segunda-feira, 16 de maio de 2022

COLUNAS

  1. Home >
  2. Colunas

Migalhas de Proteção de Dados

Oferecer uma visão 360º sobre a Lei Geral de Proteção de Dados.

Nelson Rosenvald, Cristina Godoy Bernardo de Oliveira, Evandro Eduardo Seron Ruiz, Cintia Rosa Pereira de Lima e Newton De Lucca
O PL 21/20201 - que estabelece fundamentos, princípios e diretrizes para o desenvolvimento e aplicação da inteligência artificial no Brasil, e dá outras providências - dispõe no inciso VI do artigo 6º, que "Art. 6º Ao disciplinar a aplicação de inteligência artificial, o poder público deve observar as seguintes diretrizes: VI - responsabilidade: normas sobre responsabilidade dos agentes que atuam na cadeia de desenvolvimento e operação de sistemas de inteligência artificial devem, salvo disposição em contrário, se pautar na responsabilidade subjetiva, levar em consideração a efetiva participação desses agentes, os danos específicos que se deseja evitar ou remediar, e como esses agentes podem demonstrar adequação às normas aplicáveis por meio de esforços razoáveis compatíveis com padrões internacionais e melhores práticas de mercado". Partindo do micro para o macro, nos limites desta coluna, pretendo perfilhar seis argumentos que demonstram o equívoco de uma opção legislativa datada e descontextualizada, na expectativa de que o conjunto de Audiências Públicas da Comissão de Juristas dos Senado destinada a elaborar substitutivo de Projeto de Lei possa alcançar uma racionalidade distinta. O equívoco de se acolher uma responsabilidade subjetiva em abstrato Este é o pecado original. De forma açodada a comunidade jurídica é informada que o legislador pretende submeter a responsabilidade civil a um grau máximo de simplificação, em flagrante contradição à complexidade inerente ao desafio que se quer regular. Algoritmos são contextualizados e demandam soluções específicas para problemas específicos. Fato é que as tecnologias digitais emergentes dificultam a aplicação de regras de responsabilidade subjetiva, devido à falta de modelos bem estabelecidos para seu funcionamento adequado e à possibilidade de seu desenvolvimento como resultado de aprendizado sem controle humano direto, o que impede o conhecimento das consequências concretas. Necessário se faz, considerar, a tipologia e a autonomia em concreto da IA envolvida no dano. Ilustrativamente, a responsabilidade civil veste distintos figurinos para smart contracts, cirurgias robóticas e carros autônomos. a complexidade dos sistemas de Inteligência Artificial. Aliás, "Uma mesma tipologia, como é o caso dos carros autônomos, pode ter diversos graus de autonomia em relação ao condutor humano. Significa dizer que eventualmente pode haver diferentes regimes aplicáveis dentro de uma única tipologia".2 A Europa caminha prudentemente. A Resolução do Parlamento Europeu, de 3 de maio de 2022, sobre a inteligência artificial na era digital (2020/2266(INI), não pretende exaurir o debate, porém pretende avançar na discussão transnacional, salientando que: "146. devido às características dos sistemas de IA, como a sua complexidade, conectividade, opacidade, vulnerabilidade, possibilidade de sofrer alterações através de atualizações, capacidade de autoaprendizagem e potencial autonomia, bem como à multiplicidade de intervenientes envolvidos na sua criação, implantação e utilização, a eficácia das disposições do quadro de responsabilidade nacional e da União enfrenta desafios consideráveis; considera, por conseguinte, que, embora não haja necessidade de proceder a uma revisão completa dos regimes de responsabilidade funcionais, é necessário proceder a ajustamentos específicos e coordenados dos regimes de responsabilidade europeus e nacionais para evitar que as pessoas que sofrem danos ou cujos bens são danificados acabem por não ser indemnizadas; especifica que, embora os sistemas de IA de alto risco devam ser abrangidos pela legislação em matéria de responsabilidade objetiva, a que se deve juntar um seguro obrigatório, todas as outras atividades, dispositivos ou processos baseados em sistemas de IA que causem danos ou prejuízos devem continuar a estar sujeitos à responsabilidade culposa; considera que as pessoas afetadas devem, contudo, beneficiar da presunção de culpa por parte do operador, a menos que este seja capaz de provar que respeitou o seu dever de diligência".3 A simples alusão a apenas um extrato da recente Resolução do Parlamento Europeu, evidencia inequivocamente que o substitutivo ao PL 21 de 2020 coloca-nos na superfície de um contexto que oferece múltiplas camadas, algumas visíveis, outras um tanto quanto sutis. Para não sermos injustos em termos de rotular a responsabilidade subjetiva como única alternativa da proposta, o art. 6o, § 4o reproduz a redação do art. 37, §6o da CRFB/1988, ao estatuir a responsabilidade objetiva das pessoas jurídicas de direito público e as de direito privado prestadoras de serviços públicos. Nada mais natural do que compatibilizar o PL com o texto constitucional, na linha da teoria do risco administrativo. Na mesma toada, seguindo o desenvolvimento dos artigos 12 e 14 do CDC, o § 3º preconiza que quando a utilização do sistema de inteligência artificial envolver relações de consumo, o agente responderá independentemente de culpa pela reparação dos danos causados aos consumidores. A convocação das normas constitucional e consumerista reproduz dois paradoxos: a um, uma evidente contraposição de regimes de responsabilidades desprovida de justificativa, realçando a fragilidade do modelo subjetivo; a dois, a própria inaplicabilidade prática da responsabilidade subjetiva, pois para além das hipóteses de atribuição de danos ao Estado ou a fornecedores - em vista do conceito lato de consumidor - dificilmente observaríamos potenciais vitimas de sistemas de IA fora de tal binômio. A imprecisão da expressão "responsabilidade subjetiva" A utilização da expressão "responsabilidade subjetiva" no projeto por si só já acarreta insegurança jurídica. O Direito é uma ciência linguisticamente convencionada e os conceitos jurídicos também. O termo francês "faute", por vezes se torna um conceito inatingível, prestando-se a múltiplos significados. A Culpa se tornou uma expressão polissêmica. Se é certo que dentro de um sistema encontramos significado para as palavras, foi a partir de IHERING, que passamos a compreender que a responsabilidade civil tem a ver com ilicitude e culpa. Esta é uma incursão de muitas décadas, inclusive no sistema Lusófano, que prestigiou a base da responsabilidade aquiliana de matriz alemã. Portanto, ilícito e culpa são conceitos que não se confundem. A objetiva violação de um dever de cuidado (ilicitude) é pré-requisito para a culpa, mas dela se aparta em quase todos os sistemas jurídicos. A exceção é o Código Civil Francês. Ao contrário do Código Alemão, que expressamente requer a ilicitude como condição de responsabilidade - com anterioridade à culpa - na perspectiva francesa, a ilicitude não se autonomiza da culpa, tornando-se elemento dela, pois o legislador requer a existência de culpa sem que se faça referência normativa à ilicitude. O Código Reale exige da doutrina uma atitude de balizamento do fato ilícito como pressuposto da responsabilidade civil autônomo ao da culpa, ao estipular em seu artigo 927: "Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo". O legislador não apenas autonomizou, como agregou dois preceitos qualificadores do conceito da ilicitude. Os artigos 186 e 187 são duas pequenas cláusulas gerais de responsabilidade que concretizam as situações de ilicitude que fundamentam a responsabilidade civil do agente.  Enquanto o artigo 186 do CC estabelece que a ilicitude decorre da violação de um direito subjetivo, o artigo 187 estatui que ilícitos também se qualificam pelo abuso do direito. Como apartar culpa e ilicitude dentro de nossas especificidades? Um ato é qualificado como antijurídico por objetivamente divergir da conduta exterior que a norma indicava como correta, sem que isto tenha relação com o processo psicológico que orienta a atividade humana. O juízo moral de censura sobre o comportamento do agente (culpa) - que podia e devia ter agido de outro modo conforme as circunstâncias do caso - não se confunde com contrariedade da conduta lesiva a um comando legal.  A ilicitude em nada conflita com a culpa. São distintos pressupostos da teoria subjetiva da responsabilidade civil. Aliás, a responsabilidade subjetiva pretendida no projeto sequer se iguala com a residual culpa presumida da Resolução do Parlamento Europeu, de 20 de outubro de 2020. A teoria da culpa presumida foi uma primeira evolução na concepção da responsabilidade subjetiva pura, proporcionando uma inversão do ônus da prova. Com efeito, pode haver problemas com a comprovação do ilícito derivado das tecnologias digitais emergentes. Geralmente, a vítima deve provar que o agente (ou alguém cuja conduta lhe é atribuível) foi culpado. Portanto, a vítima não precisa apenas identificar quais deveres de cuidados o réu deveria ter cumprido, mas também provar ao tribunal que esses deveres foram violados, fornecendo evidências de como ocorreu o evento que deu origem ao dano. Tal racionalidade apenas beneficia o agente algorítmico, a final, quanto mais complexas as circunstâncias que levam ao dano, mais difícil será identificar evidências relevantes. Daí a importância das presunções de culpa. Cabe ao suposto ofensor demonstrar que o dano estava fora de sua esfera de previsibilidade.  O fetiche da dicotomia responsabilidade subjetiva x objetiva Há uma disseminada ideia quanto ao fato de que as responsabilidades subjetiva e objetiva representam distintos paradigmas do direito de danos. Trata-se de um equívoco. Na verdade, o que há é um "continuum", sendo que as imputações subjetiva e objetiva de danos consistem apenas em dois extremos de uma longa linha reta, em um perímetro que acomoda várias figuras intermediárias com distintos nexos de imputação, até que se alcance a teoria do risco integral. Aliás, algumas hipóteses legais que o senso comum já traduziu como incidências de responsabilidade objetiva não se acomodam verdadeiramente à exatidão que esse conceito demanda, em verdade, são cidades que se encontram no caminho. A responsabilidade objetiva é uma responsabilidade independente da existência de um ilícito. Tanto faz se o agente praticou um comportamento antijurídico ou não, pois esse debate é infenso ao objeto da sentença. Para o magistrado só importa o nexo causal entre a conduta/atividade do agente e o dano. Nada obstante, muitos insistem em compreender a obrigação objetiva de indenizar como uma espécie de "responsabilidade sem culpa". Todavia, os conceitos não se equivalem. Tradicionalmente a culpa representa o elemento psicológico do agente. Por isso, somente será possível avançar na perquirição do estado anímico do ofensor se, conforme a cláusula geral do art. 186 do Código Civil, ficar previamente assentado que o comportamento de A foi a causa ilícita adequada do dano a B. Mais precisamente, a aferição da culpa necessariamente requer a prévia afirmação da ilicitude do fato danoso. O que ocorre é que, nas reais hipóteses de incidência da teoria objetiva, essa questão não está em jogo, pois o legislador ou o tribunal consideram que o fator de atribuição da obrigação de compensar danos (nexo de imputação) recebe justificação diversa do fato ilícito (v.g. equidade, dever de cuidado, risco da atividade). A precisão técnica é abandonada quando o civilista insiste em descrever como hipóteses de responsabilidade objetiva, a responsabilidade do fornecedor por danos derivados de produtos e serviços defeituosos (arts. 12 e 14, CDC). Talvez, seja melhor compreendê-la como uma "responsabilidade civil subjetiva com alto grau de objetividade".4 O "defeito" é um fato antijurídico, uma desconformidade entre um padrão esperado de qualidade de um bem ou de uma atividade e a insegurança a que efetivamente foi exposta a incolumidade psicofísica do consumidor. O CDC abole a discussão da culpa, mas sem que se evidencie a ilicitude do defeito (sujeita a inversão do ônus probatório), inexiste responsabilidade, mesmo se evidenciado o dano patrimonial e/ou moral. Em sentido diverso, no Código Civil, a responsabilidade objetiva pelo risco pede apenas que a atividade danosa seja indutora de um risco anormal, excessivo no cotejo com as demais atividades, por ser apta a produzir danos quantitativamente numerosos ou qualitativamente graves, independentemente da constatação de um defeito ou perigo. Isto é, por mais que seja exercitada com absoluto zelo, não se indaga se A exercia uma "atividade de risco", pois pela própria dinâmica dos fatos, mesmo que exercida por B, C ou D, os danos decorreriam do "risco intrínseco da atividade". Em complemento, a responsabilidade vicária dos patrões pelos fatos danosos de seus auxiliares, é alheia a um ilícito do empregador (art. 933, CC). Aplica-se o princípio, "let the superior answer", desde que o representante esteja agindo em nome do representado e em benefício deste. Todavia, somente será possível imputar obrigação de indenizar em face da pessoa jurídica, caso seja previamente comprovado o ilícito culposo do funcionário. Se o dano produzido pelo empregado não corresponde à violação de um dever de cuidado, fecha-se a via de acesso ao empregador. Alguns chamariam isso de responsabilidade objetiva "impura", por demandar aferição de culpa no antecedente (empregado) e a sua dispensa no consequente (patrão). Contudo, a autêntica responsabilidade objetiva requer tão somente a violação de um interesse jurídico protegido, elidindo-se considerações sobre a antijuridicidade. Esta discussão é relevante para fins de IA, pois se cogitarmos das hipóteses de responsabilidade civil indireta pelo fato de outrem (patrões por empregados, pais por filhos menores, curadores por curatelados), e responsabilidade pelo fato da coisa - seja esta uma coisa inanimada ou um dano provocado por animal - pela primeira vez, sistemas jurídicos responsabilizarão humanos pelo que a inteligência artificial "decide" fazer. Além disso, esse tipo de responsabilidade dependerá crucialmente dos diferentes tipos de robôs com os quais se está a lidar: robô babá, robô brinquedo, robô motorista, robô funcionário, e assim por diante. Em suma, o conceito de responsabilidade indireta é considerado por alguns como possível catalisador para argumentar que operadores de máquinas, computadores, robôs ou tecnologias semelhantes também serão objetivamente responsáveis por suas operações, com base em uma analogia com a responsabilidade indireta. Quando o dano for causado por tecnologia autônoma usada de uma maneira funcionalmente equivalente ao emprego de auxiliares humanos, a responsabilidade do operador pelo uso da tecnologia deve corresponder ao regime de responsabilidade indireta de um empregador para esses auxiliares. A pergunta óbvia é a seguinte: tudo isto será considerado como responsabilidade subjetiva como deseja o PL 21/20? Este é mais um argumento em prol de uma regulação que aposte em específicos nexos de imputação dentro de parâmetros objetivos flexíveis que acompanhem a inovação tecnológica. A 1. Camada adicional da responsabilidade civil na IA: accountability A melhor forma de regular a IA não reside no campo da liability, porém nas camadas adicionais da accountability e answerability. O termo "responsabilidade" (liability) conforme inserido no Código Civil, resume-se ao exato fator de atribuição e qualificação da obrigação de indenizar, para que se proceda à reparação integral de danos patrimoniais e extrapatrimoniais a serem transferidos da esfera da vítima para o patrimônio dos causadores de danos. Todavia, este é apenas um dos sentidos da responsabilidade, os demais se encontram ocultos sob o signo unívoco da linguagem. Palavras muitas vezes servem como redomas de compreensão do sentido, sendo que a polissemia da responsabilidade nos auxilia a escapar do monopólio da função compensatória da responsabilidade civil (liability), como se ela se resumisse ao pagamento de uma quantia em dinheiro apta a repor o ofendido na situação pré-danosa. Ao lado dela, colocam-se três outros vocábulos: "responsibility", "accountability" e "answerability". Os três podem ser traduzidos em nossa língua de maneira direta com o significado de responsabilidade, mas na verdade diferem do sentido monopolístico que as jurisdições da civil law conferem a liability, como palco iluminado da responsabilidade civil (artigos 927 a 954 do Código Civil). Em comum, os três vocábulos transcendem a função judicial de desfazimento de prejuízos, conferindo novas camadas à responsabilidade, capazes de responder à complexidade e velocidade dos arranjos sociais O PL 21/20 se aferra a tradicional a eficácia condenatória de uma sentença como resultado da apuração de um nexo causal entre uma conduta e um dano, acrescida por outros elementos conforme o nexo de imputação concreto. A liability é a parte visível do iceberg, manifestando-se ex post - após a eclosão do dano -, irradiando o princípio da reparação integral. Entretanto, a liability não é o epicentro da responsabilidade civil, mas apenas a sua epiderme. Em verdade, trata-se apenas de um last resort para aquilo que se pretende da responsabilidade civil no século XXI, destacadamente na tutela das situações existenciais, uma vez que a definição de regramentos próprios não advém de uma observação ontológica (ser), mas de uma expectativa deontológica (dever-ser) da interação entre inovação e regulação em um ecossistema no qual o risco é inerente às atividades exploradas.5 A "accountability", amplia o espectro da responsabilidade civil, mediante a inclusão de parâmetros regulatórios preventivos, que promovem uma interação entre a liability do Código Civil com uma regulamentação voltada à inserção de regras de boas práticas que estabeleçam procedimentos, normas de segurança e padrões técnicos. Se no plano da LGPD (art. 50) a governança de dados, materializa-se no compliance como planificação para os riscos de maior impacto negativo, em sede de IA, em sua vertente ex post, a accountability atua como um guia para o magistrado e outras autoridades, tanto para identificar e quantificar responsabilidades, como para estabelecer os remédios mais adequados. Assim, ao invés do juiz se socorrer da discricionariedade para aferir o risco intrínseco de uma certa atividade por sua elevada danosidade (parágrafo único, art. 927 CC) - o desincentivo ao empreendedorismo é a reação dos agentes econômicos à insegurança jurídica -, estabelecem-se padrões e garantias instrumentais que atuam como parâmetros objetivos para a mensuração do risco em comparação com outras atividades. Já não se trata apenas de considerar, a tipologia e a autonomia em concreto da específica IA envolvida no dano para nos definirmos pela incidência da cláusula geral do risco da atividade ou de outro nexo de imputação, porém, de diante de um determinado evento lesivo no qual se constate efetivamente uma atividade geradora de risco inerente, perquirirmos o desempenho real do agente em cotejo com o desempenho esperado em segurança dentro daquele setor do mercado para fins de eventualmente se impor uma mitigação da indenização, a teor do  parágrafo único do art. 944 do CC. Trata-se assentir com a existência de uma função promocional da responsabilidade civil, mediante a reinserção da ética nas rotinas interpessoais. As sanções positivas atuam de maneira a provocar nos indivíduos o exercício de sua autonomia para alterar sua forma de comportamento. A ideia de 'encorajamento' está ancorada no pensamento de Norberto Bobbio, que sinaliza que, além de compensar, punir e prevenir danos, a responsabilidade civil deve criteriosamente recompensar a virtude e os comportamentos benevolentes de pessoas naturais e jurídicas.  Por certo, o artigo 944 do CC pode ser o ponto de partida para alargarmos os horizontes da responsabilidade civil, destacando a sua função promocional e o investimento na reputação como fundamental ativo imaterial de agentes econômicos, em uma era primada pela corrida por incentivos, hoje enucleados na conhecida sigla ESG. Para aqueles que postulam pela accountability como critério decisivo para a incidência da responsabilidade subjetiva no PL 21/20, quando determinada atividade econômica, pela sua própria natureza, independentemente de quem a promova, oferece riscos que a experiência repute excessivos, anormais, provocando danos patrimoniais ou existenciais em escala superior a outros setores do mercado, a orientação dada ao empreendimento pelos seus dirigentes será irrelevante para a avaliação das consequências dos danos, relevando apenas a aferição do nexo de causalidade entre o dano injusto e o exercício da atividade. Entretanto, se assim for, priva-se de efeito jurídico qualquer ação meritória em sede de teoria objetiva. Quer dizer, o fato de o condutor da atividade propor-se a realizar investimentos em segurança e compliance perante os seus funcionários ou terceiros em nada repercutirá positivamente em caso de produção de uma lesão resultante do exercício desta atividade. Daí nasce a questão lógica: se inexiste qualquer estímulo para provocar um comportamento direcionado ao cuidado e à diligência extraordinários, qual será a ênfase de um agente econômico em despender recursos que poderiam ser direcionados a várias outras finalidades, quando ciente de que isto nada valerá na eventualidade de um julgamento desfavorável em uma lide de responsabilidade civil?  Noutros termos, parece correta a compreensão de que o risco (e não a culpa) é o fundamento essencial para que sejam estabelecidos critérios próprios de imputação advindos do desvio dos parâmetros de segurança estabelecidos pela legislação protetiva e, quando presente o compliance, catalisados pela inobservância dos programas de integridade e das políticas de governança de dados, o que representaria uma espécie de responsabilidade objetiva especial. Isto é, superam-se as barreiras da culpa, suplantam-se as escusas técnicas e a ampla incidência de causas excludentes decorrentes do domínio da técnica pelo controle da arquitetura de software e se impõe a cooperação como modal de controle e aferição dos limites da responsabilidade civil. A 2. Camada adicional da responsabilidade civil na IA: answerability Answerability é literalmente traduzido como "explicabilidade". Enquanto a accountability oferece perspectivas para a função promocional da responsabilidade civil, a explicabilidade se impõe como uma camada da função preventiva da responsabilidade, materializada no dever recíproco de construção da fidúcia a partir do imperativo da transparência. Ademais, a accountability foca na pessoa que conduz uma atividade ou exerce comportamento danoso ou potencialmente danoso - os chamados agentes da responsabilidade -, enquanto a answerability se prende ao outro lado da relação: os destinatários ou "pacientes" de responsabilidade, que podem exigir razões para ações e decisões tomadas por aquele que exerce o controle da atividade. Assim, inspirada por uma abordagem relacional, a responsabilidade como "explicabilidade" oferece, uma justificativa adicional para a tutela da pessoa humana, com enorme valia perante corporações e operadores que terceirizam responsabilidades para algoritmos. A answerability é um procedimento recíproco de justificação de escolhas que extrapola o direito à informação, facultando-se a compreensão de todo o cenário da operação de tratamento de dados. Não se trata basicamente de saber qual é a IA utilizada e o que ela faz. O desafio está em buscar uma resposta ontológica, lastreada na identificação do cabimento das funções preventiva e precaucional da responsabilidade civil para que seja aferível a expectativa depositada sobre cada participante da atividade, especialmente quanto à previsibilidade de eventuais consequências. É legítimo que pessoas exijam uma explicação em nome de não-humanos ou mesmo em nome de outros humanos carentes de cognição. Se compreendermos quem deve responder, por quê e a quem as respostas se destinam, alcançamos o conceito de supervisão - oversight - um componente de governança em que uma autoridade detém poder especial para revisar evidências de atividades e conectá-las às consequências. A supervisão complementa os métodos regulatórios de governança (accountability), permitindo verificações e controles em um processo, mesmo quando o comportamento desejável não pudesse ser especificado com antecedência, como uma regra. Ao invés, em caráter ex post, uma entidade de supervisão pode separar os comportamentos aceitáveis dos inaceitáveis. Aliás, mesmo quando existem regras, o supervisor pode verificar se o processo agiu de forma consistente dentro delas, sopesando as considerações nas circunstâncias específicas do cenário. Por conseguinte, se um agente humano utilizando IA toma uma decisão com base em uma recomendação da IA e não é capaz de explicar por que ele tomou essa decisão, este é um problema de responsabilidade por dois motivos. Primeiro, o agente humano falhou em agir como um agente responsável, porque não sabe o que está fazendo. Em segundo lugar, o agente humano também deixou de agir com responsabilidade em relação ao paciente afetado pela ação ou decisão, que pode legitimamente exigir uma explicação por ela.6 Para além da responsabilidade civil: As sanções administrativas, o sistema de seguros e o fundo de compensação. Mesmo compreendida em sua multifuncionalidade e robustecida por diversos nexos de imputação a responsabilidade civil isoladamente não é capaz de oferecer uma tutela ótima diante de tecnologias digitais emergentes. Ilustrativamente, o déficit em termos de accountability não implicará em termos de aplicação de punitive damages, por absoluta ausência de previsão legislativa. Contudo, poderá impactar negativamente ao agente sob o viés do direito administrativo sancionador, mediante fiscalização decorrente de poder de polícia exercido por órgão a ser implementado. Sanções administrativas podem ser mais eficazes em termos de indução do que a responsabilidade civil, a final, a limitação do artigo 944 do Código Civil à indenização pela extensão do dano gera incentivos ao desrespeito à boa governança, "pela lógica econômica por meio do denominado inadimplemento eficiente da obrigação".7 Eventual fixação de multas em valor elevado não acarretará questionamentos sobre enriquecimento injustificado, na medida em que o produto de arrecadação das sanções administrativas será destinado a um Fundo de Defesa de Direitos, ou mesmo culminará com a suspensão ou interrupção da atividade danosa.  Ademais, a socialização da responsabilidade civil é temática inescapável em qualquer política pública que leve a sério as novas tecnologias.  O sistema securitário é uma combinação de seguros públicos e particulares, obrigatórios ou opcionais, sobre a forma de seguros pessoais ou seguros de responsabilidade contra terceiros. As companhias de seguros fazem parte de todo o ecossistema social e demandam um conjunto de regras de responsabilidade para proteger seus próprios interesses em relação a vítimas em potencial, sejam elas segurados ou terceiros afetados por danos. Ademais, para preservar a segurança e confiabilidade das tecnologias digitais emergentes, o dever de cuidado de cada pessoa natural ou jurídica deve ser afetado pelo seguro o mínimo possível, sem que isso exclua a asseguração de riscos elevados.  No universo das Tecnologias Digitais Emergentes o seguro facultativo praticamente se torna compulsório, pois a fim de mitigar o impacto da responsabilidade objetiva, proprietários, usuários e operadores de robôs contratam seguros, da mesma forma que tradicionalmente os empregadores por seus prepostos. Essa é a lógica econômica das regras de responsabilidade objetiva, servindo como incentivo para que os empregadores amplifiquem o uso de agentes robóticos. Se por um lado os prêmios de seguro aumentam os custos de negócios que se servem de robôs, quanto mais essas máquinas se tornam seguras e controláveis, maiores setores da economia aceitam o risco de seu uso, não obstante a incidência da responsabilidade indireta por danos. Um esquema de seguro obrigatório para categorias de Tecnologias Digitais Emergentes de alta complexidade - relativamente a sua autonomia e possibilidade de aprendizagem - e que suponham um risco considerável para terceiros é uma inescapável solução para o problema de alocação de responsabilidade por danos - tal como há muito acontece com os veículos automotores. A final, quanto maior a frequência ou gravidade dos potenciais danos, menos provável se torna a aptidão para que as vítimas sejam individualmente indenizadas. Um esquema de seguro obrigatório não pode ser considerado a única resposta para o problema de como gerenciar danos, substituindo completamente as regras de responsabilidade civil. Fundos de compensação financiados e operados pelo estado ou por outras instituições com o objetivo de compensar as vítimas pelas perdas sofridas podem ser utilizados para proteger as vítimas que possuam direito a indenização de acordo com as regras de responsabilidade civil, mas cujas pretensões não podem ser atendidas quando os demais regimes de responsabilidade forem insuficientes como resultado da operação de tecnologias digitais emergentes e na ausência de uma cobertura de seguro. Um caminho possível seria o da criação de um fundo geral de compensação acessado pela matrícula individual de cada robô em um registro específico, permitindo a segura rastreabilidade das máquinas. Os fundos compensatórios protegeriam vítimas em duas frentes complementares: a) cobrindo danos produzidos por robôs que não possuem seguro de responsabilidade civil; b) compensando danos ocasionados por robôs, limitando a responsabilidade civil dos agentes intervenientes e das próprias seguradoras. Assim, independentemente de um sistema de responsabilidade objetiva e de seguro, produzido o dano, haverá um patrimônio afetado à compensação, mesmo que o robô não tenha seguro ou quando mecanismos de seguro obrigatório não se ativem por outras causas __________ 1 Disponível aqui. 2 MEDON, Felipe. Danos causados por inteligência artificial e a reparação integral posta à prova: por que o Substitutivo ao PL 21 de 2020 deve ser alterado urgentemente?  3 Disponível aqui. 4 BIONI, Bruno; DIAS, Daniel. Responsabilidade civil na LGPD: construção do regime por meio de interações com o CDC. In: MIRAGEM, Bruno; MARQUES, Cláudia Lima; MAGALHÃES, Lucia Ancona (coord). Direito do consumidor. 30 anos do CDC. Rio de Janeiro, Forense, 2021, p. 513. 5 GELLERT, Raphaël. Understanding data protection as risk regulation. Journal of Internet Law, Alphen aan den Rijn, v. 18, n. 1, p. 3-15, mai. 2015, p. 6-7. 6 Frank Pasquale, serviu-se do insight das 3 leis de Jack Balkin para a sociedade algorítmica, a fim de propor uma quarta lei, capaz de complementar a tríade: "A robot must always indicate the identity of its creator, controller, or owner." A vanguarda dos campos de IA, aprendizado de máquina e robótica enfatiza a autonomia - seja de contratos inteligentes, algoritmos de negociação de alta frequência ou robôs futuros. Há uma noção nebulosa de robôs "fora de controle", que escapam ao controle e responsabilidade seu criador. A formulação da 4. Lei com a exigência de que, com base na explicabilidade, qualquer sistema de IA ou robótica tenha alguém responsável por sua ação, ajuda a reprimir tais ideias. 7 TOMASEVICIUS FILHO, Eduardo. In Comentários à lei geral de proteção de dados pessoais. MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura. Indaiatuba: Foco, 2022, p. 483.
Preliminares A eventual regulação das mídias sociais tem sido motivo de debates acalorados em todos espectros políticos. A aquisição do Twitter pelo bilionário Elon Musk incrementou essa discussão agora polarizando entre o controle total por uma empresa com capital fechado ou a liberdade ampla patrocinada por um mega empreendedor visionário. Apesar de todas essas acaloradas discussões, veremos que algumas iniciativas e conquistas sociais não são facilmente controladas, principalmente quando advindas de artefatos computacionais que se transformam e se recriam ao sabor do desafio tecnológico, da inovação, da expectativa de sucesso, ou, simplesmente pela possibilidade de contestação. Um pouco antes Os computadores foram criados preliminarmente como máquinas calculadoras que faziam tarefas precisas de várias pessoas em pouco tempo relativo. Tornaram-se máquinas fundamentais para cálculos balísticos durante a II Grande Guerra1 e impulsionaram os serviços censitários, bancários e financeiros2. Nem mesmo as formulações de Alan Turing, em meados dos anos 19303, que apontaram o computador como a primeira máquina genérica e multifuncional criada pelo homem, conseguiu avançar a passos largos a Inteligência Artificial já proposta e discutida no primeiro workshop sobre o tema no Dartmouth College em 19564. Nem o software e muito menos o hardware do século passado estavam preparados para a grande revolução que a Computação traria em nossas vidas no início deste milênio. O termo Web 2.05, cunhado em 2004, abriga várias tecnologias sobre a Internet que proporcionam serviços cada vez mais amplos aos seus usuários, tais como compras online, uso de redes sociais, softwares como serviços, enfim, a Web 2.0 proporcionou um mergulho intenso e profundo de toda sociedade urbana num mundo digital virtual sem precedentes. Os paralelos Se podemos dizer que a Web 2.0 imprimiu uma revolução na nossa sociedade, em praticamente todas as frentes, do comércio ao lazer, da economia às relações sociais, e das comunicações ao marketing, o mesmo não podemos dizer, por exemplo, sobre outras criações demandadas, como por exemplo, a imprensa de Gutenberg (1430). Na época a capacidade de reprodução de artigos literários era restrita a produção manuscrita de copiadores humanos. A mecanização era a única alternativa para ampliar a circulação de informação via mídia escrita. O mesmo raciocínio é válido para outros meios de mecanização para os quais temos a Revolução Industrial como uma grande fábrica de exemplos semelhantes à imprensa. Só por completude, as máquinas a vapor encurtaram distâncias, auxiliaram a redução de preços das commodities, ampliaram fronteiras, fomentaram a expansão do comércio, entre ouros benefícios. No entanto, todos esses avanços eram objetivos latentes de uma sociedade que ansiava pela modernização de necessidades básicas para o seu crescimento econômico e social. Podemos afirmar que, nos seus primórdios, a Computação nasceu também sobre as mesmas necessidades, a mecanização. Mesmo considerando as eventuais facilitações de atividades prometidas pela Inteligência Artificial entre o final dos anos de 1950 até meados dos anos de 1970, o que a sociedade esperava da Computação eram meios de ampliar seu tempo de lazer, tais como: máquinas mais inteligentes para deveres domésticos, máquinas mais produtivas e inteligentes para a indústria, robôs antropomórficos, programas como o STUDENT que resolviam problemas de álgebra, como também os veículos autômatos6. No entanto, o mundo começou a mudar a partir da entrada no novo milênio com a Computação expandindo suas áreas de atuação para o mundo das comunicações e dos serviços. Por exemplo, antes do advento dos tocadores de músicas encapsuladas no formato MP3 não havia uma pressão social para levarmos conosco, a qualquer lugar que fossemos, milhares de músicas para eventualmente ouvirmos. A maioria de nós ficaria satisfeito em poder levar alguns CDs para ouvirmos durante uma viagem e só. DJs certamente já existiam e carregavam suas caixas de vinis como mostra de grandes conquistas feitas durantes anos a custo de muito dinheiro. Tampouco falava-se no intercâmbio de músicas, a não ser as cópias de fitas cassete e, um pouco mais adiante, as cópias de CDs de áudio. O outrora famoso BitTorrent (lançado em 2001), que é um bem-sucedido protocolo de comunicação para compartilhamento de arquivos ponto a ponto (P2P), muito usado para compartilhar arquivos eletrônicos pela Internet de forma descentralizada, alastrou-se como erva daninha no campo musical e desmontou o esquema comercial das grandes gravadoras. Reforço: não era uma necessidade social lutar contra a indústria da música praticando a pirataria caseira. Não existia uma comoção social para esse esbulho do direito autoral. Em 2004 quando o engenheiro turco do Google, Orkut Büyükkökten, lançou a primeira rede social de sucesso no Brasil, o Orkut, 29 milhões de brasileiros sentiram a carência iminente de se arregimentarem com parentes esquecidos e coleguinhas da época do "jardim da infância"7. Outros também aproveitaram o software para se aproximarem de celebridades, colegas e parentes de n-ésimo grau. O Orkut arregimentou 15% da população total do Brasil em 2011. Neste mesmo ano, a hegemonia do já aclamado Facebook que reinava nos EUA, chegou ao Brasil abrigando 30,9 milhões de visitantes únicos no mês de agosto8. Essa nova rede social foi a responsável por tirar o Orkut do ar em 2014. Reforço: antes dessas duas redes sociais, esse velho conceito de networking era restrito à nossa rede de colegas e amigos e, com alguma aptidão, à um "amigo do amigo do meu pai". Então estamos afirmando que o Orkut foi uma criação da Google, como fora, de forma semelhante, o planejamento e a criação do thefacebook.com (renomeado para Facebook em 2005) por Mark Zuckerberg e colegas de Harvard em 2004? Não! Nesta época a Google adotava a filosofia dos 20%, ou seja, seus funcionários podiam usar 20% do seu expediente para trabalhar num projeto paralelo, a sua escolha, desde que relacionado com as atividades da empresa. Foi dessa fatia dos 20% que surgiram não só o Orkut, mas como também o Google Maps e o Gmail, por exemplo9. Nessa onda de virtualização das comunicações vieram o ICQ (1996), MSN Messenger (1999), como mensageiros eletrônicos instantâneos e, o Skype (2003) também usado para vídeo conferência. Era também nessa mesma época que nossos computadores pessoais eram controlados pelo sistema operacional Windows XP e usávamos comprar o pacote Office 2003, a primeira versão a usar cores e ícones do sistema operacional. Tudo isso hoje contrasta com mensageiros instantâneos como aplicativos de celular e uma extensa variedade de softwares via web no modelo SaaS (Software as a Service), ou seja, o modelo de software como serviço. Como exemplo: Dropbox, Google Drive, Netflix, Amazon Web Services, Nubank e Microsoft 365. Nos ombros de quem? A pergunta que fica é: como conseguimos elaborar essa sociedade em que o software é parte vital de nossos relacionamentos, de nosso cotidiano e do nosso trabalho? A resposta técnica é que esses serviços via software (redes sociais e afins), bem como os Markplaces (iFood, Amazon e Airbnb, como exemplos), apesar de parecerem um simples software na web, são softwares complexos que são executados sobre um grande elenco de protocolos e outros softwares que formam a base de comunicação de dados via internet. Toda comunicação via internet pode ser entendida pelo modelo TCP/IP. Esse modelo congrega todo tipo de protocolo e software básico para a comunicação via internet em quatro camadas sofisticadas, são elas: 1) Aplicação, ou seja, essencialmente o software que usamos; 2) A camada de Transporte que está relacionada com confiabilidade (o dado alcançou seu destino?) e integridade (os dados chegaram na ordem correta?) do acesso à rede; 3) A camada da Internet que captura os pacotes recebidos da camada de Transporte e adiciona uma informação sobre endereço virtual e, finalmente, num nível mais baixo; 4) A camada de rede que vai efetivamente enviar os pacotes pela Internet10. Ressalto que toda essa arquitetura Web e de Internet é uma arquitetura aberta, regulamentada por técnicos e engenheiros de grandes consórcios de software e que podem ser usadas para qualquer finalidade. Dadas essas condições técnicas abertas a qualquer um, amparados pela formulação teórica da Tese de Church-Turing11 que garante termos a máquina genérica mais poderosa até hoje construída, não há como parar as inovações via Computação. Sua estrutura foi elaborada de forma a poder espalhar pacotes de informação da maneira como a imaginação do programador desejar. Sobre essa mesma arquitetura que hoje surfamos na rede e nos seus serviços, outros tantos indivíduos e máquinas do submundo virtual surfam, por exemplo, na Dark Web, em atividades anônimas e privadas em contextos ilegais (e legais também) dos mais variados e assustadores possíveis. E sem regulação. Não há força, não há meios, para pará-los. Lembro-me dos meus anos como rádio amador oficialmente habilitado que, no início dos anos de 1990, experimentávamos o packet radio (rádio de pacote) que é um método de comunicação digital via rádio usado para enviar pacotes de dados. O que era muito semelhante ao modo como os pacotes de dados são transferidos entre nós na Internet hoje. Cada rádio funcionava como um nó da rede de comunicação, a exemplo dos computadores servidores hoje. Enviávamos e recebíamos informações com a nossa própria versão de protocolo de comunicação. E como era possível: os protocolos são especificações abertas de modelos de comunicação. São modelos disponíveis a qualquer pessoa. É só saber programar e ter o tempo necessário para essa atividade. Ou seja, se tirarem os fios, a web funcionará sobre as ondas do rádio. Saiu o ICQ, entrou o MSN, e depois o WhatsApp. No banco de reservas ainda temos o Twitter, o Telegram, o Truth Social, Mastodon, Reddit, Care2, Ello, Minds, The Dots, Plurk, Tumblr e aquele aplicativo que algum jovem gênio de 14 anos está escrevendo hoje e que iremos descobrir em breve. A rede não para. Nem precisa avisar os "russos". __________ 1 First Colossus operational at Bletchley Park. Disponível aqui.Visitado em 3 de maio de 2022. 2 The Automation of Personal Banking. Disponível aqui. Visitado em 3 de maio de 2022. 3 The Church-Turing Thesis. Disponível aqui. Visitado em 3 de maio de 2022. 4 Artificial Intelligence (AI) Coined at Dartmouth Disponível aqui.  Visitado em 3 de maio de 2022. 5 What Is Web 2.0. Disponível aqui. Visitado em 3 de maio de 2022. 6 A Complete History of Artificial Intelligence. Disponível aqui. Visitado em 3 de maio de 2022. 7 A história do Orkut, a rede social favorita do Brasil. Disponível aqui. Visitado em 3 de maio de 2022. 8 Facebook ultrapassa Orkut e é a rede social mais popular no Brasil. Disponível aqui. Visitado em 3 de maio de 2022. 9 Why Google's 20% time management philosophy should be adopted by startups. Disponível aqui. Visitado em 3 de maio de 2022. 10 TCP/IP Model. Disponível aqui. Visitado em 3 de maio de 2022. 11 Advogados e cientistas da computação unidos para lacrarem a neutralidade da rede. Disponível aqui. Migalhas 5.342 de 14 de maio de 2021. Visitado em 3 de maio de 2022.
A figura do encarregado pelo tratamento de dados (também conhecido como DPO) tem gerado diversas controvérsias e debates no cenário brasileiro. Uma das amostras mais recentes da relevância do tema foi a abertura de inscrições para tomada de subsídios sobre a norma do encarregado, feita pela Autoridade Nacional de Proteção de Dados ("ANPD") em 18/03/20221. O objetivo deste pequeno ensaio é analisar o conceito, as características, a obrigatoriedade de nomeação, os impedimentos e cautelas ligados ao cargo, o que se fará por meio de análise da legislação e regulação específicas no Brasil, com observação da experiência europeia para aclarar pontos ainda nebulosos no âmbito nacional. Na LGPD, encarregado é definido como a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)"2. Inicialmente, é possível concluir que o encarregado pode ser pessoa natural ou jurídica, apesar da lei haver se limitado ao termo "pessoa". Tal afirmação ocorre por diversos motivos: quando promulgada, em 14/08/2018, a LGPD previa o conceito de encarregado como a pessoa natural indicada pelo controlador, mas o texto foi alterado, antes de sua entrada em vigor, pela lei 13.853/2019, que suprimiu o termo "natural" e manteve apenas a expressão "pessoa", passando a abarcar tanto a pessoa jurídica quanto a pessoa natural. Além disso, o Guia Orientativo expedido pela ANPD3 prevê que o encarregado pode ser pessoa natural ou jurídica, entendimento que vem sendo adotado pelas melhores práticas internacionais, inclusive pela Europa, onde diversos controladores têm contratado empresas e escritórios para atuação como DPO as a service. No Brasil, ainda, a OAB expediu parecer recente em que admite sociedades de advogados como encarregadas4. Outro aspecto relevante é o fato de a LGPD prever a obrigatoriedade de nomeação de encarregado pelo tratamento de dados, o que deve ser feito por todo controlador, ressalvados os casos em que a ANPD estabeleça dispensa5, como aquela feita recentemente para os agentes de tratamento de pequeno porte6. Neste sentido, estão dispensados da nomeação de encarregado pela proteção de dados pessoais apenas microempresas, empresas de pequeno porte, startups, entidades sem fins lucrativos, pessoas naturais e entes despersonalizados, desde que preencham os demais requisitos trazidos na Resolução, quais sejam: 1) Não realizar tratamento de alto risco, que é o tratamento em larga escala ou que possa afetar significativamente direitos e liberdades e que, simultaneamente, utilize tecnologia inovadora ou emergente, realize vigilância ou controle de zonas acessíveis ao público, tome decisões unicamente com base em tratamento automatizado ou realize tratamento de dados sensíveis ou de crianças, adolescentes e idosos; 2) Não auferir e não pertencer a grupo econômico que tenha auferido receita bruta superior a R$ 4.800.000,00 ou, se startup, de R$ 16.000.000,00; Todas as demais organizações que realizem tratamento de dados pessoais permanecem obrigadas a nomear encarregado pelo tratamento de dados pessoais, o que inclui, portanto, não apenas grandes empresas, mas também as microempresas, empresas de pequeno porte e startups que não atendam os critérios mencionados. Mesmo nas hipóteses de dispensa, a resolução admite que a indicação será considerada uma boa prática, apta a reduzir sanções e responsabilidades e que, em qualquer caso, o controlador permanecerá obrigado a indicar um canal de comunicação com o titular. Tal determinação está em consonância com as atividades do encarregado, que podem ser divididas em dois grandes grupos: comunicação e manutenção do programa de compliance. No tocante à comunicação, o encarregado é o principal responsável pelas atividades de comunicação interna (com as áreas e demais colaboradores) e externa (com os titulares, a ANPD, os prestadores de serviços, parceiros e demais stakeholders), razão pela qual é fundamental a disponibilização do contato e identificação do encarregado. Outra importante função é a construção e manutenção da cultura de privacidade e proteção de dados, levando consciência da relevância do tema e da necessidade de envolver todas as pessoas na criação de serviços, produtos e procedimento que nasçam em adequação à legislação vigente. Sob a ótica da manutenção do compliance, é possível mencionar o desenvolvimento e gestão dos programas de governança, a estruturação de processos, a atualização de manuais e políticas, além do acompanhamento e definição de medidas de segurança, inclusive com aplicação de medidas disciplinares que estejam previstas em manuais e políticas7. Por todo exposto, é necessário que haja autonomia da figura do encarregado, que não deve se submeter a outras áreas. Isso é necessário para a integração com todos os departamentos da empresa, para a independência na adequação de procedimentos e para propositura de medidas de conformidade para todas as operações de tratamento de dados pessoais, independentemente do grau hierárquico do integrante da organização que as realize. Garantida a autonomia, é possível que o encarregado seja um colaborador da própria organização ou um agente externo, que atue como DPO as a service, seja pessoa natural ou jurídica. Ademais, inexistem pré-requisitos legais para o exercício da função, mas algumas medidas devem ser observadas, tais como: a) Possibilidade de conflito de interesse: No caso de encarregado interno, o GDPR determina que o controlador evite a nomeação de pessoas que possam gerar conflito de interesses entre o cargo de DPO e a função que exerça8, tais como colaboradores que atuem na área de TI ou RH ou qualquer membro que ocupe alto nível hierárquico, ocasiões em que necessitaria supervisionar a si mesmo. O Article 29 Data Protection Working Party sugere, de maneira mais ampla, que não devem ser nomeados colaboradores que tomem decisões relevantes acerca de tratamento de dados pessoais, pessoas que atuem como CEO, COO, CFO, CMO, head de áreas ou, ainda, qualquer colaborador que realize tratamento de dados pessoais em larga escala. Tal recomendação é relevante e a inobservância tem rendido sanções administrativas na Europa. A autoridade de proteção de dados belga aplicou multa de 50.000 ? (50 mil euros), cumulada com o prazo de 3 (três) meses para solução do conflito, a uma companhia que nomeou o Chefe do Departamento de Compliance, Gestão de Riscos e Auditoria como DPO. Já a autoridade de proteção de dados de Luxemburgo advertiu determinada companhia acerca da incompatibilidade entre a função de DPO e de Head de Compliance e Prevenção à Lavagem de Dinheiro. Por haver corrigido o erro de maneira tempestiva, não houve imposição de multa. Portanto, ao nomear encarregado interno, o controlador deve observar a compatibilidade entre o cargo e as atividades já desenvolvidas pelo controlador. b) Conhecimento técnico ou jurídico: No Brasil, inexiste norma prevendo qualificação técnica ou jurídica para o exercício da atividade de encarregado pelo tratamento de dados pessoais, tampouco há exigência de certificações. Contudo, o exercício da função de encarregado requer conhecimento sobre as normas de privacidade e proteção de dados pessoais, bem como noções sobre mapeamento de operações, gestão de riscos contratuais, elaborações de políticas, comunicação com titulares de dados pessoais e atuação em eventuais procedimentos administrativos ou judiciais. Além disso, é importante a noção da parte técnica, ligada a segurança da informação, mapeamento de sistemas e identificação de riscos. Por isso, tem sido comum a contratação de consultorias jurídicas ou técnicas para aprimoramento da gestão de programas de proteção de dados e da comunicação com agentes externos. __________ 1 BRASIL. Autoridade Nacional de Proteção de Dados. Abertas inscrições para tomada de subsídios sobre a norma do encarregado. Disponível aqui. Acesso em 22/03/2022. 2 Art. 5º, inciso VIII da LGPD. 3 BRASIL. Autoridade Nacional de Proteção de Dados. Guia orientativo para definições dos agentes de tratamento de dados pessoais e encarregado. Disponível aqui, p. 22, ponto 71. Acesso em 22/03/2022. 4 OAB/SP. Processo E-5.537/2021. EXERCÍCIO PROFISSIONAL - LGPD E ADVOCACIA - ENCARREGADO DE DADOS - INCOMPATIBILIDADE OU IMPEDIMENTOS - POSSIBILIDADE DE ATUAÇÃO - OBSERVAÇÃO DE CAUTELA QUANTO À PUBLICIDADE - CAPTAÇÃO INDEVIDA DE CLIENTELA - DEVER DE SIGILO. Disponível aqui. Acesso em 24/03/2022. 5 Art. 41 da LGPD. 6 Art. 11 da Resolução CD/ANPD nº 2/2022. 7 KREMER, Bianca; PALMEIRA, Mariana. A compreensão do encarregado: diferentes perfis, requisitos e qualificações. In: FRAZÃO, Ana; CUEVA, Ricardo Villas Bôas (coords.). Compliance e Políticas de Proteção de Dados. Thomson Reuters Brasil: São Paulo, 2021, pp. 623-663. 8 Key Issue "Data Protection Officer" do GDPR. Disponível aqui.
