domingo, 17 de outubro de 2021

COLUNAS

  1. Home >
  2. Colunas

Migalhas de Proteção de Dados

Oferecer uma visão 360º sobre a Lei Geral de Proteção de Dados.

Nelson Rosenvald, Cristina Godoy Bernardo de Oliveira, Evandro Eduardo Seron Ruiz, Cintia Rosa Pereira de Lima e Newton De Lucca
Ao dispor Castells1 sobre a gênese de um novo mundo cuja forma e modelo inicial se fizeram sentir ao final do milênio, por meio de uma estrutura social dominante,  decorrente de uma sociedade em rede impactada pela tecnologia informacional, resultando numa economia global gerando a partir de  um mundo interdependente, a  cultura da virtualidade real, subjacente a ação e as instituições sociais, denotando-se que um tratamento específico e atual deve ser atribuído à coleta de dados pessoais com um viés protetivo. Deve-se considerar neste ambiente de base tecnológica e inovadora, tanto as questões relacionadas à IoT - Internet das Coisas2, como infraestrutura que integra a prestação de serviços de valor adicionado com capacidades de conexão física ou virtual de coisas e de pessoas, com dispositivos baseados em tecnologias da informação e comunicação, como também os aspectos relativos à privacidade e proteção dos dados pessoais, observadas as disposições da LGPD. E exatamente foi a tecnologia da informação a ferramenta primordial para a implantação efetiva dos processos de restruturação socioeconômica e formação das redes autoexpansíveis de organização da atividade humana, transformando e impactando as relações sociais econômicas. Todavia, Castell já alertava para o fato de que este novo sistema geraria ou teria uma tendencia a aumentar a desigualdade social e a polarização decorrente do crescimento simultâneo de ambos os extremos da escala social, numa visão do que denominou de capitalismo informacional, contribuindo para a exclusão social, desassociando nesta dinâmica, as pessoas, trabalhadores e consumidores.3  Será neste ambiente  que o país caminha para a  instituição  da Estratégia Brasileira de Inteligência Artificial4, com a finalidade de  nortear as ações em prol do fortalecimento da pesquisa, desenvolvimento e inovações de soluções em Inteligência Artificial, como o  seu uso consciente e  ético,  que propomos reflexões acerca da utilização de tecnologias informacionais e possível viés discriminatório atribuído a algoritmos como resultado final inesperado, que podem ser entendidos como uma série de instruções delegadas a uma máquina para resolver problemas pré-definidos.    Em alguns casos, a aplicação de algoritmos pode, de alguma forma previsível ou imprevisível, contribuir para gerar a exclusão social e a mitigação da utilização de direitos constitucionais, através de viés discriminatório, decorrentes da utilização de sistemas de inteligência artificial baseados em processo computacional. A partir de um conjunto de objetivos definidos por humanos, a IA e seus algoritmos, na efetivação de processamento de dados e informações, poderá aprender a perceber, interpretar e interagir com o ambiente externo, fazendo predições, recomendações, classificações ou decisões. Aliás, esta funcionalidade foi bem definida no PL 21/20 de autoria do Deputado Eduardo Bismark que pretende a criação do Marco da Inteligência Artificial no Brasil.5 Como subconjunto da Inteligência Artificial temos a machine learning, que se constitui em um sistema de aprendizagem de máquina, supervisionado ou não, que pode deter tecnologia de autoconstrução ou de projetar outros algoritmos e, ainda, sistemas baseados em conhecimento ou em lógica; abordagens estatísticas, inferência bayesiana, métodos de pesquisa e otimização. Os processos de automação podem incluir a capacidade do sistema de aprender a perceber, interpretar e interagir com o ambiente externo a partir das ações e das informações recebidas.  A problemática Coded Bias O documentário Coded Bias (2020), dirigido por Shalini Kantayya, investiga o viés racista e machista da Inteligência Artificial por trás dos algoritmos de reconhecimento facial e se aprofunda na análise de como as redes sociais e os algoritmos das big techs estão impactando os grupos mais marginalizados da sociedade.  Coded Bias mostra como Joy Buolamwini, mulher negra e cientista da computação do Instituto de Tecnologia de Massachussets (MIT), ao realizar pesquisas no MIT Media Lab, e posicionar rostos em frente a uma tela com dispositivo de captação de imagem por Inteligência Artificial, detectou um problema neste sistema de reconhecimento facial, consistente da falha frequente na análise de rostos, interferindo diretamente nos resultados, atribuindo a falha aos aspectos étnico-raciais. Ao sobrepor ao seu rosto uma máscara branca para prosseguir na captação facial, Joy Buolamwini teve finalmente a sua face reconhecida plenamente.  A partir desse episódio, a pesquisadora decidiu investigar como e porque este fato acontecia e quais seriam as consequências às pessoas de seu grupo étnico. Ao aprimorar a pesquisa, acabou por constatar também que grandes grupos empresariais, utilizavam-se de máquinas e algoritmos desenvolvidos para uso em reconhecimento facial e tecnologias assemelhadas, onde os resultados gerados identificavam o reconhecimento de rostos de homens brancos com muito mais exatidão, possibilitando o desenvolvimento de predições, constatações e criações de tendências e padrões de consumo, que, na realidade, possuíam um claro viés discriminatório e não inclusivo. O documentário levanta questionamentos sobre a utilização desses mecanismos tecnológicos, seja por empresas privadas ou por governos "democráticos". Entre eles, mostra como os preconceitos inerentes de suas visões de mundo são incorporados aos códigos por meio de um viés próprio, denominado pela Joy como um "olhar codificado". Apesar de estarmos cada vez mais imersos em uma sociedade inteligente do ponto de vista da tecnologia, reproduzimos em nossas máquinas, as fissuras sociais existentes no cotidiano. As pesquisas acadêmicas do MIT contribuíram para mudar legislações nos EUA e abalaram empresas de tecnologia, justamente em razão da detecção do viés tóxico e não inclusivo. Na busca de respostas ao dilema proposto por Joy Buolamwini, o documentário apresenta os resultados das pesquisas algorítmicas de Cathy O'Neil, matemática e pós-doutora pelo MIT que partiram da premissa de que as aplicações matemáticas fomentadoras da economia dos dados, eram baseadas em escolhas feitas por seres humanos falíveis, independente das suas intenções. Muitos dos modelos denominados pela Autora de Armas de Destruição Matemática, programavam preconceitos, equívocos e vieses humanos nos sistemas de software que geriam vidas. Os modelos matemáticos eram na sua ótica, opacos e seus mecanismos invisíveis a todos, exceto aos iniciados, matemáticos e cientistas da computação. As decisões, mesmo quando erradas ou danosas, estavam além de qualquer contestação, demonstrando razoável tendência de gerar a punição de classes sociais menos favorecidas e oprimidas e a multiplicação de ganhos dos mais ricos.6  A toxidade algorítmica e o viés discriminatório Esta problemática relativa ao viés discriminatório dos algoritmos e da utilização da I.A inclusive no Poder Judiciário é objeto de especial atenção tanto por parte do governo como das associações e organizações voltadas para esta temática, a exemplo do IAPD, Instituto Avançado de Proteção de Dados, que desenvolve pesquisas relacionadas a sistemas protetivos de titulares de dados pessoais e uso da tecnologia.  Neste contexto, foram apresentados por associados fundadores, em importantes congressos internacionais na Europa e no Brasil, dois estudos impactantes.  O primeiro objetivou demonstrar a necessidade de construção de políticas identitárias não  excludentes, traçando  um paralelo entre os princípios da LGPD e a Agenda 2030 da ONU, em especial no que tange aos objetivos relativos à busca do pleno e produtivo empreso e trabalho decente,  inclusive para com as pessoas com deficiência, gerando empoderamento  e inclusão social, econômica e política, independentemente da idade, gênero, deficiência, raça, etnia, origem, religião, condição econômica, garantindo a igualdade de oportunidade e reduzindo desigualdade por meio da eliminação de práticas discriminatórias. Neste ponto, alertou-se para a necessidade de se evitar que o sistema algorítmico e de coleta de dados pessoais, possa gerar viés de excludência social, principalmente aos deficientes de forma contraria ao sistema protetivo de LGPD e ao sistema previsto no EPD- Estatuto da Pessoa com Deficiência.7  Já, no evento específico sobre Inteligência Artificial, o Diretor Jurídico do IAPD, Prof. Dr. Adalberto Simão Filho e a Presidente do IAPD, Prof. Dra. Cintia Rosa Pereira de Lima, apresentaram a problemática da (in)decisão judicial e os algoritmos tóxicos, clamando pelo direito de revisão de decisões judiciais automatizadas, uma vez demonstrando que existe a  possibilidade de o algoritmo expressar de forma voluntária ou involuntária, um viés discriminatório de qualquer natureza. Demonstraram a incompatibilidade do modelo de Inteligência Artificial , com os princípios gerais do direito que conduzem o "due processo of law", invocando a resolução nº 322 do CNJ8 acerca da necessidade de adoção de medidas corretivas ao se detectar um viés discriminatório ou, ainda, de descontinuar a utilização do programa ou sistema na impossibilidade de eliminação deste  viés. Neste sentido, defenderam o direito de revisão das decisões automatizadas, reforçando a posição do capítulo II da resolução n. 332 do CNJ,  destacando que  as ferramentas ligadas à predição e algoritmos devem ser concebidas desde o início de sua formulação no conceito privacy by design, realçando a missão desafiadora tendo em vista a opacidade dos algoritmos, muitas vezes podendo ser caracterizados como tóxicos, pois ensejam vieses intoleráveis segundo o princípio da não discriminação e da transparência.9 A fragilidade e vulnerabilidade do algoritmo que registra viés indesejado, com reflexos discriminatórios e não transparentes, num desvio de percepção e de função intencional ou não, a demonstrar a necessidade de se gerar a necessária proteção à pessoa titular dos dados, também se faz sentir nas redes neurais  profundas de última geração  (DNNs) gerando situações críticas à segurança ao usuário desta tecnologia que, em ambiente de Internet das Coisas e das pessoas,  pode estar embarcada em  vários tipos de equipamentos e veículos tecnológicos, coletando dados e se utilizando de Inteligência Artificial com resultados não satisfatórios. Multiplicam-se pesquisas que demonstram problemas decorrentes de distorções na recepção e coleta de imagens e dados captados por tecnologia com o concurso de algoritmos. Neste ponto, oportuno o estudo de Kevin Eykholt e um grupo de pesquisadores, que demonstraram, que certos algoritmos utilizados são vulneráveis a exemplos contraditórios captados pelos instrumentos, resultantes perturbações de pequena magnitude adicionadas à entrada, podendo enganar esses sistemas e causar situações perigosas.  Observe-se, portanto, o algoritmo de reconhecimento facial de Coded Bias que gerava por si só a discriminação racial e, portanto, o universo de suas informações e dados pessoais captados e analisados poderia se refletir de forma equivocada, os pesquisadores comprovaram que algoritmos e instrumentos embarcados em veículos autônomos ou semiautônomos, poderiam captar sinais rodoviários nas estradas, mas que seriam registrados internamente de forma distorcidas. Como exemplo, se utilizaram de camuflagens de vários níveis em placas de trânsito e verificaram que este simples fato gerava a distorção sistêmica de resultados e altas taxas de classificação incorreta direcionadas.10  Esta constatação gerou a necessidade de se desenvolver algoritmos de aprendizagem mais resilientes. Os pesquisadores propuseram então, um algoritmo de ataque geral, criando uma metodologia própria (Robust Physical Perturbations) para gerar perturbações contraditórias visuais robustas em diferentes condições físicas por meio de testes de laboratório e de campo, com vistas a detectar e contribuir para a correção das distorções das manipulações físicas contraditórias em objetos reais.  A questão apontada dos equívocos de análise advindos da tecnologia de Inteligência Artificial e da possibilidade discriminatória, é preocupante tanto do ponto de vista da proteção da pessoa dos titulares dos dados, como também da sua aplicação na Justiça. Neste ponto, importante o escólio de Fausto Martin De Sanctis onde, para a utilização dos algoritmos, estes devem ser inatacáveis em sua ética e solidez, garantindo-se os princípios da neutralidade e da transparência.11      Pelo direito de não ser discriminado e de correção Diferentemente da denominada sociedade disciplinar, caracterizada segundo Michel Foucault, pela sua função disciplinadora de comportamentos onde o poder passa a ser aplicado sobre os corpos das pessoas, inclusive por meio da coerção física, na   sociedade do controle onde prepondera  "surveillance state" e a utilização de plataformas de base tecnológica  onde uma de suas  características  de gestão mais expressivas é exatamente a capacidade de modulação das opções e dos caminhos de interação e de acesso aos conteúdos publicados.12 Esta modulação deleuziana13 gera a redução do campo de visão e um processo de controle da visualização de informações, conteúdos, imagens e sons por meio de sistemas algoritmos que distribuem os discursos criados pelos usuários, corporações, pessoas e empresas, controlando-os indiretamente por parte daqueles que instituíram os critérios e políticas de interação dos espaços virtuais internos destas plataformas. Há um aspecto decorrente do processo de modulação, consistente da necessidade de se conhecer precisamente o perfil do agente modulável, por meio da construção de dispositivos e procedimentos de acompanhamento cotidiano de seus passos, como forma de gerar a atuação sobre o mesmo, podendo se conduzir as suas opiniões, seu comportamento e as suas opções de consumo. A utilização de modelos de Inteligência Artificial deve buscar garantir a segurança jurídica e igualdade de tratamento aos casos absolutamente iguais, a partir de amostras representativas e observância às cautelas necessárias quanto aos dados pessoais e ao segredo de justiça. Uma vez verificado viés discriminatório de qualquer natureza ou incompatibilidade do modelo de Inteligência Artificial, deverão ser adotadas medidas corretivas e/ou de salvaguardas e mecanismos de gerenciamento e mitigação dos riscos aos direitos fundamentais e exercício da cidadania. São tempos de apoio ao desenvolvimento tecnológico e a inovação, como elementos e instrumentos que possibilitam a melhoria da qualidade de vida, mas de perplexidade com certos resultados obtidos, onde se deve afastar quaisquer níveis de preconceito e de discriminação algorítmica tóxica proveniente de um "olhar codificado" como bem denomina Joy Buolamwini.  *Adalberto Simão Filho é professor Titular dos programas de Mestrado e Doutorado em Direitos Coletivos e Cidadania da UNAERP/RP. Obteve os títulos de mestre e de doutor em direito das relações sociais pela PUC/SP e de pós doutor em direito e educação pela Universidade de Coimbra.  Diretor Jurídico do Instituto Avançado de Proteção de Dados- IAPD. É autor de obras temáticas envolvendo o direito da sociedade da informação e a nova empresarialidade. **Janaina de Souza Cunha Rodrigues é profissional da área jurídica consultiva que conta com mais de quinze anos de experiência em departamentos jurídicos empresariais e escritórios de advocacia, com atuação na área empresarial e tecnológica. Associada Fundadora e membro da Comissão permanente de assuntos Jurídicos do Instituto Avançado de Proteção de Dados - IAPD.  Pesquisadora externa em grupo de estudo voltado para o Direito e a Tecnologia. Advogada Sênior do Escritório De Vivo, Castro, Cunha e Withaker Advogados, com atuação nas áreas consultivo digital e contratos. __________ 1 CASTELLS, Manuel. Fim de Milênio - A era da informação: economia, sociedade e cultura. Vol. 3: Paz e terra. São Paulo, 2012. p. 412. 2 BRASIL. Decreto nº 9.854, de 25 de junho de 2019. Institui o Plano Nacional de Internet das Coisas e dispõe sobre a Câmara de Gestão e Acompanhamento do Desenvolvimento de Sistemas de Comunicação Máquina a Máquina e Internet das Coisas. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9854.htm, acesso em 14 out. 2021. 3 CASTELLS, Manuel. Fim de Milênio - A era da informação: economia, sociedade e cultura. Vol. 3: Paz e terra. São Paulo, 2012. p. 420. 4 BRASIL. Portaria GM n.º 4.617, de 6 de abril de 2021, que institui a Estratégia Brasileira de Inteligência Artificial e seus eixos temáticos. Disponível aqui, acesso em 14 out. 2021. 5 BRASIL. PL. 21/2020 que pretende a criação do Marco da Inteligência Artificial no Brasil. Disponível aqui, acesso em 14 out. 2021. 6 CATHY O'NEIL. Algoritmos de destruição em massa. Editora Rua do Sabão: São Paulo. 2020. 7 SIMÃO FILHO, Adalberto; RODRIGUES, Janaina de Souza Cunha. Artigo em resumo denominado "Pela construção de políticas identitárias não excludentes - Um paralelo entre os princípios da LGPD e a Agenda 2030", apresentado em 12/10/21 no VI Congresso Internacional de Direitos Humanos de Coimbra- Portugal.  8 BRASIL. Conselho Nacional de Justiça. Resolução n. 332/2020. Dispõe sobre ética, a transparência e a governança na produção e no uso de Inteligência Artificial no Poder Judiciário e dá outras providências. Disponível aqui, acesso em 14 out. 2021. 9 SIMÃO FILHO, Adalberto; LIMA, Cintia Rosa Pereira de. Artigo em resumo denominado "A (In)decisão judicial e os algoritmos tóxicos", apresentado em 14/10/21 no III Seminário de Inteligência Artificial e Direito-Associação Ibero Americana de Direito e Inteligência Artificial. 10 EYKHOLT, Kevin; EVTIMOV, Ivan; FERNANDES, Earlence; LI BO; RAHMATI, Amir; XIAO, Chaowei; PRAKASH, Atul; KOHN, Tadayoshi; SONG, Dawn. Robust Physical-World Attacks on Deep Learning Visual Classification. Open access version, provid by de Computer Vision Foundation-CVF, version available on IEEE Splore. visit. 17/09/21. 11 DE SANCTIS, Fausto Martin. Inteligência Artificial e Direito.  Almedina: São Paulo. 2020. 12 SOUZA, Joyce; AVELINO, Rodolfo; SILVEIRA, Sergio Amadeu da. A sociedade de controle. Manipulação e modulação nas redes digitais. São Paulo: Editora Edra, 2018. 13 DELEUZE, Gilles. Conversações. Editora 34: São Paulo. 2013.
Indubitavelmente, a empresa reflete o dinamismo e o poder de transformação de uma determinada sociedade, conforme destacado por Fábio Konder Comparato,1 na aula inaugural dos Cursos Jurídicos da Faculdade de Direito da Universidade de São Paulo, em 1983. Quase 40 anos depois, e tal afirmação se mantém extremamente atual. Na sociedade informacional, as noções de estabelecimento empresarial, empresário, empresa e sociedade deixaram de ser contempladas pelo prisma estático para assumir protagonismo, uma vez que inseridos no meio ambiente institucional são, ao mesmo tempo, agentes de alteração e por ele alteradas. Pode descrever o movimento acima como a simbiose entre práticas do mercado e costumes da sociedade, percebido pelo Direito ante a constatação do deslocamento do poder econômico das sociedades e, esse, por sua vez, gravitando em "função da acumulação tecnológica e, nessa lógica de poder, a compreensão acerca da necessidade de regulação eficiente da atividade empresarial é premente"2. De fato, o poder econômico das organizações empresariais desafia constantemente o Estado,3  e a matéria sobre proteção de dados não foge à regra. Logo, os desafios aparentes ao universo jurídico se colocam em balancear e regular o domínio da tecnologia e seus usos de acordo com o art. 170 da CF/88, de um lado; e a proteção do consumidor e garantia dos direitos fundamentais, de outro.   Se a Constituição Federal brasileira é chamada de constituição cidadã, por evidenciar os contornos das relações sociais, restava, assim, definir os contornos do mercado e do uso da tecnologia, para tanto adveio o conjunto normativo formado pelo Marco Civil da Internet (MCI), lei 12.965/14 e pela Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18, voltados a regulação do uso da tecnologia. Não obstante, restava (ou resta) lançar luz aos caminhos do mercado, pois, embora Comparato e Asquini destaquem os usos e costumes como diretrizes mercadológicas, o equilíbrio das relações e a segurança jurídica do mercado requerem contornos legais claros para o seu desenvolvimento. Assim, no início de junho de 2021, foi promulgada o Marco Regulatório das Startups e do Empreendedorismo Inovador, lei complementar 182/2021, emoldurando as normas de tais modelos de negócio "inovadores", declaradamente no intuito de fomentar a atividade econômica no país. Nesta conjuntura as healthtechs se destacam, na medida em que vivem em um mercado que já se coloca como altamente regulado. As chamadas healthtechs podem ser descritas como estabelecimentos empresariais colaborativos, que buscam soluções inovadoras e tecnológicas no setor da saúde, por meio de softwares ou plataformas digitais e, assim, a melhoria ao acesso à saúde da sociedade. A saúde é reconhecida como direito fundamental e constitucionalmente garantido (art. 196 da CF/88), que deixou expresso o "acesso universal e igualitário às ações e serviços para sua promoção, proteção e recuperação" como ideal utópico da Carta Magna, relevando a importância dos players neste mercado de atuação. Para tanto, deverá verificar as disposições da Lei 8.080/1990, que prevê que são serviços de assistência à saúde aqueles destinados à sua proteção, proteção e recuperação. Trata-se, portanto, de conceito amplo que pode abranger diversas atividades, e de certa forma as denominadas healthtechs. Seja em mercados pautados em direitos fundamentais ou não, fato é que a sociedade atual exige que os empresários vislumbrem a organização da sociedade numa perspectiva holística do modelo de negócio e do mercado em que se inserem. Isto significa dizer que uma das principais preocupações precedentes dos agentes econômicos ao lançar um produto ou serviço deve ser a análise regulatória do mercado ao qual estará inserido. As regras mercadológicas de enquadramento dos modelos de negócios que opere no setor da saúde, tidos como tradicionais, não suscitam dúvidas. Todavia, aqueles que operam no setor da saúde e tenham modelo de negócio compartilhado devem se atentar às regras clássicas, tais como, quanto a se enquadrar ou não como serviço de assistência à saúde e sobre a constituição do modelo de negócio arrimada em softwares ou plataformas digitais, além das regras contemporâneas, sobre tecnologia e mercado. Mirando o contexto da tecnologia, caso o modelo de negócio se desenvolva no espaço virtual, deve-se respeitar as regras do Marco Civil da Internet (MCI), lei 12.965/14 e da Lei Geral de Proteção de Dados (LGPD), lei 13.709/18. Quanto à LGPD, os serviços prestados no setor da saúde envolvem atividades de tratamento de dados, em grande parte dados pessoais sensíveis, conceituados no art. 5, inc. II da LGPD,4 o que demanda profunda atenção destes agentes econômicos ou daqueles que pretendem atuar com produtos e serviços no setor da saúde. Tamanha a importância da matéria que a LGPD reservou a seção II, do capítulo II (que versa sobre o tratamento de dados pessoais), para dispor sobre "do tratamento de dados pessoais sensíveis", que é composta pelos artigos 11 a 13 do referido Diploma Legal, que enfatiza a aplicação de técnicas de anonimização e pseudonimização quando possível.5       Enquanto não houver regulamentação específica pela ANPD, os agentes econômicos deste setor precisam, no mínimo, seguir o determinado nas regras previstas no artigo 46 e seguintes da LGPD, adotando (a) "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito"; (b) garantindo a segurança da informação, mesmo após o término do tratamento dos dados; (c) comunicando os incidentes de segurança que possam acarretar riscos ou danos aos titulares e; (d) atendendo aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais do referido Diploma. Um olhar cuidadoso deve estar nos incidentes de segurança nestas plataformas denominadas healthtechs, tanto é que o dever de notificação (art. 48 da LGPD) foi um dos primeiros atos da ANPD6. Outro ponto de igual relevância diz respeito aos requisitos de segurança e de padrões de boas práticas e governança verifica-se que a LGPD, não à toa, reservou a seção II do Capítulo VII. Muito embora o art. 50 da LGPD contenha o verbo "poderão formular regras de boas práticas e de governança", interpretado em conjunto com o princípio da responsabilidade e prestação de contas (inc. X do art. 6º da LGPD), conclui-se que é uma obrigação dos agentes de tratamento de dados, portanto às healthtechs. Portanto, estas devem envidar esforços para estabeler as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Além disso, esta é uma forte defesa, nos termos do inc. IX do § 1°, do art. 52 da LGPD, porque ao aplicar as sanções administrativas, a ANPD poderá levar em consideração a adoção de política de boas práticas e governança.7 Entendemos que esta defesa extrapola os processos sancionatórios administrativos, podendo ser utilizada, também, nos processos judiciais e arbitrais. Por fim, sob o prisma do mercado, a recente lei complementar 182/21, Marco Legal das Startups, determina, no artigo 11, que caberá à Administração Pública promover programas de ambiente regulatório experimental (sandbox regulatório) favoráveis ao desenvolvimento das startups, afastando a incidência de normas regulatórias de sua competência, como é o caso das regras emanadas pela ANS, ANVISA e demais agências e órgãos da administração pública. Todavia, quanto à proteção de dados, de natureza constitucional (STF ADI 6390; PEC 17/2019), não pode ser afastada a incidência da LGPD, nem tão pouco a competência da ANPD nos termos do art. 55-K da LGPD que atribui exclusivamente à ANPD a aplicação de sanções administrativas por violação à LGPD. No entanto, o § 3º do art. 55-J da LGPD impõe uma atuação conjunta e coordenada de diversos órgãos reguladores de determinado setor a fim de cumprir suas atribuições com maior eficiência. Não se nega a importância econômica e sociais das denominadas healthtechs, o que restou consolidado no Marco Regulatório das Startups e do Empreendedorismo Inovador que somente limita a receita bruta da sociedade, o que se diferencia do valor de mercado da própria sociedade. Logo, para ser considerada healthtechs não há limite de valuation da sociedade empresária, mesmo porque as Startups seguem buscando a titulação de unicórnios, ou seja, sociedades privadas que possuem o valuation avaliado em múltiplos de escalonagem que alcancem a marca dos bilhões. De acordo com relatório publicado pela CB Insights, empresa privada que atua como plataforma de análise de negócios, há um vasto mercado para crescimento das healthtechs, pois é um dos modelos de negócios menos explorados do setor, ao contrário das Fintechs que dominam os topos dos rankings dos unicórnios mundiais. Acredita-se que o mercado nacional dos unicórnios ainda esteja dominado apenas por Fintechs diante do complicado e minucioso sistema regulatório que envolve o setor de saúde, no Brasil e no Mundo. Cabe, então traçarmos diretrizes para que este desenvolvimento seja sustentável assegurando-se o respeito e a eficácia dos direitos e garantias fundamentais, dentro os quais se inclui a proteção de dados pessoais. *Emanuele Pezati Franco de Moraes é mestre em Direito pela Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2017-2019). Especialista pelo programa LLM em Direito Civil da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2018-2020). Pesquisadora no grupo de pesquisa Observatório da LGPD e Observatório do MCI, ambos vinculados ao CNPq. Associada Fundadora do Instituto Avançado de Proteção de Dados - IAPD. Associada do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogada e sócia fundadora do escritório Advocacia Especializada Pezati Parceiros. Rede social - Instagram: aeppadv **Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada. __________ 1 COMPARATO, Fabio Konder. A reforma da empresa. In: Direito empresarial: estudos e pareceres. São Paulo: Saraiva, 1995, p. 3-26, p. 3. 2 MACIEL, Renata Mota; MORAES, Emanuele Pezati Franco de. A LGPD Brasileira sob a perspectiva do Direito Comercial: a base de dados como ativo relevante da empresa. In: ANPD e LGPD: desafios e perspectivas. São Paulo: Almedina, 2021, p. 117. 3 BENACHIO, Marcelo; MACIEL, Renata Mota. A LGPD sob a perspectiva da regulação do poder econômico. In: Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alterações da lei 13.853/2019. São Paulo: Almedina, 2020, p. 39-67, p. 41-42. 4 PEROLI, Kelvin. O que são dados pessoais sensíveis? Disponível aqui, acesso em 06 out. 2021. 5 POSSI, Ana Beatriz Benincasa. O que é anonimização e pseudonimização de dados? Disponível aqui, acesso em 06 out. 2021. 6 LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Dever de Notificação dos Incidentes de Segurança com Dados Pessoais - Parte 1. Disponível aqui, acesso em 06 de out. 2021.   7 Cf. LIMA, Cíntia Rosa Pereira de; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPD? Disponível aqui, acesso em 06 out.2021.  
