, chegamos às criptomoedas, que cada vez mais estampam as manchetes dos jornais, pelos mais variados motivos, que vão desde o seu crescimento como modalidade de investimento, até a sua utilização como meio de pagamento de resgate de sequestros internacionais. As criptomoedas são moedas intangíveis descentralizadas, não reguladas pelo governo e, portanto, dissociadas do sistema financeiro. Alguns países, como o Japão e a Coréia do Sul, estabeleceram regras gerais de funcionamento para as criptomoedas, mas elas se mantêm fora do sistema financeiro. No Brasil, a despeito das iniciativas de sua inclusão na definição de arranjos de pagamento sob supervisão do Banco Central - como o PL 2.303/2015, da Câmara dos Deputados, arquivado em janeiro/2019 - fato é que as criptomoedas seguem sem regulação específica. As criptomoedas surgiram com um objetivo ideológico, qual seja, criar uma moeda que pudesse ser aceita em todo o mundo, sem a influência de nenhum governo, ou seja, uma moeda sem fronteiras, que circule por todo o planeta, sem o recolhimento de impostos ou taxas e sem a necessidade de conversão. As mais conhecidas são a Bitcoin e a Ethereum, mas atualmente existem mais de duas mil criptomoedas em circulação. As criptomoedas são criadas em uma rede de blockchain - também conhecida como protocolo de segurança, consistente em uma base de dados pública em que consta o histórico de todas as operações realizadas com as unidades de criptomoeda ("tokens") - a partir de sistemas avançados de criptografia que protegem as transações, suas informações e os dados de quem transaciona. As transações são registradas no blockchain pelos chamados mineradores, que disponibilizam a capacidade de processamento de seus computadores para realizar tais registros e conferir as operações. De uma forma geral, entende-se que um sistema de criptomoeda deve atender os seguintes requisitos: (i) dispensa de uma autoridade central; (ii) manutenção de uma visão geral dos tokens e sua propriedade; (iii) controle da emissão de novos tokens e determinação da sua propriedade; (iv) comprovação da propriedade dos tokens feita exclusivamente por criptografia; (v) possibilidade de executar transações para transferência da propriedade dos tokens; e (vi) havendo tentativas simultâneas de transferência da propriedade dos tokens, o sistema executará apenas uma delas. No momento, as criptomoedas são vistas mais como um ativo financeiro do que como um meio de pagamento. Isso se deve principalmente à sua independência de terceiros fiduciários (a custódia das criptomoedas independe de um banco ou outro intermediário) e à sua privacidade financeira (dada a sua natureza descentralizada, as criptomoedas não podem ser constritas). Entretanto, trata-se de um investimento de alto risco, diante do seu elevado grau de volatilidade, fruto da quantidade limitada de tokens disponíveis (as criptomoedas foram pensadas para reproduzirem a extração de ouro ou outro metal precioso, portanto esgotável), do volume relativamente baixo de operações (que individualmente podem, pois, causar impacto relevante) e da enorme especulação de mercado. Para que se tenha uma noção, em dezembro de 2017 uma Bitcoin chegou a valer R$48,2 mil e, em janeiro de 2019, apenas pouco mais de um ano depois, havia sofrido uma desvalorização de quase 75%, passando a valer R$12,7 mil. Essa insegurança fez surgir as chamadas stablecoins (ou "moedas estáveis") criptomoedas lastreadas em moedas fiduciárias. Na prática, uma entidade ou algoritmo descentralizado garante que para cada token emitido, haja a mesma quantidade de moeda fiduciária (dólares, por exemplo) custodiada e que para emitir ou retirar esses tokens do mercado haverá a necessidade de ajustar o lastro. A lógica, aqui, é a mesma do sistema de commodities visto anteriormente. Como exemplo de stablecoin temos a Libra do Facebook, lançada em 2019, que usa um sistema de cesta de ativos (moedas fiduciárias e títulos governamentais) como meio de estabilização do valor do token. Diante de tudo isso, os especialistas têm se mostrado bastante divididos quando o assunto é o fim do papel moeda e o futuro das moedas intangíveis. Seja como for, não há como negar que o sistema monetário está em constante evolução. Em poucas décadas, passamos do padrão ouro para a moeda fiduciária, retirando o lastro das moedas e ligando o seu valor à estabilidade e força do país emissor. As moedas intangíveis, em especial as criptomoedas, podem ser consideradas mais uma evolução do sistema monetário, desvinculando-o dos governos e dando à sociedade mais poder para gerir a emissão de moedas e as transações a elas inerentes. Por outro lado, na ausência de regulamentação e enquanto forem vistas muito mais como um investimento do que como um meio de pagamento e de reserva de valor, será difícil que as criptomoedas assumam o status de unidade de conta para substituírem o dinheiro físico e servirem de parâmetro de precificação e de cálculo econômico.
Conforme noticiado em nossa última coluna, imediatamente após o Senado Federal derrubar o artigo da MP 959/20 que postergava o início da vigência da Lei Geral de Proteção de Dados (LGPD) para 2021, o Poder Executivo editou o decreto 10.474, aprovando a estrutura de cargos da Autoridade Nacional de Proteção de Dados, conhecida pela sigla ANPD. Na redação original do projeto de lei que deu origem à LGPD, a ANPD estava prevista para ser um órgão integrante da administração pública federal indireta e submetida a regime autárquico especial, de forma a garantir sua autonomia, com previsão expressa de "independência administrativa, ausência de subordinação hierárquica, mandato fixo, estabilidade de seus dirigentes e autonomia financeira"1. Mas a previsão acabou sendo vetada pela obrigatoriedade de edição de lei específica para criação de autarquias, cumulada com a iniciativa privativa do presidente da República em relação às leis que disponham sobre criação de órgãos estatais2. No apagar das luzes do governo Michel Temer foi então editada a MP 869/2018, depois convertida na lei 13.853/2019, que inseriu na LGPD os arts. 55-A a 55-L, alterando a natureza jurídica da ANPD, que passou a ser órgão da administração pública direta, vinculado à Presidência da República e dotado apenas de autonomia "técnica e decisória"3.  Como facilmente se percebe, já transcorreu tempo suficiente para que a Autoridade Nacional fosse constituída, estivesse com seus membros nomeados e em funcionamento. Contudo, as discussões até agora ficaram centradas praticamente só na indefinição quanto à data de entrada em vigor da lei. Vencida esta etapa e publicado o decreto regulamentador da ANPD, as atenções voltam-se a ela, em especial à pessoa de seu diretor-presidente, uma vez que o decreto 10.474 entrará em vigor juntamente com a nomeação de quem ocupará tal cargo (art. 6º). Trata-se de uma corrida contra o tempo, na medida em que a pouca tradição de preocupação dos brasileiros com seus dados pessoais aumenta a responsabilidade das funções educativas da ANPD, autoridade que irá elaborar as diretrizes da futura Política Nacional de Proteção de Dados Pessoais e da Privacidade. Empresas e pessoas físicas ainda possuem muitas dúvidas e somente com a definição clara das regras do jogo é que se terá segurança jurídica para saber o que deve ser feito e de que maneira. Traçando uma analogia, as orientações, regras de usos e padrões técnicos definidos pela ANPD funcionarão como a jurisprudência dos tribunais superiores, servindo de bússola ao intérprete sobre como se guiar pelas rotas da proteção de dados. Como já tivemos a oportunidade de expor em algumas de nossas colunas, embora a LGPD preveja severas sanções administrativas, como multas de até 2% do faturamento da empresa ou do conglomerado no Brasil no último exercício até a proibição total das atividades relacionadas a tratamento de dados (arts. 52 a 54 da LGPD), a função de orientação da Autoridade Nacional - pelo menos até que as novas regras já estejam minimamente consolidadas entre nós - é crucial neste momento, lembrando que, nos termos do art. 65, I-A, da LGPD, as sanções administrativas somente entrarão em vigor em 1o de agosto de 2021. Mesmo no que diz respeito à imposição de sanções, os processos administrativos também estão sujeitos a contraditório e ampla defesa por parte do administrado, sendo certo que compete à ANPD a definição - após consulta pública - das metodologias que serão utilizadas para cálculo do valor-base da multa, sendo certo que o decreto prevê claramente a necessidade de publicação prévia, formas e dosimetrias "objetivas" e "fundamentação detalhada" de todos os elementos e critérios para definição de uma sanção que pode atingir o expressivo valor de R$ 50 milhões por infração! Outra função de grande relevância prevista no novo decreto é a edição de regulamentos e procedimentos sobres os relatórios de impacto à proteção de dados pessoais4 nos casos em que exista "alto risco à garantia dos princípios gerais" previstos na LGPD (art. 2º, XIII, do anexo I do decreto 10.474). O relatório de impacto, de responsabilidade do controlador, deve servir como base para o cumprimento dos princípios legais, com o propósito de mitigar riscos e com uma visão completa de todo o ciclo de vida dos dados, de modo que o controlador conheça previamente os principais fatores do uso de dados que poderão impactar as liberdades civis e os direitos fundamentais dos titulares dos dados5. Não menos importante, o decreto repete a previsão da LGPD quanto à necessidade de articulação da ANPD com outros órgãos e entidades que possuem competências sancionatórias e normativas "afetas ao tema de proteção de dados pessoais"6. Trata-se de uma das funções mais importantes reservadas à ANPD enquanto órgão central de interpretação da lei e do estabelecimento das diretrizes para sua implementação, na medida em que, sem tal articulação, haverá risco real de aplicação cumulativa de mais de uma punição administrativa decorrente de um único fato (bis in idem), especialmente em setores econômicos muito regulados, como os de saúde, transporte aéreo e, de forma geral, aqueles sujeitos à proteção consumerista. Não há tempo a perder. Quanto antes estiverem em pleno funcionamento o Conselho Diretor (cinco membros nomeados pelo presidente da República após aprovação do Senado) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (órgão consultivo), mais cedo serão definidas as questões essenciais para a proteção dos dados pessoais no Brasil.  Comemoração Iniciamos estas Impressões Digitais em Migalhas em setembro de 2019. De lá para cá, foram 24 colunas debatendo assuntos ligados a Direito Digital, Lei Geral de Proteção de Dados e Inteligência Artificial. Ao iniciar o segundo ano do projeto, não podemos deixar de agradecer toda a equipe migalheira, bem como a nossos leitores e leitoras. Este novo ano, já com a LGPD em vigor, promete novas e importantes discussões. #Avante __________ 1 Conforme previa o vetado art. 55 do PL 53/2018. 2 Previsões dos arts. 37, XIX e 61, § 1º, II, "e", ambos da Constituição Federal, nos termos das razões de veto. 3 Com previsão genérica da possibilidade de, em até dois anos da entrada em vigor da estrutura regimental da ANPD, o Executivo transformá-la em autarquia, conforme art. 55-A, §§ 1º e 2º, da LGPD. 4 De acordo com o art. 5º, XVII da LGPD, o relatório de impacto à proteção de dados pessoais é a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco". 5 VAINZOF, Rony. In OPICE BLUM, Renato e MALDONADO, Viviane Nóbrega (coord.). LGPD - Lei Geral de Proteção de Dados Comentada, 2. ed. São Paulo: RT, 2019, p. 126/7. 6 Previsão do art. 55-K, parágrafo único da LGPD e do art. 2º, § 8º, do anexo I do decreto 10.474.