Do mero aborrecimento ao desvio produtivo do consumidor A atividade de consumo é inerente à existência humana, estando presente desde o nascimento até a morte do indivíduo, razão pela qual identifica-se a atual existência de uma sociedade de consumo.   Segundo Bauman1, "o fenômeno do consumo tem raízes tão antigas quanto os seres vivos - e com toda certeza é parte permanente e integral de todas as formas de vida conhecidas a partir de narrativas históricas e relatos etnográficos." Fato é que o elevado fluxo de aquisição de bens e serviços gera, em mesma escala, o aumento dos conflitos entre consumidor e fornecedor, os quais são causados pelo desmazelo - ocasionalmente intencional - desse no atendimento ao cliente, cometendo atos antijurídicos que ensejam reparação à vítima no campo material e moral.  Tanto a doutrina pátria como a jurisprudência relacionada à obrigação de responder por  dano passível de indenização, no âmbito de suas esferas protetivas, vêm sofrendo mutação evolucionista caminhando de uma consolidada visão onde o   mero dissabor, aborrecimento, mágoa, irritação ou sensibilidade exacerbada estão fora da órbita do dano moral, porquanto tais situações não são intensas e duradouras, a ponto de romper o equilíbrio psicológico do indivíduo, como descritos em acórdãos como no REsp 844.7362 do Superior Tribunal de Justiça, para se atribuir direitos indenizatório, a certas situações advindas da relação de consumo, que gerariam mais do que um "mero aborrecimento". Recentemente o TJ/SP3 impôs a um Banco uma condenação ao pagamento de indenização ao consumidor que recebeu cobranças indevidas por dívidas contraídas por terceiro, sob o argumento fulcral de que impor ao consumidor perda de tempo com cobranças indevidas e recorrentes, gera dano moral pois este experimentou desgaste, perda de tempo, angústia e aflições. A jurisprudência passa então a ampliar a visão acerca dos bens juridicamente tutelados em questões específicas que envolvem a dignidade da pessoa humana como direito constitucional subjetivo e essência de todos os direitos personalíssimos, considerando que "o dano moral é todo prejuízo que o sujeito de direito vem a sofrer por meio de violação a bem jurídico específico. É toda ofensa aos valores da pessoa humana, capaz de atingir os componentes da personalidade e do prestígio social4. Observa-se que esta visão realça o denominado dano extrapatrimonial advindo da lesão a bem jurídico específico denominado de "dano moral", que não integra o patrimônio da pessoa e se relacionam à lesão aos direitos da personalidade, em contraposição à corrente doutrinária que situa o dano moral no âmbito da lesão à cláusula geral de tutela da pessoa5. É nesse contexto que se vislumbra o desvio produtivo do consumidor. A teoria nasce justamente dos conflitos consumeristas em explosão na sociedade atual e é aprofundada por Dessaune6 que identificou e valorizou o tempo do consumidor quando submetido a situações de incrível stress emocional, incerteza e apreensão no âmbito da relação de consumo, como um bem juridicamente tutelável. Segundo Dessaune, o desvio produtivo se perfaz quando o consumidor, em estado de carência e condição de vulnerabilidade, é incitado, pela forma de agir do fornecedor, a aplicar esforços para solucionar um problema de consumo. Assim, o consumidor despende de seu tempo vital, suprimindo ou adiando atividades existenciais, e assume deveres e encargos do fornecedor, os quais, por óbvio, não lhe cabem. Nesta construção teórica o Autor aponta certos equívocos acerca da "tese de mero aborrecimento" como elemento não gerador do dever de indenizar, entre estes situa-se o fato de que em eventos de desvio produtivo, o principal bem jurídico atingido seria a integridade psicofísica da pessoa consumidora, enquanto, na realidade, são o seu tempo vital e as atividades existenciais que cada pessoa escolhe nele realizar - como trabalho, estudo, descanso, lazer, convívio social e familiar. Na sua ótica, o tempo existencial seria juridicamente tutelado por se encontrar protegido tanto no rol aberto dos direitos da personalidade quanto no âmbito do direito fundamental à vida.   Conclui-se que se a vida, enquanto direito fundamental, precisa do tempo para acontecer, por óbvio tal esforço abala a existência do ser humano afetado, uma vez que no lugar de ocupar-se com atividades que lhe são necessárias ou desejosas - como trabalhar ou descansar -, é coagido a solucionar problemas que não são de sua responsabilidade resolver, ocorrência que é injusta e ultrapassa a esfera do "mero aborrecimento". Trata-se, portanto, do empenho de esforços por parte do consumidor para sanar um problema decorrente de uma relação de consumo, ao qual não deu causa. A Sociedade da Informação como palco de desvios produtivos A intensa revolução social, provocada pela rápida evolução tecnológica, com destaque à expansão da internet, afetou profundamente as estruturas econômicas, culturais, bem como as interações sociais, com reflexos na esfera privada dos indivíduos. Tal movimento é notado especialmente na hodierna "sociedade informacional", na qual "a produtividade e a competitividade de unidades ou agentes dependem basicamente de sua capacidade de gerar, processar e aplicar de forma eficiente a informação baseada em conhecimentos"7, exprimindo uma nova estrutura social, chamada por Manuel Castells de "capitalismo informacional" em que considera que a atividade econômica e a nova organização social se baseiam, material e tecnologicamente na informação. Nesse cenário, destacam-se as relações consumeristas, que utilizam cada vez mais novas tecnologias e perpassam pelo uso de dados pessoais. Sob este viés, muitas vezes os titulares de dados estão na posição de consumidores, fazendo com que se confundam, de certa forma, a proteção do consumidor com a proteção daquele titular de dados pessoais. Ainda no embalo da evolução tecnológica e de novas tecnologias, cresce o comportamento de as pessoas possuírem duas espécies de vida: "uma vida real, de contato físico e material com pessoas e bens e uma outra virtual, que pode ser composta por redes sociais, e-mails, páginas pessoais etc., em interativa relação com outras pessoas e bens virtuais"8.  Este "corpo eletrônico"9 é composto pelo conjunto de dados pessoais sistematizados, que expõe em informação praticamente toda a vida das pessoas. Neste contexto, podemos falar ainda na "persona digital"10, ou seja, no perfil de comportamento de um usuário de rede social, que é analisado e construído, por exemplo, a partir dos locais que ele visitou ou a partir das postagens que ele "deu um like", dentre outros elementos que podem ser utilizados para a sua construção. Tendo em vista a extrema exposição de seus dados pessoais no mercado de consumo, em especial em uma sociedade que promove vigilâncias cada vez mais onipresentes, é importante o olhar e a proteção ao chamado "consumidor de vidro"11. Sob este prisma, vislumbra-se que o tratamento de dados pessoais impacta diretamente na forma, por exemplo, como a publicidade é produzida diretamente para o consumidor, uma vez que há um conhecimento mais preciso em relação ao seu perfil e, com isso há uma alteração na forma com que o consumidor adquire ou utiliza produtos ou serviços. Diante desta significativa alteração na cultura de consumo, que trouxe complexidade para o tema e, considerando que o titular de dados se confunde com a figura do consumidor, bem como a crescente valorização do tempo - essencialmente porque é ele meio pelo qual se propaga a vida do titular - e a vulnerabilidade, torna-se necessário investigar se a teoria do desvio produtivo do consumidor é aplicável no contexto da Lei Geral de Proteção de Dados. As disposições de LGPD inibidoras de condutas de desvio produtivo em face do consumidor titular de dados pessoais  A Lei Geral de Proteção de Dados (LGPD), lei 13.709 de 14 de agosto de 2018, centraliza e coordena fundamentos, princípios, direitos e obrigações em relação ao tratamento de dados pessoais, visando a proteção da pessoa à qual os dados se referem. Nesse sentido, o artigo 2°, traz os fundamentos do tratamento de dados pessoais, que deve ser lastreado, além de outros, no respeito a livre iniciativa, a livre concorrência e a defesa do consumidor, nos termos do inciso VI. A LGPD, ao dialogar com outros campos do Direito, também gera a transversalidade entre o direito do consumidor e a proteção de dados pessoais, como resta demonstrado no artigo 45 da Lei 13.709/2018. Desse modo, e ciente dos direitos dos titulares e dos deveres dos agentes de tratamento, é possível traçar um paralelo de aplicabilidade entre a supramencionada teoria do desvio produtivo e a Lei Geral de Proteção de Dados. Importante rememorar que não somente é consumidor aquele que efetivamente adquire um produto ou serviço, mas, à luz dos artigos 17 e 29 do CDC, equiparam-se a eles todas as pessoas - determináveis ou não - expostas às práticas comerciais ou que foram vítimas do evento danoso. Doutra feita, não se pode ignorar o preconizado pelo artigo 6º, inciso X, da LGPD, que exige do agente de tratamento eficácia no cumprimento da Legislação. O dispêndio de tempo é vedado expressamente no texto legal, por diversas vezes. Vale ressaltar que, assim como no CDC, a LGPD também prevê a responsabilização do agente de tratamento ao causar dano patrimonial, moral, individual ou coletivo, ao titular de dados, vide artigo 42 e seguintes. Para além disso, tanto consumidores quanto titulares de dados são caracterizados pela vulnerabilidade técnica, socioeconômica e informacional, corroborando com os diálogos entre a LGPD e o CDC. Assim, uma vez que os consumidores se equiparam aos titulares de dados no âmbito das relações de consumo, bem como os agentes de tratamento aos fornecedores ou prestadores de serviços, entende-se plenamente possível a aplicação da teoria do desvio produtivo do consumidor no tocante ao atendimento dos titulares de dados, de forma tal que possa se evitar abuso de direitos em prejuízo ao titular dos dados. Além disso, a LGPD, em seu artigo 5º, traz um rol de conceitos importantes, que servem como um "manual de instrução"12 para nortear a sua aplicação. Dentre os quais, o inciso IX, traz a figura dos agentes de tratamento de dados, que seriam o controlador e o operador. Ainda, no art. 5º, o inc. VI oferece um conceito de controlador: "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". No mesmo artigo, o inc. VII traz o conceito de operador: "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador". No Capítulo III da LGPD concentra-se um rol de direitos dos titulares de dados pessoais, mais especificamente a partir do artigo 17. Entretanto, deve ser feita uma leitura sistêmica e abrangente da norma a fim de se vislumbrar outros direitos e garantias destes titulares na LGPD. O artigo 18 da LGPD traz um rol de direitos, quais sejam: de confirmação de que existe um ou mais tratamentos de dados sendo realizado (art. 18, I, LGPD); de acesso aos dados pessoais que lhe digam respeito (art. 18, II, LGPD); de correção de dados pessoais incompletos, inexatos ou desatualizados (art. 18, III, LGPD); de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (art. 18, IV, LGPD); de portabilidade dos dados a outro fornecedor de serviço ou produto mediante requisição expressa (art. 18, V, LGPD); de eliminação de dados tratados com o seu consentimento (art. 18, VI, LGPD); de informação sobre o compartilhamento de seus dados com entes públicos ou privados (art. 18, VII, LGPD); de obter informação sobre a opção de não fornecer consentimento e as consequências da negativa (art. 18, VIII, LGPD); de revogação do consentimento (art. 18, IX, LGPD).  Neste diapasão, o artigo 20, traz o direito à revisão das decisões automatizadas, possibilitando ao titular dos dados a solicitação de "revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade".      Importante trazermos à baila que o art. 12, §2º da LGPD que traz a proteção de dados por inferência, uma vez que: "Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada." É certo que o processamento das requisições dos titulares (exercício dos direitos) deve ser o mais adequado e eficiente respeitando-se os prazos estipulados na legislação, com especial destaque ao artigo 19, que dita que a confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular, que pode ser em formato simplificado, e deve ser respondido de forma imediata ou ainda por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, que deve ser fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. Resta evidente que a LGPD propugna por buscar a adequação e o cumprimento pelos agentes de tratamento de dados dos dispositivos legais por meio de modelos apropriados e da adoção efetiva de melhores práticas na governança de dados13, sempre visando resguardar a específica proteção jurídica diante da vulnerabilidade do titular de dados pessoais. Dessa forma, cabe ao agente de tratamento buscar sempre a forma mais eficiente para atender aos direitos dos titulares, de modo a preservar seu tempo existencial e respeitar os ditames previstos na Lei Geral de Proteção de Dados.  Conclusão A caminhada para a compreensão global da LGPD e sua intersecção em diversos setores da sociedade é longa. Deve-se ter um olhar atento, especialmente, nesta nova forma de mercado no qual se extrai, de maneira unilateral, "a experiência humana como matéria-prima gratuita para a tradução em dados comportamentais que são disponibilizados no mercado como produtos de predição que antecipam e modelam comportamentos futuros"14, uma vez que quanto mais intrusiva for a prática, adentrando em hábitos estritamente particulares e sensíveis dos titulares de dados, e por conseguinte dos consumidores,  maiores serão os riscos de se causar danos aos indivíduos e incorrer em violação à LGPD. Não obstante o arcabouço protetivo gerado pelo CDC e pela LGPD nas relações consumeristas e a proteção de dados pessoais, em casos excepcionais onde prepondera o abuso em detrimento do consumidor, será  possível a aplicação da Teoria do Desvio Produtivo, como forma de proteção do bem juridicamente tutelável consistente valorização do tempo vital do consumidor titular dos dados para que se coíba abusos e se verifique a justa indenização por meio da  busca da reparação civil, face aos agentes de tratamento que por descumprirem as normas programáticas da LGPD ou as cumprirem de forma inapropriada, causam danos extrapatrimoniais aos titulares dos dados pessoais, afetando-se a moral e ensejando  a compensação monetária adequada, em prol do  tempo que é o bem irrecuperável.  __________ 1 BAUMAN, Zygmunt. Vida para consumo: A transformação das pessoas em mercadoria. Rio de Janeiro: Jorge Zahar, 2008. p. 37. ISBN 978-85-378-0066-9  2 BRASIL. Superior Tribunal de Justiça. REsp 844.736 Relator Ministro Luis Felpe Salmão. Disponível aqui. Acesso em: 01/04/20222. 3 BRASIL, Tribunal de Justiça de São Paulo, 19° Câmara de Direito Privado, Apelação Cível n° 1002236-83.2020.8.26.0590, Relator Ricardo Pessoa de Mello Belli. 4 BRASIL, Superior Tribunal de Justiça, REsp 1.245.550, Relator Ministro Luis Felpe Salmão. Disponível aqui. Acesso em: 02/04/2022. 5 TARTUCE, Flávio. Responsabilidade civil. 2ª ed. Rio de Janeiro: Forense, 2020. p. 427. 6 DESSAUNE, Marcos. Teoria aprofundada do desvio produtivo do consumidor: o prejuízo do tempo desperdiçado e da vida alterada. Espírito Santo, 2017. 7 CASTELLS, Manuel. A sociedade em rede: economia, sociedade e cultura. V. 1 São Paulo: Paz e Terra, 2013, p. 119. 8 BASAN, Arthur Pinheiro; FALERIOS JÚNIOR, José Luis de Moura. A tutela do corpo eletrônico como direito básico do consumidor. Revista dos Tribunais online. Disponível aqui. Acesso em: 15/03/2022. 9 RODOTÀ, Stefano. Intervista su privacy e libertà. Roma/Bari: Laterza, 2005. 10 CLARKE, Roger. The Digital Persona and its Application to data surveillance. Disponível aqui. Acesso em: 01/04/2022 11 LACE, Susane. The glass consumer: life in a surveillance society. Bristol: Policy, 2005. 12 LIMA, Cíntia Rosa Pereira de. DE LUCCA, Newton. Suboperador: possíveis soluções diante da omissão da LGPD. Migalhas de Proteção de Dados. Disponível aqui. Acesso em: 10 de abril de 2022. 13 SIMÃO FILHO, Adalberto, RODRIGUES, Janaina de Souza Cunha e LIMA, Marilia Ostini Ayello Alves de. A Governança e o registro de dados em LGPD sob a ótica da tomada de decisão estratégica, calcada na experiência "Gambito da Rainha". In: Direito, governança e novas tecnologias III [Recurso eletrônico on-line] organização CONPEDI Coordenadores: Aires Jose Rover; Danielle Jacon Ayres Pinto; Henrique Ribeiro Cardoso - Florianópolis: CONPEDI, 2021. Disponível aqui. Acesso em: 01/04/2022. 14 ROSENVALD, Nelson. Coluna Migalhas de Proteção de Dados. A LGPD e a despersonalização da personalidade. Disponível aqui. Acesso em: 01/04/2022.
As informações mais sensíveis dos seus clientes serão acessadas indevidamente. Isso seria fato se você estivesse nos EUA. Essa afirmação poderia parecer exagero, mas foi isso o que foi registrado no documento denominado "ABA Formal Opinion 483", que é um relatório preparado pela American Bar Association (ABA). Aqui, no Brasili, ainda não temos dados suficientes para afirmar, mas acreditamos que a situação não seja muito diferente. O objetivo deste breve artigo será apresentar, em caráter preliminar, algumas das principais medidas que são recomendadas pelos especialistas em segurança cibernética, mas que não são amplamente implementadas nos escritórios de advocacia nos EUA. Em síntese, os motivos variam desde o desconhecimento, passando pelo tamanho do escritório até o tipo de informação que é armazenada. O relatório "ABA Formal Opinion 483" destaca logo em sua introdução: (...) a ameaça à segurança da informação é tão alta que os órgãos de controle regularmente separam as entidades empresariais em duas categorias: aquelas que foram invadidas e aquelas que ainda serão." (tradução livre)ii. Assim, nenhuma empresa está totalmente protegida e, conforme veremos a seguir, o mesmo pode se dizer dos escritórios de advocacia nos EUA. Em síntese, no que se refere à responsabilidade dos escritórios de advocacia em relação aos dados e às informações dos seus clientes, temos os aspectos legais e contratuais. Assim, espera-se que sejam garantidos: a)    a proteção dos dados dos clientes; b)    o consentimento informado dos clientes; e c)    a supervisão de todas as pessoas envolvidas na gestão dos dados dos clientes. Dessa forma, todo o esforço no desenvolvimento de sistemas de softwares que envolvam o objetivo de segurança de dados pessoais deve considerar três esferas: a)    o comportamento das pessoas envolvidas; b)    as normas jurídicas e técnicas que disciplinam o assunto; e c)    a tecnologia e suas mudanças constantes. Nesse sentido, para a melhor compreensão do assunto, devemos conhecer três documentos publicados no formato ABA Formal Opinion: 1.    Securing Communication of Protected Client Information (477R/2017); 2.    Lawyers Obligation after an Eletronic Data Breach or Cyberattack (483/ 2018); 3.    Virtual Practice (498/2021). Além disso, os escritórios devem observar quatro das denominadas ABA Model Rules: para o melhor atendimento possível de seus clientes: a)    1.1 - Competência: A lawyer shall provide competent representation to a client. Competent representation requires the legal knowledge, skill, thoroughness and preparation reasonably necessary for the representationiii. b)    1.4 - Comunicação: (a) A lawyer shall: (1) promptly inform the client of any decision or circumstance with respect to which the client's informed consent, as defined in Rule 1.0(e), is required by these Rules; (.) (b) A lawyer shall explain a matter to the extent reasonably necessary to permit the client to make informed decisions regarding the representationiv. c) 1.6 - Confidencialidade da informação: (a) A lawyer shall not reveal information relating to the representation of a client unless the client gives informed consent, the disclosure is impliedly authorized in order to carry out the representation or the disclosure is permitted by paragraph (b). (.) (c)  A lawyer shall make reasonable efforts to prevent the inadvertent or unauthorized disclosure of, or unauthorized access to, information relating to the representation of a client.v d) 5.1 - Responsabilidade do Advogado Supervisor: (b) A lawyer having direct supervisory authority over another lawyer shall make reasonable efforts to ensure that the other lawyer conforms to the Rules of Professional Conduct.vi e) 5.2 - Responsabilidade do Advogado Supervisionado: (a) A lawyer is bound by the Rules of Professional Conduct notwithstanding that the lawyer acted at the direction of another person. (b) A subordinate lawyer does not violate the Rules of Professional Conduct if that lawyer acts in accordance with a supervisory lawyer's reasonable resolution of an arguable question of professional dutyvii. f) 5.3 - Responsabilidade sobre Não Advogados: (b) a lawyer having direct supervisory authority over the nonlawyer shall make reasonable efforts to ensure that the person's conduct is compatible with the professional obligations of the lawyer;viii Apesar de toda estrutura normativa das Aba Model Rules para disciplinar a responsabilidade profissional, em uma pesquisa recente, 25% dos advogados consultados responderam que, em algum momento, os escritórios de advocacia em que trabalham foram atacados. Em resumo, dentre as principais causas, podemos destacar duas: a)    Falta de conhecimento técnico; b)    Falta de adoção das melhores práticas indicadas pelos especialistas. Dessa forma, selecionamos três das melhores práticas recomendas pelos especialistas em segurança da informação e que podem ser adotadas imediatamente pelos escritórios de advocacia independentemente do seu tamanho (seja um advogado ou mais de mil advogados): 1) A primeira prática é a definição das responsabilidades dentro da estrutura dos escritórios: a)    Coordenador Geral: é importante que o escritório tenha uma pessoa que possa coordenar os trabalhos referentes à segurança cibernética do escritório. Em escritórios de médio porte ou menores, normalmente, é o CEO, mas, em organizações maiores temos um profissional especializado e totalmente dedicado denominado Chief Security Officer (CSO); b)    Todos os demais profissionais devem participar independentemente das suas posições e todas as suas funções devem ser mapeadas de maneira técnica: advogados, consultores (internos e externos), suporte (informática e administrativo) e outros prestadores de serviço. 2) A segunda prática é a adoção de políticas de segurança: nesse ponto, recordamos os dados estatísticos colhidos pela ABA em pesquisa realizada com os escritórios dos EUA: a.    Sobre o nível de conhecimento e de implementação geral:                                                  i.    17% não possuem qualquer tipo de política de segurança;                                                 ii.    8% desconhecem qualquer tipo de política de segurança. b.    Sobre os escritórios que implementaram algum tipo de política de segurança:                                                  i.    53% possuem política para retenção de informações de clientes;                                                 ii.    60% têm política sobre uso de e-mails;                                                iii.    56% publicaram regras para o uso da internet;                                                iv.    57% disciplinaram o uso de computadores dentro do escritório;                                                 v.    56% estabeleceram normas para o uso de computadores remotos;                                                vi.    48% fixaram uma política para o uso das redes sociais;                                               vii.    32% publicaram normas para o uso pessoal dos computadores;                                             viii.    44% estabeleceram regras sobre a privacidade dos empregados. c.    Em relação ao plano de emergência em caso de violação (ou incidente response), é sempre sugerida a divulgação de, pelo menos, um plano básico que envolve dois fatores:                                                  i.    Checklist com ações que devem ser adotadas pelos departamentos envolvidos;                                                 ii.    Contato de um profissional da área de segurança (principalmente no caso de escritórios pequenos que não possuam quadro próprio de profissionais da área de tecnologia).                                                iii.    Também sobre o incidente response, tendo em vista a sua relevância, verificou-se que apenas 36% dos escritórios dos EUA possuem um plano de emergência, sendo que: 1.    somente 12% dos escritórios individuais possuem esse plano; 2.    21% dos escritórios com 2 a 9 advogados já o implementaram; 3.    Quase 80% no caso dos escritórios com mais de 100 advogados já têm o plano divulgado internamente. d.    Em relação à implementação das políticas de segurança, é importante que seja realizado um treinamento interno de maneira contínua e que tenha como foco:                                                  i.    O conhecimento das ameaças;                                                 ii.    O domínio das técnicas sobre como realizar a proteção;                                                iii.    A divulgação plena das políticas existentes (retenção, e-mails, internet, computadores internos e remotos, mídias sociais etc.);                                                iv.    A compreensão dos tipos de profissionais e clientes: 1.    Conforme os dados e as informações armazenadas; 2.    De acordo com o tamanho do escritório.   3) A terceira prática é a identificação dos riscos. A base para a sua implementação é o conhecimento preciso tanto dos dados e das informações envolvidos quanto das tecnologias que são utilizadas tanto internamente quanto aquelas que são disponibilizadas para acesso pelos clientes. Dessa forma, devem ser atendidos três critérios básicos: a.    Custos para manter a sua operação; b.    Dificuldade de implementação das medidas de proteção; c.    Dificuldades de uso principalmente pelos advogados. Essas três práticas são apenas o ponto de partida que todo escritório de advocacia nos EUA deveria perseguir. As estatísticas indicam, no entanto, que a sua implementação ainda está distante de se tornar plena e, por isso, os esforços de conscientização pelas entidades como a ABA devem continuar. A tendência identificada, no entanto, é o aumento das práticas de segurança incorporadas pelos escritórios de advocacia ao longo dos últimos anos, mas esses dados variam conforme o tamanho dos escritórios. Por outro lado, não se identificou que as práticas implementadas são as mesmas sugeridas pelos especialistas em defesa cibernética. No Brasil, a atuação crescente de organizações dedicadas à proteção das informações como o IAPD (Instituto Avançado de Proteção de Dados)ix, além das normas específicas como a LGPD (Lei Geral de Proteção de Dados) devem intensificar tanto o levantamento de informações quanto o debate sobre esse assunto que impacta a vida de milhões de brasileiros. Os alertas trazidos pela ABA devem ser considerados não apenas pelos escritórios de advocacia no Brasil, mas também pelos órgãos públicos e entidades privadas. A digitalização já é uma realidade, principalmente com a massificação dos dispositivos móveis. Agora, é o momento do questionamento: estamos, de fato, preparados para nos defender? Se a resposta automática for sim, pense novamente. Finalmente, verificamos que os desafios enfrentados pelos escritórios de advocacia nos EUA devem servir como alerta para os escritórios brasileiros que, de fato, buscam a excelência na prestação de serviços aos seus clientes. O apoio especializado e a direção atualizada no que se refere às normas e as melhores práticas de segurança cibernética podem ser alcançados com o apoio de instituições dedicadas como o IAPD. Finalmente, se os ataques são uma certeza, a defesa deve ser uma constante no cotidiano de todos os escritórios. ______________ i OLIVEIRA, Cristina Godoy B.; MINTO, Giovanna Ap. Rossini. Segurança Cibernética em escritórios de advocacia. In Migalhas de Proteção de Dados, 16 julho 2021. Disponível << aqui>>. Acesso em 06 abril 2022. ii AMERICAN BAR ASSOCIATION. Formal Opinion 483: Lawyers' Obligation after an Electronic Data Breach or Cyberattack, 2018:" (...) the data security threat is so high that law enforcement officials regularly divide business entities into two categories: those that have been hacked and those that will be. Disponível<< aqui.>>. Acessado em: 05 abril 2022. iii AMERICAN BAR ASSOCIATION. Rule 1.1: Competence. Disponível . Acesso em 06 de abril de 2022. iv AMERICAN BAR ASSOCIATION. Rule 1.4: Communications. Disponível . Acesso em 06 de abril de 2022.   v AMERICAN BAR ASSOCIATION. Rule 1.6: Confidentiality of Information. Disponível <>. Acesso em 06 de abril de 2022. vi AMERICAN BAR ASSOCIATION. Rule 5.1: Responsabilities of a Partner or Supervisory Lawyer. Disponível <>. Acesso em 06 de abril de 2022. vii AMERICAN BAR ASSOCIATION. Rule 5.2: Responsabilities of a Subordinate Lawyer .Disponível . Acesso em 06 de abril de 2022. viii AMERICAN BAR ASSOCIATION. Rule 5.3: Responsabilities regarding nonlawyer assistance. Disponível <>. Acesso em 06 de abril de 2022 ix IAPD. Artigos: Instituto Avançado de Proteção de Dados. São Paulo, 2022. Disponível << aqui>>. Acesso em 06 de abril de 2022.  
Tudo o que pode ser conectado, será conectado1. De pequenos acessórios "vestíveis" (wearables) até regiões metropolitanas inteiras interconectadas2, a internet das coisas (Internet of Things, ou apenas IoT) está revolucionando a forma como os seres humanos interagem com a tecnologia e, inclusive, como os dispositivos tecnológicos interagem entre si. Esse cenário de "hiperconexão" traz novas possibilidades que facilitam de forma exponencial a vida em sociedade, a exemplo de automações da cadeia produtiva - que permitem que um dispositivo de checagem de estoque solicite automaticamente um produto ao fornecedor quando estiver em falta - até simples atos do cotidiano, como smartwatches que enviam relatórios de batimento cardíaco e nível de oxigênio no sangue a um profissional da saúde durante a prática de atividades físicas pelo paciente. Entretanto, com essas novas possibilidades, também surgem novos desafios. Estudiosos se deparam com inúmeros questionamentos, tais como: qual é o limite da coleta e do compartilhamento de dados pelos dispositivos conectados diretamente à internet? Quais modalidades regulatórias devem ser aplicadas a estes dispositivos, de modo a preservar direitos sem impedir a inovação? Em última análise, qual seriam os limites do entrelaçamento entre direito e técnica no contraste entre a proteção de dados pessoais e a ascensão da internet das coisas? A constatação inexorável que se colhe desses questionamentos é a de que o desenvolvimento tecnológico do século XXI sinalizou a necessidade de uma nova teleologia da internet. Novos fins, novos propósitos e novos contextos para uma tecnologia em constante transformação. Desde 2014, convencionou-se utilizar o termo "Web3", cunhado por Gavin Wood3, para designar uma internet essencialmente descentralizada, baseada em tokens e na tecnologia blockchain, mas que dependerá, essencialmente, da hiperconectividade4. É nesse cenário que se se concebe a expressão "internet das coisas" como um conceito. O leitor provavelmente já se deparou com situações peculiares envolvendo gadgets e dados no seu dia a dia, seja com o seu smartphone, seu smartwatch ou mesmo sua smartv. Apesar de os dispositivos acima estarem intrinsecamente ligados ao entretenimento, veja que essas tecnologias também trazem grande impacto na comodidade e conveniência, não somente na vida pessoal, mas também na profissional. Imagine-se, por exemplo, uma geladeira que detecta quando determinado alimento acaba (seja em uma loja ou em uma residência) e já faz automaticamente um pedido de entrega para o fornecedor cadastrado pelo usuário. Tal situação é benéfica para o comprador (que evita faltar algum produto indispensável para sua operação ou para seu consumo) e para o vendedor (por agilizar a cadeia produtiva e logística). Imagine-se, ainda, um smartwatch que, a depender do modelo, "entende" o padrão comportamental do usuário para lhe sugerir os apps e ações mais convenientes para cada momento (a partir do machine learning). Tal uso se torna possível em razão da coleta de uma massiva quantidade de dados durante o uso. Tais dados, em razão da hiperconectividade, podem ser compartilhados com outros devices, como o smartphone ou outros dispositivos conectados diretamente à internet (IoT), criando uma rede interativa entre dispositivos, que assumem verdadeira função de vigilância dos interesses e da predisposição do usuário. Este, por sua vez, é "entendido" por tais equipamentos devido ao perfil comportamental traçado (profiling). Para a compreensão dessa multiplicidade de conexões e dispositivos, Jonathan Zittrain propõe o conceito de "generatividade"5, abrindo a discussão para a classificação da IoT em "internet das coisas úteis" e "internet das coisas inúteis". Sensores em geladeiras e armazéns da indústria alimentícia; rastreadores de localização em tempo real no setor da logística6; pulseiras que medem a pressão de pacientes com quadro instável de saúde ao longo do dia... Todos esses exemplos poderiam ser entendidos como integrantes de uma "internet das coisas úteis", tendo em vista que cada dispositivo citado traz uma real vantagem para o usuário do setor indicado. Com esses exemplos em mente, Eduardo Magrani convida o leitor para refletir se produtos como "garrafas térmicas com sensores, geladeiras com Twitter e persianas conectadas" integrariam este rol de utilidade7. Para distinguir os dispositivos conectados entre úteis e inúteis, a newsletter TrendWatching delimitou a IoT em áreas como saúde (física e mental), bem-estar, segurança pessoal e privacidade de dados8. Outra classificação foi realizada pela empresa Libelium, ao distinguir a IoT nas classes de cidades, meio ambiente, água, medição, segurança e emergências, comércio, logística, controle industrial, agricultura, pecuária, automação residencial e saúde9. Em que pese as classificações acima serem pertinentes para a organização e subdivisão de produtos conectados em IoT, acredita-se que não sejam suficientes para distinguir, em definitivo, se determinado dispositivo integraria o conceito de útil ou inútil. É preciso teorizar uma distinção e a disciplina jurídica dos dados pessoais pode ser o elemento diferenciador. Para investigar o enquadramento de um dispositivo em alguma destas duas classificações (útil ou inútil), sugerimos o seguinte critério: a) se a coleta de dados pelo dispositivo e o esforço praticado pelo usuário resultam em efetiva benesse ao indivíduo, é útil; ou b) se a coleta de dados pelo dispositivo e o esforço praticado pelo usuário não resultam em benesse ou comodidade que os justifiquem, é inútil. Para que fique ainda mais claro, imagine-se novamente o exemplo de Magrani quanto à geladeira com acesso ao Twitter. É extremamente provável que se enquadre no rol de dispositivos da internet das coisas inúteis, tendo em vista que, ao se dirigir para a geladeira, o indivíduo está buscando alimentos e não informações em redes sociais. Além disso, provavelmente esse indivíduo estará com seu celular em mãos ou próximo a si, de modo que, caso queira consultar a rede social, dificilmente o fará de pé em frente à geladeira, mas, sim, sentado, empunhando seu smartphone, ainda que esteja simultaneamente a apreciar sua refeição. Note-se que, ao somar o esforço praticado pela indústria (programação, mão de obra e elevação de custos para fornecer essa função), o esforço praticado pelo usuário (se desviar de seu objetivo principal de se alimentar e utilizar a rede social em uma posição desconfortável) e a coleta de dados (de redes sociais, por uma geladeira), o resultado final não se mostra razoável para gerar uma facilidade ou comodidade que façam sentido. Portanto, tal dispositivo integraria a internet das coisas inúteis. Não obstante, um contraponto importante deve ser levantado: o mesmo dispositivo poderia ser classificado como útil, a depender do perfil de seu usuário. Imagine-se o seguinte produto: uma geladeira que informa ao seu proprietário que o leite está acabando. Agora, considere-se que: (i) cenário 1: o proprietário da geladeira é uma pessoa física, em sua residência com seu cônjuge e dois filhos; (ii) cenário 2: o proprietário é uma grande companhia de alimentos, cujo leite é um ingrediente essencial para seu produto final. No primeiro cenário, o dispositivo provavelmente seria classificado como inútil, uma vez que o usuário poderia facilmente procurar o leite na geladeira e, em caso de falta, anotar o produto na lista de compras ou em um checklist em seu smartphone. Já no segundo cenário, a empresa utiliza milhares de litros de leite por dia, de modo que não é fácil acompanhar o estoque, sendo, ainda, o leite um item indispensável para sua cadeia de produção. Em razão disso, tal dispositivo poderia impactar significativamente o negócio ao passo em que controlaria a quantidade de leite ainda disponível e, caso estivesse acabando, já direcionaria automaticamente um pedido de reposição para o fornecedor cadastrado. Neste caso, evidentemente, o dispositivo pode ser classificado como útil. O fato de um mesmo dispositivo poder apresentar mais de uma finalidade de uso e, consequentemente, poder ser classificado como útil ou inútil a depender do contexto confirma o conceito de "generatividade" de Zittrain. Não obstante, novos questionamentos emergem dessa constatação, a exemplo dos seguintes: qual seria o limite da coleta e do uso de dados pessoais por dispositivos "inúteis"? Haveria diferenças entre eles e o tratamento por dispositivos classificados como "úteis"? As respostas não são simples. Para responder aos questionamentos, é necessário realizar um estudo sobre o que a legislação define acerca do tema, sobre quais regulações existem até hoje e se estas são suficientes para tutelar os interesses individuais e coletivos envolvidos, levando-se em consideração o comportamento do ser humano na sociedade da informação10. No ano de 2019, foi publicada a primeira norma brasileira que trata expressamente sobre o assunto: o Decreto n° 9.854/2019 (Plano Nacional de Internet das Coisas). Conforme observa Eduardo Magrani, o desenvolvimento do Plano Nacional de IoT foi oportuno, vez que ocorreu em um momento no qual são amplamente discutidos conceitos como "hiperconectividade", e-citizens, ­e-GOV, e-commerce, indústria 4.0, computação ubíqua/persuasiva, entre outros. Logo em seu artigo 1°, o decreto informa que o seu objetivo é desenvolver e implementar a internet das coisas no país, devendo observar os princípios da livre concorrência e da livre circulação dos dados. Todavia, sabe-se que seres humanos não são absolutamente previsíveis. Bem ao contrário, é preciso reconhecer a imperfeição dos comportamentos humanos, pois, diferentemente das máquinas, que seguem rotinas padronizadas, exatas e balizadas pela matemática e pela lógica, os indivíduos humanos, além de serem racionais, também são seres extremamente emocionais, cuja característica marcante é, muitas das vezes, agir por impulso, orientado pelo imediatismo, sem refletir devidamente sobre as consequências de seus atos. Portanto, a proteção aos dados pessoais deve conjugar outros valores centrais do ordenamento, como consta do artigo 1º da lei 13.709/2018, ao destacar que o tratamento de dados pessoais deve ter o "objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". O debate sobre generatividade acaba redundando, enfim, na necessidade de ponderação sobre os contornos teleológicos da inovação disruptiva, que é fomentada largamente por balizas como a livre concorrência e a livre circulação de dados (citadas no Plano Nacional de IoT), mas sem desconsiderar a necessidade de preservação do direito fundamental à proteção de dados pessoais e todos os direitos que lhe são correlatos. __________ 1 "Anything that can be connected, will be connected". MORGAN, Jacob. A simple explanation of 'The Internet Of Things'. Forbes, 2014. Disponível aqui. Acesso em: 25 mar. 2022. 2 Sobre as cidades inteligentes (smart cities), consultar a publicação, nesta coluna, do ensaio de FALEIROS JÚNIOR, José Luiz de Moura. Cidades inteligentes (smart cities) e proteção de dados pessoais. Migalhas, 1º de abril de 2021. Disponível aqui. Acesso em: 25 mar. 2022. 3 EDELMAN, Gilad. What is Web3, anyway? Wired, 29 nov. 2021. Disponível aqui. Acesso em: 25 mar. 2022. 4 SANTOS, Bruno et al. Internet das coisas: da teoria à prática. Link School of Business. Disponível aqui. Acesso em: 25 mar. 2022. 5 ZITTRAIN, Jonathan. The Generative Internet. Harvard Law Review, Cambridge, v. 119, p. 1974-2040, maio 2006, p. 1987-1988. Anota: "The Internet today is exceptionally generative. It can be leveraged: its protocols solve difficult problems of data distribution, making it much cheaper to implement network-aware services. It is adaptable in the sense that its basic framework for the interconnection of nodes is amenable to a large number os applications, from e-mail and instant messaging to telephony and streaming video. (.) Thus, programmers independent of the Internet's architects and service providers can offer, and consumers can accept, new software or services". 6 GILCHRIST, Alasdair. Industry 4.0: The Industrial Internet of Things. Nova York: Apress, 2016, p. 29-31. 7 MAGRANI, Eduardo. A internet das coisas. Rio de Janeiro: FGV Editora, 2018, p. 47. 8 TRENDWATCHING. Internet of caring things: Why consumers will embrace connected objects with a clear mission: to actively care for them. 2014. Disponível aqui. Acesso em: 25 mar. 2022. 9 LIBELIUM. 50 Sensor applications for a smarter world. Get inspired! 2012. Disponível aqui. Acesso em: 25 mar. 2022. 10 McEWEN, Adrian; CASSIMALLY, Hakim. Designing the Internet of Things. Nova Jersey: John Wiley & Sons, 2014, p. 294.
Recentemente, o Centro Wyss de Pesquisa em Bio e Neuroengenharia de Genebra anunciou que, por meio de implantação de um chip cerebral, alcançou exitosamente a recuperação de parte da capacidade comunicacional de um paciente acometido de esclerose lateral amiotrófico, reacendendo, em razão disso, o debate acerca dos dados neurais1. Em escala crescente evidencia-se cada vez mais o valor dos dados na sociedade informacional, ou seja, trata-se de uma sociedade impactada e transformada pelo incremento do emprego das Tecnologias de Informação (TIC), que, em outras palavras, alterando o curso e o tracejo do marco civilizatório, gerou uma variação surpreendente no mercado de commodities. A realidade atual, à vista disso, tem se tornado cada vez mais complexa, eclodindo daí uma significativa sensação de insegurança naqueles que se ocupam de buscar e de propor formas de regulamentá-la/regulá-la, tornando, por outro lado, mais robusto o sistema protetivo de dados pessoais no contexto nacional. De fato, emerge uma plêiade de indagações que se projetam, inclusive, sobre alguns padrões tradicionalmente aceitos, sobretudo conferindo ressignificação à identidade, à personalidade, à sociabilidade, à autonomia e à alteridade. A relação do ser humano com as tecnologias de informação e de comunicação (TICs), em síntese, consiste em um ponto de inflexão em todas as áreas, particularmente quanto à percepção do tempo e do espaço, ou seja, no âmbito da subjetividade, da responsabilidade, da memória, da privacidade e, como já se mencionou, da autonomia, notadamente no processo decisional. Portanto, na medida em que se desdobra entre os mundos real, digital e virtual, o ser humano, em seu novo perfil, aponta para a urgência em emular pautas de soluções para conflitos atuais, sobretudo, os que advêm da utilização da  inteligência artificial (doravante IA) e de novas aplicações na área da neurotecnologia. A propósito, torna-se inolvidável que a presença do ser humano na era informacional consiste, em regra, em  um certo alheamento, uma sistemática renúncia, inclusive, à condição tradicional de ser racional mediante a sujeição a uma ordem mundial controlada por um punhado2 de empresas privadas que se utilizam dos dados pessoais, sobretudo os assim chamados sensíveis e, dentre eles, os biométricos, em uma frenética algoritmização do cotidiano. O condicionamento advindo da relação do ser humano com as novas tecnologias diz respeito, portanto, ao desejo intrínseco de ser incluído, de fazer parte, e que está atrelado ao funcionamento do sistema dopaminérgico, pois se trata de uma sequência contínua de estímulos para a liberação da dopamina. Há, por assim dizer, uma psicologia do condicionamento associada à economia da atenção e de vigilantismo que pode ser entendida como externalidade negativa a partir dos faróis da função da emocionalidade, em geral, e, mais especificamente, mediante os recentes contributos das neurociências na medida em que se aprofundam os estudos sobre a chamada frontalização, ao tempo em que se tornam comuns as intervenções no cérebro e, consequentemente, as transcrições em formato de dados neurais. As neurociências estão voltadas para decifrar a complexidade que caracteriza o funcionamento e a anatomia do cérebro, mas, em particular, do sistema nervoso central; assim, trata-se de um conhecimento que se encontra em contínua evolução na medida em que evolui a partir dos avanços advindos da tecnologia, ocupando-se, v.g., da investigação das chamadas interfaces cérebro-máquina. Dentre os diversos sistemas que compõem o ser humano, reconhece-se, mediante a abordagem das neurociências, a complexa atuação das emoções, que passaram a ser consideradas como a força motriz do ser humano. O cérebro humano é, nesse sentido, uma síntese da própria evolução: organiza-se como um somatório funcional de estruturas mais rústicas e de regiões mais sofisticadas e, assim, mais recentemente integradas à composição anatômica do ser humano, como as regiões corticais, perfazendo uma orquestração fina, porém intrinsecamente tensionada. Uma das mais emblemáticas contribuições das neurociências, além de desnudar os padrões universais das emoções básicas, põe abaixo qualquer justificativa plausível para a discriminação entre as pessoas, reposicionando, por outro lado, categorias como a autonomia e o livre arbítrio, que estão, em síntese, na base do sistema social e do próprio Estado democrático de direito. Em verdade, o desenvolvimento cerebral é sempre crucial no processo de tomada de decisão na medida em que envolve vários paradoxos e, dessa forma, envolve o contexto que possui uma natureza cambiante e as características da individualidade do sujeito. Além disso, destaque-se que os padrões normativos, sociais, éticos e jurídicos são parâmetros para circunscrever as opções de condutas e atuam na medida em que apontam para a adequação e a inadequação, ou seja, indicam e reforçam processos de recompensa mais duradouros em detrimento dos impulsos imediatistas. A inteligência artificial(IA), principal ferramenta tecnológica no contexto atual, por sua vez, produz padrões por se ocupar das inúmeras formas de perfilhamento, encontrando-se mais alinhada à emocionalidade do que à racionalidade na sua faceta mais tradicional. Reafirme-se que o ser humano, em sua perspectiva emocional, não se configura apenas como um ser eivado de fragilidades, sendo, de fato, um notório sobrevivente e, nesse sentido, um vencedor na luta das espécies, vez que a emoção pode e deve ser usada a seu favor em contexto protetivo. De fato, há uma relação direta entre o funcionamento do cérebro e as condutas desencadeadas a partir de estímulos, que demonstra uma tensão contínua entre o ser humano e o meio no qual ele se encontra que, em suma, tem o intuito de incrementar as condições de adaptabilidade em marcações de valências positivas e negativas as experiências vividas, tendo em vista a ideia de recompensa em um equacionamento contínuo que envolve a dor e o prazer. A investigação acerca da IA, portanto, encontra-se profundamente atrelada ao adensamento na concreta percepção da circuitaria emocional, em particular das funções atribuídas às reações advindas a partir do funcionamento da amígdala (tendo especial atenção ao estado de estresse atualmente incrementado pela massiva exposição às novas tecnologias e agudizado nos tempos pandêmicos), vez que, além de alterar profundamente a vida, oferecem outros padrões de intelegibilidade e afetam às capacidades cognitivas, podendo servir de base para ações que podem culminar ora na emancipação, ora na manipulação, acarretando na subjugação/reificação da pessoa humana. Com efeito, as linhas de código que perfazem as IAs carecem de nuances, de subjetividade e de autocrítica. Não possuem, em seu atual estado, a capacidade para encetar juízos de valor e, nessa medida, agir com intencionalidade própria. Mas, de outra banda, apresentam potencial extremamente lesivo em algumas aplicabilidades. Oportuno lembrar a possível aproximação do modo operante das novas tecnologias com o do sistema volitivo no cérebro humano, chegando à razoável hipótese de vir a suplantá-lo em algumas atividades. IA, importante advertir, é um ramo da ciência da computação que se propõe a elaborar dispositivos que emulem a capacidade humana de raciocinar, de perceber, de tomar decisões e de resolver problemas. Destaca-se ainda que o elemento básico para uma caracterização da inteligência artificial encontra-se na dimensão do aprendizado e, então, está situado na formação de perfis taxinômicos que, baseando-se em uma primeira etapa na produção de grandes análises a partir de grandes bancos de dados, orienta-se no presente momento cada vez mais para a granulagem. Aponta-se, nessa altura, que, assim como o cérebro humano se reorganiza no processo de aprendizagem, há uma espécie de reorganização algorítmica subjacente quando se aprecia a relação chamada de IoT (Internet das Coisas) e igualmente no que concerne ao machine learning (aprendizado de máquina). Interessa reafirmar que as técnicas de IA, em regra, mas, não exclusivamente, mimetizam o funcionamento cerebral. Na aprendizagem por reforço, e.g., um sistema de IA aprende a otimizar a função de recompensa, reforçando-a de modo a aumentar a probabilidade de recorrência. Em síntese, as tecnologias cognitivas se referem aos sistemas inteligentes capazes, por seu turno, de aprender e de tomar decisões não estruturadas e não programadas previamente. Na prática, a atuação algorítmica ocorre a partir de cálculos probabilísticos, resultando da multiplicação de um vetor de entrada com milhões de parâmetros cujos valores foram engendrados mediante treinamento. Com efeito, não se pode olvidar da extrema relevância dos big data, inclusive em áreas ultrarrelevantes como a saúde e a segurança3, para a compreensão da IA, pois, podem resultar em novas formas para o enfrentamento de situações ditas insolúveis como a fome, a precariedade e a miséria, mas podem igualmente acarretar novas molduras de vulnerabilização da pessoa humana. Dentre os diversos desafios advindos com o aumento exponencial dos usos de IA que singularizou o século XXI, distingue-se que, em se tratando de uma multiplicidade de tecnologias, v.g., sobressai o problema que toca nos limites éticos e jurídicos da utilização na seara da neurotecnologia. Ainda merece grifo o fato de que, do volume dos dados produzidos e em franca expansão, apenas um baixo percentual se encontra estruturado e, portanto, é, de fato, utilizado. Assim, há um vasto campo no que toca ao emprego de IA que se desdobra de forma contínua, generalizada e sem precedentes, sobretudo a partir de dados advindos da interface cérebro/máquina, isto é, os dados neurais. Outro elemento primordial que tem sido colocado no centro do debate se refere ao uso preditivo das novas tecnologias que requer o autoconhecimento/a autopercepção como uma espécie de baliza para que o ser humano possa impedir a supremacia da máquina e, consequentemente, a chamada "Ditadura de Dados". Dentre alguns aspectos nocivos, afirma-se o mito da neutralidade apriorística e a recorrente ausência de transparência, de explicabilidade, de accountability e de justificação4. Trata-se, de fato, de um cenário em que urge a imposição de uma configuração na qual a opacidade deve ceder espaço à transparência, à auditabilidade e à compreensibilidade. Em rigor, o que deve ser realçado é que o rol de condutas em um ecossistema balizado pelo binômio Homem-máquina envolve a rígida parametrização por meio da responsabilidade, da solidariedade para o devido gozo da liberdade, da dignidade e da autonomia, dentre outros direitos, especialmente o direito ao livre desenvolvimento da personalidade, o direito à autodeterminação informacional e o direito à proteção de dados pessoais. Esse enquadramento que envolve o ser humano em relação às novas tecnologias pode se projetar em outro modo de utilização e, especialmente, de correlação/cooperação e de regulação/regulamentação. Diante disso, deve-se alertar que a interface cérebro máquina tem como objetivo conectar o cérebro humano a computadores ou dispositivos eletrônicos, tornando possível realizar o registro da atividade elétrica, magnética ou funcional do cérebro. Ademais disso, possibilita a decodificação do código neural e, por meio de algoritmos, enceta a transcrição em sinal linguagem de máquina no intuito de controlar dispositivos eletrônicos que podem ser embutidos no corpo humano ou atuar à distância. O contexto atual ampliou exponencialmente as aplicabilidades atribuídas às interfaces entre cérebro e demais dispositivos eletrônicos, dentre eles, a IA. O estado da arte na área da neurotecnologia possibilita forjar conexão entre qualquer parte do corpo humano com dispositivos eletrônicos utilizando os biopotenciais elétricos ou os sinais analógicos gerados pelos sinais biológicos, partindo de decodificação e controle de um dispositivo eletrônico que tem por finalidade conectar dois cérebros, podendo até mesmo conectar os dois hemisférios cerebrais de um mesmo indivíduo. Essa nova abordagem irá ofertar novas perspectivas para a utilização do cérebro humano, inclusive tornando factível transmitir informações de um cérebro de um indivíduo para outro, como se extrai do anúncio feito pelos neurocientistas suíços e alemães. Uma outra abordagem é utilizar informações do hemisfério saudável de um indivíduo que sofreu uma lesão cerebral e transmitir essa informação para controlar o hemisfério lesionado. Nessa altura, toma-se como ponto de partida a cartela de direitos humanos e fundamentais consagradas no sistema normativo brasileiro como uma imprescindível alavanca arquimediana à medida que eles são e devem ser necessariamente afirmados no contexto atual, parametrizando os métodos neurocientíficos e as chamadas novas tecnologias, sobretudo as baseadas em IA. Em análise prévia, vez que se trata de pesquisa em curso,  tendo em vista a atual conjuntura, conclui-se que, ainda a partir de uma análise aligeirada, que, embora as "regras de evidências" constituam um obstáculo substancial para o uso de evidências neurocientíficas e da existência de legislações como Marco Civil da internet, a Lei geral de proteção de dados, e outras de natureza regulamentar, tornam-se necessárias salvaguardas éticas, técnicas e legais mais apropriadas contra atuais e futuras violações dos direitos humanos e fundamentais na medida em que já se pode identificar e antever os riscos transnacionais e transgeracionais iminentes em razão da utilização irrefreada das técnicas e juízos maquínicos. De qualquer sorte, a partir da promulgação da EC 115 que incluiu o direito à proteção de dados pessoais na paleta nacional, reconhece-se um adensamento na construção de parâmetros mais seguros para a pessoa humana no contexto informacional, consolidando o dever atribuído aos agentes públicos e privados de desenvolver uma gestão republicana, ética, confiável e segura dos dados durante todo o seu ciclo de vida, produzindo, para tanto, as condições para o exercício da cidadania digital e, assim, o fortalecimento das instituições democráticas e do Estado de Direito5. Com efeito, a EC 115 ainda atribuiu à União a competência legislativa para tratar sobre o tema, culminando um processo de construção legislativa, doutrinária e jurisprudencial6 que colocou o Brasil no grupo de países7 que se ocupam da proteção da pessoa humana em sua integralidade, vez que já não se pode negligenciar, a realidade marcada pela digitalização8 e pela busca por cibersegurança9. Interessa, evidenciar a posição do Estado brasileiro como personagem central na salvaguarda e efetivação de direitos e, consequentemente, verificar, na medida do cumprimento de seus deveres constitucionais, a adequação e a atualização da sua estrutura e da atuação funcional parametrizada pela máxima da separação de poderes (artigo 2º CF/88) de modo a alcançar os objetivos consagrados no artigo 3º da CF/88 em face do novel cenário, máxime a partir da interpretação conjugada dos artigos 4 paragrafo 1; 6; 26; 29; 55, parágrafo 2º, dentre outros, que integram a LGPD (Lei geral de proteção de dados pessoais).  Em rigor, em face da atual conjuntura tecnopolítica10 e da ideia de que não existem dados irrelevantes, a proteção de dados pessoais e, consequentemente,  a efetividade da autodeterminação informativa, implica na contenção/vedação de unidades/blocos informacionais, privados e públicos que, agindo de forma monolítica, mediante a ultra exposição do ser humano, manifestam potencial de intensa lesividade11 à dignidade da pessoa. Aspecto significativo diz respeito à iniciativa do deputado federal Carlos Henrique Gaguim que, em 2021, apresentou projeto de lei que intenta alterar a lei 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), a fim de conceituar dado neural e regulamentar a sua proteção. De fato, o parlamentar aponta para a relevância do tema e propõe uma espécie de acordo semântico acerca da terminologia utilizada, sugerindo a dicção que toma os dados neurais por informac¸a~o obtida, direta ou indiretamente, da atividade do sistema nervoso central e cujo acesso e' realizado por meio de interfaces ce'rebro-computador invasivas ou não-invasivas. Por meio do PL 1229/2021, observa-se a tentativa de conceituar neurotecnologias e as possibilidades de interface cérebro-máquina como "qualquer sistema eletrônico, óptico ou magnético que colete informação do sistema nervoso central e a transmita a um sistema informático ou que substitua, restaure, complemente ou melhore a atividade do sistema nervoso central em suas interações com o seu ambiente interno ou externo". O cerne e o mérito do PL 1229, a despeito de algumas atecnias como tomar dado por informação, bem como a falta de aplicabilidade real em razão da incipiente regulamentação e do descompasso com o avanço nas neurociências, inclusive no cenário nacional, é colocar o tema no radar12. O que já vem em hora tardia, vez que já é tematizado pela doutrina pátria, mas, se projeta como algo inarredável para o momento, particularmente quando se observa experiências como a do Chile que saiu na frente e já possui dispositivos jurídicos acerca dos dados neurais. Torna-se imperativo para as comunidades cientificas trabalharem juntas para melhor definir os limites, as capacidades e a direção pretendida para o emolduramento dos métodos neurocientíficos aplicáveis, bem como do emprego da IA, uma vez que se trata de questões cuja complexidade somente se torna alcançável mediante o diálogo franco e de caráter interdisciplinar. Urge, com isto, uma investigação sobre os limites e as balizas técnicas, éticas e jurídicas relacionadas com a proteção dos direitos humanos e fundamentais, notadamente os direitos de personalidade, sendo mais especificamente, os direitos neurais que merecem uma proteção apropriada e parametrizada com a CF/88. Pugna-se por um debate no que toca às interações entre Cérebro/Máquina, incluindo o conhecimento e o mapeamento dos diferentes níveis de consentimento e anonimato, buscando igualmente encetar esforços para a produção de consensos linguísticos e acordos semânticos que se orientem para o uso cuidadoso da terminologia apropriada e da identificação e o reconhecimento de diferentes interesses possivelmente conflitantes no ambiente nacional. Em síntese, em razão da especificidade desse tipo de dado pessoal e de suas atuais empregabilidades, que não necessariamente pode ser devidamente reconhecido no que, e.g., a LGPD assegura, há de se constatar uma radical relação entre o uso de algoritmos e as investigações neurocientíficas que abrem novos sentidos para o design de um presente e de um futuro próximo em que a manipulação parece ter se tornado a regra e a autonomia, a liberdade e a igualdade são devastadas, implicando, portanto, uma proteção que se volta para a produção/fortalecimento de camadas assecuratórias contra as afetações às emoções, aos sentimentos e à formação da memória, mirando notadamente no processo de tomada de decisão e ao desenvolvimento autodeterminado. Com a entrada do 5G no Brasil e, deste modo, na medida da aceleração do emprego de machine learning, e, mais especificamente, da Internet das Coisas (IoT)13, dispositivos neurais conectados à rede permitirão cada vez mais e melhor que indivíduos e ou organizações, públicas ou privadas, possam rastrear, induzir ou manipular a experiência mental de um indivíduo, tornando por vezes a ideia de livre arbítrio em uma nova falácia universal. Compreender o funcionamento cerebral, definir os limites éticos, técnicos e jurídicos do emprego dos neuroalgoritmos, bem como mapear as possibilidades de danos à personalidade, sobretudo no que se refere ao seu livre desenvolvimento se torna algo essencial e inadiável no cenário brasileiro em que a divisão digital e as campanhas de desinformação grassam e, por outro lado, há déficits graves em relação à educação, particularmente no que toca à cidadania digital e à perda gradativa da privacidade, inclusive mental14. Por derradeiro, evidencia-se que, para além dos danos pessoais e coletivos advindos da coleta e do tratamento indevido dos dados neurais, há custos sociais, políticos e sanitários que ainda não foram sequer mapeados e que afetam direta e indiretamente não somente a integridade física e psíquica dos indivíduos, mas se voltam e se tornam achaques radicais ao Estado de Direito, às instituições democráticas e, em particular, à pessoa humana15. *Gabrielle Bezerra Sales Sarlet é advogada, consultora, graduada e mestre em Direito pela Universidade Federal do Ceará (UFC), doutora em Direito pela Universidade de Augsburg(UNIA), pós-doutora em Direito pela Universidade de Hamburgo e pela PUCRS e especialista em neurociências e ciências do comportamento pela PUCRS. É professora dos cursos de graduação, mestrado e doutorado (PPGD) da Escola de Direito da Pontíficia Universidade Católica do Rio Grande do Sul (PUCRS). __________ 1 Disponível aqui. Consulta em: 23.03.2022 2 Exemplifica-se com a atuação da Akamai no parâmetro global da proteção de dados. 3 Kate Crawford & Jason Schultz, Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms, 55 B.C. L. Rev. 93 (2014). Consulta em:24.03.2022 4 Gutwirth, S., & De Hert, P. (2022). Privacy, Data Protection and Law Enforcement. Opacity of the Individual and Transparency of Power. Direito Público, 18(100). Consulta em:21.03.2022 5 OCDE. Good practice principles for Data Ethics in the Public Sector, 2020, pg. 04. Consulta em: 26.02.2022 6 DONEDA, Danilo. Panorama histórico da proteção de dados pessoais. In: Tratado de Proteção de dados pessoais. Mendes, Doneda, Sarlet, Rodrigues Jr e Bioni (Coordenadores). Rio de Janeiro: Forense, 2021, p. 04. 7 Greenleaf, Graham, Global Data Privacy Laws 2021: Despite COVID Delays, 145 Laws Show GDPR Dominance (February 11, 2021). (2021) 169 Privacy Laws & Business International Report, 1, 3-5, UNSW Law Research Paper No. 21-60, Available at SSRN: clique aqui ou clique aqui. Consulta em: 15.03.2022 8 Disponível aqui. Consulta em: 21.03.2022. 9 Browne, Simone. Dark Matters: On the Surveillance of Blackness. Duke University Press, 2015. 10 Hoffmann-Riem, W. (2022). A Proteção Jurídica Fundamental da Confidencialidade e da Integridade dos Sistemas Técnicos de Informação de Uso Próprio. Direito Público, 18(100). Consulta em:21.03.2022 11 ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta por um futuro humano na nova fronteira do poder. George Schlesinger (Trad). Rio de Janeiro: Intrinseca, 2020, p. 153-154. 12 Disponível aqui. Consulta em:20.03.2022 13 Mantelero, A. (2022). Electronic Democracy and Digital Justice: Driving Principles for AI Regulation in the Prism of Human Rights. Direito Público, 18(100). Consulta em:21.03.2022 14 NIJHOLT, A. 2009. BCI for Games: A 'State of the Art' Survey. In: Entertainment Computing -  ICEC 2008, edited by S.M. Stevens and S.J. Saldamarco, 225-228. Berlin, Heidelberg: Springer Berlin Heidelberg, p. 225. 15 NIJHOLT, A. 2009. BCI for Games: A 'State of the Art' Survey. In: Entertainment Computing -  ICEC 2008, edited by S.M. Stevens and S.J. Saldamarco, 225-228. Berlin, Heidelberg: Springer Berlin Heidelberg, p. 225.