Introdução  Consentir, verbo que contempla múltiplos sentidos e regências - dar consentimento, permitir, tolerar, condescender; demonstrar concordância; aquiescer; aprovar; concordar, etc.1, está na essência e no sentido do tema que vamos tratar: o processo de consentimento. As palavras e os sentidos que nelas gravitam são os pontos de contato na rede do "universo normativo" e que também é o "universo narrativo" de conceitos, princípios, modelos normativos e hermenêuticos. Como diz Judith Martins-Costa em texto lapidar - A concha do marisco abandonada e o nomos: "(...) normatizar e inseparável do narrar". (...) Daí a importância de ter presente as narrações apreendidas nos diferentes códigos sociais, a inteligibilidade da conduta normativa repousando no "caráter comunitário (comunal) das narrações que fornecem o contexto desta conduta."2 O verbo consentir é o ponto de contato dos quatro pontos cardeais da Filosofia de Kant, incorporados pelas mãos de Savigny à Escola Histórica, e elevados por Augusto Teixeira de Freitas à trajetória do Direito Privado brasileiro.3 São eles: 1) a ideia de liberdade, como um direito inato a todos os seres humanos, garantidora do pleno desenvolvimento de sua personalidade; 2) o entendimento da convivência social, como uma limitação reciproca de liberdades; 3) o respeito à pessoa humana, como base da justiça e fim da ordem social; e 4) a garantia do Direito, como condicionalidade dos arbítrios, para legitimar o emprego da coação material.4 Consentir é ato humano diretamente conectado à liberdade, podendo representar diferentes sentidos e formas de manifestação de vontade, tenha este ato efeitos jurídicos ou não. No campo jurídico, a natureza do ato de consentir pode ser ato jurídico stricto sensu ou negócio jurídico, ajustando-se ao contexto normativo de apreensão da realidade como expressão da autonomia privada.5-6 Ao longo dos tempos e da tradição social e jurídica, em particular na área da saúde, foram incorporados a este verbo múltiplos sentidos ou dele excluídos características e/ou efeitos sociais e jurídicos. A Bioética, a partir da década de 1970, concentra muitos estudos voltados ao consentimento na área da saúde, em particular na pesquisa envolvendo seres humanos. Consentir é a "concha" receptora de sentidos; usando a delicada metáfora da "concha do marisco abandonado" empregada por Martins-Costa7: (...) em uma concha jogada na areia da praia, o primitivo habitante que lhe recheava o conteúdo de há muito pode ter desaparecido e gerações de outros habitantes podem ali ter encontrado a sua morada.8      Ainda, destaco o sentido da utilização da palavra "processo" associada ao verbo "consentir"; aqui compreendido como uma cadeia de atos e/ou procedimentos, não necessariamente consecutivos ou postos de forma sequencial, que agregados ao ato de consentir lhe dão sentido e determinam os efeitos jurídicos. O processo de consentir envolve elementos intrínsecos e elementos extrínsecos na perspectiva da pessoa natural que consente. Os elementos intrínsecos relacionados à condição ou a situação do consentidor, como a capacidade psicológico-moral e jurídica; as motivações subjetivas e/ou objetivas; e a forma, escrita ou verbal. Os elementos extrínsecos, aqueles postos pela situação concreta e jurídica, essenciais ao conhecimento do consentidor para respeitar os seus direitos informativos, de personalidade e de autodeterminação. O ato de consentir deve ser realizado sem inadequações éticas9 e/ou vícios de consentimento (erro ou ignorância, dolo, coação e estado de perigo)10.  O processo de consentimento é "o ritual clínico moderno da confiança"11, seja na perspectiva bioética12, moral e jurídica.13-14 Assim, considerando a mobilidade narrativa, de sentido e de interpretação jurídica do ato de consentir, objetiva-se tratar, neste conjunto de textos, dos diferentes processos de consentimento na área da saúde. Este conjunto de textos está organizado, em três partes. Na Parte I, ora publicada, serão abordados os temas do processo de consentimento na pesquisa envolvendo seres humanos e os relativos à Lei Geral de Proteção de Dados - LGPD; lei 13.709/2018. Na Parte II, serão desenvolvidas as características do processo de consentimento na assistência à saúde e suas relações com o estabelecido na LGPD. Finalmente, na Parte III, será abordado o processo de consentimento envolvendo crianças e adolescentes em situações de pesquisa e em assistência na área da saúde, assim como a sua relação com o previsto na LGPD. Processo de Consentimento nas pesquisas clínicas envolvendo seres humanos As pesquisas clinicas envolvendo seres humanos são quaisquer estudos científicos que incluem pessoas, ou grupos de pessoas, que recebem intervenções com a finalidade de avaliar os efeitos relacionados à saúde.15 A pesquisa clínica é um gênero que abarca uma diversidade de projetos e estudos envolvendo seres humanos, conforme OMS16. Estas pesquisas podem ser chamadas também por sua espécie - os ensaios clínicos - isso é, quando ocorrem testes com a utilização, entre outros, de fármacos, células e produtos biológicos, procedimentos cirúrgicos, procedimentos radiológicos, dispositivos, tratamentos comportamentais, mudanças no processo de prestação de cuidados, inclusive preventivos.17 Particularmente, os ensaios clínicos são organizados, normalmente em duas etapas: pré-clínica e clínica. A etapa pré-clínica envolve a utilização de modelos celulares e animais18 ou simulações envolvendo modelos matemáticos. Excepcionalmente, ainda na etapa pré-clínica, podem ser realizados estudos de Fase 0 em seres humanos. São estudos com doses muito pequenas de uma molécula, que ainda está sendo desenvolvida, com finalidade de verificar se tem atividade biológica.  A etapa clínica, por outro lado, envolve diretamente seres humanos e está organizada em quatro fases, denominadas de fases I, II, III e IV. Os estudos de fase I avaliam a segurança da nova intervenção.  Na fase II, além da segurança, é avaliada a tolerabilidade associada ao seu uso. Na fase III se agrega a avaliação da eficácia da intervenção. Finalmente, na Fase IV, quando o produto já está liberado para uso assistencial, além da segurança, da tolerabilidade e da eficácia, se avaliam os eventos decorrentes do seu uso em larga escala e em situações de vida real. Estas fases são sucessivas e escalonadas, com níveis crescentes de volume de participantes, de complexidade e de exposição à nova intervenção.19 Neste contexto, o processo de consentimento, e sua respectiva formalização, é requisito obrigatório nos ensaios clínicos.20-21 O processo de consentimento deve ser a expressão de uma conduta eticamente adequada, em respeito aos Direitos Humanos, Direitos Fundamentais e Direitos de Personalidade, em especial, em respeito aos princípios da confiança, da autonomia, autodeterminação e alteridade.22-23 Portanto, o processo de consentimento deve ser integrado em todas as fases 0, I, II, III e IV, da etapa clínica do projeto e protocolos de pesquisa clínica. O participante de pesquisa de cada fase tem que ser informado das finalidades, riscos, benefícios e direitos associados, para que possa participar do processo de tomada de decisão, com a compreensão devida, para exercer o poder (=potestativo) de aceitar, não aceitar ou desistir de sua participação. O projeto de pesquisa clínica e os documentos que lhe acompanham, tais como protocolo de pesquisa, manual do pesquisador, termos de consentimento, termos de confidencialidade, termos específicos para regular o uso de dados de pesquisa e demais anexos necessários ao caso concreto, devem ser submetidos a avaliação de um ou mais Comitês de Ética em Pesquisa (CEPs).  Os CEPs devem ter composição multidisciplinar; ser credenciados às instancias governamentais e/ou institucionais que realizem pesquisa clínica e autorizados por regras de direito, autogestão e compliance. As atividades dos CEPs têm cunho avaliativo, consultivo e deliberativo, envolvendo a adequação ética, metodológica, de relevância e finalidade, de capacitação técnica e científica dos pesquisadores envolvidos e de compliance dos projetos realizados nas instituições de pesquisa. Os CEPs também podem estabelecer medidas concretas para evitar conflitos de interesse, em particular, os econômicos. A necessidade da obtenção de consentimento dos participantes integra um conjunto de Boas Práticas Clínicas, mais conhecidas pela sigla em inglês GCP - Good Clinical Practice, que orientam um modelo normativo colgado em diferentes códigos sociais, de aceitação internacional, fruto da historicidade, em busca de limitar a coisificação dos seres humanos na realização de pesquisas em saúde e como forma de garantir a autonomia da vontade e privada dos participantes de pesquisa. Inúmeros documentos relevantes regulam as atividades de pesquisa em seres humanos. A Declaração de Helsinki, originalmente de 196424 e hoje na sua 8ª Edição (2015), é uma referência fundamental. É um documento proposto pela Associação Mundial de Medicina (WMA), sem a força de ser um tratado ou legislação. Outras propostas de Boas Práticas Clínica envolvem as propostas pela European Medicines Agency (EMA)25; pela Conferência Tripartite Internacional de Harmonização (ICH harmonised tripartite guidelines. Guideline for Good Clinical Practice E6 - R2)26; o Documento das Américas27 e o Guia de Inspeção em Boas Práticas Clínicas (BPC) referente a ensaios clínicos com medicamentos e produtos biológicos - Guia n. 36/2020 proposto pela Agencia Nacional de Vigilância Sanitária (ANVISA). No cenário nacional, no que concerne normatização de pesquisas envolvendo seres humanos, não há lei específica28, mas a realização de pesquisas envolvendo os seres humanos deve respeitar os preceitos constitucionais, destacando-se o princípio norteador de todo o ordenamento, o princípio da dignidade da pessoa humana, os direitos fundamentais e sociais à saúde e a vedação de comercialização de partes do corpo, art. 199 §4ª. Também é regrado indiretamente por leis infraconstitucionais, entre elas o Código Civil Brasileiro, a lei 10.406/2002 e a lei 13.123/2015, que regula o acesso ao Patrimônio Genético. O ano de 1988, marcado pela promulgação da Constituição Federal, também marca o início da regulamentação envolvendo pesquisa com seres humanos no país - a resolução 01/1988 (revogada), publicada pelo Conselho Nacional de Saúde (CNS). Posteriormente, o marco regulatório brasileiro foi sendo alterado por duas diferentes vertentes: 1) No âmbito infralegal, as resoluções sobre pesquisa editadas Conselho Nacional de Ética em Pesquisa, via o Sistema CEP/CONEP, responsável pelo credenciamento dos CEPs no país e pela orientação de atividades em pesquisa clínica, destacamos: a Resolução 466/2012, que regula em geral a pesquisa envolvendo seres humanos na área da saúde; a Resolução 251/1997, que caracteriza as fases de pesquisa clínica e as Resoluções 441/2011 e 446/2012, relacionadas aos Biobancos. 2) As determinações da Agência Nacional de Vigilância Sanitário - ANVISA, por meio de Resoluções de Diretoria Colegiada (RDC), em particular destacamos a RDC 9/2011, RDC 10/2010 e RDC 38/2013. Estas resoluções são obrigatórias e o seu cumprimento deve ser observado por todos que realizem pesquisas clinicas no país.  Neste cenário, o processo de consentimento é exigido pelo sistema CEP/CONEP e também pela ANVISA nas situações de pesquisa clínica.  Entendemos que este processo tem momentos essenciais: o primeiro concerne ao dever de informar à pessoa convidada para ser um participante de pesquisa, que deverá receber todas as informações para compreender as finalidades, os propósitos, os riscos, os benefícios, as condições e as salvaguardas à sua integridade física, moral e psicológica projetadas na pesquisa. A segunda é diretamente conectada ao acompanhamento do participante, durante e após a realização da pesquisa, para suporte e esclarecimento de quaisquer situações ou aspectos decorrentes da pesquisa. O terceiro relaciona-se ao estabelecimento de canais de comunicação adequados e seguros para fortalecer e ampliar os graus de entendimento do participante durante todo tempo em que este estiver envolvido com a pesquisa, e até mesmo após o seu término formal. A capacidade de compreensão do participante deve ser ampla para que haja a validade do processo de consentimento. Ou seja, deve ser considerada a capacidade relacionada ao grau de desenvolvimento psicológico-moral e a capacidade jurídica.29 Portanto, a capacidade do participante deve ser avaliada e integrada durante todo assim como durante a realização da pesquisa, com a finalidade de avaliar as vulnerabilidades associadas. Para garantir a validade do processo, também deve ser considerada a forma utilizada para registrar o consentimento do participante, seja por meio de termo escrito e/ou de gravação de imagem e/ou voz.30 No que concerne a categoria jurídica do ato de consentimento, no contexto de pesquisa clínica, como diz Denise Oliveira Cezar, não tem natureza obrigacional ou contratual, mas sim pode ser para alguns um ato jurídico stricto sensu e para outros um negócio jurídico relacional, de natureza existencial, que nascerá com limites ao exercício da autonomia do participante às normas proibitivas, aos princípios de ordem pública e de bons costumes.  Nas palavras da autora: (...) é possível, que por meio de declarações, os titulares exerçam os seus direitos de personalidade, os quais poderão tomar a forma de atos jurídicos em sentido estrito ou negócios jurídicos, contanto não afetem o que têm de essencial.31 Denise Oliveira Cezar ressalta que a categoria dos negócios jurídicos relacionais, de natureza existencial, em um ambiente de ensaios clínicos, melhor caracteriza o consentimento do participante, pois estão presentes a liberdade de celebração e configuração; as declarações de vontade e os preceitos de autonomia privada; observa-se a função econômico-social das declarações e a integração a relações jurídicas de natureza relacional. A qualificação do consentimento informado na pesquisa patrocinada de medicamentos como um negócio jurídico relacional, desta forma, apreende as características que revelam as semelhanças de família com o negócio jurídico, e também as suas peculiaridades jurídicas, com o que a interpretação do TCI, conquanto esteja sujeita às regras dos demais negócios, exige a prevalência de princípios adequados à natureza da relação jurídica.32 A irrenunciabilidade e indisponibilidade dos direitos de personalidade são elementos limitadores da liberdade e da autodeterminação do participante de pesquisa. Igualmente, os responsáveis pela pesquisa devem observar os direitos de personalidade do participante, sem submeter a qualquer influência de ordem hierárquica, ou a qualquer espécie de coerção, mesmo as de ordem econômica relacionadas a recebimentos de valores monetários elevados pela participação na pesquisa, ou recebimento de medicamentos ou tratamentos terapêuticos em ofensa a sua dignidade.33 A relação contratual - negócio jurídico de natureza patrimonial - é estabelecida entre os promotores e responsáveis pela pesquisa clínica, sejam patrocinadores e seus representantes, como as Organizações Representativas de Pesquisa Clínica (ORPC), ou, em inglês, Contract Reserch Organization (CRO), instituições que albergam a pesquisa, fundações de apoio e pesquisadores e suas equipes. O participante não é figurante no contrato, mas sim é pessoa diretamente interessada e afetada por esta relação contratual complexa, de natureza relacional.34 Assim, o consentimento do participante, registrado no Termo de Consentimento Livre e Esclarecido (TCLE) ou por outra forma de documentação, é elemento objetivo de formalização do processo do consentimento, que deve integrar o projeto de pesquisa, diretamente ligado ao contrato de pesquisa. O registro do consentimento deverá conter de forma clara, inteligível todos os aspectos necessários para informar o participante da finalidade, riscos, benefícios, direitos, titularidade dos responsáveis, contatos necessários para fluência da comunicação com o pesquisador responsável ou seu representante e as instituições. Em algumas situações, poderá conter também explanação de como os dados de pesquisa serão tratados, se anonimizados, pseudonimizados ou indentificados e se serão compartilhados com outros grupos de pesquisa e/ou com patrocinadores ou financiadores da pesquisa. Nestas situações, a declaração do participante será específica para autorizar o uso de dados de pesquisa, quando originados de dados pessoais, atendendo aos requisitos da LGPD, artigo 8º. Este Termo deverá estabelecer a finalidade, a necessidade, o delineamento, os contornos, os limites e as medidas de segurança para o tratamento e divulgação dos dados de pesquisa. Ressalta-se que os responsáveis pela pesquisa serão controladores conjuntos, conforme os critérios da LGPD, artigo 5º, inciso VI. (ver item 2 deste texto). Igualmente, é importante frisar que há situações de pesquisa clínica, excepcionais, que poderá haver a liberação da obtenção do consentimento.  Por exemplo, quando houver a impossibilidade de estabelecer o contato com o participante, ou seu representante. Nesta situação, o projeto de pesquisa não poderá gerar danos ao participante, deverá ser garantido o tratamento de dados e informações de forma segura, e deverá ser comprovado, a priori, os impactos sociais positivos e benefícios decorrentes da pesquisa para a sociedade. Isto também pode ocorrer em situações nas quais os dados de pesquisa estejam anonimizados desde a sua origem. Nestas, ou em outras situações excepcionais, os pesquisadores devem solicitar e justificar, no projeto de pesquisa, encaminhado ao CEP para avaliação, esta dispensa de obtenção do consentimento. A avaliação do CEP deverá analisar as circunstâncias e as justificativas na perspectiva metodológica e de adequação ética, de boas práticas clinicas, legais e regulatórias. A ética da responsabilidade social, expressa que a garantia do progresso da ciência e da tecnologia, em um espírito de cooperação, de difusão das informações científicas e de estímulo à livre circulação e utilização do conhecimento, somente se justifica se houver a proteção do participante como interesse primário. Esta proteção não pode ser um elemento secundário a outros interesses, sejam eles científicos, políticos ou econômicos.35 Contudo, para que isso seja possível, é fundamental a transmissão adequada das informações e conhecimentos ao participante sobre a natureza, a finalidade, as etapas de desenvolvimento do projeto e sua prospectiva; assim como, as expectativas derivadas da pesquisa. O dever de informar do pesquisador e o direito de ser informado do participante da pesquisa, sob o fundamento no princípio da confiança, são elementos essencialmente relevantes ao processo de consentimento.36-37  Processo de consentimento na LGPD  O consentimento da LGPD é uma de suas bases legal de tratamento, devendo ser considerado em políticas de proteção de dados e privacidade, mas não apenas como um processo de "faz de conta".38 Neste sentido, será fundamental elencar três premissas postas na Lei Geral de Proteção de Dados, Lei 13.709/2018, diretamente relacionados às pesquisas envolvendo seres humanos na área da saúde: 1) o tratamento de dados pessoais (artigo 5º, inciso X) poderá ser realizado em situações de pesquisas, desde realizadas por órgão de pesquisa, artigo 5º, inciso XVIII (órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico); 2) a LGPD dispensa o consentimento, art. 8º, quando outras bases legais legitimarem o tratamento de dados, previstos no artigo 7º e 11.  Dentre as situações de dispensa do consentimento, em situação envolvendo a área da saúde, destacamos do artigo 7º, os incisos IV (para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais) e VII (para a proteção da vida ou da incolumidade física do titular ou de terceiro) e do artigo 11, o inciso II, letra "a" (realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis) e a letra "e" (proteção da vida ou da incolumidade física do titular ou de terceiro).39 3) a LGPD autoriza no seu artigo 13 e parágrafos, o tratamento de dados pessoais para a realização de "estudos em saúde pública", diz o artigo que os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro. Este ambiente seguro deve ser de responsabilidade do controlador ou controladores (artigo 5º, inciso VI), que no caso das pesquisas clinicas são os pesquisadores e demais responsáveis pela pesquisa.   As práticas de segurança devem estar previstas em regulamento específico e devem incluir, sempre que possível, a anonimização ou pseudonimização dos dados.  Partindo destas premissas legais, gostaríamos de focar em dois aspectos: i) a finalidade e a forma do processo de consentimento exigido pela LGPD são distintas dos necessários para a realização de pesquisas envolvendo seres humanos e ii) estes processos de consentimento não têm os mesmos efeitos jurídicos, nem são excludentes. Ambos podem ser necessários, conjuntamente ou não, de acordo com o caso concreto. A finalidade e a forma do processo de consentimento informado exigido pela LGPD, no seu artigo 8º, são distintos do processo de consentimento necessário para a realização de pesquisas com seres humanos. O consentimento na LGPD é uma das bases legitimas de tratamento de dados pessoais e dados pessoais sensíveis, portanto os seus efeitos estão circunscritos a autorização do titular para o tratamento de dados e informações pessoais, em respeito aos seus direitos de personalidade e ao princípio da autodeterminação informativa. Portanto, entendemos que o consentimento na LGPD é um ato jurídico stricto sensu, pois sua forma, finalidade e efeitos estão previamente previstos em lei. Para tratar dados de saúde, o consentimento da LGPD poderá ser dispensado para realização de assistência, proteger a integridade física e/ou de saúde do titular ou mesmo tratar o dado do titular em situações de pesquisa.40 Entretanto, é importante que se diga, que dispensar o consentimento para tratamento de dados pessoais, nas situações previstas pela LGPD, não implica em ignorar os seus princípios e regras de direitos, em particular os princípios (artigo 6º) e os direitos dos titulares (dos artigos 17 ao 22).41 A dispensa do consentimento no caso de pesquisas pela LGPD, não altera as responsabilidades inerentes aos promotores e responsáveis pela pesquisa clínica (sejam patrocinadores, instituições envolvidas e pesquisadores responsáveis) em promover ambiente seguro para o tratamento de dados pessoais e dados pessoais sensíveis relacionados aos participantes no desenvolvimento da pesquisa.  Aliás, os responsáveis da pesquisa, como controladores e/ou controladores conjuntos, devem elaborar e desenhar o projeto de pesquisa clinica contendo formas de tratamento e governança dos dados pessoais dos participantes para garantir a sua autodeterminação, inclusive para garantir a retirada do seu consentimento do participante ou o adequado compartilhamento ou mesmo o descarte dos dados. Assim, devem ser previstas e organizadas no projeto e no contrato de pesquisa, por meio de cláusulas especificas, a definição dos obrigados e de medidas de segurança concretas, conforme exigidas pela LGPD para o tratamento dos dados pessoais dos participantes de pesquisa. Também devem ser estabelecidos controles e mecanismos para auditar as bases de dados e, sempre que possível, utilizar a pseudonimização ou outras técnicas de proteção dos dados de pesquisa que oriundos de dados e informações pessoais dos participantes. Portanto, os processos de consentimento não são excludentes, mas sim poderão ser necessários conjuntamente. Assim, a dispensa do consentimento pela LGPD, nas situações de pesquisa clinica, não elimina a exigência do processo de consentimento nos projetos de pesquisa clínica, visando a atender preceitos éticos, legais e regulatórios e às diretrizes de boas práticas clínicas, que devem ser avaliados pelo CEP. Neste contexto, quando necessário também o consentimento da LGPD, este deve respeitar os requisitos do artigo 8º e poderá ser nominado como "termo de autorização para uso de dados de pesquisa" - inclusive constando em algumas situações como cláusulas contratuais "destacadas" (artigo 8º, § 1º). O termo poderá ser exigido quando houver situações em que os dados, identidade e informações dos participantes de pesquisa clínica tenham que ser divulgadas além dos limites previstos no projeto ou protocolos de pesquisa ou por situações particulares; como por exemplo, quando houver publicização das pesquisas em mídias sociais e jornalísticas; artigos científicos, congressos, ou para eventuais desenvolvedores de produtos e/ou tecnologias originadas das pesquisas, entre outras situações a serem analisadas em situações concretas.  Considerações Finais  O consentimento do participante de pesquisa clínica deve atender a todos os requisitos formais e de conteúdo, como a clareza e legibilidade na linguagem, esclarecimento dos riscos e benefícios, possíveis eventos adversos, direitos, canais de contato, entre outros.  O consentimento previsto na LGPD, a princípio, não será exigido nos casos de pesquisas clínicas ou pesquisas em saúde pública, pois estas situações têm base legal própria, previstas na LGPD, para tratamento de dados pessoais. Da mesma forma, medidas de segurança devem ser tomadas pelos controladores dos dados de pesquisa, que são os responsáveis pela pesquisa, para garantir os níveis de proteção, prevenção, segurança, controle, gestão e verificação de dados e informações dos participantes, exigidas pela LGPD.  No entanto, poderão ocorrer situações, dependendo da finalidade e uso dos dados pessoais previstos no projeto de pesquisa, em que seja necessário que o participante de pesquisa também forneça o consentimento previsto na LGPD, registrado em "termo de autorização para uso de dados de pesquisa".  O ato de consentir deve ser reconhecido e examinado em cada uma das situações empregadas, para que a "concha a do marisco abondonado" recepcione as características jurídicas adequadas, considerando a diversidade das situações para proteger e garantir ao participante de pesquisa o respeito aos seus direitos.  *Márcia Santana Fernandes é doutora em Direito (UFRGS) e pós-doutora em Medicina (UFRGS). Advogada - Sócia no escritório Santana Fernandes Advocacia e Consultoria. Professora e coordenadora Adjunta do Mestrado Profissional em Pesquisa Clínica do Hospital de Clínicas de Porto Alegre (HCPA). Pesquisadora Associada do Laboratório de Pesquisa em Bioética e Ética na Ciência do Centro de Pesquisas (LAPEBEC) do HCPA. Professora Colaboradora do PPG/Dir-PUCRS. Membro do Conselho do Instituto de Estudos Culturalistas - IEC.   Research Fellow no UZH Digital Society Initiative - Universidade de Zurique, Suíça. Diretora de Privacidade e Proteção de Dados da ÁXIOS - Educação e Consultoria em Ética Ltda. Associada Fundadora do IAPD - Instituto Avançado de Proteção de Dados. Instagram = @marciasantanafernandes. Twitter = @msfernandes.  **José Roberto Goldim é biólogo, doutor em Medicina e consultor em Bioética. Chefe do Serviço de Bioética do HCPA. Professor Titular da Escola de Medicina da PUCRS. Professor Colaborador da Faculdade de Medicina da UFRGS. Professor do Mestrado Profissional em Pesquisa Clínica do Hospital de Clínicas de Porto Alegre (HCPA). Pesquisador responsável do Laboratório de Pesquisa em Bioética e Ética na Ciência do Centro de Pesquisas (LAPEBEC) do HCPA. Research Fellow no UZH Digital Society Initiative - Universidade de Zurique, Suíça. Diretor Sócio da ÁXIOS - Educação e Consultoria em Ética Ltda. Associado Fundador do IAPD - Instituto Avançado de Proteção de Dados. Instagram = @jrgoldim __________ 1 HOUAISS, Antônio; VILLAR, Mauro de Salles; MELLO FRANCO, Francisco Manoel de Mello. Dicionário Houaiss da língua portuguesa. Rio de Janeiro: Editora Objetiva, 1ª Edição, 2001, p. 807. 2 MARTINS-COSTA, Judith. A concha do marisco abandonado e o nomos; in Narração e Normatividade - Ensaios de Direito e Literatura, MARTINS-COSTA, Judith (Cood.); São Paulo: Editora GZ, 2013, pgs. 8-11. 3 TEIXEIRA DE FREITAS, Augusto. Consolidação das Leis Civis, 3ª Edição; p. XXXII, Rio de Janeiro, 1876. 4 REALE, Miguel. A doutrina de Kant no Brasil (Notas à margem de um estudo de Clovis Bevilaqua). V. 42, p. 58-59. Revista da Faculdade de Direito, Universidade de São Paulo, 1947. 5 CEZAR, Denise Oliveira. Pesquisa com medicamentos - aspectos bioéticos. São Paulo: Editora Saraiva, 2012, p. 178 e seguintes. 6 HAICAL, Gustavo. A autorização no Direito Privado. Rio de Janeiro: Revista dos Tribunais, 2020. Recomendo esta obra a todos que desejem aprofundar a figura jurídica da autorização. 7 MARTINS-COSTA, Judith. A concha do marisco abandonado e o nomos; in Narração e Normatividade - Ensaios de Direito e Literatura, MARTINS-COSTA, Judith (Cood.); São Paulo: Editora GZ, 2013, pgs. 8-11. 8 MARTINS-COSTA, Judith. A concha do marisco abandonado e o nomos; in Narração e Normatividade - Ensaios de Direito e Literatura, MARTINS-COSTA, Judith (Cood.); São Paulo: Editora GZ, 2013, pgs. 8-11. 9 GOLDIM, José Roberto Goldim. O consentimento informado numa perspectiva além da autonomia. Revista AMRIGS, Porto Alegre, 46(3,4): 109-116, jul.-dez. 2002. Também acessível aqui. 10 Código Civil Brasileiro, lei 10.406/2002; Capítulo IV - Dos Defeitos do Negócio Jurídico; artigos 138 ao 156 e Capitulo V - Da invalidade do Negócio Jurídico. 11 WOLPE, Paul Root.The triumph of autonomy in American Bioethics: a sociological view. In: Raymond De Vires, Janardan Subedi. Bioethics and Society: constructing the ethical enterprise. Englewood Cliffs: Prentice-Hall, 1998, p. 49. 12 GOLDIM, José Roberto Goldim. Consentimento, capacidade e alteridade. In: Giovana Benetti; André Rodrigues Corrêa; Márcia Santana Fernandes; Guilherme Monteiro Nitschke; Mariana Pargendler; Laura Beck Varela. (Org.). Direito, Cultura e Método - Leituras da obra de Judith Martins-Costa. 1ed.Rio de Janeiro: GZ Editora, 2019, v. 1, p. 169-181. 13 CEZAR, Denise Oliveira. Pesquisa com medicamentos - aspectos bioéticos. São Paulo: Editora Saraiva, 2012, p. 178 e seguintes. 14 MARTINS-COSTA, Judith. A Boa-fé no Direito Privado - critérios para sua aplicação. São Paulo: Editora Marciel Pons, 2015, §21, p. 228-237. 15 Organização Mundial da Saúde (OMS), 2016, Clinical trials, acessado em 30 setembro de 2016. 16 Organização Mundial da Saúde (OMS), 2016, Clinical trials, acessado em 30 setembro de 2016. 17 Organização Mundial da Saúde (OMS), 2016, Clinical trials, acessado em 30 setembro de 2016. 18 Regulada pela lei 11.794/2008. 19 Goldim JR.  A Avaliac¸ão E'tica da Investigação Científica de Novas Drogas: A Importância da Caracterização Adequada das Fases da Pesquisa.  Rev HCPA. 2007;27(1):66-73. 20 GOLDIM, J. R. O consentimento informado e a adequação de seu uso na pesquisa em seres humanos. Tese (Doutorado em Medicina) - Faculdade de Medicina, Universidade Federal do Rio Grande do Sul, Porto Alegre, 1999. p. 37. 21 DOYAL, L.; TOBIAS, J. S. Informed consent in medical research. London: BMJ Books, 2001. p. 15-19. 22 GOLDIM, J. R. O consentimento informado e a adequação de seu uso na pesquisa em seres humanos. Tese (Doutorado em Medicina) - Faculdade de Medicina, Universidade Federal do Rio Grande do Sul, Porto Alegre, 1999. p. 31. "Vale destacar que o Código de Nuremberg foi o primeiro documento com repercussão internacional que estabeleceu padrões éticos mínimos aceitáveis para a realização de projetos envolvendo seres humanos." 23 ESTADOS UNIDOS DA AMÉRICA. Trials of war criminal before the Nuremberg Military Tribunals (Nuremberg Code). Control Council Law, Washington, v. 10, p. 181-182, 1949. 24 GOLDIM, José R.. Declaração de Helsinki I. Bioética. Acessível aqui. 25 Good Clinical Practice (GCP) - ICH guideline E6 (R2). Draft ICH principle. 26 Guideline for good clinical practice E6(R2) Current Step 4 version, 09 Nov 2016. 27 BOAS PRÁTICAS CLÍNICAS: DOCUMENTOS DAS AMÉRICAS. IV Conferência pan-americana para harmonização da regulamentação farmacêutica. 2-4 de Março de 2005.  28 CRONGRESSO NACIONAL, Câmara de Deputados do Projeto de Lei 7082/2017 para regular a pesquisa com seres humanos. 29 GOLDIM, J. R. O consentimento informado numa perspectiva além da autonomia. Revista da Amrigs, Porto Alegre, v. 46, n. 3-4, p.109-116, jul./dez. 2002. p. 110. 30 ALVES, Rainer G. de Oliveira.; FERNANDES, Márcia S.; GOLDIM, José Roberto. Autonomia, autoderterminação e incapacidade civil: uma análise sob perspectiva da Bioética e dos Direitos Humanos. R. Dir. Gar. Fund., Vitória, v. 18, n. 3, p. 239-266, set./dez. 2017.  31 CEZAR, Denise Oliveira. Pesquisa com medicamentos - aspectos bioéticos. São Paulo: Editora Saraiva, 2012, p. 205. 32 CEZAR, Denise Oliveira. Pesquisa com medicamentos - aspectos bioéticos. São Paulo: Editora Saraiva, 2012, p. 199-231. 33 GOLDIM, J. R. O consentimento informado e a adequação de seu uso na pesquisa em seres humanos. Tese (Doutorado em Medicina) - Faculdade de Medicina, Universidade Federal do Rio Grande do Sul, Porto Alegre, 1999. p. 62. "A autonomia ocorre quando o indivíduo reconhece que as regras são mutuamente consentidas, as respeita e tem a noção de que podem ser alteradas." 34 CEZAR, Denise Oliveira. Pesquisa com medicamentos - aspectos bioéticos. São Paulo: Editora Saraiva, 2012, p. 178 e seguintes. 35 JONAS, H. Ética, medicina e ética. Lisboa: Vega-Passagens, 1994. p. 135. 36 O'NEILL, O. Autonomy and trust in bioethics. Cambridge: Cambridge University, 2002. 37 FERNANDES, Márcia Santana. Bioética, Medicina e Direito de Propriedade Intelectual - relação entre patentes e células-tronco humanas. São Paulo: Editora Forense, 2012. 38 LIMA, Cintia R. P. de. Políticas de proteção de dados e privacidade e o mito do consentimento. Migalhas, 15 de janeiro de 2021.  39 SARLET, Gabrielle B. S.; FERNANDES, Márcia S.; RUARO, Regina L.. A proteção de dados no setor da saúde em face do sistema normativo brasileiro atual in Tratado de Proteção de Dados Pessoais, Coord. Mendes, Laura; Doneda, Danilo; Sarlet, Ingo W. e Rodrigues Jr.; Otávio, Rio de Janeiro: Editora Forense, 2021. 40 BARRETO, Mauricio L.; ALMEIDA, Bethânia; DONEDA, Danilo. Uso e proteção de dados pessoais na pesquisa científica, in Tratado de Proteção de Dados Pessoais, Coord. Mendes, Laura; Doneda, Danilo; Sarlet, Ingo W. e Rodrigues Jr.; Otávio, Rio de Janeiro: Editora Forense, 2021. 41 SARLET, Gabrielle B. S.; RUARO, Regina L.. O direito fundamental à proteção de dados sensíveis no sistema normativo brasileiro: uma análise acerca das hipóteses de tratamento e da obrigatoriedade do consentimento livre, esclarecido e informado sob enfoque da Lei Geral de Proteção de Dados(LGPD), lei 13.709/2018. in Tratado de Proteção de Dados Pessoais, Coord. Mendes, Laura; Doneda, Danilo; Sarlet, Ingo W. e Rodrigues Jr.; Otávio, Rio de Janeiro: Editora Forense, 2021.