Na sessão da última quarta-feira, 26/8/2020, o Senado Federal acatou questão de ordem apresentada pelo senador Eduardo Braga (MDB/AM) e declarou prejudicado o artigo 4o da Medida Provisória 959/20, que pretendia alterar o inciso II do artigo 65 da lei 13.709/2018 (Lei Geral de Proteção de Dados, "LGPD") e adiar sua vigência para 31/12/2020 - ressalvadas as sanções, que seguem postergadas para 1/8/2021, nos termos do inciso I-A do mesmo artigo 65, incluído pela lei 14.010/2020. Conforme esclarecido pelo presidente do Senado, Davi Alcolumbre (DEM/AP), a Casa já havia deliberado sobre o assunto este ano no âmbito do PL 1.179/2020 - transformado justamente na lei 14.010/2020 -, sendo que o artigo 334, II, do Regimento Interno do Senado estabelece que será considerada prejudicada matéria dependente de deliberação "em virtude de seu prejulgamento pelo Plenário em outra deliberação". Com isso, uma vez sancionada pelo presidente da República a lei de conversão da MP 959/20 - sanção está que pode ocorrer em até 15 dias úteis do recebimento do Projeto de Lei de Conversão na Casa Civil - a LGPD entrará em vigor. Nesse meio tempo, nos termos do art. 62, § 12, da Constituição Federal, valem as disposições da MP 959/20. Superada a celeuma sobre a vigência da LGPD, as preocupações se voltam novamente - agora com rigor ainda maior - para a Agência Nacional de Proteção de Dados ("ANPD"), criada pela MP 869/2018, mas que até o momento praticamente não saiu do papel. A ANPD tem como funções, entre outras, a elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a fiscalização e aplicação das sanções ligadas à LGPD e a edição de regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, configurando-se como peça-chave para que a LGPD tenha efetividade. Não obstante a LGPD trace as regras gerais acerca da proteção de dados pessoais, diversos pontos são delegados à regulamentação da ANPD, tais como a definição: (i) de formas de publicidade das operações de tratamento de dados (artigo 23, § 1o); (ii) de regras para o uso compartilhado de dados pessoais (artigo 30); (iii) dos organismos de certificação quanto ao cumprimento dos requisitos autorizadores da transferência internacional de dados (artigo 35, § 3o); (iv) das situações que exigiram a elaboração de relatórios de impacto referentes a operações de tratamento de dados (artigo 38); (v) dos padrões de interoperabilidade para fins de portabilidade (artigo 40); (vi) da necessidade de indicação e atribuições do encarregado (artigo 41, § 3o); (vii) de padrões técnicos mínimos para os sistemas de proteção de dados (artigo 46, § 1o); e (viii) de prazos para a comunicação de incidentes de segurança (artigo 48, § 1o), entre tantos outros. Portanto, a ausência da ANPD, com a LGPD prestes a entrar em vigor, traz enorme insegurança jurídica para a interpretação e aplicação da lei, justamente num momento em que as empresas tentam entender melhor a norma e a ela se adequarem, lembrando que, diferentemente de outros países - como os que integram a Comunidade Europeia - o Brasil não possui legislação anterior específica atinente à proteção de dados pessoais que possa servir de parâmetro para ajudar na adaptação. A implementação de processos de adequação demanda uma quantidade significativa de tempo e dinheiro, sendo absolutamente temerário exigir das empresas que estejam aderentes à LGPD sem assegurar meios para que saibam exatamente o que e como deve ser feito. Tome-se como exemplo a obrigação de indicação de um encarregado, que, nos termos do artigo 41, § 3o, da LGPD, pode vir a ser dispensada pela ANPD, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Vale dizer, uma determinada empresa pode investir na contratação e treinamento de um encarregado e, pouco depois, ver a ANPD liberando-a da obrigação de indicação desse profissional. Outra situação emblemática é a definição dos sistemas de proteção de dados a serem utilizados. Empresas correm o risco de investir valores significativos na aquisição e implantação de sistemas que podem não preencher os padrões técnicos mínimos que venham a ser exigidos pela ANPD, nos termos do artigo 46, § 1o, da LGPD. Enfim, poderíamos trazer aqui diversos exemplos de medidas que, em breve, serão potencialmente obrigatórias, mas que suscitam dúvidas quanto à forma ou extensão em que devem ser cumpridas, trazendo insegurança jurídica para a vigência da LGPD. De outro lado, a ausência da atividade fiscalizatória da ANPD - ainda que, num primeiro momento, se dê a título informativo/didático, tendo em vista o adiamento das sanções para 1/8/2021 - dá maior margem à violação das normas de proteção de dados pessoais, colocando em xeque os direitos dos titulares, assegurados pela própria LGPD. Ciente desse cenário, o executivo federal agiu rapidamente e editou o decreto 10.474/2020, aprovando a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da ANPD. O decreto entrará em vigor na data de publicação da nomeação do diretor-presidente da ANPD no Diário Oficial da União. Nos termos da LGPD, o Diretor-Presidente da ANPD, assim como os demais membros do Conselho Diretor, devem ser escolhidos pelo presidente da República e nomeados após a aprovação pelo Senado Federal. Esperamos que agora o Governo siga promovendo a constituição de fato da ANPD, de modo a que esta passe a exercer as suas atividades o mais breve possível, garantindo a plena eficácia e aplicabilidade da Lei.
Na maior parte dos escritórios de advocacia brasileiros, estamos há aproximadamente cinco meses trabalhando em home office. O que antes era tabu para muitos ou a exceção permitida em esquema de rodízio e apenas um dia da semana - e olhe lá - virou regra, aplicável a toda equipe. Faltou preparação prévia, é certo, mas o fato é que a advocacia foi uma das profissões que melhor se adaptou à necessidade de isolamento social. Assim como já havia ocorrido com inúmeras outras profissões, nossa rotina migrou do ambiente físico para o virtual e, como as disputas não param, logo estávamos realizando o que parecia impossível: despachos, audiências e até sustentações orais por videoconferência. Aprender a operar1 ferramentas como o Zoom ou o Teams passou a ser mais importante que ter prática com editores de texto e planilhas, atingindo o mesmo grau de relevância para a profissão que o domínio do processo eletrônico. Para entender como foi possível chegarmos até aqui no que diz respeito à tecnologia, é necessário retornar uma década, para os anos de 2008 a 2010, quando, sob a presidência do ministro Cesar Asfor Rocha, o Superior Tribunal de Justiça (STJ) tomou uma iniciativa pioneira que, tempos depois, foi seguida pelos demais tribunais: a digitalização dos processos, com abandono paulatino dos autos físicos para os eletrônicos2. Mas a digitalização, que permitiu a consulta aos autos e o protocolo de petições à distância, foi apenas o primeiro passo. Pouco tempo depois, por exemplo, os órgãos julgadores do STJ passaram a adotar os julgamentos eletrônicos, trazendo maior rapidez às sessões, além do ganho em eficiência, ao permitir que os ministros - e o advogado que ocupasse a tribuna - consultassem online precedentes e, no caso dos julgadores, acompanhassem a leitura do voto do relator. Desde então, os avanços foram muitos, tendo-se a lamentar apenas o fato de os diferentes sistemas de processos eletrônicos em uso não conversarem entre si. Nesse sentido, embora não seja nada fácil a situação dos advogados, que precisam aprender os caminhos e nuances de sistemas eletrônicos muito diferentes entre si, os esforços do Conselho Nacional de Justiça para que todos os tribunais passassem a utilizar um único sistema foram extemporâneos, na medida em que as cortes já haviam investido tempo e dinheiro em determinado sistema para depois abandoná-lo. Chegamos então a 2020 e às mudanças ocorridas por conta da necessidade de adaptação do mundo jurídico ao isolamento social. Mas, como bem ponderado recentemente pelo criminalista Alberto Zacharias Toron, se é verdade que - salvo raríssimas exceções3 - não se utilizava a videoconferência para despachos com magistrados, até pelas dificuldades técnicas e a pouca familiaridade com a ferramenta, por que nunca antes se pensou no uso do telefone para esta função?4 Com efeito, é dispendioso e até mesmo ilógico o deslocamento a Brasília, que em geral consome um dia inteiro entre ida e volta, para um despacho que não costuma ultrapassar 15 ou 20 minutos. Neste sentido, o momento especial em que vivemos deve ser utilizado não apenas para que as adaptações já consolidadas permaneçam em uso após o término da quarentena. A continuidade da realização de despachos e julgamentos por videoconferência já representará um ganho em efetividade do trâmite processual, mas é possível avançar muito mais. Num despacho presencial, os advogados levam memoriais escritos para entregar ao julgador. Por que não se permitir que se exiba uma apresentação - em compartilhamento de tela - durante o despacho virtual? Essa apresentação não precisa ficar restrita a um texto, podendo ser utilizado um PowerPoint, um vídeo técnico ou até mesmo acessar um determinado website sobre o qual se pretenda produzir determinada prova. Semelhante ferramenta pode ser facilmente utilizada também nos julgamentos. Não há mais motivos para que não se permita utilizar a tecnologia durante a sustentação oral, respeitando-se o tempo destinado a ela e ficando sob a responsabilidade do advogado a qualidade do material a ser exibido durante o tempo de sua intervenção. A exibição do documento sob o qual reside a controvérsia, perante o órgão colegiado, facilita a compreensão de todos, trazendo ganho não apenas ao advogado que utiliza a ferramenta, mas também ao Judiciário e, em última análise, à sociedade, caso se chegue a decisões mais justas. Outro ponto em que se pode progredir - e muito - é na comunicação dos atos processuais. O Código de Processo Civil já traz algumas regras sobre a comunicação eletrônica5, mas a quarentena possibilitou o aprimoramento de novas facilidades, algumas das quais revestidas de grande informalidade, como o uso de aplicativos de mensagens. Desde que respeitado devido processo legal e asseguradas as garantias processuais, não há porque, passado este período, se retornar às comunicações físicas, em especial as cartas precatórias e rogatórias, cujos procedimentos burocráticos acabam por retardar o andamento processual. O uso das modalidades não eletrônicas pode ser reservado para determinadas situações em que a internet não possa substituí-la. Em conclusão, o período de pandemia fez com que o mundo jurídico rapidamente se adaptasse a novas rotinas. Agora, é o momento de aproveitar a tecnologia para ir além, para que as mudanças não se limitem à mera substituição do que antes era realizado presencialmente, mas contribuam com o aprimoramento da atividade jurisdicional. __________ 1 O uso equivocado já mostrou o enorme risco à reputação e imagem dos operadores de direito. Exemplos de maus comportamentos em sessões de julgamento aparecem diariamente na imprensa e nas redes sociais, a ponto de já ter sido afirmado que o uso correto dos botões de ligar/desligar a câmera e o microfone ser tão importante quanto a mensagem a ser transmitida. 2 É certo que antes do STJ já havia outras experiências com processos eletrônicos, mas a Corte Superior merece o reconhecimento porque foi a partir do incentivo do STJ - que passou a digitalizar todos os novos recursos e devolver os autos físicos aos tribunais de origem - que os tribunais estaduais e regionais viram que este era um caminho sem volta. 3 A ministra Nancy Andrighi, também do STJ, há anos despacha por videoconferência, via Skype. 4 Webinar Migalhas "Novas Tecnologias e o Judiciário", ocorrido em 06/08/2020. 5 Citação por meio eletrônico, "conforme regulado por em lei" (art. 246, V e §§ 1º e 2º), expedição de cartas eletrônicas (arts. 263 e 264) e intimação do advogado da parte contrária por correio eletrônico (art. 269, § 1º), todos do CPC.