Introdução  Na Parte I e II1-2 deste texto, publicadas no Migalhas em 2021, tratamos das distinções e dos pontos de conexão entre o processo de consentimento na área da saúde, tanto na pesquisa clinica e na assistência à saúde, e a Lei Geral de Proteção de Dados - LGPD; lei 13.709/2018. Dando sequência, nesta terceira e última parte, abordamos o processo de consentimento envolvendo crianças e adolescentes nesta mesma perspectiva, da pesquisa e da assistência na área da saúde, assim como a sua relação com a LGPD. O ato humano de consentir está diretamente conectado ao exercício da liberdade. O consentimento pode representar diferentes formas e sentidos de manifestação de vontade, tendo este ato efeitos jurídicos ou não, ajustando-se ao contexto normativo de apreensão da realidade como expressão da autonomia privada, conforme afirmamos na Parte I, deste texto. Relembramos o leitor, para manter o fio condutor das Partes I, II e III deste texto, que partirmos do entendimento que o ato de consentir na área da saúde, seja na assistência ou na pesquisa clínica, está integrado a um processo, composto de elementos intrínsecos e extrínsecos na perspectiva da pessoa que consente. Dissemos na Parte I:  Os elementos intrínsecos relacionados à condição ou a situação do consentidor, como a capacidade psicológico-moral e jurídica; as motivações subjetivas e/ou objetivas; e a forma, escrita ou verbal. Os elementos extrínsecos, aqueles postos pela situação concreta e jurídica, essenciais ao conhecimento do consentidor para respeitar os seus direitos informativos, de personalidade e de autodeterminação. O ato de consentir deve ser realizado sem inadequações éticas3 e/ou vícios de consentimento (erro ou ignorância, dolo, coação e estado de perigo)4. Clique aqui e confira a coluna na íntegra. __________ 1 FERNANDES, Márcia S.; GOLDIM, J.R. Os diferentes processos de consentimento na pesquisa envolvendo seres humanos e na LGPD - Parte I. Publicado em 1 de outubro de 2021. Acessível aqui. 2 FERNANDES, Márcia S.; GOLDIM, J.R. Os diferentes processos de consentimento na assistência à saúde e na LGPD - Parte II. 3 GOLDIM, José Roberto Goldim. O consentimento informado numa perspectiva além da autonomia. Revista AMRIGS, Porto Alegre, 46(3,4): 109-116, jul.-dez. 2002. Também acessível aqui. 4 Código Civil Brasileiro, Lei 10.406/2002; Capítulo IV - Dos Defeitos do Negócio Jurídico; artigos 138 ao 156 e Capitulo V - Da invalidade do Negócio Jurídico.
O periódico alemão especializado em proteção de dados e segurança da informação com abordagem interdisciplinar, Datenschutz und Datensicherheit (DuD)1, dedicou o tema central de seu último volume do ano de 2021 ao que se poderia denominar de intermediários para a utilização compartilhada de dados ou intermediários fiduciários de dados (Datentreuhänder)2. Os intermediários fiduciários atuam na ligação entre os agentes de tratamento de dados pessoais e os titulares de dados pessoais, de modo a agregar na proteção destes. Muito embora existam variados modelos de implementação dessas figuras, a sua atuação se dá a partir da disponibilização dos dados pessoais pelos titulares a esses intermediários, que poderão realizar tratamento técnico empregando processo de pseudonimização ou de anonimização dos dados pessoais antes de os remeterem ao agente de tratamento final3. Há, portanto, uma efetiva relação de confiança entre o intermediário e o titular de dados pessoais. Aquele atuará como ponte entre os que necessitam tratar os dados pessoais na economia da informação, mas ao mesmo tempo cuidará para que a autodeterminação informativa e os direitos do titular sejam preservados4. Assim, ocorre, na prática, o auxílio do intermediário ao titular de dados pessoais, pelo fato de este, no dia-a-dia, encontrar-se sobrecarregado na gestão das informações relacionadas a sua pessoa, muitas vezes concedendo o seu consentimento ou autorizando o compartilhamento de dados de forma apressada, não refletindo sobre as consequências e deixando de exercer os seus direitos5. A questão se situa no âmbito da Estratégia Europeia para Dados, de fevereiro de 20206, da qual derivou uma proposta de Regulamento Europeu relativo à governança de dados7. Essa proposta não abrange apenas dados pessoais, mas também, por exemplo, dados e informações relacionados a pessoas jurídicas, que possam inclusive ter valor comercial, mas que não se enquadram na definição de dado pessoal, como elementos relacionados aos direitos da propriedade intelectual e o segredo industrial. A ideia que move os europeus com a edição de um texto legal de governança de dados é a de melhoria das condições para o compartilhamento, de modo a que ocorra simplificadamente, de maneira interoperável e respeitando as legislações correlatas8. Há, ainda, inspiração na proposta de legislação nos princípios de governança de dados e reutilização de dados, conforme desenvolvidos para a área da pesquisa, os denominados princípios FAIR9, que estipulam que os dados, a princípio, devem ser passíveis de localização, de acesso, de reutilização, além de apresentarem interoperabilidade. Um dos questionamentos que se colocaria, e que deverá ser enfrentado pelos países e organizações que pretendem, de alguma forma, adotar o modelo de intermediários fiduciários, é o de se o respectivo ordenamento jurídico, no que toca às legislações de proteção de dados, é, a princípio, compatível com essa figura. No que diz respeito ao Regulamento Europeu de Proteção de Dados, a conclusão a que se tem chegado é que muito embora sejam diversas as possibilidades de estruturação do modelo de intermediários (por exemplo, centralizado ou descentralizado), não se vislumbraria uma barreira no texto legal em vigência10, ainda que se clame, para agregar segurança jurídica, por modificações legislativas como a do art. 8011. Sugere-se, na literatura, a implementação de um processo de certificação dos interessados em atuar como intermediários, mediante a submissão a uma supervisão estatal12. Trata-se de proposta bastante adequada quando se trata da área de proteção de dados pessoais, que envolve tão relevantes direitos fundamentais dos cidadãos.   Além disso, há que se discutir acerca da possibilidade da representação quando da outorga de consentimento pelo titular de dados pessoais. Esse questionamento é fundamental no que diz respeito aos titulares capazes: trata-se de ato personalíssimo ou passível de outorga de poderes para que se disponha sobre o dado pessoal e os direitos do titular? Em se trazendo o debate sobre o assunto para o Brasil, as mesmas perguntas deverão ser formuladas. Assim como na Europa, deve-se proceder a um teste de conformidade, mas, a princípio, a Lei Geral de Proteção de Dados não opõe obstáculos a sua implementação. A Agência Nacional de Proteção de Dados (ANPD) poderia atuar na questão a partir de sua competência para "promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade" (art. 55-J, VII, LGPD), e, posteriormente, conforme o resultado dos estudos, seria possível cogitar na edição de "regulamentos e procedimentos sobre proteção de dados pessoais e privacidade(...)" (art. 55-J, XIII). O próprio Conselho Nacional de Proteção de Dados e da Privacidade, que, da mesma forma (art. 58-A, LGPD), tem competência para elaborar estudos e realizar debates e audiências públicas sobre proteção de dados pessoais, poderia auxiliar a ANPD nessa tarefa. Em síntese, pode-se concluir que cabe pelo menos o lançar de olhos de forma mais detida sobre as variadas possibilidades de implementação do modelo de intermediários fiduciários de dados, posto que o seu emprego de modo adequado poderá desempenhar importante papel na missão de incrementar a observância da autodeterminação informativa do titular de dados pessoais e do respeito à legislação de proteção de dados.  *Fabiano Menke é professor associado de Direito Civil da Faculdade de Direito e do Programa de Pós-Graduação em Direito da Universidade Federal do Rio Grande do Sul - UFRGS. Doutor em Direito pela Universidade de Kassel, com bolsa de estudos de doutorado integral CAPES/DAAD. Coordenador do Projeto de Pesquisa "Os fundamentos da proteção de dados na contemporaneidade", na UFRGS. Membro Titular do Conselho Nacional de Proteção de Dados e da Privacidade. Membro Fundador do Instituto Avançado de Proteção de Dados - IAPD. Advogado e Árbitro. Instagram: menkefabiano. __________ 1 O periódico Datenschutz und Datensicherheit, denominação que significa proteção de dados e segurança de dados, é publicado pela editora Springer na Alemanha, mensalmente, desde o ano de 1977, e se notabiliza pela abordagem interdisciplinar da maioria de suas publicações, com muitas delas sendo escritas sob o ponto de vista técnico e jurídico. Tem endereço virtual em www.dud.de 2 A cogitação da figura desses intermediários não é nova, conforme apontam BUCHNER, Benedikt, HABER, Anna C., HAHN, Horst K., KUSCH, Harald, PRASSER, Harald, SAX, Ulrich e SCHMIDT, Carsten. Das Modell der Datentreuhand in der medizinischen Forschung. Datenschutz und Datensicherheit (DuD), 12/2021, p. 806-810. Segundo eles, já havia projetos acerca do assunto no ano de 1982, no âmbito do Conselho da Ciência alemão (Wissenschaftsrat). 3 KÜHLING, Jürgen. Der datenschutzrechtliche Rahmen für Datentreuhänder. Datenschutz und Datensicherheit (DuD), 12/2021, p. 783-788. 4 KÜHLING, Jürgen. Der datenschutzrechtliche Rahmen für Datentreuhänder. Datenschutz und Datensicherheit (DuD), 12/2021, p. 784. 5 LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. Migalhas de Proteção de Dados, 15 jan. 2021. Disponível aqui, último acesso em 10 mar. 2022; OLIVEIRA, Cristina Godoy Bernardo de; MORAIS, Luís Augusto Teixeira. Consentimento esclarecido: mera ficção? Migalhas de Proteção de Dados, 18 fev. 2022. Disponível aqui, último acesso em 10 mar. 2022. 6 https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=PT 7 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0767 8 Considerando 3, Proposta de Regulamento Europeu relativo à governança de dados. 9 https://www.go-fair.org/fair-principles/ 10 KÜHLING, Jürgen. Der datenschutzrechtliche Rahmen für Datentreuhänder. Datenschutz und Datensicherheit (DuD), 12/2021, p. 783-788. 11 SPECH-RIEMENSCHNEIDER, BLANKERTZ, SIEREK, SCHNEIDER, KNAPP, HENNE: Die Datentreuhand, Multimedia und Recht-Beil. 2021, 25, 46. 12 SPECH-RIEMENSCHNEIDER, BLANKERTZ, SIEREK, SCHNEIDER, KNAPP, HENNE: Die Datentreuhand, Multimedia und Recht-Beil. 2021, 25, 33.
Preliminares No dia 30 de setembro de 2021, em plena vigência da LGPD e da expectativa da aplicação das sanções (previstas para iniciarem no dia 1o de agosto do mesmo ano), o Banco Central (BC) comunicava o vazamento de mais de 400 mil chaves Pix1. O Pix ainda engatinhava nos seus recém completados 10 meses. Neste ano corrente já vimos outros dois vazamentos, e ainda nenhuma instituição foi penalizada. A Autoridade Nacional de Proteção de Dados, ANPD, responsável por apurar essas falhas de segurança relativas a dados pessoais, e punir os responsáveis, ainda se debate nas etapas preliminares de elaboração das sanções previstas na LGPD.  Enquanto isso, os correntistas afetados observam com desalento a adinamia da ANPD frente às entidades financeiras e o BC. Quem é quem nesta história toda é o que veremos a seguir. PIX O Pix é o sistema brasileiro de pagamento instantâneo; um sistema de transferência de fundos. Não é único no mundo. Similar ao FPS (Faster Payments Service), do Reino Unido, e o norte-americano Zelle, é um sistema auxiliar e precursor do real digital, a futura moeda digital brasileira. Embora tenha sido planejado, projetado, criado e gerenciado pelo respeitado Banco Central brasileiro, dados relacionados a mais de 500 mil chaves PIX já foram "vazados". Cabe afirmar que o termo "vazamento de dados" muitas vezes esconde a exposição indevida de dados pessoais ou o roubo de dados. Outras vezes, o roubo de dados seguido de exposição indevida. Duas infrações previstas na LGPD. Ambas situações são provenientes de falhas de segurança dos sistemas de informação (bancos de dados) nos quais se encontram informações pessoais. O Pix é um sistema de transferência digital de recursos entre contas e está disponível para todos os usuários das 734 instituições aprovadas pelo Banco Central e que tenham uma conta corrente, uma conta poupança ou uma conta de pagamento pré-paga. Diferentemente das transferências tradicionais, tais como o DOC e o TED, as transferências Pix são realizadas sem necessariamente o cliente conhecer a instituição, a agência e o número da conta do recebedor. As transferências são realizadas usando um número de telefone, um endereço de e-mail ou mesmo o CPF/CNPJ que se tornam chaves Pix, ou seja, códigos que se referem à individualização das informações bancárias de contas de seus clientes. Adicionalmente, os usuários podem escolher também uma chave aleatória que, como as anteriores, também serve como um apontador para a identificação de uma conta no sistema bancário nacional. Recordo que o Pix vai além das transferências de fundos e atua também como um sistema de pagamento. No último mês de janeiro, o sistema movimentou mais de R$639 bilhões por mais 120 milhões de usuários cadastrados no Diretório de Identificadores de Contas Transacionais - DICT do BC2. Além das transferências e pagamentos, o BC lançou em 29 de novembro de 2021 dois novos serviços, o Pix Saque e o Pix Troco. O Real está mesmo se tornando mais digital a cada dia. PIX: entendendo um pouco mais Tecnicamente, o sistema Pix é formado por dois grandes módulos, que são: 1) O SPI (Sistema de Pagamentos Instantâneos) que foi criado e é gerido pelo BC e atua como o sistema unificado, centralizado, de liquidação dos pagamentos. Todas as instituições cadastradas pelo BC para operarem o Pix, os chamados Provedores de Serviços de Pagamento (PSPs), mantêm uma conta específica no SPI, e; 2) O DICT (Diretório de Identificadores de Contas Transacionais). É por meio do DICT que os dados de identificação de endereços bancários, como CNPJ/CPF, e-mail e telefone são cadastrados. É esse serviço que permite buscar detalhes de contas transacionais (nome, instituição, agência, conta) direcionados pelas chaves Pix. Os dados respondidos pelo DICT permitem ao pagador, por exemplo, confirmar a identidade do recebedor3. Em resumo, todas as instituições vinculadas ao Pix usam o DICT para cadastrar e gerenciar as contas Pix, enquanto que o SPI é o sistema centralizado no BC que faz a liquidação, ou seja, o acerto de contas dos pagamentos e transferências. Todo esse sistema é, na prática computacional, muito mais complexo e intrincado do que esse resumo feito acima e limitado a apenas dois sistemas. O Pix é na verdade um conglomerado de vários subsistemas inter-relacionados que exigem técnicas avançadas de computação, criptografia e segurança de dados estabelecidas num conjunto de normas regulatórias controladas pelo BC. Essa rigidez do sistema e o alto grau de sofisticação exigida nos processos pode ser vislumbrada na fase de cadastro e homologação dos PSPs. Nessa fase de cadastro e homologação as instituições financeiras solicitaram o seu ingresso no sistema Pix. Essa homologação terminou em 16 de outubro de 2020.  Nesta data, o BC informou que 218 potenciais PSP desistiram ou tiveram seus pedidos negados para fazerem parte do sistema Pix. Entre esses quase-PSP estavam, não menos, a Caixa Econômica (o maior banco brasileiro em número de correntistas), o Banco XP, o Citibank, a Méliuz (voltaremos a ver esse nome), o OLX, a Magalu, o PayPal e a Rede (antiga RedeCard) do banco Itaú4. Os "vazamentos" ou infrações à LGPD Até o momento, foram três ocorrências de incidentes do sistema Pix, informadas pelo BC, que comprometeram dados pessoais. A primeira aconteceu em 24 de agosto de 2021 e foi comunicada pelo BC somente seis dias depois. Na ocasião, o Banco do Estado de Sergipe (BANESE) vazou 415,5 mil chaves Pix do tipo telefone. O vazamento ocorreu a partir do acesso de duas contas bancárias de clientes do BANESE [1, 5]. Cerca de seis meses depois, precisamente no dia 21 de janeiro deste ano, o BC informou que 160.147 chaves Pix em poder da Acesso Soluções de Pagamento foram vazadas. O incidente ocorreu entre os dias 3 e 5 de dezembro do ano anterior, comprometendo os seguintes dados pessoais: nome de usuário, CPF, instituição de relacionamento, número de agência e número da conta. A Acesso é uma empresa pertencente à Méliuz, uma startup unicórnio mineira. Aquela mesma que não participou da primeira homologação do Pix.5 Por fim, no último dia 3 de fevereiro, o BC informou que nos dias 24 e 25 de janeiro a LogBank expos 2.112 chaves Pix de clientes desta instituição de pagamento. Como nos casos anteriores, as informações vazadas eram cadastrais, como nome do usuário, CPF, instituição de relacionamento e número da conta.6 Quem falhou! A LGPD, no seu art. 5º, traz dois conceitos importantes relativos à aquisição, operação e administração de dados pessoais: as figuras do controlador e do operador de dados. "O controlador é aquele a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador é aquele que realiza o tratamento dos dados em nome do controlador."7 Dados os incidentes de segurança apontados aqui, especula-se que todos esses estejam diretamente relacionados às falhas de segurança por parte dos Provedores de Serviços de Pagamento, os PSP, que são responsáveis por relacionar as chaves Pix aos dados bancários das contas de seus clientes. Percebe-se que o Pix se configura, em parte, com uma grande base de chaves Pix, base essa fracionada e cujas frações correspondem aos dados enviados pelos PSP. Nesta configuração, entende-se que os PSP são operadores de dados, enquanto o BC é o controlador. O art. 46 da lei 13.709/2018 (LGPD) explicita que ambos agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais de acessos não autorizados.8 Ainda, o art. 44 da mesma lei, em seu parágrafo único, afirma que o controlador ou o operador respondem "pelos danos decorrentes da violação da segurança dos dados ... ao deixar de adotar as medidas de segurança previstas no art. 46 desta lei, der causa ao dano."9 Como sanção, em razão das infrações cometidas às normas previstas, de acordo com o art. 52 da LGPD, esta lei prevê punições que vão de advertência à multa de R$50 milhões por infração. No entanto, com exceção da multa pecuniária caso a penalidade seja aplicada ao Banco Central, a lei prevê a aplicação apenas às pessoas jurídicas de direito privado.10 É "vazamento" ou não. Segundo a ANPD, o vazamento de dados é uma das formas de "qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais". Além do vazamento, são listados como eventos adversos, os seguintes: "acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, ... ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais."11 Pelo episódio da última infração a LGPD e, similarmente às divulgações dos vazamentos anteriores, o controlador, ou seja, o BC avisou o seguinte: "Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência. Como nos casos anteriores, não foram expostos dados sensíveis, a ANPD (Autoridade Nacional de Proteção de Dados) foi avisada e as pessoas afetadas serão notificadas". Nesse comunicado, o BC alega que essas infrações têm baixo impacto por envolver apenas dados cadastrais, e não informações sigilosas, que permitiriam, por exemplo, movimentar recursos nas contas. O BC erra ao tentar desqualificar as informações como "dados não sensíveis", as quais, na forma da lei, realmente são pois não são dados "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico". Notem que o comprometimento de dados como, nome, instituição bancária, número da agência, número da conta corrente e chave Pix, como nos casos da Acesso e da LogBank, apesar de não serem "dados sensíveis" podem sim serem suficientes para, por exemplo, uma confirmação de dados numa conversa telefônica de um falso agente bancário. De posse destas informações, esse falso agente bancário, poderia levá-lo a uma grande variedade de golpes contra sua própria conta. Ademais, como em outros arroubos aos dados pessoais, tais informações podem ser complementares para uma eventual perfilização (profiling), um crime que ostenta enorme potencial lesivo12. Do ponto de vista técnico essas infrações podem ser consideradas como um comprometimento parcial do banco de dados. Faz-se uma analogia desta situação com a do bandido que almeja atacar um cofre escondido num quarto, mas que não consegue adentrar no cômodo, limitando-se "apenas" a pular o muro e entrar na sala de estar. Aumentando o desconforto e o desalento sobre esses vazamentos de dados, o presidente do Banco Central, Roberto Campos Neto, comentou, após os três primeiros episódios de vazamentos de dados em seis meses, que devido ao crescimento da base de operações do Pix, esses vazamentos irão ocorrer com alguma frequência13. O Pix é mais um sistema conhecido pelo nome genérico de Electronic Funds Transfer System (EFTS), ou simplesmente Electronic Funds Transfer (EFT). Este é um tipo de pagamento que, comparado às transferências eletrônicas anteriores, é mais rápido, simples, acessível e faz o pagamento diretamente. Tanto no Brasil, como no exterior, com a crescente descentralização bancária, os movimentos Open Banking e a forte presença das fintech, os EFT deverão ocupar a liderança nos sistemas de transferência e pagamento peer-to-peer, P2P, ponto a ponto. Infelizmente, todas essas facilidades trouxeram consigo novos tipos de crimes financeiros que podem ser divididos em quatro categorias: 1) Apropriação de contas, ou seja, o acesso não autorizado a conta; 2) Fraude por dispositivos móveis; 3) Vazamento de dados, e; 4) Atividades criminosas provenientes da Dark Web. Os tipos 1 e 2 são os tipos mais comuns de crimes financeiros e têm como causa principal o roubo de identidade. Para os dois serviços EFT mencionados anteriormente, o Zelle e o FPS, não foram divulgadas notícias sobre vazamentos de dados. Penso que a arquitetura e o gerenciamento destes dois serviços poderiam indicar ao BC novos direcionamentos que, ao menos, mitigassem esses vazamentos de dados e afastassem deste controlador a certeza e a impunidade nestas infrações a LGPD. *Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP com estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD. __________ 1 Security Report. Banco Central confirma vazamento de chaves Pix. Último acesso em 26 de fevereiro de 2022. 2 BC. Estatísticas do sistema PIX. Último acesso em 28 de fevereiro de 2022. 3 BC. Regulamentação relacionada ao Pix. Último acesso em 26 de fevereiro de 2022. 4 Folha, out de 2020. Banco Central aprova 762 instituições para o Pix; 218 desistem ou têm pedido negado. Último acesso em 28 de fevereiro de 2022. 5 EBC. Banco Central comunica vazamento de dados de 160,1 mil chaves Pix. Último acesso em 26 de fevereiro de 2022. 6 Valor Investe. Banco Central comunica segundo caso de vazamento de chaves Pix em menos de um mês. Último acesso em 28 de fevereiro de 2022. 7 Sobre os agentes de tratamento de dados: DRESCH, Rafael Freitas Valle; MELO, Gustavo da Silva. Quem vai colocar o guizo no gato? Migalhas de Proteção de Dados, 11 jun. 2021. Migalhas de peso. LGPD: Esclarecendo os papéis de controlador e operador. Último acesso em 28 de fevereiro de 2022. 8 Sobre compliance e LGPD: ROSENVALD, Nelson. O compliance e a redução equitativa da indenização na LGPD. Migalhas de Proteção de Dados, 19 mar. 2021, último acesso em 03 mar. 2022. 9 Sobre responsabilidade civil e LGPD: ROSENVALD, Nelson. A polissemia da responsabilidade civil na LGPD. Migalhas de Proteção de Dados,  06 nov. 2021, último acesso em 03 mar. 2022. 10 Cf. LIMA, Cíntia Rosa Pereira de Lima; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPD? Migalhas de Proteção de Dados,  06 ago. 2021, último acesso em 03 mar. 2022. DRESCH, Rafael Freitas Valle; MELO, Gustavo da Silva. A Autoridade Nacional de Proteção de Dados (ANPD): entre sanção e fiscalização. Migalhas de Proteção de Dados,  05 nov. 2021, último acesso em 03 mar. 2022. 11 ANPD. Comunicação de incidentes de segurança. Último acesso em 28 de fevereiro de 2022. Vide também: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Dever de Notificação dos Incidentes de Segurança com Dados Pessoais - Parte 1. 20 jun. 2021. Instituto Avançado de Proteção de Dados (IAPD), último acesso em 03 mar. 2022. 12 DA SILVA, Luciana Ferreira; SANTOS, Pedro Otto Souza; DE JESUS, Tâmara Silene Moura. Novos contornos do direito à privacidade: Profiling e a proteção de dados pessoais New contours of the right to privacy: Profiling and the protection of personal data. Brazilian Journal of Development, v. 7, n. 11, p. 104173-104185, 2021. Sobre Relatório de Impacto à Proteção de Dados: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 1, 28 maio 2021. Instituto Avançado de Proteção de Dados (IAPD), último acesso em 03 mar. 2022; ______; ______. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 2, 03 jun. 2021. Instituto Avançado de Proteção de Dados (IAPD).  https://iapd.org.br/relatorio-de-impacto-a-protecao-de-dados-parte-2/, último acesso em 03 mar. 2022.   13 Estadão. Pix: "Vazamentos vão ocorrer em alguma frequencia". Último acesso em 26 de fevereiro de 2022.
O ambiente atual onde são efetivadas as pesquisas eleitorais. Ernest Hemingway é o autor da clássica obra cujo título ilustra este artigo, que conta a comovente história ocorrida na Guerra Civil Espanhola onde a narrativa aborda três dias na vida de um americano que se ligara à causa da legalidade na Espanha. A partir de uma análise ácida e crítica com relação à atuação extremamente violenta das tropas de ambos os lados, transpassa-se a ideia de que este horrendo e violento episódio ocorrido no país ibérico nos idos de 1937, apenas se resumia num certo aspecto da crise do mundo moderno. A obra também referência o poema do sacerdote anglicano e escritor inglês John Donne, que contribui para a nossa conclusão reflexiva.1 Na ambiência brasileira atual, onde se desdobra a  busca por um processo eleitoral democrático, alinhavamos de forma figurada, estes episódios descritos pelo consagrado autor, com a sua carga de virulência intensa  e  violência, para o momento atual representado por um mundo distópico, impactado pelo avanço das tecnologias informacionais,  que se vê às voltas com um outro tipo de  combate, advindo de uma crise sanitária que interfere diretamente na taxa de mortalidade, gerando políticas públicas regionalmente  adotadas, para conter o avanço da epidemia e momentos de incerteza  e de tensão social. Exatamente neste ambiente pandêmico pré-eleitoral, são  construídas as  narrativas  internas das mais diversas, gerando  incrível polarização política  entre os articulados  grupos que almejam o poder presidencial, adotando linhas de pensamento aparentemente opostas, com inúmeras consequências, interferência e reflexos  diretos e indiretos no processo democrático, gerando no  eleitor uma legitima incerteza e apreensão quanto ao devir, com se tudo  não passasse de mais um "aspecto da crise do mundo moderno".   Na construção de um processo eleitoral justo e democrático, deve preponderar a máxima informação e igualdade entre candidatos, cabendo ao  ordenamento jurídico eleitoral se configurar não só para organizar e manter os principios e as premissas voltadas para a transparência e veracidade do escrutínio, como também para   efetivar repreensão de práticas abusivas onde se inserem as condutas relacionadas ao uso indevido dos meios de comunicação social ou que  possam gerar o  abuso do poder econômico ou o uso indevido de poder político. O crescimento da inclusão digital e acesso à internet no pais, possibilitando entre outras atividades, a interação de pessoas em redes sociais, é realidade como atesta a Pesquisa Nacional por Amostra de Domicílios (PNAD) de 2019, realizada pelo Instituto Brasileiro de Geografia e Estatística (IBGE), ao demostrar que 82,7% dos domicílios brasileiros têm acesso à internet. A partir de tecnologia computacional instrumentalizada em modelo   big data analytics e sistema machine learning de predição algorítmica com o uso de inteligência artificial, amplia-se ilimitadamente a capacidade de coletar e analisar grandes conjuntos de dados de qualquer natureza, inclusive os voltados ao objeto de pesquisas de intenção de votos. Esses e outros reflexos foram objetos de nossa análise em outra ocasião nesta coluna.2 Neste contexto, este singelo artigo busca lançar um olhar de alerta, ainda que reconhecidamente fugidio, para a transparência nas pesquisas eleitorais, evitando-se a interferência de ferramentas de base tecnológica, que operam e aprimoram a capacidade de tratar e analisar informações e dados coletados, com fins de predizer resultados. Pesquisas eleitorais registradas e sua importância no debate democrático O concurso das tecnologias informacionais, na formação de planos amostrais que são a base de pesquisas eleitorais de intenção de voto, deve ser objeto de detida análise, a julgar pelo fato de que podem de certa forma, interferir sobre resultados como se demonstrará, comprometendo a lisura do processo e os resultados da pesquisa. As pesquisas de opinião pública relativas às eleições ou aos candidatos, devem ser registradas na Justiça Eleitoral, cinco dias antes da divulgação de seus resultados e obedecer a um nível de transparência e de informações prévias, segundo dispõe a    lei 9.504/97. Entre estas informações, estão as seguintes: contratante, valor e origem de recursos e cópia da nota fiscal; metodologia; plano amostral e ponderação quanto a sexo, idade, grau de instrução, nível econômico e área física de realização do trabalho a ser executado, intervalo de confiança e margem de erro; sistema interno de controle e verificação, conferência e fiscalização da coleta de dados e do trabalho de campo; questionário completo aplicado ou a ser aplicado.3 A formação previa da base amostral de pesquisa, partindo da coleta de dados dos eleitores aptos a integrarem, não nos parece que possa primariamente ser conjugada com outras camadas de informações sobre estes eleitores. Ferramentas no modelo machine learning com uso de inteligência artificial, podem executar esta tarefa a conjugar outras bases de dados, possibilitando um aprendizado de máquina necessário para traçar um perfil destes eleitores, de forma tal que se possa analiticamente prever a sua intenção de voto modulando-se não só a sua percepção, como também o seu comportamento em nuances e escalas infinitas.4 Uma utilização de sistemas algorítmicos, efetivada previamente à realização da pesquisa, poderá contribuir para criar uma mácula no processo eleitoral democrático, caso estas ferramentas sejam utilizadas assertiva e previamente à realização da pesquisa, como forma de interferir no conceito da aleatoriedade da escolha do eleitor.         Esta possibilidade de predição de intenção de voto, de forma anterior à pesquisa, pode ser  baseada em características primariamente identificadas e ponderações acerca dos eleitores, contidas em bancos de dados disponíveis, que contribuirão para a concretitude do plano amostral da pesquisa, adicionando-se e conjugando-se em camadas de sobreposição a este perfilamento inicial, os dados estruturados e não estruturados  advindos de outros bancos de dados mais completos e de informações disponíveis  na internet e nas redes sociais como Facebook, Instagram e Twitter, como métricas  adicionais para  gerar o enriquecimento dos perfis originários dos  eleitores.5 Há estudos acerca da interferência dos resultados de  pesquisas no processo eleitoral, promovendo uma disparidade entre aqueles que as podem contratar e os que não podem, também alterando, ao menos potencialmente, o processo de formação do voto, como  menciona  a  professora  Eneida Desiree Salgado ao esclarecer que além da liberdade de voto, há que ser assegurada a liberdade de formação de opinião política a partir do debate de ideias e da submissão da opinião pessoal à apreciação dos demais, sempre garantindo a igualdade de oportunidades  entre os candidatos na disputa eleitoral.6 E bem nos esclarece Eneida Desiree Salgado que "A Constituição estabelece como norma estruturante do Direito Eleitoral o princípio constitucional da máxima igualdade entre os candidatos. Essa escolha reflete-se no princípio republicano e na ideia de igualdade construída na Constituição, que impõe uma regulação das campanhas eleitorais, alcançando o controle da propaganda eleitoral, a neutralidade dos poderes públicos, a vedação ao abuso de poder econômico e a imparcialidade dos meios de comunicação. A campanha eleitoral mostra se a eleição é livre e justa."7 No âmbito e contexto da garantia da liberdade de expressão e do direito à informação livre e plural no Estado Democrático de Direito, a pesquisa eleitoral torna-se ferramenta importante de auxílio ao processo eleitoral e ao debate. Todavia, não se pode deixar de observar um paradoxo onde a    divulgação de resultados de pesquisas eleitorais, acaba por exercer influência sobre o eleitorado, não importando a sua qualidade, forma ou autenticidade. Ainda, a formação do perfil do eleitor, a depender do enriquecimento desta base de dados especifica coletada e de quem de alguma forma teve acesso à mesma, pode gerar não só o acompanhamento cotidiano do eleitor e de seus rastros digitais, por meio de suas redes sociais interativas, com finalidades das mais diversas, entre as quais as indutoras do seu consumo, refletindo na intenção democrática de voto. Em ambiente de estrita polarização e de debates dirigidos de ideias, não basta a busca da transparência e lisura integral do processo eleitoral até o computo dos votos, há que se verificar se a utilização de tecnologias concorrentes e disponíveis no mercado, que são capazes de previamente predizer a intenção do voto do eleitor, com razoável margem de sucesso, se sintonizam com os princípio e ideários buscados a um estado democrático de direito.     A metodologia de amostragem da pesquisa eleitoral e a coleta de dados.  Na realização de uma pesquisa de intenção de votos, há que se definir a amostragem consistente do público alvo composto do universo de pessoas pesquisadas, a quantidade de pessoas que serão entrevistadas (por meio de ligações automatizadas, telefones fixos ou celulares ou por visita domicilia, entre outros.), regiões do pais a serem atingidas, perfil sócio econômico, idade etc. Tanto a seleção adequada da base de amostra como os resultados, passam por   cálculos estatísticos que deve seguir a técnica adequada na formação dos planos amostrais para a coleta aleatória de dados pessoais, sempre com a necessária transparência e   mínima intervenção manipulatória humana na pesquisa e na coleta, para que a pesquisa não possa ser viciada na sua origem.8 Em recente pesquisa  de opinião sobre Redes Sociais, Notícias Falsas e Privacidade na Internet, realizada  em parceria com as Ouvidorias da Câmara dos Deputados e do Senado Federal, constatou-se a  influência crescente das redes sociais como fonte de informação para o eleitor. Quase metade dos entrevistados (45%) afirmaram ter decidido o voto levando em consideração informações vistas em alguma rede social. O fato que gera certa perplexidade encontra-se na afirmação de que a principal fonte de informação do brasileiro hoje é o aplicativo de troca de mensagens WhatsApp, onde em 2,4 mil pessoas entrevistadas, 79% disseram sempre utilizar essa rede social para se informar.9 Para a realização de pesquisas eleitorais, via de regra se utilizam como fontes primarias de informações acerca do público alvo,  tanto o  banco de dados demográficos fornecidos pelo IBGE - Instituto Brasileiro de Geografia e Estatística, como também de informações públicas armazenadas pela Justiça Eleitoral onde o  Brasil é dividido em cinco regiões: Norte, Nordeste, Centro-Oeste, Sudeste e Sul, nas quais se agrupam os 27 estados da federação, com a finalidade de atualizar o conhecimento regional do País e viabilizar a definição de uma base territorial para fins de levantamento e divulgação de dados estatístico que formam a malha  setorial censitária, consistente de uma unidade territorial estabelecida para fins de controle cadastral, com dimensão e número de domicílios, que permitam a realização de  levantamentos  e recenseamento.10 Reflexos da Interferência algorítmica na pesquisa eleitoral Sem intenção de identificar nenhum caso concreto acerca das pesquisas registradas na Justiça Eleitoral até o momento, por absoluta falta de informação relacionada à utilização de ferramentas preditivas anterior a realização da pesquisa ou no momento de sua efetivação, como forma de detectar previamente a preferência do eleitor  por certos candidatos,  analisa-se a possibilidade do uso destas  tecnologia  sobre  os resultados eleitorais, a  ponto de gerar um desvio metodológico onde os resultados obtidos,  acabam por não demonstrar  efetivamente  a realidade intencional do voto, que poderia ser obtida a partir de uma coleta livre e aleatória de dados e  volume regional das amostras  despidas de  qualquer viés, a não ser os usualmente e metodologicamente utilizados para a  classificação do eleitor. As novas tecnologias baseadas em dados, fornecidos pelos próprios usuários, podem fazer nascer uma opinião pública irreal, induzida, forjada? Estas questões foram levantadas em artigo científico, pelos professores Luziane de Figueiredo Simão Leal e José Filomeno de Moraes Filho, esclarecendo afirmativamente que o   problema maior diz respeito à falta de transparência dos algoritmos, pois não se sabe ao certo, quais dados pessoais são recolhidos, quais critérios e como eles estão sendo utilizados.  Finalizam estes autores o ponto de vista, mencionando que " A reunião de dados pessoais e a customização deles para o interesse do "cliente" indicam que há muito para ser desvendado nesse campo. O dataísmo, termo utilizado para descrever as novas formas de pensar e de viver no mundo dos big datas, está sendo construído numa velocidade linear."11 Talvez a grande problematização sobre este tema, seja decorrente do uso de Inteligência artificial prévia, na  escolha  "aleatória"  das pessoas que comporão o  universo  de pesquisa  e o público alvo macro econômico  e social, destacadas de uma base maior de dados pessoais, fornecida por meios lícitos, com a posterior  modulação algorítmica prévia com a finalidade de se  criar uma sub-base   segmentada e especifica de eleitores cuja intenção de voto foi preditiva e antecipadamente detectada, por meio de ferramentas de base tecnológica que possibilitaram o cruzamentos de várias bases contidas em  banco de dados públicos, privados e advindos dos rastros digitais de eleitores em internet e em redes sociais. Há ferramentas de marketing no mercado, que podem realizar exatamente o que se mencionou, a  partir da coleta de certos dados, efetuando o  perfilamento do eleitor, por meio de  conjugação de sistemas de processamento no modelo big data analytics,  classificando e interpretando  milhares de dados estruturados e não estruturados que trafegam pela internet,  a ponto de claramente poder gerar uma   ressignificação pela construção de um potente perfil destes eleitores, apontando a sua tendencia de consumo e as suas preferencias políticas e eleitorais,  predizendo as tendencias de voto e possibilitando, além da  oferta de  produtos e serviços dedicados, a interação intencional por meio de suas redes sociais. Se esta possibilidade existe, convém lembrar que a LGPD - Lei Geral de Proteção de Dados tem como princípio a proteção dos dados pessoais desde a coleta até o descarte, obedecendo ao princípio "private by design". Portanto, é de se questionar se uma pesquisa que se utiliza de algoritmos e de tecnologia informacional de processamento de dados a ponto de segmentar previamente a base de eleitores, estará em sintonia com esta regra.12 Por meio de análise conjunta de dados -  "Conjoint analysis", aplica-se um método de medição útil para implementar a segmentação de mercado e o posicionamento, a partir de plataforma que analisa respostas em níveis individuais e agregados, contendo as medidas de preferência de consumidores (ou eleitores), em relação a conjunto de características de um determinado produto ou serviço. (ou candidato) Na análise da modulação em face dos sistemas algorítmicos, o Professor Sergio Amadeu Silveira esclarece que com a utilização de machine learning e soluções de algoritimos, as plataformas tecnológicas estruturam, processos de modulação para delimitar, influencias, reconfigurar o comportamento dos usuários, de forma tal que os mantenha disponíveis e ativos neste ambiente, para, inclusive, atender aos apelos de serviços, produtos ou ideias disponibilizadas pelos interessados neste público.13 Entre estas ferramentas preditivas, podemos citar a peoplescope que, segundo informes de seus criadores, possui a maior base de informações dos consumidores brasileiros, por meio do mapeamento do comportamento do titular dos dados pessoais, gerando o conhecimento das suas características únicas. A sua base de dados é composta a partir de informações do SPC, pesquisas do Target Group Index, Censo e Pesquisa Nacional por Amostras de Domicílios (PNAD), a partir do mapeamento do Brasil em 13 macrossegmentos com 42 segmentos populacionais com visões detalhadas de comportamento, atitudes, decisões de compras.14 O IBOPE Buzz, no ano de 2016, divulgou nas mídias que passaria a se utilizar da mencionada plataforma de pesquisa de dados de consumo e comportamento, possibilitando   segmentação da população e leitura de dados e dos rastros deixados pelos consumidores em suas transações comerciais, unindo informações censitárias colhidas em PNAD pesquisa nacional por amostras domicílios com informações de transações financeiras do consumidor para estabelecer segmentações comportamentais.15 A empresa IPEC inteligência, que assumiu parte das operações do IBOPE,  por sua vez, ofertou  em suas páginas  o produto denominado peoplescope Politico  apresentado como uma ferramenta que permite conhecer o eleitor, através de uma sobreposição de camadas de informações, e que contribui para a definição de uma estratégia de comunicação mais assertiva.16 Ressalta-se que não se tem conhecimento de que estas ferramentas tenham sido utilizadas nas pesquisas publicadas na Justiça Eleitoral. Todavia, parece-nos que este universo de fusão de dados maciços, possibilitado por plataformas de base tecnológicas  que permitem o cruzamento em camadas, de   dados pessoais sempre   com foco em um objetivo especifico, quando eventualmente utilizado com  viés indutivo para a consecução de  pesquisas eleitorais, poderá de certa forma,  comprometer  os critérios básicos de transparência do processo eleitoral democrático, gerando uma macula na base publica originária da coleta e reduzindo o conceito de aleatoriedade, gerando um erro analítico sério e motivado,  porque intencional. O viés amostral gerado pela ressignificação das pessoas dos  eleitores titulares de dados, a partir do enriquecimento destes  dados,  pode assim ser  uma possível fonte de erros amostrais, o que ocorre quando a amostra é escolhida de forma que alguns indivíduos terão a  menor probabilidade de serem inclusos na pesquisa  do que outros. Estes erros amostrais podem ser intencionais e abusivos, mesmo que tenham gerado reflexos positivos e esperados àqueles   que encomendaram a pesquisa.  Este tipo intencional de  erro pode ser considerado um  erro sistemático a partir de procedimento não informado de perfilação previa da base amostral. E a final, por quem os sinos dobram? Entre os principios estruturantes do direito eleitoral, identificados na Constituição Federal, encontram-se a autenticidade eleitoral que pressupõe a existência de um sistema de verificação de poderes e direito a uma eleição limpa; a máxima igualdade na disputa eleitoral, inclusive no que tange a pesquisas e controle da propaganda, além do princípio da legalidade no que for concernente ao âmbito eleitoral, também voltado para coibir abusos no período eleitoral. A Resolução -TSE nº 23.600, de 12/12/19, autoriza e legitima o acesso ao sistema interno de controle verificação e fiscalização da coleta de dados disponibilizados pelas entidades que divulgarem pesquisas eleitorais de opinião. Entre os legitimados estão o Ministério Público; as candidatas e os candidatos; os partidos políticos; as coligações e as federações de partidos.17 A concretização de direitos rompidos de alguma forma, em pesquisas eleitorais, é efetivada por meio de instrumentos processuais para a sua apuração e sanções jurídicas e políticas quando de seu cometimento, onde os legitimados indicados, podem   impugnar o registro ou a divulgação de pesquisas eleitorais perante o juízo ou Tribunal competente e, eventualmente, pleitear a suspensão da divulgação da pesquisa, sempre em busca da transparência do processo eleitoral democrático. O problema não está assim, na utilização de ferramentas predicionais com a finalidade de se detectar a possível vocação ao voto e hábitos de consumo do eleitor, mas sim na formação de uma base amostral de pesquisa, constituída após os resultados prévios obtidos nas ferramentas de predição, com o uso dos algoritmos e da inteligência artificial, para gerar o universo aleatório de pessoas que efetivamente serão sorteadas para responder à pesquisa, utilizando-se de cálculos e fórmulas matemáticas de forma tal que determinado percentual destas pessoas  escolhidas,  possam atender às expectativas esperadas por parte daquele grupo de interesse na pesquisa. A ocorrência de um erro de pesquisa amostral gera uma falha estrutural no processo, com severas interferências nos resultados, perdendo a pesquisa o seu caráter institucional informativo pretendido pela Justiça Eleitoral. A partir da quebra do princípio da aleatorialidade, prejudica-se o princípio da igualdade de oportunidades, com lesiva interferência na função democrática da formação da opinião pública e na real demonstração da vontade política. As consequências serão desastrosas e funesta, gerando imprevisibilidade tanto para os candidatos não beneficiados pelos resultados, como para os eleitores e para o pais.    Nesta sociedade onde se busca a redução da opacidade sistêmica em processos de pesquisas eleitorais, como forma de se evitar a assimetria informacional que possa gerar uma falha de processo de tal envergadura que comprometa a formação do processo decisório, relembra-se as palavras de John Donne ao mencionar que "nenhum homem é uma ilha e cada homem é uma partícula do continente, uma parte da Terra". As pessoas acabam compondo uma imensa rede neural tecnológica, com dados pessoais trafegando sem limite e sendo apropriados e utilizados pelos mais diversos sistemas, analisados, classificados, enriquecidos e ressignificados, desafiando regras protetivas destes dados, reduzindo e diminuindo o pleno exercício da cidadania e da democracia. "Se um torrão é arrastado para o mar, a Europa fica diminuída, como se fosse um promontório, como se fosse o solar de teus amigos ou o teu próprio. A morte de qualquer homem me diminui, porque sou parte do gênero humano. E por isso não perguntes por quem os sinos dobram, eles dobram por ti..."  *Adalberto Simão Filho é Professor Titular dos programas de Mestrado e Doutorado em Direitos Coletivos e Cidadania da UNAERP/RP, mestre e doutor em direito das relações sociais pela PUC/SP, pós doutor em direito e educação pela Universidade de Coimbra e  Pós-Doutorando em Novas tecnologias e Direito pala Mediterranea International for Human Rights Research- MICHR-Reggio-Calabria-Italy;  Diretor Jurídico do Instituto Avançado de Proteção de Dados- IAPD. __________ 1 Disponível aqui.  2 SIMÃO FILHO, Adalberto; RODRIGUES, Janaína de Souza Cunha. Coded Bias: O paradoxo dos algoritmos tóxicos em Inteligência Artificial e LGPD. Disponível aqui, acesso em 22 de fev. 2022. 3 OLIVEIRA, Cristina Godoy Bernardo de; GUIMARÃES NETO, Fernando Celso. Estado vigilante e regulação das fake News. Disponível aqui, acesso em 23 fev. 2022. 4 Cf. OLIVEIRA, Cristina Godoy Bernardo de; MEIRA, Rafael. Inteligência Artificial e Proteção de Dados: desafios e debates. Parte 1. Disponível aqui, acesso em 23 de fev. 2022. 5 vide a propósito  ENEAS, Guilherme et al. Predictive model for Brazilian presidential election based on analysis of social media. In: INTERNATIONAL CONFERENCE ON NATURAL COMPUTATION: FUZZY SYSTEMS AND KNOWLEDGE DISCOVERY (ICNC-FSKD). Kunming, 2019 disponivel aqui. 6 Salgado.Eneida Desiree ,Professora e pesquisadora em direitos constitucional e direito eleitoral tese de doutoramento  intituladaPRINCÍPIOS CONSTITUCIONAIS ESTRUTURANTES DO DIREITO ELEITORAL defendida na UNIVERSIDADE FEDERAL DO PARANÁ PROGRAMA DE PÓS-GRADUAÇÃO EM DIREITO - DOUTORADO- ano 2010, disponível aqui. 7 op. Cit. Pag. 247 8 Sobre os perigos de tratamento de dados sem a devida cautela vide: SOUSA, Maria Eduarda Sampaio de. Raspagem de dados (data scraping): a proteção de base de dados públicas pela LGPD. Disponível aqui, acesso em 23 de fevereiro de 2022. 9 Disponível aqui.  10 Disponível aqui.  11 Simão, Luziane de Figueiredo Leal e Moraes Filho,  José Filomeno de. In  Inteligência artificial e democracia: os algoritmos podem influenciar uma campanha eleitoral?Uma análise do julgamento sobre o impulsionamento de propaganda eleitoral na internet do Tribunal Superior Eleitoral , disponível aqui. 12 Sobre esta e outras reflexões vide: SOUSA, Maria Eduarda Sampaio de. Proteção de dados pessoais e eleitorais na esfera pública e privada: análise segundo a LGPD. Disponível aqui, acesso 23 de fev. 2022; ______. LGPD e eleições: proteção dos dados pessoais dos eleitores na era do Bigdata. Disponível aqui, acesso 23 fev. 2022. 13 Silveira, Sergio Amadeu, in A noção de modulação e os sistemas algorítmicos. Publicado na obra A sociedade de controle. Manipulação e modulação nas redes digitais, organizada conjuntamente com Joyce Souza, Rodolfo Avelino. Editora Hedra, São Paulo. 2018, pag.42. 14 Disponível aqui.   15 Disponível aqui.   16 Disponível aqui. Segundo informes da Wikipedia,  em 2014, o grupo estrangeiro Kantar comprou a divisão de mensuração de audiência televisiva e pesquisas de mídia do IBOPE, criando a Kantar Ibope Media. Por conta disso, a família Montenegro criou a Ibope Inteligência, divisão que deu continuidade às atividades de pesquisas de opinião e de mercado do antigo Ibope. Em janeiro de 2021 a empresa encerrou atividades após o fim do contrato de cessão de marca com a Kantar Ibope Media. Executivos remanescentes do Ibope fundaram, então, uma nova empresa de pesquisas, o Ipec Inteligencia e Pesquisas em consultoria estratégica que entre seus produtos ofertados, encontram-se os seguintes: BUS, i-Renome, c-Trademark, Iflux, ICS, Peoplescope Político, Avalia, Conexão Criativa. (Clique aqui) 17 Outras reflexões em: LIMA, Cíntia Rosa Pereira de; SOUSA, Maria Eduarda Sampaio de. LGPD e combate às fake news. Disponível aqui, acesso em 22 fev. 2022.