A previsão de julgamentos judiciais é um dos campos mais aclamados para a área de pesquisa e atuação que combina Inteligência Artificial e Direito. Por previsão legal, entendemos um sistema inteligente capaz de prever desfechos judiciais específicos. Veremos neste artigo que esta área de estudo já se encontra avançada em alguns países do hemisfério norte enquanto dá os primeiros passos aqui no Brasil. Será que num futuro próximo todo escritório de advocacia terá sua própria "bola de cristal"? Será que irão "jogar com as regras"? Play by the rules?  Vejamos como poderá ser esse jogo. Preliminares O exercício da previsão de julgamentos judiciais não é domínio apenas de advogados especialistas e de réus agoniados. Estranhamente, um dos textos clássicos mais referenciados sobre este tema é do professor emérito de Matemática da Universidade de Arkansas, EUA, Ernest Ray Keown [KEOWN, 1980]. Neste texto de 1980, Prof. Keown aborda modelos lineares clássicos que agrupam julgamentos semelhantes em grupos temáticos, o que chamamos vizinhos próximos. Um caso novo, ainda por julgar, seria avaliado quanto à maior proximidade de um destes grupos temáticos e, consequentemente, a previsão seria a mesma dos casos deste grupo particular, o mais semelhante ao caso novo. Considero este artigo emblemático pois, logo na seção introdutória, Prof. Keown comenta outro célebre artigo, este datado de 1976, do também Prof. Emérito, L. Thorne McCarty, da Rutgers State University, que, há 45 anos atrás, aplica teorias baseadas em Inteligência Artificial para desenvolver métodos lógicos para analisar e prever decisões judiciais [MCCARTY, 1976]. Atualmente a pesquisa e atuação da previsão de julgamentos judiciais é bem extensa e muito aplicada, principalmente nos países que adotam a Common Law. O grupo do Dr. Yao atualiza a definição deste tipo de previsão como a que visa determinar as decisões judiciais pela descrição do fato de uma ação penal. Yao vai além e enfatiza as várias sub tarefas da previsão de julgamentos, ou seja, previsão de desfecho, previsão de artigo de lei, previsão de carga e condições de previsão de penalidade [YAO et al., 2021]. Todos sabemos que o núcleo central da Common Law, o uso de precedentes, não é um princípio comum do Civil Law, nosso modelo, embora se considere que o uso de precedentes tenha sido muito recorrente, especialmente após a Constituição do Brasil de 1988 [Lexecology, 2018]. Como chegamos aqui? Uma questão oportuna aqui seria: Mas por que escolher a área de Direito como aplicação? Já não existem outras áreas do conhecimento as quais a coleta de dados é mais fácil de ser realizadas e os dados mais objetivos para serem interpretados? Direito lida com argumentos, códigos e interpretações. A Inteligência Artificial (IA) já compreende todas essas frentes? Vamos por partes. Um dos ramos da IA é conhecido como Processamento de Língua Natural (PLN). PNL compreende uma vasta área de técnicas computacionais embasadas em teorias matemáticas para a análise automática e representação da linguagem humana [CAMBRIA & WHITE, 2014]. Os assistentes de voz Siri, da Apple, Google Assistente e a Alexa, da Amazon, são bons exemplos de aplicações dos conhecimentos da área de PLN. Mas e os textos? Eles não são mais difíceis de serem processados do que, por exemplo, uma tabela de produtos e valores? Sim, uma tabela que relaciona produtos e valores pode servir, por exemplo, para um site que ajuda as pessoas em pesquisa de preços de produtos, enquanto que fazer uma máquina "ler" mapa meteorológico e "escrever uma previsão do clima", por exemplo, é muito mais complicado. (Nota: essa aplicação em meteorologia também já existe.). Vale lembrar que o Direito é baseado num sistema de regras que regulam o comportamento humano. É praxe no Direito a produção de documentos logicamente organizados, não apenas no sentido semântico, mas no sentido organizacional do documento. Existe um padrão esperado de escrita que induz a um raciocínio. Regras, lógica, organização sequencial, indução ao raciocínio: são todos elementos que um cientista da Computação, um programador ou um analista de sistema tem plena afinidade profissional. Direito e Computação são áreas muito próximas, acreditem. Assim, recolher os atributos textuais de documentos legais, muito embora seja uma tarefa complexa, gera bons resultados justamente por provocar uma certa indução ao conhecimento. Esses atributos textuais, as palavras, frases, menções a artigos e fatos, entre outros elementos, contribuem para a formação de um arcabouço semântico que é singularmente captado pela Computação. O que diferencia as metodologias atuais, com forte reforço da IA, das metodologias passadas é basicamente o fato que esses atributos textuais, quando recuperados dos textos e armazenados, eram colocados todos como se num "grande saco de atributos", ou seja, sem uma ordem lógica devida, sem uma precedência ou noção de causa e efeito. Bem parecido com o famoso dito popular, "todos juntos e misturados". Atualmente, com as novas metodologias e recursos da IA, especialmente das estratégias que usam técnicas de aprendizado profundo, esses atributos são recuperados e armazenados sequencialmente, ou seja, o texto é lido e "entendido" na ordem que foi escrito. Parece sim ser muito óbvia essa abordagem sequencial, mas na lógica computacional essas máquinas que processam e consideram instâncias sequenciais, ou seja, o que implica evento após evento, são inovações recentes na Computação. Um dos primeiros casos de previsão de julgamento que tive contato foi com o trabalho do Prof. Nikolaos Aletras, da Universidade de Shefield, na Inglaterra [ALETRAS et al., 2016]. Esse grupo usou um conjunto de dados de casos do Tribunal Europeu dos Direitos Humanos, contendo casos que violam três artigos da sua Convenção. Estes artigos são: Artigo 3: Proíbe a tortura e os tratamentos desumanos e degradantes; para os quais coletaram dados de 250 processos; Artigo 6: Protege o direito a um julgamento justo; com dados de 80 processos; e Artigo 8: Concede o direito ao respeito pela vida privada e familiar, de seu lar e de sua correspondência; para qual finalmente reuniram 254 processos para este caso. Todos esses processos serviram como bases de aprendizado sobre ao qual testaram suas hipóteses de julgamento. Eles usaram um algoritmo de IA bastante conhecido, as Support Vector Machines, SVM, e obtiveram 78% na previsão de julgamento para o Artigo 3, 84% na previsão para o Artigo 6 e, novamente, 78% na previsão o Artigo 8. De maneira semelhante, a equipe do Dr. Josh Blackman, do South Texas College of Law Houston, usou a base de dados da Suprema Corte norte-americana para prever mais de 240 mil votos dos ministros e 28.000 desfechos durante quase dois séculos de operação desta corte (1816-2015) [KATZ et al., 2017]. Em todos os casos, eles obtiveram acurácia superior a 70% de acerto. A priori, esses números podem parecer tímidos, no entanto, vale refletir sobre quais seriam os eventuais resultados de um segundo julgamento por outros juízes humanos. Novidades brasileiras Tive o privilégio de orientar o acadêmico, cientista da computação, Vithor Gomes Ferreira Bertalan, atualmente buscando seu doutorado em Engenharia da Computação na Polytechnique Montréal, Canadá, no seu trabalho de mestrado entitulado "Using natural language processing methods to predict judicial outcomes". Para esse trabalho de previsão de julgamento, nosso mestre coletou dados do eSAJ, ou seja, do TJ/SP, Tribunal de Justiça de São Paulo, sobre os temas "homicídio simples", e "corrupção ativa". Formamos um banco de dados balanceado de processos eletrônicos, ou seja, com números equivalentes de condenações e absolvições, com 1.681 casos de homicídio e 786 de corrupção ativa. Fizemos um árduo trabalho de pré-processamento dos textos, por exemplo, eliminando algumas palavras tais como artigos e preposições e, na sequência, aplicamos técnicas variadas de Aprendizado de Máquina, ou seja, uma forma de IA. Foram essas: Regressão Logística, Análise de Discriminantes, Vizinhos comuns (lembram do artigo do Prof. Keown que também usou esta técnica), árvores de regressão, método ingênuo de Bayes e as SVM, ou seja, a mesma técnica do Prof. Aletras, já mencionado acima. Essa última técnica, em geral, produziu os melhores resultados nos dois grupos, todos superiores a 95% de acurácia [BERTALAN e RUIZ, 2020]. Os números falam por si só. A previsão de julgamentos está chegando. ASHLEY e BRÜNINGHAUS lá nos idos de 2009 já haviam previsto as duas áreas de maior impacto na confluência da Computação com o Direito, que são a classificação automática de processos e a previsão de julgamentos. De certa forma, a nossa suprema corte já validou a primeira área quando instituiu o Projeto Victor [PEIXOTO, 2020], um sistema de inteligência artificial para aplicação nos fluxos de análise de repercussão geral no Supremo Tribunal Federal. Só resta agora esperar pela próxima fase. E o futuro? A quem pertence as decisões: aos humanos ou às IAs? Nem tudo são flores. Harry Surden, num artigo de 2014 [SURDEN, 2014], já coloca algumas barreiras para a expansão das aplicações de PLN, IA e Direito. Relativamente às questões técnicas, existem algumas limitações bem conhecidas para a aplicação da IA no Direito. A primeira é que um modelo só será útil na medida em que a classe de casos futuros possua características pertinentes e comuns com os tópicos previamente analisados no conjunto de treinamento. Portanto, o modelo não contemplará mudanças sutis no pensamento judicial ao longo do tempo, apenas se essas mudanças surgirem para representar um tamanho considerável dos dados de treinamento. Outra questão é que nem todo escritório de advocacia terá um fluxo de casos suficientemente semelhantes entre si, de modo que o caso anterior tenha elementos úteis para prever resultados futuros. Assim, pode-se inferir que apenas os maiores escritórios de advocacia terão os ativos financeiros e tecnológicos necessários para desenvolver tais modelos. Quanto às questões sociais, outro possível problema, já conhecido da teoria da IA, é uma supergeneralização, também conhecida na área técnica como overfitting. O modelo é intrinsecamente baseado nos casos previstos para o conjunto de treinamento. Assim, se o conjunto de treinamento contiver casos tão afinados com as idiossincrasias de algumas questões judiciais, não poderá ter a adaptabilidade necessária a casos de diferentes naturezas judiciais. Por esse motivo, os dados de casos anteriores, nos quais um algoritmo de aprendizado de máquina é treinado, podem ser sistematicamente tendenciosos para levar a resultados imprecisos em futuros processos judiciais. Neste mundo novo, uma predição é certa: essas pesquisas por melhores métodos de previsão continuarão, as máquinas de IA ficarão mais "inteligentes" e poderosas do que são hoje, a qualidade dos atributos que conseguiremos recuperar dos textos será incrementada e esses métodos de previsão trarão resultados cada vez mais próximos dos resultados humanos. Certamente esse futuro será desafiador, tanto para o Direito quanto para a Computação, não espere para ver. Participe! Referências bibliográficas KEOWN, R. Mathematical models for legal prediction. Computer / Law Journal, v. 2, p. 829, 1980. MCCARTY, L. Thorne. Reflections on TAXMAN: An experiment in artificial intelligence and legal reasoning. Harv. L. Rev., v. 90, p. 837, 1976. YAO, Fanglong et al. Commonalities-, specificities-, and dependencies-enhanced multi-task learning network for judicial decision prediction. Neurocomputing, v. 433, p. 169-180, 2021. CAMBRIA, Erik; WHITE, Bebo. Jumping NLP curves: A review of natural language processing research. IEEE Computational intelligence magazine, v. 9, n. 2, p. 48-57, 2014. Lexecology. Disponível aqui. Último acesso em 20 de setembro de 2021. SURDEN, Harry. Machine learning and law. Wash. L. Rev., v. 89, p. 87, 2014. ALETRAS, Nikolaos et al. Predicting judicial decisions of the European Court of Human Rights: A natural language processing perspective. PeerJ Computer Science, v. 2, p. e93, 2016. KATZ, Daniel Martin; BOMMARITO, Michael J.; BLACKMAN, Josh. A general approach for predicting the behavior of the Supreme Court of the United States. PloS one, v. 12, n. 4, p. e0174698, 2017. BERTALAN, Vithor Gomes Ferreira. Using natural language processing methods to predict judicial outcomes. 2020. Dissertação (Mestrado em Computação Aplicada) - Faculdade de Filosofia, Ciências e Letras de Ribeirão Preto, Universidade de São Paulo, Ribeirão Preto, 2020. doi:10.11606/D.59.2020.tde-04012021-232455. Acesso em: 20 de setembro de 2021. BERTALAN, Vithor Gomes Ferreira; RUIZ, Evandro Eduardo Seron. Predicting Judicial Outcomes in the Brazilian Legal System Using Textual Features. In: [email protected] PROPOR. 2020. p. 22-32. ASHLEY, Kevin D.; BRÜNINGHAUS, Stefanie. Automatically classifying case texts and predicting outcomes. Artificial Intelligence and Law, v. 17, n. 2, p. 125-165, 2009. PEIXOTO, Fabiano Hartman. Projeto Victor: relato do desenvolvimento da Inteligência Artificial na Repercussão Geral do Supremo Tribunal Federal. Revista Brasileira de Inteligência Artificial e Direito. v. 1 n. 1, 2020. *Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP com estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD. (www.iapd.org.br).
A Lei Geral de Proteção de Dados Pessoais (lei 13.709/18) admite em seu artigo 14 (seção III, do Capítulo II) as crianças e adolescentes como titulares de dados pessoais. Ainda que assim não o fizesse, as garantias de direitos a crianças e adolescentes são uma derivação direta do seu reconhecimento constitucional como pessoa em condição de vulnerabilidade e em desenvolvimento. Significa dizer que as crianças e adolescentes devem ter resguardados e promovidos, em caráter prioritário, os direitos fundamentais e as garantias que são previstas não só no artigo 5º, como também no art. 227 e seguintes, da Constituição Federal. O caput do artigo 14 reitera esse entendimento ao reconhecer que o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado sempre em seu melhor interesse. Apesar de indicar no caput o adolescente como titular de dados pessoais, o conjunto de parágrafos do artigo 14 não deixa dúvidas acerca do seu alcance limitado a crianças, na medida em que em nenhuma outra oportunidade faz menção ao termo adolescente . A restrição é estabelecida logo no parágrafo 1º com a dicção literal: "o tratamento de dados pessoais de crianças deverá ser realizado (...)", para então, nos parágrafos subsequentes, fazer referência sempre aos termos do que está disposto neste parágrafo inicial. Significa dizer que os adolescentes terão tutelados os seus dados pessoais sempre à luz do princípio do melhor interesse, mas as regras específicas previstas no artigo 14 e seus parágrafos só serão aplicadas às situações de tratamento de dados de crianças. No que tange às crianças, além da obtenção do consentimento específico e em destaque (artigo 14, § 1º), outras obrigações são impostas aos controladores. De acordo com o parágrafo 2º, o controlador tem o dever de publicidade em relação aos tipos de dados coletados, forma de uso, bem como dos procedimentos para o exercício dos direitos dos titulares, na forma do artigo 18, LGPD. Tal imposição, de certo modo, reforça o princípio da transparência (artigo 6º, VI), que garante aos titulares informações claras e de fácil obtenção sobre as operações de tratamento e seus agentes. No mesmo sentido, o artigo 9º faculta ao titular acesso facilitado sobre seus dados pessoais. A diferença entre o mandamento de publicidade contido no parágrafo 2º do artigo 14, e da garantia de acesso do artigo 9º, LGPD, parece estar na disposição a priori e generalizada sobre o tratamento de dados de crianças, em contraposição à necessidade de solicitação individual e específica em se tratando de dados de adultos (e adolescentes). Em seguida, o parágrafo 3º do artigo 14 apresenta duas exceções à exigência do consentimento dos pais ou representantes para a coleta de dados de crianças, quais sejam, a necessidade de que esse tratamento seja realizado com o objetivo de contactar os seus responsáveis, ou para a sua imediata proteção. Importa ressaltar que a exceção à obrigatoriedade do consentimento diz respeito à atividade de tratamento específica da coleta, não alcançando as outras formas de tratamento descritas no artigo 5º, X, da LGPD, a exemplo de classificação, reprodução e distribuição. Inclusive o texto legal veda o armazenamento e compartilhamento dessa informação. Destaca-se a imprecisão do termo "proteção" para embasar a exceção ao consentimento. Andaria melhor uma conceituação mais específica, pois "proteção da criança" pode significar sua defesa, segurança, acolhimento, cuidado, amparo, ajuda, entre outros sentidos. De modo a reforçar a proteção de crianças em atividades de entretenimento na internet, o parágrafo 4º impõe que o controlador não exija o fornecimento de informações do titular além do estritamente necessário. O objetivo é evitar que se estabeleçam políticas conhecidas por "tudo ou nada", que obrigam o usuário a concordar com todas as disposições sob pena de não acessar o serviço1. No entanto, não é evidente a quais informações o legislador se refere quando determina que o controlador se restrinja às "estritamente necessárias à atividade". Cabe ressaltar que a depender do tipo de conteúdo oferecido existirá uma ampla variedade nesta esfera, a exemplo de dados de localização e acesso à câmera dos dispositivos para jogos envolvendo realidade aumentada.2 A categoria de brinquedos conectados à internet também é fonte de preocupação quanto ao volume de informações havendo o risco de se transformar em um espião dentro do quarto da criança, enviando seus dados sem o consentimento dos pais3. Além disso, caberá ao controlador os esforços para garantir que o consentimento foi de fato dado pelo responsável da criança (§ 5º) . Trata-se de uma obrigação a ser cumprida pelo agente de tratamento levando em consideração o estágio tecnológico atual. O desafio que se impõe é a garantia do envolvimento do responsável. A agência norte-americana Federal Trade Comission (FTC) traz algumas sugestões para as organizações que precisam atender a  mandamento semelhante presente no Children's Online Privacy Protection (COPPA). Para o acesso a atividades que demandam transações monetárias, a etapa da verificação parental parece se resolver mais facilmente com o uso do cartão de crédito e o sistema de notificação por compras realizadas4. A comprovação de identidade representa um desafio aos agentes de tratamento não só no âmbito do processamento de dados de crianças, mas também nas situações relacionadas ao exercício dos direitos dos titulares na forma do artigo 18. Importante ressaltar que além das duas exceções ao consentimento parental já mencionadas no § 3º (artigo 14), existem outras hipóteses que podem legitimar operações com dados de crianças. Os artigos 7º e 11, da LGPD, indicam as bases legais que autorizam o tratamento de dados pessoais e de dados pessoais sensíveis, respectivamente. No entanto, ao trazer regras específicas para o tratamento de dados pessoais de crianças e adolescentes em sessão própria (III) do capítulo II, é preciso identificar se e quais hipóteses gerais (artigos 7º e 11) se aplicam a menores. Entende-se que as bases legais constituem um rol taxativo que deve ser observado pelos controladores ao indicarem a fundamentação para o tratamento de dados pessoais. Se, dentre as bases legais previstas, não houver hipótese para o enquadramento do tratamento, restará ao controlador dois requisitos sobre os quais constituir a sua fundamentação: o consentimento do titular ou o legítimo interesse do controlador. Estas seriam bases legais residuais5. Portanto, a dinâmica no que se refere às crianças indica que o consentimento na forma como é estabelecido no artigo 14, § 1º será o requisito legal mandatório quando outras hipóteses relacionadas tanto no artigo 7º, quanto no artigo 11, não se constituírem como enquadramento adequado, ressalvado o legítimo interesse do controlador. É o caso da hipótese de cumprimento de obrigação legal ou regulatória pelo controlador (Art. 7º, II) quando, por exemplo, a instituição de ensino infantil público ou particular deve enviar dados dos alunos para o MEC para fins relacionados ao Censo Escolar. Da mesma forma, ainda em ambiente escolar, pode se fazer necessário o compartilhamento de dados da criança com determinado serviço de saúde para seu atendimento em situação de emergência. Neste caso, a legitimidade do tratamento é extraída do artigo 11, II, f: tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Há que se considerar também a hipótese de tratamento de dados de crianças pela Administração Pública para o desenvolvimento de políticas públicas em âmbito educacional ou de saúde, na forma dos artigos 7º, III e 11, II, b.  Adicionalmente pode-se entender que a base legal veiculada no artigo 7º, X, proteção do crédito, é autorizativa para a investigação de fraudes envolvendo dados de crianças (fraude contra credores ou fraude à legítima, por exemplo). A intenção aqui não é exaurir as possibilidades de tratamento de dados infantis fora da regra do artigo 14, § 1º, qual seja: consentimento de um dos pais ou responsável legal da criança, mas tão simplesmente fazer a leitura integrada com as demais hipóteses legais da LGPD. Contudo, em homenagem à posição de vulnerabilidade própria da criança deveriam as bases legais dos artigos 7º e 11 serem submetidas, a priori, ao princípio do melhor interesse? Se sim, podemos assumir que estamos diante de uma cláusula geral de força significativa, a ponto de dificultar ou mesmo impedir a aplicação dos artigos 7 º e 11? De todas as hipóteses dos artigos em referência (7 º e 11), o interesse legítimo do controlador ou de terceiro é a que mais desafia à reflexão. A primeira conclusão é a de que se o tratamento de dados pessoais precisa ser realizado nos termos do melhor interesse naquilo que lhe é especial, e com camada extra de proteção conforme o artigo 14, também o deverá ser naquilo que lhe é geral (artigos 7o e 11). Entretanto, em situação peculiar se encontra o interesse legítimo do controlador ou de terceiro (artigo 7o, IX). Neste caso, entendemos pela incompatibilidade desta base legal aplicada ao tratamento de dados de crianças e adolescentes por um motivo principal: a cláusula geral do melhor interesse se impõe como filtro antecedente tornando prejudicada a possibilidade de qualquer outro interesse prevalecer além daquele (criança ou adolescente). Nesse sentido é como entende Roberta Mauro Medina Maia para quem "(...) como se sabe, em muitos casos, a cláusula geral de legítimo interesse do controlador será utilizada justamente para que os interesses deste na coleta e no tratamento dos dados pessoais possam se sobrepor aos interesses do titular, quando eventualmente contrapostos".6 Outro motivo para apontarmos a incompatibilidade entre a aplicação do legítimo interesse e o tratamento de dados de crianças e adolescentes é o fato de estamos diante de uma base legal que é em si mesma uma cláusula geral. Assim sendo, a flexibilidade garantida à sua aplicação, ainda que limitada pela análise do caso concreto e atrelada ao princípio da finalidade, não se coaduna com o maior rigor exigido ao tratamento de dados de crianças e adolescentes. Por esse ângulo, avocando de maneira preliminar o princípio do melhor interesse, somado às características intrínsecas de flexibilidade e abertura próprias da base legal do legítimo interesse, entendemos pela impossibilidade de sua aplicação no que diz respeito ao tratamento de dados de crianças e adolescentes. Em conclusão, percebe-se que o sentido da norma do artigo 14, in totum, da LGPD, é resguardar os interesses das crianças, na medida em que consideradas sem o necessário discernimento para manifestar o consentimento para o tratamento de seus dados. E que aos adolescentes, incluídos na redação do artigo, deve ser garantida a sua plena manifestação por meio do consentimento, mas que este deverá ser sempre limitado ou filtrado pelo princípio da prioridade absoluta e do melhor interesse que guiam toda relação jurídica que tenham as crianças e os adolescentes como seus sujeitos.  Mariana Palmeira é Advogada. Professora da PUC-Rio. Pesquisadora do Legalite (Núcleo  de Pesquisa em Direito e Tecnologia). Doutoranda em Teoria do Estado e Direito Constitucional pela PUC-Rio.  Caitlin Mulholland é Professora da PUC-Rio. Coordenadora do Legalite (Núcleo  de Pesquisa em Direito e Tecnologia). Doutora em Direito Civil pela UERJ. __________ 1 TEFFÉ, Chiara Spadaccini de. Tratamento de dados pessoais de crianças e adolescentes: considerações sobre o artigo 14 da LGPD. In: Mulholland, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020. p. 171. 2 Um exemplo típico é o Pokemon GO, disponível para Android e IOS, voltado para pessoas a partir de 9 anos, conforme informação do desenvolvedor (Niantic). O jogo é uma combinação de realidade aumentada com múltiplos participantes no ambiente online (MMO). 3 LEAL, Livia Teixeira. Internet of toys: os brinquedos conectados à internet e o direito da criança e do adolescente. Revista Brasileira de Direito Civil - RBDCIVIL | Belo Horizonte, vol. 12, p. 175-187, abr./jun. 2017. 4 No entanto, para todas as demais atividades que não envolvem pagamento e que são destinadas a crianças, a verificação proposta pelo FTC conforme mencionada anteriormente, parece se mostrar distante da realidade. Como exemplo a FTC lista as seguintes sugestões: consentimento por escrito enviado ao controlador por meio de carta, fax, ou e-mail; consentimento por voz através de um número gratuito; vídeo-chamada; submissão da carteira de motorista do responsável seguida pelo envio de uma foto e do subsequente recurso de reconhecimento facial para confirmação da identidade. 5 Nesse sentido, "há também menção na LGPD a hipóteses de tratamento de dados de menores sem necessidade de consentimento. Como afirmado na primeira parte do texto, o consentimento é uma das bases legais para o tratamento de dados, mas não a única. No caso em tela, que envolve menores de idade, não foi estabelecida norma com rol específico para o tratamento de dados desses sujeitos, devendo ser aplicadas como regra, as disposições dos artigos 7o  e 11". TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (org.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 2. ed. São Paulo: Thomson Reuters Brasil, 2020. Cap. 10. p. 282-318. 6 MAIA, Roberta Mauro Medina. O legítimo interesse do controlador e o término do tratamento de dados pessoais. In: Mulholland, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020. p. 104.
sexta-feira, 10 de setembro de 2021

O que é, afinal, um "vazamento" de dados?

A grande repercussão de recentes crimes cibernéticos - usualmente do tipo ramsonware - tem atraído os olhares da população para a quantidade de dados que circula pela Rede Mundial de Computadores e para os riscos envolvidos nas atividades de tratamento. Além disso, falhas de segurança, muitas delas evitáveis e previsíveis, expõem vulnerabilidades técnicas que acirram irregularidades, evidenciando práticas que não atendem aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da proteção de dados pessoais, propiciando maior recorrência de danos. Situações assim são noticiadas pela mídia sob a alcunha de "vazamentos"1, embora este termo não corresponda a um conceito técnico. Aliás, a despeito de a Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018, ou apenas LGPD) apresentar um rol de conceitos bastante elucidativo (art. 5º), não há qualquer descrição sobre o que sejam "vazamentos" ou, em termos mais apropriados, "incidentes de segurança". Trata-se de uma omissão da lei brasileira, que, nesse aspecto, deixou de se inspirar no Regulamento UE 2016/679 (Regulamento Geral sobre a Proteção de Dados, ou RGPD) europeu, que prevê, textualmente, o conceito de "violação de dados pessoais". Tal definição consta do artigo 4º, item 12, do RGPD: "uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento".2 Na LGPD, uma leitura atenta do texto permitirá concluir que a palavra "vazamento" aparece uma única vez, no §7º do artigo 52, que é fruto da reforma empreendida pela Medida Provisória nº 869, de 27 de dezembro de 2018, posteriormente convertida na Lei nº 13.853, de 8 de julho de 2019. Não havia qualquer menção a tal palavra no texto originalmente promulgado. Aliás, no referido dispositivo, são citados os "vazamentos individuais" e os "acessos não autorizados", com expressa remissão ao artigo 46, que inaugura o capítulo da lei dedicado à segurança e às boas práticas. Consta do artigo 46, caput, da LGPD que "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." Se comparado ao artigo 4º, item 12, do RGPD, algumas semelhanças serão prontamente percebidas, embora não haja um conceito assertivo no dispositivo da lei brasileira. No caput do artigo 48, evidências mais concretas do escopo protetivo da LGPD podem ser inferidas da expressão "incidente de segurança". Não há, entretanto, absoluta clareza conceitual sobre a expressão, uma vez que o dispositivo cuida de estabelecer o dever do controlador de comunicar à Autoridade Nacional de Proteção de Dados - ANPD e ao titular a ocorrência do sobredito incidente. Uma tentativa elogiável de colmatação do abstruso conceito é fruto do labor da ANPD, que editou um guia procedimental para a comunicação de incidentes de segurança, disponibilizado em seu sítio virtual, donde consta que "um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais."3 O conceito de "incidente de segurança" proposto pela ANPD é mais detalhado do que o de "violação de dados pessoais" do regulamento europeu. Fala-se até mesmo no famigerado "vazamento", considerado espécie de incidente de segurança, assim como a perda, a alteração ou quaisquer outras formas de tratamento inadequado ou ilícito. O rol é evidentemente exemplificativo, haja vista o emprego da locução "tais como". Logo, ao menos pelo glossário que rege a interpretação feita pela autoridade brasileira, quando se fala que houve um "vazamento de dados", o que se considera é uma modalidade específica de incidente de segurança, embora não se tenha explicações mais detalhadas sobre o que o configura. Sequer a tradução da língua inglesa oferece uma explicação definitiva para o termo "vazamento", pois é usual a utilização da expressão personal data breach para se referir a tais eventos.4 A palavra breach é melhor traduzida como "violação", que é exatamente o vocábulo adotado nas versões oficiais do regulamento europeu para países de línguas românicas (derivadas do latim), a saber: Portugal, Espanha, França, Itália e Romênia.5 A palavra inglesa leak estaria melhor associada ao termo "vazamento" e a problemas de quebra da confidencialidade.6 Talvez haja alguma correlação da popularização do termo leak com a proeminência midiática das ações adotadas pelo sítio eletrônico "WikiLeaks", criado por Julian Assange e que está em operação desde 2006. No referido portal, documentos sensíveis e usualmente obtidos de forma ilícita são expostos ao público em ações de hacktivismo.7 É curioso imaginar que alguma espécie de associação do termo "vazamento" à frase "dados são o novo petróleo" ("data is the new oil"), cunhada pelo matemático Clive Humby, possa fazer algum sentido. Sabe-se que tal afirmação é uma alogia, uma vez que a informação que circula pela internet não é caracterizada pela finitude, como o é o petróleo. De qualquer forma, espera-se que a elucidação seja concretizada em ato normativo infralegal, editado pela autoridade brasileira em cumprimento à competência que lhe é imposta pela lei (art. 55-J, XIII, da LGPD). De todo modo, a falta de um conceito expresso não deve conduzir à equivocada interpretação de que certas falhas estejam fora do contexto almejado pelo legislador para a consolidação da proteção de dados pessoais no Brasil. É sempre prudente lembrar que, como prevê o artigo 49 da LGPD, "os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares." Portanto, uma leitura transversal da LGPD, corroborada por sua estrutura principiológica e por regulamentos, como os que venham a ser editados pela ANPD, permite concluir que os agentes de tratamento estão, de fato, vinculados à observância de parâmetros de prevenção contra quaisquer eventos adversos confirmados e que representem 'resultados e riscos' indesejados, a configurar espécie de tratamento irregular. Isso consta, inclusive, do artigo 44, inciso II, da LGPD, o que realça a constatação de que não há, na lei, um regime subjetivo de responsabilidade civil. Bem ao contrário, entendemos tratar-se de modalidade de responsabilidade civil objetiva especial, tal como explicado em publicação realizada em coautoria com Rafael de Freitas Valle Dresch8, que já foi corroborada, nesta coluna, em diversas publicações anteriores.9 O princípio da prevenção (art. 6º, VIII) é norma de grande importância para a estruturação dessa conclusão, pois é tal postulado que reverbera seus efeitos quanto à natureza cogente da lei - extraída da utilização do verbo 'dever' (no plural, 'devem') no caput do artigo 46 - quanto à adoção de "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais", o que é reforçado pelas circunstâncias descritas no rol de incisos do artigo 44. Em sintonia com o pensamento de Bart van der Sloot, que reconhece a 'privacidade como virtude'10, agrega-se aos citados argumentos a indução à conformidade, mediante a regulação da gestão de riscos a partir de uma noção de reciprocidade, que congrega todos os agentes envolvidos nas atividades de tratamento, em atuação cooperativa e motivada pelo rol de princípios da lei, com destaque à boa-fé (art. 6º, caput) e à transparência (art. 6º, VI), para a garantia de adequada ciência quanto ao tratamento realizado e às adversidades concernentes aos incidentes de segurança (art. 9º e art. 48, §1º). Logo, sejam os "vazamentos" considerados espécie do gênero "incidente de segurança" - como sugere a ANPD - ou uma categoria sui generis de ilícito relativo a dados pessoais, fato é que sua ocorrência será determinada pela concretude danosa de natureza patrimonial, moral, individual ou coletiva (art. 42), catalisada pela irregularidade da atividade de tratamento, cuja aferição não deverá se pautar por qualquer espécie de culpa, mas pela identificação casuística das situações acidentais ou ilícitas (art. 46) que permitam concluir, a partir de circunstâncias objetivas (art. 44, I a III), que o tratamento realizado, em qualquer de suas etapas, até mesmo após o término (art. 47), não oferece a segurança esperada pelo titular (arts. 44, caput, e 49), e desde que o nexo causal não seja excepcionalmente afastado (art. 43).  *José Luiz de Moura Faleiros Júnior é doutorando em Direito pela USP e pela UFMG. Mestre e bacharel em Direito pela Faculdade de Direito da UFU. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado e professor. __________ 1 Eventos de grandes proporções também já foram noticiados como "megavazamentos". Exemplo recente foi o que envolveu a exposição ilícita dos números de CPF de 223 milhões de brasileiros, quantidade superior à da população do Brasil, atualmente estimada em cerca de 212 milhões. 2 Disponível aqui. Acesso em: 7 set. 2021. 3 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidentes de segurança, 22 fev. 2021. Disponível aqui. Acesso em: 7 set. 2021. 4 DAVIDOFF, Sherri. Data breaches: crisis and opportunity. Boston: Addison-Wesley, 2020. p. 4-13. 5 Como foi dito, na versão oficial do RGPD, em Língua Portuguesa, fala-se em "violação de dados pessoais". Por sua vez, os demais países citados adotam as seguintes traduções: "violación de la seguridad de los datos personales" (espanhol), "violation de données à caractère personnel" (francês), "violazione dei dati personali" (italiano), "încalcarea securita?ii datelor cu caracter personal" (romeno). As traduções podem ser consultadas aqui. 6 TAMÒ-LARRIEUX, Aurelia. Designing for privacy and its legal framework: data protection by design and default for the Internet of Things. Cham/Basileia: Springer, 2018. p. 104. A autora anota: "In the early stages of this research, the term "privacy" referred to problems relating to the confidentiality of data, with the main issue being the leakage of data to unauthorized parties." 7 Para melhor compreender o tema, consultar, por todos, GREENBERG, Andy. This machine kills secrets: how WikiLeakers, cypherpunks, and hacktivists aim to free the world's information. Nova York: Dutton, 2012. 8 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (Lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coord.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019. p. 65-90. 9 Conferir, sobre o tema, a coluna de 2 de julho de 2020, com o título "A especial responsabilidade civil na Lei Geral de Proteção de Dados", escrita por Rafael de Freitas Valle Dresch (em: https://s.migalhas.com.br/S/D21584); a de 27 de novembro de 2020, intitulada "Direito fundamental à proteção de dados e responsabilidade civil", escrita pelo mesmo autor, mas em coautoria com Lílian Brandt Stein (aqui); e, ainda, a coluna de 19 de março de 2021, "O compliance e a redução equitativa da indenização na LGPD", assinada por Nelson Rosenvald (aqui).   10 VAN DER SLOOT, Bart. Privacy as virtue: moving beyond the individual in the Age of Big Data. Cambridge: Intersentia, 2017. p. 169.