Em nossa última coluna, trouxemos reflexões sobre as aplicabilidades da inteligência artificial (IA) ao meio jurídico - leitura e triagem de publicações, pesquisa de precedentes, elaboração de minutas de petições e sentenças, entre outras -, tendo apontado que, não obstante ainda estejamos longe de imaginar a substituição das atividades preponderantemente intelectuais por robôs, essa tecnologia já tem sido de grande valia ao trabalho dos chamados operadores do direito. Embora essa realidade de fato ainda esteja um tanto quanto distante, não há como ignorar que a IA já mostra sinais de que, assim como praticamente todo o mercado de trabalho, a nossa área irá passar por mudanças bastante sensíveis. A história nos mostra que o desenvolvimento tecnológico - aliado, é verdade, a outros fatores como urbanização e escassez de recursos - traz inovações disruptivas que provocam deslocamentos de grandes massas de mão de obra. Datilógrafos, telefonistas e vendedores de enciclopédias são apenas alguns exemplos de profissões que deixaram de existir, vindo, pelo menos até aqui, a serem substituídas por outras que acabam incorporando a mão de obra excedente e mantendo os níveis de empregabilidade. Entretanto, apesar desse movimento ser cíclico, o que se verifica mais recentemente é que as novas carreiras não têm sido capazes de absorver toda essa mão de obra excedente. Um estudo da PwC1 indica que, até 2030, países mais desenvolvidos como Japão, Reino Unido, Alemanha e Estados Unidos terão até um terço dos seus postos de trabalho ocupados por robôs. Além disso, conquanto no passado as profissões comprometidas fossem, via de regra, de baixa qualificação, a tendência atual é que mesmo carreiras que demandam conhecimento técnico sejam afetadas pela IA, dada a sua capacidade de perceber variáveis, tomar decisões e resolver problemas, aproximando-se do raciocínio e da inteligência humana. Consoante avaliação feita pelos professores Arthur Igreja e Allan Costa2 para reportagem da revista Exame3, profissões de elevada qualificação, como piloto de avião, anestesista e engenheiro de software, devem acabar até 2030. Embora não seja propriamente uma profissão, a lista dos professores inclui o estagiário em direito/assistente jurídico, devido ao fato de que tarefas repetitivas de acompanhamento de processos e pesquisas jurisprudenciais já podem ser realizadas por sistemas baseados em IA, como o Watson da IBM, com eficiência e precisão maiores do que quando executadas por seres humanos. De acordo com os professores "advogados que executam atividades que dependem de interpretação e deduções subjetivas continuarão sendo cada vez mais valiosos, mas assistentes jurídicos, principalmente em início de carreira, que realizam as tarefas repetitivas inerentes à atividade jurídica, fatalmente, serão substituídos por soluções de inteligência artificial". Com efeito, o momento atual já mostra uma redução sensível na contratação de estagiários e assistentes jurídicos por escritórios, empresas e mesmo repartições públicas, claramente fruto da diminuição dos serviços a serem por eles executados: (i) acompanhamentos de processos, obtenção de cópias e protocolos de petições, que antes demandavam diligências aos fóruns, hoje são realizados à distância pela via digital; (ii) pesquisas de doutrina e jurisprudência, bem como as denominadas due diligences (processos de busca e análise de contingências para avaliação dos riscos inerentes a determinada operação) são agilizadas e otimizadas por programas criados especificamente para esse fim; (iii) triagem de publicações, controle de prazos, preenchimento de guias e até mesmo a elaboração e protocolo de petições padrão - como juntada de mandato e oposição ao julgamento virtual - já podem ser feitas de maneira integrada e automática por determinados sistemas de gestão jurídica. Em suma, é difícil encontrar um trabalho típico de estagiário/assistente jurídico que não tenha sido substituído ou ao menos facilitado pela IA. Ademais, a oferta por programas e sistemas dessa natureza cresce exponencialmente, tornando o preço de tais produtos cada vez mais acessível, permitindo que até mesmo pequenos escritórios e empresas se beneficiem de toda essa tecnologia substitutiva da força de trabalho humano. Não bastasse, a Covid-19 trouxe - ou pelo menos acelerou a vinda de - mais um elemento para essa equação, consistente na virtualização de despachos, audiências e entrega de memoriais, trabalhos que, a rigor, não afetam apenas os estagiários e advogados mais jovens, mas todos aqueles que militam na área contenciosa. Ainda não se sabe se, passada a pandemia, essa nova dinâmica irá se perenizar, mas as comodidades e economias a ela inerentes levam a crer que boa parte dessas atividades seguirá sendo praticada pela via eletrônica, ou seja, mais uma rotina que reduz o trabalho dos estudantes e recém-formados - na entrega de memoriais nos gabinetes, acompanhamento de julgamentos e realização de despachos mais simples. Malgrado todas essas mudanças, a opinião quase unânime é de que as profissões ligadas ao Direito seguirão existindo, já que os trabalhos mais intelectuais, como a redação e interpretação de grandes contratos, a elaboração de peças processuais complexas e a tomada de decisões subjetivas continuarão sendo atividades eminentemente humanas. Nesse ponto, porém, surge uma questão que merece ponderação: como preparar as novas gerações de bacharéis em Direito para realizar esses trabalhos com excelência? Até hoje, boa parte da experiência desses profissionais não é adquirida nos bancos das faculdades, mas nos estágios e nos primeiros anos de exercício da advocacia. A famigerada "barriga no balcão" sempre foi fundamental para familiarização com os detalhes dos diversos ritos processuais e conhecimento dos meandros dos tribunais, assim como a assessoria a magistrados, de extrema valia para os que desejam prestar concursos públicos e o estágio em empresas, indispensável a quem quer agregar uma visão econômico e comercial do direito, para poder ocupar cargos de gerência e diretoria. Enfim, grande parcela do aprendizado e, principalmente, do amadurecimento profissional, é fruto desses trabalhos, de modo que a sua extinção tende a provocar sérias deficiências na formação e aperfeiçoamento dessas pessoas. Para evitar que isso ocorra, escritórios, empresas e órgãos do Poder Público devem agir de maneira consciente e, na medida do possível, manter essa mão de obra, ainda que com menos demanda de trabalho, investindo em treinamento para que se qualifiquem. O avanço da tecnologia no ramo do direito é um caminho sem volta. Por isso, não podemos rejeitar essa realidade, mas nos adaptarmos a ela. E, como sempre, aqueles que se aperceberem disso primeiro, desenvolvendo novos modelos de negócio, certamente sairão na frente. Será preciso dar a esses profissionais novas competências. Se, de um lado, atividades como as acima mencionadas passarão a ser realizados por máquinas, caberá a nós, de outro, a partir de um olhar integrado de mercado e uma dose de criatividade, pensar em meios para assegurar que as novas gerações de advogados desenvolvam habilidades que agreguem valor aos serviços por eles prestados, principalmente através da interdisciplinaridade. Os novos bacharéis em direito não poderão se limitar a desenvolver conhecimentos técnicos na sua área, deverão busca uma formação mais abrangente, em linha com as novas demandas de mercado, somando ao seu currículo outras aptidões. Aliás, esse movimento não é inédito. Não é raro encontrar advogados que buscam formações complementares - administração de empresas, contabilidade, engenharia e até medicina -, pensando na possibilidade de prestarem serviços mais especializados. A diferença é que, doravante, abre-se um novo horizonte, com a busca de capacitação nas áreas de tecnologia e informática, como conhecimento em programação de computador. Advogados programadores terão oportunidades destacadas de emprego em diversos novos setores, como lawtechs e empresas que trabalham com blockchain. Esse é apenas um exemplo de novas competências que podem manter a vantagem competitiva do advogado frente aos robôs. Afinal, se é verdade, como dito, que profissões tradicionais como medicina, engenharia e o próprio direito não serão extintas com o advento da IA, é igualmente verdade que tais profissões serão exercidas de maneiras substancialmente diferentes daquelas existentes na atualidade, cabendo a nós estarmos preparados para tanto. __________ 1 Workforce of the future. 2 Fundadores da plataforma digital AAA "Triple A", focada em disrupção em negócios, carreiras e economia transformadora. 3 Estas profissões podem acabar até 2030 (ao menos para os humanos).