sexta-feira, 18 de fevereiro de 2022

Consentimento esclarecido: mera ficção?

Uma questão que tem se destacado nos últimos tempos é a do consentimento livre e esclarecido que consta na LGPD - Lei Geral de Proteção de Dados Pessoais (13.709/2018) - como um dos requisitos para tratamento de dados pessoais. O consentimento colhido em páginas da internet ou em aplicativos é mesmo esclarecido? O cidadão comum está apto a entender de forma integral os termos de uso ou os contratos que informam sobre o tratamento dos dados pessoais?1 Quando utilizamos qualquer aplicativo ou acessamos qualquer conteúdo na internet somos levados a uma página ou tela em que temos que aceitar os termos de uso.2 São parágrafos e mais parágrafos com linguagem tecnológica e jurídica que, convenhamos, quem está louco para acessar uma rede social ou um aplicativo da moda, jamais terá paciência para ler e minimamente entender. Tais aplicativos ou acesso a conteúdos, muitas vezes ditos gratuitos, são muito bem remunerados com um valiosíssimo ativo: dados para serem transformados em informação e lucros e, por isso, devem, de acordo com a LGPD, ser disponibilizados de forma consciente pelo titular dos dados, isto é, o consentimento deve ser informado, livre, expresso, específico e inequívoco. Entretanto, estudos empíricos têm demonstrado que é muito pequeno o número de pessoas que leem os termos de uso ou os contratos firmados pela internet: um desses estudos afirma que apenas 0,05% a 0,22% abrem o link onde constam os termos de uso e somente uma ínfima parcela destes deixa a janela aberta por tempo suficiente para ler seu conteúdo integralmente3. Ou seja, se as pessoas não leem os clausulados, como exigir delas seu entendimento? Como dizer categoricamente que determinada pessoa consentiu de forma esclarecida sobre o tratamento de seus dados pessoais? Quando alguém aceita os termos de uso de um aplicativo não quer nada além do que utilizá-lo. Não quer autorizar o tratamento e a monetização de seus dados pessoais, pensa apenas nos aspectos envolvidos diretamente com o produto e não com outros aspectos, como o de ter seus dados coletados por meio de cookies para finalidades empresariais alheias aos seus interesses.4 Assim, o titular dos dados começa a utilizar os serviços e quando ocorre algo que crê ilícito, como por exemplo, que terceiros tenham acesso aos seus dados sem autorização, procura o Judiciário para proteção de seus direitos.  Ato contínuo, vê-se contraditado pelo advogado da empresa ré com o argumento de que deu seu consentimento de forma livre e esclarecida sobre o que fariam ou deixariam de fazer com seus dados, quando passou a utilizar o aplicativo "x" de uma empresa parceira. Nesse momento, o titular dos dados alega que não leu os termos de uso e que, mesmo se tivesse lido, não teria entendido que seus dados seriam repassados a terceiros, o que é refutado pelo advogado, que afirma que o consentimento esclarecido pode ser comprovado com o "log" do sistema, que demonstra que o clique no botão "aceito" está devidamente vinculado ao IP - Internet Protocol - do dispositivo do autor da ação e que, inclusive, a barra de rolagem da janela aberta, com os termos de uso, foi corrida até o final, demonstrando que o contrato foi lido por inteiro. No entanto, o uso de um computador pessoal ou de um smartphone pode ser compartilhado com terceiros, que para terem acesso à determinada página na internet ou aplicativo, aceitam os termos de uso, vinculando um dispositivo que guarda informações de seu proprietário e não do usuário eventual (terceiro), sendo que os cookies instalados coletam dados de uma pessoa que, sequer, utilizou o serviço. Assim, fica claro que vincular o clique no botão "aceito" à determinada pessoa é algo que, primeiramente, não demostra de forma inequívoca que o clique foi dado pela pessoa que tem a propriedade do smartphone ou do computador pessoal e, menos ainda, demonstra que o botão "aceito" foi clicado após o pleno entendimento dos termos.5 Porém, o titular dos dados não pode ser prejudicado por uma presunção de que o consentimento foi esclarecido. Se o entendimento dos termos é tratado como uma ficção, nada mais justo do que dar ao titular um tratamento diferenciado, pois a relação jurídica deve ser reequilibrada, sendo que, se há sujeição a uma presunção de entendimento, haverá de ter uma maior proteção, no sentido de que cláusulas abusivas, obscuras, ambíguas ou limitadoras de direitos possam ser anuladas a despeito do consentimento dado. No entanto, a LGPD, assim como outras leis de proteção de dados pessoais estrangeiras, busca adjetivar o consentimento de forma a qualificá-lo para além do consentimento meramente informado6. Nesse sentido, a exigência de que a empresa prove de maneira inequívoca que o titular de dados leu e compreendeu os termos do contrato ou dos termos de uso não deveria estar sob a influência da mera transparência7, que exige que o fornecedor apenas comprove que disponibilizou os clausulados para leitura. Isso se deve ao princípio da autodeterminação informativa, que dá poderes ao titular de dados para fazer, de forma consciente e esclarecida, aquilo que achar por bem com seus dados pessoais, sendo que o judiciário deveria exigir a comprovação da leitura e do entendimento do contrato, não bastando a prova da mera abertura de um link com as cláusulas. A fim de contribuírem com a possibilidade do consentimento esclarecido, alguns autores propõem que as cláusulas que restringem direitos devem ser destacadas e que devam exigir anuência expressa e específica, não bastando a simples referência à política de proteção de dados e privacidade8. Outros propõem que os termos de uso e que as políticas de privacidade sejam mais bem explicitadas, utilizando-se, para isso, de meios mais atrativos do que a leitura de contratos9. Poderiam ser propostas diversas soluções para que se tentasse proporcionar maior esclarecimento ao titular de dados, como o uso de vídeos explicativos, de questionários, de resumos dos principais pontos ou simplesmente de um lapso de tempo suficiente entre o acesso às cláusulas e o aceite, já que não faltam recursos para que empresas de alcance global e altamente tecnológicas utilizem parte deles para traduzir para uma linguagem acessível os termos de consentimento.  Entretanto, tais soluções são apenas uma tentativa vã de se dar a conhecer os termos de uso ou os contratos, posto que, talvez, nem mesmo com informações mais palatáveis estivéssemos dispostos a utilizar nosso tempo com coisas que falam sobre os nossos direitos, dado o elevado interesse em desfrutar do serviço da forma mais imediata possível e a forte sensação de que a leitura é inútil. O tratamento de dados pessoais é coisa fluida e o cidadão comum não sabe muito bem do que se trata10, pois envolve conceitos tecnológicos pouco acessíveis. Dessa forma, sobrecarregar o titular dos dados com a obrigação de um entendimento completo acerca de seu tratamento é uma forma de injustiça, já que o agente de tratamento não tem nenhuma obrigação expressa estabelecida na LGPD de informar de modo minimamente inteligível para todos os riscos possíveis, até mesmo, porque as empresas que alertassem desse modo poderiam ter seus lucros prejudicados. Conclui-se que, por mais que a LGPD tenha dado poderes ao titular dos dados pessoais para a autodeterminação informativa, não fez exigências mínimas para que os termos de uso ou os contratos sejam claros o suficiente para que o cidadão possa consentir de modo inequivocamente esclarecido. E, dada essa falha, a ficção do consentimento esclarecido deve ser neutralizada por uma proteção mais robusta aos titulares de dados com a relativização do consentimento em casos específicos de prejuízos aos seus direitos. *Cristina Godoy Bernardo de Oliveira é Professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD. **Luís Augusto Teixeira Morais é Advogado inscrito na OAB/SP. Mestre em Direito pela Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo. __________ 1 SCHERMER, B. W.; CUSTERS, B.; HOF, S. VAN. The Crisis of Consent: how stronger legal protection may lead to weaker consent in data protection. p. 1-19, 2014. Disponível aqui. Acesso em: 10.fev.2022. 2 Cf. LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. Disponível aqui, acessado em: 12.02.2022. 3 BAKOS, Yannis; MAROTTA-WURGLER, Florencia; TROSSEN, David R. Does anyone read the fine print? Consumer attention to standard-form contracts. The Journal of Legal Studies, v. 43, n. 1, p. 1-35, 2014. 4 OLIVEIRA, Cristina Godoy Bernardo de; MEIRA, Rafael. Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook - Parte 3. Disponível aqui, acessado em 12.02.2022. 5 LIMA, Cíntia Rosa Pereira de; FLAUZINO, Ana Clara Gonçalves. Visual Law e LGPD: reflexões sobre a concretização do princípio da transparência. Disponível aqui, acessado em 12.02.2022. 6 BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019. 7 REGO, Margarida Lima. Manifesto contra a subversão do contrato. Themis: Revista de direito, n. 6, p. 267-294, 2018. Disponível aqui. Acessado em: 10.02.2022 8 LIMA, Cíntia Rosa Pereira de. O ônus de ler o contrato no contexto da "ditadura" dos contratos de adesão eletrônicos. Disponível aqui. Acessado em 10.fev.2022. 9 OLIVEIRA, Jordan Vinícius de; SILVA, Lorena Abbas da. Cookies de computador e história da internet: desafios à lei brasileira de proteção de dados pessoais. Revista de Estados Jurídicos UNESP, ano 22, n. 36, p. 307-388, 2018. Disponível aqui. Acesso em: 10.fev.2022. 10 TOBBIN, Raissa Arantes; CARDIN, Valéria Silva Galdino. Política de cookies e a "crise do consentimento": Lei Geral de Proteção de Dados e a autodeterminação informativa. Revista da Faculdade de Direito da UFRGS, Porto Alegre, n. 47, p. 241-262, dez. 2021.
A lei 13.709/18, também nomeada Lei Geral de Proteção de Dados ("LGPD") traz, em seu artigo 5º, uma série de conceitos importantes, servindo como um "manual de instrução" para orientar na aplicação da legislação. No entanto, tais conceitos são muito mais complexos do que se apresentam, como é o caso do conceito dos agentes de tratamento de dados (inc. IX), que seriam o controlador e o operador, segundo o texto da lei. A LGPD oferece, ainda, um conceito de controlador, no inc. VI do art. 5º, entendido como "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". Além deste, o inc. VII do mesmo artigo da lei traz o conceito de operador, entendido como "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador". Aparentemente tais conceitos poderiam se apresentar, à primeira vista, como simples e com clara definição legal. Todavia, a LGPD foi omissa quanto a outras figuras como a possibilidade de controladoria conjunta (joint controllers) e suboperadores (sub processors). Diante disso, a Autoridade Nacional de Proteção de Dados (ANPD) elaborou o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado".1 Nesse documento, está clara a possibilidade e legalidade da contratação do suboperador, caracterizado como o "contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador". Segundo o guia orientativo da ANPD a relação direta do suboperador é com o operador e não com o controlador. No entanto, esse ajuste suscita o debate acerca da responsabilidade civil decorrente dos prejuízos que possam ser causados pelos suboperadores. E, além disso, muito embora exista uma relação direta entre operador e suboperador, o operador deve dar ciência ao controlador e dele obter uma autorização genérica ou específica, na medida em que a relação jurídica entre controlador e operador fundamenta-se na confiança. Diante disso, pode-se afirmar que o operador é mandatário do controlador na atividade de tratamento de dados, pois aquele realiza o tratamento de dados em nome do controlador como na definição acima destacada. Tendo em vista todo o sistema de proteção de dados, com destaque para a responsabilização pelos danos causados no tratamento de dados (art. 42 da LGPD), o controlador contrata um operador com base na confiança, ou seja, espera que este realize o tratamento de dados conforme as instruções e a legalidade. Orlando Gomes conceitua o mandato como "o contrato pelo qual alguém se obriga a praticar atos jurídicos ou administrar interesses por conta de outra pessoa".2 No contexto das atividades de tratamento de dados pessoais, o controlador contrata o operador (pessoa física ou jurídica) para praticar algumas atividades de tratamento de dados, que pode ser uma atividade específica, como o armazenamento em nuvem; ou uma atividade mais genérica, como contratar uma empresa de marketing digital para divulgar seus produtos ou serviços, administrando seus interesses. Miguel Maria de Serpa Lopes3 destaca os caracteres jurídicos do mandato, sendo este intuitu personae, podendo ser revogável ad nutum, pois esse contrato está fundado na "confiança do mandante quanto à idoneidade técnica e moral do seu mandatário. Tanto que desapareça ou tenha motivos para não estar dela seguro, concede-lhe a lei o poder de revogar ad nutum os poderes representativos concedidos." É justamente isso que ocorre na relação jurídica entre controlador e operador. O primeiro contrata uma pessoa física ou jurídica para realizar determinadas atividades de tratamento de dados, confiando na sua capacidade técnica, moral, bem como na rigorosa observância da LGPD na tarefa de realizar o tratamento de dados. Todavia, as atividades de tratamento de dados são cada vez mais complexas, surgindo a necessidade por parte do operador de contratar serviços especializados para uma atividade específica ou genérica no tratamento de dados. Um exemplo, muito comum, seria a contratação de uma empresa de marketing digital por uma empresa "A", que determina quais dados pessoais serão coletados e a forma e duração do armazenamento (decisões que competem ao controlador, no caso a empresa "A"). Para realizar o marketing digital, "A" contrata a empresa "B" que desenvolve as campanhas, podendo usar uma ferramenta web de outras empresas (que seriam suboperadoras, de atividades genéricas) ou pode, ainda, contratar uma empresa "C" para armazenamento em nuvem (que será suboperadora para uma atividade específica). Em todo caso, o ideal é que o contrato entre controlador e operador prevejam a possibilidade ou a proibição de um suboperador, como ocorre no contrato de mandato quanto ao substabelecimento. Isto porque, dependendo da hipótese, pode o operador ter sua responsabilidade aumentada como, por exemplo, prescreve o Código Civil na proibição do substabelecimento. Portanto, podem ocorrer três hipóteses: 1ª) proibição expressa no contrato entre controlador e operador quanto à possibilidade de o operador se valer de um suboperador: neste caso, deve-se aplicar o §1º do art. 667 do Código Civil, respondendo o operador pelos prejuízos causados, ainda que provenientes de caso fortuito, a menos que prove que os prejuízos ocorreriam mesmo que não tivesse atuado o suboperador (aumentando a responsabilidade do operador - perpetuatio obligationis). 2ª) omissão no contrato entre controlador e operador quanto à possibilidade de o operador se valer de suboperador: neste caso, o operador será responsável mediante a comprovação de culpa (negligência, imprudência e imperícia) do suboperador, aplicando o §4º do art. 667 do Código Civil. 3ª) previsão no contrato entre controlador e operador quanto à possibilidade de o operador se valer de um suboperador: neste caso, o operador deve honrar a confiança depositada pelo controlador e escolher com a máxima diligência o suboperador sob pena de ser responsabilizado (culpa in eligendo) nos termos do §2º do art. 667 do Código Civil. Justamente diante da possibilidade de o operador contratar um suboperador e a lacuna da LGPD, o contrato entre controlador e operador deve estabelecer regra específica sobre a possibilidade ou proibição de tal prática, implicando a extensão da responsabilização do operador em virtude de prejuízos ocasionados na atividade de tratamento de dados pessoais desenvolvida pelo suboperador. Além disso, muito embora o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado", da ANPD,4 afirme ser recomendável obter a autorização do controlador para poder contratar um suboperador, entendemos que, diante do princípio da boa-fé objetiva, mencionado expressamente no caput do art. 6º da LGPD, somado ao caráter intuitu personae do contrato entre controlador e operador, este, caso queira  se valer da suboperação nas atividades de tratamento de dados, deve sempre dar ciência e obter a autorização específica ou genérica do controlador. Nesse sentido, o Regulamento Geral Europeu de Proteção de Dados5 expressamente determina o dever do operador de obter a autorização para contratar um suboperador (art. 28, parágrafos 2 e 4), e prevê, ainda, a possibilidade de o suboperador contratar outro suboperador. Importante que todos suboperadores ofereçam garantias suficientes de que adotarão medidas técnicas e organizacionais adequadas ao cumprimento da lei de proteção de dados. O tema foi objeto de regulamentação pelo European Data Protection Board, nas Guidelines 07/2020 sobre os conceitos de controlador e operador em matéria de proteção de dados.6 Essa autorização pode ser dada no início da contratação entre controlador e operador, nada impedindo, porém, que ela seja posteriormente concedida mediante um adendo ao contrato ou um instrumento com a descrição específica ou genérica das atividades que serão realizadas pelo suboperador, desde que seja anterior às atividades de tratamento de dados realizadas pelo suboperador. O aumento da responsabilidade do operador justifica-se como forma de estímulo para que tal prática seja adotada pelo operador, ou seja, é mais seguro atuar nas atividades de tratamento de dados pessoais, mediante autorização expressa do controlador para a suboperação. A exigência de autorização por parte do controlador é fundamental porque ele pode não concordar com a contratação de determinado suboperador, podendo optar por contratar diretamente o suboperador. Tal medida é fundamental, pois diante do sistema de responsabilidade civil, preconizado pela LGPD em diálogo com outras leis existentes, como o Código de Defesa do Consumidor, sendo uma relação jurídica de consumo, o controlador tem total interesse em avaliar a capacidade técnica do suboperador que será contratado. Ademais, se o operador não seguir as instruções do controlador, como a proibição da suboperação, o operador equipara-se ao controlador para fins de responsabilidade civil em razão do exercício de atividade de tratamento de dados pessoais, segundo a parte final do inciso I, do § 1º do art. 42 da LGPD. Em suma, tal autorização não afasta a responsabilidade do operador pelos prejuízos oriundos das atividades de tratamento de dados do suboperador, mas pode diminuir na medida em que somente responderá caso tenha escolhido mal o suboperador ou caso ele não tenha seguido as instruções dadas pelo controlador. Sendo, no entanto, a contratação de suboperador proibida, há um aumento da responsabilidade do operador perante o controlador, respondendo ele, ainda que os danos decorram de caso fortuito. Por fim, não tendo sido expressamente autorizada a contratação de suboperador, nem tampouco tenha sido ela proibida, uma importante pergunta desponta inafastavelmente: tal prática pode ser considerada regular e adequada tendo em vista a obrigatoriedade da obtenção de autorização expressa e prévia do controlador para que o operador possa contratar um suboperador? Neste sentido, o melhor entendimento é interpretar que na omissão de tal previsão no contrato entre controlador e operador, caso a complexidade da atividade de tratamento de dados demande, seja possível a contratação de um suboperador, desde que obtida a autorização prévia do controlador, sob pena de ainda ser responsabilizado o operador por caso fortuito. Por fim, quando for autorizada a contratação de um suboperador, deve o operador informar quais suboperadores foram contratados e que atividades de tratamento de dados eles realizaram, porque tal informação é de suma relevância para o correto mapeamento dos dados pessoais e para o registro das operações de tratamento de dados, obrigação imposta ao controlador no art. 37 da LGPD,7 além de ser um ponto a ser considerado na Política de Segurança e Controle de Incidentes com Dados Pessoais pelos controladores.8 Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES-PDEE. Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada. Newton De Lucca é professor Titular da Faculdade de Direito da Universidade de São Paulo. Professor do Corpo Permanente da Pós-Graduação Stricto Sensu da UNINOVE. Desembargador Federal, Presidente do Tribunal Regional Federal da 3a Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-Presidente do Instituto Avançado de Proteção de Dados. __________ 1 BRASIL. Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília (DF), maio de 2021. Disponível aqui, acesso em 08 fev. 2022. 2 GOMES, Orlando. Contratos. 18 ed. Rio de Janeiro: Forense, 1999. p. 347. 3 SERPA LOPES, Miguel Maria de. Curso de Direito Civil. Vol. IV: Fontes das Obrigações: Contratos. 5. Ed. Rev. e Atual. Rio de Janeiro: Biblioteca Jurídica Freitas Bastos, 1999. p. 313. 4 BRASIL. Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília (DF), maio de 2021. Disponível aqui, acesso em 08 fev. 2022. p. 19. 5 UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European parliament and of the council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível aqui, acesso em 08 fev. 2022. 6 UNIÃO EUROPEIA. European Data Protection Board. Guidelines 07/2020 on the concepts of controller and processor in the GDPR (02 de setembro de 2020). Disponível aqui, acesso em 08 fev. 2022. p. 39. 7 Sobre a distinção entre mapeamento de dados pessoais e registro das operações de tratamento de dados: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 1. Disponível aqui, acesso em 10 fev. 2022; LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 2. Disponível aqui, acesso em 10 fev. 2022. 8 Sobre o dever de notificação: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Dever de Notificação dos Incidentes de Segurança com Dados Pessoais - Parte 1. Disponível aqui, acesso em 10 fev. 2022.
A lei 13.709/18, também nomeada de Lei Geral de Proteção de Dados ("LGPD") traz, em seu artigo 6º, os princípios que as atividades de tratamento de dados pessoais devem observar. Dentre os dez princípios elencados, além da boa-fé objetiva, destaca-se o da transparência, compreendido como a "garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial". É fato que, por vezes, o Direito não se apresenta como o ramo de conhecimento mais acessível à sociedade, sendo permeado por expressões, nomenclaturas e termos incompreensíveis por aqueles que não atuam na área. Essa característica afasta justamente aqueles para quem as normas são criadas e visam proteger: os sujeitos de direito.  Sendo assim, um grande desafio aos operadores jurídicos e, no contexto da proteção de dados, aos agentes de tratamento, é encontrar formas de afastar o "juridiquês" e tornar a mensagem plenamente clara ao interlocutor, sem abandonar a seriedade do conteúdo, contudo, garantindo o acesso à Justiça. Para tanto, o Visual Law pode ser uma solução, inclusive, para a concretização do princípio da transparência, cumprindo-se o que determina a LGPD. Norma é gênero, de que são espécies: a) os princípios; e b) as regras. Neste sentido, Eros Roberto Grau1, distingue os princípios e regras, na medida em que estas são editadas para serem aplicadas a uma situação jurídica determinada; ao passo que, o princípio tem um conteúdo mais genérico porque comporta uma série indefinida de aplicações. Outra distinção relevante feita por Humberto Ávila2, para quem princípios e regras são espécies do gênero norma, afirma que estes textos normativos distinguem-se pelo caráter comportamental descritivo da regra e finalístico dos princípios. Segundo este Humberto Ávila3: "As regras são normas imediatamente descritivas na medida em que estabelecem obrigações, permissões e proibições mediante a descrição da conduta a ser cumprida. Os princípios são normas imediatamente finalísticas, já que estabelecem um estado de coisas cuja promoção gradual depende dos efeitos decorrentes da adoção a ela necessários. Os princípios são normas cuja qualidade frontal é, justamente, a determinação da realização de um fim juridicamente relevante, ao passo que característica dianteira das regras é a previsão do comportamento." Conforme destaca Rony Vainzof4, entende-se como princípio "toda norma jurídica considerada determinante de outra ou outras que lhe são subordinadas, que a pressupõem, desenvolvendo e especificando ulteriormente o preceito em direções mais particulares". Em outras palavras, princípios podem ser entendidos como norteadores de normas e, consequentemente, de seu cumprimento.  Especificamente quanto ao princípio da transparência, Vainzof destaca que este é essencial "para garantir a confiança nos procedimentos, permitindo a compreensão dos titulares que, se necessário, poderão desafiá-los e exercer seus direitos."5 Esse princípio não é novidade, já consagrado pela doutrina consumerista, consoante as lições de Claudia Lima Marques.6 Semelhantemente, o princípio da transparência está consagrado desde a Convenção 108 do Conselho da Europa - datada da década de 1980 - e nas Guidelines da OCDE, também chamado de princípio da publicidade, segundo Doneda:7 "[...] a existência de um banco de dados com dados pessoais deve ser de conhecimento público, seja mediante a exigência de autorização prévia para funcionar, da notificação a uma autoridade sobre sua existência; ou na divulgação de relatórios periódicos." Por óbvio, não basta apenas publicizar informações acerca do tratamento de dados sem se preocupar com a forma que o titular as receberá e se ele será capaz de entender o conteúdo da mensagem. É preciso, para o efetivo cumprimento da Lei, que a comunicação se dê sem ruídos, ou seja, que o emissor seja capaz de transmiti-la de modo que o receptor não fique em dúvida quanto a seu alcance. Quanto mais didática e compreensível a linguagem utilizada, mais se aproximará da desejada transparência. Uma ferramenta facilitadora para a comunicação são as imagens. Nesse contexto, não é difícil enxergar como o uso do Visual Law pode auxiliar na concretização do princípio sobre o qual aqui se reflete. O Visual Law, que é uma subárea do Legal Design, pode ser conceituado como o uso de ferramentas visuais com objetivo de auxiliar no entendimento de um texto jurídico que, tradicionalmente, seria transmitido de forma escrita. Como recursos utilizados temos os gráficos, ilustrações, ícones, vídeos, fluxogramas, organogramas, linhas do tempo, entre outros. Apenas para melhor compreensão do tema, cabe esclarecer que o Legal Design, segundo Margaret Hagan, é uma forma de "avaliar e criar serviços jurídicos, com ênfase na forma como estes serviços são utilizáveis, úteis e envolventes"8. Complementarmente, nas palavras de Erik Fontenele Nybø9, "é uma área que combina os princípios e práticas do design, bem como de experiência do usuário para a criação de produtos ou serviços jurídicos." Exemplo relevante da aplicação do Visual Law é o Contrato de Trabalho elaborado em 2016 pela empresa Creative Contracts para a empresa ClemenGold International10. Trata-se de um contrato em quadrinhos, com ilustrações que auxiliavam os trabalhadores de uma plantação de laranjas a entender sua função, remuneração, forma de pagamento e demais regras referentes ao trabalho que seria desempenhado. O documento tradicional impedia que muitos deles tivesse acesso a seus direitos e deveres, uma vez que nem todos compreendiam o texto ou eram alfabetizados. É bem comum constatar a prática entre os fornecedores de produtos e serviços disponibilizados na Internet de veicular contratos extremamente longos, com uma linguagem técnica (que não é de domínio comum) e misturar no meio de tantas cláusulas de estilo (boilerplates rules)11 outras cláusulas importantes e imprevisíveis, tais como a utilização dos dados pessoais dos usuários, a cláusula compromissória ou cláusula eletiva, a limitação da responsabilidade do fornecedor, dentre outras.12 Tais práticas colocam em xeque a adjetivação do consentimento em matéria de proteção de dados previsto no inc. XII do art. 5º da LGPD, bem como desafiam o princípio da transparência. No campo da proteção de dados, não raro o tratamento de dados pessoais esbarra em questões da área da tecnologia, como inteligência artificial e armazenamento em nuvem. Para alguém que não está familiarizado com conceitos próprios dos mencionados temas, é difícil compreender efetivamente o tratamento realizado. Nesse sentido, importante mencionar que as ferramentas visuais auxiliam o indivíduo na criação imagética do conteúdo da mensagem, o que é essencial principalmente em matérias com muitas especificidades, tal como é a proteção de dados, como já dito. Em termos simples, essas estratégias de comunicação ajudam o receptor a construir e visualizar, em sua própria mente, conceitos antes abstratos e incompreensíveis a ele. Outro ponto positivo, destacado por Leonardo Sathler de Souza13, é que "ao contrário da comunicação linear de palavras, que deve ser captada sequencialmente, muito do significado de uma imagem estática pode ser compreendido de uma só vez. Demora muito menos tempo e esforço mental para ver uma imagem do que ler mil palavras." Na sociedade da superinformação, onde somos inundados por diversos materiais em curtos espaços de tempo, cada segundo é importante. Assim, mais uma vez é demonstrada a capacidade do Visual Law em ser um grande aliado no atendimento ao princípio da transparência: a informação se torna, além de mais fácil, atraente ao titular de dados, fazendo com que ele, de fato, seja conduzido a estar a par de seus direitos. Portanto, para além, os elementos visuais podem ser utilizados de modo a guiar o leitor pelo documento, ajudando-o a construir um caminho lógico para o pensamento e, assim, possibilitando que o conteúdo do material seja mais bem retido por ele. Logo, não se pode negar os benefícios que o Visual Law traz no sentido do acesso à Justiça, democratização do conhecimento e concretização do princípio da transparência, permitindo que titulares de dados, independente de sua situação social, adquiram informações fundamentais acerca de seus direitos, uma vez que a informação se coloca clara, precisa e facilmente acessível, em respeito ao que determina a Lei Geral de Proteção de Dados. Desse modo, é preciso, ao atuar como agente de tratamento, estar atento ao cumprimento dos princípios que regem a Lei Geral de Proteção de Dados, sob pena de incorrer em seu descumprimento. Aqui, destaca-se o princípio da transparência e entende-se como uma solução a utilização de ferramentas de Visual Law para tanto, de modo que o titular de dados, de fato, consiga compreender de que forma seus dados são tratados e, assim, seja capaz de exercer seus direitos previstos na LGPD. * Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada. ** Ana Clara Gonçalves Flauzino é bacharel em Direito pela Universidade Federal Fluminense e Pós-graduanda em Direito Digital pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio) e pela Universidade do Estado do Rio de Janeiro (UERJ). Advogada inscrita na OAB/RJ. Associada e Pesquisadora do Instituto Avançado de Proteção de Dados - IAPD. __________ 1 Ensaio e discurso sobre a interpretação / aplicação do direito. 4. ed. São Paulo: Malheiros, 2006. p. 168. 2 Teoria dos princípios: da definição à aplicação dos princípios jurídicos. 6. ed. ampl. e atual. São Paulo: Malheiros, 2006. p. 30. 3 Idem, p. 167. 4 BLUM, Renato Opice (Coord.); VAINZOF, Rony; MALDONADO, Viviane Nóbrega (Coord.). LGPD: Lei Geral de Proteção de Dados Comentada. 2ª. ed. rev. atual. e aum. São Paulo: Thomson Reuters Brasil, 2020. ISBN 978-65-5065-023-0. 5 Idem 6 MARQUES, Claudia Lima. Contratos no Código de Defesa do Consumidor. 4. ed. São Paulo: Revista dos Tribunais, 2002. p. 39. 7 DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2ª. ed. rev. e atual. São Paulo: Thomson Reuters Brasil, 2020. ISBN 978-65-5065-030-8. 8 HAGAN, Margaret. What is Legal Design? Disponível em: https://lawbydesign.co/legal-design/. Acesso em: 19 jan. 2022. 9 FALEIROS JÚNIOR, José Luiz de Moura (coord.); CALAZA, Tales (coord.); NYBØ, Erik Fontenele. LEGAL DESIGN. "Legal Design: A aplicação de recursos de design na elaboração de documentos jurídicos". Indaiatuba: Foco, 2021. ISBN 978-65-5515-306-4. 10 CREATIVE CONTRACTS (PTY) LTD AND COMICONTRACTST. ClemenGold Comic Contract. África do Sul, 2016. Disponível aqui. Acesso em: 19 jan. 2022. 11 Esta expressão é utilizada para designar termos contratuais padronizados que podem ser utilizados em diversas situações não deixando claro, portanto, seu conteúdo específico. A expressão, também, reflete a prática de listar estas cláusulas no canto inferior de um contrato ou em meio a tantas outras cláusulas contratuais que se perdem, inviabilizando o seu efetivo conhecimento pela outra parte. Cf. US LEGAL DEFINITIONS: "Boilerplate refers to the standardized, formal language in a contract or legal document that is often located in fine print at the bottom of a page. A person is bound by the terms in the boilerplate language upon signing the document, even if the person didn't read it. This has led to the voiding of contracts in some instances based upon mistake of fact. Boilerplate language in consumer contracts has been subject to criticism and some courts will void such contracts based on unconscionability when the terms are too one-sided in favor of the seller. Boilerplate clauses can usually be avoided by being crossed out or the addition of invalidating language". Disponível aqui. 12 LIMA, Cíntia Rosa Pereira de. O ônus de ler o contrato no contexto da "ditadura" dos contratos de adesão eletrônicos. Disponível aqui, acessado em 02 fev. 2022. 13 FALEIROS JÚNIOR, José Luiz de Moura (coord.); CALAZA, Tales (coord.); SOUZA, Leonardo Sathler de. LEGAL DESIGN. "Visual Law e o Direito". Indaiatuba: Foco, 2021. ISBN 978-65-5515-306-4.
Breve introdução  O Congresso Nacional aprovou no dia 20 de outubro de 2021 a Proposta de Emenda à Constituição n. 17/2019, que incluiu a proteção de dados pessoais no rol de direitos e garantias fundamentais. O texto ainda aguarda promulgação. O novo inciso LXXIX assegura, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais. Além da inclusão expressa da norma como direito fundamental, o artigo propõe que a União tenha competência privativa para legislar sobre a matéria de proteção e tratamento de dados. A justificativa apresentada à proposta e os debates parlamentares, contudo, foram omissos em dizer qual a intenção do constituinte em garantir a previsão expressa da referida proteção em norma constitucional. Cita o caso da Constituição Portuguesa, da Estônia, da Polônia e do Chile como exemplos de países que constitucionalizam a proteção de dados pessoais,1 mas não explicita com clareza sua necessidade, considerando que a proteção de dados já era tida como um princípio constitucional implícito. Demais disso, a proposta trouxe norma de eficácia contida (restringível), possibilitando restrição futura, o que parece ir de encontro ao fim almejado pelos diversos grupos que apoiaram o texto. Convém, assim, analisar a justificativa apresentada pelos parlamentares e representantes da sociedade civil para a pretendida inclusão do direito à proteção de dados no texto constitucional, bem assim sua efetiva relevância jurídica. A proposta oferecida pela PEC 17/2019 e sua justificativa O texto original propôs a inclusão no art. 5º da Constituição Federal do seguinte inciso XII-A: "XlI - A - é assegurado, nos termos da lei, o direito à proteção de dados pessoais, inclusive nos meios digitais." A justificativa da proposta alega que o direito à proteção de dados possuiria "autonomia valorativa" em relação ao direito à privacidade. Além de não demonstrar em que consistiria essa "autonomia valorativa", também olvida a proposta que a proteção de dados não constitui princípio constitucional implícito apenas do direito fundamental à privacidade, mas também à intimidade, à dignidade da pessoa humana, e ao próprio direito ao sigilo de dados, previsto no inciso XII do artigo 5º da Constituição Federal. Na Câmara dos Deputados, a instrução do processo legislativo se deu de forma mais satisfatória. Segundo o Parecer da Comissão de Constituição e Justiça da Casa,  Embora haja interpretações no sentido de que esses direitos fundamentais intimidade e privacidade já abranjam o âmbito da proteção de dados, prevalece o entendimento, como demonstrado nas várias audiências públicas que  compuseram este processo legislativo, de que um direito fundamental específico de proteção de dados é mais apropriado para lidar com alguns dos problemas atuais.2  Em outra passagem, citando Laura Schertel, o parecer menciona as pretensas distinções entre privacidade e proteção de dados:  Há diferenças importantes entre a privacidade e a proteção de dados pessoais. A privacidade possui caráter mais individual, enquanto a proteção de dados é mais coletiva. A privacidade é um direito negativo, enquanto a proteção de dados assume qualidade de direito positivo, que pressupõe o controle dos dados pelo próprio indivíduo, que decide onde, quando e como seus dados circulam. Por fim, o direito à privacidade oportuniza o usufruto tranquilo da propriedade, enquanto a proteção de dados está mais ligada ao direito de igualdade, ou seja, a não discriminação e ao usufruto de oportunidades sociais.3 O problema dessa justificativa reside em dois fatores. Primeiro, há apenas uma comparação entre o direito à privacidade o direito à proteção de dados pessoais, olvidando-se o próprio direito ao sigilo de dados, já previsto, bem como o princípio da dignidade da pessoa humana. Segundo, que a tese de que o direito à proteção de dados possuiria uma dimensão positiva não parece suficiente para reclamar uma autonomia normativa do princípio, uma vez que o art. 5º é repleto de direitos negativos e positivos.   As justificativas apresentadas nas audiências públicas Nas audiências públicas, os diversos especialistas convidados manifestaram, em sua maioria, preocupação com a pulverização de legislações. Quase todos defenderam a inclusão expressa na Constituição da proteção de dados, sem haver uma demonstração muito clara sobre os pretendidos efeitos jurídicos desejados. Em regra geral, os argumentos apresentam caráter reflexo ou retórico, como a existência de reconhecimento constitucional em outros países e a insuficiência da tese de que a proteção de dados não decorreria inteiramente da proteção à intimidade. Dos diversos especialistas ali chamados, apenas a Sra. Christina Aires Correa Lima de Siqueira Dias criticou a expressa jusfundamentalização.4 Sobre a posição dos especialistas, o que se pode notar é que as falas refletiram preocupações de especialistas em proteção de dados, olvidando-se especialistas em direito constitucional. Ademais, da leitura contida no parecer da Comissão de Constituição e Justiça da Câmara dos Deputados, pode-se entrever que a principal preocupação da sociedade e especialistas do tema se refere não à efetivação da proteção, mas à uniformidade de regulamentação da proteção de dados no Brasil. Para alcança-la, contudo, prescindia-se de sua menção expressa no texto constitucional, bastando a regulamentação por lei federal. Em se tratando de direito fundamental, explícito ou implícito, sempre remanescerá espaço de proteção conferido aos Estados-membros, o que decorre da estrutura federativa do Estado brasileiro, como explicamos em artigo anterior.5 Desnecessidade de previsão expressa na Constituição O princípio da proteção de dados já decorre do direito à intimidade e á privacidade6, reconhecidos não apenas pela Constituição Federal de 1988, mas igualmente por tratados internacionais, como o artigo 12 da Declaração Universal de Direitos Humanos, de 1948. A mesma proteção à privacidade se encontra prevista no artigo 11, 2, do Pacto San Jose da Costa Rica. No Brasil, a Constituição de 1988 já positivou expressamente a proteção à intimidade, à vida privada, à honra, à imagem e o sigilo de dados no seu artigo 5º. Poder-se-ia advogar que a Constituição Federal não garante expressamente a proteção de dados, mas o sigilo de dados. De fato, a proteção dos dados é um degrau de prevenção que antecede o sigilo, na medida em que ela objetiva evitar situações que o coloquem em risco. Tal preocupação, a nosso ver, não procede. Fosse necessário o reforço nesses termos, deveria haver o mesmo relativamente aos demais direitos fundamentais reconhecidos pela Constituição. Assim, não bastaria mais se garantir o direito à vida, à saúde, à moradia, à seguridade social, mas igualmente deveria haver a menção expressa à proteção de tais direitos. Sem embargo, o parecer aprovado pela Comissão de Constituição e Justiça do Senado Federal diz que, apesar do grande arcabouço normativo existente sobre o tema, é necessário prever tal garantia no texto constitucional.7 Curiosamente, como justificativa seguinte, o fundamento utilizado para tentar explicar a necessidade é justamente a remissão a princípios constitucionais que já amparam a proteção de dados: Desta análise, pode-se afirmar que questões efetivas e atuais como a eficácia horizontal dos direitos fundamentais, a proteção dos direitos da personalidade, principalmente a proteção à privacidade e intimidade, o direito ao esquecimento como atributo relativo ao direito da personalidade, trazem à baila a necessidade da proteção dos dados pessoais com enfoque constitucional.8 Também em aparente contrassenso, menciona o parecer o artigo 2º da LGPD, que expressamente reconhece que a proteção de dados já possui como fundamentos direitos fundamentais expressos.9 O mesmo parecer reconhece que a proteção de dados já se encontra tutelada, de maneira "reflexa", pelo princípio da dignidade da pessoa humana (art. 1º, III), pelo princípio-objetivo da República Federativa do Brasil de construção de uma sociedade livre, justa e solidária (art. 3º, I) e promoção do bem de todos, sem qualquer forma de discriminação (art. 3º, IV), pelos direitos fundamentais de proteção à intimidade, à vida privada, a honra e a imagem das pessoas (art.  5º, X) e de proteção ao sigilo de dados (art. 5º, XII), além da garantia constitucional do habeas data (art. 5º, LVXII).10  Também finda o parecer por reconhecer que a doutrina e a jurisprudência já reconhecem  que o direito à privacidade vai além da proteção à vida íntima do indivíduo, mas também de seus dados pessoais, visto que estes exprimem uma abrangente projeção da personalidade humana.11 Após todas essas premissas, a conclusão silogística esperada seria a de considerar desnecessária a inclusão. Contudo, o parecer reconheceu a necessidade de sua inclusão "para solucionar o hiato existente entre a legislação e a realidade". Mas que hiato seria esse? O parecer não explica.12 Ora, se a LGPD tem fundamento constitucional no direito à privacidade, na liberdade de expressão, de informação, de comunicação, de opinião, na inviolabilidade da intimidade, da honra e da imagem, além do próprio direito ao sigilo de dados (não mencionado pelo parecer), que relevância fará mencionar expressamente a proteção de dados? Em outra contradição, ao citar o caso dos Estados Unidos, o parecer reconhece que, a despeito da autonomia federativa dos Estados-membros, a garantia da proteção de dados decorre do direito à proteção da privacidade reconhecido pela Quarta Emenda à Constituição estadunidense.13 Na sequência, o parecer não traz qualquer argumentação relevante a demonstrar a necessidade de sua inclusão, limitando-se a dizer que "a PEC nº 17, de 2019, ao inserir a proteção dos dados pessoais no rol das garantias individuais - ao lado de direitos fundamentais consagrados - garante, ainda, a certeza jurídica que se faz premente em uma sociedade abarcada por conflitos sociodigitais e por uma legislação ainda incipiente sobre o tema".14 Não aponta o parecer que efeitos há entre a inserção expressa desse direito na Constituição e a atual regulamentação promovida pela LGPD. Não conferiria uma lei certeza jurídica? Tampouco um princípio implícito?  Norma de eficácia contida Se a intenção do constituinte foi a de conferir maior proteção aos dados, com a discutível premissa de que a inserção expressa no texto constitucional da aludida proteção a efetivará, não entendemos o motivo de sua adoção como norma de eficácia contida, porquanto restringível, limitável. De fato, tal qual redigida, há um aparente conflito com a proteção já conferida pelos incisos X e XII (primeira parte) do art. 5º da Constituição Federal, que garantem implicitamente o mesmo direito, de forma ampla, não restringível. Ou seja, à partida, sua literalidade permite maior restrição futura da proteção dos dados que aquela já conferida explícita ou implicitamente por outros dispositivos constitucionais. Deveras, tal como é hoje, a restrição à proteção de dados somente ocorre diante da existência de conflitos entre princípios ou entre regras e princípios, cuja solução envolverá a interpretação constitucional, com eventual recurso às técnicas de ponderação ou da concordância prática. Ao se admitir a limitação por lei, contudo, poderá o legislador prever maior restrição ao direito. Conclusão A inclusão expressa do direito à proteção de dados como norma jusfundamental visa a atender reclamos de parte da sociedade civil, que acredita haver algum ganho efetivo com sua inserção expressa no texto constitucional. No entanto, como tentamos demonstrar e a própria instrução da PEC 17/2019 o reconhece, o direito à proteção de dados já é reconhecido pela doutrina e jurisprudência como princípio implícito na Constituição Federal de 1988, assegurado por diversos direitos, como a dignidade da pessoa humana, direito à intimidade, à privacidade e ao próprio sigilo de dados, expressamente reconhecido. Não se vislumbram, assim, significativos ganhos de proteção jurídica efetiva em seu reconhecimento expresso, salvo o ganho semântico. Outros direitos fundamentais posteriormente acrescentados ao texto constitucional, como o direito à alimentação (art. 6º), ainda que já reconhecidos em tratados internacionais, observaram poucas alterações efetivas após sua inserção expressa no texto constitucional. É verdade que alguns direitos, se reconhecidos expressamente, podem criar uma esfera de compromisso interinstitucional, ressignificando sua importância e prioridade. No caso da proteção de dados, contudo, o Brasil já conta com uma avançada legislação que densifica o princípio, na esteira de outros países e organizações internacionais. Demais disso, acreditamos que a importância do tema já está devidamente incutida na população, instituições e atores sociais relevantes, sendo agora o momento de assimilar as modificações no nível legal e conferir-lhes efetividade. Cabe lembrar que a redação adotada restringe o conteúdo do princípio, ao criar norma de eficácia contida, em aparente contradição com o nível de proteção que pretende estabelecer. A Constituição reclama mais efetividade que mais normas. __________ 1 Cf. Senado Federal. PEC 17/2019. Disponível aqui. 2 Cfr. Comissão Especial destinada a proferir parecer à proposta de Emenda à Constituição nº 17, de 2019, p. 20. Disponível aqui. 3 Ibidem. 4 Cfr. Comissão Especial destinada a proferir parecer à proposta de Emenda à Constituição nº 17, de 2019, p. 17. Disponível aqui. 5 Cf. A proteção de dados pessoais e as competências dos entes federativos - Análise dos efeitos da PEC 17/2019. Disponível aqui. 6 Nesse sentido: FERRAZ JÚNIOR, T. S. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado. Revista da Faculdade de Direito, Universidade de São Paulo, [S. l.], v. 88, p. 439-459, 1993. Disponível aqui. Acesso em: 1 mar. 2021. 7 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 4. Disponível aqui. 8 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 5. Disponível aqui. 9 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 6. Disponível aqui. 10 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 3. Disponível aqui. 11 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 3. Disponível aqui. 12 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 3. Disponível aqui. 13 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 3. Disponível aqui. 14 Cf. Parecer da Comissão de Constituição, Justiça e Cidadania do Senado Federal, p. 5. Disponível aqui.