Em um mundo totalmente conectado, onde dados pessoais estão sendo capturados, compartilhados, armazenados a todo momento, como podemos exercer o livre desenvolvimento da personalidade se em todo site temos nosso "eu" digital montado através desses dados? O que se entende como sociedade da informação adquiriu importância em escala mundial, fundamentado na crença de que sua consolidação favoreça a integração global nos diferentes aspectos da vida humana.1 Tornando assim, como grande dilema, o fato de registros do passado, que com a tecnologia atual capaz de dados serem armazenados eternamente, podem gerar consequências posteriormente a data em que o evento foi esquecido pela mente humana. E esse dilema é agravado pela circunstância de que os usuários da internet, cujos passos são sempre reconstruídos pelas técnicas de rastreamento são frequentemente privados da escolha quanto a técnica de obtenção de dados e quando essas informações que são recolhidas ao seu respeito.2 Stefano Rodotà afirma que muitas vezes foi dito que a tecnologia põe cada um de nós na condição de encontrar um lugar virtual no qual satisfazer nossos próprios interesses. Mas esse processo de seleção dos interesses levaria a uma maior fragmentação social, e não há fortalecimento do sentido de comunidade. Os dados disponíveis, de qualquer forma, mostram com clareza que as comunidades virtuais já oferecem também a possibilidade de estabelecer ligações sociais particularmente intensas, ou se apresenta até mesmo como único modo de se fazer parte de uma formação social para aqueles do jeito que, de outra forma, estaria condenado ao isolamento.3 Se Rodotà afirma que no ambiente virtual procuramos nossos próprios interesses, Eli Pariser coloca o contrário. Para Pariser, o futuro da personalização, e da própria computação, é uma estranha bagunça do que é real e do que é virtual. O futuro em todos os espaços, seja ele real ou virtual, possui o que os pesquisadores chamam de "inteligência ambiental". É um futuro no qual o ambiente se modifica para se adequar às nossas preferências e até ao nosso humor. E é um futuro no qual os publicitários vão desenvolver maneiras cada vez mais poderosas de distorcer a realidade para conseguir que seus produtos sejam vistos.4 E se a técnica do perfilamento digital, ou em inglês profiling, nos alcança em todas as plataformas, sites e dispositivos, tudo isso significa que nosso comportamento se transformou em uma mercadoria, um pedaço pequenino de um mercado que serve como plataforma para a personalização de toda a internet. Em última análise, a bolha dos filtros pode afetar nossa capacidade de decidir como queremos viver. Para sermos os autores da nossa própria vida temos que estar cientes da variada gama de opções e estilos de vida disponíveis.5 Quando entramos numa bolha de filtros, permitimos que as empresas que a desenvolveram escolham as opções das quais estaremos cientes. Talvez pensemos ser os donos do nosso próprio destino, mas a personalização pode nos levar a uma espécie de determinismo informativo, no qual aquilo em que clicamos no passado determina o que veremos a seguir - uma história virtual que estamos fadados a repetir. E com isso ficamos presos numa versão estática, cada vez mais estreita de quem somos - uma repetição infindável de nós mesmos.6 Mas realmente permitimos que isso tudo aconteça? Ou somos apenas obrigados a selecionar "Concordo com os Termos de Uso"? Para Mafalda Miranda Barbosa ao colocar o consentimento em pé de igualdade com outros fundamentos da licitude da recolha e tratamento de dados, a autonomia de que se cura não poderá ser vista como o objeto da tutela, mas como um pilar fundamental para o exercício de outro bem jurídico que se protege a este nível.7 O consentimento, que corporiza a autonomia, surge, a este nível, como uma forma de afastar a ilicitude de um atentado não contra a própria autonomia que se exerce, mas contra um outro bem jurídico.8 Em regra geral, o que a Lei Geral de Proteção de Dados (LGPD), no Brasil, e o Regulamento Geral de Proteção de Dados (RGPD), na União Europeia, preveem é que se o titular dos dados não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido, ou seja, a expressão "livre", prevista em ambas as leis, implica uma verdadeira escolha e controle para os titulares dos dados.9 Mas se não somos livres para concordar ou não com os termos, isso fere o que chamamos de autodeterminação informacional. E esse deve ser sempre a pedra angular sobre a qual se estrutura o tratamento dos dados pessoais. Entende-se que não é a vontade do titular dos dados que define o nível de proteção a que eles ficam sujeitos, dependendo a proteção outorgada a cada tipo ou categoria de dados da vontade do legislador, mas existe uma relação necessária entre o consentimento e a licitude da recolha e tratamento dos dados que apenas poderá ser afastada ou derrogada nos casos particulares previstos na lei.10 E como temos o direito de autodeterminar onde nossos dados estarão na internet, é importante, também, termos ferramentas para conseguir exercer esse direito. E aqui é onde o direito ao esquecimento surge para realmente exercermos a nossa vontade perante os servidores e podermos ser aquilo que somos no "mundo offline". Para Alexandre Sousa Pinheiro, quando o responsável pelo tratamento for obrigado a apagar um dado pessoal, terá que adotar as medidas que forem razoáveis para informar os responsáveis pelo tratamento e os subcontratantes sobre o apagamento. Para tanto, deverá informar sobre quais dados pessoais de que o titular dos dados solicitou o apagamento nos sites e aplicativos, bem como solicitar o apagamento das cópias, réplicas, ou reprodução deles. Este preceito trata do direito a ser esquecido em linha, que se consubstancia na adoção de medidas técnicas, por parte do responsável pelo tratamento para informar outros sites de que determinado titular requereu apagamento de seus dados pessoais.11 E o grande dilema hoje é como podemos ser nós mesmos, se tudo que fazemos está se tornando eterno? As novas tecnologias fazem do ato de esquecer, que antes era regra, exceção. Por isso precisamos de mecanismos, legais e tecnológicos, para encontrar o equilíbrio. Não se trata apenas de perdoar atitudes questionáveis, mas de assumir que ações comuns, como tirar fotos ou entabular conversas privadas, se porventura descontextualizadas não podem ser critério para definir o caráter ou a competência de alguém. O referido autor defende que as pessoas tenham total controle sobre as suas pegadas digitais: fotografias poderiam ter data de validade e ser apagadas depois de um certo tempo.12 O Direito ao Esquecimento surge como uma forma de resposta também à Liberdade de Expressão. Ao invadir a privacidade, ou mesmo, ao impedir o livre desenvolvimento da personalidade humana, poderá o ofendido, quando não existe um interesse coletivo comprovado no fato, de solicitar que a postagem que se refere a ele seja apagada e esquecida. Todavia, ao entender que ambos são direitos fundamentais, porém não absolutos, deverá a corte do juízo decidir para que lado a justiça irá pender. O direito de ser esquecido permite que um indivíduo controle seus dados pessoais se não for mais necessário para seu propósito original, ou se por algum outro motivo, desejar retirar o consentimento quanto ao seu processamento, entre outras razões.13 Permite que o usuário da internet realmente decida o que realmente define ele dentro no ambiente on-line, exercendo o livre desenvolvimento da personalidade também no âmbito virtual. Tanto que na Alemanha, na decisão do Bundesgerichtshof (BGH), de 27 de julho de 2020, traz o direito à desindexação, e, por conseguinte, o apagamento e o esquecimento como não absoluto. Mesmo que no processo tenha negado o direito à desindexação ao autor, colocando como princípio o interesse geral e a não possibilidade de desvincular os acontecimentos ao autor, a Corte foi bem clara em colocar a existência do direito ao esquecimento como um direito fundamental e que deve ser julgado em cada caso particular, ao confronto de dois ou mais direitos fundamentais.14 A eliminação que é colocada no inc. VI, da LGPD, foi apresentada de forma superficial, se comparada com a proteção que o RGPD trouxe para a União Europeia. No RGPD, a eliminação é prevista no art. 17.º como "Direito ao apagamento de dados (direito a ser esquecido)". O apagamento permite que os titulares de dados solicitem a eliminação dos seus dados pessoais quando a sua retenção ou processamento viola os termos do regulamento, em particular (mas não exclusivamente), por estarem incompletos ou imprecisos.15 O RGPD confere aos titulares dos dados pessoais o direito de solicitarem que estes sejam apagados, e os responsáveis ou os subcontratantes têm a obrigação de fazê-lo, com mais brevidade, tendo a finalidade que esse dado seja apagado ao ponto de ser esquecido. Requisitos esses que a LGPD não especificou como a legislação da União Europeia.16 O direito ao esquecimento possui uma abrangência ampla, pois envolve fatos que, por causa do fator tempo, perderam relevância histórica, de modo que sua divulgação se torna abusiva, por causar mais prejuízos aos particulares do que benefícios à sociedade. O direito ao esquecimento é um direito excecional, não podendo ser banalizado, mas sua exclusão, em sede de repercussão geral, pode implicar um grave retrocesso em face do princípio da dignidade da pessoa humana, um preceito fundamental descrito no artigo 1º, III, da Constituição Federal, consideradas ainda a privacidade e a identidade pessoal, que o compõem em sua estrutura. A exigência de norma específica, a depender da vontade legislativa, é um incentivo à inação, semelhantemente ao entendimento do próprio Supremo Tribunal Federal, que no passado sepultou a garantia fundamental do mandado de injunção.17 Sendo assim, reconhecer o Direito ao Esquecimento, pode ser a única forma para exercermos aquilo que queremos ser e o que realmente é a nossa essência. Principalmente dentro de um ambiente que estamos constantemente sendo vigiados, perfilados e sempre recebendo recomendações daquilo que acham ser interessante para cada um. *João Alexandre Silva Alves Guimarães é doutorando em Direito pela Universidade de Coimbra, Portugal. Mestre em Direito da União Europeia pela Universidade do Minho, Portugal. Associado do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC, Associado Fundador do Instituto Avançado de Proteção de Dados - IAPD, Membro do Comitê Executivo do Laboratório de Direitos Humanos - LabDH da Universidade Federal de Uberlândia e Professor de Direito na Faculdade Pitágoras - Uberlândia. __________ 1 MARTINS, Guilherme Magalhães. Responsabilidade Civil por Acidente de Consumo. Thomas Reuters: Revista dos Tribunais, 3ª Edição revista, atualizada e ampliada, São Paulo, 2020. Página 285.                                                                      2 MARTINS, Guilherme Magalhães. Responsabilidade Civil por Acidente de Consumo, cit., Página 287. 3 RODOTÀ, Stefano. A Vida na Sociedade da Vigilância: A privacidade hoje. Renovar: Rio de Janeiro, 2008. Páginas 116 e 117.      4 PARISER, Eli. O Filtro Invisível - O que a internet está escondendo de você. Tradução por Diego Alfaro. Editora Zahar. Versão para Kindle. Edição digital: março 2012. Locais do Kindle 2644-2647. 5 PARISER, Eli. O Filtro Invisível, cit., Locais do Kindle 646-647. 6 PARISER, Eli. O Filtro Invisível, cit., Locais do Kindle 250-255. 7 BARBOSA, Mafalda Miranda. Data controllers e data processors: da responsabilidade pelo tratamento de dados à responsabilidade civil. Revista de Direito Comercial, 15 de março de 2018. Página 479 e 480. 8 BARBOSA, Mafalda Miranda. Data controllers e data processors, cit., Página 480. 9 GRUPO DE TRABALHO DO ARTIGO 29.º. Orientações relativas ao consentimento na aceção do Regulamento (UE) 2016/679, Última redação revista e adotada em 10 de abril de 2018, 17/PT, WP259, rev.01. Página 6. 10 MIRADA, Jorge; MEDEIROS, Ruy. Constituição Portuguesa Anotada. Volume I, 2ª ed., Revista - Lisboa: Universidade Católica Editora, 2017. Página 574. 11 PINHEIRO, Alexandre Sousa (Coord.); COELHO, Cristina Pimenta; DUARTE, Tatiana; GONÇALVES, Carlos Jorge; GONÇALVES, Catarina Pina. Comentários ao Regulamento Geral de Proteção de Dados. Almedina, Coimbra, dezembro de 2018. Página 368. 12 MAYER-SCHÖNBERGER, Viktor. Delete, cit., p. 2. 13 SAFARI, Beata A. Intangible Privacy Rights: How Europe's GDPR Will Set a New Global Standard for Personal Data Protection. Seton Hall Law Review, Volume 47, pp. 809-848, 2017. p. 835. 14 ALEMANHA. Bundesgerichtshof. VI ZR 405/18, Verkündet am: 27. Juli 2020, OLG Frankfurt am Main. 15 GUIMARÃES, João Alexandre; MACHADO, Lecio. Comentários à Lei Geral de Proteção de Dados: lei 13.709/2018 com alterações da MPV 869/2020. Rio de Janeiro: Lumen Juris, 2020. p. 86. 16 GUIMARÃES, João Alexandre; MACHADO, Lecio. Comentários à Lei Geral de Proteção de Dados, cit., p. 87. 17 MARTINS, Guilherme Magalhães; GUIMARÃES, João Alexandre Silva Alves. Direito ao esquecimento no STF: a dignidade da pessoa humana em risco. Consultor Jurídico, 10 de fevereiro de 2021.
Na última sexta-feira,13, começou a segunda fase do Open Banking, isto é, agora será possível o compartilhamento de dados cadastrais e transacionais sobre serviços bancários (contas, crédito e pagamentos). Com a digitalização da economia, que foi acentuada durante a pandemia de covid-191, observa-se uma mudança importante no mercado financeiro, o que vem sendo acompanhado pela Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública, como evidenciado, por exemplo, na Nota Técnica 48/20202. O mercado digital maximizou a importância dos dados como ativos econômicos essenciais para garantir a entrada e a competição3. Os dados pessoais tornaram-se destaque nas discussões jurídicas atualmente, considerando a nova percepção do poder da tecnologia e o fato de que há possíveis espaços não cobertos por regulação que podem permitir que empresas - e até mesmo os próprios agentes públicos - possam violar a privacidade dos cidadãos4. Quando isso é colocado na arena econômica, os dados tornam-se verdadeiras vantagens competitivas para os players que os possuem, isso porque conhecer os dados pessoais de consumidores permite ações estratégicas de alto impacto em determinados mercados (tais como personalização de ofertas, mapeamento de hábitos e antecipação de ações dos consumidores5), principalmente no mercado financeiro. Além disso, a forma de utilização dos dados acentua a assimetria de informações entre empresas e consumidores, pois, apesar de ser o titular dos dados, o consumidor não é capaz de identificar os dados que cada empresa possui, nem como referidos dados são tratados e compartilhados. Nesse cenário, a Lei Geral de Proteção de Dados (LGPD) brasileira foi um passo importante, assim como a criação da Autoridade Nacional de Proteção de Dados (ANPD). E alinhando a proteção de dados e o direito do consumidor, as autoridades competentes brasileiras (ou seja, ANPD e Senacon) também firmaram um Acordo de Cooperação Técnica6, visando o compromisso com a harmonização de condutas, o alinhamento estratégico e o fomento à segurança jurídica, em busca do bem-estar social. Portanto, vemos a necessidade de tratar de forma interdisciplinar os assuntos. Essa análise perpassa ao movimento que observamos no mercado financeiro brasileiro, isto é, a implementação do sistema financeiro aberto ou, como é mais conhecido, o Open Banking. Em breve síntese, verifica-se, por meio do Comunicado n.º 33.455/2019 e da Resolução Conjunta n.º 01/2020 do Banco Central, que os principais objetivos da implementação do Open Banking em nosso país foram para aumentar a eficiência no mercado de crédito e de pagamento no Brasil, com a finalidade de promover um ambiente mais inclusivo e competitivo no âmbito dos negócios, de forma a preservar o sistema financeiro, bem como a proteção do consumidor. Nesse sentido, o Open Banking, além de proporcionar que a regulação acompanhe a maior utilização pelos consumidores das tecnologias, torna-se uma ferramenta de grande importância para permitir a competitividade no setor, maximizando o bem-estar do consumidor brasileiro. Para que o sistema financeiro aberto fosse implementado de forma realmente a alavancar a competitividade, as instituições financeiras de grande porte, ou seja, aquelas classificadas como S1 e S2 pelo BC, devem participar em caráter obrigatório, de modo a não recair em apenas um inter banking. Com o compartilhamento mais livre de informações sobre o consumidor - desde que ele tenha interesse nesse serviço e que dê o seu consentimento expresso - é possível que as instituições consigam obter informações essenciais para competir no mercado financeiro. No momento em que se obtém informações sobre os consumidores, é possível identificar especificamente, por exemplo, os bons pagadores ou os consumidores com alto potencial de investimento e, assim, efetivamente criar propostas personalizadas para conquistar esse consumidor do banco rival. Ainda, para consumidores com pontuação baixa de crédito, será possível analisar o seu potencial atual de pagamento, mas não o seu histórico. Tais aspectos são importantes, pois, até então, isso seria impossível. Isso porque o Banco não seria capaz de identificar o perfil de cada consumidor, ao menos não de forma tão precisa, a não ser que houvesse um relacionamento prévio com a instituição. Logo, gera-se um incentivo para a concorrência, ameniza-se a assimetria de informações, assim como diminui-se a barreira de entrada para novos agentes, acarretando potencial redução de custos dos serviços e do crédito, com oferecimento de juros mais baixos para os consumidores. Além disso, ao permitir a transferência automática dos dados por meio do Open Banking, reduz-se a burocracia para mudanças de bancos e de instituições financeiras. Essa mudança é salutar para facilitar o processo de opções para o consumidor, especialmente em relação a produtos mais específicos, não aprisionando o consumidor em determinado banco. Contudo, é também verdade que o sistema incentiva e, ao mesmo tempo, depende de uma maior educação financeira por parte dos consumidores, inclusive de modo a compreender quais são os produtos e serviços ofertados por cada um dos agentes. Observa-se, assim, que o Open Banking trará uma oportunidade para que os consumidores tenham maior conhecimento sobre o setor bancário e sobre como ele afeta as suas vidas. Nesse sentido, é importante dar destaque às iniciativas da Escola Nacional de Defesa Consumidor (ENDC) da Senacon/MSP, por meio dos cursos ofertados e voltados à educação financeira. Assim como são importantes as iniciativas conjuntas das autoridades (Banco Central, Senacon/MJSP, ANPD, CVM, MEC, etc) que promovem iniciativas que trazem instrumentos de educação financeira à realidade do consumidor. Instrumentos disruptivos como o Open Banking somente terão efetividade se forem utilizados e compreendidos pelos consumidores brasileiros de forma ampla e sem assimetrias de informação. As iniciativas de educação para o consumo são não apenas essenciais, como também estão alinhadas às melhores práticas da UNCTAC e OCDE, que incluem a educação financeira como instrumento essencial para a criação de autonomia dos consumidores e para a diminuição das assimetrias do mercado. As autoridades devem trabalhar para incentivar condições de mercado que permitam ao consumidor exercer livremente suas escolhas para migrar para o fornecedor que melhor lhe atenda, garantindo o funcionamento da economia de mercado, ao mesmo tempo em que se protege seus dados e informações pessoais, nos termos do sistema lógico-normativo do ordenamento jurídico brasileiro. É neste contexto que a atuação conjunta das autoridades se faz tão necessária para garantir os inúmeros benefícios que o Open Banking traz, principalmente no que tange à proteção de dados pessoais, como tem feito a Senacon e a ANPD, por meio do ACT firmado em março de 2021. Outro ponto importante é trazer confiança ao Sistema Nacional de Defesa do Consumidor sobre a segurança e os benefícios do sistema ao consumidor. Por esse ângulo, o Banco Central também tem se mostrado um grande colaborador da Senacon. Não somente em relação ao Open Banking, mas às diversas mudanças regulatórias que o órgão tem feito para aperfeiçoar o sistema financeiro, como o Pix. As ações conjuntas da Senacon com o SNDC e com o Bacen foram essenciais para desmistificar os novos instrumentos, aproximar o BACEN das lideranças que atuam na ponta para a defesa dos consumidores, assim como para aprimorar as propostas com base nas Notas Técnicas produzidas pela Senacon [2]. Para garantir a melhor experiência do consumidor, a atuação interinstitucional deve também imprimir estratégias efetivas de prevenção às fraudes financeiras, tal como a lançada na campanha iniciada em 11 de agosto - "Proteja seus dados. Não compartilhe" do Ministério da Justiça e Segurança Pública - com o apoio da ANPD. As instituições financeiras, em geral, têm grande preocupação com esse tipo de questão, em razão dos riscos da própria atividade. Portanto, é essencial que as medidas protetivas também sejam amplamente divulgadas para os consumidores para que eles se sintam seguros em relação a esse novo sistema. Por enquanto, apenas as instituições financeiras autorizadas pelo BC podem atuar no sistema financeiro aberto, contudo, a tendência mundial demonstra que é apenas questão de tempo para que o Open Banking também esteja disponível para além do mercado financeiro, atingindo as gigantes da tecnologia. As big techs já possuem, em grande medida, a detenção dos dados pessoais - porém não financeiros - dos consumidores, devido a sua inserção, que já é sólida no mercado digital. Futuramente, caso elas possuam os dados pessoais financeiros dos consumidores, podemos ver seu poder de mercado se expandir. Não sem razão, este é um tema sob o radar das autoridades do mundo todo. A tendência é que a inovação promova um ambiente com maior competitividade, além de promover a redução dos custos de transação. Assim, o Open Banking, ao ser utilizado conforme seu desenho institucional, tende a viabilizar opções ao consumidor e outras soluções inovadoras naturalmente maximizadas por um ambiente notadamente marcado por maior concorrência. Isto é ainda mais importante em um setor que figura entre os mais reclamados nas plataformas geridas pelo governo federal: o setor financeiro. Portanto, é muito importante que as instituições financeiras estejam em compliance com a LGPD, uma vez que toda inovação precisa ser trabalhada à luz do CDC para garantir transparência e a melhor informação disponível, de forma clara e ostensiva, ao consumidor. Respeitados os ditames do CDC, podemos presumir que haverá compromisso com a melhor experiência de Open Banking ao consumidor. A economia digital traz boas ofertas e um leque maior de soluções financeiras para o consumidor 4.0. É o momento de trabalharmos juntos para que essa experiência seja garantida, resguardando a segurança e o respeito aos direitos de privacidade, à confidencialidade, aos princípios e valores do CDC, assim como aos ditames da LGPD, no que diz respeito à integridade e à disponibilidade dos dados do Open Banking. *Juliana Oliveira Domingues é professora doutora do curso de graduação e pós-graduação em Direito da USP. Foi Visiting Scholar na Georgetown University Law School (2018). É atualmente Secretária Nacional do Consumidor do Ministério da Justiça e Segurança Pública (Senacon) e Diretora regional da Academic Society for Competition Law (ASCOLA). Líder do Grupo de Pesquisa em Direito, Inovação e Fashion Law da FDRP/USP. Instagram: @profa.julianadomingues, linkedin e Twitter: profaJuliana.  **Tatyana Chiari Paravela é mestranda e bacharel em Direito pela USP. Advogada. Linkedin. __________ 1 Pesquisa realizada pela UNCTAD aponta como o cenário de consumo digital segue fortalecido pela pandemia de COVID-19. Os consumidores passaram a usar mais o ambiente virtual para realizar compras e obter notícias. Ainda, os consumidores de países emergentes foram os que mais realizaram compras on-line. In: UNITED NATIONS CONFERENCE ON TRADE AND DEVELOPMENT. COVID-19 has changed online shopping forever, survey shows. UNCTAD, 08 de outubro de 2020. Disponível aqui. Acesso em maio de 2021. O Brasil, por exemplo, subiu 10 posições no ranking de e-commerce da UNCTAD de 2019 para 2021. In: MOREIRA, Assis. Brasil sobe 10 posições em índice de e-commerce da Unctad. Valor Investe, 17 de fevereiro de 2021. Disponível aqui. Acesso em maio de 2021. 2 Veja-se, a exemplo, Nota Técnica n.º 48/2020/CGEMM/DPDC/SENACON/MJ, elaborada pela Senacon em 2020, antes mesmo do sistema financeiro aberto entrar em operação, com o objetivo de esclarecer os objetivos do Open Banking, produzindo conclusões recomendações sobre o assunto.  3 Como definiu o The Economist em 2017, "The word's most valuable resource is no longer oil, but data". Disponível aqui. Acesso em: 21 de maio de 2021. 4 BRAUN, Daniela.  Senacon investiga Serasa pelo vazamento de dados de 223 milhões de brasileiros. Valor Econômico. Disponível aqui. Acesso em: 25 de março de 2021. 5 Sobre o uso de dados para oferecimento de ofertas personalizadas, veja-se Lina Khan in "Amazon's Antitrust Paradox", onde a autora sugere que a utilização de dados pode auxiliar as empresas (detentoras dos dados) a personalizar ofertas, mapear hábitos e antecipar ações dos consumidores que, por muitas vezes, acaba sendo uma relação com assimetria de informação. Artigo Publicado na Yale Law Journal, Volume 126, número 3, edição de janeiro de 2017, páginas 564-907. Disponível aqui. Acesso em 29/07/2020. 6 Em síntese, conforme informações extraídas do site do Governo Federal: "O acordo prevê ações conjuntas nas áreas de proteção de dados pessoais e defesa do consumidor e vão incluir intercâmbio de informações, uniformização de entendimentos, cooperação quanto a ações de fiscalização, desenvolvimento de ações de educação, formação e capacitação e elaboração de estudos e pesquisas. Ademais, um canal efetivo entre os diferentes órgãos que recebem denúncias sobre vazamentos de dados impulsiona uma rápida atuação do poder público na proteção dos direitos dos cidadãos." Disponível aqui. Acesso em: 21 de maio de 2021.