Quando se fala no uso de Inteligência Artificial (IA) nos escritórios de advocacia e nos tribunais, a primeira reação é quase sempre de repúdio. "O computador nunca vai substituir nossa capacidade de pensamento e o trabalho intelectual envolvido na criação" bradam alguns, enquanto outros não se esquecem de ressaltar que a Justiça precisa ser humana, não pode ser tratada (só) por máquinas. Ambos estão corretos. Isso porém não afasta as inúmeras possibilidades de utilização das ferramentas de IA no dia a dia das atividades jurídicas, sobretudo em funções em que a tecnologia pode prestar um grande favor ao operador do Direito. E elas não são poucas, como veremos. A primeira atividade em que a utilização da Inteligência Artificial pode ser muito útil é na leitura e triagem de publicações. Os advogados mais experientes vão se recordar do tempo em que um dos serviços mais importantes do escritório era o recebimento dos chamados recortes dos Diários Oficiais com as publicações de decisões e despachos de seus processos. Para minimizar os riscos, muitos ainda colocavam seus estagiários para conferir na versão impressa do jornal se o serviço contratado não tinha deixado escapar nenhuma publicação. Se é verdade que há muitos anos a maioria dos serviços já migrou para a versão digital de leitura e encaminhamento das publicações por e-mail, além do acompanhamento nos próprios sites dos tribunais, o fato é que a IA, com seus mecanismos de machine learning - especialmente para afastar os falsos positivos - seria muito bem-vinda. A pesquisa de precedentes jurisprudenciais é outra atividade que passou por uma brutal modernização nas últimas duas ou três décadas. Quando o escritório não possuía aquelas imensas coleções - dentre as quais as mais famosas, Revista dos Tribunais (RT) e Revista Trimestral de Jurisprudência do Supremo Tribunal Federal (RTJ) - a saída era correr à biblioteca do tribunal ou de alguma entidade como a Associação dos Advogados de São Paulo (AASP) e debruçar-se sobre os livros na expectativa de encontrar um acórdão que se amoldasse à tese defendida. Atualmente, com paciência, encontra-se tudo nos sites dos tribunais, mas quem tem a oportunidade de utilizar um dos serviços de pesquisa incrementada pela IA possui o ganho competitivo de poder elaborar um banco de decisões de um julgador específico e, assim, traçar seu perfil com maior facilidade, ou mesmo saber quem são os doutrinadores mais utilizados para fundamentar suas decisões. O tema torna-se mais polêmico quando se discute a utilização de minutas de petições elaboradas por programas que utilizam Inteligência Artificial. Poderia um computador desempenhar tal função? A resposta é positiva, em alguns casos. Na chamada advocacia de escala, por exemplo, em que os casos se multiplicam às centenas ou aos milhares e as questões - tanto as jurídicas, quanto as factuais - são repetitivas, a IA tem grande utilidade na definição das defesas processuais e de mérito a serem apresentadas. Mas não é só, um bom estudo do entendimento das varas ou juizados especiais em que as ações ocorrem com maior frequência permite decidir com precisão se é ou não economicamente viável enfrentar a discussão até as instâncias superiores ou se a causa comporta acordo e em que bases1. Petições simples, como de juntada de documentos ou oposição ao julgamento virtual, também comportam o uso da IA nos escritórios de advocacia, podendo, inclusive, serem vinculadas ao sistema de leitura e triagem das publicações para que gerem automaticamente as respectivas minutas2. No Judiciário, o uso da Inteligência Artificial também não é novidade. Boa parte dos tribunais já utiliza algum sistema de IA, contando inclusive com o apoio e incentivo do Conselho Nacional de Justiça (CNJ), que em 2019 criou um laboratório de inovação para o processo eletrônico3. Embora ainda apresente alguns problemas e dificuldades, é visível o avanço dos sistemas de peticionamento eletrônico dos tribunais. A título de exemplo, a nova versão do e-SAJ do TJ de São Paulo identifica em um único local as últimas publicações feitas em nome do advogado e sugere, no momento do protocolo, se aquela petição está ligada à resposta ao despacho anterior. Tal qual na atividade advocatícia, a principal controvérsia reside na possiblidade de os sistemas de IA produzirem decisões no lugar dos julgadores. Poderiam eles substituir juízes, desembargadores e ministros? Dois dos sistemas mais avançados são o Victor, do Supremo Tribunal Federal e o Sócrates, do Superior Tribunal de Justiça. Com base nos temas já pacificados em sede de repercussão geral e de recursos repetitivos, tais sistemas conseguem identificar recursos extraordinários e especiais que se enquadrariam na orientação fixada por STF e STJ, facilitando a triagem dos gabinetes e a elaboração de decisões uniformes. À primeira vista, as vantagens são nítidas: celeridade processual, diminuição do acervo dos tribunais e uma possível - embora não comprovada - maior previsibilidade nas decisões judiciais, todas em consonância com os ditames do Código de Processo Civil e da Constituição Federal4. Mas há uma preocupação muito importante, externada com clareza pela ministra Nancy Andrighi, do STJ: "se usada a inteligência artificial, cujo trabalho é analisar um universo com centenas de julgados idênticos aplicando uma tese, a máquina iria separar a tese consolidada no tribunal (...) e que deve ser aplicada, com base nos precedentes", mas faria isso sem se atentar às peculiaridades do caso em questão. "É nesse momento que deve surgir o olhar atento e dedicado do juiz", concluiu5. Com efeito, a rápida identificação dos temas por meio da leitura automatizada das razões recursais pode direcionar o recurso a uma prateleira virtual de processos aguardando uma decisão já aplicada a inúmeros outros casos que não seja válida para aquele recurso específico ou, pelo menos, não seja a melhor decisão. E quem faria essa distinção? É aqui que entra o que a ministra Nancy Andrighi denominou olhar atento e dedicado do juiz, a separar situações idênticas das que devem ser decididas de maneira distinta, pois o que a princípio se enquadraria numa hipótese, pode ter peculiaridades não perceptíveis pela análise fria das máquinas e que justifiquem uma decisão diversa. Neste ponto, a IA seria um remédio que atacaria os sintomas, mas não a causa da doença. Não é possível que nossos tribunais superiores continuem a receber número exacerbado de recursos, funcionando como se fossem verdadeiro "3º grau de jurisdição". A função do Supremo Tribunal Federal e do Superior Tribunal de Justiça é a de pacificar os grandes temas constitucionais e legais e firmar uma orientação segura aos tribunais de justiça e regionais federais. Para tanto, a IA seria mero paliativo, pois a solução passa pela criação de filtros de admissibilidade que permitam aos ministros a escolha dos temas a serem decididos, como a própria repercussão geral do recurso extraordinário e a relevância da questão federal para o recurso especial, esta última ainda em debate no Congresso Nacional. Em conclusão, embora ainda se esteja longe de imaginar a substituição das funções jurídicas mais tradicionais por robôs, em especial das que envolvem a atividade intelectual, a IA pode ser de grande valia e auxílio ao trabalho de juízes e advogados, desde que esses não se esqueçam dos limites éticos do uso da tecnologia e de sua responsabilidade enquanto responsáveis finais pelas peças e decisões. __________ 1 A análise das decisões pode inclusive sugerir que a empresa evite uma nova demanda, ofertando uma solução extrajudicial que desestimule o consumidor - normalmente, quando se fala em advocacia de escala, se está diante de questões consumeristas - a procurar o Judiciário. 2 Há um outro aspecto relevante a ser avaliado, que é a potencial eliminação de mão-de-obra decorrente do maior uso das ferramentas de IA. Este tema, porém, será abordado numa próxima coluna. 3 Clique aqui (acesso em 13/07/2020). 4 Artigos 4º, 6º e 926 do CPC e 5º, LXXVIII, da CF. 5 Palestra promovida em outubro de 2019 pelo Instituto dos Advogados de São Paulo (IASP) e que pode ser acessada aqui (acesso em 16/07/2020).
Em 23/6/2020, o Banco Central editou a Circular no 4.032, dispondo sobre a estrutura inicial responsável pela governança do Sistema Financeiro Aberto, mais comumente conhecido como Open Banking, cuja implementação no país já havia sido prevista na Circular Conjunta no 1, de 4/5/2020, do Banco Central e do Conselho Monetário Nacional. A operacionalização de sistemas de Open Banking vem sendo discutida por diversos países, com destaque para o Reino Unido, que, em janeiro de 2018, com base na Diretiva de Serviços de Pagamento da União Europeia, inaugurou o Open Banking Limited, uma organização sem fins lucrativos criada especialmente para viabilizar o funcionamento do Open Banking. Esse sistema, que parte da premissa de que os dados bancários pertencem ao cliente e não às instituições financeiras, consiste em uma espécie de plataforma que permite a integração dos chamados Application Programming Interfaces (as interfaces de programação de aplicativos ou APIs, em sua sigla inglesa). As APIs podem ser entendidas como um conjunto de protocolos que garante a interoperabilidade entre dois ou mais programas. As APIs podem ser abertas ou fechadas. Empresas de tecnologia normalmente têm APIs abertas, como é o caso do Facebook, serviço de mídia e rede social virtual que pode ser integrado a qualquer site, por exemplo, para fins de login, ou seja, desde que haja a autorização do usuário, os dados que ele registrou no Facebook podem ser utilizados para realizar o cadastro em outros sites e aplicativos. O Open Banking propõe que todo o mercado financeiro tenha APIs abertas. Resumindo, o Open Banking propiciará um certo grau de comunicação entre as bases de dados das diversas instituições financeiras, facilitando a portabilidade, aumentando a transparência e estimulando a concorrência. Bancos, financeiras, plataformas de pagamento online, entre tantos outros, passarão a ter serviços integrados. Isso permite, de um lado, que uma série de novos produtos e serviços surjam para competir com aqueles que essas instituições oferecem e, de outro, que o cliente migre de uma instituição para outra ou mesmo que contrate múltiplos serviços perante instituições diferentes. Cria-se um ambiente de efetiva livre concorrência no mercado financeiro, "empoderando" o cliente, que se torna dono de seus dados e os utiliza da forma que lhe for mais conveniente. Nas palavras do diretor de Regulação do Banco Central, Otávio Ribeiro Damaso, a implementação do Open Banking no Brasil "constitui um marco notório da regulamentação do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro destinado a incentivar a inovação, a fomentar a concorrência e a aumentar a eficiência no âmbito desses sistemas, assim como a promover a cidadania financeira, em medida prioritária deste Banco Central, circunscrita na Agenda BC#, na dimensão Competitividade"1. Vale ressalvar que o Open Banking não pressupõe que toda a tecnologia das instituições seja compartilhada, muito menos que os dados dos clientes fiquem disponíveis para todo o mercado. Apenas uma camada de tecnologia será padronizada e as informações serão acessadas por uma ou outra instituição somente na medida em que haja a autorização do titular. O Open Banking trará, de uma forma geral, uma série de benefícios que tendem a ter um efeito disruptivo no mercado financeiro, tais como: (i) mais agilidade e transparência, pondo fim à burocracia interna atualmente existente nas instituições financeiras; (ii) maior liberdade e autonomia, permitindo que o cliente tenha todos os seus dados à disposição para contratar com múltiplas instituições, conjunta ou separadamente; (iii) menos custos, já que a integração do sistema permite a eliminação de intermediários como, por exemplo, operadoras de cartão de crédito; (iv) mais concorrência, pois rompe a barreira de entrada para novos produtos e serviços; e (v) novas oportunidades de negócio, devido ao surgimento de novas cadeias de serviço e ao aumento do fluxo de dados sobre os clientes. Por outro lado, o Open Banking exige extremo cuidado com a proteção de dados e a segurança da informação. Além do desenvolvimento de ferramentas cada vez mais sofisticadas para evitar o vazamento e roubo de dados, será fundamental criar normas e regulamentos para organizar o funcionamento do sistema, coibindo a utilização abusiva e/ou desautorizada das informações dos clientes. É justamente nesse sentido que caminha a Circular 4.032/2020 do Banco Central, cuja estrutura inicial de governança deverá ser formalizada até 15/7/2020 por meio de contrato a ser firmado entre associações representativas de instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central, contendo os padrões tecnológicos, procedimentos operacionais e outros aspectos necessários à implementação do Open Banking. Essa estrutura, que visa a garantir a representatividade e a pluralidade de instituições e segmentos participantes, o acesso não discriminatório dessas instituições, a mitigação de conflitos de interesse e a sustentabilidade do Open Banking, irá definir o escopo de dados, serviços e participantes, os requisitos para compartilhamento, as regras de responsabilidade das instituições no compartilhamento e o cronograma de implementação. A previsão do Banco Central é de que a implementação do Open Banking brasileiro tenha início em novembro de 2020 e seja concluído até outubro de 2021. A tendência é tenhamos um modelo mais amplo do que aquele implementado no Reino Unido, algo mais próximo do que vem sendo utilizado na União Europeia, em que todas as instituições reguladas pelo Banco Central são obrigadas a adotar a plataforma de Open Banking, disponibilizando APIs abertas, de modo a ampliar a oferta de serviços ao cliente, em conjunto com outras indústrias. É aguardar para ver. Mas, independentemente do padrão adotado, a expectativa é de que os produtos e serviços disponíveis no mercado financeiro passem por enormes mudanças, rompendo com os modelos de negócio atualmente existentes. __________ 1 Exposição de motivos da Circular 4.032/2020 do Banco Central. Saiba mais sobre a Agenda BC# em (acesso em 2/07/2020).