Intrigante questão que a práxis tem despertado diz respeito à viabilidade (ou não) da formalização de mandato para a expressão do consentimento para o tratamento de dados pessoais, haja vista a liberdade de forma conferida ao consentimento pela Lei Geral de Proteção de Dados Pessoais - LGPD. Em síntese, não se exige forma escrita para o consentimento, que pode ser verbal ou implícito. Entretanto, não há absoluta clareza quanto à viabilidade do mandato para que o consentimento possa ser expressado pelo titular. Além disso, admitir que o mandato também possa ser estruturado com absoluta liberdade de forma, nesse contexto específico, revela idiossincrasias bastante peculiares, pois isso abre margem a grande insegurança jurídica. Tais inquietações surgem a partir da interpretação dos artigos 656 e 657 do Código Civil, cujas previsões são as seguintes: Art. 656. O mandato pode ser expresso ou tácito, verbal ou escrito. Art. 657. A outorga do mandato está sujeita à forma exigida por lei para o ato a ser praticado. Não se admite mandato verbal quando o ato deva ser celebrado por escrito.  Pelo conceito do artigo 5º, inciso XII, da LGPD, o consentimento é a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". Sobre a forma, o artigo 8º, caput, é categórico ao prever que poderá ser fornecido "por escrito ou por outro meio que demonstre a manifestação de vontade do titular". Contudo, de acordo com o §1º do artigo 8º, "caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais". Certos pressupostos do consentimento, como a citada exigência de que seja "informado", envolvem assimilação cognitiva das circunstâncias que o configuram e que, caso se admita o mandato, serão repassadas ao mandatário. Logo, mesmo que este tenha a autonomia necessária para se informar em nome do mandante, certas particularidades concernentes ao tratamento podem demandar-lhe a necessidade de que se reporte ao mandante, aplicando-se, na hipótese, o disposto no artigo 668 do Código Civil1, ainda que não seja obtida vantagem econômica, em conjugação com os deveres anexos à boa-fé objetiva2. Em verdade, o próprio ato de consentir, para que seja considerado "informado", usualmente se revestirá de contornos tipicamente visualizados na estruturação dogmática da boa-fé objetiva. Como ressaltam Isabella Frajhof e Ana Lara Mangeth, "reconhecendo que as informações prestadas ao titular de dados constituem elemento legitimador da sua concordância em relação ao tratamento de seus dados pessoais, (...) deverá ser informado sobre determinadas particularidades do tratamento para que haja a completa compreensão sobre o destino que será atribuído aos seus dados pessoais"3. De fato, embora a própria etimologia do verbo 'consentir' denote aparente limitação semântica, não há dúvidas de que o consentimento como hipótese (ou, coloquialmente, "base legal") para o tratamento de dados pessoais se reveste de características extremamente peculiares, pois, em essência, permite identificar conteúdo negocial que, na linha do que expressa o posicionamento acima transcrito, pode revelar feições absolutamente distintivas. O mandato está regulamentado pelos artigos 653 e seguintes do Código Civil e é negócio jurídico que viabiliza a prática de atos no interesse de pessoas que não podem fazê-lo autonomamente. Consta do próprio artigo 653, caput, do CC4 que a procuração é o instrumento pelo qual se realiza o mandato, embora essa seja uma leitura simplista e criticada pela doutrina.5 Como forma de garantir a assimilação de particularidades concernentes ao tratamento de dados pessoais, seria esperada a lavratura de um documento, com atribuição de destaque visual aos termos que revelem o consentimento para o tratamento de dados pessoais, embora tal exigência não conste da LGPD. Normalmente, o mandato é negócio jurídico unilateral e gratuito, mas nada o impede de ser bilateral e oneroso, quando múltiplas prestações forem reciprocamente exigidas. Sua outorga pode se dar por instrumento público ou particular, sendo admitido o substabelecimento (art. 655 do Código Civil)6. Sua natureza intuito personae, entretanto, o torna peculiar para os fins da prática de eventual ato concernente ao consentimento para o tratamento de dados pessoais, pois o mandatário deverá agir imbuído de boa-fé - objetiva e subjetiva - para contrair obrigações que serão assumidas pelo mandante. Nota-se, pelas características desse negócio jurídico, que a confiança entre os envolvidos será elemento determinante para sua formalização. Os problemas quanto à sua admissão para o consentimento quanto ao tratamento de dados pessoais surgem pelo próprio conceito do artigo 5º, inciso XII, da LGPD, que é categórico ao conceituar o consentimento como o ato de concordância do titular. Não há, todavia, vedação textual à formalização do mandato. Na hipótese ("base legal") do artigo 7º, inciso I (quanto aos dados pessoais), há menção expressa à pessoa do próprio titular; na do artigo 11, inciso I (quanto aos dados pessoais sensíveis), menciona-se "o titular ou seu responsável legal". A se considerar a ausência de vedação expressa e a natureza da manifestação de vontade em questão7, não parece haver óbice à aceitação do mandato para consentir quanto ao tratamento de dados pessoais e de dados pessoais sensíveis. Nesse ponto, o modelo de consentimento "opt-in" parece preponderar como técnica de adesão para atribuição do destaque que tornem a manifestação "inequívoca"8. Em síntese, ao invés de o titular optar por não permitir o tratamento de seus dados pessoais, realiza ação que pode ser interpretada como manifestação de vontade positiva. É possível fazê-lo por várias técnicas: (i) marcando uma caixa de seleção; (ii) clicando em um botão ou link; (iii) selecionando a partir de uma opção binária (sim/não), de botões ou de um menu drop-down; (iv) escolhendo configurações ou preferências no painel da conta; (v) respondendo a um e-mail que solicita o consentimento; (vi) respondendo positivamente a um pedido claro de consentimento verbal gravado, seja na presença do interlocutor ou por ligação; (vii) mediante aposição de assinatura em uma declaração de consentimento em formulário de papel; (viii) assinando eletronicamente um documento, por técnica criptográfica lícita e suficientemente confiável. Trata-se de evidente rol exemplificativo, que ainda abre margem a discussões mais curiosas e atuais sobre a relação de proximidade entre design, interatividade e direito. Sem dúvidas, mais do que simplificar a cognição, certas técnicas e ferramentas podem otimizar a interlocução entre o titular, eventual mandatário e o agente de tratamento para a obtenção do consentimento e, especialmente, quanto ao esperado destaque que se deve atribuir ao modelo escrito, por força do que exige o §1º do artigo 8º. Também é importante lembrar que a finalidade é pressuposto do consentimento e princípio expresso da LGPD (art. 6º, I). Vale dizer que, além de consentir de forma livre, informada e inequívoca, o titular também deve fazê-lo para o atingimento de um fim previamente especificado. De fato, para que haja clareza suficiente sobre os contornos dessa manifestação, é preciso romper um paradigma. Os modelos-padrão, usualmente formatados com as nomenclaturas já popularizadas de "termos de uso" e "políticas de privacidade", raramente refletem a complexidade da elucidação exigida para que o consentimento seja livre, informado e inequívoco, como exige a lei, pois, (...) apesar de a nossa lei permitir que o consentimento possa se dar de maneira inequívoca, é verdade que a forma como atualmente essa manifestação de vontade é colhida, por meio de termos de uso e políticas de privacidade extensos, com uma linguagem hermética, não permite reconhecer que há o pleno conhecimento e consciência do titular do que será feito com os seus dados.9  Nesse aspecto, uma preocupação surge quanto à leitura conjunta que se deve fazer dos §§ 4º e 6º do artigo 8º, que tratam da exigência de finalidade determinada, em contraste à figura do mandato geral (art. 660, in fine, do CC). Isso porque, a depender da finalidade para a qual o titular consentiu quanto ao tratamento de seus dados pessoais, se houver alteração superveniente, esta poderá macular o consentimento de outrora, inviabilizando a atividade de tratamento e, em paralelo, os limites para execução do mandato. Noutros termos, em respeito ao princípio da transparência (art. 6º, VI, da LGPD), qualquer circunstância que altere o modo, a duração, a forma ou qualquer outra característica do tratamento para o qual se consentiu deverá ser prontamente informada ao titular de dados, que poderá não aquiescer ou até revogar o consentimento por haver alteração na finalidade subjacente à manifestação de vontade. Nessa dinâmica, havendo mandato previamente outorgado, um novo elemento deverá ser considerado na aferição do modo pelo qual se pode operacionalizar a informação sobre as consequências da negativa e a revogação do consentimento, que são direitos do titular de dados (art. 18, VIII e IX) com repercussões sobre o mandato e sobre a nova decisão que deverá ser tomada a partir da ciência quanto a essas alterações supervenientes, uma vez que, por força do artigo 663 do CC, "sempre que o mandatário estipular negócios expressamente em nome do mandante, será este o único responsável; ficará, porém, o mandatário pessoalmente obrigado, se agir no seu próprio nome, ainda que o negócio seja de conta do mandante". Ainda sobre a revogação do consentimento, convém registrar que o artigo 18, inciso IX, da LGPD10 remete ao § 5º do artigo 8º. Trata-se da faculdade atribuída ao titular, que pode ser exercida a qualquer tempo, de fazer cessar o tratamento de seus dados. As consequências naturais dessa ação são duas: em razão da paralisação do tratamento que até então era realizado, a eliminação de dados pessoais deverá ser aferida a partir de requerimento, em exercício do direito previsto no artigo 18, VI, e em sintonia, ainda, com as previsões dos artigos 15 e 16 da LGPD; a outra consequência envolverá a análise de viabilidade da continuidade do tratamento (ainda que parcial), com lastro noutra(s) hipótese(s) ("base(s) legal(is)"), uma vez que o consentimento não é a única delas. Entendemos que o mandato, na hipótese, deverá ser admitido, desde que seja claramente delimitado, específico e excepcionalmente escrito para que o titular possa expressar o consentimento de forma livre, informada e inequívoca em nome do titular para o atingimento de finalidade determinada (art. 5º, XII, da LGPD). Fica afastado da dinâmica em questão, portanto, o mandato em termos gerais (arts. 660 e 661 do CC). Sobre a modalidade verbal do mandato, embora uma leitura simplista dos artigos 656 e 657 do CC revele sua viabilidade, defendê-la amplamente criaria indesejável zona de risco para o acautelamento do titular de dados. Não obstante, trata-se de tema pouco explorado e que ainda demandará reflexões mais aprofundadas.  *José Luiz de Moura Faleiros Júnior é doutorando em Direito pela USP e pela UFMG. Mestre e bacharel em Direito pela Faculdade de Direito da UFU. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado e professor. __________ 1 "Art. 668. O mandatário é obrigado a dar contas de sua gerência ao mandante, transferindo-lhe as vantagens provenientes do mandato, por qualquer título que seja". 2 Interessante a reflexão de A. Barreto Menezes Cordeiro: "A recondução de uma determinada realidade a uma categoria jurídica é uma tarefa reconhecidamente relativa. Por exemplo: um contrato pode ser um facto jurídico ou um bem, dependendo da perspetiva assumida pelo observador. O mesmo se verifica com o consentimento. É mais do que uma simples manifestação de vontade: pode ser encarado como um bem, na medida em que é transacionado, ou como parte integrante de um contrato, visto assumir muitas vezes a natureza de contraprestação de serviços gratuitos". CORDEIRO, A. Barreto Menezes. Direito da Proteção de Dados: à luz do RGPD e da lei n. 58/2019. Coimbra: Almedina, 2020, p. 173. 3 FRAJHOF, Isabella Z.; MANGETH, Ana Lara. As bases legais para o tratamento de dados pessoais. In: MULHOLLAND, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago Editorial, 2020, p. 70. 4 "Art. 653. Opera-se o mandato quando alguém recebe de outrem poderes para, em seu nome, praticar atos ou administrar interesses. A procuração é o instrumento do mandato". 5 ROSENVALD, Nelson; BRAGA NETTO, Felipe. Código Civil comentado: artigo por artigo. 2. ed. Salvador: Juspodivm, 2021, p. 758. Os autores comentam: "Outra impropriedade observada na redação do dispositivo se refere à afirmação de que 'a procuração é o instrumento do mandato'. A procuração não se restringe ao negócio de mandato. Ademais, este pode existir sem procuração devido à ausência de atribuição de poderes representativos a outrem". 6 "Art. 655. Ainda quando se outorgue mandato por instrumento público, pode substabelecer-se mediante instrumento particular". 7 Analisando as características da manifestação de vontade, A. Barreto Menezes Cordeiro explica o seguinte: "O facto de a manifestação de vontade ter de ser livre, específica, informada e explícita permite trazer para o RGPD inúmeros preceitos do CC; pense-se na culpa in contrahendo (227º.) ou nos vícios de vontade que possam ser reconduzidos a estas expressões. Contudo, o facto de esta ligação linguística não ser possível em relação a todos os vícios não significa que estejam excluídos (...). Por outro lado, a nossa análise a estas características não pode ficar refém das conceções do Direito Civil, em especial se a sua letra ou o seu espírito apontarem para uma diferente densificação, mais vasta ou restrita". CORDEIRO, A. Barreto Menezes. Direito da Proteção de Dados: à luz do RGPD e da lei n. 58/2019. Coimbra: Almedina, 2020, p. 173. 8 HEIMES, Rita. How opt-in consent really works. IAPP, 22 fev. 2019. Disponível aqui. Acesso em: 20 jan. 2022. 9 FRAJHOF, Isabella Z.; MANGETH, Ana Lara. As bases legais para o tratamento de dados pessoais. In: MULHOLLAND, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago Editorial, 2020, p. 71. 10 "Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: (...) IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei".
Preliminares De certa forma, o ano de 2022 começa do mesmo modo que 2021, 2020, 2019 e outros anos pregressos, ou seja, começa sempre pelas resoluções para o Ano Novo. Que me conteste quem não tem as suas. "Esse ano vou emagrecer!", "Não vou mais faltar na academia!", "Vou me apaixonar!", "Vou aplicar minhas economias!". Talvez essas sejam algumas das mais comuns e que, ao passar do ano, tendem a desvanecer. Não vou tentar aqui explicar os eventuais motivos e porquês destas resoluções não vingarem, mas lanço uma dica "computacional" que talvez ajude a explicar esse fenômeno. Vou usar essa dica como um gancho para tentar clarear uma das dúvidas mais frequentes sobre tecnologia que é a definição de algoritmo. "Estico a corda" um pouco para nos aventurarmos pelo tópico do momento, IA, Inteligência Artificial. Comecemos 2022 pelo paço número um. Algoritmo "Um algoritmo é uma sequência de passos bem definidos que leva a execução de uma tarefa". Não me lembro mais de quem seria essa frase, mas tenho essa definição "grafada em pedra" na minha memória, do mesmo modo como todo cientista da computação tem também essa mesma ou uma outra frase bem semelhante. Frases como essa são repetidas como um mantra desde os primeiros dias de aula de disciplinas de Programação de Computadores. Penso que para a maioria dos techno people, essa frase mística só é perfeitamente entendida depois que implementamos e criamos dezenas, centenas de algoritmos. Acreditem, ninguém entende frases assim do dia para a noite e, por isso, é sempre providencial reforçar o que sabemos sobre esse tema. Comecemos com um algoritmo clássico, também comentado nos primeiros dias de aula: fritar um ovo. Todos nós sabemos como fritar um ovo, mas experimentem "escrever uma sequência de passos bem definidos que leva a execução" de um ovo frito. Essas instruções devem ser seguidas por qualquer pessoa que não saiba fritar um ovo e devem alcançar o objetivo. "Coloque óleo numa panela e frite o ovo." Esse não é um algoritmo pois não tem os passos bem definidos. Não define o tipo de panela (frigideira), a quantidade de óleo, a altura da chama, o tempo de fritura e tampouco que devemos tirar a casca do ovo. Sério? Tirar a casca? Acreditem, essa etapa deve ser explicada para muita gente. Vamos a um exemplo mais techno: um algoritmo para um carro autônomo fazer curvas. "Ligue a seta para a direção desejada. Confira nos retrovisores se o trânsito atrás de você está livre. Desloque o veículo para a direção desejada". Acho que o leitor percebeu que eu não esqueci da seta, no entanto não mencionei se é uma curva para esquerda ou para direita, como também o que fazer se tiver um outro veículo ao lado, qual deve ser a velocidade para fazer a curva, se é só uma curva leve ou se é uma conversão... Vejam, esse algoritmo simples acima não funciona. Não é específico. Não é genérico para todas as situações. Como escrever um algoritmo que aborde todas as possibilidades? Então, caro leitor, será que nossas resoluções de Ano Novo não poderiam ser mais específicas? Será que não deveríamos trocar a frase "Não vou mais faltar na academia!" para a seguinte: "Irei a academia semanalmente às segundas e quartas-feiras entre 7 e 8h, a partir do dia 3 de janeiro", por exemplo? Será que esse não é um motivo pelo qual nossas resoluções de Ano Novo falham? A objetividade e, por vezes, o baixo nível de detalhamento, são dois grandes desafios para a Computação e obviamente transformaram-se em grandes fontes de trabalho também. Objetividade de detalhamento "são as praias" dos programadores. Escrever algoritmos é uma das tarefas mais importantes e complexas da Computação: a programação de computadores. Mesmo os algoritmos mais simples podem ser fontes de exceção que, se não tratadas, impedem o software de funcionar. Merece destaque, por exemplo, o algoritmo de Ronald Fagin (IBM Research), Amnon Lotem, e Moni Naor (Weizmann Institute of Science), de apenas 12 linhas, que recebeu uma das maiores honrarias da Computação, o Gödel Prize de 2014. Hoje esse pequeno e poderoso código, responsável pela agregação de múltiplas fontes de dados, serve a milhares de sistemas e aplicações que manipulam big data, ou seja, grandes repositórios de dados complexos. São 12 linhas que incrivelmente bem boladas que geram uma riqueza tremenda na indústria tech. Algoritmos são como receitas culinárias. Quando implementados no computador recebem o nome de programas ou softwares. Esses softwares devem normalmente responder a um domínio amplo de situações, obviamente, sem causar erros. Falhas nos programas (algoritmos) são normalmente atribuídas a falhas nos testes destes softwares. Talvez o primeiro exemplo de uma falha perigosa de programação que impactou a mídia foi uma falha no sistema de alerta de segurança soviético em 1983. Foi um software bug que quase causou a terceira guerra mundial [Wired]. O sistema russo acusou o deslocamento de cinco mísseis balísticos, provenientes dos EUA, em direção a antiga União Soviética; isso em meio a Guerra Fria. Na ocasião, o Ten. Cel. Stanislav Petrov, evitou a retaliação russa julgando que o alerta só poderia ter sido causado por um erro no sistema. O erro foi proveniente de reflexos solares de nuvens no satélite espião e que foram confundidos pelo software como mísseis intercontinentais. Hoje falhas graves de software ocorrem com grande frequência e tendem a aumentar dada a dependência tecnológica das instituições e também das pessoas nos vários tipos de software. No imaginário da população o computador tem, muitas vezes, poderes e capacidades semelhantes aos do ser humano, os quais poderiam, por exemplo, responder a problemas com mais eficiência e com mais "sabedoria" que nós, mas isso certamente não é verdade. Os algoritmos devem prever e serem programados, codificados, para atuar a cada situação diferente. Para cada tarefa automatizada existe um código escrito por humanos que detalha todas as situações. Por exemplo, a tela que você vê agora no seu computador tem, aproximadamente, 2.500X1.500 pontos luminosos, os pixels. Ou seja, são mais de 3,7 milhões de pontos que, por meio de software (códigos escritos manualmente) são coloridos, um a um. Imagine quantas tarefas de colorir pontos são executadas numa simples varredura do mouse pela tela? Uma das medidas de referência para a complexidade de software é a quantidade de linhas de códigos usadas. Nestes casos a medida SLOC (Software Lines Of Code) é usada. Essa medida oferece uma dimensão da quantidade de pessoas-hora que trabalharam escrevendo esses algoritmos. Segundo o website Information is Beatiful [Information], o navegador Google Chrome tem aproximadamente 6,7 milhões de linhas de código, o sistema operacional Android que equipa 70% de todos os telefones móveis [Statcounter] 12 milhões, o Facebook 62 milhões, enquanto que um carro de luxo, como o Mercedes-Benz S-Class tem mais de 30 milhões de linhas. E quanto é isso? Para se ter uma ideia da demanda temporal para produzir esses softwares, um excelente programador pode produzir 6 mil linhas de código pronto ao ano. Isso sem contar todos os testes que ele deve ter feito sobre seu próprio código além de todos os códigos descartados que, eventualmente, não funcionaram ou não foram usados. Ou seja, para produzir essas 30M de linhas em um ano seriam necessárias 500 pessoas trabalhando. Outra situação que normalmente atenta contra essa Caixa de Pandora que podem ser os algoritmos é a complexa hierarquia de tarefas envolvida na produção de software. Desde a sua concepção, da ideia de uma tarefa, estão envolvidas várias pessoas e equipes. As pessoas que concebem o problema, as que concebem a sua solução (o algoritmo), o Lider de Projeto, o Engenheiro de Software e sua equipe, o Lider de Produção e os programadores. Isso sem contar as equipes de Bancos de Dados, de teste de software, de interface com o usuário, entre outras. Nessa longa cadeia de produção de software certamente o que foi solicitado no início do projeto poderá não ser atendido na sua conclusão. "Mas eu pensei que a Inteligência Artificial evitasse todo esse trabalho de programar as situações possíveis, de antever todos os potenciais problemas...". Pois é ... seria bom mesmo se isso acontecesse, mas a IA também precisa ser programada, embora os níveis de programação sejam diferentes. Vejamos... IA e Algoritmos O que atualmente chamamos de IA pouco tem de inteligência e muito tem de aprendizado e repetição de situações anteriores. A abordagem que domina a IA atualmente é a que chamamos de aprendizado de máquina (AM), ou seja, ensinamos os computadores o que já conhecemos e eles repetem. Sim, já é um grande avanço, mas que ainda em nada se assemelha a uma máquina inteligente, pois as máquinas definitivamente ainda nada criam de novo e, além disso, não são facilmente adaptáveis a contextos diferentes. Por exemplo, sobre contexto: as redes sociais mostram os mesmos tipos de mensagens dos mesmos autores, seja numa segunda-feira à tarde, ou num domingo pela manhã. Oras, não seria mais interessante se num domingo recebêssemos notícias mais amenas, por exemplo, de eventos culturais, menos notícias de assuntos relacionados ao nosso trabalho e mais notícias de lazer? Para entendermos melhor essa relação da IA com os algoritmos iremos fazer uma viagem aos principais estágios de desenvolvimento das abordagens de IA. Divido essa aventura épica em 3 fases: 1) a fase das regras; 2) a fase do aprendizado de máquina e; 3) a fase das redes neurais. Essas três fases também alteram o modo de construção de software, o modo de programação. IA baseada em regras Um sistema que realiza IA por meio de um modelo baseado em regras é conhecido como sistemas de IA baseados em regras. Um sistema de IA baseado em regras produz resultados predefinidos que são baseados em regras codificadas por humanos. Normalmente essas regras são declarações codificadas no modelo "se-então". Ou seja, se acontecer tal coisa então faça essa tarefa. Para exemplificarmos a utilidade desta abordagem, muitos sistemas de diálogos homem-máquina foram implementados como sistemas baseados em regras. Por exemplo, sistemas de telefonia que oferecem opções ao usuário; o usuário responde; o sistema capta palavras-chave e gera outras opções, em níveis mais específicos, segundo esse novo status. Esses sistemas conversacionais, também chamados de chatbots, são muito usados no atendimento ao usuário de websites. Sistemas que usam regras são classificados como sistemas determinísticos, ou seja, eles sempre devem ter uma mesma e única resposta para cada opção. Os antigos sistemas especialistas foram um marco para os sistemas de regras. Esses sistemas funcionam bem para situações de domínio fechado em que o número de regras é pequeno. Conforme os sistemas ficam mais complexos há necessidade de criação de novas regras e a possibilidade dessas regras entrarem em conflito entre si aumenta. Essas duas situações são impeditivas para essa forma de IA abarcar problemas complexos e, consequentemente, os projetos de IA que usam sistemas de regras não são escaláveis e não são mais o tipo dominante. IA baseada em Aprendizado de Máquina Diferentemente dos sistemas baseados em regras, os sistemas baseados em aprendizado de máquina buscam seu conhecimento em fontes de dados e não em regras propostas e codificadas por humanos. Nos sistemas de IA realizados por meio de aprendizado de máquina são criados modelos (de classificação, de inferência, de reconhecimento, de fala, etc.) a partir de computações feitas sobre grandes conjuntos de dados. Por exemplo, se uma imobiliária tiver cadastrado um grande número de imóveis, com todos os detalhes de tipos de cômodos, valores dos alugueres e dados dos inquilinos, um sistema computacional poderá organizar esses imóveis em grupos, por exemplo, que mostrem que numa determinada região um imóvel de três quartos deve estar numa determinada faixa de aluguel, diferente, por exemplo, de um imóvel do mesmo tamanho noutra região. Esse é um exemplo simples, inclusive dominado por humanos, mas compradores usuais de mercados online sabem bem como os sistemas varejistas usam seus perfis de consumidores para oferecer produtos de potencial interesse para cada perfil de consumidor. Algoritmos de classificação são uma grande força motriz nos sistemas que usam aprendizado de máquina. Nestes sistemas, um grande volume de dados é usado para treinar um classificador, para criar um modelo. Classificador treinado, quando um novo dado chega ao sistema ele o classifica. Classifica sempre de acordo com o que aprendeu. AM resolve muita coisa, mas, por vezes, gera confusão. O aprendizado enviesado é uma dessas fontes de problemas [SRINIVASAN, CHANDER 2021]. O aprendizado de um classificador deve ser feito sobre uma base de dados que reflita o universo de aplicação. Imaginemos, por exemplo, um sistema de agenciamento de empregos específicos para a área de Enfermagem. Se um gênero específico, A, tem uma quantidade maior de cadastros, esse gênero poderá ter mais ofertas de emprego e, provavelmente, maior estabilidade no trabalho apenas devido a uma diferença numérica com outro gênero, B. Assim, o sistema mal equilibrado e mal treinado, poderá aprender que recrutar pessoas do gênero A é preferível a recrutar pessoas do gênero B pois a rotatividade seria maior. Percebam como os problemas de programação persistem. Estes problemas talvez pareçam mais complexos na abordagem de AM, mas definitivamente estão presentes, como nos sistemas baseados em regras. Uma vantagem da abordagem de AM sobre os sistemas de regras é que estes sistemas são escaláveis e não são determinísticos, ou seja, podem apresentar graus distintos de certeza sobre a resposta dada. Normalmente são sistemas que usam de recursos estatísticos ou probabilísticos, oferecendo assim uma segurança extra do vínculo matemático com a certeza do resultado. Outra característica interessante do AM é que para os vários algoritmos usados nos vários tipos de aprendizagem existem diversas implementações possíveis, como se fossem vários motores distintos, que você adapta às necessidades dos seus problemas. Ou seja, o mundo de AM é composto por programas pré-fabricados, mas que precisam de ajustes antes de serem usados. É uma pena que nesta área existam poucos "mecânicos" que sabem ajustar esses motores. IA baseada em Redes Neurais Para completar, temos a "febre" do momento: os sistemas de IA por meio de redes neurais. Essas redes são hoje grandes arranjos formados de simulações computacionais de neurônios. As ciências do cérebro já mostraram como nossos neurônios funcionam. A Computação se apropriou desse conhecimento e os modelou em software. As redes neurais surgiram como arranjos de dezenas, centenas de neurônios programados em software. Os vários tipos de arranjo destes neurônios dão origem a vários tipos de redes, tais como: Perceptrons, Feed Forward Network, Redes de Hopfield e Rede Neural Convolucional. Estes são alguns modelos, entre vários outros mais recentes. Em tese, esses modelos de redes têm os neurônios de entrada, os neurônios de saída, além de outros numa camada intermediária que fazem a maior parte do processamento trocando informações entre si. Recentemente tivemos a expansão destes modelos com redes que hoje acomodam milhões de neurônios. Essas são as chamadas redes neurais profundas, deep neural networks. Se já era difícil acompanhar a troca de informações entre os neurônios de modelos mais simples, imaginem acompanhar a troca de informações nessas redes profundas, com milhões de neurônios. A explicabilidade dessas redes é hoje um dos temas de pesquisa da Computação [POPE et al. 2019]. Por meio dessa jornada algorítmica podemos perceber que a programação de computadores nos desafia em vários níveis de abstração, do nível mais elementar da criação de comandos simples, incluindo aqui entidades modulares de média complexidade (tais como os neurônios), até níveis mais complexos que contam com a interligação de vários destes módulos e modelos formando uma cascata de software por vezes composta de milhões de linhas de código. Se toda essa complexidade tende a afastar o usuário desta caixa de Pandora, para nós, cientistas da Computação, essa complexidade apresenta-se como um desafio para a explicabilidade destes sistemas. Desafio esse que trará maior confiabilidade ao código e, consequentemente, um crescimento do uso destas metodologias. Ooops! 22h15... lá se foi mais um dia sem academia. Melhor definir essas resoluções de Ano Novo com mais objetividade e... segui-las à risca. Referências bibliográficas Wired. Set. 26, 1983: The Man Who Saved the World by Doing ... Nothing. Disponível aqui de 26 de setembro de 2007. Último acesso em 30 de dezembro de 2020. Information. Codebases: Milions lines of code. Disponível aqui. Último acesso em 30 de dezembro de 2020. Statcounter. Mobile Operating System Market Share Worldwide. Disponível aqui. Último acesso em 30 de dezembro de 2020. Gödel. Disponível aqui. Último acesso em 30 de dezembro de 2020. SRINIVASAN, Ramya; CHANDER, Ajay. Biases in AI systems. Communications of the ACM, v. 64, n. 8, p. 44-49, 2021. POPE, Phillip E. et al. Explainability methods for graph convolutional neural networks. In: Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2019. p. 10772-10781. *Evandro Eduardo Seron Ruiz é professor associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP com estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.
Introdução O significado da privacidade, em sua abstração e concreção quotidiana, está em evolução, no Ocidente, desde o século XIX, a partir do "right to be let alone". Já atualmente, seu sentido é passível de ser plural e singular, isto, sempre, a depender do contexto em que é havida em expectativa ou, em outras palavras, do tipo de privacidade que é querida pelos indivíduos. Por essa razão, muitos autores a defendem como uma espécie de guarda-chuva ("ombrello")1, porque inclui diferentes sentidos, em diferentes cenários. Dentre essas novas abordagens sobre o conceito de privacidade, destaca-se, por essas linhas, as trazidas por Helen Nissenbaum2 e por Bert-Jaap Koops, Bryce Clayton Newell, Tjerk Timan, Ivan Skorvánek, Tomislav Chokrevski e Masa Galic3, que estão a fortalecer o entendimento de que a privacidade não pode ser definida, em abstrato, e que depende, ao seu preenchimento, de concreção. Este artigo traz, como raciocínio, o de que, ao se abstrair o significado da privacidade, sua tutela jurídica pode, em concreto, ser fragilizada. Nesse sentido, apresenta a privacidade sob o ponto de vista dos contextos ou tipos em que é havida em expectativa pelos indivíduos, a fim de observar que a análise da razoabilidade de uma expectativa, em determinado contexto, influi na ponderação da privacidade com outros bens e direitos também juridicamente tutelados.  Privacidade como integridade contextual e razoável expectativa À exemplo de Helen Nissenbaum, pode se dizer que a privacidade se define, concretamente, a partir das expectativas que possuem os indivíduos nos mais distintos contextos. Nissenbaum entende a manutenção dos contextos, nos quais é havida em expectativa a privacidade, como integridade contextual ("contextual integrity"), que pode ser alcançada pela observância de normas informacionais ("informational norms"), que "tornam certos atributos apropriados ou inadequados em certos contextos, sob certas condições."4 Distinguir a privacidade, em diferentes contextos, é essencial à sua regulação, isto porque os contextos em que se apresenta diferem-se quanto à expectativa que possuem os indivíduos em preservá-la e, analisando-se a razoabilidade dessa expectativa, poderá uma regulação estar ou não alinhada a ela, isto por ponderar outros bens e direitos que venham a ser considerados. Nesse sentido, a privacidade do corpo, como expectativa, diverge a depender da qualidade das relações com as quais está envolvido o indivíduo. A privacidade da mente, também como expectativa, ainda é havida desde os círculos mais próximos dos indivíduos até os mais distantes. A expectativa pela privacidade da mente ocorre, e.g., em relações médico-pacientes. Porém, nesse contexto, o avanço de neurotecnologias está permitindo que dados neurais sejam cada vez mais tratados, o que está por quebrar a expectativa dos indivíduos sobre a privacidade da psique, como de seus sentimentos e pensamentos. A análise exige, por óbvio, a atenção à expectativa do indivíduo sobre a própria privacidade, em diferentes contextos. Em aqueles que se desenvolvem em espaços públicos, e.g., embora não se consubstancie do mesmo modo que em contextos que envolvam espaços privados, ainda permanece como expectativa. Nesse sentido, é necessária a questão sobre de que modo pode ser ponderada a expectativa do indivíduo pela privacidade com outros bens e direitos, que também merecem a tutela jurídica, inclusive até relativos a outros indivíduos, em contextos específicos. Nos EUA, o caso Katz v. United States, cujos fatos datam de fevereiro de 1965, marcou o início da doutrina da razoável expectativa de privacidade ("reasonable expectation of privacy"), no qual o FBI, sem um mandado, a fim de interceptar conversa telefônica de Charles Katz, implantou dispositivo de escuta na parte externa de uma cabine próxima à sua residência5. Apesar de a interceptação ter ocorrido em um espaço público, a Suprema Corte dos EUA entendeu que havia uma razoável expectativa de privacidade por parte de Katz, de modo que não se poderia ter havido a intercepção sem a expedição de um mandado. Para tanto, aduziu que a proteção, contida na Quarta Emenda ("Fourth Amendment")6à Constituição dos EUA, é voltada às pessoas e não aos locais em que se encontram, assim como que, para que seja garantida, é necessário haver uma real expectativa de privacidade e que essa expectativa seja vista, pela sociedade, como razoável. A análise sobre o que seria razoável pela sociedade, em determinado tempo da história, quanto à expectativa dos indivíduos por privacidade, recai justamente no raciocínio de considerar a privacidade um conceito sempre contextual, aberto à ponderação com os outros bens e direitos, como aludido nas linhas anteriores. Embora haja critérios que possam ser úteis, como uma análise sobre a diferença entre um ato privado e um ato de interesse público, como distinguidos por Joel Reidenberg7, não é possível a aferição de fórmula que disponha sobre a razoabilidade da privacidade quando analisada frente a outros bens e direitos, em distintos contextos. O que é possível, ao máximo, pode se dizer, é esclarecer, idealmente, contextos em que pode ser havida como expectativa.  Privacidade como tipologia Está nesse sentido a concepção tipológica da privacidade desenvolvida por Bert-Jaap Koops, Bryce Clayton Newell, Tjerk Timan, Ivan Skorvánek, Tomislav Chokrevski e Masa Galic, que a estabeleceram como um conceito que, idealmente, se distingue em diferentes tipos. Além disso, a análise de Bert-Jaap Koops et al se utiliza de um conceito bidimensional da privacidade, de modo a entende-la a partir de um ponto de vista do próprio indivíduo e de um ponto de vista interpessoal, ou seja, esta a partir da análise das relações de um indivíduo com a sociedade, da seguinte maneira: Tipologia da privacidade, de acordo com Bert-Jaap Koops, Bryce Clayton Newell, Tjerk Timan, Ivan Skorvánek, Tomislav Chokrevski e Masa Galic A dimensão vista com relação ao próprio indivíduo é a relativa às suas liberdades. Abrange as liberdades negativas ("freedom from") do indivíduo, ou seja, de não haver a interferência do outro sobre si, o que, com relação à privacidade, se relaciona ao ser deixado só ("being let alone"). Além disso, inclui as liberdades positivas, que dizem respeito ao autodesenvolvimento do indivíduo ("self-development"), o que, quanto à privacidade, se relaciona à autodeterminação informativa. Por fim, a dimensão que conecta o indivíduo ao outro, interpessoal, é dividida entre a solitude ("solitude"), a intimidade ("intimacy"), a secretude ("secrecy") e a inconspicuidade ("inconspicuousness"). Nesse raciocínio, solitude é o estar consigo mesmo. A intimidade, por sua vez, é a relação do indivíduo com os seus elos mais próximos, como os membros mais próximos da família e os melhores amigos. A secretude, em seu turno, é a relação com os elos menos próximos, como colegas de trabalho. A inconspicuidade, por fim, se trata da discrição que ocorre quando em contextos em público, em que existe, também, a expectativa da discrição do outro, isto a fim de ser mantida a privacidade - inclusive, diga-se, modo recíproco. Os tipos de privacidade, como elencados pela análise de Koops et al, se enquadram nas referidas dimensões. Dividem-se em: do corpo ("bodily privacy"); do espaço ("spatial privacy"); de comunicação ("communicational privacy"); da propriedade ("proprietary privacy"); intelectual ("intellectual privacy"); de decisão ("decisional privacy"); de associação ("associational privacy"); e comportamental ("behavioral privacy")8. Além dos tipos elencados, de forma sobreposta, há a privacidade informacional ("informational privacy"), seguindo-se o raciocínio de que todo tipo ou contexto em que há a privacidade é capaz de gerar dados e/ou informações pessoais9. Assim sendo, possibilita o entendimento de que os dados e as informações pessoais representam um dos aspectos da privacidade, isto porque os seus tipos - ou contextos, a se analisar a teoria de Nissenbaum - geram dados e informações pessoais a eles relacionados. Essa afirmação não significa, porém, que a formação dos dados e das informações pessoais se restringe aos contextos ou tipos de privacidade, havendo, como já pontuado por Laura Schertel Mendes, os dados pessoais não relacionados à privacidade10. Além das dimensões estabelecidas, mas a elas correlatas, a privacidade também é analisada diante do controle dos indivíduos sobre o acesso à sua privacidade, incluindo os dados e/ou informações pessoais dela decorrentes. Considerações finais As novas abordagens do sentido da privacidade - aduzidas, por estas linhas, como aquelas referentes às teorias de Helen Nissenbaum e de Bert-Jaap Koops et al - possuem um raciocínio que, notavelmente, auxiliam no entendimento de que a privacidade deve ser tutelada em cada contexto, de forma distinta, bem como que uma abstração de seu significado não refletiria, concretamente, as reais expectativas de privacidade dos indivíduos, nem mesmo a razoabilidade dessas expectativas frente a uma ponderação com outros bens e direitos também juridicamente tutelados. __________ 1 DE GIACOMO, Claudio. Diritto, libertà e privacy nel mondo della comunicazione globale. Milão, Itália: Giuffrè, 1999, p. 16. 2 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim. 3 KOOPS, Bert-Jaap; NEWELL, Bryce Clayton; TIMAN, Tjerk; SKORVÁNEK, Ivan; CHOKREVSKI, Tomislav; GALIC, Masa. A Typology of Privacy. University of Pennsylvania Journal of International Law, Vol. 38, n. 2, 2017, art. 4, pp. 483-575, passim. 4 Tradução dos autores. NISSENBAUM, Helen. Privacy in Context. Op. cit., p. 143. 5 EUA. Suprema Corte dos Estados Unidos da América. Katz v. United States, n. 35, 389 U.S. 347, 1967. Disponível em: . Acesso em: 20 dez. 2021. 6 Tradução dos autores: "Não será infringido o direito do povo à inviolabilidade de sua pessoa, casas, papeis e haveres, contra buscas e apreensões não-razoáveis e não se expedirá mandado a não ser mediante indícios de culpabilidade, confirmados por juramento ou declaração, e nele se descreverão particularmente o lugar da busca e as pessoas ou coisas que tiverem de ser apreendidas." EUA. United States Constitution Amendment IV. Disponível aqui. Acesso em: 20 dez. 2021. 7 REIDENBERG, Joel R. Privacy in Public. University of Miami Law Review, vol. 69, 2014, pp. 141-160 (p. 155). 8 KOOPS, Bert-Jaap; NEWELL, Bryce Clayton; TIMAN, Tjerk; SKORVÁNEK, Ivan; CHOKREVSKI, Tomislav; GALIC, Masa. A Typology of Privacy. Op. Cit., p. 484. 9 Destaca-se que os dados pessoais e informações pessoais são conceitos diversos. A se obter uma informação, deve haver, como processo, a organização e a interpretação de dados. 10 MENDES, Laura. Habeas data e autodeterminação informativa. Revista Brasileira de Direitos Fundamentais & Justiça, v. 12, n. 39, pp. 185-216, 26 mar. 2019.