sexta-feira, 20 de agosto de 2021

A LGPD e a despersonalização da personalidade

De acordo com o art. 17 da LGPD, "Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei". O dispositivo referencia três direitos fundamentais. A conjugação entre eles transcende a visão tradicional do direito à propriedade de dados, acenando explicitamente para a sua dimensão existencial e, implicitamente para um direito fundamental autônomo à proteção de dados pessoais.  Talvez seja a hora para que, de forma sucinta, possamos estabelecer as premissas de direito civil subjacentes ao referido preceito normativo e a sua fundamentalidade como reação principiológica a uma lógica de mercado que fragiliza as premissas teóricas edificadas no final do século XX por juristas como Gustavo Tepedino, Luiz Edson Fachin, Maria Celina Bodin e Paulo Luiz Neto Lôbo.    Uma expressão consagrada em nosso direito civil constitucional é a "personalização do direito privado". Trata-se de uma ideia persuasiva que pode ser compreendida de várias formas, sendo a que me parece mais elucidativa é a da funcionalização das situações patrimoniais às existenciais, vale dizer, a repressão às iniciativas econômicas que desconsiderem a pessoa como fundamento e fonte da ordem jurídica.  Esta diretriz impulsionou doutrina e tribunais a reformular as relações de pertencimento e trânsito de titularidades, de forma a não restringir desproporcionalmente direitos fundamentais. Tal movimento antropocêntrico é claramente aferível no RE 466.343/2008, oportunidade em que o Supremo Tribunal Federal afastou a possibilidade de prisão civil do depositário infiel como sanção por inadimplemento nos contratos de alienação fiduciária.1 Outrossim, o traço da personalização do direito civil é patente na Súmula 364 do STJ,2 ao estender a proteção do bem de família aos "singles", pois, a par da garantia geral dos credores, toda pessoa tem uma parcela de seu patrimônio afetada ao seu mínimo existencial.  Contudo, no campo negocial nem sempre é singela a distinção entre os espaços existenciais e patrimoniais. Como veste jurídico-formal de operações econômicas - na acepção de Roppo -, os contratos se adaptam as transformações socioculturais e não raro aquilo que a manualística descreve como direitos da personalidade convive pacificamente com o propósito lucrativo. Já estamos habituados com negócios jurídicos que refletem a prática social de aproveitamento da dimensão patrimonial de direitos de imagem, nome e privacidade, nos quais o consentimento do titular atua como permissão para a cessão onerosa do exercício de atributos existenciais, pela fixação de um preço para a intromissão por parte de terceiros em aspectos antes impenetráveis pelo mercado.  Como resposta a esta imprecisão quanto às fronteiras entre o "eu" e o mercado, a doutrina passou a considerar uma "relativa indisponibilidade" dos direitos da personalidade, no sentido de que o atributo da intransmissibilidade a que se refere o art. 11 do Código Civil3 concerne ao conteúdo das projeções existenciais, mas não à possibilidade de exercício temporário por outras pessoas naturais ou jurídicas, em contratos cujo objeto seja delimitado. Da mesma forma, deu-se interpretação mais ampla a parte final do referido dispositivo para se admitir a limitação voluntária de direitos da personalidade, considerando-se que, seguindo o livre desenvolvimento da personalidade, qualquer pessoa pode praticar atos de autocontenção da integridade psicofísica ou de sua intimidade, desde que se trate de prática socialmente justificada; evidencie-se o legítimo interesse do titular (e não um ato de heteronomia); seja o ato de limitação voluntária revogável a qualquer tempo e, por último, não ofenda Interesse de  terceiros. Podemos ilustrar nestes critérios objetivos, a decisão de um lutador de participar de um campeonato de vale-tudo, ou a deliberação de qualquer pessoa de expor os aspectos recônditos de sua vida nas redes sociais.  Nada obstante, mesmo nesta turva mescla entre os nossos atributos essenciais e as exigências de afirmação da pessoa na ordem do mercado, dois muros de contenção ainda permanecem de pé:  A um, o vínculo orgânico entre a pessoa e os direitos da personalidade, tornando-os indestacáveis de seu titular, inviabilizando a transferência do nosso "cerne", seja a título gratuito como oneroso. Aquilo "que somos" não pode ser expropriado. Mantém-se o controle humano sobre o objeto, limites e duração dos atos negociais referentes às parcelas econômicas da personalidade, pois como requisito de validade, o contrato requer o consentimento livre e esclarecido do cedente.  Em síntese, as situações existenciais ainda preservam o discrimen teórico perante as situações patrimoniais, pois se propriedade e créditos podem ser fraturados do titular, alienados e cedidos, preserva-se a aderência do ser humano ao seu modo de ser, pela potestade inerente aos direitos da personalidade de sujeitar a sociedade e o estado a não se imiscuir naquilo que constitui a pessoa, evitando-se a usurpação do que nos é indissociável.  A dois, em comum, as situações existenciais e patrimoniais se adequam ao conceito de "direitos subjetivos" pelo seu fundamento excludente. Tradicionalmente, assegura-se ao proprietário e ao contratante uma reserva de fruição de suas titularidades, associada à faculdade de afastar o poder público e particulares do monopólio do conteúdo de exploração, dotando tais direitos de tutelas inibitória e ressarcitória, sem se excluir uma pretensão reivindicatória em caso de violação à reserva de pertencimento. Igualmente, direitos da personalidade são dotados de uma eficácia defensiva em níveis preventivo e repressivo (art. 12, CC),4 tutelando-se os bens jurídicos intrínsecos não apenas em face de lesões - pela pretensão de reparação por danos extrapatrimoniais (art. 927, CC)5 - como diante de qualquer ameaça de prática ou reiteração de ilícitos, independentemente da ocorrência de um dano (parágrafo único, art. 497, CPC).6  Todavia, os direitos da personalidade transcendem os direitos subjetivos patrimoniais, por também serem dotados de uma eficácia ativa. Ao contrário da lógica econômica dos direitos patrimoniais, limitada ao direito de excluir, as situações jurídicas existenciais demandam o direito do ser humano à inclusão em sociedade. Não se trata apenas de um dever de proteção, mas também um dever de promoção, pois como reflete Dworkin,7 a dignidade é limite e tarefa, possuindo uma voz passiva e uma voz ativa que se conectam. A dimensão positiva da personalidade é materializada pelo livre desenvolvimento da personalidade no que concerne às deliberações existenciais fundamentais. Aqui ingressa a esfera de autodeterminação, pois o Estado Democrático de Direito reconhece no ser humano uma fonte de escolhas íntimas que deverão ser respeitadas.  A eficácia promocional das situações existenciais permite que a pessoa afirme o seu modo de ser, tornando-se protagonista de sua própria biografia, evitando-se a sua instrumentalização para fins heterônomos. Podemos ilustrar com a decisão do Supremo Tribunal Federal8 que permite a antecipação terapêutica do parto em caso de diagnóstico de anencefalia, prevalecendo a intimidade da gestante e a tutela a sua integridade psicofísica diante da inviabilidade de uma vida, afastando-se juízos morais estatais heterônomos. No mesmo diapasão, lembre-se decisão do STF9 quanto à extensão da união estável à casais homoafetivos. Em sociedades plurais, privilegia-se a privacidade do par em detrimento de uma concepção taxativa de entidades familiares. A autonomia existencial, implicitamente aludida no art. 15 do Código Civil,10 converte o consentimento informado em chave para a permissão de intervenções cirúrgicas ou tratamento, efetivação de negócios jurídicos que envolvam doação de órgãos e diretivas antecipadas quanto à vedação de distana'sia ou procedimentos médicos desproporcionais em situações de terminalidade da vida.  Entretanto, o cenário tecnológico disruptivo rapidamente erode os dois referidos muros de contenção que sustentam as colunas antropocêntricas daquilo que se convencionou chamar de "personalização do direito privado". Principiando pela afirmação dos direitos da personalidade em nível constitucional e legislativo, passando por um segundo momento de sua adaptação a economia de mercado - no qual a precificação de emanações comportamentais ainda encontra limites bem definidos - alcançamos um terceiro estágio, que denominamos "despersonalização da personalidade", materializável em três movimentos que subvertem as premissas humanistas do direito civil constitucional: a expropriação da personalidade; a ameaça à autonomia humana através de um ataque à consciência e a conversão do ser humano em um projeto de personalização. Relativamente à expropriação da personalidade, como coloca Shoshana Zuboff,11 o intitulado "capitalismo de vigilância" não consiste em uma nova tecnologia, mas em uma nova forma de mercado que reivindica de maneira unilateral a experiência humana como matéria-prima gratuita para a tradução em dados comportamentais que são disponibilizados no mercado como produtos de predição que antecipam e modelam comportamentos futuros. A visão kantiana do ser humano como fim em si12 é desvirtuada por um instrumentalismo, cuja base é a expropriação de nossa personalidade em prol de finalidades alheias, pois a própria sociedade se torna objeto de extração e controle.  A realidade digital converte situações existenciais em uma nova propriedade baseada na despossessão da essência daquilo que nos define, através de uma modificação comportamental, cujo legado de danos pode custar a nossa própria humanidade. A edificação do livre-arbítrio proveniente da narrativa liberal provavelmente se desintegrará quando, mesmo em sociedades supostamente livres, depararmo-nos diariamente com instituições, corporações e agências governamentais que compreendem e manipulam o que até então era nosso inacessível reino interior.13 Nesta inédita forma de mercado a pessoa se atomiza no individuo, mero conjunto de algoritmos passíveis de comercialização. Infere-se que a noção de expropriação da personalidade rompe com um dos muros de contenção das situações existenciais, pois a renderização da experiência humana não equivale a uma simples cessão temporária do exercício econômico de nossa imagem, intimidade ou nome, porém do próprio confisco do conteúdo daquilo que nos singulariza, para posterior operação lucrativa no insaciável mercado de comportamento futuro. Em síntese, ao contrário da previsão do art. 11 do Código Civil, os direitos da personalidade se tornam "absolutamente disponíveis" e suscetíveis de limitação heterônoma.  Prosseguindo, o segundo movimento de "despersonalização da personalidade" consiste na ameaça à autonomia humana através de um ataque à consciência. A autonomia é a pedra angular do direito privado, significando a "regulação pelo eu", não apenas na órbita econômica - filtrada pelo conceito de "capacidade" - como pela aptidão da pessoa gerir os seus pensamentos, emoções e desejos. Paradoxalmente, o processo de despossessão do "eu" se dá em dois níveis: não apenas dispensa o nosso consentimento (informado ou não), como a nossa própria consciência quanto à expropriação da experiência humana. Não se trata de uma violação ao direito de escolha por meio de contrato de adesão, porém do emprego de técnicas que induzem à modificação comportamental, substituindo o imperativo categórico Kantiano por imperativos de predição. Como explica Sartre,14 não basta ter vontade, é necessário ter "vontade de ter vontade". A habilidade de premeditação e a autoconsciência nos tornam serem autônomos que projetam escolhas e realizam julgamentos morais. Perde-se este fator civilizatório quando ferramentas de predição tomam de assalto a mente inconsciente, intervindo no momento certo para em um "nudge" provocar uma contratação de bens ou serviços, impondo uma alteração no futuro a revelia do sujeito.15 O inusitado é que a expropriação da experiência humana não se dirige às informações escritas, componentes verbais ou imagens. Na economia da emoção, não somos escrutinizados   pelo conteúdo, e sim de maneira sutil e oblíqua, pela forma como escrevemos, nossa respiração, tom de voz e um conjunto de metadados que decifram a pessoa, viabilizando a transferência do poder decisório. Quando sorrateiramente se liquefaz o livre-arbítrio, o indivíduo se submete a leis externas, sendo exilado do controle sobre o tempo futuro, pois onde reinava o "eu farei", entra em cena o "você fará". A preocupação expressa por Klaus Schwab16 dedicada à 4 revolução industrial é que os tomadores de decisão costumam ser levados pelo pensamento tradicional linear (e sem ruptura) ou costumam estar muito absorvidos por preocupações imediatas e não conseguem pensar de forma estratégica sobre as forças de ruptura e inovação que moldam nosso futuro. Como terceiro e derradeiro movimento de despersonalização da personalidade temos um deliberado "projeto de personalização" que camufla a própria coisificação da pessoa. O termo "personalizar" que outrora significava colocar o direito a serviço da pessoa, assume nova conotação. Pode-se dizer que não passa de um eufemismo para a monetização da vida em troca de segurança, serviços e conveniência. A personalização como ferramenta de marketing para que a pessoa tenha acesso à exclusividade, on-line e off-line. Não se trata de um acesso ao mínimo, senão ao máximo existencial, onde o supérfluo assumes ares de necessário. Produtos inteligentes feitos sob medida para as vicissitudes de cada pessoa - casas, roupas, relógios - potencializam a obtenção de superávit comportamental. O assistente digital é o protótipo deste esvaziamento da intimidade e ideia de solidão, um verdadeiro cavalo de Tróia para o qual cedemos conhecimento, autoridade e poder. O projeto de personalização apaga a fronteira entre o eu e o mercado. Em 2011 Michael Sandel escreveu o livro "O que o dinheiro não compra".17 A ideia central é a delimitação dos limites morais do mercado, na medida em que a economia de mercado se transmuda em sociedade de mercado, na qual prevalece uma visão econômica da vida, marcada pela precificação de bens antes tidos como indisponíveis e agora submetidos ao cálculo racional do incentivo monetário. Sandel se vale dos argumentos filosóficos da coerção (necessidade material fragiliza a liberdade de escolha) e da corrupção (degradação de bens existenciais em mercadorias) como óbices a contratos como venda de órgãos, barriga de aluguel e remuneração de esterilização. Passados dez anos, percebemos que no âmbito do capitalismo de vigilância a coerção é dispensada e a corrupção naturalizada. Algoritmos constituem nossa identidade e reputação, classificam nossos riscos, discriminam e manipulam comportamentos, sem qualquer transparência. Elimina-se a coerção pois a experiência humana é coletada sem a consciência quanto à contratação. Normaliza-se a corrupção, pois bovinamente aquiescemos à conversão das coisas que temos em coisas que nos têm, à passagem de um mercado para você em um mercado "sobre" você. Finalizamos por onde começamos. O art. 17 da LGPD consiste em ponto nodal de resistência às três emanações da despersonalização da personalidade. A titularidade de dados pessoais ancorada na tríplice dimensão da liberdade, intimidade e privacidade, representa uma ampliação da esfera normativa do pertencimento, extrapolando a propriedade imaterial, para alcançar uma "titularidade inclusiva", reafirmando-se no mundo digital, a aderência das situações existenciais à pessoa natural, a extrapatrimonialidade dos direitos da personalidade e sua relativa indisponibilidade e, consequentemente, a máxima efetividade das tutelas preventiva e repressiva das projeções eletrônicas do ser humano.18 Cabe à doutrina extrair todas as possibilidades hermenêuticas do dito preceito, a fim de se preservar o domínio humano sobre o que lhe é inerente. Como argutamente constatou Zygmunt Bauman, na modernidade fluida a contradição mais evidente é o "O abismo que se abre entre o direito a` autoafirmação e a capacidade de controlar as situações sociais que podem tornar essa autoafirmação algo factível ou irrealista".19   *Nelson Rosenvald é professor do corpo permanente do doutorado e mestrado do IDP/DF. Procurador de Justiça do Ministério Público de Minas Gerais. Pós-doutor em Direito Civil na Università Roma Tre (IT-2011). Pós-doutor em Direito Societário na Universidade de Coimbra (PO-2017). Visiting Academic Oxford University (UK-2016/17). Professor Visitante na Universidade Carlos III (ES-2018). Doutor e mestre em Direito Civil pela PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC) e Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). __________ 1 STF. RE n. 466.343, 03.12.2008, Informativo n. 531 Rel. Min. Cezar Peluso: "Já não é possível conceber o corpo humano como passível de experimentos normativos no sentido de que se torne objeto de técnicas de coerção para cumprimento de obrigações estritamente de caráter patrimonial". 2 Súmula 364 do STJ: "O imóvel residencial do próprio casal ou da entidade familiar, é impenhorável e não responderá por qualquer tipo de dívida civil, comercial, fiscal, previdenciária ou de outra natureza, contraída pelos cônjuges ou pelos pais ou filhos que sejam seus proprietários e nele residam, salvo nas hipóteses previstas nesta Lei". 3 Art. 11, Código Civil: Com exceção dos casos previstos em lei, os direitos da personalidade são intransmissíveis e irrenunciáveis, não podendo o seu exercício sofrer limitação voluntária. 4  Art. 12, Código Civil: Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei. 5  Art. 927, Código Civi: Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. 6 Art. 497, CPC:  Na ação que tenha por objeto a prestação de fazer ou de não fazer, o juiz, se procedente o pedido, concederá a tutela específica ou determinará providências que assegurem a obtenção de tutela pelo resultado prático equivalente.  Parágrafo único. Para a concessão da tutela específica destinada a inibir a prática, a reiteração ou a continuação de um ilícito, ou a sua remoção, é irrelevante a demonstração da ocorrência de dano ou da existência de culpa ou dolo. 7 DWORKIN, Ronald. Domi'nio da vida. Sa~o Paulo: Martins Fontes, 2009, p. 339. 8 STF. ADPF 54/DF, Rel: MIN. Marco Aurélio, 30.4.2012. 9 STF. ADI 4.277 e ADPF 132, Rel. Min. Ayres Brito, 5.5.2011. "Tudo que não está juridicamente proibido, está juridicamente permitido. A ausência de lei não é ausência de direito, até porque o direito é maior do que a lei." 10 Artigo 15, CC: Ninguém pode ser constrangido a submeter-se, com risco de vida, a tratamento médico ou a intervenção cirúrgica. 11 ZUBOFF, Shoshana.  A era do capitalismo de vigilância, Rio de Janeiro, Ed. Intrínseca, 2021, p. 19/23. A autora encarta seis declarações que resumem o capitalismo de vigilância: "Nós reivindicamos a experiência humana com o matéria-prima gratuita para se pegar. Com base nessa reivindicação, podemos ignorar considerações de direitos, interesses, consciência ou entendimento dos indivíduos; com base na nossa reivindicação afirmamos o direito de pegar a experiência do indivíduo para convertê-la em dados comportamentais; nosso direito de pegar, baseado na nossa reivindicação de matéria-prima gratuita, nos confere o direito de possuir os dados comportamentais derivados da experiência humana; nossos direitos de pegar e possuir nos conferem o direito de saber o que o conteúdo dos dados revela; nossos direitos de pegar, possuir e saber nos conferem o direito de decidir como usamos o nosso conhecimento; nosso direitos de pegar, possuir, saber e decidir nos conferem nossos direitos às condições que preservam nossos direitos de pegar, possuir, saber e decidir". Op. cit. p. 210/1. 12 Kant, em "Fundamentação à Metafísica dos Costumes" assevera: o homem, e, de maneira geral, todo o ser racional, existe como fim de si mesmo, não só como meio para o uso arbitrário desta ou daquela vontade (...). Os seres cuja existência depende, não em verdade da nossa vontade, mas da natureza, têm, contudo, se são seres irracionais, apenas um valor relativo como meios, e por isso se chamam coisas, ao passo que os seres racionais se chamam pessoas, porque a sua natureza os distingue já como fins em si mesmos, quer dizer, como algo que não pode ser empregado como simples meio. 13 Como percebe Yuval Noah Harari, "Quando a autoridade passa de humanos para algoritmos, não podemos mais ver o mundo como o campo de ação de indivíduos autônomos esforçando-se por fazer as escolhas certas. Em vez disso vamos perceber o universo inteiro como um fluxo de dados". 21 Lições para o século 21, São Paulo. Companhia das Letras, 2019, p. 83. 14 [...] separado do mundo e de minha essência por esse nada que sou, tenho de realizar o sentido do mundo e de minha essência: eu decido sozinho, injustifica'vel e sem desculpas [...]" SARTRE, J. P.  O ser e o nada - ensaio de ontologia fenomenológica. 6 ed. Rio de Janeiro: Vozes, 1998, p. 782. 15 "Nudge", Termo consagrado na economia comportamental pela obra de autoria de Richard H. Thaler e Cass R. Sunstein sobre a arquitetura de escolhas. São Paulo, Editora Objetiva, 2. Ed, 2019. 16 SCHWAB, Klaus. A Quarta Revolução Industrial. São Paulo, Edipro, 2016, p. 12. O autor anota três razões que sustentam a singularidade da 4. Revolução industrial: "Velocidade: ao contrário das revoluções industriais anteriores, esta evolui em um ritmo exponencial e não linear. Esse é o resultado do mundo multifacetado e profundamente interconectado em que vivemos; além disso, as novas tecnologias geram outras mais novas e cada vez mais qualificadas. - Amplitude e profundidade: ela tem a revolução digital como base e combina várias tecnologias, levando a mudanças de paradigma sem precedentes da economia, dos negócios, da sociedade e dos indivíduos. A revolução não está modificando apenas o "o que" e o "como" fazemos as coisas, mas também "quem" somos. Impacto sistêmico: ela envolve a transformação de sistemas inteiros entre países e dentro deles, em empresas, indústrias e em toda sociedade". Op.cit, p. 17 SANDEL, Michael J. O que o dinheiro não compra: os limites morais do mercado; tradução de Clóvis Marques. Rio de Janeiro: Civilização Brasileira, 2012. 18 RODOTÀ, S. El derecho a tener derechos. Madrid: Editorial Trotta, 2014.2014, p.150. O autor propõe o conceito de corpo eletrônico da pessoa humana: "En la dinámica de las relaciones sociales y también en la percepción de uno mismo, la verdadera realidad es la definida por el conjunto de las informaciones que nos afectan, organizadas electrónicamente. Este es el cuerpo que nos sitúa en el mundo". 19 BAUMAN, Zygmunt. Modernidade Líquida, São Paulo, Zahar, 2001. p. 35.
Continuando nossa breve análise comparativa entre os três instrumentos jurídicos referidos no título, já tendo avaliado o GDPR na Parte I deste artigo e, também, o CCPA na Parte II, passemos à análise dos dois últimos regramentos, em tela, para proteção de dados - o POPIA e a LGPD brasileira, lembrando que esta é a terceira e última parte do texto integral. O Protection Of Personal Information Act, aprovado desde 1º de janeiro de 2020, na África do Sul, somente passou a ser de observância obrigatória a partir de 1º de julho de 2021 e, em relação a ele, importante notar que: Foi editada em novembro de 2013 - portanto, antes mesmo da entrada em vigor da General Data Protection Regulation da Comunidade Europeia, porém foi aprovada pelo Governo da África do Sul apenas em 2020, com eficácia suspensa até meados deste mesmo ano; Traz muitos aspectos similares ao General Data Protection Regulation e ao California Consumer Privacy Act, em especial os seus princípios; Muitas das suas disposições já foram convertidas em leis com observância obrigatória; mas, Sua eficácia ou exigência de compliance a todos os seus termos apenas ocorrerá após 1º de julho de 2021, quando o restante de seus dispositivos passa a valer como leis e a autoridade nacional de proteção de dados - o Information Regulator - terá seus poderes constituídos. O POPIA da África do Sul é, até aqui, a lei de proteção de dados mais recente do mundo e: Propicia aos cidadãos a que se refere controlarem suas informações pessoais e exercerem direitos aplicáveis sobre elas; Estabeleceu oito requisitos mínimos para o processamento de dados: Responsabilidade - parte responsável deve assegurar que as condições, e todas as medidas previstas no POPIA que dão efeito a tais condições, sejam cumpridas no momento da determinação da finalidade e dos meios de processamento. Limitação de processamento - as informações pessoais só podem ser processadas de forma justa e legal e apenas com o consentimento do titular dos dados ou nas demais hipóteses previstas na lei. Finalidade específica - as informações pessoais só podem ser processadas por razões específicas, explicitamente definidas e legítimas. Limitação de processamento adicional - as informações pessoais não podem ser processadas para uma finalidade secundária; Qualidade da Informação - a parte responsável deve tomar medidas razoáveis (e não suficientes) para garantir que as informações pessoais coletadas sejam completas, precisas, não enganosas e atualizadas quando necessário. Salvaguardas de segurança - as informações pessoais devem ser mantidas em segurança contra o risco de perda, acesso ilegal, interferência, modificação, destruição não autorizada e divulgação. Transparência - a  parte responsável deve manter a documentação de todas as operações de captação e processamento de dados feitos sob sua responsabilidade. Participação do Titular dos Dados - os titulares dos dados podem solicitar a manutenção, a correção e/ou exclusão de quaisquer informações pessoais deles.  O POPIA também define como informações sensíveis: informação informações relacionadas à raça, gênero, sexo, gravidez, estado civil, nacionalidade, origem étnica ou social, cor, orientação sexual, idade, saúde física ou mental, bem-estar, deficiência, religião, consciência, crença, cultura, idioma e nascimento da pessoa; informações relacionadas à educação ou histórico médico, financeiro, criminal ou de emprego da pessoa; qualquer número de identificação, símbolo, endereço de e-mail, endereço físico, número de telefone, informação de localização, identificador online ou outra atribuição específica para a pessoa; a informação biométrica da pessoa; as opiniões pessoais, pontos de vista ou preferências da pessoa; correspondência enviada pela pessoa de forma implícita ou explícita de natureza privada ou confidencial ou correspondência posterior que revele o conteúdo da correspondência original; as visões ou opiniões de outro indivíduo sobre a pessoa; e o nome da pessoa se aparecer com outras informações pessoais relacionadas à pessoa ou se a divulgação do próprio nome revelaria informações sobre a pessoa; E assegura os seguintes Direitos aos sujeitos dos dados: ser notificado sobre a coleta e processamento de informações pessoais; de acessar informações pessoais; de solicitar correção de informações pessoais; de solicitar a exclusão de informações pessoais; de se opor ao processamento de informações pessoais; de não ter as informações pessoais processadas para fins de marketing direto por meio de comunicações eletrônicas não solicitadas; de não estar sujeito a uma decisão que resulte em circunstâncias legais baseadas exclusivamente no processamento automatizado; de reclamar ao Regulador (e ao Judiciário, por óbvio); de aplicar remédio judicial necessário. Uma das principais diferenças entre a legislação Sul Africana e as demais é o aspecto de abrangência territorial.  Pela regra, aplica-se aquela legislação aos negócios (i) estabelecidos na África do Sul (conceito fácil de ser compreendido) ou (ii) cujos dados pessoais são processados dentro do território Sul Africano (conceito um pouco mais delicado, considerando que hoje temos data centers virtuais e bases de dados em nuvem não exatamente divulgadas pelos provedores).  Assim, se sua empresa, por exemplo, faz uso de qualquer cloud estabelecida sobre território da África do Sul, ela deve observar e seguir aquela legislação, a partir de 1º de julho deste ano. Esse é um aspecto relevante, vez que nem sempre sabemos onde estão os servidores ou satélites que usamos nas contratações de TI. Por definição, dado protegido pela Protection Of Personal Information Act é tudo que se refere às pessoas físicas ou jurídicas de qualquer natureza, o que também traz dificuldade de entendimento e é um conceito mais abrangente que o estatuído na California e na EU.  P. ex.: os sites das empresas devem ser protegidos, mesmo quando estão disponíveis na internet...  Como fazer isso na África do Sul, apenas dada a abrangência transfronteiriça da web? A contrassenso, os sujeitos dos dados não precisam dar permissão para a coleta de seus dados, a menos que: sejam classificados como special personal informartion, notadamente, crença, credo, ideologia, raça ou etnia, posição política, saúde, vida ou orientação sexual, dados biométricos; ou, se forem dados de menores de 17 anos, que precisam autorizar a coleta e processamento de seus dados por meio do seu responsável civil; ou, sejam coletados ou processados com fins de marketing direto por e-mail, telefone ou SMS. Em qualquer caso, a opção de objeção à coleta ou processamento dos dados deve ser oferecida ao titular dos dados, inclusive com instrução de como retirar suas informações diretamente dos sistemas das organizações. E exceto em casos específicos os dados somente podem ser coletados do próprio sujeito dos dados, o que nos parece contraditório com a não proibição de transferência ou compartilhamento de dados.  Sim, é permitida a transferência dos dados dentro do próprio país, ou se for transferida, internacionalmente, a terceiros que tenham políticas semelhantes de proteção de dados ou que atendam legislação adequada para a proteção dos dados. Notem quão ampla é a interpretação desse conceito. As organizações sujeitas à Protection Of Personal Information Act podem cobrar taxas em troca do fornecimento dos dados que mantém sobre o titular dos dados, muito embora não possam cobrar para informar se tem ou não dados coletados e processados de um determinado indivíduo e nem para corrigir determinada informação equivocada a pedido. A designação de um DPO é exigida, mas a legislação ressalva que, na ausência de pessoa dedicada à função, o CEO da empresa será o responsável pela área - e sofrerá as consequências do non compliance. As notificações de infrações devem ser feitas em até 72 horas, para a autoridade supervisora e as penalidades são menores que as outras três legislações aqui tratadas, chegando ao máximo de R10 milhões, o que corresponde hoje a aproximadamente US$ 723.000. A pena privativa de liberdade para o DPO, ou o CEO no caso de não haver DPO designado pode chegar 10 anos. Quanto à nossa recentíssima Lei Geral de Proteção de Dados, que demorou a ser editada e, por conta da pandemia do COVID, teve sua eficácia retardada mais ainda, podemos dizer que traz muitas semelhanças com a legislação Europeia, em especial os seus princípios, antes já referidos. Aplica-se a todos que coletam ou processam dados de cidadãos brasileiros ou residentes em território com jurisdição brasileira, independentemente da localização da organização e são considerados dados protegidos toda a informação que identifique ou possa identificar o seu titular, sendo objeto de proteção mais específica os dados considerados sensíveis, à semelhança da General Data Protection Regulation. A Lei Geral de Proteção de Dados tenta indicar as providências obrigatórias por parte das organizações, para o compliance à lei, exigindo informar a razão e demandando autorização expressa para coleta e tratamento de dados, do sujeito dos dados, ressalvadas as outras hipóteses que autorizam o tratamento de dados independentemente do consentimento nos termos do art. 7º (dados pessoais) e art. 11 (dados pessoais sensíveis). O órgão responsável pelo controle do compliance à Lei Geral de Proteção de Dados é a ANPD ou Autoridade Nacional de Proteção de Dados que tem como órgão consultivo, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), composto por membros da sociedade e do poder público. As principais atribuições são do CNPD são (art. 58-B da LGPD):  Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; Sugerir ações a serem realizadas pela ANPD; elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e, Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.  A participação no CNPD é considerada prestação de serviço público relevante, não remunerada e constitui um diferencial em relação a outras legislações. Na linha da EU, a legislação brasileira proíbe a transferência ou compartilhamento de dados, com raras exceções e o consentimento é elemento chave para a captação e processamento de dados pessoais, devendo tal consentimento ser dado de forma voluntária e mediante a informação clara de quais dados serão captados e/ou processados, por quem e com que finalidade. E o consentimento pode ser revogado a qualquer tempo, devendo a organização captora ou processadora manter o registro de tais consentimentos e/ou sua revogação. O direito de acesso exercido pelo titular de dados deve ser respondido ao interessado em 15 dias, sem custo, como analisado nesta coluna. A designação de um Encarregado pela Proteção de Dados, dedicado como tal, é obrigatória na Lei Geral de Proteção de Dados, muito embora ainda não haja uma certificação, para tal ocupação, no Brasil. Esta função pode ser exercida por um indivíduo com o auxílio de uma equipe ou grupo (denominado, muitas vezes, como "Comitê de Proteção de Dados"), interno ou ser terceirizado (externo). Indica-se, mas não se exige um CPO nas organizações. No caso de quebra da segurança da proteção dos dados, a organização deve informar à ANPD e aos titulares, em um prazo não especificado na legislação, mas que a ANPD definiu em 2 dias úteis, contados do conhecimento do incidente de segurança com dados pessoais. As penalidades financeiras são bem menores se comparadas a outras legislações, mas ainda assim bastante altas, podendo chegar a 2% do faturamento anual da organização com um teto de R$ 50 milhões, por ofensa. Por fim, para sabermos se estamos em compliance com a regulação de dados que nos atinge, devemos nos perguntar o seguinte: Quais são os direitos do titular dos dados em relação ao acesso às informações mantidas por você? Quais processos você possui para garantir que a solicitação de um titular de dasos seja cumprida? Quem será responsável pela conformidade em sua organização e que será responsabilizado peno caso de no comliance? E como esse indivíduo garantirá que a organização esteja compatível com as legislações que a atingem? As informações pessoais foram obtidas em acordo com as hipótese previstas em lei? Se as informações pessoais foram coletadas de terceiros, o titular dos dados consentiu que essas informações sejam compartilhadas e usadas por você, nos casos em que a legislação permite? Quais processos você possui para identificar a origem de uma violação de dados e o procedimento a seguir para neutralizar tal violação? Qual processo você possui para garantir que as salvaguardas sejam continuamente atualizadas em resposta a novos riscos ou deficiências nas salvaguardas previamente implementadas? Quais processos você possui para evitar a recorrência de uma violação de dados?  Feitas todas essas perguntas, se não houver resposta claríssima para qualquer delas, isso significa que seus sistemas de compliance não estão adequados à LGPD e sua organização precisa COM URGÊNCIA buscar uma assessoria nessa área, independentente do lugar no mundo onde ela atua.  *Renata Marcheti é professora doutora da USP, advogada e membro Fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais.