O combate às fake news é um dos temas mais comentados nas últimas semanas. Ele está presente nas discussões da Comissão Parlamentar Mista de Inquérito instaurada no Congresso Nacional; é objeto de importante inquérito policial em trâmite perante o Supremo Tribunal Federal, sob a relatoria do ministro Alexandre de Moraes; é um dos fundamentos de processo que tramita no Tribunal Superior Eleitoral cujo pedido é a cassação da chapa vitoriosa na última eleição presidencial; e consta de diversos projetos de lei nas duas Casas do Congresso. Em meio à confusão legislativa, o artigo desta semana destaca o controverso tema da necessidade de identificação dos internautas. Em nossa última coluna, foram abordadas falhas no PL 2.630/2020, que está no Senado Federal1 e é a proposição de andamento mais célere, quase tendo sido votada pelo Plenário daquela Casa no início de junho (foi retirado de pauta na manhã do dia da votação). Contudo, tramitando paralelamente a ele, temos: (i) na Câmara dos Deputados, o PL 3.063/20202, este de autoria dos deputados Felipe Rigoni (PSB/ES) e Tabata Amaral (PDT/SP); e (ii) de volta ao Senado, o substitutivo ao PL 2.630, apresentado pelo senador Antônio Anastasia (PSD/MG). Um dos problemas verificado para que se possa conferir maior transparência ao que é publicado nas redes sociais e transmitido em serviços de mensagens instantâneas tais como WhatsApp reside na identificação dos usuários responsáveis pela propagação das fake news. Assim, a autodenominada "Lei Brasileira de Liberdade, Responsabilidade e Transparência Digital na Internet" busca reprimir as chamadas contas inautênticas e regulamentar as contas automatizadas3 que não se identifiquem como tal perante os provedores de aplicações. O grande obstáculo é que, ainda que procurando não interferir em manifestações artísticas, intelectuais, humorísticas e literárias - que podem livremente se utilizar de pseudônimos - e existindo nítida preocupação com a liberdade de expressão dos usuários, inclusive prevendo meios de defesa contra denúncias feitas por terceiros, os projetos voltam-se a uma questão que não é nova quando se discute o combate a ilícitos propagados pela internet: a exigência de identificação precisa de cada usuário. Veja-se, a título de exemplo, como o substitutivo do senador Anastasia trata a questão: Art. 4º, § 3º - Os provedores de aplicação de que trata esta Lei devem exigir dos usuários e responsáveis pelas contas a confirmação de sua identificação e localização, inclusive por meio da apresentação de documento de identidade válido. Em outras palavras, se esse dispositivo for aprovado da forma como está redigido, cada um de nós terá que fornecer - para cada serviço que utilizarmos na internet - documento de identidade (leia-se RG e CPF), além da comprovação da "localização", o que provavelmente acabará em algum momento sendo regulado como a apresentação de uma conta de luz, água, gás ou telefone em que constem nome e endereço completos do usuário. Os provedores farão tal coleta não apenas para ter mais dados pessoais sob seu controle, mas para se precaverem de possível responsabilização civil caso seu usuário não possa vir a ser identificado quando tenha cometido algum ilícito. Como dito, a questão não é nova. Há pouco mais de uma década - época em que os dois autores desta coluna trabalhavam na assessoria de ministros do Superior Tribunal de Justiça - e muito antes da publicação do Marco Civil da Internet (lei 12.965/2014), a questão foi debatida, na medida em que começavam a chegar aos tribunais superiores as primeiras ações decorrentes de ilícitos virtuais. Diante da inexistência de lei que regulasse o tema, a pergunta que se fazia era a seguinte: na medida em que os provedores não conseguem identificar os responsáveis pelos ilícitos, devem ser eles responsabilizados? E uma das saídas então discutidas foi exatamente a exigência de que pudesse ser exigido um cadastramento prévio, comprovado pela apresentação de documentos pessoais, de modo a evitar que fossem fornecidas informações incorretas ou falsas. Tal providência acabou não sendo adotada pela jurisprudência, não tendo ultrapassado os debates. Entendeu-se à época, corretamente, que se criaria um entrave à própria dinâmica de funcionamento da internet, que exige velocidade, por vezes até mesmo uma interação imediata. Tempos depois, o Marco Civil regulou a questão, disciplinando a responsabilidade subsidiária dos provedores de aplicações por danos decorrentes de conteúdo gerado por terceiros, bem como definindo prazos mínimos de armazenamento de dados por parte tanto dos provedores de aplicações, quanto de conexão. Agora, em pleno ano de 2020, quando a proteção de dados pessoais passou a ser uma das maiores preocupações atuais e já temos - embora ainda não em vigor - uma Lei Geral de Proteção de Dados Pessoais (LGPD), a lei 13.709/2018, a questão ressurge das cinzas, numa exigência que não tem ligação propriamente dita com o combate às fake news, especialmente porque não há nada que indique que a identificação dos usuários tal como ocorre atualmente4 tenha se mostrado ineficaz. Façamos um breve exercício que sequer levará em conta os inúmeros serviços (aplicações) que mais utilizamos atualmente. O leitor já refletiu sobre quantos serviços já utilizou no passado e que sequer existem5 atualmente? Os provedores de e-mails da AOL, BOL e IG; as redes sociais Orkut, Fotolog, Google Plus e Second Life; os aplicativos de mensagens ICQ e MSN; o outrora popular Napster... A lista é infinita e todos esses serviços fizeram estrondoso sucesso e tiveram grande número de usuários em algum momento. Imagine se cada um deles tivesse uma cópia de seu RG, CPF e comprovante de residência. Onde estariam e quem seria o responsável por todos esses dados? A proposta de exigência de apresentação de documento pessoal válido para uso de toda e qualquer aplicação de internet vai de encontro aos princípios da adequação e da necessidade previstos no artigo 6º, incisos II e III, da LGPD, especialmente do último, que determina a limitação do tratamento ao "mínimo necessário para a realização de suas finalidades", com "dados pertinentes, proporcionais e não excessivos". Claramente, não é o caso deste dispositivo acrescentado na última hora ao projeto voltado ao enfrentamento das fake news. __________ 1 O PL 2.630/2020 tem autoria do senador Alessandro Vieira (Cidadania/SE) e relatoria do senador Angelo Coronel (PSD/BA). 2 Íntegra aqui. 3 De acordo com o art. 4º do PL 3.063/2020, conta inautêntica é a criada ou utilizada com o propósito de "assumir identidade inventada ou de terceiros para enganar o público", ao passo que automatizada é a conta "gerida por qualquer programa de tecnologia para simular, substituir ou facilitar atividades humanas na distribuição de conteúdo". O substitutivo ao PL 2.630/2020, por seu turno, somente faz referência às contas automatizadas. 4 Quando se deseja descobrir o responsável por um ilícito cometido na internet, requer-se ordem judicial para que o provedor de aplicações (uma rede social por exemplo) forneça informações de data, horário, IP e dados complementares, tal como a porta lógica de origem. Fornecidos esses dados, é possível a identificação do provedor de conexão e, também mediante determinação judicial, este informa os dados cadastrais do responsável pelo acesso à internet. 5 Ou que, embora ainda existam, já fizeram muito sucesso e hoje são pouco utilizados.
Tramita no Congresso Nacional, com votação em tempo recorde, o Projeto de Lei 2.630, de autoria do senador Alessandro Vieira (CIDADANIA-SE), que se propõe a instituir a lei brasileira de liberdade, responsabilidade e transparência na internet, fixando normas, diretrizes e mecanismos de funcionamento das redes sociais e serviços de mensageria privada (tais como WhatsApp, Telegram e Messenger, pra citar os mais populares), de modo a inibir a sua utilização de forma abusiva. A iniciativa vem em meio às crescentes discussões envolvendo as denominadas fake news, expressão que, embora cunhada ainda no século XIX, se popularizou em âmbito mundial durante as eleições de 2016 nos Estados Unidos da América, em que foram identificadas dezenas de sites veiculando conteúdo intencionalmente falso e enganoso envolvendo principalmente os então candidatos Donald Trump e Hillary Clinton. Desde então, o crescente aumento do acesso à internet e popularização das mídias sociais, impulsionando os lucros dos anúncios online, levou à propagação das fake news no Brasil, sobretudo a partir das eleições de 2018, em que inúmeras notícias de conteúdo duvidoso foram veiculadas, culminando com a instalação, em setembro/2019, de Comissão Parlamentar Mista de Inquérito para investigar o uso de perfis falsos para a prática de crimes cibernéticos. Este o cenário que levou à iniciativa do PL 2.630, cujo conteúdo, no entanto, trata o tema de forma inadequada e superficial, colocando em risco direitos fundamentais e trazendo enorme insegurança jurídica. O primeiro problema diz respeito às imprecisões técnicas contidas no Projeto, com conceitos que se mostram conflitantes em relação àqueles presentes na legislação em vigor, dando margem a confusões. É o caso, por exemplo, da definição de provedor de aplicação, que de acordo com o Projeto pode ser pessoa física ou jurídica, enquanto na lei 12.965/2014 - o denominado Marco Civil da Internet - são apenas pessoas jurídicas. Além do conflito frente a outras normas, o Projeto também faz uso de definições de enorme subjetividade, como a de desinformação, o que certamente resultará em dúvidas recorrentes quanto à incidência e extensão da lei. Outro grande problema refere-se ao fato de que, embora se proponha a estabelecer regras gerais aplicáveis a toda a rede mundial de computadores, o Projeto foi claramente concebido com base nas principais plataformas da internet - Google, WhatsApp, Facebook, e Twitter -, o que, diante da rápida e dinâmica evolução do meio virtual, tende a, num curto espaço de tempo, tornar a norma obsoleta. Leis dessa natureza devem ser principiológicas e não casuísticas, para que sejam perenes, capazes de acompanhar o constante desenvolvimento da tecnologia. Aliás, o Projeto em certa medida nasce ultrapassado, pois adota "soluções" já testadas - e abandonadas - como é o caso da exigência de que patrocinadores de conteúdo confirmem sua identificação e localização, inclusive por meio da apresentação de documento de identidade. Ademais, ao positivar o modelo de funcionamento de determinados aplicativos, o Projeto obriga os demais provedores a seguirem um padrão, o que induz prejuízos para a livre iniciativa, para a concorrência e para a inovação, além de impedir, ou pelo menos dificultar, que o Brasil acompanhe as modificações que venham a ser implementadas em aplicativos no resto do mundo. Por outro lado, o Projeto impõe elevada carga de obrigações aos provedores de internet, inclusive a responsabilidade exclusiva pelo combate à desinformação e o dever de monitorar conteúdos considerados falsos ou enganosos, indo na contramão do Marco Civil da Internet, que, como regra, determina que a remoção de conteúdos impróprios se dê mediante prévia ordem judicial. Ao contrariar o regime de responsabilidades do Marco Civil da Internet, o Projeto coloca em risco direitos fundamentais, em especial a liberdade de expressão, potencializando a censura, pois legitima e incentiva um maior controle dos provedores sobre a internet, até mesmo com vistas a mitigarem o risco de serem responsabilizados por danos derivados de conteúdos considerados impróprios. Seria melhor estimular a moderação de conteúdo e não exigir o seu monitoramento, o que, inclusive, vai de encontro à jurisprudência consolidada do Superior Tribunal de Justiça, segundo a qual "não se pode impor ao provedor de internet que monitore o conteúdo produzido pelos usuários da rede, de modo a impedir, ou censurar previamente, a divulgação de futuras manifestações ofensivas contra determinado indivíduo"1. Enfim, da forma com está, o Projeto não resolve o problema das fake news e, pior, cria distorções no funcionamento da internet. Não se ignora a importância de se coibir a disseminação de notícias falsas, mas justamente por conta da relevância do tema, tão caro à preservação da democracia e da ampla liberdade de expressão, o Projeto merece maior discussão, inclusive mediante consultas públicas, de modo a enriquecer o debate em torno da matéria, assegurando a edição de uma norma apta a efetivamente combater a utilização da rede mundial de computadores para fins perniciosos. __________ 1 REsp 1.568.935/RJ, Rel. Min. Ricardo Villas Bôas Cueva, 3a Turma, DJe de 14/4/2016. No mesmo sentido: REsp 1.641.155/SP, Rel. Min. Nancy Andrighi, 3a Turma, DJe de 22/6/2017; e AgInt nos EDcl no REsp 1.402.112/SE, Rel. Min. Lázaro Guimarães, 4a Turma, DJe de 26/6/2018.