Introdução Embora o tema da proteção de dados tenha ganhado destaque com seu diploma normativo pátrio, é certo que sua disciplina jurídica já existe e é discutida há pelo menos cinco décadas. Ligada a uma estruturação dos direitos da personalidade e a uma tradição do direito à privacidade, a proteção de dados surge no debate público na segunda metade da década de 1960 e, hoje, está presente de forma concreta em mais de 140 países1. A autonomia da disciplina veio em compasso com a crescente automatização do processamento de dados, o que inaugurava questões como a transparência dos repositórios de dados pessoais, os limites às decisões automatizadas e a portabilidade de informações. Do ponto de vista do aparato legislativo construído para responder a tais questões, nota-se uma convergência das políticas públicas de diferentes países o que se deve, conforme nota Colin Bennet, às características de base comum, como os padrões generalizados introduzidos pela tecnologia; a emulação de parâmetros legislativos pré-existentes; a existência de uma crescente especialização na matéria por intelectuais participando de forma coesa nos marcos legislativos; o reconhecimento do valor de uma política coesa sobre a matéria e a possibilidade de sistemas já consolidados virem a influenciar os demais tendo em vista a necessidade de compatibilização técnica que a própria proteção de dados demanda. Foi assim que progressivamente o Brasil integrou-se ao grupo de países que disciplina a matéria por meio de uma legislação e uma autoridade específicas para lidar com a proteção de dados. Em que pese a privacidade e a proteção de dados fossem temas da realidade sobre os quais o direito pátrio já incidia suas normas, ora de caráter privatístico, ora publicista, foi somente com a Lei 13.709 de 14 de agosto de 2018, a Lei Geral de Proteção de Dados - LGPD, que o tratamento de dados obteve uma sistemática própria, hábil à criação de conceitos, institutos e princípios próprios.  Relações da LGPD e o Poder Público O caráter publicista da LGPD é evidenciado pelo capítulo sobre o tratamento de dados pessoais pelo Poder Público. Além da incidência das normas, verifica-se também que a principiologia adotada respalda uma lógica de direitos-deveres da Administração. O Estado, concebido aqui como uma estrutura de processos vinculados à própria racionalidade humana e, por conseguinte, seu progressivo desenvolvimento, participa da evolução tecnológica e expande sua capacidade de tratamento, processamento e cruzamento de dados.  Esta relação entre proteção de dados e Estado não prescinde de uma contextualização quanto aos valores políticos envolvidos: é que, de um lado, a ideia de limitação dos poderes estatais é condizente com um instrumento jurídico que confira tutelas protetivas ao cidadão, impedindo uma invasão desmesurada nas esferas da privacidade e intimidade; de outro, sob o paradigma da necessidade de eficiência e eficácia dos direitos, é certo que melhorias na qualidade de vida perpassam por uma organização burocrática que é alimentada por dados. A fase do estado de bem-estar social sempre esteve ligada a uma ampliação de tarefas administrativas necessárias cuja organização burocrática impunha deveres de identificação, registro e documentação de indivíduos2. A tensão política entre um paradigma de necessidade protetiva, conferindo limites aos poderes do Estado, e a necessidade de uma Administração eficiente e informatizada é repercutida na tensão das normas que buscam uma "justa medida" para o tratamento de dados pelo Poder Público. Conforme nota Miriam Wimmer: "a visibilidade do Estado sobre seus cidadãos permite ampliar sua capacidade de intervenção, tenha ela por objetivo atingir finalidades sociais justas (e.g. viabilizar a distribuição de benefícios sociais) ou nefastas"3. Esta "justa medida" só pode ser buscada nas bases legais que a própria LGPD traz para o tratamento de dados pelo Poder Público. E é nesse sentido que deve ser feita a análise do recente Acordo de Cooperação Técnica firmado entre o Tribunal Superior Eleitoral e a Autoridade Nacional de Proteção de Dados.  O Acordo de Cooperação Técnica: o que diz o plano de trabalho? Apesar do nome, os acordos de cooperação técnica não se confundem com os Acordos de Cooperação normatizados pela Lei 13.019 de 31de julho de 2014, cujo escopo é a realização de parcerias sem a transferência de recursos entre entes administrativos e organizações do terceiro setor. Sendo o TSE e a ANDP órgãos públicos, a natureza jurídica do acordo firmado se aproxima do instituto jurídico do convênio, pautado em objetivos convergentes para o tratamento de dados pessoais. É precisamente o que se extrai das obrigações comuns entabuladas no acordo, marcadas, em resumo, por um mutualismo de esforços na consecução do plano de trabalho. As obrigações específicas também indicam uma conformidade de objetivos, notadamente no sentido de viabilizar orientações técnicas, materiais orientativos, capacitação, treinamento, aperfeiçoamento e reciclagem dos quadros técnicos de ambas as instituições. Este tipo de cooperação possui base legal na LGPD, em seu art. 55-J, VI, que estabelece a competência da ANPD para promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; da mesma forma, o TSE deve estar em consonância com os avanços tecnológicos e técnicos para o pleno atendimento de sua finalidade regulamentar estabelecida tanto pelo Código eleitoral, no art. 23, IX, quanto na Lei 9.504 (Lei das Eleições), no art. 105. É no item 7, que trata sobre os resultados esperados, que se pode obter uma visão mais concreta sobre os objetivos do Acordo: busca-se a conscientização de agentes de tratamento que tratam dados pessoais para fins de campanha eleitoral como candidatos, pré-candidatos, partidos políticos, coligações, comitês de campanha e empresas contratadas para gerenciar campanhas eleitorais acerca dos princípios e disposições sobre a proteção de dados pessoais constantes na LGPD. Um ponto que merece destaque é a menção a empresas para o gerenciamento de campanhas. Embora lícito, as atividades que tais empresas podem exercer possuem restrições legais, como a proibição de produção ou edição de conteúdo por meio de blogs, redes sociais, sítios de mensagens instantâneas e aplicações de Internet assemelhadas, conforme dispõe o inciso IV, do art. 57-B e "caput" do art. 57-C da Lei das Eleições. Além deste resultado, o plano de trabalho indica a expectativa por uma exposição aos titulares de dados pessoais acerca dos riscos envolvidos na utilização irregular de dados pessoais, e exposição dos direitos previstos na LGPD e na legislação eleitoral e as formas para seu exercício; e o estabelecimento de um ambiente juridicamente seguro para os agentes de tratamento responsáveis pelo tratamento de dados no contexto eleitoral. Aqui, embora não mencione, os agentes são integrantes do próprio TSE, uma vez que esta Corte que detém o maior banco de dados biométricos das Américas com mais de 120 milhões de eleitores e eleitoras cadastradas em arquivo eletrônico, com foto, assinatura e impressões digitais4.  O uso de dados pessoais em campanhas eleitorais Apesar da incidência da LGPD nos órgãos da Justiça Eleitoral não ser olvidável, ainda há questionamentos sobre a aplicação do dispositivo no âmbito eleitoral tendo em conta os demais agentes que atuam nos pleitos, como partidos políticos, diretórios, coligações, candidatos e pré-candidatos, escritórios de advocacia eleitoralista, plataformas de internet, marqueteiros e organizações suprapartidárias. Isso porque a digitalização é um fenômeno que alcança as campanhas eleitorais, vinculando o poder de persuasão cada vez mais ao potencial de espraiamento da imagem do candidato pelas redes sociais. Com efeito, a propaganda eleitoral digital é um fenômeno que chama cada vez mais atenção da ciência política por seus efeitos inusitados sobre a democracia. No Brasil, nota-se, sobretudo, a estratégia dos partidos com menos recursos disponíveis pelo Fundo Especial de Financiamento de Campanha em realizar campanhas "ruidosas" por meio de mídias de baixo custo, como são as redes sociais. E, as próprias redes sociais possuem um mecanismo diferencial de propagação de conteúdo radical uma vez que se baseiam na retroalimentação do engajamento. Na prática, significa que os conteúdos com maior engajamento ("curtidos", "comentados" e "compartilhados", no caso do Facebook) são identificados como relevantes e aparecem como prioridade para os usuários, criando as chamadas "câmaras de eco" (eco chambers). Uma vez que um número razoável de usuários se engaje em determinado conteúdo, a polarização se torna identificável pelas redes sociais, que automaticamente passam a expor cada vez mais informações e notícias de semelhante teor aos usuários individualmente, de modo que os participantes de cada nicho são atraídos pelas "câmaras de eco". O sentimento de pertencimento é reforçado, fortalecendo a identificação pessoal com aquele determinado grupo e criando a repulsa em relação aos opositores. Não por acaso, as Resoluções eleitorais mais recentes conceberam normatizações bastante específicas para impulsionamento online, prestação de contas por serviços de marketing digital e as condições de uso de plataformas de mensageria eletrônica. No entanto, nos casos em que a propaganda eleitoral descambava para práticas violadoras de direitos da personalidade (seja na esfera criminal, como delitos eleitorais contra a honra, seja por meio dos pedidos de direitos de resposta), a tutela conferida pelo direito eleitoral era sempre no sentido de uma proteção individual, da reparação ao dano sofrido ou, olhando para os valores constitucionais em jogo, do resguardo da legitimidade e normalidade das eleições, tal como estabelecido no §9º do art. 14 da Constituição Federal. O cidadão-eleitor, por sua vez, não era tutelado no tocante a sua autonomia informacional ou proteção de sua privacidade. Essa lógica normativa baseada na figura do candidato pode ser alterada com o advento da LGPD. É uma transformação condizente ao fluxo de informações que as propagandas digitais passam a adotar: os meios de comunicação tradicionais, como o rádio e a televisão, viabilizam formas de convencimento baseadas em fluxos unidirecionais de informações, com a construção de tópicos e narrativas moldadas e limitadas pelo tempo televisão e rádio que cada partido dispõe. O foco da legislação atual é, portanto, a regulação das emissoras. A mídia veiculada pela internet possui um fluxo multidirecional, no qual o usuário é quem escolhe o que quer ver e pode se tornar, ele mesmo, um veículo de transmissão de informações. Enquanto unidade de recepção e disseminação de conteúdo político, o usuário torna-se também alvo de modelos descentralizados de captação de audiência, seja para a comercialização de produtos, repercussão de notícias, integração a movimentos sociais e, naturalmente, campanhas políticas. Nesse momento importa ao marketing político criar uma personalização do conteúdo ao qual o usuário será exposto, tornando relevante a pré-visualização de suas interações, alinhamentos ideológicos, grupos aos quais adere, figuras públicas que admira, etc. A partir de tais elementos, surgem técnicas de campanha baseadas na coleta e análise de dados para a segmentação de audiências (microdirecionamento de anúncios), combinadas ainda com a automatização de comportamentos (o uso de bots), criação de perfis inautênticos e envios massivos de mensagens privadas. Em 2018, o ambiente eleitoral com regulações voltadas para as mídias tradicionais resultou em vulnerabilidades que posteriormente foram detectadas, dentre outros, no Inquérito n.º 4.781 do Supremo Tribunal Federal, popularmente conhecido por inquérito das fake News. Ainda é importante notar que a propaganda política digital foi marcada pelo julgamento das Ações de Investigação Judicial eleitoral nº 0601968-80.2018 e 0601771-28.2018, que, entre os pedidos, havia o de cassação da chapa vencedora por abuso de poder econômico mediante contratação de empresas para disparos em massa de mensagens, sobretudo no aplicativo Whastapp. Sem a vigência da LGPD, ainda era necessário que o direito eleitoral lançasse mão de institutos próprios à tutela dos valores da legitimidade e normalidade das eleições, a exemplo do exame da potencialidade em alteração do resultado do pleito devido ao disparo de notícias fraudulentas5.  Impactos da proteção de dados no âmbito eleitoral Não se supõe que a proteção de dados fosse tema estranho ao direito eleitoral: desde a reforma de 2009, a Lei das Eleições conta com um microssistema de proteção de dados - posto que utilize o termo "cadastro de endereços eletrônicos" - que constam no o art. 57-E, que proíbe a venda, cessão ou doação de cadastros de endereços eletrônicos, sob pena de multa; o art. 57-G que estabelece o dever de descadastramento; e o art. 57-B que autoriza a propaganda eleitoral apenas para endereços cadastrados gratuitamente pelo candidato, partido ou coligação. Apesar da normatização vanguardista, persiste a racionalidade de uma proteção aos valores eleitorais, no caso, o equilíbrio de condições na disputa, conferindo a tutela dos dados pessoais apenas acidentalmente. A LGPD oportuniza que o tratamento de dados seja normatizado no âmbito eleitoral, resultando em fiscalização e sanções em caso de descumprimento da lei. Podemos apontar alguns efeitos que, em que pese a baixa relevância no pleito de 2020, serão notados nas campanhas de maior envergadura em 2022. O uso de dados pessoais para as campanhas fica restrito à hipótese do cadastramento gratuito pelo candidato, partido ou coligação. Sobre esse uso incidirá o princípio da finalidade, que, conforme dicção do art. 6º, inciso I, determina que o tratamento de dados deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Por consequência lógica, a coleta de dados já contará com o consentimento do usuário, em respeito ao inciso I do art. 6º, cabendo ao titular dos dados pessoais manifestar-se de modo livre, expresso, informado e específico, ou seja, com plena ciência de que seus dados servirão ao propósito de convencimento eleitoral. Se os dados pessoais congregam opiniões políticas, informações sobre o alinhamento ideológico e filiação a grupos sociais, passa-se a considerá-los como dados pessoais sensíveis. Nessa qualidade, os critérios para o tratamento são mais restritivos, de acordo com o art. 11: não se cogita de haver legítimo interesse no tratamento e, o consentimento passa a ser específico e destacado, para finalidades específicas. Consequentemente, nota-se que os cidadãos possuirão os seus dados pessoais mais protegidos no que se refere ao uso de mencionados dados para fins políticos, sendo que a Lei Geral de Proteção de Dados possui um papel de extrema relevância para dificultar determinadas práticas danosas ao Estado Democrático de Direito que foram constatadas nas eleições presidenciais de 2018, como o uso de bots para a disseminação de fake news para determinado perfil de eleitores.  Conclusão Embora a legislação eleitoral já possuísse dispositivos que visavam a proteger os dados pessoais dos cidadãos, é possível notar que a Lei Geral de Proteção de Dados, ao elencar como sujeito de direito principal os titulares dos dados pessoais, configura-se como um importante instrumento para se evitar a manipulação política por meio do emprego de novas tecnologias e formas de realizar o direcionamento de seus conteúdos. Nas eleições de 2022, poderemos analisar com clareza os impactos da Lei Geral de Proteção de Dados no processo eleitoral, sendo que é possível vislumbrar que práticas realizadas nas eleições de 2018 não serão verificadas com tanta frequência no próximo ano.  _________ 1 Para uma contextualização histórica do tema v. DONEDA, Danilo. Panorama histórico da proteção de dados pessoais. In: Tratado de proteção de dados pessoais. Coord. Danilo Doneda, et. Al. 2ª reimp.. Rio de Janeiro: Forense, 2021. P. 3-20. 2 LYON, David. The eletronic eye. The rise of surveillance Society. Minneapolis: University of Minnesota Press, 1994, p. 33. 3 WIMMER, Miriam. O regime jurídico do tratamento de dados pessoais pelo Poder Público. In: Tratado de proteção de dados pessoais. Coord. Danilo Doneda, et. Al. 2ª reimp.. Rio de Janeiro: Forense, 2021. P. 273. 4 V. https://www.tse.jus.br/imprensa/noticias-tse/2021/Outubro/tse-e-cnj-realizam-primeira-acao-para-identificar-pessoas-sem-documento-nas-prisoes. Acesso em 10 de dez. de 2021. 5 OLIVEIRA, Cristina Godoy Bernardo de; Neto, Fernando Celso Guimarães. Estado vigilante e regulação das fake news. In Migalhas de Proteção de Dados, 30 de abril de 2021. Disponível aqui. Acessado em 22 de dezembro de 2021. _________ Kaleo Dornaika é Advogado. Mestre em Direito pela Universidade de São Paulo. Cristina Godoy Bernardo de Oliveira é professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.   
Introdução Na Parte I deste texto, publicada no Migalhas em 1º de outubro de 20211, abordamos o processo de consentimento na pesquisa envolvendo seres humanos e os relativos à Lei Geral de Proteção de Dados - LGPD; Lei 13.709/2018. Na sequencia, na Parte II, ora publicada, temos como propósito focar nossa análise nas características do processo de consentimento na assistência à saúde e suas relações com o estabelecido na LGPD. Para recuperar alguns pressupostos centrais e que integram todas Partes, destacamos aspectos tratados na Parte I, são eles: 1- O processo de consentimento na área da saúde é essencial - ele representa "o ritual clínico moderno da confiança"2, seja na perspectiva bioética3, moral e jurídica.4-5 2- O ato humano de consentir está diretamente conectado à liberdade e à autonomia da pessoa natural, podendo representar diferentes sentidos e formas de manifestação de vontade, tenha este ato efeitos jurídicos ou não. 3- Consentir, o ato de consentir e o processo de consentir são palavras que em seu entorno gravitam sentidos diversos, apesar dos inúmeros pontos de contato na rede do "universo normativo" e que também é o "universo narrativo" de conceitos, princípios, modelos normativos e hermenêuticos - sendo o verbo consentir aquele que dá a forma primordial as distintas roupagens, atuando  como uma "concha" receptora de sentidos; em referência a metáfora da "concha do marisco abandonado" empregada por Martins-Costa.6 4- O verbo consentir antecipado pela palavra "processo" é complemento integrador de sentidos jurídicos e bioéticos. 5- O processo sendo entendido como - aqui replicamos nosso texto-: A cadeia de atos e/ou procedimentos, não necessariamente consecutivos ou postos de forma sequencial, envolvendo elementos intrínsecos e elementos extrínsecos na perspectiva da pessoa natural que consente. Os elementos extrínsecos, aqueles postos pela situação concreta e jurídica, essenciais ao conhecimento do consentidor para respeitar os seus direitos informativos, de personalidade e de autodeterminação. O ato de consentir deve ser realizado sem inadequações éticas7 e/ou vícios de consentimento (erro ou ignorância, dolo, coação e estado de perigo)8. É fundamental diferenciar a obtenção de um consentimento em situações assistenciais das que ocorrem em pesquisa. Na assistência sempre existe uma demanda de atenção, por parte do indivíduo, paciente ou de seus familiares, baseada em uma necessidade, que é apresentada aos profissionais de saúde. Por outro lado, o pesquisador oferece a possibilidade de participação em um projeto de pesquisa a pessoas que preenchem os critérios de inclusão previamente estabelecidos. Resumindo, a assistência se baseia em um critério de necessidade e a pesquisa no de possibilidade, conforme tivemos a oportunidade de destacar na Parte I deste texto.  A necessidade envolvida na assistência a saúde está relacionada a uma prestação de serviço que tem como objeto central os cuidados de saúde. Desta forma, o consentimento na assistência, por definição, envolve a relação profissional-paciente que é assimétrica, devido à vulnerabilidade associada ao assistido.9 A obtenção do consentimento é um importante elemento de uma adequada relação profissional-paciente em ambientes assistenciais, sendo uma atividade intrínseca e fundamental, e não tangencial, à relação jurídica existente. A assistência à saúde, aqui tratada, contempla o conceito de saúde proposto pela Organização Mundial da Saúde (OMS) - estado de completo bem-estar físico, mental e social e não somente ausência de afecções e enfermidades - e que hoje é central entre os Objetivos do Desenvolvimento Sustentável (ODS) e o Pacto Global da Organizações das Nações Unidas (ONU), portanto envolve todas as áreas da saúde e não somente a medicina. Também deve envolver necessariamente o tratamento de dados pessoais e dados pessoais sensíveis. O processo de consentimento envolve diversas facetas do atual exercício dos cuidados em saúde. Este processo de consentimento não é apenas uma doutrina legal, é também um direito moral dos pacientes que gera obrigações legais e morais para os profissionais da área da saúde. O processo de consentimento pode assumir diferentes significados. A relação jurídica estabelecida entre as partes tem como foco e objetivo central a assistência à saúde do assistido, pautada pela consideração que o direito à saúde é um direito fundamental e social, estabelecido nos artigos 5º e 6º da Constituição Federal e em demais regras de direito público e privado. A assistência à saúde pressupõe um negócio jurídico, que poderá conjugar deveres e obrigações contratuais ou existencial, entre o prestador dos serviços à saúde. O prestador poderá ser um ente público, com o por exemplo, a assistência efetivada pelo Sistema Único de Saúde (SUS); ou poderá ser uma pessoa jurídica de direito privado, como as clinicas e hospitais privados e filantrópicos, ou ainda, por uma pessoa natural, quando a assistência é realizada por um profissional liberal individualmente. Neste contexto, e com o objetivo de integrar um conjunto de textos abarcando os diferentes processos de consentimento na área da saúde, passamos a tratar sobre aspectos característicos do processo de consentimento na assistência à saúde, em especial a sua natureza e efeitos jurídicos e, por fim, os pontos de contato com o estabelecido na à Lei Geral de Proteção de Dados - LGPD; lei 13.709/2018. Clique aqui e confira a coluna na íntegra. __________ 1 FERNANDES, Márcia S.; GOLDIM, J.R. Os diferentes processos de consentimento na pesquisa envolvendo seres humanos e na LGPD - Parte I. Publicado em 1 de outubro de 2021. Acessível aqui.  2 WOLPE, Paul Root.The triumph of autonomy in American Bioethics: a sociological view. In: Raymond De Vires, Janardan Subedi. Bioethics and Society: constructing the ethical enterprise. Englewood Cliffs: Prentice-Hall, 1998, p. 49. 3 GOLDIM, José Roberto Goldim. Consentimento, capacidade e alteridade. In: Giovana Benetti; André Rodrigues Corrêa; Márcia Santana Fernandes; Guilherme Monteiro Nitschke; Mariana Pargendler; Laura Beck Varela. (Org.). Direito, Cultura e Método - Leituras da obra de Judith Martins-Costa. 1ed.Rio de Janeiro: GZ Editora, 2019, v. 1, p. 169-181. 4 CEZAR, Denise Oliveira. Pesquisa com medicamentos - aspectos bioéticos. São Paulo: Editora Saraiva, 2012, p. 178 e seguintes. 5 MARTINS-COSTA, Judith. A Boa-fé no Direito Privado - critérios para sua aplicação. São Paulo: Editora Marciel Pons, 2015, §21, p. 228-237. 6 MARTINS-COSTA, Judith. A concha do marisco abandonado e o nomos; in Narração e Normatividade - Ensaios de Direito e Literatura, MARTINS-COSTA, Judith (Cood.); São Paulo: Editora GZ, 2013, pgs. 8-11. 7 GOLDIM, José Roberto Goldim. O consentimento informado numa perspectiva além da autonomia. Revista AMRIGS, Porto Alegre, 46(3,4): 109-116, jul.-dez. 2002. Também acessível aqui. 8 Código Civil Brasileiro, Lei 10.406/2002; Capítulo IV - Dos Defeitos do Negócio Jurídico; artigos 138 ao 156 e Capitulo V - Da invalidade do Negócio Jurídico. 9 GENRO, B.; GOLDIM, J. R.. Acreditação Hospitalar e o Processo de Consentimento Informado. Rev HCPA 2012;32(4).
O presente trabalho enfrenta o problema do acesso de terceiros a dados de vacinação detidos por entes públicos, nos casos em que se objetiva controlar a atuação estatal e coibir irregularidades no processo de imunização. Nessas hipóteses, tem-se na balança, de um lado, o direito fundamental de acesso à informação e o princípio da transparência administrativa, e, de outro lado, o direito fundamental à proteção dos dados pessoais. O conflito deve ser analisado à luz do critério hermenêutico da razoabilidade. Isso porque se fará necessária a ponderação dos diversos interesses, integrando-se regras, princípios e valores do sistema, para que se possa, ao final, construir a norma do caso concreto que melhor realize a tábua axiológica constitucional. Na parte I deste artigo, examinou-se a situação de divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação. A partir da análise da incidência simultânea da disciplina da Lei de Acesso à Informação e da Lei Geral de Proteção de Dados Pessoais, lidas à luz dos princípios e valores constitucionais, concluiu-se pela inviabilidade da referida divulgação sem consentimento de cada titular. Diga-se entre parênteses que a racionalidade da questão em tela não se confunde com a da obrigatoriedade de exibição, pelo próprio titular, de atestado de vacinação para ingresso em determinados ambientes (o chamado "passaporte vacinal"), com suporte fático e pressupostos diversos, inclusive a tutela da saúde de terceiros, o que justifica e fundamenta a exigência da comprovação. Agora, nesta parte II, serão examinadas duas outras hipóteses: (i) a divulgação, ao público, de dados anonimizados pertinentes ao processo de vacinação e (ii) o acesso a dados pessoais pertinentes ao processo de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública. Primeiramente, cabe destacar que é viável a divulgação pública de dados anonimizados. Nessa situação, o direito à proteção dos dados pessoais estará resguardado, ao mesmo tempo em que se assegura transparência ao processo de vacinação. Constitui exemplo de publicação de dados nacionais de vacinação o chamado "vacinômetro", que indica diariamente, no site do Conselho Nacional de Saúde, a quantidade de doses aplicadas no país: em 8/12/21, já haviam sido aplicadas 314.158.730 doses. A Lei Geral de Proteção de Dados Pessoais qualifica como anonimizado o "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento" (art. 5º, III, LGPD). A caracterização do dado como pessoal ou anonimizado é de extrema relevância, em virtude da diferenciação de disciplina aplicável. Nessa direção, o art. 12, caput, da LGPD estabelece que, para os fins da lei, dados anonimizados não são considerados dados pessoais. Para diferenciar o dado pessoal do dado anonimizado, a lei 13.709/2018 adotou o "filtro da razoabilidade".1 Assim, quando um dado não puder ser associado, direta ou indiretamente, a um indivíduo, considerando a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, esse dado será considerado anonimizado e a disciplina da Lei Geral de Proteção de Dados Pessoais não incidirá (art. 5º, XI, LGPD). Para concretizar o que se considera razoável, o art. 12, § 1º, da LGPD elege os seguintes fatores: "custo e tempo necessários para reverter o processo de anonimização", conforme as tecnologias disponíveis, e "utilização exclusiva de meios próprios". Desse modo, admite-se a divulgação, ao público, de dados anonimizados pertinentes à vacinação. Faz-se necessário, todavia, o controle da efetividade do processo de anonimização, devendo-se assegurar que o titular não possa ser identificado, considerando o referido filtro da razoabilidade. É certo, contudo, que, para a finalidade de coibir irregularidades no processo de vacinação, a divulgação de dados anonimizados pode não constituir solução tão eficaz quanto o acesso à lista de vacinados, de modo identificado. Nesse cenário, faz-se mister a análise de outra hipótese: o acesso a dados pessoais pertinentes ao processo de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública. Aqui, também se deve considerar a incidência simultânea da disciplina da Lei Geral de Proteção de Dados Pessoais (lei 13.709/18 - LGPD) e da Lei de Acesso à Informação (lei 12.527/11 - LAI), sempre lidas à luz da tábua axiológica constitucional. Como visto na parte I deste trabalho, a LAI restringe o acesso à informação pessoal a "agentes públicos legalmente autorizados" e ao seu titular (art. 31, § 1º, I). Os servidores de órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública se caracterizam como "agentes públicos legalmente autorizados". Além disso, o art. 31, § 2º, da lei 12.527/11 estabelece que aquele que obtiver acesso aos dados pessoais será responsabilizado por seu uso indevido. Assim, o dever de sigilo será transferido ex lege ao órgão público requisitante. Pela disciplina da LAI, é, portanto, viável o acesso a dados de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública. A mesma conclusão é extraída da disciplina da Lei Geral de Proteção de Dados Pessoais. Isso porque a LGPD permite o tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II), inclusive para dados pessoais sensíveis (art. 11, II, "a").2 Nessas hipóteses, dispensa-se a obtenção de consentimento do titular. Além disso, o art. 26, caput, da Lei 13.709/18 autoriza o uso compartilhado de dados pessoais pelo Poder Público, desde que a finalidade seja a execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, devendo ser respeitados os princípios de proteção de dados pessoais enumerados no art. 6º da lei. O dever legal de proteção dos dados pessoais será transferido ao órgão público que requereu o acesso. Em síntese, nesse caso, é permitido o tratamento de dados pessoais e de dados pessoais sensíveis. Deverão, contudo, ser atendidos os princípios previstos no art. 6º da LGPD. De acordo com tal dispositivo, o tratamento de dados pessoais deve ser realizado para finalidade legítima, específica, explícita e devidamente informada, sendo certo que o tratamento não pode se dar para fins discriminatórios ilícitos ou abusivos (princípios da finalidade e da não discriminação). Faz-se mister que a operação prevista seja compatível com a finalidade aventada e que o procedimento ocorra sem excessos, na exata medida para se alcançar o dito propósito. Com efeito, o tratamento de dados pessoais deve ocorrer conforme sua razão justificadora e no limite desse escopo, encerrando-se a operação tão logo haja seu cumprimento (princípios da adequação e da necessidade).3 Assegura-se ao titular do dado pessoal acesso facilitado e gratuito à forma, à duração do tratamento e à integralidade das informações pessoais (princípio do livre acesso). Os dados devem estar corretos, claros, atualizados e se afigurarem relevantes para o atendimento do objetivo da operação (princípio da qualidade dos dados). São garantidas ao titular informações claras, precisas e facilmente acessíveis a respeito dos tratamentos realizados e dos agentes que os promovem, respeitados os segredos comercial e industrial, bem como que a operação seja efetuada de acordo com medidas técnicas e administrativas seguras (princípios da transparência e da segurança). Exige-se a adoção de providências que evitem a ocorrência de danos, determinando-se aos agentes de tratamento a demonstração do implemento das normas de proteção e da eficácia das medidas cumpridas (princípios da prevenção e da responsabilização e prestação de contas). Mais uma vez, o diálogo entre a Lei Geral de Proteção de Dados Pessoais e a Lei de Acesso à Informação aponta para solução única: a viabilidade do acesso, por órgão público responsável pela defesa da ordem jurídica e pelo controle da Administração Pública, a dados pessoais pertinentes ao processo de vacinação, independentemente de consentimento do titular da informação pessoal.  Assim, é individualizada solução coerente e harmônica, que assegura, a uma só vez, a unidade do sistema e a promoção dos valores emanados do topo da pirâmide normativa.4 Na situação vislumbrada, tutela-se o princípio da transparência administrativa, integrante do núcleo axiológico do regime democrático, sem, contudo, se aniquilar o direito fundamental à proteção dos dados pessoais. Na verdade, o dever de proteção e de sigilo será transferido ao órgão público requisitante, o qual se torna responsável por qualquer uso indevido das informações pessoais. Imagine-se que o MP, "instituição permanente, essencial à função jurisdicional do Estado" e responsável pela "defesa da ordem jurídica, do regime democrático e dos interesses sociais e individuais indisponíveis" (art. 127, caput, CF/88), requeira ao Poder Executivo o acesso a dados de vacinação para fins de instrução de procedimento administrativo regularmente instaurado para apurar irregularidades no processo de vacinação. Como se sabe, a CF/88 atribui ao Ministério Público, como função institucional, "expedir notificações nos procedimentos administrativos de sua competência, requisitando informações e documentos para instruí-los" (art. 129, VI). Será viável, portanto, o atendimento à requisição ministerial. Veja-se que o direito à proteção dos dados pessoais não pode ser interpretado de forma tão extremada que impeça o acesso a informações de vacinação por instituição pública responsável pela defesa da ordem jurídica.  É dizer: não existem direitos absolutos. Tanto o direito fundamental de acesso à informação quanto o direito fundamental à proteção dos dados pessoais encontram limites no arcabouço normativo vigente. Caberá ao intérprete, considerando o ordenamento jurídico em sua unidade, coerência, heterogeneidade e complexidade, individualizar a solução que melhor realize os valores constitucionais, a partir da acurada análise de cada situação concreta. Diante do exposto na Parte I e na Parte II deste trabalho, conclui-se que, no contexto da pandemia da covid-19, sobressai, mais do que nunca, a preocupação com a pessoa humana e seus valores existenciais, a serem tutelados pelo ordenamento jurídico com máxima prioridade. Os direitos da pessoa demandam, talvez mais do que em qualquer outra quadra da história, deveres de proteção. Nessa toada, proteger os dados pessoais significa amparar e salvaguardar o livre desenvolvimento da personalidade de cada indivíduo, reconhecendo e protegendo sua dignidade. Nesse cenário, a divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação sem consentimento dos titulares das informações constitui solução inviável, sob pena de se aniquilar o direito à proteção dos dados pessoais, que é diretamente informado pelo princípio da dignidade da pessoa humana, fundamento do sistema jurídico. Há, ademais, outros meios menos gravosos para se assegurar a transparência administrativa e o alcance da finalidade de controle e de fiscalização do processo de vacinação. O prato da balança pende, assim, para a tutela da pessoa humana. De outro giro, afigura-se viável a divulgação, ao público, de dados anonimizados pertinentes ao processo de vacinação. Nesse caso, o direito à proteção dos dados pessoais estará resguardado, ao mesmo tempo em que se assegura transparência na atuação estatal. Deve haver, contudo, o controle da efetividade do processo de anonimização, assegurando-se que o titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento. Também se admite o acesso por órgão público responsável pela defesa da ordem jurídica e pelo controle da Administração Pública aos dados de imunização. Nessa situação, tutela-se o princípio da transparência administrativa, sem, contudo, se aniquilar o direito fundamental à proteção dos dados pessoais. Na verdade, o dever de proteção e de sigilo será transferido ao órgão público que requereu o acesso, o qual se torna responsável por qualquer uso indevido das informações pessoais. Nessa hipótese, o consentimento do titular do dado pessoal é dispensado. Parece urgente, portanto, a modificação na atuação do Estado-legislador, de forma que não sejam mais editadas leis para obrigar a Administração Pública a divulgar, por meio de seu site oficial, a lista nominal de vacinados. Ilustre-se com o recente PL 42/21, que visava a tornar "obrigatória a publicação de dados a respeito dos lotes de vacinação e da população vacinada no âmbito do Plano Estadual de Imunização contra a covid-19", aprovado pela Assembleia Legislativa do Estado de São Paulo, mas totalmente vetado pelo Governador do Estado, em outubro de 2021, em razão do conflito com o art. 5º, inciso X, da CF/88. O PL 42/21 previa a (inadmissível) obrigatoriedade de publicação, em  sítio eletrônico, dos seguintes dados:  nome completo da pessoa vacinada, trecho do CPF, grupo de vacinação, data e local da vacinação, lote da vacina aplicada, identificação da dose recebida e identificação nominal e de registro funcional do profissional que aplicou a vacina. Também parece necessária a pacificação do entendimento jurisprudencial na direção da inviabilidade de se compelir o Poder Executivo a divulgar, ao público, a lista nominal de vacinados. A existência de posicionamentos divergentes na jurisprudência pode ser ilustrada com os casos dos municípios de Nova Odessa, Monte Alto e Santa Cruz das Palmeiras. Nas três hipóteses, o Órgão Especial do TJ/SP enfrentou a questão da edição de leis para obrigar a prefeitura a publicar os nomes completos das pessoas vacinadas, entendendo pela constitucionalidade no caso de Nova Odessa e pela inconstitucionalidade nos casos de Monte Alto e Santa Cruz das Palmeiras.5 Fundamental que o Estado-juiz consolide, em definitivo, sua atuação no sentido de considerar inadmissível a divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação sem consentimento dos titulares das informações. ______ 1 Bruno Ricardo Bioni. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2020, p. 66. 2 Considera-se que, no que interessa ao tema do presente trabalho, o art. 23 da LGPD não constitui uma base legal de tratamento autônoma. As hipóteses em que a Administração Pública poderá realizar o tratamento de dados pessoais já estão abrangidas pelas bases legais dos arts. 7º e 11 da LGPD. Como se vê dos próprios termos utilizados pela LGPD, o art. 23 fixa as "regras" que deverão ser observadas pelo Poder Público no exercício de tal atividade. 3 Pietro Perlingieri. La pubblica amministrazione e la tutela della privacy. In: Pietro Perlingieri. La persona e i suoi diritti: problemi del diritto civile. Napoli: Edizioni Scientifiche Italiane, 2005, p. 259. 4 Carlos Edison do Rêgo Monteiro Filho. Reflexões metodológicas: a construção do observatório de jurisprudência no âmbito da pesquisa jurídica. Revista Brasileira de Direito Civil, v. 9, n. 3, 2016, Disponível aqui. 5 TJ/SP, ADI 2047923-56.2021.8.26.0000, Órgão Especial, julg. 07/07/2021; TJ/SP, ADI 2133878-55.2021.8.26.0000, Órgão Especial, julg. 27/10/2021; TJ/SP, ADI 2112146-18.2021.8.26.0000, Órgão Especial, julg. 27/10/2021.
Desde o início da pandemia da Covid-19, incalculável sofrimento vem sendo imposto à humanidade. Depois do fim do mais insólito ano há muito não vivido, 2021 começou com um sopro de esperança.1 Em 17 de janeiro, foi aplicada a primeira vacina contra a doença no país.2 Daí se seguiram milhões de doses aplicadas, de acordo com a ordem de prioridade estabelecida. Os impactos do início da vacinação reverberaram no campo jurídico. A intervenção do Estado-administrador para protagonizar o combate à Covid-19 por meio do processo de vacinação gerou a correspondente necessidade de controle e de fiscalização da atuação estatal, de modo a se coibir irregularidades, como no caso de desobediência à ordem de prioridades ("fura-fila"). Em alguns locais, o Estado-legislador reagiu editando leis que obrigam a Administração Pública a divulgar, por meio de seu site oficial, a lista nominal de vacinados. Também foi chamado a entrar em cena o Estado-juiz, a partir de ações ajuizadas com o objetivo de compelir o Poder Executivo a publicar a lista de vacinados. Vejam-se alguns exemplos. O Ministério Público do Estado do Rio de Janeiro propôs ação civil pública, pretendendo compelir o Município do Rio de Janeiro a conferir publicidade ao processo de vacinação que estava sendo implementado, através da disponibilização diária, no site oficial da Prefeitura, de listagem de vacinados. Alegou o Ministério Público que o plano de vacinação continha falhas, com desvios de doses para indivíduos que não faziam parte dos grupos prioritários, e que a publicidade era necessária para permitir o controle e a fiscalização do processo de imunização. Todavia, em agosto de 2021, a 9ª Vara da Fazenda Pública do Tribunal de Justiça do Estado do Rio de Janeiro julgou improcedente o pedido. Dentre outros fundamentos, o magistrado ressaltou a importância do respeito à disciplina da Lei Geral de Proteção de Dados Pessoais (LGPD). Exemplificou que, embora a pessoa infectada não possa se opor ao compartilhamento de seu nome e demais informações com o Ministério da Saúde, o tratamento de dados pessoais pela Administração Pública deve obedecer aos princípios previstos na LGPD, sendo admissível "a divulgação, ao público, apenas dos números e da divisão dos casos por região do Brasil e não das informações específicas daqueles com diagnóstico positivo e que possam, de alguma forma, servir para identificá-los, ainda que combinados com outros dados".3 O magistrado também havia, anteriormente, indeferido o pedido liminar, o que foi confirmado, em sede de agravo de instrumento, pela 10ª Câmara Cível do Tribunal de Justiça do Estado do Rio de Janeiro.4 Já no Município de Nova Odessa (SP), foi editada a lei municipal nº 3.381, de 23.2.2021, que dispôs sobre a obrigatoriedade de publicação, no site oficial da Prefeitura, da lista de vacinados contra a Covid-19, atualizada diariamente, com indicação do nome completo da pessoa vacinada, número de seu CPF (ocultando os seis primeiros dígitos com asterisco), data e local da vacinação, além da referência ao respectivo grupo prioritário. O Prefeito de Nova Odessa, contudo, ingressou com ação direta de inconstitucionalidade em face do artigo 2º, inciso I, da referida lei, que determinava a publicação do nome completo da pessoa vacinada, alegando, no que interessa ao presente trabalho, a violação da intimidade e da vida privada dos munícipes vacinados (art. 5º, X, CRFB/88). Em julho de 2021, o Órgão Especial do Tribunal de Justiça do Estado de São Paulo julgou improcedente a ação direta de inconstitucionalidade. Aduziu que a Administração Pública tem o dever fundamental de adotar o quanto necessário para prevenir doenças, inexistindo, na espécie, violação à intimidade ou à vida privada dos cidadãos. Assim, deveria prevalecer o valor da transparência. Também se considerou que a ausência de divulgação da lista nominal comprometeria a decisão do Supremo Tribunal Federal acerca da constitucionalidade da vacinação compulsória, embora não forçada, para preservar a saúde da coletividade (ADIs nº 6.586 e 6.587).5 A partir desses exemplos, vê-se que o debate sobre a viabilidade da divulgação da lista de vacinados é não só atual, como também tem gerado posicionamentos divergentes na jurisprudência. Nesse contexto de incertezas jurídicas, a doutrina assume importante papel de contribuir com a construção da disciplina incidente, por meio do exame do arcabouço normativo imposto pelo ordenamento, dos valores em jogo e dos instrumentos para a ponderação de interesses conflitantes. O presente trabalho se dividirá em duas partes. Nesta primeira, será analisada a situação de divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação. Na Parte II, serão examinadas duas outras hipóteses: (i) a divulgação, ao público, de dados anonimizados pertinentes ao processo de vacinação e (ii) o acesso a dados pessoais pertinentes ao processo de vacinação por órgãos públicos responsáveis pela defesa da ordem jurídica e pelo controle da Administração Pública. Como se sabe, a Constituição da República de 1988 contemplou, como direitos fundamentais, o direito de acesso à informação e o direito à proteção dos dados pessoais.6 Trouxe, ainda, como princípio, a transparência na atuação da Administração Pública. Nas situações em que a informação detida por ente público a que se pretende ter acesso é um dado pessoal de terceiro, entram em rota de colisão, de um lado, o direito fundamental de acesso à informação e o princípio da transparência administrativa, e, de outro lado, o direito fundamental à proteção dos dados pessoais.  Em um dos pratos da balança, valores integrantes do núcleo axiológico do regime democrático; no outro prato da balança, interesses existenciais que são diretamente informados pelo princípio da dignidade da pessoa humana. Quid juris? Nesses casos, haverá a incidência simultânea da disciplina da Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018 - LGPD) e da Lei de Acesso à Informação (lei 12.527/2011 - LAI). A interpretação deve ser sistemática, promovendo-se o diálogo entre as normativas, à luz dos princípios e valores constitucionais. Pense-se no exemplo de divulgação de lista que contém o nome das pessoas vacinadas naquela localidade, acompanhado da doença que a inclui no denominado "grupo de risco" da Covid-19 e que justificou a sua vacinação prioritária, por meio de disponibilização no sítio eletrônico oficial do ente público. A lista de vacinados conterá, inevitavelmente, dados pessoais e dados pessoais sensíveis.  A lei 13.709/2018 conceitua dado pessoal como aquele titularizado por pessoa natural identificada ou identificável, excluindo de sua proteção a informação relativa à pessoa jurídica (art. 5º, I e V, LGPD). Por outro lado, com relação ao dado pessoal sensível, a LGPD traz lista exemplificativa em seu artigo 5º, II: informação "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". A qualificação de determinado dado pessoal como sensível deve ocorrer concretamente, conforme a identificação da maior probabilidade de uso discriminatório por terceiros. Na disciplina da LGPD, o tratamento de dados pessoais só pode ocorrer se estiver fundamentado em uma das bases legais previstas nos artigos 7º e 11.  O artigo 7º da LGPD contempla como bases legais, em linhas gerais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) execução de contrato ou de procedimentos preliminares relacionados a contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) tutela da saúde; (ix) legítimo interesse e (x) proteção do crédito. De outro giro, o artigo 11 da LGPD fornece disciplina específica para os dados pessoais sensíveis, e prevê, resumidamente, as seguintes bases legais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo ou arbitral; (vi) proteção da vida ou da incolumidade física do titular ou de terceiro; (vii) tutela da saúde; (viii) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. A partir da análise das bases legais previstas na LGPD, vê-se que a divulgação pública de dados pessoais pertinentes ao processo de vacinação não pode ocorrer, senão mediante consentimento de cada titular. Se, de um lado, não se encontra base legal para fundamentar o tratamento desses dados pessoais sem consentimento (sensíveis ou não), de outro lado é certo que a exposição pública da lista de vacinados aniquila o direito à proteção dos dados pessoais. A mesma conclusão decorre do exame da disciplina da Lei de Acesso à Informação. O artigo 3º estabelece as diretrizes de aplicação da lei: (i) observância da publicidade como regra e do sigilo como exceção; (ii) divulgação de informações de interesse público, sem que se faça necessária solicitação; (iii) emprego de meios de comunicação viabilizados pela tecnologia da informação; (iv) estímulo ao desenvolvimento da cultura de transparência na administração pública; (v) edificação do controle social da administração pública. De mais a mais, o artigo 8º prevê que os órgãos e as entidades públicas têm o dever de divulgar informações de interesse coletivo ou geral por eles produzidas ou custodiadas, no âmbito de suas competências. A publicação deve se dar em local de fácil acesso e prescindir de requerimento. No entanto, a LAI contempla disciplina específica para as informações pessoais, que não pode ser desconsiderada pelo intérprete. A normativa traz limites ao direito fundamental de acesso à informação, concretizando o comando do artigo 5º, XXXIII, da CRFB/88, que prevê o direito do indivíduo a receber informações de interesse particular, ou de interesse coletivo ou geral detidas por órgãos públicos, mas ressalva aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado. Nessa direção, o artigo 6º, III, da LAI determina a proteção tanto da informação sigilosa quanto da informação pessoal, observados os aspectos de disponibilidade, autenticidade, integridade e eventual restrição de acesso. Passo adiante, o artigo 31, caput, da LAI estabelece que o tratamento dos dados pessoais deve ser feito com transparência e respeito às liberdades e garantias individuais e aos direitos à intimidade, à privacidade, à honra e à imagem. As informações pessoais terão seu acesso restrito a agentes públicos legalmente autorizados e ao seu titular, pelo prazo máximo de cem anos a contar de sua produção, independentemente de classificação de sigilo (art. 31, § 1º, I, LAI). O acesso a dado pessoal por terceiro só será admitido diante de previsão legal ou consentimento expresso da pessoa a que a informação se refere (art. 31, § 1º, II, LAI). O consentimento do titular, todavia, não será exigido quando os dados forem necessários: (i) à prevenção e diagnóstico médico, nas situações em que a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico; (ii) à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo proibida a identificação do titular das informações; (iii) ao cumprimento de ordem judicial; (iv) à defesa de direitos humanos; (v) à proteção do interesse público e geral preponderante; (vi) à apuração de irregularidades em que o titular dos dados estiver envolvido e (vii) em ações que visam à recuperação de fatos históricos de maior relevância (art. 31, § 3º, I a V, e § 4º, LAI). Ponha-se entre parêntese que, embora o artigo 10, § 3º, da LAI proíba a exigência relativa a motivos determinantes do pedido de acesso à informação, essa vedação não se aplica a informações pessoais, caso em que a solicitação precisará estar fundamentada em uma das hipóteses descritas que excepcionam a restrição de acesso. Ocorre que, novamente, nenhuma das referidas exceções é capaz de fundamentar a divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação, a demandar a obtenção de consentimento de cada titular.  Há, portanto, na espécie, a incidência simultânea da Lei de Acesso à Informação e da Lei Geral de Proteção de Dados Pessoais. O diálogo entre as normativas aponta para solução única: a inviabilidade da divulgação, ao público, de dados pessoais pertinentes ao processo de vacinação sem consentimento de cada titular. À luz do princípio da dignidade da pessoa humana, é individualizada solução coerente e harmônica, que assegura, a uma só vez, a unidade do sistema e a promoção da tábua axiológica constitucional.   O direito à proteção dos dados pessoais é diretamente informado pelo princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB/88).7 Assim, a exposição pública da lista de vacinados, ao aniquilar o direito à proteção dos dados pessoais, viola, em última análise, o princípio da dignidade da pessoa humana, o que, evidentemente, não se pode admitir.  Há, ademais, outros meios menos gravosos de se assegurar a transparência administrativa e o alcance da finalidade de controle e de fiscalização do processo de vacinação. É deste tema que se ocupará a Parte II deste trabalho - cenas do próximo capítulo.  *Carlos Edison do Rêgo Monteiro Filho é professor Titular de Direito Civil da UERJ (graduação, mestrado e doutorado) e ex-coordenador do Programa de Pós-Graduação em Direito da UERJ. Doutor em Direito Civil e Mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Membro da Comissão de Direito Civil da OAB/RJ, do IBDCivil e da AHC-Brasil. Advogado, parecerista em temas de direito privado.   **Diana Loureiro Paiva de Castro é procuradora do Estado de São Paulo. Coordenadora do Núcleo de Propriedade Intelectual e Inovação da PGE-SP. Mestre em Direito Civil pela UERJ. Professora em cursos de pós-graduação da UERJ, da PUC-Rio e da ESNAP/USP. Associada Fundadora do IAPD. Membro do IBDCivil, do IBERC e da AHC-Brasil. Vice-Presidente da Região Sudeste na ANAPE. Foi Procuradora da FAPESP. __________ 1 Carlos Edison do Rêgo Monteiro Filho. Pandemia e responsabilidade: a pessoa no centro do tabuleiro. Revista IBERC, v. 3, n. 3, 2020. Disponível aqui. 2 Portal do Governo. "Estado de São Paulo inicia vacinação contra COVID-19". Disponível aqui. 3 TJ/RJ, ACP nº 0015047-74.2021.8.19.0001, 9ª Vara da Fazenda Pública, julg. 19/08/2021. 4 TJ/RJ, AI nº 0004292-91.2021.8.19.0000, 10ª Câmara Cível, julg. 14/07/2021. 5 TJ/SP, ADI nº 2047923-56.2021.8.26.0000, Órgão Especial, julg. 07/07/2021. 6 Cabe mencionar, em enunciação exemplificativa, os incisos X, XII, XIV, XXXIII e LXXII do artigo 5º e o caput e o inciso II do § 3º do artigo 37, todos da Constituição da República de 1988. Sublinhe-se também que o Plenário do Senado Federal aprovou, em outubro deste ano, a Proposta de Emenda à Constituição (PEC) 17/2019, que visa a prever expressamente a proteção de dados pessoais como um direito fundamental, tema objeto de recente artigo nesta coluna. 7 Carlos Edison do Rêgo Monteiro Filho; Diana Loureiro Paiva de Castro. Proteção de dados pessoais e cláusulas de não indenizar. Migalhas. Disponível aqui.