Há exatamente um ano, tivemos a honra de inaugurar esta coluna "Migalhas de Proteção de Dados" com o texto no qual analisamos as polêmicas em torno da vigência da LGPD. Em síntese, foram diversas tentativas de prorrogar o início da vigência da LGPD, mas a lei entrou parcialmente em vigor no dia 18 de setembro de 2020, quando o Presidente Jair Bolsonaro sancionou a lei 14.058, de 17/9/2020, publicada no Diário Oficial da União no dia 18/9/2020, retirando os artigos que pretendiam postergar a vigência da LGPD para maio de 2021. Assim, entende-se que a LGPD está em vigor a partir da vigência da lei 14.058/2020, suprindo uma importante lacuna no ordenamento jurídico brasileiro como alertado por Newton De Lucca e Renata Mota Maciel.1 As sanções administrativas previstas na LGPD, no entanto, somente passaram a vigorar a partir de 1º de agosto de 2021, porque a lei 14.010, de 10 de junho de 2020 - que estabelece normas integrantes do denominado "Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET)" no período da pandemia do novo coronavírus, -, determinou no art. 20 a prorrogação da vigência dos artigos 52, 53 e 54 da LGPD.2 Assim, uma pergunta em destaque nestes últimos dias é se a sociedade brasileira, os órgãos públicos e as empresas estão ou não adequadas à LGPD e se a própria ANPD terá condições efetivas (tanto em recursos humanos, quanto materiais) para fiscalizar o correto cumprimento da lei e aplicar as sanções nela previstas após o processo administrativo, garantida a ampla defesa e o contraditório, consoante o art. 55-J, inc. IV, da LGPD.3 Algumas particularidades das sanções administrativas previstas na LGPD  A LGPD prevê em um rol taxativo das penalidades administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), quais sejam4: - advertência, sendo que a ANPD deve indicar um prazo para a adoção de medidas corretivas; - multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50 milhões de reais por infração; - multa diária (astreintes), ou seja, multa a ser cobrada por dia até que a pessoa jurídica de direito privado cumpra as determinações indicadas pela ANPD, observado o limite acima estabelecido em lei; - publicização, isto é, a divulgação das empresas e dos órgãos públicos que descumpriram as obrigações previstas na LGPD, o que pode representar um prejuízo financeiro além do limite acima indicado, podendo a publicização causar, até mesmo, a falência do negócio por desconfiança dos usuários dos serviços (titulares de dados pessoais); - bloqueio dos dados pessoais tratados em desconformidade com a LGPD, até que seja regularizada a infração; - eliminação dos dados pessoais tratados em desconformidade com a LGPD; - suspensão parcial do funcionamento do banco de dados pelo prazo máximo de 6 meses, podendo ser prorrogado por igual período até a regularização da atividade de tratamento de dados; - suspensão do exercício da atividade de tratamento de dados pessoais pelo prazo máximo de 6 meses, também podendo ser prorrogável por igual período; - proibição parcial ou total do exercício das atividades relacionadas a tratamento de dados. Estas sanções administrativas estão mencionadas de forma crescente quanto à sua gravidade, isto é, a advertência é a sanção mais leve enquanto a proibição parcial ou total do exercício das atividades, a mais grave. Pouco se tem falado das sanções referentes à publicização, ao bloqueio ou à eliminação dos dados pessoais, bem como sobre a suspensão parcial do funcionamento do banco de dados ou da atividade de tratamento de dados, além da proibição parcial ou total do exercício das atividades de tratamento de dados, penalidades estas que se não forem dosadas com cautela poderão causar a insolvência empresarial. Sem embargo dos possíveis questionamentos em torno da matéria, entendemos ser este rol taxativo, ou seja, a ANPD não poderá inovar, criando outras sanções administrativas não mencionadas no art. 52 da LGPD, em virtude do inc. XXXIX do art. 5º da CF/88 (não há pena sem prévia cominação legal).5 No entanto, as sanções administrativas previstas na LGPD são suficientes para o enforcement da lei de maneira abstrata. Isto porque, fazendo um paralelo, o fato de o Código Penal prever pena restritiva de liberdade para a prática do crime de homicídio, infelizmente, não impediu, nem mesmo diminuiu, as milhares de mortes decorrentes dos crimes dolosos contra a vida. Nesse diapasão, cumpre salientar que o propósito básico da ANPD deverá direcionar-se - em especial neste momento inicial de mudança cultural em prol da proteção de dados pessoais - no sentido de uma atuação eminentemente pedagógica. Em outras palavras, o diálogo com os diversos setores da sociedade brasileira deve ser o mais amplo possível, com propagandas educativas para orientar tanto os agentes de tratamento de dados, quanto os titulares de dados a se conscientizarem das obrigações e dos direitos previstos na LGPD. A atuação pedagógica da ANPD  A sociedade brasileira experimenta, atualmente, significativa mudança na cultura de cenários de "superexposição", de divulgação de CPF e de outras informações importantes para obter apenas um pífio desconto em produtos e serviços, sem o questionamento do porquê de disponibilizar tais informações. Caberia lembrar, a propósito, a passagem de Yuval Noah Harari, segundo a qual "no século XXI, nossos dados pessoais são provavelmente o recurso mais valioso que ainda temos a oferecer, e os entregamos aos gigantes tecnológicos em troca de serviços de e-mail e de vídeos com gatos engraçadinhos." É preciso assinalar, no entanto, que estamos apenas no começo desta jornada, diferentemente de países como Alemanha e França, que desenvolvem a cultura de proteção de dados desde a década de 70 da centúria passada. Nesse sentido, muito mais importante do que aplicar as sanções previstas na lei, a ANPD deve priorizar a promoção do conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança (inc. VI do art. 55-J da LGPD), além ouvir os agentes de tratamento de dados e a sociedade em matérias de interesse relevante (inc. XIV do art. 55-J da LGPD). Ademais, sobreleva destacar que ainda existem diversas lacunas na lei, além de cláusulas gerais e de conceitos jurídicos indeterminados (aliás, não só jurídicos, mas técnicos também) como, exemplificativamente, a polêmica questão da anonimização e da pseudoanonimização. Portanto, a ANPD deverá exercer uma função eminentemente didática, pavimentando o terreno para  criar um cenário ideal tendente ao real enforcement da LGPD. Da aplicação das sanções administrativas previstas na LGPD aos órgãos públicos A LGPD foi expressa em mencionar regras específicas para o tratamento de dados pessoais pelo Poder Público (capítulo IV, arts. 23 a 30 da LGPD). Consequentemente, além das regras específicas, os órgãos públicos devem observar as regras gerais, como os princípios estabelecidos no art. 6º, além das diversas obrigações impostas aos agentes de tratamento de dados. Neste contexto, poder-se-ia indagar se os órgãos públicos, na hipótese de descumprimento da LGPD, devem estar sujeitos às sanções administrativas nela previstas? Trata-se, ao que parece, de aspecto extremamente delicado e bastante controvertido da LGPD. Imagine-se, por exemplo, a hipótese de ser aplicada ao IBGE a eliminação dos dados pessoais coletados ou mesmo de aplicar-se  multa a um órgão público, cujo pagamento viria dos impostos pagos por todos os cidadãos brasileiros... Ou, ainda, impedir um Registro Civil de Pessoas Naturais de realizar registros de nascimentos ou de óbitos, ou mesmo casamentos, uma vez que os cartórios foram equiparados ao Poder Público nos termos dos §§ 4º e 5º do art. 23 da LGPD. Em tais cenários, parece inquestionável que a aplicação de algumas sanções previstas na LGPD acarretaria inevitável prejuízo aos próprios titulares de dados e à coletividade, configurando uma evidente injustiça.6 A esse propósito, aliás, a ANPD já se pronunciou no sentido de que as sanções pecuniárias não podem ser aplicadas aos órgãos públicos.7 Todavia, as demais  sanções administrativas previstas na LGPD, que não as pecuniárias, poderão ser aplicadas aos órgãos públicos, conforme destacado no aludido texto. Diante das possíveis dubiedades existentes, parece-nos que seria adequada e prudente a elaboração de um regramento específico sobre as sanções administrativas a serem aplicadas aos órgãos públicos. Enfim, para a aplicação das sanções previstas na LGPD, deverão ser levadas em consideração, além dos critérios mencionados no § 1º do art. 52 da LGPD para a dosagem da penalidade a ser aplicada, também as peculiaridades de cada órgão público que possa ter violado a LGPD. O que esperar para o próximo ano quando as sanções administrativas estarão em vigor? Ainda que as sanções tenham entrado em vigor, a ANPD irá editar um regulamento específico sobre as sanções administrativas, que será submetido à consulta pública. Portanto, somente após a definição das metodologias que orientarão o cálculo do valor-base para as sanções de multa, tais sanções poderão ser tecnicamente aplicadas pela ANPD consoante as regras estabelecidas no seu Regimento Interno.8 Esse ponto está intimamente ligado à minuta de resolução para o "Regulamento de Fiscalização e Aplicação de Sanções Administrativas", que deve ser encaminhada em breve ao Conselho Diretor da ANPD para deliberação.9 No entanto, pode-se esperar uma atuação pedagógica da ANPD, como acima alertado, privilegiando uma abordagem "responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância." Em suma, a ANPD somente poderá aplicar as sanções administrativas previstas na LGPD aos fatos ocorridos após 1º de agosto de 2021, quando os artigos 52, 53 e 54 da LGPD entraram em vigor. No entanto, as infrações à LGPD, iniciadas antes de 1º de agosto de 2021, mas que continuaram a ser cometidas após essa data, deverão ser objeto de análise pela ANPD que, após o contraditório e ampla defesa, poderá aplicar as sanções previstas na lei. Ainda há mais dúvidas do que respostas definitivas, sendo recomendável que, pelo menos até a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas ser aprovado no Conselho Diretor da ANPD, as sanções administrativas permaneçam em suspenso. Ao que tudo indica - e este parece ser o melhor caminho a seguir -, a ANPD deverá atuar mais numa vertente pedagógica, preventiva e responsiva do que de uma forma repressiva, o que faz todo o sentido neste momento inicial da vigência da LGPD. Afinal de contas, muito mais do que punições, o que se espera e se deseja é que a ANPD exerça função primordialmente didática para que a cultura da proteção de dados pessoais no Brasil possa frutificar admiravelmente, atingindo a sua plenitude o mais cedo possível.10 *Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada. **Newton De Lucca é professor Titular da Faculdade de Direito da Universidade de São Paulo. Professor do Corpo Permanente da Pós-Graduação Stricto Sensu da UNINOVE. Desembargador Federal, Presidente do Tribunal Regional Federal da 3a Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-Presidente do Instituto Avançado de Proteção de Dados. __________ 1 DE LUCCA, Newton; MACIEL, Renata Mota. A Lei nº 13.709, de 14 de Agosto de 2018: a Disciplina Normativa que Faltava. In: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de; SIMÃO FILHO, Adalberto; MACIEL, Renata Mota. Direito & Internet IV: Sistema de Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019. pp. 21 - 50. 2 Louve-se, a propósito, o meritório esforço do professor doutor Otávio Luiz Rodrigues Júnior, cuja competente e brilhante atuação no Congresso Nacional foi fundamental para a entrada em vigor da LGPD. 3 Sobre a Autoridade Nacional de Proteção de Dados e os argumentos do veto à criação da ANPD vide: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: LIMA, Cíntia Rosa Pereira de. Comentários à Lei Geral de Proteção de Dados. São Paulo: Editora Almedina, 2019. pp. 373 - 398. Sobre a atuação da Autoridade Nacional de Proteção de Dados cf. LIMA, Cíntia Rosa Pereira de. A ANPD e a efetividade da LGPD. São Paulo: Almedina, 2021. 4 LIMA, Cíntia Rosa Pereira de Lima. As funções da Autoridade Nacional de Proteção de Dados e as sanções previstas na LGPD. In: FRANCOSKI, Denise; TASSO, Fernando Antonio (coords). A Lei Geral de Proteção de Dados Pessoais - LGPD no Setor Público e Privado - Temas Relevantes. São Paulo: Revista dos Tribunais, 2021. 5 DI'TANO MORAES, Amanda Melo. Sanções administrativas na LGPD. Disponível aqui, acesso em 05 de agosto de 2021. 6 Homo Deus - Uma breve história do amanhã, São Paulo: Companhia das Letras, 2016, p. 343. Cf. DE LUCCA, Newton. Yuval Noah Harari e sua visão dos dados pessoais de cada um de nós. 02 de junho de 2021. 7 "Os órgãos e as entidades públicas poderão ser punidos com todas as sanções administrativas previstas na LGPD, salvo as sanções pecuniárias. Ademais, a LGPD prevê a possibilidade de responsabilização de agentes públicos, nos termos previstos na lei 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público), na Lei nº 8.429, de 2 de junho de 1992 (Lei da Improbidade Administrativa) e na lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)." Disponível aqui, acesso em 3 de agosto de 2021. 8 PEROLI, Kelvin. A Portaria n. 01/2021 da ANPD e o seu Conselho Diretor: estrutura e funções. Disponível aqui, acesso em 05 de agosto de 2021. 9 Disponível aqui, acesso em 3 de Agosto 2021. 10 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD): entenda quais são as atribuições da ANPD e como este órgão atuará na fiscalização de implementação da LGPD. Disponível aqui, acesso em 5 de agosto de 2021.
Continuando nossa breve análise comparativa entre os três instrumentos jurídicos referidos acima, passemos à análise de cada um deles, lembrando que esta é a segunda parte do texto integral e trata da GDPR. A lei hoje vigente na União Europeia e que trata da proteção de dados pessoais é a General Data Protection Regulation - GDPR, que obriga os países membros a se adaptarem a ela. A GDPR aplica-se a toda e qualquer companhia, pública ou privada, que vise ou não lucro independentemente de onde a empresa esteja estabelecida ou tenha sua sede, desde que o dado violado seja relativos a cidadãos ou residentes da Comunidade Europeia, ainda que tais pessoas tenham mais de uma cidadania. Segundo a General Data Protection Regulation "dado pessoal" significa qualquer dado relacionado a, que identifique ou descreva ou ainda possa ser associado com uma pessoa (sujeito dos dados, na letra da lei).  Assim, dado pessoal do indivíduo é não só seu nome, números de documentos e endereços, mas também suas respectivas identificações criadas nos próprios sites das companhias, informações online como endereços de IP, cookies, dados de GPS ou de suas localizações, informações biográficas como crença ou credo, raça, cor, sexualidade ou gênero, situação econômica presente ou pretérita, marcas pessoais físicas inatas ou não (como tatoos, p. ex.) etc.  Para a General Data Protection Regulation qualquer coleta, venda, cessão ou uso dos dados pessoais constitui "processamento" de dados e as organizações devem ter expressa autorização para fazê-lo o que geralmente ocorre através de "termos de consentimento" online e/ou pop ups a serem respondidos ou preenchidos antes de acessar o conteúdo das organizações. A legislação em tela ainda visa impedir que as organizações mantenham dados pessoais desnecessários em seus bancos de dados, estabelecendo que elas somente podem processar dados estritamente necessários a objetivos bem definidos do negócio. Inclusive, se os dados pessoais são coletados para um propósito específico, a mesma organização não poderá usá-los para outro fim, sem o consentimento do sujeito dos dados. Do mesmo modo, a mesma organização não pode transferir dados colhidos na área da União Europeia a suas coligadas, subsidiárias ou afiliadas, estabelecidas fora daquela área, exceto sob circunstâncias específicas que envolvem defesa de estado, defesa da organização ou contratos que contenham autorizações e clausulas expressas nesse sentido. Nem mesmo o e-mail da pessoa coletado para um fim pode ser objeto de campanhas de marketing sem expresso consentimento do sujeito dos dados. Esta legislação, assim como as demais não especifica as medidas de segurança de dados a ser implantada pelas empresas, apenas exigindo que as organizações tenham implementadas as medidas e precauções necessárias para a segurança dos dados, sob as penas que especifica no caso de não conformidade.  É sabido, todavia, que as medidas de segurança mais amplas e profundas não têm sido capazes de assegurar completamente a não invasão ou quebra dos sistemas de dados, mesmo na EU.  A despeito disso, a General Data Protection Regulation exige que as políticas se segurança de dados das empresas sejam claras e de fácil acesso e compreensão pelos cidadãos que protege. Os principais direitos e obrigações que a General Data Protection Regulation defende são: Políticas de privacidade e proteção de dados que deixam claro: Que dados pessoais são coletados; Por que e como tais dados estão sendo processados; Qual a base legal para uso desses dados; Se os dados serão compartilhados e com quem; Que o sujeito dos dados a opção de não concordar com o processamento de seus dados. Principais obrigações das organizações: Mediante simples requerimento do sujeito dos dados: Criar e fornecer relatórios de todos os dados captados; Deletar todos os dados captados e armazenados; Fornecer os dados captados e/ou processados em linguagem computacional; Usar dados acurados - corretos e atualizados. Informar os sujeitos dos dados, em 72 horas se houve quebra do sigilo dos dados ou se seus dados foram expostos sem a devida autorização. Dar ao sujeito dos dados a opção de "sair com seus dados" de serviços específicos; Uma outra especificidade que a General Data Protection Regulation trouxe foi a necessidade de se ter na organização, não só um Data Protection Officer ("DPO"), mas também um Chief Privacy Officer ("CPO"), fazendo com que as organizações tenham que criar tais posições dentro de seus organogramas. Quanto às penalidades, a General Data Protection Regulation distingue entre (i) non compliance com seus termos e (ii) quebra da proteção de dados. O primeiro pode ter penas de ? 10 milhões ou 2% do faturamento bruto global da organização, e o segundo caso pode ter penas de ? 20 milhões ou 4% do faturamento bruto global da organização, sempre valendo o que for maior. O California Consumer Privacy Act CCPA, por sua vez foi modelado à imagem e semelhança da General Data Protection Regulation pelo maior estado dos Estados Unidos da América, todavia com algumas diferenças relevantes. Com eficácia sobre as empresas e os sujeitos dos dados estabelecidos na Califórnia, esta lei dá a tais sujeitos um maior controle e visibilidade sobre os seus dados pessoais coletados/processados, ao mesmo tempo que exige dos negócios uma maior transparência sobre a coleta e processamento de dados pessoais e dos dados dos householdings.  Interessante a menção do sujeito dos dados protegidos:  "household".  Não existe no próprio Ato uma definição explicita da palavra household, mas é consenso que se refere a dados de família ou de um núcleo familiar. É obrigatória sua observância em todos os ramos de atividades e vem sendo tida como a inspiração para uma legislação nacional americana unificada.  Importante dizer que, no estado da Califórnia, ainda existem o California Online Privacy Protection Act ("CalOPPA") e o California Consumer Privacy Act. Uma importante diferença entre o California Consumer Privacy Act e a General Data Protection Regulation é que o primeiro se aplica apenas a quem faz negócios com fins lucrativos, na Califórnia, coletando dados de sujeitos residentes na Califórnia e, concomitantemente: Tem faturamento anual bruto de pelo menos US$ 25 milhões; e/ou, Armazena dados de 50 mil residentes, famílias ou equipamentos pessoais ao ano; e/ou, Gera mais de 50% de seu lucro com a venda de dados pessoais de residentes da Califórnia.  Empresas que fazem negócios na Califórnia, segundo a legislação civil do estado, é aquela que: Está baseada na Califórnia; Tem empregados na Califórnia; e/ou, Tem conexão com a Califórnia através de propriedades imobiliárias ou vendas recorrentes a consumidores daquele estado.  O California Consumer Privacy Act admite implicitamente a coleta de dados por ferramentas de tracking e/ou tecnologias relacionadas, tanto que suas disposições se aplicam "a dados pessoais coletados por ferramentas de tracking e tecnologias similares".  E admite ainda o processamento e venda de dados de residentes da Califórnia, desde que a tais sujeitos dos dados tenha sido dada, de forma clara, a opção de se oporem ao fato.  O mesmo ocorre com o uso de e-mails ou outros dados para fins de marketing, ou transferência de dados para fora da Califórnia ou dos EUA. Enquanto na Comunidade Europeia, o sujeito dos dados tem que autorizar expressamente tais usos de seus dados, nos EUA basta que a eles seja dada, de forma explicita, a opção de se negar ao uso de tais dados para determinados fins. A única exceção é em relação aos menores de 17 anos. Para estes: Se estiverem abaixo de 13 anos, precisarão que seus responsáveis legais autorizem a obtenção e/ou processamento de seus dados expressamente; Se estiverem entre 13 e 16 anos deverão autorizar pessoalmente a obtenção e/ou processamento de seus dados expressamente. À semelhança da General Data Protection Regulation, o California Consumer Privacy Act não determina quais medidas de segurança são necessárias às empresas, mas, diferentemente daquele regramento, no caso de quebra de sigilo de dados, dá liberdade para a empresa agir na correção e a penalidade somente será aplicada se ficar comprovado que a empresa não tomou as "medidas possíveis" - termo bastante vago - para a proteção dos dados ou correção do problema havido.  Não há um prazo específico ou requisitos específicos para comunicação e atuação sobre a quebra de sigilo, no California Consumer Privacy Act, muito embora outras legislações (americanas e mesmo californianas) tratem da matéria.  Da mesma forma, não exige a presença ou indicação de um CDO ou DPO nos negócios. Os principais direitos tutelados pelo California Consumer Privacy Act são: Requer e receber informações sobre quais dados seus estão armazenados em prazo de 45 dias; Ter seus dados alterados ou deletados mediante requerimento e sem custo, com poucas exceções; Escolher se permitem ou não compartilhamento e/ou venda de seus dados com terceiros; Manutenção do preço dos serviços independentemente dos requerimentos dos consumidores ou das obrigações a serem cumpridas para o compliance com o California Consumer Privacy Act. A California Privacy Protection Agency terá poderes para multar transgressores, realizar audiências e inquirições sobre violações de privacidade e/ou de dados pessoais, esclarecer dúvidas e criar diretrizes de privacidade para regulações posteriores. É um conselho de cinco membros e começa a vigorar seis meses após a entrada em vigor em 1º de julho de 2023. Atualmente, o estado da Califórnia, baseado no California Consumer Privacy Act, pode impor penalidade de até US$ 7.500 por violação, e somente se a organização não conseguir resolver o problema dentro de 30 dias. Em paralelo, o sujeito dos dados pode buscar reparação civil de até US$.750 por incidente, mais os custos do processo. Continuaremos, no próximo periódico, abordando os dois últimos regramentos objeto deste artigo, que comporão a Parte III e última do texto:  a recentíssima legislação Sul Africana - POPIA e a LGPD do Brasil. *Renata Marcheti é professora Doutora da USP, Advogada e Membro Fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais. __________ 1 General Data Protection Regulation - A GDPR foi adotada pelo Parlamento Europeu em abril de 2016 passou a ser vigente com eficácia total a partir de Maio de 2018. Acessado em 01/7/2021. 2 California Consumer Privacy Act - CCPA passou a viger na Califórnia em 2018. Acessado em 01/7/2021. 3 Protection of Personal Information Act - POPI Act ou POPIA, passou a viger com eficácia plena em 1º de julho de 2021, tendo sito editada pelo Parlamento da África do Sul em 2020.  4 Lei Geral de Proteção de Dados - LGPD de agosto de 2018, regula a proteção de dados de pessoas físicas e jurídicas no Brasil.
Preliminares Nesta mesma coluna, da última sexta-feira, 16 de julho, o artigo "Segurança cibernética em escritórios de advocacia" aborda, em seu início, um elenco de crimes cibernéticos que afrontam, não só os escritórios de advocacia, mas uma série de outras instituições. No início deste mês, dois órgãos nacionais foram acusados de vazamento de dados, a Dataprev e o Instituto Nacional do Seguro Social (INSS). O Instituto de Defesa Coletiva, alega a ineficiência dos órgãos federais em manter seguros os dados dos segurados, assim impetrou uma ação civil pública na 17ª Vara da Justiça Federal de Minas Gerais [FDR, 2021] [EXTRA-GLOBO, 2021]. Alguns são acusados de serem reincidentes, como é o caso do LinkedIn, acusado de vazar dados pessoais de 700 milhões de usuários, ou seja, 93% dos usuários cadastrados na plataforma [UOL, 2021]. Infelizmente a lista de malandragens cibernéticas não se limita ao vazamento de dados, e cobre um largo espectro falcatruas. Outra trapaça ainda muito comum é o sequestro de dados, os já famosos ransomwares, que são ataques cibernéticos que sequestram dados na intenção de cometer outro crime, a extorsão. Recentemente o grupo Fleury, uma grande organização de serviços médicos no país, ficou com os sistemas fora do ar, e também, a empresa alimentícia JBS dos EUA teve suas operações de processamento de carne, tanto nos EUA, quanto na Austrália, impactadas. Poderíamos aqui listar inúmeros casos deste tipo desfalque. Se fizermos uma busca na web por palavras-chave tais como "vazamento de dados", "crimes cibernéticos" e semelhantes, poderemos nos certificar do lastimoso número de casos noticiadas. Isso sem contar os casos das empresas e instituições de pequena expressão que não chegam na mídia. Segundo a pesquisa realizada pela empresa PSafe, e divulgada pela CNN [CNN, 2021], este ano já foram vazados os 4,6 bilhões de credenciais na rede e, certamente, mais dados virão à tona. O elenco de "safadezas" cibernéticas é muito mais diversificado do que as inúmeras estratégias dos "mocinhos" de T.I. cuja imaginação não foi capturada pelo capiroto e seus algozes. Não obstante, ao meu ver, a lógica invertida das acusações que punem os detentores de dados por não acrescentarem outro "cadeado na porta já trancada dos dados", esses desfalques sobre os dados alheios devem ser minimizados, quiçá, aos olhos dos iludidos, eliminados. Antes de chegarmos nos pontos de silos e despacho de dados, antes mesmo dos algoritmos de anonimização que podem apenas dissipar o ímpeto do invasor pirata e dos firewalls que filtram dados e acessos, devem reinar absoluto para segurança dos dados a governança e a gestão destes. Governança e Gestão de dados Foi-se o tempo que contabilizávamos os ativos computacionais de uma instituição pelo seu parque computacional, pelos sistemas de gerenciamento de dados e os sistemas de comunicação. Há tempos, os mais valiosos ativos de uma empresa são os dados, os meus, os seus dados e os nossos. Hoje é fácil ver como os information assets monetizam e rentabilizam as maiores empresas, em valor de mercado, do planeta: Apple e Microsoft. Em termos leigos, do que adianta termos um super sistema seguro de processamento e armazenamento de dados pessoais se, quando um cliente faz contato com uma empresa, algum funcionário anota em papel alguns dados pessoais do cliente para realizar um procedimento? Ou ainda, quando recebemos uma encomenda e notamos que na etiqueta impressa no pacote constam metadados que revelam vários dados pessoais nossos? Para estes casos, o que falta para prevenir o vazamento de dados? Governança ou gestão de dados? Em termos amplos, a governança de dados define-se pelos relacionamentos entre os líderes da empresa, seus colaboradores, os acionistas e os usuários de seus serviços. Relacionamento este que define os objetivos organizacionais e monitora o seu desempenho. Quando afunilamos para o universo dos dados, podemos citar o trabalho de Khatri e Brown [KHATRI; BROWN, 2010] os quais definem governança como as decisões que devem ser tomadas para garantir a gestão e o uso eficaz dos ativos de dados, e quem como quem toma as decisões; enquanto também definem a gestão de dados como a tomada e implementação de decisões. Pode parecer que o tema de governança e gestão de dados passa ao largo da LGPD, muito longe da área jurídica, mas é interessante como praticamente qualquer abordagem que tomemos sobre esse tema de governança e gestão este se funde perfeitamente à lei, a parte dos detalhes, mas em seus princípios. Para os mais afoitos, tomemos como exemplo os caminhos seguidos no clássico livro de Peter Weill e Jeanne Ross Ross [WEILL; ROSS, 2004]. Nesta obra a arquitetura de todo processo de decisão e reponsabilidade sobre os dados, ou seja, a governança de dados, recai sobre cinco domínios de decisão, que são: a) o domínio dos princípios; b) o domínio da arquitetura; c) o domínio da infraestrutura; d) o domínio dos negócios e aplicações; e, finalmente, e) dos investimentos e prioridades. Pode não parecer, mas os cinco campos decisórios estão interrelacionados. O domínio dos princípios esclarece as funções que a TI desempenha na organização, ou ainda, se é função principal ou acessória. Este domínio orienta as decisões do sistema de arquitetura computacional, os quais, por sua vez, orientam a infraestrutura necessária para consecução das funções da empresa. Os recursos de infraestrutura da organização permitem avançar nos negócios da lógica e aplicação dos negócios. A necessidade de novas aplicações de negócios pode criar novos requisitos, os quais movimentam toda estrutura anterior e abre opções para novos investimentos e prioridades. Foquemos nos primeiros três: o domínio dos princípios orienta as decisões da organização. É neste momento que podemos tomar a decisão por dados mínimos e a decisão de priorizar a anonimização de dados. Dois dos princípios fundamentais da LGPD. Destes princípios nascem as necessidades no domínio da arquitetura do sistema, das necessidades de software que garanta a anonimização, o tratamento dos dados, bem como seu armazenamento seguro. Esse design de engenharia de software, de arquitetura de software e requisitos, avança para as prioridades de infraestrutura, ou seja, mecanismos de proteção de dados como redes de dados seguras, armazenamento seguro de dados (storage em nuvem, por exemplo), firewall, criptografia como medida secundária de proteção, assinatura eletrônica, entre outros. Analogamente à Weill e Ross, os estudos mais recentes de Khatri e Brown [KHATRI; BROWN, 2010] chegam a resultados semelhantes com uma proximidade ainda maior à LGPD. Neste estudo Khatri e Brown definem um arquétipo, um framework, para governança de dados também baseados em cinco eixos: a) dos princípios sobre os dados (como Weill e Ross); b) da qualidade dos dados; c) dos metadados (reparem na inovação); d) do acesso aos dados; e, e) do ciclo de vida dos dados. Reparem que neste modelo, os recursos físicos de TI, os ativos de infraestrutura, ficaram na saudade. Vamos abordar cada um na vicinalidade da LGPD. A) Data principles: Para estabelecer esse princípio devemos responder à questões básica, tais como:  Quais dados a organização precisa para realizar suas operações? (reparem o vínculo como o princípio dos dados mínimos sugeridos na LGPD); Como esses dados são usados nos mecanismos de comunicação internos e externos? (lembram-se das encomendas postais?); Os colaboradores reconhecem os dados como ativos da organização?; Como compartilhar e reutilizar os dados identificáveis?; e, Como o ambiente regulatório influencia nos negócios da organização? Todos estes aspectos respondidos nas questões acima refletem nas decisões sobre a propriedade dos dados, os deveres dos operadores, controladores, dos consumidores e, certamente, implicam em direcionar a organização para a instituição de uma política extensiva de governança e gestão de dados. Faltou citar anonimização aqui? Claro que não, a LGPD está hoje mais incluída do que nunca neste eixo. É a preocupação mor de todo controlador. B) Qualidade de dados: O nome é sugestivo deste eixo que estabelece os requisitos para o uso pretendido dos dados, ou seja, o tratamento responsável dos dados. Para estabelecer este princípio a equipe de gestão de dados deve estabelecer padrões para a completude, qualidade e credibilidade dos dados. Para tanto, esperamos a ação de especialistas em qualidade de dados, em gerentes de qualidade e programas contínuos de avaliação de resultados. C) Metadados: Estabelece a "semântica" dos dados, ou melhor, qual é o conteúdo interpretado pelos colaboradores e usuários destes dados. Esse princípio claramente encontra respalda na transparência dos dados à pessoas que forneceram estes dados. Ou ainda, invoca a possibilidade de todos, colaboradores, usuários e fontes dos dados, serem informados e questionados não apenas sobre os fatos atestados pelos dados, mas de como a sua organização pode ser interpretada. Já debatemos os metadados nesta coluna. Leiam "Cookies: doces ou travessuras na LGPD" e"LGPD, qual é a cor do meu sapato?". Agora, de modo mais imediato... D) Acesso aos dados: Quais são os requisitos para acesso aos dados? Uma pergunta simples, objetiva, e que realmente levanta a questão de segurança dos dados pessoais. Não só da segurança, mas como também da anonimização. Se este ponto "escapou" da verificação no primeiro eixo, dos princípios, desta "peneira" ele não passa. Respostas a questões como estas, a seguir, clarificam o acesso aos dados: Qual a relevância dos dados pessoais para nosso negócio? Quem irá estabelecer os riscos de acesso aos dados? Existe alguma norma de compliance a ser seguida? Quais são os programa educativos sobre a importância do tratamento de dados na organização? Como são realizadas as cópias de segurança e recuperação destes dados? E, finalmente E) Ciclo de vida dos dados: Como os dados são adquiridos, tratados, armazenados e, eventualmente, removidos e apagados do sistema? A LGPD e, certamente, e a ANPD, Autoridade Nacional de Proteção de Dados, fazem e farão deste eixo sua praia favorita. A legislação para retenção e arquivamento destes dados, além dos processos envolvidos, ainda tem muito que evoluir neste eixo. O ciclo de vida incorpora o cerne do tratamento de dados pessoais, do seu "nascimento" ao destino final. Acredito que visão dos dados pessoais fragmentada nestes eixos amplia a forma como entendemos as fragilidades, ou virtudes, de um sistema computacional que lida com dados pessoais. Estes frameworks possibilitam abrir a "caixa de Pandora". Como na criação de Hefesto, a abertura desta caixa poderá libertar de seu interior todos os males até então desconhecidos pelos controladores de dados. No entanto, ao curador ainda infunde-se a tentação de fechá-la e, ao fechar a caixa, como Pandora fez, ele mantém em seu interior apenas a esperança. Esta esperança que mantemos aqui, a esperança que estes modelos de governança e gestão de dados possam ao menos minimizar estes episódios de crimes cibernéticos ou mitigar os danos aos usuários. Referências bibliográficas OLIVEIRA, C. G. B & MINTO, G. A. R. Segurança cibernética em escritórios de advocacia. Migalhas. Migalhas de Proteção de Dados. No. 5.148.  FDR, Dataprev e INSS são acusados de vazamento de dados dos pensionistas; e agora? 2 de julho de 2016. Disponível aqui. EXTRA-GLOBO, Vazamento de dados de aposentados do INSS vai parar na Justiça. 30 de julho de 2021. Disponível aqui. UOL, LinkedIn é alvo de nova denúncia de vazamento de dados. 29 de junho de 2021. Disponível aqui. CNN, O mundo já registra 4,6 bilhões de dados vazados em 2021, diz PSsafe. 21 de julho de 2021. Disponível aqui. KHATRI, Vijay; BROWN, Carol V. Designing data governance. Communications of the ACM, v. 53, n. 1, p. 148-152, 2010. Disponível aqui. WEILL, Peter; ROSS, Jeanne W. IT governance: How top performers manage IT decision rights for superior results. Harvard Business Press, 2004.  *Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP com estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.