Bem sabem os processualistas e aqueles que atuam diuturnamente no contencioso que a fase probatória muitas vezes representa o ponto de inflexão em uma disputa judicial. Por melhor que seja o direito defendido, a falta de uma prova crucial ou algum defeito que a torne inválida pode levar o julgador a decidir desfavoravelmente. Quando se fala em provas eletrônicas - sobretudo aquelas que estão na internet, sem a correspondente versão física - a situação pode se tornar ainda mais complicada. Expliquemos. Como se pode preservar o conteúdo de um e-mail, uma página na internet ou postagem em redes sociais ou ainda uma conversa travada por meio dos aplicativos de mensagens, tais como os populares WhatsApp e o Telegram? Sem esquecer a possibilidade de outros meios de produção da prova, normalmente se está diante de duas opções mais comuns: o chamado print de tela e a elaboração de ata notarial. Entre esses dois extremos, está a tecnologia blockchain, desenvolvida há alguns anos, mas ainda com pequena utilização em processos judiciais. Segundo a Wikipédia, o blockchain é "uma tecnologia de registro distribuído que visa a descentralização como medida de segurança. São bases de registros e dados distribuídos e compartilhados que têm a função de criar um índice global para todas as transações que ocorrem em um determinado mercado. Funciona como um livro-razão, só que de forma pública, compartilhada e universal"1. Seu criador é identificado como Satoshi Nakamoto, que teria desenvolvido a tecnologia durante a crise econômica mundial de 2008 como uma rede de dados onde "por meio de blocos com segurança avançada, os conteúdos das transações são protegidos e guardados em um sistema de alta segurança, que pode ser comparada a uma grande biblioteca, já que seus conteúdos são armazenados de maneira pública e qualquer um pode visualizar as movimentações financeiras"2. Muito aplicada nas transações de moedas virtuais como o bitcoin, a tecnologia blockchain, por possuir esse perfil de livro-razão, também pode ser validamente utilizada para comprovar a existência de certo conteúdo online. Passemos então para a análise das três opções acima indicadas. De início, importante destacar que o processo civil brasileiro possui provas típicas - as que estão listadas no Código de Processo Civil (CPC) - e atípicas, como se observa do disposto no artigo 369 do CPC, segundo o qual as partes podem empregar todos os meios legais e moralmente legítimos para provar a verdade de seus fatos, mesmo que não previstos no código. Segundo Araken de Assis, "diferentemente de outros ordenamentos, como o italiano, o direito brasileiro admite provas atípicas: a enumeração legal das provas e dos meios de prova é exemplificativa"3. Assim, salvo raras exceções, não há que se falar na necessidade de uso exclusivo de uma determinada prova. Mero print de tela de uma postagem de rede social ou de uma conversa em aplicativo de mensagem pode servir validamente para comprovar o que se pretende, em especial quando tal prova é complementada por outras que levam naturalmente à conclusão do que se está pretendendo demonstrar. Todavia, não há como negar que este é o meio mais frágil de prova de algo no ambiente virtual. Em primeiro lugar, porque é de relativamente fácil adulteração ou, quando menos, corre-se o risco de que o interessado somente junte aos autos parte do todo, cujo sentido poderia ser o oposto se o print abrangesse o conteúdo completo. Outro aspecto que não pode deixar de ser levado em conta é que esse mero recorta e cola de um site ou aplicativo não comprova, por exemplo, quanto tempo a postagem ficou no ar ou quantos foram seus acessos, fatores que podem ser relevantes no momento de fixação de uma indenização pecuniária, por exemplo. Na outra ponta, temos a ata notarial, prevista no Código de Processo Civil como meio de um tabelião atestar ou documentar "a existência ou o modo de existir de algum fato", aí incluídos "imagens ou som gravados em arquivos eletrônicos" (artigo 384, caput e parágrafo único). A ata notarial tem a grande vantagem de ser instrumento da rotina forense, com ampla aceitação pelo Poder Judiciário. Embora não se possa lhe atribuir uma eficácia de prova plena, por trazer grande segurança jurídica pode ser utilizada com sucesso para provar as mais diversas situações ocorridas na internet. O tabelião pode atestar com segurança que, ao acessar determinado site, verificou o conteúdo (textos, imagens, áudios e vídeos) que lá estava disponível, em dia e hora determinados, registrando na ata a narração dos fatos que observou. Da mesma forma, pode descrever minuciosamente a forma como acessou uma conversa em um aplicativo instalado no celular do interessado e transcrever o conteúdo das mensagens trocadas. Sem embargo, dirigir-se a um cartório e ter que realizar todo esse procedimento implica em certo formalismo não condizente com a era digital em que nos encontramos. Além do formalismo, a depender do que se pretende registrar, a ata notarial pode ter um custo muito elevado, o que por vezes impossibilitará a parte de utilizá-la. Existe ainda uma questão de ordem prática que não pode ser desprezada. Imagine-se um conteúdo altamente ofensivo publicado numa rede social às 20h de uma sexta-feira e que rapidamente começa a viralizar. O ofendido precisa tomar medidas céleres para que o conteúdo seja removido o quanto antes, sob pena de a ofensa se tornar insuportável. Todavia, não será possível aguardar até a manhã de segunda-feira para que o tabelionato esteja aberto para preservar o conteúdo ilícito antes de solicitar sua remoção definitiva. O que fazer nesse caso? Situado, como dissemos, entre os dois opostos, o blockchain pode ser a solução ideal para diversas situações. Em primeiro lugar porque, uma vez preservado o conteúdo com o uso da tecnologia, se uma das partes fizer qualquer alteração, acréscimo ou supressão, o documento não será mais comprovado pelo blockchain. Ou seja, partes e julgador saberão que o documento então apresentado não corresponde ao que foi previamente preservado. O custo também costuma ser baixo quando comparado aos valores cobrados por uma ata notarial, o que amplia o alcance da tecnologia. E não se assuste o leitor que nunca tenha ouvido falar em blockchain e, portanto, não saiba nem como iniciar na utilização da ferramenta. Uma rápida consulta na internet apontará algumas empresas que prestam o serviço de preservação por meio de blockchain, bastando fazer o cadastro, contratar o serviço e seguir o tutorial indicado. Como quase tudo na vida, as primeiras vezes podem ser um pouco mais complicadas, mas assim que se familiariza com a ferramenta, não haverá maiores dificuldades. Este ponto resolve a questão feita quando tratamos da ata notarial. Como o próprio usuário que contratou o serviço pode fazer a preservação, sem depender de terceiros, o conteúdo pode ser salvo a qualquer hora do dia, sete dias por semana, de maneira ágil que permita comprovar eventual ilicitude antes que o ofensor a retire do ar ou mesmo preservar a prova e logo em seguida buscar sua rápida remoção. Fica uma última reflexão. Diferentemente da ata notarial, por se tratar de tecnologia recente, cuja utilização judicial ainda é muito restrita, os juízes estão pouco familiarizados a seu uso, o que pode levar à necessidade de se explicar seu funcionamento ao magistrado. De igual modo, não se encontram precedentes dos tribunais que tenham tratado especificamente da validade ou não de uma prova preservada por blockchain. A questão - quando abordada - costuma ser tratada de modo incidental. Como se vê, há uma ampla gama de possibilidades para se preservar e comprovar determinado conteúdo disponibilizado na internet. O uso de cada um dos meios de prova vai depender da estratégia a ser adotada e dos riscos e possibilidades envolvidos. __________ 1 Blockchain. 2 Revista Exame. 3 ASSIS, Araken de. Processo Civil Brasileiro - volume III - Parte Especial. São Paulo: Revista dos Tribunais, 2015, p. 470.