Breve introdução O Congresso Nacional aprovou no dia 20 de outubro de 2021 a Proposta de Emenda à Constituição n. 17/2019, que incluiu a proteção de dados pessoais no rol de direitos e garantias fundamentais. O novo inciso LXXIX assegura, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais. Além da inclusão expressa da norma como direito fundamental, o artigo inclui a competência privativa da União para legislar sobre a matéria de proteção e tratamento de dados. A intenção dos autores que apresentaram o texto é a de evitar "a fragmentação e pulverização de assunto tão caro à sociedade (...)", evitando-se, assim, "dezenas, talvez milhares" - de conceitos legais sobre o que é "dado pessoal" ou sobre quem são os "agentes de tratamento" sujeitos à norma legal.1 Diante da proposta apresentada, já aprovada pelo Congresso Nacional e no aguardo de promulgação da norma, convém analisar os reais efeitos jurídicos dessa nova distribuição de competência, considerando os princípios inerentes ao federalismo, igualmente protegido por cláusula pétrea.  Centralização do tema na União Talvez a maior divergência verificada nas audiências públicas realizadas pela Câmara dos Deputados sobre o tema tenha sido justamente a inserção da regulamentação da proteção e do tratamento de dados na esfera de competência privativa da União ou em esfera concorrente. Alguns especialistas apontaram a necessidade ou vantagens da uniformização, como isonomia em relação à competência privativa em informática e telecomunicações (Sérgio Gallindo), o predomínio do interesse (Danilo Doneda) e até mesmo a redução de custos com compliance (Gileno Barreto).2 Outros especialistas, todavia, reconheceram a conveniência de manutenção de um espaço criativo subnacional (Bruna dos Santos), havendo preocupações pontuais com o sistema de dados utilizado por serviços de interesse local ou regional, como aplicativos de transporte (Bruno Bioni), com a competência democrática para a população local ou regional se manifestar sobre a proteção de dados em temas de seu interesse, por meio de conselhos representativos (Marina Pita), ou com engessamento de competências legislativas e administrativas transversais tais quais o  direito do consumidor ou  da criança e adolescente, para citar alguns (Cassiana de Carvalho).3 Com efeito, para a teoria federativa, o argumento colocado por esse segundo grupo de especialistas se mostra pertinente, pois reconhece o predomínio do interesse específico, a par do próprio poder, presente nos regimes federativos, de estabelecimento do nível mais elevado de proteção jusfundamental por parte dos entes dotados de autonomia federativa.4 Nesse sentido, apesar da louvável iniciativa da Câmara dos Deputados em ouvir a sociedade civil e os especialistas, sentiu-se falta da participação de constitucionalistas, uma vez que o sistema de direitos fundamentais e a forma de Estado brasileiro possuem suas particularidades e princípios de interpretação e aplicação, muito desenvolvidos pela doutrina e jurisprudência nacionais, com supedâneo na melhor doutrina estrangeira e direito comparado. Ao elevar um tema transversal como a proteção de dados a direito fundamental expresso, desenhado como norma de eficácia restringível (uma vez que a lei poderá restringir o alcance da proteção), atribuindo competência privativa a apenas um dos entes federativos, outras normas do sistema constitucional são impactadas. Como ficará a autonomia constituinte dos Estados-membros, uma vez que, no sistema federativo, deve prevalecer o nível mais elevado de proteção dos direitos fundamentais? Haverá alguma distinção no que toca à sua competência administrativa e legislativa, conforme se trate das impropriamente5 chamadas eficácias horizontal e vertical desse novo direito fundamental (ou seja, respectivamente eficácia na relação entre particulares e eficácia na relação entre particulares e o Estado)? E qual competência deverá prevalecer na hipótese de conflitos federativos, como no caso de leis transversais, como a proteção do consumo em matérias de competência privativa da União, como serviço de telecomunicações, trânsito e transporte? Os especialistas convidados e os próprios autores da PEC 17/2019 defenderam interesses específicos, espelhando-se em legislações e sistemas normativos distintos do Brasil. Parece bastante aceitável que um profissional de compliance esteja preocupado em ter que administrar o conhecimento de uma normatização pulverizada. Por outro lado, não se pode relevar a preocupação de empresas que recorrem a sistemas informatizados para prestação de serviços públicos de interesse local, tampouco olvidar o legítimo direito da sociedade local ou regional a decidir questões específicas que possam ser adotadas apenas localmente. O argumento econômico apresenta sentido, econômico. Ninguém desconsidera que o tema do fluxo de dados entre pontos situados em diferentes estados possa exigir uma regra uniforme. Mas a proteção e o tratamento de dados não se resumem ao fluxo de dados. Há diversas outras questões que devem ser analisadas. Se uma empresa se beneficia da economia de escala proporcionada pelo tamanho do país, é razoável que ela se prepare também para as diversidades que a Constituição desse país recepcionou e protegeu ao adotar o sistema federativo. Recentemente, por exemplo, verificou-se uma verdadeira guerra legislativa entre governo federal e governos estaduais e municipais no que se referia à proteção à saúde. Nessa oportunidade, o Supremo Tribunal Federal nada mais fez que implicitamente reconhecer o nível mais elevado de proteção à saúde, ou seja, no caso de normas federais conflitantes com normas estaduais, deveria prevalecer aquela que potencializasse os princípios da precaução e da proteção. O Tribunal reafirmou que, no campo de competências comuns e concorrentes, deve prevalecer o predomínio do interesse.6 Alguns podem objetar que, no caso da proteção de dados, a sua menção expressa nos artigos 21 e 22 evitaria qualquer espaço para atuação administrativa ou legislativa dos demais entes federativos. Mais uma vez cabe reforçar que, a despeito de qualquer orientação do STF nesse sentido, o tratamento pode ser outro quando se trata de direito fundamental. A propósito, o artigo 23, I, da Constituição Federal também confere competência comum para zelar pela guarda da Constituição, a par de o artigo 24 também prever competências concorrentes que podem conflitar com a novel competência privativa. O nível mais elevado de proteção do direito fundamental no Brasil A pretendida uniformização de tratamento do tema promovida pela PEC 17/2019, a despeito de sua plausibilidade, pode enfrentar algum óbice na teoria do federalismo, aplicável ao Brasil. É que, em um Estado federativo, com entes dotados de competência constituinte, os entes federados podem conferir maior proteção aos direitos fundamentais previstos na Constituição Federal. O que não podem é reduzir o alcance de proteção a tais direitos. Deveras, a possibilidade de ampliação do leque de proteção jusfundamental é corolário lógico do federalismo. Compreendido como Estado composto de Estados7, só existe federação quando os entes autônomos apresentem também os elementos essenciais para configuração do estado, ou seja, uma estatalidade. Entre tais elementos se encontra o poder constituinte (por alguns chamados "decorrente"), apenas limitado e subordinado ao poder constituinte originário. Característica básica para a existência de uma Constituição é a disciplina de direitos fundamentais, como reconhece o artigo 16 da Declaração dos Direitos do Homem e do Cidadão, que sobremaneira influenciou o constitucionalismo contemporâneo. Não haveria sentido admitir a estatalidade de uma sociedade política, como a de entes federados, portanto, se não se reconhecesse a eles um espaço para ampliar os direitos fundamentais. Assim fosse, não possuiriam rol próprio de direitos fundamentais, bastando aplicar os direitos previstos na Constituição Federal, tendo apenas competência para organização de poderes, o que o tornaria um Estado unitário descentralizado, não federativo. Assim, não se pode entender que a nova redação impeça a adoção de normas complementares que tenham por objetivo aumentar a proteção conferida pela Constituição Federal, especialmente na relação entre o poder público local e regional e o particular. Como se sabe, o modelo de federalismo adotado pelo Brasil é do tipo cooperativo e taxativo-central, ou seja, demarca competências taxativas da União, deixando aos Estados a competência residual.8 Desse modo, tudo aquilo que o poder constituinte originário não reservou expressamente à União, cabe aos Estados. Isso não impede que novos direitos fundamentais sejam reconhecidos pelo poder constituinte derivado, mas impede que sejam subtraídas competências implícitas concedidas aos Estados, como a de conferir maior proteção a direitos fundamentais, como a intimidade, a privacidade e ao próprio sigilo de dados. Nesse sentido, cabe sublinhar que, no caso da Carta de Direitos Fundamentais da União Europeia (CDFUE), a previsão contida em seu artigo 8º, que expressamente trata da proteção de dados, deve ser interpretada, no espaço eurocomunitário, à luz do artigo 53, que assegura o nível mais elevado de proteção jusfundamental. Segundo o referido artigo 53, o artigo 8º da CDFUE, bem como o Regulamento Geral de Proteção de Dados no Espaço Europeu, devem ser observados pelos Estados-Membros da União Europeia apenas quando estiverem aplicando o Direito da União.9 Cabe frisar que a União Europeia, apesar das discussões em torno de sua natureza quase estatal, apenas possui poderes de soberania delegados taxativamente pelos Estados-membros, não uma competência constituinte originária e ilimitada, como se verifica no caso brasileiro, em relação à Assembleia Nacional Constituinte de 1988. Conflitos federativos em temas transversais Outro espaço que continuará aberto para tratamento do tema pelos demais entes federativos é o da intervenção do poder público local ou estadual em temas transversais. Nesse ponto, o STF ainda oscila. Em casos análogos, em que uma lei estadual disciplina uma matéria para a qual o Estado possua competência, mas, ao mesmo tempo, afeta tema de competência privativa da União, ainda falta à Corte um critério que confira maior segurança jurídica para a solução do conflito. É o caso típico do direito do consumidor de serviços de telecomunicações. Há decisões em que o STF reconhece se tratar de relação de consumo e, portanto, aceita a intervenção estadual (ADI 5745). Em outros casos, a Corte entendeu haver invasão da competência privativa da União (ADI 5568). Ambos foram julgados em 2019. Como se vê, a busca pela uniformidade de tratamento na matéria em âmbito nacional resta comprometida quando nem mesmo o STF possui um critério claro para solução de conflitos federativos em caso de temas transversais que reclamem competências constitucionais paralelas. A nosso ver, tal solução deve se dar prestigiando a autonomia federativa dos entes subnacionais, a qual apenas deve ser restringida nesses casos quando houver flagrante intenção de invasão em competência privativa da União, ainda que de forma oblíqua, mas não quando, ao disciplinar tema de sua competência, apenas resvale o campo material da competência privativa. Assim, em matéria de transporte individual ou coletivo privado, direito do consumidor, proteção ao patrimônio público, saúde, educação, segurança pública ou proteção de direitos fundamentais, entre outras que competem aos entes subnacionais, eventual conflito com a competência privativa da União para legislar sobre proteção e tratamento de dados poderá ainda dar espaço a entes subnacionais.  Conclusão A restrição estabelecida pela PEC 17/19, com a colocação da matéria no rol de competências privativas da União, não impede a adoção de normas complementares por Estados e Municípios, especialmente por meio de suas Constituições ou Leis Orgânicas, que tenham por objetivo aumentar a proteção conferida pela Constituição Federal à privacidade, à intimidade e ao sigilo de dados, tampouco a edição de normas que, ao pretenderem regulamentar assuntos de sua competência, atinjam de maneira reflexa o tema da proteção e tratamento de dados, desde que não se reduza a proteção conferida aos direitos fundamentais envolvidos. Nem sempre a lei tem os efeitos que os legisladores pretenderam dar, pois o texto respira o ar de seu contexto, inclusive jurídico. Felizmente, a lei é mais sábia que o legislador. *Leonardo David Quintiliano é advogado. Professor de Direito Constitucional e Administrativo da Universidade Ibirapuera e da Escola Paulista de Direito. Associado Fundador e Pesquisador do IAPD - Instituto Avançado de Proteção de Dados. Especialista em Direito Constitucional pela Faculdade de Direito da Universidade de Lisboa. Mestre em Ciências Jurídico-Políticas pela Faculdade de Direito da Universidade de Lisboa. Doutor em Direito do Estado pela Faculdade de Direito da Universidade de São Paulo.  __________ 1 Cf. Senado Federal. PEC 17/2019. Disponível aqui. 2 Cf. Câmara dos Deputados. Relatório da Comissão Especial destinada a proferir parecer à Proposta de Emenda à Constituição n. 17/2019, p. 6 e 7. 3 Cf. Câmara dos Deputados. Relatório da Comissão Especial destinada a proferir parecer à Proposta de Emenda à Constituição n. 17/2019, p. 6 e 7. Disponível aqui. 4 Cf., QUINTILIANO, Leonardo David. Autonomia federativa: delimitação no direito constitucional brasileiro. 2012, p. 267. Disponível aqui. 5 Sobre as razões de tais impropriedades, cf. SOMBRA, Thiago Luís Santos. Supremo Tribunal Federal e a eficácia dos direitos fundamentais entre particulares. Revista da Procuradoria Geral do Estado de São Paulo, São Paulo, n. 65/66:29-86, jan./dez. 2007, p. 33.  6 Cf. STF. ADPF 672-DF. Rel. Min. Alexandre de Moraes. J. 13.10.2020. 7 Cf., QUINTILIANO, Leonardo David. Autonomia federativa...cit, p. 61. 8 Ibid., p. 88. 9 Cf., a respeito, nosso artigo intitulado: "O conflito entre os níveis nacionais de proteção jusfundamental e o direito  eurocomunitário à luz do artigo 53 da carta de direitos fundamentais da união europeia". UNIO/CONPEDI E-book 2017 Interconstitucionalidade: Democracia e Cidadania de Direitos na Sociedade Mundial - Atualização e Perspectivas. v. l. Braga - Portugal: 2018, p. 257. 
Nos diversos trabalhos dedicados à disciplina da proteção de dados, é usual que se aponte, para fins de registro histórico, a Lei do Estado alemão de Hesse como o primeiro texto legal a ser editado no mundo, no ano de 19701.   O exemplo serve para demonstrar o pioneirismo dos alemães no tratamento da matéria: mensagem que é acompanhada da informação de que no ano de 1977 seria editada a Lei Federal Alemã de Proteção de Dados (Bundesdatenschutzgesetz), e, no ano de 1983, o Tribunal Constitucional Federal (Bundesverfassungsgericht) pronunciaria, no âmbito da decisão do censo, o direito fundamental à autodeterminação informativa.  O objeto do presente texto é o de abordar o contexto em que a Lei de Hesse de 1970 foi editada, com destaque para a participação do jurista Spiros Simitis, bem como o seu conteúdo principal, de modo a investigar como foi estruturada e acerca do que efetivamente dispôs, colocando em evidência a criação da figura da autoridade de supervisão, ou comissário.  O contexto da edição da Lei de Hesse  Cogita-se que a elaboração de uma lei de proteção de dados no Estado de Hesse tenha sido motivada por um artigo publicado em 10.6.1969, no tradicional jornal Frankfurter Allgemeine Zeitung, de autoria de seu redator-chefe Hanno Kühnert, de formação jurídica, e que alertava para os perigos do lado sombrio dos computadores e dos bancos de dados2.  O articulista temia pela utilização totalitária das informações relacionadas aos cidadãos, e clamava por regras que disciplinassem o assunto.  Relata-se que chefe de governo do Estado de Hesse à época, Georg-August Zinn, leu o artigo de Hanno Kühnert e de pronto tomou a decisão de que editaria uma lei que disciplinasse a utilização das informações relacionadas ao cidadão3.  Mas a elaboração da Lei de Hesse não pode ser dissociada da figura de Spiros Simitis. Esse jurista nasceu na Grécia em 19.10.1934 e mudou-se para a Alemanha após o período escolar para cursar a Faculdade de Direito na tradicional Universidade de Marburg (1952-1956), localizada em Hesse, onde também concluiu seu doutorado4.  Interessante para os que se dedicam ao estudo do Direito Civil é descobrir que a tese de doutorado de Spiros Simitis, de nada mais nada menos do que 619 páginas(!) abordou o tema das relações contratuais de fato, desempenhando um relevante papel para uma figura jurídica que posteriormente seria superada na Alemanha5, mas que também obteve repercussão em Portugal e no Brasil6.  Posteriormente, realizou sua habilitação na Universidade de Frankfurt, mas iniciou a docência na Universidade de Giessen, vindo a receber um convite para voltar, como professor, para Frankfurt no ano de 1969, onde lecionou Direito Civil, Direito do Trabalho, Direito Europeu e Informática Jurídica com ênfase em proteção de dados.  Todas essas cidades de sua trajetória acadêmica se encontram em Hesse, de modo que Simitis sempre manteve a vinculação com esse Estado da federação alemã, onde vive até hoje.  Em 2015, Simitis concedeu entrevista à Revista da Universidade de Frankfurt, Forschung Frankfurt, oportunidade em que esclareceu os detalhes dos fatos que levaram à edição da Lei de Hesse7.  Simitis esteve diretamente envolvido com a edição da pioneira lei de 1970 e com a própria criação da disciplina da proteção de dados. É reconhecido internacionalmente como o "Pai da proteção de dados" ou "Prof. Dr. Proteção de Dados", qualificativos que aceita, pois entende que efetivamente participou ativamente do desenvolvimento da disciplina8.  Simitis relata que no final dos anos 1960, a Alemanha9, no contexto da modernização da área da saúde, empenhou-se na construção de diversos hospitais públicos. Essa iniciativa foi seguida com muita seriedade pelo governo do Estado de Hesse. E, como se tratava de hospitais que dispunham de uma multiplicidade de dados, especialmente de pacientes, o processamento automatizado das informações chegava no momento oportuno.  Sob a justificativa de uma maior eficiência no diagnóstico e tratamento dos pacientes, os dados pessoais seriam coletados e formariam bancos de dados centralizados. E aí está o ponto que fez de Hesse o Estado de vanguarda na proteção de dados, pois foi justamente lá onde a informatização e a automação da administração pública se encontravam bastante avançadas para os padrões da época. E, nesse ambiente, conforme enfatiza Simitis, os hospitais funcionaram como um primeiro pilar central do debate público acerca da proteção de dados.  O jurista de origem grega seria, no âmbito das discussões, convocado pelo chefe de governo de Hesse, com o pedido de que apresentasse uma proposta de legislação sobre proteção de dados.  A razão que levou ao seu chamamento, segundo ele próprio10, teria sido a publicação de um relevante e pioneiro artigo jurídico para os tempos de então, sob o título "Oportunidades de utilização de sistemas cibernéticos para o direito"11.  As publicações anteriores de Simitis não se dedicavam ao assunto, e é possível supor que jamais imaginasse que a repercussão de um único artigo de sua autoria pudesse guindá-lo à condição de autor do anteprojeto do que viria a ser a primeira lei do mundo de proteção de dados, e por consequência no reconhecimento de sua condição de pioneiro internacional da disciplina.  Atendendo ao convite formulado por Georg-August Zinn, prontamente redigiu o anteprojeto que passou por uma revisão interna no gabinete de governo, e, em alguns pontos modificado, para logo em seguida ser apresentado ao Parlamento de Hesse que em 07.10.1970 o aprovou e passou a vigorar em 13.10.197012.  Estrutura e conteúdo da Lei de Hesse: a figura da autoridade  A primeira lei do mundo, na sua versão original, não se notabilizou por sua extensão. Ela contemplou dezessete parágrafos distribuídos em três capítulos. Algo bastante diferente do que a Lei de Hesse, após diversas modificações, apresenta em 2021, uma vez que, na versão de sua última alteração, em 2018, contém cinco capítulos e noventa e um parágrafos.  Passa-se a destacar alguns dos dispositivos da lei originária.  O parágrafo primeiro estabelece regra sobre o que denomina "área da proteção de dados", estatuindo a abrangência da lei para todos os documentos confeccionados por meio de processamento automatizado de dados bem como para todos os dados armazenados e para o resultado de seu processamento. Esse dispositivo deixa claro, em sua parte final, que a lei se aplicava, e assim permaneceu até o ano de 2011, como se verá abaixo, exclusivamente ao setor público do Estado de Hesse.  O segundo parágrafo sob o título de "conteúdo da proteção de dados" estipula uma regra de segurança da informação, ao determinar que os documentos, dados e resultados referidos no parágrafo primeiro devem ser utilizados, compartilhados e conservados, de modo a vedar que pessoas não autorizadas os acessem, modifiquem ou os eliminem, o que deve ser implementado por meio de medidas técnicas.     E o parágrafo terceiro, por seu turno, contempla o dever geral de confidencialidade das pessoas que desempenhassem as funções de coleta, transmissão, armazenamento ou processamento automatizado de dados.  No parágrafo quarto foi disciplinado, sob a denominação de "pretensão à proteção de dados", e ainda que de forma incipiente, o que nos tempos atuais se conhece como direitos dos titulares de dados pessoais, expressos no dever do controlador de correção dos dados armazenados bem como no direito de restabelecimento da situação anterior sempre que ocorrer uma consulta, modificação ou eliminação irregular dos dados pessoais. A previsão de tutela inibitória em caso de ameaça também constou no dispositivo.  O parágrafo quinto dispõe sobre regras acerca de bancos de dados e sistemas de informação, contendo a diretriz de que deveria ser garantido, no âmbito da administração pública, a vedação a acessos ou à utilização de documentos, bem como aos dados e às inferências dos mesmos, a menos que houvesse vinculação com as atribuições do respectivo órgão ou entidade da administração. Com efeito, a questão da confidencialidade das informações é uma marca da lei.  No segundo capítulo da Lei de Hesse constou aquela que talvez tenha sido uma das maiores contribuições para a disciplina de proteção de dados, qual seja a previsão da autoridade de proteção de dados, na expressão em alemão, Datenschutzbeauftragter, e que Danilo Doneda traduziu por comissário de proteção de dados13.  Nesse contexto, é importante que se faça uma distinção por conta da terminologia utilizada na língua alemã, que pode levar a incompreensões quando se analisa a questão com base no quadro que temos no presente.  É que a palavra Datenschutzbeauftragter pode ser utilizada em três circunstâncias no sistema de proteção de dados alemão: ela designa, como no exemplo pioneiro de Hesse, a autoridade dos estados da federação, chamada Landesdatenschutzbeauftragter, no sentido de autoridade de proteção de dados que tem as atribuições de supervisão14, nos dias de hoje, tanto do setor público quanto do setor privado que tenha sede na respectiva unidade da federação.  A assunção da supervisão do setor privado pelos Landesdatenschutzbeauftragter se deu apenas a partir do ano de 2011, após modificações legislativas em reação à decisão do Tribunal de Justiça da União Europeia, que considerou insuficientes os mecanismos de fiscalização da atuação das pessoas jurídicas de direito privado.  Ao mesmo tempo, existe o Bundesdatenschutzbeauftragter, e que funciona como instância de controle independente para a supervisão da proteção de dados no setor público federal e em empresas que fornecem serviços postais e de telecomunicações.  E, por fim, há o Datenschutzbeauftragter, que é o que no Brasil se localiza na figura do encarregado no âmbito das pessoas jurídicas de direito privado e de direito público, não atuando, portanto, como autoridade, mas sim como ponto focal das questões internas relativas à proteção de dados das organizações bem como canal de comunicação com os titulares de dados pessoais15.   Para o modelo alemão que persiste até os dias de hoje no exemplo de Hesse, há a personificação da figura da autoridade, tanto do Landesdatenschutzbeauftragter quanto do Bundesdatenschutzbeauftragter, que goza de uma autonomia e de uma posição hierárquica com status do que no Brasil, na esfera estadual, estaria equiparado a uma secretaria de Estado. E, pelo menos no que toca a Hesse, desde a pioneira Lei de 1970, o Parlamento Estadual escolhe a pessoa que exercerá a função de autoridade16.  Uma curiosidade é que na versão atual da Lei de Hesse, a figura é tratada tanto como "ele", assim como "ela", não deixando dúvidas de que o cargo possa ser ocupado por um homem ou por uma mulher17.  Desde 2018, a Autoridade de Proteção de Dados de Hessen também acumula a função de supervisionar a garantia do acesso à informação aos cidadãos18.      Spiros Simitis marcou época na atuação como autoridade de proteção de dados do Estado de Hesse, posto que ocupou de 1975, após obter a cidadania alemã, até 1991. No transcurso de sua gestão, o Tribunal Constitucional Federal proferiu a decisão do censo (1983), em que reconheceu o direito fundamental à autodeterminação informativa. Simitis se refere à decisão como a "bíblia da proteção de dados" e o maior marco da disciplina, tendo chegado a afirmar que depois dessa decisão "não se brinca mais com a proteção de dados"19.  Simitis20 foi sucedido por outras importantes personalidades, como Winfried Hassemer, que deixou o cargo para se tornar juiz do Tribunal Constitucional Federal, e, desde janeiro de 2021, personifica o papel de autoridade de proteção de dados de Hesse o Prof. Alexander Roßnagel21, da Universidade de Kassel, que apresenta um extenso currículo de atuação na área.  Por fim, há que se fazer o registro de que o trabalho de Spiros Simitis deixou marcas de excelência, indeléveis na área de proteção de dados: uma herança que ressoa em todos os pontos do mundo, inclusive na nossa Lei Geral de Proteção de Dados, o que se pode constatar pelo exame da pioneira Lei de Proteção de Dados de Hesse de 1970.      FABIANO MENKE é advogado e consultor jurídico em Porto Alegre, professor associado de Direito Civil da Faculdade de Direito e do Programa de Pós-Graduação em Direito da Universidade Federal do Rio Grande do Sul - UFRGS. Doutor em Direito pela Universidade de Kassel, com bolsa de estudos de doutorado integral CAPES/DAAD. Membro titular do Comitê Nacional de Proteção de Dados e da Privacidade. Coordenador do Projeto de Pesquisa "Os fundamentos da proteção de dados na contemporaneidade", na UFRGS.  Membro Fundador do Instituto Avançado de Proteção de Dados - IAPD. Advogado. Instagram: menkefabiano ____________ 1 Ver, por todos, DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 191. 2 DITTRICH, Monika. Eine Idee wird 50: Wie in Hessen der Datenschutz erfunden wurde. Disponível em https://www.deutschlandfunk.de/eine-idee-wird-50-wie-in-hessen-der-datenschutz-erfunden-100.html 3 Idem. 4 https://www.munzinger.de/search/portrait/Spiros+Simitis/0/15230.html 5 Sobre o ponto, ver: CANARIS, Claus-Wilhelm. O "contato social" no ordenamento jurídico alemão. Revista de Direito Civil Contemporâneo, vol. 16, ano 5. p. 211-219. São Paulo: Ed. RT, jul.-set. 2018.  6 A tese foi publicada sob o título: Die faktischen Vertragsverhältnisse als Ausdruck der gewandelten sozialen Funktion der Rechtsinstitute des Privatrechts. Frankfurt a. M.: Vittorio Klostermann, 1957. Em tradução livre, "As relações contratuais de fato como expressão transformadora da função social dos institutos jurídicos de direito privado". No Brasil, a título de exemplo, ver o texto da Profa. Vera Fradera em homenagem à obra e aos julgados do Min. Ruy Rosado de Aguiar Júnior, em que cita a acolhida das relações contratuais de fato na jurisprudência do STJ com inspiração na doutrina de Clóvis do Couto e Silva: https://www.conjur.com.br/2019-dez-16/direito-civil-atual-contribuicao-ruy-rosado-junior-magistrado-parte-ii#sdfootnote6sym 7 Ver entrevista de Spiros Simitis, concedida à Revista Forschung Frankfurt: Das Wissenschaftsmagazin der Goethe-Universität, vol. 1/2015, disponível em www.forschung-frankfurt.uni-frankfurt.de 8 Idem. 9 Recorde-se que no final da década de 1960 a Alemanha estava dividida em Alemanha Ocidental e Alemanha Oriental. O depoimento de Simitis se refere à Alemanha Ocidental (Bundesrepublik Deutschland). 10 Entrevista disponível em https://netzpolitik.org/2015/spiros-simitis-man-spielt-nicht-mehr-mit-dem-datenschutz/ 11 Tradução livre do título da seguinte publicação: SIMITIS, Spiros. Rechtliche Anwendungsmöglichkeiten kybernetischer Systeme. Mohr: Tübingen, 1966. 12 Entrevista de Spiros Simitis à Revista Forschung Frankfurt: Das Wissenschaftsmagazin der Goethe-Universität, vol. 1/2015, disponível em www.forschung-frankfurt.uni-frankfurt.de  13 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 308. 14 A competência pela supervisão das atividades do que hoje se denomina agentes de tratamento de dados pessoais foi estabelecida no § 10, 1, da Lei de Hesse de 1970. A regra estipula que a autoridade de proteção de dados supervisiona a observância das regras da lei e das demais disposições legais sobre o tratamento confidencial de informações relacionadas aos cidadãos. Na parte final do dispositivo consta ainda que a autoridade instruirá as repartições públicas do Estado acerca de violações e sugere medidas para aprimorar a proteção de dados. 15 A teor do que determina o art. 38 do Regulamento Europeu de Proteção de Dados.  16 Na lei originária, o §7º, I contemplava a forma de eleição da autoridade por parte do Parlamento, após sugestão do chefe de governo, e na lei atual dispositivo equivalente consta no § 9º. 17 Já no título do Capítulo IV da Lei de Hesse em vigor consta o artigo "a" ou "o" para designar a autoridade, ou comissária(o) de proteção de dados. No original: "Die oder der Hessische Datenschutzbeauftragte". 18 Temática que no Brasil é regrada pela Lei de Acesso à Informação, Lei Federal nº 12.527, de 18.11.2011. Note-se que no Brasil não existem autoridades centrais dedicadas ao assunto. 19 Entrevista disponível em https://netzpolitik.org/2015/spiros-simitis-man-spielt-nicht-mehr-mit-dem-datenschutz/ 20 Vale à pena a leitura dos comentários ao Regulamento Europeu de Proteção de Dados, de autoria de Spiros Simitis em conjunto com Indra Spiecker e Gerrit Hornung, estes últimos professores atuantes no Estado de Hesse. SIMITIS, Spiros; HORNUNG, Gerrit; SPIECKER, Indra. (Org.): Datenschutzrecht: DSGVO mit BDSG. Nomos: Baden-Baden, 2019. 21 Para a biografia do Prof. Alexander Roßnagel: https://datenschutz.hessen.de/ueber-uns/biografie-der-hessische-datenschutzbeauftragte
1 Breve introdução A Lei Geral de Proteção de Dados (LGPD) impacta, expressivamente, no modo como as organizações gerenciam as informações pessoais capazes de identificar os cidadãos brasileiros1. Estabelecendo e instrumentalizando a dinâmica que contribui para o incremento da importância e do valor dos dados pessoais no capitalismo informacional. A fim de reequilibrar estes interesses, a LGPD estabelece dez princípios materiais, balizadores das atividades de tratamento de dados pessoais, além da boa-fé objetiva, são eles: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas (art. 6º).2 Vale repassar, ainda, que seu art. 2° relaciona os fundamentos da proteção de dados pessoais, devendo, o tratamento de dados pessoais, ser lastreado no respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor; e aos direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais. Outrossim, a LGPD propugna por buscar a adequação e o cumprimento pelos agentes de tratamento de dados dos dispositivos legais por meio de modelos apropriados e da adoção efetiva de melhores práticas na governança de dados3, sempre visando resguardar a específica proteção jurídica diante da "hipervulnerabilidade" do titular de dados pessoais. Diante deste contexto, é inegável que os serviços extrajudiciais de notas e de registro realizam diversas das atividades descritas no inc. X do art. 5º da LGPD, tais como a coleta, produção, classificação, acesso reprodução arquivamento, armazenamento, avaliação ou controle de informação, para citar algumas. Portanto, o Legislador não poderia deixar de mencionar a aplicação da LGPD aos cartórios extrajudiciais. Nesse sentido, os §4º e §5º do art. 23, da LGPD, fazem referência expressa aos notariais e de registro, equiparando-os ao Poder Público consoante o capítulo IV da LGPD, que disciplina algumas regras específicas sobre o tratamento de dados realizados pelas pessoas jurídicas de direito público. No entanto, surge o intenso debate sobre a aparente contradição que existiria entre os princípios elencados pela LGPD e o princípio da publicidade registral, tal como previsto no art. 17 da Lei de Registros Públicos (Lei n. 6.015/73). Sob este olhar, é importante analisar o tratamento de dados pessoais realizado pelos serviços notariais e de registro, serviços que assumem especial importância no cotidiano da sociedade, seja pelo viés dos indivíduos, seja pelo das empresas e, ainda, pelo Poder Público, haja vista o intenso compartilhamento de dados entre os cartórios extrajudiciais e órgãos públicos. Um ponto de partida para esta análise é que os dados pessoais tratados, neste cenário, "são para o exercício de finalidade pública essencial, a fim de conferir a estabilidade de relações jurídicas, bem como garantir a eficácia formal e substancial por meio da realização de registros pelos delegados de fé pública."4 De outro lado, importante pontuar que o art. 1° da Lei 8.935, de 18 de novembro de 1994 (Lei dos Notários e Registradores), relaciona que os serviços notariais e de registro são destinados a garantir a publicidade, autenticidade, segurança e eficácia dos atos jurídicos. Portanto, tais atividades devem observar os princípios elencados na legislação específica, com destaque para o princípio da publicidade. Assim, no que tange ao princípio da publicidade dos atos praticados, é imperiosa a análise da existência de aparente conflito e riscos, que devem ser considerados sob o prisma da proteção de dados pessoais. 2 Dicotomia: proteção de dados pessoais e proteção à privacidade versus transparência e publicidade Preliminarmente, deve-se evidenciar a distinção entre proteção de dados pessoais e privacidade, cuja distinção foi tratada nesta coluna.5 O direito à proteção dos dados pessoais, por sua vez, é uma evolução do direito à privacidade, sintetizado por Stefano Rodotà,6 que destaca as quatro fases de evolução do direito à privacidade, a saber: 1) do direito de ser deixado só ao direito de manter o controle sobre suas próprias informações; 2) da privacidade ao direito à autodeterminação informativa; 3) da privacidade a não discriminação; 4) do segredo ao controle. Cumpre trazer à baila, a distinção entre o direito à privacidade e o direito à proteção de dados pessoais. Em suma, pode-se dizer que o direito à privacidade é construído em torno da liberdade de o indivíduo não sofrer ingerências alheias, lhe sendo facultado retrair aspectos de sua vida ao domínio público, tendo como escopo, portanto, resguardar parcela da vida privada. Enquanto o direito à proteção de dados pessoais, direito fundamental7 decorrente do corolário da dignidade da pessoa humana8, tem como objeto a proteção dos titulares dos dados pessoais, possibilitando, desta maneira, que exerçam o acesso e controle de suas informações e impedindo que sejam tratados em desacordo com as regras e códigos de conduta.9 Nesse diapasão, a LGPD relaciona, no art. 2º, inciso II, a autodeterminação informativa, como um dos fundamentos da disciplina da proteção de dados. Sua inspiração é a dogmática alemã, uma vez que, foi naquele país onde efetivamente se tornou conhecido e se desenvolveu com profundidade, a partir do julgamento, pelo Tribunal Constitucional Alemão, da decisão do censo do ano de 1983. A autodeterminação informativa busca conceder ao indivíduo o poder para que ele possa decidir acerca da divulgação e utilização de seus dados pessoais como tratado nesta coluna.10 Para além, a LGPD traz em seu bojo, uma série de princípios que servem como norte para a atividade de tratamento de dados pessoais. Dentre estes, damos destaque ao princípio da transparência, expresso no art. 6°, inciso VI, da LGPD, que é a garantia relacionada à ciência do titular quanto ao tratamento de seus dados pessoais por terceiros. Da mesma forma, a transparência é exigida em todo processo de tratamento de dados, como se verifica no § 1° do art. 9°, § 2° do art. 10 e art. 40. Ressalte-se que a publicidade, desdobramento do princípio da transparência, encontra-se prevista no art. 11, § 2º, art. 23, § 1º, art. 27, inciso II e art. 33, inciso VII da LGPD11. É justamente ante a este novo paradigma de tratamento de dados trazido, que resta evidente que toda operação de tratamento de dados realizada pelos serviços notariais e de registro deve observar os objetivos, fundamentos e princípios previstos na LGPD como salientado no Provimento 23/2021 que incorporou regras específicas às Normas de Serviços Extrajudiciais pela Corregedoria Geral de Justiça do Estado de São Paulo (tema analisado nesta coluna)12. Importante pontuar, ainda, que os serviços notariais e de registro são exercidos em caráter privado, por delegação direta do poder público, conforme previsão do artigo 236 da Constituição Federal, sendo regulamentados por leis específicas, como a Lei de Registros Públicos, a Lei dos Notários e Registradores, Normas de Serviços Extrajudiciais, Provimentos do CNJ, dentre outras. Por outro lado, a transparência e a publicidade, importantes para viabilizar a segurança jurídica, ao controle da Administração Pública, a última mencionada expressamente no caput do art. 37 da CF/88, impõe a disponibilização de determinadas informações como evidenciado na Lei de Acesso à Informação (LAI - Lei n. 12.527/11)13. Este debate esbarra automaticamente no princípio da publicidade registral. 3 Publicidade registral O art. 17 da Lei dos Registros Públicos determina: "Qualquer pessoa pode requerer certidão do registro sem informar ao oficial ou ao funcionário o motivo ou interesse do pedido." Além disso, o art. 16, § 1º da mesma lei impõe aos oficiais a obrigação de lavrar certidões do que lhes for requerido. Tais dispositivos parecem colidir com a LGPD em uma leitura apressada. No entanto, alguns pontos devem ser levantados: - a LGPD garante um sigilo ou segredo ao titular de dados? - a expedição de certidão deve ser considerada compartilhamento de dados pessoais? e  - quais são os caminhos possíveis para harmonizar os princípios da Lei de Registros Públicos com a LGPD? A primeira indagação pode ser respondida negativamente, ou seja, a LGPD não traz no rol dos direitos previstos no art. 18 o direito ao sigilo ou ao segredo das informações. A segunda reflexão, ainda mais complexa, a certidão é o instrumento para a eficácia do princípio da publicidade atingindo, portanto, a segurança jurídica que se espera.14 Para tanto, resgata-se o conceito de uso compartilhado de dados pessoais previsto no inc. XVI do art. 5º da LGPD, ou seja, é a interconexão de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, com uma autorização específica. Assim, quando o cartório envia informações solicitadas por órgãos públicos, trata-se de uso compartilhado de dados pessoais para o qual se deve ter uma autorização legal específica, além de manter tais informações no controle de fluxo de dados pessoais da serventia atualizado a fim de cumprir o direito dos titulares de dados em receber informações sobre compartilhamento de seus dados pessoais como assegurado no inc. VII do art. 18 da LGPD. No entanto, se uma pessoa pede uma certidão em um cartório, ao emitir esta certidão, o cartório estaria compartilhando dados? Entendemos, por se tratar de uma atividade fim dos serviços extrajudiciais, não se trata de uso compartilhado de dados, e sim observância dos deveres estabelecidos pela lei em observância do princípio da publicidade. Não estando o titular da serventia obrigado a informar quantas certidões e para quem tais certidões foram emitidas. Todavia, ainda que não seja uso compartilhado de dados a expedição de certidão para particular, o titular da serventia extrajudicial deve se acautelar exigindo o requerimento do solicitante e a descrição da finalidade para convergir o princípio da publicidade registral com o princípio da finalidade estabelecido no inc. I do art. 6º da LGPD. Conclusão A caminhada para a compreensão global da LGPD e sua intersecção em diversos setores é longa, ainda há muito para se debater e construir. Assim, deve-se conciliar os princípios previstos na LGPD com os princípios assegurados na Lei de Registros Públicos e os previstos na Lei dos Notários e Registradores, bem como outros em legislação específica e nas normas de serviços extrajudiciais das Corregedorias de Justiça dos Tribunais de Justiça. O que nos parece não haver nenhum óbice, observadas as peculiaridades dos serviços extrajudiciais. _____________ 1 RUIZ, Evandro Eduardo Seron. Análise de Princípios de Gerenciamento de Dados Pessoais para a modelagem e Implementação da LGPD. In: LIMA, Cintia Rosa Pereira de (Coord). ANPD e LGPD: Desafios e Perspectivas. São Paulo, SP: Editora Almedina, 2021. pp. 233 - 249. 2 Cf. LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a Efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020. pp. 168 - 209. 3 SIMÃO FILHO, Adalberto, RODRIGUES, Janaina de Souza Cunha e LIMA, Marilia Ostini Ayello Alves de. A Governança e o registro de dados em LGPD sob a ótica da tomada de decisão estratégica, calcada na experiência "Gambito da Rainha". In: Direito, governança e novas tecnologias III [Recurso eletrônico on-line] organização CONPEDI Coordenadores: Aires Jose Rover; Danielle Jacon Ayres Pinto; Henrique Ribeiro Cardoso - Florianópolis: CONPEDI, 2021. Disponível em: http://site.conpedi.org.br/publicacoes/276gsltp/d908sd02/SJWH86sd223LrXz8.pdf Acesso em: 01 de novembro de 2021. 4 DONEDA, Danilo; BACHUR, João Paulo e FUJIMOTO, Mônica. As centrais de cartórios e os riscos à proteção de dados pessoais: Centralização do sistema registral é incompatível com as disposições da LGPD. 5 Cf. LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. Migalhas de Proteção de Dados. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/338947/politicas-de-protecao-de-dados-e-privacidade-e-o-mito-do-consentimento. Acesso em: 10 de novembro de 2021. 6 Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali. Rivista Critica del Diritto Privato, anno XV, n. 1, março 1997, pp. 583 - 609. pp. 588 - 591. 7 A Proposta de Emenda à Constituição (PEC) n° 17/2019, recentemente aprovada pelo Senado Federal e que aguarda sua promulgação, insere o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal incluindo a proteção de dados pessoais entre os direitos fundamentais do cidadão. 8 No dia 07 de maio de 2020, o Supremo Tribunal Federal, na Ação Direta de Inconstitucionalidade (ADI) 6387, afirmou ser o direito à proteção de dados um direito fundamental. Disponível em: https://jurisprudencia.stf.jus.br/pages/search?base=acordaos&pesquisa_inteiro_teor=false&sinonimo=true&plural=true&radicais=false&buscaExata=true&page=1&pageSize=10&queryString=ADI%206387&sort=_score&sortBy=desc, Acesso em: 30 de julho de 2021. 9 LIMA, Cíntia Rosa Pereira de. Da inviolabilidade da cláusula de não indenizar em matéria de proteção de dados. In: FALEIROS JÚNIOR, José Luiz de Moura; LONGHI, João Victor Rozatti; GUGLIARA, Rodrigo (Coords). Proteção de dados pessoais na sociedade da informação: entre dados e danos. Indaiatuba, SP: Editora Foco, 2021. p. 397-404. 10 MENKE, Fabiano. Coluna Migalhas de Proteção de Dados. As origens alemãs e o significado da autodeterminação informativa. https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/335735/as-origens-alemas-e-o-significado-da-autodeterminacao-informativa Acesso em: 01 de novembro de 2021. 11 DE LUCCA, Newton. MACIEL, Renata Mota. A Lei n° 13.709, de 14 de agosto de 2018: a Disciplina Normativa que faltava. In Direito e Internet IV, SIMÃO FILAHO, Adalberto, DE LUCCA, Newton e LIMA, Cíntia Rosa Pereira de (Coords.) São Paulo: Quartier Latin, 2019. pp.21 -50. 12 SILVA, José Marcelo Tossi. O provimento 23/2020 da Corregedoria Geral da Justiça do Estado de São Paulo: a LGPD e os serviços extrajudiciais de notas e de registro. Migalhas de Proteção de Dados, sexta-feira, 05 de março de 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/341184/o-provimento-23-2020-da-corregedoria-geral-da-justica-do-estado-de-sp. Acesso em 10 de novembro de 2021. 13 Sobre o debate LGPD e LAI vide OLIVEIRA, Cristina Godoy Bernardo de; ANDRADE JÚNIOR, Luiz Carlos. A responsabilidade civil do estado por danos no tratamento de dados pessoais: LGPD & LAI. Migalhas de Proteção de Dados, sexta-feira, 13 de novembro de 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/336327/a-responsabilidade-civil-do-estado-por-danos-no-tratamento-de-dados-pessoais--lgpd---lai, Acesso em: 10 de novembro de 2021. 14 CENEVIVA, Walter. Lei dos Registros Públicos Comentada. 20ª ed. São Paulo: Saraiva, 2010. p. 55. CENEVIVA, Walter. Lei dos Notários e dos Registradores Comentada. 8ª. Ed. São Paulo: Saraiva, 2010. p. 40.
O tema da proteção de dados é cada vez mais discutido nos diversos setores da sociedade. Esse interesse ocorre porque há uma maior consciência de que o uso indevido de dados pode acarretar severos danos, bem como em função dos cada vez mais comuns vazamentos de dados noticiados pelas mídias. É nesse cenário que surgiu a Lei Geral de Proteção de Dados no Brasil, em vigor desde setembro de 2020. Uma das novidades trazidas com o surgimento da LGPD é a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização da referida Lei. Por se tratar, todavia, de uma lei nova, surgem questionamentos sobre quais seriam os seus limites de atuação. Diante desse cenário de dúvidas, o presente artigo busca analisar o papel da ANPD, examinando quais seriam os limites dos seus poderes fiscalizador e sancionador. Cabe fazer, inicialmente, uma breve conceituação da ANPD. Nos termos do artigo 5º, inciso XIX, da LGPD, trata-se de órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.1 O estabelecimento de uma autoridade verdadeiramente independente, autônoma e com corpo técnico qualificado é o desafio fundamental para que a regulação do tema ocorra de forma apropriada.2 Em 27 de agosto de 2020, foi publicado o decreto 10.474/2020, que aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD. Tal decreto, no seu artigo primeiro, reiterou a característica de autonomia técnica e decisória da autoridade nacional.3 Por fim, em 20 de outubro de 2020, o Plenário do Senado aprovou, após sabatina, os nomes indicados pelo governo para compor a primeira diretoria da ANPD. Quanto à sua estrutura, a ANPD é composta, nos termos do art. 55-C da LGPD, de um Conselho Diretor; um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; corregedoria; ouvidoria; órgão de assessoramento jurídico próprio; e unidades administrativas e especializadas necessárias à aplicação do disposto na LGPD. A criação da ANPD pode garantir ao Brasil a condição de se inserir no mercado informacional em igualdade de condições, já que suas empresas poderão receber informações de outros países que adotem a lei de proteção de dados pessoais quando necessário para sua atuação.4 Nesse sentido, o fluxo livre de dados pessoais entre o Brasil e os países do bloco europeu poderia, inclusive, facilitar o ingresso do país na OCDE - Organização para a Cooperação e Desenvolvimento Econômico.5 No que concerne ao seu poder fiscalizador, cabe destacar que recentemente, no final de outubro de 2021, foi aprovado o Regulamento de Fiscalização e Aplicação de Sanções Administrativas, através da Resolução CD/ANPD Nº 1º/2021. Destaca-se o parágrafo único do artigo 16 dessa Resolução, que afirma que a fiscalização da ANPD promoverá o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, de forma a disseminar boas práticas, nos termos da LGPD, sem prejuízo de eventual sanção administrativa em caso de descumprimento da Lei.6 A respeito dessa questão de boas práticas, a ANPD, no intuito de orientar para que haja um efetivo tratamento dos dados pessoais, disponibilizou, recentemente, Guia de Boas Práticas para Implementação na Administração Pública Federal7, cartilhas de Segurança para a Internet8 e Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado9. Trata-se, pois, de uma atuação preventiva da autoridade nacional, com o objetivo de implementar medidas de boas práticas e governança, a fim de que haja uma adequação à LGPD. Ressalta-se ainda que a ANPD exerce o papel de órgão central, sendo lhe atribuída não apenas a primazia na uniformização de conceitos, na interpretação e na aplicação na LGPD, mas também um papel construtivo com outros órgãos públicos com competências correlatas.10 A esse respeito, o artigo 2, § 3º, do Decreto 10.474/2020, prevê um dever de coordenação entre a ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental, com o objetivo de assegurar o cumprimento de suas atribuições e o tratamento de dados pessoais.11 Isso já está ocorrendo: nesse sentido, a ANPD e a Secretaria Nacional do Consumidor (SENACON) firmaram um acordo de cooperação técnica que tem por objetivo proteger os dados do consumidor no Brasil, no qual as duas entidades pretendem alinhar esforços e reforçar as fiscalizações, de forma a evitar incidentes de segurança.12 Tal cooperação já está dando resultado: após recomendação destes órgãos, o Whatsapp se comprometeu a realizar algumas mudanças em sua política de privacidade direcionada aos usuários brasileiros, que previa originalmente o compartilhamento de mais dados com o Facebook.13 Outro convênio realizado foi com o Conselho Administrativo de Defesa Econômica (CADE), em que foi assinado um Acordo de Cooperação Técnica, com o objetivo de combater as atividades lesivas à ordem econômica e incentivar a disseminação da cultura da livre concorrência nos serviços que exigirem a proteção de dados pessoais.14 E quanto ao seu papel sancionador? O artigo 52 da LGPD estabelece que controlador e o operador ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional em razão das infrações cometidas às normas previstas. Nesse ponto, fica clara a intenção de atribuir centralidade a um único órgão, em nível federal, a fim de que se possa fazer valer as regras da LGPD.15 As sanções aplicáveis podem ser, por exemplo, desde advertências, com indicação de prazo para adoção de medidas corretivas, até multa simples, de até 2% do faturamento, limitada a R$ 50.000.000,00, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. A fim de se evitar uma "indústria da multa", em que o órgão que aplicaria a sanção estaria "interessado" no proveito econômico dessa penalidade, o produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos16, nos termos do artigo 52, § 5º, da LGPD. Tendo em vista que a ANPD inicia sua atuação sancionadora após a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas e que a resolução que a aprovou foi publicada em 29 de outubro de 2021, a Autoridade ainda não aplicou nenhuma multa administrativa. Por outro lado, na União Europeia, em que o Regulamento Geral de Proteção de Dados entrou em vigor em 2018, já há diversos casos com condenação pelo tratamento indevido de dados. Recentemente, a Amazon foi multada em 746 milhões de euros - recorde na União Europeia - por não estar em conformidade com o RGPD.17 Além disso, cabe destacar que a multa aplicada pela ANPD pode ser cumulada com a de outros órgãos, como a do SENACON, observadas as suas competências. Nesse sentido, os § 2º e § 3º do artigo 52, da LGPD, são claros ao afirmar, respectivamente, que as sanções podem ser aplicadas de forma cumulativa e que o seu dispositivo não substitui a aplicação de sanções administrativas, civis ou penais definidas na lei 8.078/1990 (Código de Defesa do Consumidor), e em legislação específica.18 Nesse mesmo sentido, o CDC ressalta, no seu artigo 56, que "as infrações das normas de defesa do consumidor ficam sujeitas, conforme o caso, às seguintes sanções administrativas, sem prejuízo das de natureza civil, penal e das definidas em normas específicas." Oportuno ressaltar que a aplicação de multa será utilizada como última alternativa, conforme afirmado pelo próprio Diretor-Presidente do Conselho Diretor da ANPD ao ser sabatinado pela Comissão de Infraestrutura do Senado.19 Assim, pode-se afirmar que a autoridade nacional somente deverá utilizar o seu poder sancionador quando o seu poder fiscalizador não for suficiente para que haja conformidade à LGPD. Desse modo, espera-se que tal poder seja utilizado de forma prudente, pois será um sinal de que os agentes - tanto públicos, quanto privados - estarão buscando a adequação à cultura da proteção de dados. Contudo, se depender do bom começo de atuação da ANPD, que, embora tenha sido nomeada apenas recentemente, já está cumprindo com seu papel fiscalizador, a tendência é que o poder sancionador não seja de fato tão aplicado. *Rafael Dresch é mestre pela UFRGS em Direito Privado. Doutor em Direito na PUC/RS, com estágio doutoral na University of Edinburgh/UK, Pós-doutor na University of Illinois/US e professor da UFRGS. Sócio-fundador do Coulon, Dresch e Masina Advogados. Associado Fundador do IAPD - Instituto Avançado de Proteção de Dados. Linkedin: https://www.linkedin.com/in/rafaeldresch/ | Instagram: @dreschrafael. **Gustavo da Silva Melo é mestrando em direito civil e empresarial pela Universidade Federal do Rio Grande do Sul - UFRGS. Especialista em responsabilidade civil, contratos e direito imobiliário pela PUCRS. Graduado em Ciência Jurídicas e Sociais pela UFRGS. Advogado. __________ 1 XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.   2 TEFFÉ, Chiara Spadaccini de; VIOLA, Mário. Proposta para a criação da Autoridade Brasileira de Proteção aos Dados Pessoais. Instituto de Tecnologia & Sociedade do Rio. Disponível aqui. Acesso em: 18 ago. 2021. 3 Art. 1º A Autoridade Nacional de Proteção de Dados - ANPD, órgão integrante da Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na lei 13.709, de 14 de agosto de 2018. 4 LIMA, Cíntia Rosa Pereira de. Autoridade nacional de proteção de dados e a efetividade da Lei Geral de Proteção de Dados: de acordo com a Lei Geral de Proteção de Dados (lei 13.709/2018 e as alterações da lei 13.853/2019), o Marco Civil da Internet (lei 12.965/2014) e as sugestões de alteração do CDC (PL 3.514/2015). São Paulo: Almedina, 2020, p. 304. 5 DONEDA, Danilo. A Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Proteção de Dados. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book. 6 Parágrafo único. A fiscalização da ANPD promoverá, junto aos titulares de dados e aos agentes de tratamento, o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, de forma a disseminar boas práticas, nos termos da LGPD. In: BRASIL. ANPD. Resolução CD/ANPD Nº 1, de 28 de outubro de 2021. Disponível aqui. Acesso em: 04 nov. 2021. 7 Disponível aqui. 8 Disponível aqui. 9 Disponível aqui. 10 WIMMER, Miriam. Os desafios da enforcement na LGPD: fiscalização, aplicação de sanções administrativas e coordenação intergovernamental. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book. 11 § 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas respectivas esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma da lei 13.709, de 2018. 12 PEDUZZI, Pedro. Senacon e ANPD assinam acordo para proteção de dados do consumidor. Agência Brasil, 22 mar. de 2021. Disponível aqui. Acesso em: 25 ago. de 2021. 13 G1. WhatsApp deve atualizar política de privacidade no Brasil após pedidos de órgãos públicos. Disponível aqui. Acesso em: 25 ago. de 2021. 14 BRASIL. ANPD. ANPD e CADE assinam Acordo de Cooperação Técnica. Disponível aqui. Acesso em: 30 ago. de 2021. 15 WIMMER, Miriam. Os desafios da enforcement na LGPD: fiscalização, aplicação de sanções administrativas e e coordenação intergovernamental. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book. 16 LIMA, Cíntia Rosa Pereira de. As funções da autoridade nacional de proteção de dados e as sanções previstas na LGPD. In:  FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antônio (Coords.). A Lei Geral de Proteção de Dados Pessoais: LGPD - Ed. 2021. São Paulo: Revista dos Tribunais. E-book. 17 LEGGETT, Theo. Amazon hit with $886m fine for alleged data law breach. BBC, 30 jul. de 2021. Disponível aqui. Acesso em: 17 ago. de 2021.  18 § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: (...) § 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica. 19 MELO, Karine. Indicado à Agência Proteção de Dados destaca dever de proteger cidadão. Agência Brasil, 19 out. de 2021. Disponível aqui. Acesso em: 26 ago. de 2021.