1. Introdução No dia 3 de abril de 2016, veio à tona um escândalo: "o vazamento de 11,5 milhões de documentos de um escritório revelou como personalidades do mundo criam empresas offshore na tentativa de evadir impostos"1. Trata-se do caso conhecido como "Panama Papers", que envolveu o escritório de advocacia panamenho "Mossack Fonseca", especializado na criação de offshores, que após um ataque hacker em seu servidor de e-mail, culminou na divulgação de dados de transações de diversos clientes do mundo todo. No mesmo ano, ao longo das negociações sobre fusão de dois importantes escritórios de advocacia da cidade de Nova Iorque (Cravath, Swaine & Moore e Weil Gotshal & Manges), hackers invadiram os sistemas que estavam sendo reestruturados, acessando informações valiosas, como documentos financeiros dos clientes e negociações confidenciais ,que lhes renderam em torno de US$ 4 milhões de dólares2 pelo "sequestro de dados". Em 2019, o CNJ teve uma invasão em 94 bancos de dados de seu sistema. Neste caso, números de contas bancárias, telefone, CPF e credenciais de acesso aos serviços mantidos pelo CNJ foram os alvos dos hackers3. Em agosto de 2020, a Ordem dos Advogados do Brasil nacional expôs dados pessoais de advogados e advogadas, por meio de uma falha no seu sistema interno de armazenamentos de dados dos profissionais do direito4. As notícias acima evidenciam o crescente aumento dos ataques cibernéticos no espaço jurídico. As informações, entretanto, não se limitam ao âmbito privado, sendo que no último ano também foram noticiadas invasões em sites do Poder Judiciário. Em novembro de 2020, o alvo foi a rede e sistemas do Superior Tribunal de Justiça5, cujas atividades ficaram suspensas por 07 dias.  No mesmo ano, o Tribunal Regional Federal da 1ª Região e o Tribunal de Justiça do Rio Grande do Sul também foram vítimas dos invasores e, recentemente, o Supremo Tribunal Federal teve suas atividades paralisadas6. Neste contexto, sobretudo em um cenário de pandemia, em que os escritórios e empresas paralisaram suas atividades e os funcionários acessam os sistemas por meio de suas redes particulares, cresce a preocupação sobre o aumento nos ataques de hackers. Um dos aspectos mais importantes na relação advogado-cliente é a confiança. O dever de sigilo profissional e de eticidade está amparado por disposições previstas no Código de Ética da OAB7. Diante disso, para que os advogados prestem assistência jurídica adequada aos seus clientes devem ter conhecimento básico quanto ao funcionamento de dispositivos eletrônicos e redes sociais. Os ataques ocorrem pelos mais variados motivos8. São dados pessoais e confidenciais que estão sendo retidos a fim de, muitas vezes, render lucros a quem os detenha, sejam eles financeiros ou pessoais. No caso da invasão ao site do Tribunal do Rio Grande do Sul, por exemplo, os hackers acessaram todas as informações processuais armazenadas no banco de dados (arquivos sigilosos, dados de pessoas e funcionários como declarações de imposto de renda e remunerações) e exigiram pagamento em bitcoins como resgate das informações hackeadas9.  2.    Por que os escritórios são as novas vítimas de ataques cibernéticos? As notícias acendem um alerta vermelho e passamos a questionar as razões dos alvos preferenciais serem as firmas de advocacia em detrimento das próprias empresas. Primeiro, os hackers são atraídos pela quantidade e pela qualidade de documentos disponíveis em escritórios de advocacia, incluindo dados financeiros confidenciais de clientes, e dos próprios funcionários, estratégias de negociação, transações, fusões. Logo, infiltrar-se em sistemas das firmas de advocacia é um ótimo método de obtenção de dados pessoais e informações pessoais sensíveis, permitindo até mesmo uma forma de manipulação do mercado. Além disso, os escritórios muitas vezes têm um sistema de segurança pior do que os seus clientes10. Isso porque muita segurança pode ser um problema. Altos padrões de proteção implicam em escolhas de diferentes senhas para acesso em cada arquivo, contas de e-mail, criptografia de arquivos e outras medidas. Do mesmo modo, priva os profissionais de acessarem dados pessoais sensíveis por seus dispositivos móveis e tudo isso pode implicar em perda de eficiência e de produtividade11. Por fim, nós nos deparamos com uma questão cultural. Os escritórios de advocacia, tradicionalmente, são pensados como uma sociedade em que todos os funcionários são parceiros e co-proprietários da empresa. Em um ambiente em que todos são "chefes", torna-se difícil impor padrões de segurança que podem ser considerados analógicos e ineficientes12. Ocorre que a falta de investimento em padrões de segurança coloca em risco informações sigilosas de clientes e afeta diretamente os deveres de ética e de sigilo profissional, mandamentos fundamentais na advocacia. Neste cenário, cresce a pressão para que os escritórios invistam em cibersegurança e mantenham a confiança de seus clientes13.  3.    Os modelos de conduta norte-americana A experiência norte-americana, após os ataques que mencionamos no início deste artigo, fez com que a Ordem dos Advogados dos Estados Unidos - American Bar Association (ABA) - editasse uma série de recomendações para que os profissionais lidem de modo adequado com o grande volume de dados que lhes são confidenciados e com as novas tecnologias implementadas em seus escritórios; evitando, portanto, expor dados de seus clientes. Embora sempre tenha havido uma base legal e ética para proteger as informações confidenciais, essa responsabilidade ficou ainda mais clara com a emissão do Parecer Formal n. 483 da ABA. No documento, há instruções sobre a necessidade de se criar um time de TI no escritório, de fornecer treinamentos constantes à equipe de modo a assegurar o melhor uso das mais recentes tecnologias e de impor o dever de notificação e de transparência aos clientes sobre eventuais invasões cibernéticas14. Recentemente, em 10 de março de 2021, a ABA emitiu um novo Parecer Formal (Formal Opinion 496) preocupada em estabelecer normas de conduta para o home office. A ABA recomenda, por exemplo, que os escritórios criem protocolos para o trabalho remoto indicando as condutas que devem ser adotadas para garantir a confidencialidade dos dados pessoais e informações de seus clientes, bem como que se evite o uso de sistemas de Wifi não seguros (como em cafeterias e locais públicos, em que é comum vermos profissionais trabalhando) para transmitir e armazenar documentos de clientes, evitando assim que os dados estejam mais vulneráveis. A "Opinion 496" aborda as principais considerações éticas relacionadas a prática virtual da advocacia, dentre elas: (i) os advogados devem garantir que os sistemas de hardware e software  estejam protegidos contra acessos não autorizados, utilizando criptografia, antivírus, e roteadores seguros, (ii) documentos virtuais e plataformas de troca, como as de e-mail, devem garantir os recursos de segurança adequados, (iii) necessidade de se observar a capacidade de escuta dos dispositivos como alto-falantes inteligentes e garantir que essas funções estejam desabilitadas para evitar o acesso não autorizado, (iv) as reuniões e sessões por vídeo-conferência devem ser acessadas apenas por meio de senhas fortes e não devem ser ouvidas ou vistas por terceiros e as gravações são desaconselhadas na ausência do consentimento do cliente e, finalmente, (v) os advogados devem estar cientes dos limites do trabalho virtual e evitar, por exemplo, receber documentos confidenciais de clientes fora do escritório em situações em que o meio eletrônico não seja uma opção15. Ainda que o mundo esteja caminhando para a superação da pandemia com indícios de que a vida "normal" será retomada, a prática remota se tornará cada vez mais comum e o trabalho do escritório passará a depender cada vez mais da tecnologia, sendo que as recomendações acima expostas permanecerão relevantes mesmo com o retorno dos advogados aos seus escritórios de forma presencial. Outro aspecto também relacionado ao vazamento de dados inclui a preocupação da ABA em regulamentar o uso das redes sociais pelos advogados, já que se a ferramenta for utilizada indevidamente, o profissional pode expor dados pessoais de seu cliente em uma postagem. Sobre o tema, a ABA editou mais um Parecer Formal (Formal opinion 480) reiterando que o dever de confidencialidade do advogado se aplica a todos os lugares, inclusive na comunicação online. O documento veda postagens em que são expostos detalhes sobre casos e descrições de cliente, ainda que se ocultem as identidades dos personagens principais, submetendo a publicidade ao consentimento16.  4.    A regulamentação do uso de tecnologias no Brasil No Brasil, o Provimento 94/00 dispõe sobre a publicidade, propaganda e informação na advocacia. Em razão dos avanços tecnológicos desde a edição do documento, os Conselheiros do Conselho Federal da Ordem dos Advogados do Brasil  estão se reunindo para aprovar modificações em alguns artigos, notadamente, no que diz respeito à publicidade e ao marketing na advocacia, pois é o meio pelo qual os profissionais estão se apresentando para o mercado a fim de angariar a atenção e o respeito da sociedade em geral, estabelecendo cada vez mais vínculos profissionais Atualmente, foram aprovados os quatro primeiros artigos do novo provimento que visa a disciplinar as regras de publicidade na advocacia17. Dessa maneira, o marketing digital foi autorizado pelo Conselho Federal da OAB para a divulgação dos serviços advocatícios; contudo, os anúncios impulsionados devem possuir caráter informativo e serem sóbrios, não devendo estimular a ocorrência de litígios. Ainda é necessária a aprovação de outros oito artigos para que a proposta de alteração do Provimento 94/00 seja efetivada na integralidade. Assim, cumpre à comunidade jurídica acompanhar as discussões sobre este importante assunto que mudará a maneira como os escritórios e advogados realizarão a sua comunicação no ambiente virtual. 5.    Reflexões finais Não se ignora os louváveis esforços para atualizar as regras de conduta dos profissionais frente às evoluções sociais. Contudo, ainda carece de regulamentação o uso das tecnologias nos escritórios visando a coibir o vazamento de dados pela invasão em seus sistemas. Importando a experiência estrangeira, a OAB poderia ofertar treinamento para que os advogados possuam conhecimento básico quanto ao uso de tecnologias e aos riscos de seu emprego. Os escritórios, por outro lado, deveriam estabelecer um modelo de governança de dados, registrar as atividades que envolvam o tratamento de dados pessoais (mapeando os dados tratados), determinar controle de acesso a informações conforme as funções desempenhadas por cada colaborador e, por fim, revisar os contratos firmados com os clientes, colaboradores e fornecedores, incluindo cláusulas específicas de proteção de dados de acordo com as especificidades da relação contratual firmada. A internet, sem dúvidas, propiciou maior facilidade de comunicação e transmissão de informações entre clientes e advogados e ao mesmo tempo traz também mais obrigações quanto ao sigilo de dados. Este artigo longe de propor soluções, visou a demonstrar a prioridade máxima que deve ser concedida à segurança cibernética nos escritórios de advocacia, eliminando ao máximo a possibilidade de invasões e garantindo que seus clientes estejam a salvo de vazamento de dados e de informações. ___________ 1 Clique aqui. 2 Clique aqui 3 Clique aqui.  4 Clique aqui.  5 Clique aqui.  6 Os recentes ataques cibernéticos ao Poder Judiciário e a LGPD. 7 Art. 25: O sigilo profissional é inerente à profissão, impondo-se o seu respeito, salvo grave ameaça ao direito à vida, à honra, ou quando o advogado se veja afrontado pelo próprio cliente e, em defesa própria, tenha que revelar segredo, porém sempre restrito ao interesse da causa". 8 Clique aqui.  9 Clique aqui. 10 EZEKIEL, Alan W., Hackers, spies and stole secrets: protecting law firms from data theft in Harvard Journal of law and technology, v. 26, n. 2, 2013. Disponível em clique aqui.   11 COURSEY, David., Study: hacking password easy as 123456 em clique aqui. 12 EZEKIEL, Alan W., op. cit., p. 656. 13 MCNERNEY, Michael; PAPADOULOS, Emilian. Hacker's Delight: Law Firm Risk and Liability in the Cyber Age. American University Law Review 62, n. 5, 2013, pp. 1243-1272. Disponível em clique aqui.  14 Clique aqui.  15 Clique aqui. 16 Clique aqui.  17 OAB libera impulsionamento pago de conteúdo jurídico sem captação de clientela. 
PANORAMA GERAL A  lei 13.709/18 além de consagrar em nosso ordenamento jurídico, o microssistema de proteção de dados que até então era basicamente composto de forma menos abrangente por outras legislações temáticas, instrumentaliza a dinâmica que contribui para o incremento da importância e do valor dos dados pessoais, a ponto de gerar a sua ressignificação monetária, provocando profundas modificações culturais e a necessidade de adaptação em diferentes setores da sociedade em relação aos cuidados e obrigações decorrentes do conjunto de direitos dos titulares de dados pessoais que devem se harmonizar com as  obrigações dos agentes de tratamento de dados. Aliás, o tema está intrinsecamente relacionado ao dia a dia das pessoas, especialmente na sociedade da informação, em que a utilização indiscriminada de redes sociais e de atos corriqueiros como contratações, fornecimento de dados para cadastramento, realização de negócios jurídicos diversos, entre outros, é uma constante. Newton De Lucca, deixa claro a importância do tema da proteção de dados pessoais ao mencionar: "Quando se fala em proteção de dados pessoais, não se está falando de um simples modismo tão a gosto dos oportunistas de plantão. Muito ao contrário, estamos tratando, antes de tudo, dos caminhos a serem tomados pela própria humanidade".1 Precisamos refletir como serão tutelados e, principalmente, como serão efetivados na prática, tais direitos que pertencem ao ecossistema de proteção de dados brasileiro, de forma a não sobrecarregarmos (ainda mais) o Poder Judiciário, uma vez que não é demasiado supor que ao mesmo tempo em que crescem os instrumentos protetivos dos titulares de dados, cresce também a perspectiva financeira e interesses sobre os mesmos dados, potencializando possíveis conflitos e aumento no número de demandas judiciais.   Aliás, devemos ponderar que o Poder Judiciário está sobrecarregado e que, por muitas vezes, não traz a resposta buscada pelas partes. Como bem pontua Guilherme Magalhães Martins: "Por um lado, a exaustão do modelo tradicional de resolução de conflitos é algo que não pode ser desconsiderado, de modo que o processo judicial, durante muito tempo, converteu-se na única resposta que se oferece para qualquer embaraço no relacionamento entre as partes. A procura pelo Judiciário foi tão excessiva que o congestionamento dos Tribunais inviabilizou o cumprimento de um comando fundante contido na Carta Cidadã, pela Emenda Constitucional 45/2004: a duração razoável do processo"2 Neste cenário, torna-se premente a necessidade de se oferecer respostas rápidas e eficazes aos titulares de dados e à sociedade em geral, de forma cooperativa e colaborativa com a LGPD, sempre com atenção aos ideários da ANPD - Autoridade Nacional de Proteção de Dados. E é exatamente neste contexto que, a partir de uma verificação ligeira do sistema de resolução ética de conflitos, efetivaremos uma proposta colaborativa visando a integração das organizações e empresas, aos princípios voltados para a proteção de dados pessoais.   FORMAS ALTERNATIVAS DE RESOLUÇÃO DE CONFLITO EM BREVE CONTEXTO. Os conflitos são inerentes à sociedade e constituem elementos necessários para a evolução e construção do pensamento dos indivíduos que a integram. Todavia, a mudança da cultura jurídica e da educação constitucional, com vistas a proceder à modificação do estado de beligerância que contempla as relações negociais e pessoais, a partir de uma proposta de mudança do próprio homem voltado para uma educação e cultura que envolva valores éticos e morais mais aprimorados, leva a possibilidade de se buscar mecanismos que possam viabilizar a busca da justiça de forma distinta das soluções jurisdicionadas. Entre os meios clássicos voltados para a solução de conflitos, há modelos intervencionistas heterocompositivos que são métodos de solução de conflitos em que há a presença de uma terceira pessoa estranha ao conflito, magistrado nos procedimentos judiciais ou árbitro nos procedimentos arbitrais (Lei 9.307/96 alterada pela lei 13.129/15), que possui o poder decisório e substitui a vontade dos conflitantes, no âmbito de suas jurisdições (plena ou mitigada), impondo a decisão e formando a coisa julgada material, que deve ser cumprida pelas partes sob pena de execução forçada, conforme os meios legalmente permitidos. Os meios alternativos de resolução de conflitos, também conhecidos pela sigla MARC ou, ainda, internacionalmente, como ADR (Alternative Dispute Resolution), podem contribuir como técnicas e mecanismos utilizados na busca da satisfação de controvérsias, independente da via jurisdicional clássica e se integram no movimento de acesso à Justiça, no âmbito de suas ondas renovatórias tão bem apresentadas por Cappelletti e Garth Bryant.3 Cappelletti é um dos grandes defensores da "justiça coexistencial" composta de técnicas diferenciadas de solução de conflitos que não as jurisdicionais, como forma de assegurar acesso à Justiça.4 Os modelos autocompositivos de solução de conflitos, materializam-se por meio de negociações diretas onde as próprias partes conflitantes possuem o poder decisório sobre suas questões. São procedimentos que não envolvem a intervenção de tribunais e a estabilidade de sentenças e, são praticados com bons ofícios por mediação e conciliação. A mediação é meio de solução de controvérsias entre particulares e diferencia-se da negociação pela presença de um terceiro imparcial e sem poder decisório, escolhido ou aceito pelas partes, que as auxilia e estimula a identificar ou desenvolver soluções consensuais para a controvérsia, facilitando a retomada de diálogo e a pacificação social. (Lei 13.140/15; Resolução nº. 125/10, do CNJ; CPC, art. 3º, parágrafo 3º) Já a conciliação, pode ser caracterizada como uma ferramenta de solução de conflitos em que terceiro imparcial auxilia as partes a identificarem seus reais interesses e utilizarem o diálogo como fonte principal para solucionar os litígios. Porém, ao contrário da mediação, o terceiro imparcial (conciliador) está autorizado a sugerir opções para dirimir as controvérsias, o que não ocorre na mediação. (CPC, art. 3º, parágrafo 3º) Por sua vez, a automediação é técnica de autocomposição direta que busca a solução ética negociada, na resolução de conflitos patrimoniais existentes e em processamento ou em vias de existir. A automediação jurídica, é técnica instrumental desenvolvida por automediadores, profissionais do direito (CPC, art. 3º, parágrafo 3º) que criam cenários e modelos negociais para a contribuição na solução do conflito, independentemente de sua natureza, gerando ambiente de harmonia, confiança mútua e respeito profissional, sobre intenso regramento ético e moral, objetivando a celebração de uma transação final.5 Este conjunto de possibilidades e de tecnicalidades voltadas para a solução ética de conflitos, num autêntico sistema de múltiplas portas, gera alternativas validas e eficientes ao ideário de justiça. E neste ponto são oportunas as palavras de Nancy Andrighi e de Gláucia Falsarella Foley: "É o diálogo e a conduta assertiva, ensinados desde os primeiros passos e em todos os cantos, que têm o condão de conduzir a humanidade ao equilíbrio da vida harmoniosa. A contenciosidade cede lugar à sintonia de objetivos e os rumos da beligerância podem ser abandonados para dar lugar à Justiça doce, que respeita a diversidade em detrimento da adversidade. Descortina-se, assim, uma nova estrada que todos podem construir, na busca do abrandamento dos conflitos existenciais e sociais, com a utilização do verdadeiro instrumento e agente de transformação - o diálogo conduzido pelo mediador, no lugar da sentença que corta a carne viva."6 O NECESSÁRIO DIÁLOGO ENTRE O CPC E A LGPD NA BUSCA DA SOLUÇÃO DE CONTROVÉRSIA A existência da "cultura do litígio", termo utilizado para evidenciar a utilização do Poder Judiciário, através do processo judicial, como mecanismo principal da sociedade para solução de conflito, gera um descompasso entre a celeridade de resolução dos conflitos e a instantaneidade almejada em ambiente de sociedade da informação. Desde há muito as leis processuais civis se reformam e se instrumentalizam, no âmbito do acesso à Justiça, para possibilitar a rápida solução dos litígios e a busca da efetividade, enfatizando e realçando as composições amigáveis entre as partes, como um dos deveres  do magistrado, como previsto no art. 139, inciso II do CPC  que, além de velar pela duração razoável do processo, deve se utilizar de mecanismos voltados para possibilitar a autocomposição entre as partes como os previstos no art. 334 e o art. 3º, parágrafo 2º do mesmo Diploma Legal, que impõe ao Estado o encargo de promover práticas pacificadoras como a conciliação, a mediação e outros métodos de solução consensual de conflitos.  Dialogando-se estes princípios estabelecidos na lei processual com os princípios protetivos da LGPD e formatos de solução de controvérsias, almeja-se um sistema que permita a adequada solução de certos conflitos relacionados à proteção de dados pessoais, considerando-se não só a pronta proteção dos titulares dos dados afetados por algum incidente de vazamento ou de qualquer outro gênero, e a necessidade de se proteger também os interesses institucionais da organização afetada, em um ambiente revestido e impactado pela presença das tecnologias da informação. Desta forma, há que se incentivar o sistema de múltiplas portas, resultante das diferentes possibilidades de resolução de controvérsias, em especial a negociação, a mediação e a conciliação, implementando, desta forma, meios consensuais acessíveis e que evitem o congestionamento do Judiciário, permitindo ao titular de dados uma resposta célere e amigável, satisfazendo seus direitos, e que não precisa ser imposta por sentença judicial. E neste ponto, bem-vinda é a previsão da LGPD que traz em seu artigo 52, parágrafo 7º - dispositivo incluído pela Lei n° 13.853, de 08 de julho de 2019 - a menção expressa da possibilidade de realização de conciliação entre o controlador e o titular de dados pessoais, nos seguintes termos: Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional § 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.     Independentemente das motivações para inclusão deste parágrafo ou mesmo da atecnia em sua redação - uma vez que utiliza o termo "vazamentos", e que, não inclui, em sua redação, a figura do operador, quando o incidente estiver a ele relacionado - encontramos a expressa menção à conciliação como forma de resolução de conflito.  Caberá à ANPD o desafio de regrar e melhor interpretar o alcance deste dispositivo, fiscalizar o seu cumprimento, bem como lidar com as disputas que devem surgir entre os titulares e os agentes de tratamento de dados. 4. UMA PROPOSTA PARA A IMPLANTAÇÃO DA CULTURA DE SOLUÇÃO ÉTICA DE CONFLITOS EM LGPD O caminho que poderá contribuir para a cultura da proteção de dados no país, parece-nos ser o da criação de um ambiente interativo e operativo, voltado para o uso das bases tecnológicas que são características da sociedade informacional, que facilite a resolução de conflitos e que seja pautado na transparência, eficiência e equidade, como forma de buscar respostas concretas e eficazes às demandas relacionadas à aplicação da LGPD em eventos fatalísticos, independente de sua natureza. A implementação da cultura de solução ética na resolução de conflitos, voltada para a autonomia das partes, perpassa pela facilitação da utilização de quaisquer dos métodos de autocomposição que melhor possam atender à ocorrência e às necessidades do titular dos dados pessoais sinistrados, sem se descuidar de um olhar para a autodeterminação informativa e, poderá gerar a responsividade social e regulatória esperada e adequada. Dentro deste escopo, há que se dialogar os fundamentos da LGPD também com o Código de Defesa do Consumidor, para que se possa melhor verificar uma posição estigmática advinda do art. 5, inciso VII do CDC que cria o sistema de nulidade mencionando que "São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços que: VII - determinem a utilização compulsória de arbitragem". Este dispositivo não afasta a ideia da arbitrabilidade em questões que envolvam um Consumidor titular de dados pessoais em incidente decorrente de relação de consumo. O STJ, em acórdão relatado pelo Min. Luís Felipe Salomão, entendeu que "só terá eficácia a cláusula compromissória já prevista em contrato de adesão se o consumidor vier a tomar a iniciativa do procedimento arbitral, ou se vier a ratificar posteriormente a sua instituição, no momento do litígio em concreto". (REsp 1.189.050) Em vários países se populariza a ideia de se facilitar o acesso a este modelo de jurisdição arbitral, no que se convencionou denominar de arbitragem consumerista. Na Espanha este modelo é financiado pelo Poder Público e é voluntário, somente acionado por iniciativa do consumidor. Nos Estados Unidos, a arbitragem consumerista é popular e prevê a cláusula compromissória. Na Argentina há uma arbitragem financiada pelo Estado, sendo pública a oferta de acordo pela empresa. Tanto a UNCTAD (Conferência das Nações Unidas sobre Comércio e Desenvolvimento) como a Organização para a Cooperação e Desenvolvimento Econômico (OCDE), recomendam o uso de plataformas digitais e a adoção da mediação e arbitragem on-line. Com a recente Resolução 358, do CNJ, projetam-se sistemas informatizados de Resolução de Disputas Online (ODR- Online Dispute Resolution) para a resolução de conflitos, voltados à tentativa de conciliação e mediação, no formato de Tribunais on-line. Crescem assim,  as iniciativas voltadas a concepção de  instrumentos múltiplos de solução de controvérsias, a exemplo da efetivada pela  Secretaria Nacional do Consumidor (Senacon) capitaneada pela Presidente Juliana Domingues, por meio de um Centro de Arbitragem de Consumo e do uso da plataforma Consumidor.gov.br, como ferramenta de conciliação funcionando no modelo hub de sistemas de negociações extrajudiciais, incluindo a própria arbitragem, transformando-o em um sistema "multiportas" de solução de conflito on-line do Poder Público.7 Em ambiente favorável à implementação da cultura protetiva de dados e implantação das múltiplas possibilidades na busca da solução de conflitos, há que se criar instrumentos eficazes e controles internos que possam refletir este ideário. Neste cenário propício, caberá aos agentes de tratamento de dados, atuarem de forma preventiva e proativa, utilizando-se de alguns instrumentos, independente dos aspectos sancionadores das normas da LGPD e das imposições regulatórias, como meio de viabilizar a utilização dos métodos extrajudiciais e administrativos para solucionar conflitos. A proposta de instrumentalização destes sistemas, perpassa pelo próprio sistema de governança corporativa da organização ou entidade, quando existente e pelo sistema de governança de privacidade de dados, de maneira que se faça incluir em documentos específicos que forma as políticas gerais e de melhores práticas, a adesão prévia e irrestrita, de auxílio do titular dos dados pessoais que foi vitimado por evento fatalístico, na sua busca da melhor opção de resguardo e satisfação de seus direitos. Enumera-se assim, a título propositivo e meramente ilustrativo, haja vista que existem organizações, empresas e instituições dos mais diversos níveis de grandeza e de sofisticação, algumas das condutas que podem ser proativamente efetivadas:  i) Inserção, de regras de apoio e incentivo a procedimentos voltados para a solução ética de conflitos, independentemente de suas múltiplas portas, tanto nas melhores práticas de governança corporativa, como em   termos e condições de uso, política de privacidade e proteção de dados, política de direito dos titulares de dados, acordos de processamento ou documentos congêneres;  ii) Em contratos de qualquer natureza, inserção de cláusulas específicas que possam disciplinar regimes de negociação direta, automediação ou equivalentes, como formulação prévia para a solução do conflito, possibilitando a construção de modelos econômicos sustentáveis e equilibrados.  iii) Treinamento específico do encarregado e dos agentes de tratamento, para que possam efetivar tratativas de autocomposição. Elaboração de material orientativo ao titular dos dados, onde informe especificamente, quais são os instrumentos de solução de conflitos que estão disponíveis no Brasil, no âmbito do sistema de múltiplas portas e canais digitais disponibilizados para atender aos pleitos, especificamente no contexto da autocomposição. Espera-se que a tomada de decisão na adoção de uma postura ética de soluções de conflitos dos usuários by design, onde se incorpore métodos de negociação, conciliação, mediação e de decisões administrativas, possa estar incorporado à arquitetura dos sistemas, devidamente conjugado aos modelos de negócio, gerando a redução de reclamações da ANPD, de passivos judiciais e sanções.8  5.CONCLUSÃO Neste cenário pós-moderno e futurista onde as tecnologias da informação estão cada vez mais impactando as relações empresariais e humanas, a "cultura da pacificação" deve substituir a "cultura do litígio", para que as partes não só saibam que elas podem, na maioria das situações, solucionar suas próprias controvérsias, como também que possuem o apoio na iniciativa, inclusive institucional por parte dos entes públicos como demonstrado.    Concomitantemente à construção do ambiente voltado para a cultura protetiva de dados, encontra-se a necessidade do incentivo às soluções éticas de conflito propagando-se, divulgando-se e incentivando a utilização dos instrumentos não adversariais ou de instrumentos voltados para a arbitragem consumerista a se desenvolverem no modelo de plataformas digitais. Sobrevirão desafios intensos sobretudo, na ocorrência de incidentes de segurança coletivos e de grandes proporções que atinjam interesses transindividuais. Desafios de caráter objetivo voltados para a contenção dos danos e o ressarcimento decorrentes, como também os desafios regulatórios, entre os quais se encontra a melhor forma de gerar eficiência às disposições preventivas e sancionadoras contidas na LGPD. E será nesta ambiência que a adoção de métodos de solução de conflitos autocompositivos, tanto na construção da forma de contenção dos danos como na sua reparação com a necessária agilidade, contribuirá para a adequada responsividade social e regulatória, restaurando-se a pacificação e harmonização social, no âmbito da racionalidade e certeza esperada. E a proposta de implantação prévia das estruturas que possibilitem o acesso às múltiplas portas de solução de conflito, a critério e opção dos consumidores e titulares dos dados pessoais, sintoniza-se  com os princípios da LGPD, com o regramento da ANPD e facilita o  esperado acesso à Justiça, com reflexos sadios  à comunidade, reduzindo o conflito, aumentando a eficiência e o ambiente protetivo em vias de implantação no pais e melhorando indiretamente a própria distribuição de Justiça, na medida em que haverá a redução da litigiosidade com o consequente fortalecimento das estruturas sociais e jurídicas. E assim, temos o nosso próprio tempo...  ___________ 1 DE LUCCA, Newton. Coluna Migalhas de Proteção de Dados. Yuval Noah Harari e sua visão dos dados pessoais de cada um de nós. Disponível em: clique aqui. 2 MARTINS, Guilherme Magalhães. Coluna Migalhas de Proteção de Dados. ODRs e conflitos repetitivos nas relações de consumo. Disponível em: clique aqui. Acesso em: 05/06/2021  3 CAPPELLETTI, Mauro; Bryant, Garth. Acesso à Justiça. Porto Alegre:Fabris.1988. 4 CAPPELLETTI, Mauro O Autor menciona que deveríamos ser suficiente humildes para reconhecer que podemos ter muito o que aprender com tradições africanas e asiáticas acerca da resolução ética de conflitos haja vista o caráter apaziguador. Os métodos alternativos de solução de conflitos no quadro do movimento universal de acesso à justiça. Revista de Processo. São Paulo: RT. Ano 19, n.74, pag.88. 5 SIMÃO FILHO, Adalberto. Artigo intitulado Automediação - Uma proposta para a solução ética de conflitos - Revista de Direito empresarial, concorrencial e do consumidor. RGS: Magister Editora - Vol. 02 -abril de 2005. __A contribuição da automediação na solução de conflitos e a necessidade de mudança da cultura jurídica beligerante. In:IX Encontro Internacional do Conpedi-Quito Equador. 1ed.Florianópolis: Conpedi- Universidad Andina Simon Bolivar - UASB-Quito-Equador, 2018, v. 1, p. 05-22. 6 ANDRIGHI, Nancy et Foley, Gláucia Falsarella in Artigo intitulado  Sistema Multiportas: o judiciário e o consenso - publicado na  Folha de São Paulo - Caderno Opinião - 24/6/08. 7 VENTURA, Ivan. A arbitragem vai além do futebol. Revista Consumidor Moderno. Março de 2021. Disponível em: https://digital.consumidormoderno.com.br/a-arbitragem-que-vai-alem-do-futebol-ed262/  Acesso em: 05/06/2021 8 MARTINS, Ricardo Maffeis. VAINZOF, Rony. Sanções e judicialização em massa: que este não seja o 'novo normal' da LGPD.  9 BOTTINP, Celina. PERRONE, Chrisitan. CARNEIRO, Giovana. HERINGER, Leonardo. VIOLA, Mario. Lei Geral de Proteção de Dados e Resolução de Conflitos: Experiências internacionais e perspectivas para o Brasil - ITS Rio. Rio de Janeiro. Abril de 2020. Disponível em: https://itsrio.org/wp-content/uploads/2020/04/Relatorio_LGPDResolucaoConflitos.pdf Acesso em: 05/06/2021. 10 Vide também a propósito, a matéria publicada no Estadão - Blog. Fauso Macedo - 10/9/20, onde a Diretora da ANPD Nairane Farias Rabelo Leitão e Fabrício da Mota Neves abordam o tema "Autocomposição em proteção de dados: uma realidade possível. 