A extraordinária evolução da capacidade de processamento dos computadores, para além de confirmar a Lei de Moore1, permitiu, nos últimos anos, um crescimento significativo da inteligência artificial ("IA") - ramo da ciência da computação que se ocupa em desenvolver mecanismos e dispositivos que simulem o raciocínio humano, ou seja, a inteligência que é própria dos seres humanos - que hoje encontra aplicabilidade em inúmeras atividades, com potencial para imprimir mudanças sociais e econômicas radicais na vida das pessoas. De fato, a IA tem as mais variadas aplicações, já estando presente em áreas como saúde e medicina (consultas, diagnósticos, cirurgias), segurança (reconhecimento facial, identificação de ataques cibernéticos), ensino e pesquisa (professores e pesquisadores virtuais), gestão empresarial (controle de qualidade, eficiência de desempenho), criação de modelos preditivos (comportamento humano, previsão do tempo) e assistência pessoal (como os aplicativos de auxílio instalados em aparelhos celulares e ativados por comando de voz), entre tantas outras. Essa nova realidade suscita diversas dúvidas e preocupações acerca dos limites éticos e morais na aplicação da IA. Em 1950, quando a AI não passava de conjectura, Issac Asimov - novelista e bioquímico considerado um dos mestres da ficção científica - criou as "três leis da robótica"2, posteriormente acrescidas de uma quarta regra3, com o objetivo de tornar possível a coexistência de seres humanos e robôs. Agora, 70 anos depois, a ficção de Asimov se tornou realidade, mas suas leis se mostram incapazes de regular as complexas relações que têm surgido em torno da utilização da IA, obrigando a sociedade a intensificar o debate em torno do tema. Para que se tenha ideia da dimensão do problema, ainda em 2015, Stephen Hawking, Elon Musk e Steve Wosniak, entre centenas de outras proeminentes personalidades ligadas à ciência e tecnologia, divulgaram, durante Conferência Conjunta Internacional em Inteligência Artificial realizada na Argentina, carta aberta alertando para o fato de que, potencialmente, a IA é mais perigosa do que as armas nucleares. Diante desse cenário, a Organização para a Cooperação e Desenvolvimento Econômico - OCDE anunciou, no ano passado, princípios para o desenvolvimento da IA: crescimento inclusivo, desenvolvimento sustentável e bem-estar; valores centrados nos seres humanos e na justiça; transparência e divulgação; robustez, segurança e proteção; e responsabilização. O Brasil, juntamente com outros 41 países, foi um dos signatários do documento. Em linha com esse compromisso assumido pelo Brasil, a Câmara dos Deputados, na figura do deputado federal Eduardo Bismarck (PDT/CE), apresentou o Projeto de Lei nº 21/2020, por meio do qual propõe a criação de um marco legal para o desenvolvimento e uso da IA no país. A ideia é estabelecer princípios, direitos, deveres e instrumentos de governança para o uso da IA no Brasil, bem como fixar diretrizes para a atuação do Poder Público, da iniciativa privada e de pessoas físicas. Entre os princípios que, nos termos do projeto, passam a reger o uso da IA, merecem destaque os da: (i) centralidade no ser humano, consistente no dever de respeito à dignidade humana, à privacidade e à proteção de dados pessoais e aos direitos trabalhistas; (ii) não discriminação, impedindo o uso da IA para fins discriminatórios, ilícitos ou abusivos; e (iii) responsabilização e prestação de contas - reproduzindo princípio contido na Lei Geral de Proteção de Dados ("LGPD"), inspirado no princípio da accountability instituído pela General Data Protection Regulation da União Europeia - que obriga os agentes de IA não apenas a cumprirem, mas a efetivamente demonstrarem o cumprimento, das normas de IA e a adoção de medidas eficazes para o bom funcionamento e a segurança dos respectivos sistemas. Além disso, o projeto cria: (i) a figura do "agente de IA", assim entendido como aquele que desenvolve, implanta e/ou opera um sistema de Inteligência Artificial e que passa a responder legalmente pelas decisões tomadas pelo sistema, assegurando que os dados utilizados respeitam a LGPD; (ii) o "relatório de impacto de IA", documento a ser elaborado pelos agentes de IA, contendo a descrição do ciclo de vida do sistema de IA, bem como medidas, salvaguardas e mecanismos de gerenciamento e mitigação dos riscos relacionados a cada fase do sistema, incluindo segurança e privacidade. A iniciativa é louvável e certamente representará grande avanço, mas, na prática, exigirá do governo investimentos perenes, fomentando o desenvolvimento de uma IA atenta às suas implicações legais, sociais e éticas, de modo a que a sua constante e inevitável integração com o ecossistema digital ocorra de maneira justa e segura. Um estudo interessante divulgado este ano pelo jornal The Economist4 mostra que o Brasil ocupa o 34o lugar - entre 100 países pesquisados - em termos de inclusão digital, caindo para a 46a posição em termos de infraestrutura e despencando para o 77º posto quando analisado especificamente o quesito de alfabetização digital, ficando atrás de países como Argentina (25a), Peru (47o), Paraguai (52o), Bangladesh (69o) e Vietnã (72o). Fica evidente, portanto, a necessidade de acelerar esse processo de inclusão digital, com foco principalmente na população menos favorecida, submetendo-a a um processo de aculturamento e integração no uso da IA, inclusive quanto aos seus direitos e deveres, bem como acompanhando a pesquisa e o desenvolvimento dos sistemas de IA, de preferência com a criação de ambientes controlados nos quais tais sistemas possam ser testados e validados previamente à sua disponibilização para o mercado. Também será necessário lidar com as implicações laborais do rápido avanço da IA que, certamente, resultará em transformações significativas no mercado de trabalho. O Poder Público deve atuar em estreita cooperação com todos os stakeholders, buscando, num primeiro momento, uma transição equilibrada e progressiva na implementação da IA nos diversos setores da economia, e, a médio e longo prazos, a qualificação das pessoas, agregando-lhes as competências necessárias para utilizarem e interagirem com os sistemas de IA. Esse "empoderamento" da mão-de-obra produtiva tem reflexo direito no sistema educacional - desde a inclusão de matérias específicas no currículo do ensino fundamental e médio, passando pela revisão e atualização das disciplinas dos diversos cursos do ensino superior, até a implantação de programas de reciclagem e formação de pessoas já inseridas no mercado de trabalho - e se mostra vital para garantir a sua recolocação no mercado, em condições de assumir novas oportunidades, substitutas dos postos de trabalho que forem sendo extintos pela IA. Enfim, não há dúvida de que a criação de um marco legal para a Inteligência Artificial no Brasil é essencial, mas é apenas o primeiro passo rumo a uma transição sustentável para uma convivência saudável, equilibrada e não discriminatória entre seres humanos e máquinas. A efetividade desse arcabouço legal dependerá da implantação de políticas públicas e de governança que assegurem o cumprimento do principal objetivo das aplicações de IA: criar valor para a sociedade. __________ 1 Postulado estabelecido por Gordon Earl Moore, um dos fundadores da Intel, no sentido de que a capacidade de processamento dos computadores dobra a cada 18 a 24 meses. 2 Apresentadas na obra "Eu, Robô": 1ª lei: um robô não pode ferir um ser humano ou, por inação, permitir que um ser humano sofra algum mal; 2ª lei: um robô deve obedecer às ordens que lhe sejam dadas por seres humanos, exceto nos casos em que tais ordens contrariem a Primeira Lei; e 3ª lei: um robô deve proteger sua própria existência, desde que tal proteção não entre em conflito com a Primeira e Segunda Leis. 3 Na obra "Os Robôs do Amanhecer" foi instituída a "lei zero": um robô não pode fazer mal à humanidade e nem, por inação, permitir que ela sofra algum mal. 4 The Inclusive Internet Index 2020.
sexta-feira, 17 de abril de 2020

Adiamento da LGPD nesse momento é precipitado

O adiamento da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) foi uma das medidas aprovadas, na sexta-feira 3/4, pelo Senado Federal, fazendo parte do projeto de lei 1.179/2020, que estabelece o regime jurídico emergencial e transitório das relações de direito privado, diploma criado para o enfrentamento de questões jurídicas entre particulares que venham a surgir durante e após o período de pandemia do covid-19. Após aprovação no Senado, o projeto foi encaminhado à Câmara dos Deputados, onde agora tramita1. Fruto de uma iniciativa conjunta, foi apresentado inicialmente pelo senador Antonio Anastasia (PSD/MG) e a versão que seguiu à Câmara foi o substitutivo da senadora Simone Tebet (MDB/MS). Na sua elaboração, contou com a participação de um grupo de conhecidos professores de Direito capitaneado pelo professor Otavio Luiz Rodrigues Junior, da Faculdade de Direito da USP e o apoio decisivo do presidente do Supremo Tribunal Federal, ministro Dias Toffoli, bem como do ministro Antonio Carlos Ferreira, do Superior Tribunal de Justiça. No tema que toca a esta coluna, o artigo 21 do projeto traz uma única porém significativa alteração de redação à lei 13.709/2018 (LGPD), cujo preceito que dispõe sobre o período de vacatio legis - artigo 65 - passa a vigorar com a seguinte disposição: Art. 65. Esta Lei entra em vigor: I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; II - 1º de agosto de 2021, quanto aos arts. 52 ao 54; III - 1º de janeiro de 2021, quanto aos demais artigos. Trocando em miúdos: já estão em vigor, desde dezembro de 2018, os artigos que disciplinam a criação e o funcionamento da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados e da Privacidade (inciso I); as sanções administrativas decorrentes da lei só entrarão em vigor em 1º de agosto de 2021 (inciso II), aumentando, assim, o prazo de vacância inicialmente previsto de 18 para quase 36 meses; todo o restante da lei entrará em vigor em 1º de janeiro de 2021 (inciso III). Ou seja, deixando-se de lado os artigos que já se encontram vigentes, caso o projeto seja aprovado na Câmara da forma como proposto pelo Senado e, a seguir, seja sancionado pelo presidente da República, adia-se a entrada em vigor da Lei Geral de Proteção de Dados em aproximadamente mais quatro meses após o prazo que até então estava previsto - 15/8/2020 - e, no que toca às punições decorrentes da lei, o prazo é alargado em praticamente mais um ano. A ideia foi balizar, de um lado, "a proteção dos dados pessoais em sua plenitude" e, de outro, o argumento de que, por conta da pandemia, inúmeras empresas estariam "impossibilitadas de, nesse momento, adotar as medidas necessárias para cumprir as obrigações" previstas na LGPD2. Sem desconhecermos posicionamentos favoráveis ao adiamento - existia, antes mesmo do surgimento da pandemia, um projeto de lei que empurrava o início da vigência da LGPD para agosto de 2022, tendo por justificativa o alegado grande número de empresas que ainda não se encontrava pronta - a medida nos parece precipitada. Em primeiro lugar, porque, apesar de tudo, ainda se está num momento inicial da crise, sem que seja possível, por enquanto, prever ou estimar sua duração e seus reais impactos à sociedade e aos diversos setores da economia. Como a previsão de entrada em vigor da lei é somente meados de agosto, seria mais prudente que o adiamento, caso se mostrasse realmente necessário, fosse decidido mais para frente, em junho ou julho, quando provavelmente já se terá um panorama mais concreto dos efeitos da pandemia decorrente do coronavírus. Ademais, em nossa última coluna abordamos outras questões sensíveis relativas à proteção de dados e ao controle da privacidade durante a atual crise, destacando que diversos abusos podem ser cometidos sob o pretexto de proteção da saúde pública e combate à pandemia. Na última semana, a título de exemplo, o Fantástico abordou a vigilância severa e altamente tecnológica que o governo chinês vem exercendo sobre seus cidadãos e estrangeiros que se encontram naquele país3. Na mesma linha do aqui defendido, o Ministério Público Federal (MPF) externou posicionamento contrário ao adiamento do início da vigência da lei. Em nota técnica conjunta4 elaborada pela Procuradoria dos Direitos do Cidadão e pela Câmara Criminal, o MPF frisou que a garantia da proteção dos dados pessoais é "necessária tanto em relação ao Estado, quanto em relação às grandes companhias", na medida em que atualmente não se conhece o uso que é dado aos dados pessoais dos cidadãos. Ao contrário dos que entendem que o adiamento se faz necessário neste momento de crise, para o Parquet Federal a garantia da saúde pública e da aplicação de medidas sanitárias "não significa abrir mão de direitos de proteção de dados pessoais e de privacidade", além do que a manutenção da data prevista para entrada em vigor da lei demonstrará o comprometimento do Brasil em adequar nossa legislação aos diplomas mais modernos de proteção de dados, como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR). Mais relevante do que simplesmente transferir o problema para agosto de 2021 - uma vez que a entrada em vigor dos demais dispositivos da lei em janeiro do próximo ano, desprovidos de fiscalização e de sanções, terá efeito reduzidíssimo - seria a efetiva criação, instalação e efetivo início do funcionamento da ANPD. Destaque-se: aplicar sanções não é a única atribuição da ANPD. Ao contrário, o órgão tem como funções, entre tantas outras, zelar pela proteção dos dados pessoais, elaborar as diretrizes de como será a política nacional de proteção de dados e da privacidade, fiscalizar a aplicação da lei por parte de empresas e dos órgãos governamentais e difundir o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança. Espera-se, ao menos nos primeiros meses de sua atuação, uma postura de caráter muito mais educativo do que punitivo por parte da Autoridade Nacional. Num país com pouca tradição na proteção dos dados pessoais, a orientação clara por parte da ANPD é o porto seguro que as empresas encontrarão para definir e orientar os procedimentos que estão - ao menos para as empresas que não deixaram para a última hora - em fase final de implementação. Para tanto, é necessária vontade política por parte do governo Federal, já que a Autoridade Nacional foi criada como órgão da administração pública Federal diretamente ligado à presidência da República. Nessa linha, enquanto sequer há sinalização da efetiva instalação da ANPD, qualquer discussão sobre adiamento da entrada em vigor da lei se mostra precipitada. __________ 1 Até a véspera da publicação desta coluna, em 16/04/2020, o projeto não havia recebido nenhum andamento na Câmara dos Deputados, onde ainda aguardava despacho de seu presidente para início de tramitação. 2 De acordo com o parecer final da relatora, senadora Simone Tebet, na versão aprovada no Senado. 3 Assista à reportagem. 4 Íntegra.