Introdução Quem nunca se deparou com as palavras "política de cookies" ao navegar em um site na internet? Tal mensagem tende a ocupar a tela inteira do nosso computador, sendo impossível ler o conteúdo da página na qual nos interessamos. Seja por conta da pressa em pesquisar algo ou até mesmo por não entender o que aquela mensagem significa, na maioria das vezes, selecionamos "aceito as políticas de cookies" e nos livramos instantaneamente daquele empecilho. No entanto, aqueles curiosos que clicam em "quero redefinir minhas políticas de cookies" amedrontam-se com uma nova aba repleta de termos técnicos das áreas jurídica e informática, os quais impedem que qualquer indivíduo que não tenha uma mínima familiaridade com tais esferas saiba executar corretamente os comandos ali dispostos. Analogamente, apesar dos passageiros de veículos autônomos terem a oportunidade de consentir ou não com a coleta de dados pessoais durante suas viagens, eles provavelmente terão dificuldades em entender completamente os termos técnicos dessas novas tecnologias, permanecendo alheios à potencial utilização de suas informações privadas. Nesse ínterim, pretendemos definir brevemente o conceito de carros autônomos, analisando até que ponto a coleta de dados é utilizada para salvaguardar uma viagem segura ou empregada para - de modo antiético - traçar perfis de consumo, vigiar indivíduos, enviar propagandas respaldadas nos locais que a pessoa costuma frequentar, entre outros. Por fim, apresentaremos e analisaremos criticamente certas estratégias que estão sendo desenvolvidas em diversas leis e estatutos ao redor do globo para se proteger e controlar os tipos de informações pessoais associadas aos veículos autônomos e corporações relacionadas. Carros autônomos e coleta de dados pessoais Os veículos autômatos (doravante VA) são divididos em cinco níveis - o zero correspondente ao carro sem automação e o último (quatro) à autodireção ilimitada -, ou seja, em nenhum momento, o controle é repassado ao condutor do veículo no nível 05. Os veículos 3 e 4 já estão sendo comercializados no mercado europeu, com esse último nível esperado para 2030.1 A Uber tem investido em uma frota de VAs, sendo a primeira a introduzir essa tecnologia para o mercado consumidor estadunidense2. Tais veículos estão inseridos no tipo quatro, caracterizado por uma automatização elevada, direção, aceleração, desaceleração e controle do ambiente de condução a encargo do carro, restando o controle para o condutor apenas em casos de emergência. É exatamente por esse motivo que tanto o Estado como a sociedade deveriam alterar a maneira como os encara: já não são mais mecânicos, mas máquinas providas de inteligência artificial, softwares e computadores conectados entre si que compartilham informações das rodovias pelas quais percorrem e dos passageiros os quais transportam. Hoje, o aplicativo da Uber dispõe descomplicadamente os dados pessoais que coletam dos seus usuários em seu "aviso de privacidade". São elencados3 desde dados bancários, fotos, gênero, localização, histórico de destinos, dados dos dispositivos (endereço IP, identificadores de publicidade, dados de movimento do dispositivo, dados da rede móvel) até mesmo aqueles relacionados a sites e a serviços de terceiros que são usados antes da interação com seus serviços, sendo tais informações utilizadas para fins de marketing. Hoje, a retenção de informações dos usuários de veículos não autônomos já atinge proporções gigantescas, no incipiente ramo dos VAs - ainda experimental em muitos países - sendo que não há um catálogo definitivo dos dados pessoais passíveis de serem recolhidos. Tal cenário obscuro gera insegurança por parte dos clientes em relação à aceitação dos termos e condições de uso e política de privacidade, pois não se sabe com precisão o sentido da frequente expressão "os dados pessoais coletados serão utilizados para os devidos fins". Saber onde um usuário mora, seu histórico de viagens e locais que costuma frequentar são exemplos de dados pessoais que podem ser empregados para fins diversos de uma simples "corrida". Desde o direcionamento de anúncios publicitários específicos de acordo com os destinos do indivíduo, até mesmo perseguição política4. Agências de Inteligência podem vasculhar as bases de dados para monitoramento dos cidadãos à medida que esses aparentam ser suspeitos; criando, inclusive, um padrão baseado em viagens passadas para tentar prever onde determinada pessoa pode ser encontrada no futuro. Além disso, o local em que o VA estaciona à noite, após uma viagem, pode fornecer dados acerca de onde a pessoa mora (vizinhança abastada ou marginalizada), e com isso, traçar perfis comerciais apropriados para seu consumo - lojas mais elitistas ou populares. Estratégias de proteção de dados A comunicação entre os softwares dos VAs os transforma em uma frota de computadores detentores das informações pessoais de inúmeros passageiros, sendo, portanto, extremamente valiosos para agências de inteligência, empresas de marketing, e até mesmo hackers. Logo, uma alternativa para evitar tais intromissões seria desassociar as informações técnicas dos veículos (combustível e carroceria) das pessoais de seus passageiros (destinos e horários), tornando os VAs anônimos5. Para dificultar o uso inadequado dos dados pessoais, seria necessário, por exemplo, um reforço na criptografia dos dados, autenticação de acesso e não compartilhamento da rede virtual com outros perfis não autorizados, impedindo, assim, que os dados entre os diversos usuários sejam cruzados. A não retenção dos dados pessoais, limitando o seu recolhimento, corrobora para a diminuição desses riscos. No tocante às "políticas de consentimento", apesar do caput do artigo 9º da Lei Geral de Proteção de Dados (LGPD) determinar que "o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva", haverá, provavelmente, em um primeiro momento, dificuldades na aplicação do citado artigo, pois o incipiente ramo dos veículos autônomos no mundo - principalmente no Brasil - torna complexo o esclarecimento específico das atividades exercidas pelos VA, como já mencionado anteriormente. Nos EUA, entraram em vigor diversas normas nacionais que regulam a coleta e o processamento de informações pessoais. O "Ato de Proteção aos Dados Privados"6 (APDP) resguarda determinados dados - como endereço, foto, nome e raça - impondo sanções legais por tráfego, divulgação e uso impróprio de informações pessoais fornecidas à disposição de motoristas e veículos licenciados. Já o "Ato de Comunicações Eletrônicas Privadas"7 e o "Ato Federal de Comunicações"8, aplicam-se a certas características dos VAs, como a troca de dados por meio da intercomunicação destes. Entretanto, caso estes sejam utilizados para fins ilícitos ou moralmente reprováveis, a quem devemos realmente punir? Designers de software, engenheiros idealizadores dos VAs, donos das grandes corporações montadoras de veículos automotores, proprietários dos aplicativos de viagem, possíveis hackers, agências de inteligência estatais? E, a lista continua indefinidamente, pois como já dito anteriormente, diversos atores sociais têm interesse em tais informações pessoais, sendo estas valiosas não só para pesquisas de consumo e estratégias de marketing, mas também para a prática de perseguição política e controle social. Não só os VAs são "smart", mas a nossa televisão, computador, celular, e até mesmo geladeira compartilham dessa tendência de se tornar "inteligentes". Tal predisposição aprofunda um processo que sempre esteve presente no capitalismo: a alienação do trabalhador e do consumidor em todas as instâncias sociais. Com o avanço vertiginoso das tecnologias que utilizam inteligência artificial., por exemplo, torna-se cada vez mais complicado identificar quem é responsável por esta (vale lembrar que as inovações não existem per se9, mas são resultados de todo um processo histórico de acumulação de "técnica" pela humanidade), que realiza a coleta de informações e quais os possíveis - e sombrios - usos destas. Logo, o indivíduo torna-se completamente ignorante em relação ao funcionamento de tais máquinas, não se reconhecendo no processo de consumo - e isso se reflete em sua completa alienação em relação aos "termos de consentimento", seja por seu "juridiquês" ou sua linguagem computacional complexa. Conclusão Este cenário gera uma atmosfera de desconfiança por parte dos usuários de VAs. Assim, surge a indagação concernente a até que ponto e em que ocasiões devemos confiar nas tecnologias como forma de libertação (em seus múltiplos aspectos) e facilitação dos encargos por parte dos seres humanos? Por ora, apesar de existir uma resposta correta, pode-se recordar da seguinte afirmação de Martin Luther King Jr.: "esperar [por direitos civis] quase sempre quer dizer 'nunca' [por parte daqueles que ocupam posições de poder]".10 Em suma, verificamos o seguinte dilema a ser enfrentado nos próximos anos: o quanto de liberdade deseja-se abrir mão para um maior conforto? Para que seja possível equilibrar liberdade e conforto, o direito passa a ter um papel fundamental, logo, nota-se que compete discutirmos os desafios tecnológicos com base nos direitos fundamentais conquistados por meio de muitas lutas ao longo dos séculos. *Cristina Godoy Bernardo de Oliveira é professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD. **Emily Liene Belotti é graduanda em Direito pela Faculdade de Direito de Ribeirão Preto, na Universidade de São Paulo. Atualmente integra o Grupo de Estudos "Direito, Ética e Inteligência Artificial" da FDRP/USP. Realiza pesquisa de Iniciação Científica cujo tema é "Carros Autônomos e Responsabilidade Civil: Teoria Objetiva vs Subjetiva", sob a orientação da Professora Dra. Cristina Godoy Bernardo de Oliveira. Referências bibliográficas Aviso de privacidade da Uber. 02/10/2021. Disponível aqui. Acesso em: 20 de outubro de 2021. Carros autónomos na União Europeia: da ficção científica à realidade. Parlamento Europeu, 14/01/2019. Disponível aqui. Acesso em: 20 de outubro de 2021. Driver's Privacy Protection Act, 18 U.S.C. § 2721 (2012). Electronic Communications Privacy Act, 18 U.S.C. §§ 2510-2522 (2012). GLANCY, Dorothy, J. Privacy in Autonomous Vehicles. 52 Santa Clara Law Review 1171. 15/11/2012. Disponível aqui. Acesso em: 20 de outubro de 2021. KING, M. L. (1994). Letter from the Birmingham jail. San Francisco, Harper San Francisco. LUPTON, D. (2016). Digital companion species and eating data: Implications for theorising digital data-human assemblages. Big Data & Society. Disponível aqui. Acesso em: 20 de outubro de 2021. MARX, Karl. O Dezoito Brumário de Louis Bonaparte. São Paulo: Centauro, 2006. OLIVEIRA, Cristina Godoy Bernardo de Oliveira; NETO, Fernando Celso Guimarães. Estado Vigilante e regulação das fake news. In Migalhas de Proteção de Dados, 30 de abril de 2021. Disponível aqui. Acesso em: 20 de outubro de 2021. Telecommunications Act of 1996, 47 U.S.C. § 222 (2012). __________ 1 Carros autónomos na União Europeia: da ficção científica à realidade. Parlamento Europeu, 14/01/2019. Disponível aqui. Acesso em: 20 de outubro de 2021. 2 GLANCY, Dorothy, J. Privacy in Autonomous Vehicles. 52 Santa Clara Law Review 1171. 15/11/2012. Disponível aqui. Acesso em: 20 de outubro de 2021. 3 Aviso de privacidade da Uber. 02/10/2021. Disponível aqui. Acesso em: 20 de outubro de 2021. 4 OLIVEIRA, Cristina Godoy Bernardo de Oliveira; NETO, Fernando Celso Guimarães. Estado Vigilante e regulação das fake news. In Migalhas de Proteção de Dados, 30 de abril de 2021. Disponível aqui. Acesso em: 20 de outubro de 2021. 5 GLANCY, Dorothy, J. Privacy in Autonomous Vehicles. 52 Santa Clara Law Review 1171. 15/11/2012. Disponível aqui. Acesso em: 20 de outubro de 2021. 6 Driver's Privacy Protection Act, 18 U.S.C. § 2721 (2012). 7 Electronic Communications Privacy Act, 18 U.S.C. §§ 2510-2522 (2012). 8 Telecommunications Act of 1996, 47 U.S.C. § 222 (2012). 9 MARX, Karl. O Dezoito Brumário de Louis Bonaparte. São Paulo: Centauro, 2006. 10 KING, M. L. (1994). Letter from the Birmingham jail. San Francisco, Harper San Francisco.
Recentemente a Google anunciou que vai restringir publicidade dirigida aos menores de 18 anos na plataforma, a partir de informações como idade, sexo e interesses de navegação. Também não será mais utilizado o recurso de histórico de navegação desses usurários, bem como permitirá aos pais e responsáveis que solicitem a remoção das imagens dos filhos dos resultados de busca1. Dentre outros pontos, o YouTube vai remover conteúdo que se considera excessivamente comercial do aplicativo YouTube Kids, citando como exemplo os vídeos que apenas foquem em embalagens de produtos ou que encorajem diretamente as crianças a gastarem dinheiro. Vale notar que a declaração se deu após o FTC (Federal Trade Commission), em 2019, aplicar multa ao Google no valor de US$ 170 milhões por violações à privacidade de crianças no YouTube (a multa mais alta aplicada pelo órgão até hoje). Conforme o acordo firmado, a Google LLC e a subsidiária YouTube LLC teriam violado as regras do COPPA (Children's Online Privacy Protection Rule) ao coletar informações pessoais de crianças utilizando cookies para rastrear usuários na internet sem antes identificar e obter o consentimento expresso dos pais ou responsável. Com tais dados, o YouTube, usando os identificadores, praticou a denominada publicidade comportamental direcionada às crianças e adolescentes, sem expresso consentimento dos pais2. A pergunta que pode ser formulada, então, é: trata-se de mera regra ética da empresa ou estaria efetivamente cumprindo a regulação americana sobre o tema?  Regulação relativa à publicidade dirigida ao público infantil  A publicidade dirigida às crianças e adolescentes é regulada pelo CARU (Children's Advertising Review Unit), fundado em 1974 por membros das agências de publicidade infantil, por meio do Conselho Nacional de Revisão da Publicidade Infantil (conhecido como CBBB - Council of Better Business Bureaus). O órgão é responsável por impor padrões em relação à publicidade infantil, impedindo que seja depressiva, inapropriada ou injusta para a audiência do público em questão. Levam-se em consideração, dessa forma, a vulnerabilidade e a inexperiência da criança, que pode ser facilmente influenciada, diante de sua falta de conhecimento e habilidades de cognição necessárias para um bom julgamento da publicidade. Grosso modo, pode-se afirmar que as regras do CARU são dispostas entre princípios fundamentais e recomendações gerais e específicas. Assim, quanto aos princípios fundamentais do dispositivo, prevê responsabilidades adicionais em relação a campanhas com público-alvo infantil e ao uso de dados pessoais com esse fim. Devem-se levar em conta os limites de conhecimento, experiência e maturidade da audiência atingida, sendo reconhecido que o nível de discernimento e a capacidade de avaliar a credulidade das informações recebidas pelos meios de comunicação são menores. Nesse sentido, as crianças podem ter dificuldade de entender a intenção de persuasão na campanha publicitária ou ainda não se dar conta de que são alvos dessa publicidade. A publicidade não pode ter caráter enganoso ou injusto às crianças para as quais é dirigida, levando-se em consideração a aplicação dos termos dispostos no Federal Trade Commission Act3. Além disso, deve ser fundamentada por objetivos razoáveis e que assim sejam interpretados pela sua audiência, além de se levar em conta a pertinência de seu conteúdo, sendo proibida a veiculação de publicidade de teor inapropriado. Não poderá trazer expectativas exageradas sobre a qualidade do produto ou sobre sua performance, confundindo a criança.  A publicidade deve, ainda, evitar a caracterização de estereótipos ou conter assunto de cunho preconceituoso, encorajando a diversidade e a inclusão das minorias, apresentando modelos positivos variados de todos os grupos, além de procurar desempenhar um papel de caráter educativo, influenciando a visão positiva e o respeito aos outros, incitando a honestidade e a precaução de ações potencialmente perigosas. O documento ainda ressalta que, apesar da influência causada pela publicidade e da necessidade de regulação desta em relação ao público infantil, permanece como papel principal dos pais e tutores prover instrução e civilidade no desenvolvimento pessoal e social de seus filhos, sendo os meios de comunicação um elo de contribuição na relação familiar.  Regulação relativas à proteção de dados de crianças e adolescentes Em relação à proteção de dados na internet, o COPPA (Children's Online Privacy Protection Act), inserido no Título de Práticas Comerciais do Federal Trade Commission4 (FTC) em 1998, traz disposições sobre a coleta de dados pessoais de crianças, bem como outras práticas relacionadas à privacidade do público infantil na internet. A proteção dos dados das crianças começou a ser discutida naquele país diante das oportunidades que surgiram na mídia ao coletar informações pessoais com intenção de dirigir publicidade a esse público. Diante do fato de a criança não compreender de pronto a intenção da coleta de dados, foi necessário criar mecanismo de proteção a sua privacidade. Entre outros mecanismos, o consentimento expresso dos pais para a coleta dos dados é o mecanismo que mais nos importa para esse ensaio. Para os fins das regras dispostas no COPPA, criança é toda pessoa que tenha menos de 13 (treze) anos de idade. Ainda assim, é expressa a recomendação de que o operador também observe as diretrizes do COPPA da coleta e uso dos dados de adolescentes dos 13 aos 16 anos. Adam Thierer5 ressalta que a questão do consentimento não é pacífica e informa que nos últimos anos, alguns Estados propuseram expandir o regime da COPPA de várias maneiras. Esses esforços tentaram expandir a estrutura de consentimento dos pais para incluir todos os menores de até aos 18 anos, ampliando o leque de sites atendidos, aumentando a quantidade de informações devem ser coletadas para obter o consentimento verificável dos pais, e outras sugestões. O objetivo do regulamento é trazer proteção aos dados pessoais de crianças em websites e serviços on-line, exortando sempre o envolvimento dos pais ou representantes nessas atividades, possibilitando a maior proteção dos seus filhos ou representados. O COPPA é aplicado aos operadores de dados de websites e serviços online dirigidos para crianças e, também, para aqueles que são voltados para o público em geral, mas que coletam informações sobre o público infantil. Afinal, como é possível determinar que o site ou serviço é direcionado às crianças? A Federal Trade Commission (FTC) considera uma série de fatores para determinar se um site ou serviço é "direcionado a crianças", incluindo o assunto; o conteúdo visual ou de áudio; a idade dos modelos; a linguagem ou outras características; se a publicidade promovendo ou aparecendo no site é direcionada a crianças; as evidências empíricas sobre a composição do público; a audiência pretendida; e se um site usa personagens animados e/ou atividades voltadas para crianças e incentivos6. O dispositivo definiu como coleta dessas informações a reunião de qualquer dado pessoal de criança, com qualquer propósito, incluído: i) requerer ou encorajar a criança a submeter informações pessoais na internet; ii) habilitar o fornecimento da criança de seus dados pessoais, tornando-os disponíveis, de forma que possa ser identificada, e iii) monitoramento das atividades das crianças online. Da mesma forma, divulgação de dados pessoais se relaciona: i) ao lançamento de informações pessoais identificáveis7, coletadas por operador8, oferecidas por criança com menos de 13 anos de idade, com qualquer finalidade, exceto em hipóteses em que o operador provê tais informações com o intuito de suporte ao próprio website ou serviço online9; ii) à acessibilidade de informações pessoais identificáveis, através de postagens em páginas da internet, sejam elas do próprio operador dos dados ou de outros websites e serviços online como "pen pall", compras online, "message boards" e salas de bate- papo. De acordo com o documento, diversas condições são impostas aos operadores dos dados pessoais infantis, sendo as principais: i) a necessidade de obter consentimento dos pais para a coleta dos dados pessoais da criança; ii) a elaboração de uma política de privacidade clara e compreensiva; iii) manter as informações obtidas de crianças em segurança e confidencialidade10. Notas conclusivas Desse breve ensaio é possível concluir que a regulação norte americana não proíbe a veiculação de publicidade em ambiente digital, mas exige expressa autorização dos pais para coleta e tratamento dos dados os menores de 13 (treze) anos de idade. O CARU impõe uma série de restrições aos anunciantes, que deve ser cumprido em qualquer forma de anúncio, inclusive pelas plataformas digitais. O desafio enfrentado está relacionado a entender quem é o usuário da plataforma e se essa pessoa é ou não uma criança. Se o COPPA exige que o website e que serviços online dirigidos para crianças tomem cuidados para coleta e tratamento de dados, também exige para aqueles que são voltados para o público em geral, mas que coletam informações sobre o público infantil. Os dados da navegação podem dar pistas sobre a idade e perfil do usuário, logo, como já afirmou o FTC no caso mencionado de coleta indevida de dados pela Google, a plataforma pode (e deve) fazer cumprir a regulação sobre proteção de dados e direcionamento de publicidade, tudo conforme o disposto no COPPA e no CARU. *Roberta Densa é doutora em Direitos Difusos e Coletivos pela PUC/SP e professora de Direito do Consumidor da Faculdade de Direito de São Bernardo do Campo. __________ 1 Disponível aqui. 2 Disponível aqui. 3 O Federal Trade Commission Act é uma lei federal adotada nos Estados Unidos em 1914, que deu origem à Comissão Federal do Comércio. O órgão é responsável por dar ao governo dos Estados Unidos ferramentas legais na investidura contra a competição desleal no mercado americano. O ato também é conhecido por ser um dos pioneiros em ter como um dos principais objetivos a proteção integral dos consumidores contra práticas fraudulentas de produtores e fornecedores. 4 Disponível aqui. 5 THIERER, Adam. Kids. Privacy, Free Speech and the Internet: Finding the right balance. Disponível aqui. Acesso em: 20 set. 2021. 6 BAVITZ, Christopher; GUPTA, Ritu; OBERMAN, Irina; RITVO, Dalia. Privacy and Children's Data - An Overview of the Children's Online Privacy Protection Act and the Family Educational Rights and Privacy Act. Berkman Center Research Publication No. 23, [S.l], nov. 2013. Disponível em: SSRN. Acesso em: 20 set. 2021. 7 Definido pela lei como compartilhamento, venda, aluguel ou transferência de informações pessoais à terceiros. 8 Definido pela lei, de forma geral, como a pessoa física ou jurídica que gerencia website ou serviço online, coletando informações pessoais de seus usuários ou visitantes para diversos fins comerciais. 9 A lei define suporte ao website ou serviço online como aqueles que servem para manter ou analisar a funcionalidade, performance, conformidade e segurança do serviço, autenticidade dos usuários. 10 Nesse sentido, o consentimento dos pais ou responsáveis deve ser assegurado pelo fornecimento pelo operador de aviso sobre a coleta e eventual uso ou divulgação de informações pessoais de seus filhos, devendo obter dos representantes autorização verificável para qualquer das ações descritas.
Ao dispor Castells1 sobre a gênese de um novo mundo cuja forma e modelo inicial se fizeram sentir ao final do milênio, por meio de uma estrutura social dominante,  decorrente de uma sociedade em rede impactada pela tecnologia informacional, resultando numa economia global gerando a partir de  um mundo interdependente, a  cultura da virtualidade real, subjacente a ação e as instituições sociais, denotando-se que um tratamento específico e atual deve ser atribuído à coleta de dados pessoais com um viés protetivo. Deve-se considerar neste ambiente de base tecnológica e inovadora, tanto as questões relacionadas à IoT - Internet das Coisas2, como infraestrutura que integra a prestação de serviços de valor adicionado com capacidades de conexão física ou virtual de coisas e de pessoas, com dispositivos baseados em tecnologias da informação e comunicação, como também os aspectos relativos à privacidade e proteção dos dados pessoais, observadas as disposições da LGPD. E exatamente foi a tecnologia da informação a ferramenta primordial para a implantação efetiva dos processos de restruturação socioeconômica e formação das redes autoexpansíveis de organização da atividade humana, transformando e impactando as relações sociais econômicas. Todavia, Castell já alertava para o fato de que este novo sistema geraria ou teria uma tendencia a aumentar a desigualdade social e a polarização decorrente do crescimento simultâneo de ambos os extremos da escala social, numa visão do que denominou de capitalismo informacional, contribuindo para a exclusão social, desassociando nesta dinâmica, as pessoas, trabalhadores e consumidores.3  Será neste ambiente  que o país caminha para a  instituição  da Estratégia Brasileira de Inteligência Artificial4, com a finalidade de  nortear as ações em prol do fortalecimento da pesquisa, desenvolvimento e inovações de soluções em Inteligência Artificial, como o  seu uso consciente e  ético,  que propomos reflexões acerca da utilização de tecnologias informacionais e possível viés discriminatório atribuído a algoritmos como resultado final inesperado, que podem ser entendidos como uma série de instruções delegadas a uma máquina para resolver problemas pré-definidos.    Em alguns casos, a aplicação de algoritmos pode, de alguma forma previsível ou imprevisível, contribuir para gerar a exclusão social e a mitigação da utilização de direitos constitucionais, através de viés discriminatório, decorrentes da utilização de sistemas de inteligência artificial baseados em processo computacional. A partir de um conjunto de objetivos definidos por humanos, a IA e seus algoritmos, na efetivação de processamento de dados e informações, poderá aprender a perceber, interpretar e interagir com o ambiente externo, fazendo predições, recomendações, classificações ou decisões. Aliás, esta funcionalidade foi bem definida no PL 21/20 de autoria do Deputado Eduardo Bismark que pretende a criação do Marco da Inteligência Artificial no Brasil.5 Como subconjunto da Inteligência Artificial temos a machine learning, que se constitui em um sistema de aprendizagem de máquina, supervisionado ou não, que pode deter tecnologia de autoconstrução ou de projetar outros algoritmos e, ainda, sistemas baseados em conhecimento ou em lógica; abordagens estatísticas, inferência bayesiana, métodos de pesquisa e otimização. Os processos de automação podem incluir a capacidade do sistema de aprender a perceber, interpretar e interagir com o ambiente externo a partir das ações e das informações recebidas.  A problemática Coded Bias O documentário Coded Bias (2020), dirigido por Shalini Kantayya, investiga o viés racista e machista da Inteligência Artificial por trás dos algoritmos de reconhecimento facial e se aprofunda na análise de como as redes sociais e os algoritmos das big techs estão impactando os grupos mais marginalizados da sociedade.  Coded Bias mostra como Joy Buolamwini, mulher negra e cientista da computação do Instituto de Tecnologia de Massachussets (MIT), ao realizar pesquisas no MIT Media Lab, e posicionar rostos em frente a uma tela com dispositivo de captação de imagem por Inteligência Artificial, detectou um problema neste sistema de reconhecimento facial, consistente da falha frequente na análise de rostos, interferindo diretamente nos resultados, atribuindo a falha aos aspectos étnico-raciais. Ao sobrepor ao seu rosto uma máscara branca para prosseguir na captação facial, Joy Buolamwini teve finalmente a sua face reconhecida plenamente.  A partir desse episódio, a pesquisadora decidiu investigar como e porque este fato acontecia e quais seriam as consequências às pessoas de seu grupo étnico. Ao aprimorar a pesquisa, acabou por constatar também que grandes grupos empresariais, utilizavam-se de máquinas e algoritmos desenvolvidos para uso em reconhecimento facial e tecnologias assemelhadas, onde os resultados gerados identificavam o reconhecimento de rostos de homens brancos com muito mais exatidão, possibilitando o desenvolvimento de predições, constatações e criações de tendências e padrões de consumo, que, na realidade, possuíam um claro viés discriminatório e não inclusivo. O documentário levanta questionamentos sobre a utilização desses mecanismos tecnológicos, seja por empresas privadas ou por governos "democráticos". Entre eles, mostra como os preconceitos inerentes de suas visões de mundo são incorporados aos códigos por meio de um viés próprio, denominado pela Joy como um "olhar codificado". Apesar de estarmos cada vez mais imersos em uma sociedade inteligente do ponto de vista da tecnologia, reproduzimos em nossas máquinas, as fissuras sociais existentes no cotidiano. As pesquisas acadêmicas do MIT contribuíram para mudar legislações nos EUA e abalaram empresas de tecnologia, justamente em razão da detecção do viés tóxico e não inclusivo. Na busca de respostas ao dilema proposto por Joy Buolamwini, o documentário apresenta os resultados das pesquisas algorítmicas de Cathy O'Neil, matemática e pós-doutora pelo MIT que partiram da premissa de que as aplicações matemáticas fomentadoras da economia dos dados, eram baseadas em escolhas feitas por seres humanos falíveis, independente das suas intenções. Muitos dos modelos denominados pela Autora de Armas de Destruição Matemática, programavam preconceitos, equívocos e vieses humanos nos sistemas de software que geriam vidas. Os modelos matemáticos eram na sua ótica, opacos e seus mecanismos invisíveis a todos, exceto aos iniciados, matemáticos e cientistas da computação. As decisões, mesmo quando erradas ou danosas, estavam além de qualquer contestação, demonstrando razoável tendência de gerar a punição de classes sociais menos favorecidas e oprimidas e a multiplicação de ganhos dos mais ricos.6  A toxidade algorítmica e o viés discriminatório Esta problemática relativa ao viés discriminatório dos algoritmos e da utilização da I.A inclusive no Poder Judiciário é objeto de especial atenção tanto por parte do governo como das associações e organizações voltadas para esta temática, a exemplo do IAPD, Instituto Avançado de Proteção de Dados, que desenvolve pesquisas relacionadas a sistemas protetivos de titulares de dados pessoais e uso da tecnologia.  Neste contexto, foram apresentados por associados fundadores, em importantes congressos internacionais na Europa e no Brasil, dois estudos impactantes.  O primeiro objetivou demonstrar a necessidade de construção de políticas identitárias não  excludentes, traçando  um paralelo entre os princípios da LGPD e a Agenda 2030 da ONU, em especial no que tange aos objetivos relativos à busca do pleno e produtivo empreso e trabalho decente,  inclusive para com as pessoas com deficiência, gerando empoderamento  e inclusão social, econômica e política, independentemente da idade, gênero, deficiência, raça, etnia, origem, religião, condição econômica, garantindo a igualdade de oportunidade e reduzindo desigualdade por meio da eliminação de práticas discriminatórias. Neste ponto, alertou-se para a necessidade de se evitar que o sistema algorítmico e de coleta de dados pessoais, possa gerar viés de excludência social, principalmente aos deficientes de forma contraria ao sistema protetivo de LGPD e ao sistema previsto no EPD- Estatuto da Pessoa com Deficiência.7  Já, no evento específico sobre Inteligência Artificial, o Diretor Jurídico do IAPD, Prof. Dr. Adalberto Simão Filho e a Presidente do IAPD, Prof. Dra. Cintia Rosa Pereira de Lima, apresentaram a problemática da (in)decisão judicial e os algoritmos tóxicos, clamando pelo direito de revisão de decisões judiciais automatizadas, uma vez demonstrando que existe a  possibilidade de o algoritmo expressar de forma voluntária ou involuntária, um viés discriminatório de qualquer natureza. Demonstraram a incompatibilidade do modelo de Inteligência Artificial , com os princípios gerais do direito que conduzem o "due processo of law", invocando a resolução nº 322 do CNJ8 acerca da necessidade de adoção de medidas corretivas ao se detectar um viés discriminatório ou, ainda, de descontinuar a utilização do programa ou sistema na impossibilidade de eliminação deste  viés. Neste sentido, defenderam o direito de revisão das decisões automatizadas, reforçando a posição do capítulo II da resolução n. 332 do CNJ,  destacando que  as ferramentas ligadas à predição e algoritmos devem ser concebidas desde o início de sua formulação no conceito privacy by design, realçando a missão desafiadora tendo em vista a opacidade dos algoritmos, muitas vezes podendo ser caracterizados como tóxicos, pois ensejam vieses intoleráveis segundo o princípio da não discriminação e da transparência.9 A fragilidade e vulnerabilidade do algoritmo que registra viés indesejado, com reflexos discriminatórios e não transparentes, num desvio de percepção e de função intencional ou não, a demonstrar a necessidade de se gerar a necessária proteção à pessoa titular dos dados, também se faz sentir nas redes neurais  profundas de última geração  (DNNs) gerando situações críticas à segurança ao usuário desta tecnologia que, em ambiente de Internet das Coisas e das pessoas,  pode estar embarcada em  vários tipos de equipamentos e veículos tecnológicos, coletando dados e se utilizando de Inteligência Artificial com resultados não satisfatórios. Multiplicam-se pesquisas que demonstram problemas decorrentes de distorções na recepção e coleta de imagens e dados captados por tecnologia com o concurso de algoritmos. Neste ponto, oportuno o estudo de Kevin Eykholt e um grupo de pesquisadores, que demonstraram, que certos algoritmos utilizados são vulneráveis a exemplos contraditórios captados pelos instrumentos, resultantes perturbações de pequena magnitude adicionadas à entrada, podendo enganar esses sistemas e causar situações perigosas.  Observe-se, portanto, o algoritmo de reconhecimento facial de Coded Bias que gerava por si só a discriminação racial e, portanto, o universo de suas informações e dados pessoais captados e analisados poderia se refletir de forma equivocada, os pesquisadores comprovaram que algoritmos e instrumentos embarcados em veículos autônomos ou semiautônomos, poderiam captar sinais rodoviários nas estradas, mas que seriam registrados internamente de forma distorcidas. Como exemplo, se utilizaram de camuflagens de vários níveis em placas de trânsito e verificaram que este simples fato gerava a distorção sistêmica de resultados e altas taxas de classificação incorreta direcionadas.10  Esta constatação gerou a necessidade de se desenvolver algoritmos de aprendizagem mais resilientes. Os pesquisadores propuseram então, um algoritmo de ataque geral, criando uma metodologia própria (Robust Physical Perturbations) para gerar perturbações contraditórias visuais robustas em diferentes condições físicas por meio de testes de laboratório e de campo, com vistas a detectar e contribuir para a correção das distorções das manipulações físicas contraditórias em objetos reais.  A questão apontada dos equívocos de análise advindos da tecnologia de Inteligência Artificial e da possibilidade discriminatória, é preocupante tanto do ponto de vista da proteção da pessoa dos titulares dos dados, como também da sua aplicação na Justiça. Neste ponto, importante o escólio de Fausto Martin De Sanctis onde, para a utilização dos algoritmos, estes devem ser inatacáveis em sua ética e solidez, garantindo-se os princípios da neutralidade e da transparência.11      Pelo direito de não ser discriminado e de correção Diferentemente da denominada sociedade disciplinar, caracterizada segundo Michel Foucault, pela sua função disciplinadora de comportamentos onde o poder passa a ser aplicado sobre os corpos das pessoas, inclusive por meio da coerção física, na   sociedade do controle onde prepondera  "surveillance state" e a utilização de plataformas de base tecnológica  onde uma de suas  características  de gestão mais expressivas é exatamente a capacidade de modulação das opções e dos caminhos de interação e de acesso aos conteúdos publicados.12 Esta modulação deleuziana13 gera a redução do campo de visão e um processo de controle da visualização de informações, conteúdos, imagens e sons por meio de sistemas algoritmos que distribuem os discursos criados pelos usuários, corporações, pessoas e empresas, controlando-os indiretamente por parte daqueles que instituíram os critérios e políticas de interação dos espaços virtuais internos destas plataformas. Há um aspecto decorrente do processo de modulação, consistente da necessidade de se conhecer precisamente o perfil do agente modulável, por meio da construção de dispositivos e procedimentos de acompanhamento cotidiano de seus passos, como forma de gerar a atuação sobre o mesmo, podendo se conduzir as suas opiniões, seu comportamento e as suas opções de consumo. A utilização de modelos de Inteligência Artificial deve buscar garantir a segurança jurídica e igualdade de tratamento aos casos absolutamente iguais, a partir de amostras representativas e observância às cautelas necessárias quanto aos dados pessoais e ao segredo de justiça. Uma vez verificado viés discriminatório de qualquer natureza ou incompatibilidade do modelo de Inteligência Artificial, deverão ser adotadas medidas corretivas e/ou de salvaguardas e mecanismos de gerenciamento e mitigação dos riscos aos direitos fundamentais e exercício da cidadania. São tempos de apoio ao desenvolvimento tecnológico e a inovação, como elementos e instrumentos que possibilitam a melhoria da qualidade de vida, mas de perplexidade com certos resultados obtidos, onde se deve afastar quaisquer níveis de preconceito e de discriminação algorítmica tóxica proveniente de um "olhar codificado" como bem denomina Joy Buolamwini.  *Adalberto Simão Filho é professor Titular dos programas de Mestrado e Doutorado em Direitos Coletivos e Cidadania da UNAERP/RP. Obteve os títulos de mestre e de doutor em direito das relações sociais pela PUC/SP e de pós doutor em direito e educação pela Universidade de Coimbra.  Diretor Jurídico do Instituto Avançado de Proteção de Dados- IAPD. É autor de obras temáticas envolvendo o direito da sociedade da informação e a nova empresarialidade. **Janaina de Souza Cunha Rodrigues é profissional da área jurídica consultiva que conta com mais de quinze anos de experiência em departamentos jurídicos empresariais e escritórios de advocacia, com atuação na área empresarial e tecnológica. Associada Fundadora e membro da Comissão permanente de assuntos Jurídicos do Instituto Avançado de Proteção de Dados - IAPD.  Pesquisadora externa em grupo de estudo voltado para o Direito e a Tecnologia. Advogada Sênior do Escritório De Vivo, Castro, Cunha e Withaker Advogados, com atuação nas áreas consultivo digital e contratos. __________ 1 CASTELLS, Manuel. Fim de Milênio - A era da informação: economia, sociedade e cultura. Vol. 3: Paz e terra. São Paulo, 2012. p. 412. 2 BRASIL. Decreto nº 9.854, de 25 de junho de 2019. Institui o Plano Nacional de Internet das Coisas e dispõe sobre a Câmara de Gestão e Acompanhamento do Desenvolvimento de Sistemas de Comunicação Máquina a Máquina e Internet das Coisas. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9854.htm, acesso em 14 out. 2021. 3 CASTELLS, Manuel. Fim de Milênio - A era da informação: economia, sociedade e cultura. Vol. 3: Paz e terra. São Paulo, 2012. p. 420. 4 BRASIL. Portaria GM n.º 4.617, de 6 de abril de 2021, que institui a Estratégia Brasileira de Inteligência Artificial e seus eixos temáticos. Disponível aqui, acesso em 14 out. 2021. 5 BRASIL. PL. 21/2020 que pretende a criação do Marco da Inteligência Artificial no Brasil. Disponível aqui, acesso em 14 out. 2021. 6 CATHY O'NEIL. Algoritmos de destruição em massa. Editora Rua do Sabão: São Paulo. 2020. 7 SIMÃO FILHO, Adalberto; RODRIGUES, Janaina de Souza Cunha. Artigo em resumo denominado "Pela construção de políticas identitárias não excludentes - Um paralelo entre os princípios da LGPD e a Agenda 2030", apresentado em 12/10/21 no VI Congresso Internacional de Direitos Humanos de Coimbra- Portugal.  8 BRASIL. Conselho Nacional de Justiça. Resolução n. 332/2020. Dispõe sobre ética, a transparência e a governança na produção e no uso de Inteligência Artificial no Poder Judiciário e dá outras providências. Disponível aqui, acesso em 14 out. 2021. 9 SIMÃO FILHO, Adalberto; LIMA, Cintia Rosa Pereira de. Artigo em resumo denominado "A (In)decisão judicial e os algoritmos tóxicos", apresentado em 14/10/21 no III Seminário de Inteligência Artificial e Direito-Associação Ibero Americana de Direito e Inteligência Artificial. 10 EYKHOLT, Kevin; EVTIMOV, Ivan; FERNANDES, Earlence; LI BO; RAHMATI, Amir; XIAO, Chaowei; PRAKASH, Atul; KOHN, Tadayoshi; SONG, Dawn. Robust Physical-World Attacks on Deep Learning Visual Classification. Open access version, provid by de Computer Vision Foundation-CVF, version available on IEEE Splore. visit. 17/09/21. 11 DE SANCTIS, Fausto Martin. Inteligência Artificial e Direito.  Almedina: São Paulo. 2020. 12 SOUZA, Joyce; AVELINO, Rodolfo; SILVEIRA, Sergio Amadeu da. A sociedade de controle. Manipulação e modulação nas redes digitais. São Paulo: Editora Edra, 2018. 13 DELEUZE, Gilles. Conversações. Editora 34: São Paulo. 2013.
Indubitavelmente, a empresa reflete o dinamismo e o poder de transformação de uma determinada sociedade, conforme destacado por Fábio Konder Comparato,1 na aula inaugural dos Cursos Jurídicos da Faculdade de Direito da Universidade de São Paulo, em 1983. Quase 40 anos depois, e tal afirmação se mantém extremamente atual. Na sociedade informacional, as noções de estabelecimento empresarial, empresário, empresa e sociedade deixaram de ser contempladas pelo prisma estático para assumir protagonismo, uma vez que inseridos no meio ambiente institucional são, ao mesmo tempo, agentes de alteração e por ele alteradas. Pode descrever o movimento acima como a simbiose entre práticas do mercado e costumes da sociedade, percebido pelo Direito ante a constatação do deslocamento do poder econômico das sociedades e, esse, por sua vez, gravitando em "função da acumulação tecnológica e, nessa lógica de poder, a compreensão acerca da necessidade de regulação eficiente da atividade empresarial é premente"2. De fato, o poder econômico das organizações empresariais desafia constantemente o Estado,3  e a matéria sobre proteção de dados não foge à regra. Logo, os desafios aparentes ao universo jurídico se colocam em balancear e regular o domínio da tecnologia e seus usos de acordo com o art. 170 da CF/88, de um lado; e a proteção do consumidor e garantia dos direitos fundamentais, de outro.   Se a Constituição Federal brasileira é chamada de constituição cidadã, por evidenciar os contornos das relações sociais, restava, assim, definir os contornos do mercado e do uso da tecnologia, para tanto adveio o conjunto normativo formado pelo Marco Civil da Internet (MCI), lei 12.965/14 e pela Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18, voltados a regulação do uso da tecnologia. Não obstante, restava (ou resta) lançar luz aos caminhos do mercado, pois, embora Comparato e Asquini destaquem os usos e costumes como diretrizes mercadológicas, o equilíbrio das relações e a segurança jurídica do mercado requerem contornos legais claros para o seu desenvolvimento. Assim, no início de junho de 2021, foi promulgada o Marco Regulatório das Startups e do Empreendedorismo Inovador, lei complementar 182/2021, emoldurando as normas de tais modelos de negócio "inovadores", declaradamente no intuito de fomentar a atividade econômica no país. Nesta conjuntura as healthtechs se destacam, na medida em que vivem em um mercado que já se coloca como altamente regulado. As chamadas healthtechs podem ser descritas como estabelecimentos empresariais colaborativos, que buscam soluções inovadoras e tecnológicas no setor da saúde, por meio de softwares ou plataformas digitais e, assim, a melhoria ao acesso à saúde da sociedade. A saúde é reconhecida como direito fundamental e constitucionalmente garantido (art. 196 da CF/88), que deixou expresso o "acesso universal e igualitário às ações e serviços para sua promoção, proteção e recuperação" como ideal utópico da Carta Magna, relevando a importância dos players neste mercado de atuação. Para tanto, deverá verificar as disposições da Lei 8.080/1990, que prevê que são serviços de assistência à saúde aqueles destinados à sua proteção, proteção e recuperação. Trata-se, portanto, de conceito amplo que pode abranger diversas atividades, e de certa forma as denominadas healthtechs. Seja em mercados pautados em direitos fundamentais ou não, fato é que a sociedade atual exige que os empresários vislumbrem a organização da sociedade numa perspectiva holística do modelo de negócio e do mercado em que se inserem. Isto significa dizer que uma das principais preocupações precedentes dos agentes econômicos ao lançar um produto ou serviço deve ser a análise regulatória do mercado ao qual estará inserido. As regras mercadológicas de enquadramento dos modelos de negócios que opere no setor da saúde, tidos como tradicionais, não suscitam dúvidas. Todavia, aqueles que operam no setor da saúde e tenham modelo de negócio compartilhado devem se atentar às regras clássicas, tais como, quanto a se enquadrar ou não como serviço de assistência à saúde e sobre a constituição do modelo de negócio arrimada em softwares ou plataformas digitais, além das regras contemporâneas, sobre tecnologia e mercado. Mirando o contexto da tecnologia, caso o modelo de negócio se desenvolva no espaço virtual, deve-se respeitar as regras do Marco Civil da Internet (MCI), lei 12.965/14 e da Lei Geral de Proteção de Dados (LGPD), lei 13.709/18. Quanto à LGPD, os serviços prestados no setor da saúde envolvem atividades de tratamento de dados, em grande parte dados pessoais sensíveis, conceituados no art. 5, inc. II da LGPD,4 o que demanda profunda atenção destes agentes econômicos ou daqueles que pretendem atuar com produtos e serviços no setor da saúde. Tamanha a importância da matéria que a LGPD reservou a seção II, do capítulo II (que versa sobre o tratamento de dados pessoais), para dispor sobre "do tratamento de dados pessoais sensíveis", que é composta pelos artigos 11 a 13 do referido Diploma Legal, que enfatiza a aplicação de técnicas de anonimização e pseudonimização quando possível.5       Enquanto não houver regulamentação específica pela ANPD, os agentes econômicos deste setor precisam, no mínimo, seguir o determinado nas regras previstas no artigo 46 e seguintes da LGPD, adotando (a) "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito"; (b) garantindo a segurança da informação, mesmo após o término do tratamento dos dados; (c) comunicando os incidentes de segurança que possam acarretar riscos ou danos aos titulares e; (d) atendendo aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais do referido Diploma. Um olhar cuidadoso deve estar nos incidentes de segurança nestas plataformas denominadas healthtechs, tanto é que o dever de notificação (art. 48 da LGPD) foi um dos primeiros atos da ANPD6. Outro ponto de igual relevância diz respeito aos requisitos de segurança e de padrões de boas práticas e governança verifica-se que a LGPD, não à toa, reservou a seção II do Capítulo VII. Muito embora o art. 50 da LGPD contenha o verbo "poderão formular regras de boas práticas e de governança", interpretado em conjunto com o princípio da responsabilidade e prestação de contas (inc. X do art. 6º da LGPD), conclui-se que é uma obrigação dos agentes de tratamento de dados, portanto às healthtechs. Portanto, estas devem envidar esforços para estabeler as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Além disso, esta é uma forte defesa, nos termos do inc. IX do § 1°, do art. 52 da LGPD, porque ao aplicar as sanções administrativas, a ANPD poderá levar em consideração a adoção de política de boas práticas e governança.7 Entendemos que esta defesa extrapola os processos sancionatórios administrativos, podendo ser utilizada, também, nos processos judiciais e arbitrais. Por fim, sob o prisma do mercado, a recente lei complementar 182/21, Marco Legal das Startups, determina, no artigo 11, que caberá à Administração Pública promover programas de ambiente regulatório experimental (sandbox regulatório) favoráveis ao desenvolvimento das startups, afastando a incidência de normas regulatórias de sua competência, como é o caso das regras emanadas pela ANS, ANVISA e demais agências e órgãos da administração pública. Todavia, quanto à proteção de dados, de natureza constitucional (STF ADI 6390; PEC 17/2019), não pode ser afastada a incidência da LGPD, nem tão pouco a competência da ANPD nos termos do art. 55-K da LGPD que atribui exclusivamente à ANPD a aplicação de sanções administrativas por violação à LGPD. No entanto, o § 3º do art. 55-J da LGPD impõe uma atuação conjunta e coordenada de diversos órgãos reguladores de determinado setor a fim de cumprir suas atribuições com maior eficiência. Não se nega a importância econômica e sociais das denominadas healthtechs, o que restou consolidado no Marco Regulatório das Startups e do Empreendedorismo Inovador que somente limita a receita bruta da sociedade, o que se diferencia do valor de mercado da própria sociedade. Logo, para ser considerada healthtechs não há limite de valuation da sociedade empresária, mesmo porque as Startups seguem buscando a titulação de unicórnios, ou seja, sociedades privadas que possuem o valuation avaliado em múltiplos de escalonagem que alcancem a marca dos bilhões. De acordo com relatório publicado pela CB Insights, empresa privada que atua como plataforma de análise de negócios, há um vasto mercado para crescimento das healthtechs, pois é um dos modelos de negócios menos explorados do setor, ao contrário das Fintechs que dominam os topos dos rankings dos unicórnios mundiais. Acredita-se que o mercado nacional dos unicórnios ainda esteja dominado apenas por Fintechs diante do complicado e minucioso sistema regulatório que envolve o setor de saúde, no Brasil e no Mundo. Cabe, então traçarmos diretrizes para que este desenvolvimento seja sustentável assegurando-se o respeito e a eficácia dos direitos e garantias fundamentais, dentro os quais se inclui a proteção de dados pessoais. *Emanuele Pezati Franco de Moraes é mestre em Direito pela Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2017-2019). Especialista pelo programa LLM em Direito Civil da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2018-2020). Pesquisadora no grupo de pesquisa Observatório da LGPD e Observatório do MCI, ambos vinculados ao CNPq. Associada Fundadora do Instituto Avançado de Proteção de Dados - IAPD. Associada do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogada e sócia fundadora do escritório Advocacia Especializada Pezati Parceiros. Rede social - Instagram: aeppadv **Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada. __________ 1 COMPARATO, Fabio Konder. A reforma da empresa. In: Direito empresarial: estudos e pareceres. São Paulo: Saraiva, 1995, p. 3-26, p. 3. 2 MACIEL, Renata Mota; MORAES, Emanuele Pezati Franco de. A LGPD Brasileira sob a perspectiva do Direito Comercial: a base de dados como ativo relevante da empresa. In: ANPD e LGPD: desafios e perspectivas. São Paulo: Almedina, 2021, p. 117. 3 BENACHIO, Marcelo; MACIEL, Renata Mota. A LGPD sob a perspectiva da regulação do poder econômico. In: Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alterações da lei 13.853/2019. São Paulo: Almedina, 2020, p. 39-67, p. 41-42. 4 PEROLI, Kelvin. O que são dados pessoais sensíveis? Disponível aqui, acesso em 06 out. 2021. 5 POSSI, Ana Beatriz Benincasa. O que é anonimização e pseudonimização de dados? Disponível aqui, acesso em 06 out. 2021. 6 LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Dever de Notificação dos Incidentes de Segurança com Dados Pessoais - Parte 1. Disponível aqui, acesso em 06 de out. 2021.   7 Cf. LIMA, Cíntia Rosa Pereira de; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPD? Disponível aqui, acesso em 06 out.2021.