À medida em que os impactos do Coronavírus se agravam, exigindo medidas de contenção da doença, verifica-se uma tendência entre autoridades mundiais de abrandarem as restrições ligadas ao tratamento de dados pessoais, de modo a facilitar o monitoramento do surto e a pesquisa e o desenvolvimento de tratamentos. A Global Privacy Assembly, fórum mundial de proteção de dados e privacidade criado há mais de 40 anos e que reúne autoridades de cerca de 130 países, identificou alterações na privacidade de dados em ao menos 27 países, entre eles Hong Kong, Itália, Espanha, França e Estados Unidos, localidades fortemente atingidas pela pandemia1. Em Hong Kong, por exemplo, foi autorizada a extração de informações de mídias sociais para rastreamento de portadores do Covid-19. Por intermédio de declaração pública2, a Comissão de Privacidade para a Proteção de Dados, suscitando o artigo 59 do Personal Data Privacy Ordinance (PDPO, Decreto de Privacidade de Dados Pessoais de Hong Kong), que prevê exceção à regra geral de privacidade de dados para a salvaguarda da saúde física ou mental do titular ou de terceiros, afirma que o direito à privacidade de dados pessoais não é absoluto, cedendo frente ao direito absoluto à vida. Com base nessa premissa, declara que "o governo pode coletar e usar informações disponíveis online e off-line com o auxílio de dispositivos, aplicativos, softwares ou supercomputadores visando ao monitoramento de pacientes ou potenciais portadores de Covid-19". Na Espanha, por sua vez, foram editados diversos atos pela Agência de Proteção de Dados, relacionados ao controle do Coronavírus, baseados no Considerando 46 da General Data Protection Regulation (GDPR, Lei Geral de Proteção de Dados da Comunidade Europeia) - que autoriza o tratamento de dados pessoais em casos excepcionais, como para o controle de epidemias e a sua propagação -, obrigando, por exemplo, controladores de empresas públicas e privadas a repassarem informações sobre servidores e empregados infectados pelo Covid-193, bem como permitindo o tratamento de dados pessoais de saúde sem consentimento do titular4. No Brasil, embora nossa Lei Geral de Proteção de Dados, lei 13.709/2018 ("LGPD"), ainda não esteja em vigor e sequer tenhamos a Autoridade Nacional de Proteção de Dados devidamente constituída, é possível identificar dispositivos na lei que, em uma situação crítica como a que vivemos, conferem maior flexibilidade ao tratamento de dados pessoais, notadamente: (i) artigo 4o, III, "a", que não sujeita à lei o tratamento de dados pessoais realizado para fins exclusivos de segurança pública; artigos 7o, VIII, e 11, II, "f", que autorizam o tratamento de dados pessoais, mesmo que sensíveis, para a tutela da saúde por profissionais da área, serviços de saúde e autoridade sanitária; e (iii) artigo 13, que autoriza o acesso a bases de dados pessoais para a realização de estudos em saúde pública. A despeito da indiscutível existência de uma situação material e de base legal para a mitigação das regras gerais de proteção de dados pessoais, é indispensável que haja, em contrapartida, por parte de controladores e operadores, respeito aos limites do tratamento de dados nessa circunstância excepcional e conscientização quanto à necessidade de adoção de medidas adicionais de proteção e segurança. Nesse contexto, um outro caso que vale menção é o da China, onde há notícia5 de diversas medidas adotadas pelas autoridades locais visando, alegadamente, o controle do Coronavírus, entre elas que usuários de transporte público em todo o país informem seus dados pessoais antes de tomar ônibus, trens e táxis, bem como da existência de aplicativo que permite saber se a pessoa esteve em um trem ou avião com alguém que contraiu a doença. Medidas como essas à primeira vista poderiam ser tidas como excessivas e desproporcionais, mas podem ser justificáveis em caso de estado de calamidade, na hipótese de necessidade de proteção da vida do titular ou de terceiro, ou ainda tutela da saúde (artigo 7º, VII e VIII, da lei). Mesmo diante das novas possibilidades de tratamento de dados pessoais surgidas em virtude do Coronavírus, esse tratamento deve ser realizado exclusivamente pelos entes legitimados para tanto e ainda assim para fins específicos de prevenção ou tratamento da doença, enquanto esta representar um risco sanitário e jamais para fins discriminatórios, ilícitos ou abusivos, tal como preceitua o artigo 6o, incisos I, II, III e IX, da LGPD. Tais dados não podem ser tornados públicos e sujeitam à responsabilização em caso de utilização fora da finalidade legal. Ademais, mesmo nas hipóteses excepcionais de tratamento, ainda que dispensado o consentimento do titular, este deverá ser devidamente informado acerca de quais foram seus dados pessoais coletados (em especial dados sensíveis), com que finalidade e até quando serão armazenados, tudo conforme exigência do artigo 6o, incisos V e VI, da LGPD. Finalmente, há de se considerar a necessidade de cumprimento do dever de segurança contido no artigo 6o, inciso VII, da LGPD, o que exige um cuidado adicional com a privacidade e a segurança das bases de dados, objetivando evitar ataques de hackers e mesmo vazamentos acidentais por empregados e colaboradores. Aliás, no que tange especificamente à segurança da informação, vale acrescentar que o cenário pandêmico do Coronavírus tem levado a enormes mudanças no cotidiano de pessoas e empresas, impondo um regime de reclusão e isolamento que conduz inevitavelmente a um aumento significativo no acesso à rede mundial de computadores, às redes particulares de computadores (intranet) e à aplicativos para aparelhos móveis, circunstância que eleva, em igual medida, as preocupações com a proteção de dados pessoais. Diante das determinações de quarentena por governos locais, como é o caso dos Estados de São Paulo e Rio de Janeiro, e, de um modo geral, do justificável receio de interação social, a população em geral tem feito uso de programas e aplicativos que substituem a necessidade de presença física nos mais variados lugares e circunstâncias, como no trabalho, via home office, em consultórios e hospitais, via telemedicina, e em lojas e restaurantes, via aplicativos de entrega em domicílio. Essas novas rotinas induzem não apenas maior fluxo de dados pessoais pela via digital, como também aumentam a exposição desses dados a situações e ambientes mais inseguros, com a consequente elevação do risco de vazamento. Trazendo mais um exemplo da China, lá há registro de que parte dos moradores de Wuhan - provável origem e epicentro inicial do Covid-19 - teve seus dados pessoais, inclusive nome, endereço e deslocamentos diários, vazados na internet devido ao medo trazido pela disseminação da doença5. A verdade é que a situação propicia a coleta, o processamento e a divulgação de dados pessoais de forma abusiva, exigindo cuidado redobrado de todos, em especial no Brasil, onde o direito específico à proteção de dados pessoais é recente, ainda não arraigado nos costumes e na cultura do brasileiro. Diante disso, é fundamental que empresas revejam suas políticas de segurança e proteção internas e externas para delimitar as responsabilidades de seus colaboradores no tratamento de dados pessoais, garantindo o uso correto dos sistemas durante o home office, via disponibilização de ferramentas e soluções que mantenham os níveis de segurança da informação e esclarecimentos sobre a utilização de dispositivos pessoais e de redes públicas. Eventualmente, pode ser útil - e até mesmo recomendável - que empresas elaborem um relatório de impacto à proteção de dados, nos moldes daquele previsto nos artigos 38 e 50, § 2º, I, "d", da LGPD, específico para o cenário atual, contemplando projetos e iniciativas que envolvam formas novas ou adaptadas de tratamento de dados pessoais, de modo a identificar ameaças adicionais e propor medidas de salvaguarda e redução de riscos. Entre as medidas de segurança, pode-se destacar: (i) atualização e/ou upgrade dos sistemas de segurança digital para suportar o aumento de demanda decorrente de acessos remotos, realizando testes preventivos; (ii) instalação de sistemas de segurança cibernética em laptops, tablets, smartphones, dispositivos de armazenamento e computadores de acesso remoto; (iii) melhoria na qualidade das senhas de acesso e implantação de autenticações multifator (mecanismo de confirmação da autenticidade do usuário, geralmente por mensagem SMS automática ou um aplicativo que gera códigos secundários de acesso) para sistemas e fontes de acesso remoto, inclusive serviços de nuvem; (iv) assegurar que os dispositivos de acesso remoto estejam armazenados em local seguro quando não estejam sendo usados; e (v) utilização de contas de e-mail corporativas e não pessoais para todos os e-mails relacionados a trabalho. Nota-se que parte dessas medidas depende da conscientização dos próprios usuários, valendo lembrar que, em empresas, todo e qualquer indivíduo é um potencial vazador de dados. Por isso a importância do oferecimento constante de cursos de treinamento e reciclagem em proteção de dados, com vistas a difundir e perpetuar a cultura da empresa, criando um ambiente corporativo seguro, mesmo quando o trabalho é executado remotamente. Enfim, o Coronavírus tem justificado novas práticas que interferem diretamente no tratamento de dados pessoais. Embora legítimas e necessárias, os princípios fundamentais aplicáveis à proteção de dados pessoais, com destaque para a transparência, segurança, prevenção, não-discriminação, finalidade, adequação e necessidade, permanecem válidos e, mais do que nunca, devem ser rigorosamente observados por controladores e operadores, tanto na esfera pública quanto na privada, de modo a assegurar que, durante e após a superação dessa crise, sejam mantidos intactos direitos e garantias fundamentais ligados à privacidade. ___________ 1 https://globalprivacyassembly.org/covid19/ 2 https://www.pcpd.org.hk/english/media/media_statements/press_20200226.html 3 https://www.aepd.es/es/documento/2020-0017-en.pdf 4 https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en 5 Conforme artigo veiculado pelo jornal chinês South China Morning Post, intitulado Coronavirus accelerates China's big data collection, but privacy concerns remain: https://www.scmp.com/tech/apps-social/article/3052232/coronavirus-accelerates-chinas-big-data-collection-privacy.