Quando falamos em Proteção de Dados impossível não pensar na disrupção que está tomando conta do mercado mundial, no que diz respeito à Digital Transformation.  É um tópico que permeia todos os aspectos da vida humana hoje e, por incrível que pareça, a pandemia da Covid veio para deixar isso ainda mais evidente, com a maior utilização das plataformas de comunicação, o teletrabalho (sem falar da máquina substituindo o homem no trabalho), mercado e marketing online, consultas e até cirurgias e exames médicos à distância, sistema bancário online e "paralelo", sistemas de reconhecimento facial, guerras via equipamentos automatizados ou controlados à distância etc... enfim, com o controle e a troca de informações, virtualmente.  E o mercado ainda precisa evoluir quanto à responsabilidade e governança em matéria de proteção de dados pessoais.  Aliás, hoje há uma grande discussão sobre a base da questão... os gestores acham que isso é um problema não técnico, mas negocial e os cientistas da computação dizem: "não, não é um problema de gestão, mas sim um problema de tecnologia".  Já a área do Direito e a perspectiva que aplicamos compreende que é um problema do negócio mas reconhece que tem um fundo tecnológico intrínseco, aproximando as duas visões anteriores. Vivemos tempos interessantes. Lembro-me que, em 2008, Nokia era a companhia de telefone dominante no mundo. Hoje praticamente desapareceu.  BlackBerry, a mesma coisa. No passado, companhias de US$ 150 milhões não desapareciam em 5 anos... ou 10.  Isso nos faz entender que a transformação digital e a disrupção que traz são radicais vez que os negócios que não se adaptam ou que falham nas suas estratégias acabam por ficar "fora do futuro".  E o passo das mudanças não esperam o arranjo do desacerto.  A propagação dessas mudanças é excitante e, ao mesmo tempo, preocupante.  Se por um lado, pode-se lançar uma nova moeda em 5 minutos (literalmente), por outro lado temos, com a Internet das Coisas ("IoT") uma infinidade de equipamentos, como nossos telefones, que estão conectados e interconectados, gerando uma incrível  quantidade de dados como nunca se viu antes, dados estes que trazem enormes oportunidades mas que, as empresas precisam controlar, cujos processos são flexíveis, que são dinâmicos per si e que podem ser objeto de mudanças pelo próprio usuário de forma rápida, o que torna o gerenciamento deles incrivelmente difícil, fazendo com que a segurança cibernética ("Cybersecurity") passe a ser ao mesmo tempo, um desafio enorme e uma interessante oportunidade. E quando pensamos em inteligência artificial ("AI ou Artificial Intelligence") ou Machine Learning ("ML") certamente a velocidade é algo que sobrepassa nossa capacidade humana de lidar com muitos aspectos do mercado sendo um deles, certamente, o controle da legalidade e retidão dessas mudanças tecnológicas e dos dados que são, através delas, manipulados. A Cybersecurity, portanto, passa a ser um componente quase existencial e certamente essencial das empresas nos dias de hoje; e o "quase" só está aqui porque no Brasil, ainda é possível se criar um CNPJ sem a utilização dos sistemas eletrônicos, o que em muitos países já não é possível vez que todo o processo é informatizado. Enquanto o custo para os ataques cibernéticos caiu para quase zero, o custo com a segurança continua crescendo dada vez mais. Assim, o preço dos serviços que ameaçam a segurança é bem baixo, o que pode estimular os incidentes de segurança com os dados pessoais.1 Os hackers hoje podem estar em qualquer lugar, são organizados em "empresas" muito bem remuneradas, operam em escala global, com produtos em vários mercados e só visam lucro, sem se importar com qualquer outro aspecto da vida humana. Existem fontes não tradicionais de se encontrar talentos, inclusive para serviços de contra segurança cibernética. E "dados" de pessoas, empresas e governos têm se tornado cada vez mais um asset com valor financeiro imensurável e fungível. Com tanta facilidade "para o crime" cibernético, as legislações mundiais evoluíram numa tentativa, ainda que não bem-sucedida (ainda), de impedir tais ataques ou usos indevidos de dados e tecnologias. Do ponto de vista de dados pessoais de pessoas físicas, a Comunidade Europeia saiu na frente, ao editar o General Data Protection Regulation que protege os dados privados de cidadãos e residentes da European Union, independentemente de qual empresa esteja utilizando tais dados, ou onde tais dados estejam sendo tratados. Os Estados Unidos têm centenas de leis de proteção de dados e/ou segurança de dados que protegem a captação, manutenção ou guarda segura, o descarte e o uso de dados pessoais coletados de seus residentes, principalmente no que diz respeito à segurança dos números de identidade dos americanos (Social Security Numbers), sendo que algumas dessas leis aplicam apenas aos órgãos públicos, outras apenas aos privados e outras ainda, a ambos. Claro que todos prefeririam lidar com uma legislação nacional e única, ainda por vir. Com isso em mente e avaliando os regramentos existentes, os cientistas e legal players viram a California criar a primeira lei geral de proteção de dados mais ampla que todas as demais e que, hoje serve de referência a Democratas e Republicanos que tentam elaborar e fazer passar uma lei nacional geral.  O California Consumer Privacy Act foi instituído em junho de 2018 e passou a viger em 1º de janeiro de 2020. Outra legislação de escopo e abrangência geral é a Protection Of Personal Information Act ("POPIA") da África do Sul. E por fim, temos aqui no Brasil a Lei Geral de Proteção de Dados. A intenção neste artigo é fazer uma brevíssima comparação entre esses quatro regramentos e seu compliance nos países ou regiões que abrangem.  Num quadro comparativo simples, temos o seguinte:   GDPR CCPA POPIA LGPD ABRANGÊNCIA Global No estado e globalmente para os residentes do estado Restrito a organizações que são baseadas ou que processam dados na África do Sul Geral TEMPO MÁXIMO PARA RESPOSTA AO INTERESSADO  (Data Subject Access Request) Dentro de um mês 45 dias, podendo ser estendido a, no máximo, 90 dias Em prazo razoável Max. 15 dias DATA PROTECTION OFICER Obrigatório para órgãos governamentais e/ou públicos e companhias que processam dados pessoais em larga escala Não é exigido Obrigatório sem exigência de alguém dedicado integralmente a essa função Obrigatório pessoa dedicada e indicada especificamente para isso PRAZO PARA COMUNICAR VIOLAÇÃO Dentro de 72 horas Não há um prazo geral, mas o Estado da Califórnia exige respostas a demandas de consumidores em prazo máximo de 72 horas Assim que possível Em um prazo razoável (tendo sido regulado pela ANPD o prazo de até 2 dias úteis do conhecimento do incidente) VALOR DE PENALIDADE EM CASO DE VIOLAÇÃO Max de 4% do faturamento anual global ou ?20 milhões, o que for maior US$ 7500 por cada violação individual, para demandas pessoais US$750 por incidente R10 milhões de multa ou/e 10 anos de prisão a depender do caso 2% do faturamento anual da empresa, limitado a R$ 50 milhões Continuaremos, no próximo periódico, abordando legislação europeia, na Parte II deste artigo e, na sequência, trataremos da legislação da África do Sul e do Brasil, na Parte III e última.  Renata Marcheti é professora doutora da USP. Advogada e membro fundadora do Instituto Avançado de Proteção de Dados (IAPD), instituo este que conta com vários membros dedicados à pesquisa aplicada em matéria de proteção de dados pessoais. __________ *GDPR - General Data Protection Regulation - A GDPR foi adotada pelo Parlamento Europeu em abril de 2016 paçou a ser vigente com eficácia total a partir de Maio de 2018. Acessado em 01/7/2021. **CCPA - California Consumer Privacy Act - CCPA passou a viger na Califórnia em 2018. Acessado em 01/7/2021. ***POPIA - Protection of Personal Information Act - POPI Act ou POPIA, passou a viger com eficácia plena em 1º de julho de 2021, tendo sito editada pelo Parlamento da África do Sul em 2020.    ****LGPD - Lei Geral de Proteção de Dados - LGPD de agosto de 2018, regula a proteção de dados de pessoas físicas e jurídicas no Brasil. 1 MIT Digital Transformation Course - Professional Education - M6.
Introdução O homem-de-vidro ("l'uomo di vetro"), para Stefano Rodotà, é uma metáfora do homem à luz de um sistema totalitário. Transparece a ideia de que o Estado tem o poder de conhecer tudo o que diz respeito aos indivíduos (inclusive, os aspectos mais íntimos), deixando-o, em verdade, "nu" à visão e vigilância estatal1. Em tema de privacidade e proteção de dados pessoais, o séc. XXI se iniciou com os inúmeros avanços de disposições normativas da década de 1990, no Ocidente - por exemplo, com a Diretiva 95/46/CE, na União Europeia, e com a edição de uma série de normas setoriais, nos EUA, como o Health Insurance Portability and Accountability Act (HIPPA - 1996), o Children's Online Privacy Protection Act (COPPA - 1998) e o Gramm-Leach-Bliley Act (GLBA - 1999), que dispõem, respectivamente, da proteção de dados pessoais na área da saúde, da proteção online da privacidade e da proteção de dados de crianças (menores de 13 anos) e da proteção dos dados pessoais no âmbito de serviços financeiros. No entanto, nos EUA, os eventos traçados pela Al-Qaeda, em 11 de setembro de 2001 (com a colisão de um avião contra o Pentágono, em Washington, de dois aviões contra as Torres Gêmeas, em Nova York, e da queda de um quarto avião, nos arredores de Shanksville, na Pensilvânia), alteraram o balanceamento entre a proteção à privacidade e aos dados pessoais, de um lado, e a segurança nacional, do outro (não somente nos EUA, mas em diversos países). Esses eventos de 2001 e as suas consequências de ordens política e normativa (muitas das quais apenas expostas em 2013, por Edward Snowden) simbolizam como uma ponderação imperfeita entre os supracitados fatores é capaz de gerar irremediáveis danos tanto a um (aos cidadãos, titulares de dados pessoais) quanto ao outro (à segurança nacional).  Peek-a-boo: I see you!" - Esconde-esconde: achei você! Em 26 de outubro de 2001, o governo de George W. Bush aprovou o USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism), que foi um pacote de alterações legislativas e de novas disposições (sobretudo, investigativas), com o qual os EUA expandiu os seus poderes de vigilância estatal - por meio, e.g., da criação de um banco genético para a identificação de investigados por terrorismo e por outros crimes que se utilizem da violência (Section 503 do Patriot Act), assim como o aumento dos poderes do FBI no monitoramento dos indivíduos, o que incluiu o "Sneak and Peek Search Warrant". "Sneak and Peek Search Warrant" (Delayed Notice Warrant - previsto pela Section 213 do Patriot Act) é um tipo de mandado de busca e apreensão de informações sem prévia notificação ao cidadão investigado. Consiste, para alguns, em uma exceção2 à Quarta Emenda (Fourth Amendment) da Constituição dos EUA (para outros, verdadeira afronta e inconstitucionalidade3), que declara a necessidade de uma "causa provável" para a realização de mandados de busca e apreensão (Searches and Seizures Warrants), bem como da notificação daqueles que tiverem de ser investigados. A Fourth Amendment, à título comparativo, assim declara: "Não será infringido o direito do povo à inviolabilidade de sua pessoa, casas, papeis e haveres, contra buscas e apreensões não-razoáveis e não se expedirá mandado a não ser mediante indícios de culpabilidade, confirmados por juramento ou declaração, e nele se descreverão particularmente o lugar da busca e as pessoas ou coisas que tiverem de ser apreendidas."4 Outra ampliação de poderes paradigmática foi a estabelecida pela Section 215 do Patriot Act, que permitiu ao governo, alterando o Foreign Intelligence Surveillance Act (FISA), de 1978, a obtenção de ordens judiciais, de maneira secreta (emitidas pela Corte responsável pela fiscalização do FISA, a  Foreign Intelligence Surveillance Act Court - FISC ou FISA Court), para a disponibilização, por terceiros (como Provedores de Serviços de Telecomunicação e de Internet), de gravações (como conversas telefônicas) e outras "coisas tangíveis" (tangible things), no caso de as razões para a disponibilização serem consideradas "relevantes" para o combate ao terrorismo, à contraespionagem ou às investigações sobre inteligência estrangeira. Além disso, as ordens judiciais, como estabelecidas pela Section 215 do Patriot Act, quando combinadas com outras suas disposições (como a Section 216), permitiram ao governo o acesso às informações (dados pessoais) das atividades online dos cidadãos dos EUA, como dados de e-mail e históricos de pesquisa5. Essas ferramentas de vigilância eram instrumentalizados, sobretudo, por  National Security Letters (NSLs), requeridas pelo FBI e pela NSA (National Security Agency), a fim de obter informações e dados pessoais de cidadãos dos EUA6 -  todos, como dito, com fundamento no USA Patriot Act. Inicialmente previsto para ter as disposições expiradas ao fim de 2005, muitas das ferramentas de vigilância do USA Patriot Act perpetuaram-se por novas sunset rules ao FISA (de 1978). Durante a década de 2000, com o crescimento da sociedade e do capitalismo informacionais, bem como da importância do cyberspace e o seu grau de influência sobre a comunicação internacional, o número de ordens judiciais emitidas pela FISC aumentou exponencialmente: apenas com relação aos requerimentos para o acesso sobre gravações e outras "coisas tangíveis", produzidas por terceiros (como os Provedores de Serviços de Internet - PSI), foram emitidas 21 ordens judiciais em 2009 e 212 em 2012, ano no qual nenhum requerimento do governo, com relação às gravações, foi negado pela FISC. Era pós Edward Snowden Dentre as emendas ao FISA (Foreign Intelligence Surveillance Act de 1978), destacou-se, como divulgado por Edward Snowden, em 2013 (o ex-agente da NSA que expôs os estruturados programas de vigilância global dos EUA), o FISA Amendments Act of 2008, que, por meio de sua Section 702, permitiu à NSA a vigilância sobre pessoas localizadas fora dos EUA (de não-estadunidenses), principalmente pelos programas PRISM7, Xkeyscore (compartilhado com as agências de inteligência da Five Eyes Alliance8: EUA, Reino Unido, Canadá, Austrália e Nova Zelândia)9 e Bullrun10. O PRISM, inclusive, impôs vigilância sobre a então Presidente do Brasil, Dilma Rousseff, e de vários outros líderes internacionais, como o ainda candidato à Presidência do México, Enrique Peña Nieto11. Além da vigilância sobre as pessoas de Estados estrangeiros, os programas também coletaram, massivamente, informações e dados pessoais dos cidadãos estadunidenses (por meio da Section 215 do Patriot Act, como retratada). Os documentos de Snowden revelaram, e.g., a coleta de dados a partir das Big Techs do Vale do Silício, como Microsoft (a partir de 2007), Yahoo (desde 2008), Google e Facebook (desde 2009), Youtube (desde 2010) e Apple (desde 2012), mas também de outros Provedores de Serviços de Internet e de Telecomunicações (como a Verizon), inclusive, ao redor do mundo (cada qual segundo os dispositivos legais referidos - principalmente, Section 702 da FISA, quanto aos não-estadunidenses, e Section 215 do Patriot Act, quanto aos estadunidenses). Do Patriot Act ao Freedom Act  As revelações de Edward Snowden avançaram as discussões sobre como a coleta e o tratamento de dados pessoais em massa, na sociedade em rede, estava, dia-a-dia, mitigando a privacidade e a proteção dos dados pessoais, com o reforço ou, ao menos, a aquiescência de Estados democráticos. Em 2013, o Congresso dos EUA iniciou a análise das modificações que poderiam ser realizadas nas ulteriores emendas ao FISA (desdobradas do Patriot Act, após 11 de setembro de 2001), o que incluía o fim da coleta massiva de dados pessoais por parte do governo. Um dia antes de expirarem as autorizações do Patriot Sunsets Extension Act of 2011 (assinada pelo então Presidente Barack Obama, em 11 de maio de 2012), o Congresso dos EUA, em 02 de junho de 2015, promulgou o USA Freedom Act (Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act), que previu a continuidade de muitos dos mecanismos do Patriot Act, porém desautorizou ao governo, de forma ampla, a continuar com a coleta massiva de dados de gravações e de outras "coisas tangíveis", realizadas com base na Section 215 do Patriot Act. Essas limitações foram dispostas, de forma geral, pelas Sections 103, 201 e 501 do Freedom Act. A partir de então, e.g., a NSA passou a necessitar determinar, de forma específica, as pessoas ou entidades sobre as quais solicitava informações (por meio de National Security Letters)12. Disposições semelhantes foram válidas para o FBI, e.g., com relação às gravações solicitadas àqueles que eram sujeitos ao Fair Credit Reporting Act13. Quanto a Section 702 do FISA, que permite a coleta de informações e dados de não-estadunidenses, fora dos EUA, a FISA Amendments Reauthorization Act of 2017 estendeu os poderes do governo para até 31 de dezembro de 2023, embora com restrições. Por outro lado, as disposições do USA Freedom Act (correspondentes aos poderes de vigilância estatal), que estariam em vigor até 15 de dezembro de 2019, foram, inicialmente, estendidas até 15 de março de 2020. Em 11 de março, o Congresso dos EUA, em razão do contexto crescente da COVID-19, aprovou uma nova autorização, prorrogando-o até junho de 2020.  Em maio, a tentativa de uma nova autorização, porém, não obteve sucesso, e as disposições (incluindo o conteúdo da Section 215) foram, finalmente, extintas (havendo, inclusive, veto do então Presidente Donald Trump)14. Era pós Donald Trump Em 2021, a redução dos poderes de vigilância dos EUA (ocorrida em 2020) recai, sobretudo, sobre os residentes nos EUA, já que as possibilidades de vigilância sobre os cidadãos não-estadunidenses, no estrangeiro, permanecerá, ao menos, até 2023 - o que não significa, porém, que o conteúdo da Section 215 não possa, em breve, ser reincorporado, sob o governo de Joe Biden15. Entretanto, essa reincorporação certamente enfrentará a pressão da sociedade civil (em defesa da privacidade e da proteção dos dados pessoais) e da falta de adequação do sistema de proteção de dados pessoais dos EUA frente ao da União Europeia, fortalecido pelo RGPD (Regulamento Geral de Proteção de Dados), o qual é, em partes, fruto da urgência provocada pelas revelações de Edward Snowden sobre o perpetuar, no séc. XXI, do homem-de-vidro (como, cogita-se, ainda diria Stefano Rodotà) e do panoptismo, pelo vigiar dos Estados (como os próprios EUA) sobre os cidadãos, sob o pretexto e/ou contexto da segurança nacional e global. Assim, embora um certo grau de vigilância, para a defesa da segurança dos Estados, seja realmente necessário, o seu avanço, em tempos de polaridade política nos EUA (à exemplo da invasão do Capitólio, em Washington, em 06 janeiro de 2021, entendida pelo Presidente Joe Biden como "terrorismo nacional"), poderá, decerto, levar o país uma vez mais à uma escalada de mitigação de direitos, incluindo a privacidade e a proteção de dados pessoais, em benefício da segurança nacional e do combate ao terrorismo. __________ 1 Para Rodotà: "L'uomo di vetro' è metafora totalitaria perché, reso un omaggio di facciata alle virtù civiche, nella realtà lascia il cittadino inerme di fronte a chiunque voglia impadronirsi di qualsiasi informazione che lo riguardi". RODOTÀ, Stefano.  Relazione annuale 1997. Prefazione. Garante per la Protezione dei Dati Personali, 30 abril 1998. Disponível aqui. Acesso em: 12 mar. 2021. 2 BERKMAN CENTER FOR INTERNET & SOCIETY. Harvard Law School. Privacy in Cyberspace. Module V - Governmental Collection of Data - Part II: USA Patriot and Foreign Intelligence Surveillance. Berkman Online Lectures & Discussions - Harvard Law School. Disponível aqui. Acesso em: 11 mar. 2021. 3 MCKINNEY, India. Reform or Expire. Electronic Frontier Foundation. Disponível aqui. Acesso em: 12 março 2021. 4 USA. U. S. Const. amend. IV. Disponível aqui. Acesso em: 12 mar. 2021. 5 BRENNAN CENTER FOR JUSTICE. Are They Allowed to Do That? A Breakdown of Selected Government Surveillance Programs. Brennan Center for Justice at New York University School of Law, 2020, p. 02. Disponível aqui. Acesso em: 12 mar. 2021. 6 USA. Department of Justice. 2012 Annual Report on FISA Implementation. Office of the Assistant Attorney General, Washington D.C., 30 abril 2013. Disponível aqui. Acesso em: 11 mar. 2021. 7 Programa de vigilância global desenvolvido pela NSA. Confira: GREENWALD, Glenn. NSA paid millions to cover Prism compliance costs for tech companies. The Guardian, 23 ago. 2013. Disponível aqui. Acesso em: 12 março 2021. 8 Confira: GEIST, Michael. Law, Privacy and Surveillance in Canada in the Post-Snowden Era. Ottawa: University of Ottawa Press, 2015, p. 225. 9 Outro programa da NSA que permite a vigilância da agência de inteligência sobre uma vasta coletânea de dados coletados de milhões de usuários. Confira: GREENWALD, Glenn. XKeyscore: NSA tool collects 'nearly everything a user does on the internet'. The Guardian, 31 jul.  2013. Disponível aqui. Acesso em: 12 mar. 2021. 10 Programa cujo objetivo é a decriptografia de dados, desenvolvido pela NSA e pelo GCHQ (Government Communications Headquarters), o Serviço de Inteligência britânico. Confira: GREENWALD, Glenn. Revealed: how US and UK spy agencies defeat internet privacy and security. The Guardian, 05 set. 2013. Disponível aqui. Acesso em: 11 mar. 2021. 11 FRANCE24. Prism: les chefs d'État brésilien et mexicain espionnés par la NSA. FRANCE 24, 02 set. 2013. Disponível aqui. Acesso em: 12 mar. 2021. 12 Section 501 do USA Freedom Act: "Section 2709(b) of title 18, United States Code, is amended in the matter preceding paragraph (1) by striking 'may' and inserting 'may, using a term that specifically identifies a person, entity, telephone number, or account as the basis for a request'". USA. Public Law n. 107-56-OCT. 26, 2001. Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT) Act of 2001. Disponível aqui. Acesso em: 11 mar. 2021. 13 Section 501 (c) do USA Freedom Act: "(1) in subsection (a), by striking 'that information' and inserting 'that information that includes a term that specifically identifies a consumer or account to be used as the basis for the production of that information'; (2) in subsection (b), by striking 'written request' and inserting 'written request that includes a term that specifically identifies a consumer or account to be used as the basis for the production of that information'; and (3) in subsection (c), by inserting 'which shall include a term that specifically identifies a consumer or account to be used as the basis for the production of the information' after 'issue an order ex parte'." USA. Public Law n. 114-23-FEB. 06, 2015. Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act of 2015 or the USA FREEDOM Act of 2015. Disponível aqui. Acesso em: 12 mar. 2021. 14 SAVAGE, Charlie. McConnell Appears Set to Quietly Suffocate Long-Debated F.B.I. Surveillance Bill. The New York Times, 14 ago. 2020. Disponível aqui. Acesso em: 12 mar. 2021. 15 MCKINNEY, India. Section 215 Expired: Year in Review. Electronic Frontier Foundation, 29 dez. 2020. Disponível aqui. Acesso em: 12 mar. 2021.
Introdução Os trabalhos de implementação da Lei Geral de proteção de Dados Pessoais-LGPD1 no Tribunal de Justiça do Estado de Santa Catarina-TJSC, tiveram início no final do ano de 2018. Desde esta época, as atividades vêm evoluindo de maneira pioneira e com destacado sucesso, fruto do trabalho desenvolvido pelo Comitê Gestor de Proteção de Dados Pessoais-CGPDP2, oficializado em doze de julho de 2019, somado a este o Grupo de Trabalho Técnico, que fora devidamente criado em 20203, quando também fora nomeada a Encarregada4 de Tratamento de Dados Pessoais da Corte Catarinense. Com esta estrutura foi dado o start da implementação da LGPD no Tribunal Catarinense, e vários entregáveis foram sendo efetivados dentro das tarefas anteriormente listadas no Road Map5, construído como referencial a ser seguido no Plano Geral de Implementação da Lei Protetiva perante o Tribunal de Justiça Catarinense. De todas as ações iniciais, constantes no referido Plano de Geral de Implementação da LGPD, uma delas suscitou grandes debates e pesquisas, no que se refere a autenticação6 da pessoa do titular dos dados pessoais, quando da efetivação do exercício de seus direitos constantes na referida Lei Protetiva, especialmente aqueles elencados em seu artigo dezoito. Este será o objeto de análise neste artigo, recomendando-se a todas as organizações, quer sejam públicas ou privadas, que se preocupem em não somente atender a demanda dos direitos dos titulares dos dados pessoais, mas que fiquem atentos quanto a autenticação e certificação daquele que se diz o titular dos dados pessoais, para não incorrerem nas sanções constantes nesta legislação específica, entregando-se indevidamente dados pessoais a quem não é de direito. A criação inicial dos fluxos para recebimento das requisições dos direitos dos titulares e a preocupação com a autenticação da pessoa requisitante. Incialmente foram criados pelo Grupo Técnico de Trabalho e pela Encarregada de Tratamento dos Dados Pessoais, perante o TJ/SC, quatro fluxos7 de atendimento das requisições por parte dos titulares dos dados pessoais. De forma breve, podemos exemplificar que os pedidos dos titulares foram formatados para serem atendidos primeiramente, através do E-mail ou telefone da Encarregada, em um segundo momento as requisições dos titulares podem ser recebidas através de formulário eletrônico constante dentro do canal da Ouvidoria, cuja parceria foi feita pelo Comitê Gestor e Grupo de Trabalho Técnico, em razão da estrutura já existente neste local, e por último foi criado um fluxo para atendimento de demandas vindas através dos respectivos órgãos regulatórios, ou seja, da Autoridade Nacional de Proteção de Dados-ANPD, e do Conselho Nacional de Justiça-CNJ8. Quando da construção do citado "Formulário Eletrônico"9 junto à Ouvidoria, as dúvidas e incertezas começaram a surgir, eis que apesar de todos os esforços para oferecer aos titulares dos dados pessoais mecanismos apropriados para o recebimento de suas requisições e ou reclamações, e apesar de termos optado por introduzir em tal documento o nome de sua mãe, chegamos à conclusão que somente com este pequeno acréscimo não seria possível se fazer de maneira segura a autenticação efetiva de tal requisitante. Tomando como exemplo as autenticações dos titulares utilizadas junto aos aplicativos dos Internet Banking, amplamente utilizados por todos nós na atualidade, o Grupo de Trabalho Técnico e esta Encarregada tiveram a ideia da construção de um aplicativo, que pudesse fazer a autenticação em camadas da pessoa do titular dos dados pessoais, fornecendo a certeza de que a resposta da requisição pudesse ser efetivamente entregue a quem tivesse solicitado, e não a qualquer outro terceiro. A construção do aplicativo "LGPD-JUS" e sua utilização, com as parcerias feitas com o AMB-LAB e o ITS do Rio de Janeiro. O aplicativo do "LGPD-JUS", para o atendimento dos pedidos dos titulares dos dados pessoais, nasceu inicialmente pela constatação da falta de autenticação segura da pessoa do titular do dado, na metodologia provisória registrada nos fluxos de atendimento brevemente indicados no item segundo deste artigo, e também por ter sido verificado, que a aquisição de uma assinatura digital para a população em geral, seria impossível, diante do seu alto custo, o que poderia deixar de ser incluída, por exemplo, a camada da população de baixa renda. Para este projeto firmamos desde 2020, parceria com o AMBLAB10 - Laboratório de Inovação e Inteligência da Associação dos Magistrados Brasileiros, e com o ITS11 - Instituto de Tecnologia & Sociedade do Rio de Janeiro, e mais recentemente um acordo de cooperação técnica12 entre o TJSC e o ITS-Rio, com a finalidade de  desenvolver o mencionado aplicativo, observando-se para tanto, que tal aplicativo tivesse como objetivo primordial a inclusão de todas as pessoas, principalmente aquelas de baixa renda, e também para as pessoas com  qualquer deficiência física. Assim, após vários meses de intenso trabalho e diversas reuniões chegou-se a uma versão inicial do "LGPD-JUS", que pudesse ser um canal direito de comunicação com o titular do dado pessoal, inclusive por exemplo o índio da Amazônia, que o TJ/SC pudesse ter agilidade no atendimento das solicitações de direitos dos titulares, que estabelecesse uma sincronia com a rotina da Encarregada de Tratamento de Dados da Corte Catarinense e, por fim, e, principalmente, que realizasse autenticação do titular através da assinatura avançada. Na prática, o aplicativo permite que o titular do dado pessoal e a Encarregada se conectem através de dispositivos móveis e ou notebooks, para tecnicamente: 1-Ter acesso à informação; 2-Consulta; 3- Modificação e 4-Exclusão de todos os seus dados pessoais, quando permitido por lei. Além disto, com o "LGPD-JUS", o cidadão poderá: 1.Obter informações sobre a Lei Geral de Proteção da Dados Pessoais; 2-Saber mais sobre os seus direitos; 3-Confirmar se existe tratamento de seus dados pessoais pelo TJSC; 4-Requisitar acesso aos seus dados pessoais; 5-Requerer a correção de seus dados pessoais, se estiverem incompletos, incorretos ou desatualizados; 6-Pedir o bloqueio ou eliminação de seus dados pessoais, nos termos da lei; 7-Solicitar eliminação de dados tratados com base no consentimento; 8-Revogar o seu consentimento para o tratamento de seus dados; 9-Acompanhar todo o andamento de suas solicitações através do próprio aplicativo. Pode-se desde já constatar que o menu do aplicativo apresenta uma boa orientação ao usuário final, e em termos ergonômicos, facilita o acesso às funções desejadas de modo simples e sem a exigência de muitos níveis de funções, possibilitando que os pedidos relacionados com à LGPD possam ser recepcionados diretamente pela Encarregada e por sua equipe técnica de apoio, de forma direta e precisa. Este aplicativo tem ainda, uma interface simples, oferecendo ao cidadão a informação na palma de sua mão, viabilizando sua inclusão digital, além de possibilitar o acesso às informações relacionadas aos direitos dos titulares dos dados pessoais, requisitando os respectivos serviços diretamente à figura do Encarregado, nos termos da LGPD. Com relação aos níveis de segurança, destaca-se que o cadastro do titular do dado pessoal é etapa obrigatória para o uso o aplicativo e não a cada pedido, implementando-se uma autenticação segura, com recursos de blockchain, possuindo níveis de acesso conforme a criticidade das operações, exigindo poucos recursos de conexão com a internet para operar, baixo acoplamento com os sistemas e a infraestrutura de TI do órgão envolvido, além de disponibilizar ao TJSC o acesso ao respectivo código fonte. O usuário através de item específico poderá gerenciar configurações pessoais, como detalhes da interface, recebimento de notificações e a senha de sua conta, além de ter espaço próprio para cadastramento de um endereço de e-mail, para o recebimento de notificações sobre o andamento e respostas de suas solicitações por este canal. Os níveis de segurança serão aplicados em etapas, de acordo com a necessidade e conteúdo das informações, sendo incorporados os melhores padrões tecnológicos e técnicas de segurança de informação, assegurando a autenticidade, a inviolabilidade, a integridade das informações que trafegarão por meio do aplicativo, estando o mesmo adaptado ao sistema Android e IOS. Convém sublinhar que o aplicativo "LGPD-JUS" será utilizado apenas como uma interface de fácil acesso para o exercício dos direitos dos titulares dos dados pessoais junto ao TJ/SC, sendo que todas as operações relacionadas aos serviços disponibilizados serão executadas no aplicativo, não havendo qualquer integração digital aos sistemas de tecnologia de informação mantidos pela respectiva Corte de Justiça Catarinense, estando o seu lançamento programado para o fim do mês de junho, com utilização em caráter experimental até 31 de dezembro de 2021, de modo a viabilizar o processo de avaliação e adequação do aplicativo, possibilitando ao ITS-Rio a realização das respectivas correções e ajustes, através da problemática que deverá ser apresentada pelo TJ/SC, prestando ainda todo o necessário suporte técnico à equipe da Encarregada para o aperfeiçoamento do "LGPD-JUS". Conclusão Através do estudo e da prática do Programa Geral de Implementação da LGPD perante ao Tribunal de Justiça Catarinense, já podemos apontar que os avanços foram de marcante grandiosidade, ultrapassando-se o grande obstáculo que se fez presente quando do início da formatação dos fluxos de trabalho para atendimento dos direitos dos titulares, investindo-se em parcerias determinantes para o aprimoramento tecnológico desta atividade tão fundamental que é o bom atendimento do titular do dado pessoal , quando estiver no exercício dos direitos constantes na Lei Protetiva. Após este breve relato, é importante destacar que a expectativa do lançamento do "LGPD-JUS" é muito grande por parte de todos os envolvidos, esperando que esta solução venha a facilitar a interação entre os titulares de dados pessoais e da Encarregada do TJSC, aperfeiçoando o atendimento, reduzindo custos e otimizando as atividades inerentes à função. O feedback que deverá ser dado por parte dos usuários do "LGPD-JUS", será de essencial importância para o aprimoramento de sua operacionalização e aperfeiçoamento de todas as suas funções. Espera-se assim que o "LGPD-JUS" possa se tornar modelo para ser aplicado não somente nos demais Tribunais do país, mas também em outras organizações públicas, e até mesmo privadas, a fim de que aconteça a máxima inclusão dos titulares dos dados pessoais quando estiverem à frente da reivindicação de seus direitos, expressamente constantes na Lei Geral de Proteção de Dados Pessoais, a nossa já conhecida LGPD. *Denise de Souza Luiz Francoski é desembargadora do TJ/SC, coordenadora do Comitê Gestor de Proteção de Dados Pessoais do TJ/SC, encarregada do Tratamento dos Dados Pessoais do TJ/SC, membro do Grupo de Trabalho do CNJ para a implementação da LGPD nos cartórios extrajudiciais, mestre em Ciência Jurídica pela Univali, mestre em Relações Internacionais pela Unisul, especialista em Direito Econômico Europeu pela Europen Univerty de Lisboa, especialista em Administração Pública e sociedade pela Udesc. Associada Fundadora do IAPD - Instituto Avançado de Proteção de Dados. __________ 1 Disponível aqui - Acesso em 14.6.2021. 2 Disponível aqui - Acesso em 14.6.2021. 3 Portaria GP n. 1481 -SEI - 0025205-94.2020.8.24.0710 de 13.07.2020. 4 Disponível aqui - Acesso em 14.06.2021. 5 Road Map ou Plano de Ação é um documento onde serão detalhadas todas as atividades constantes no Programa Geral de Implementação da LGPD em uma organização, quer seja de natureza pública ou privada. Nota da Autora. 6 A LGPD não faz menção em seus artigos sobre a autenticação dos titulares dos dados pessoais, todavia este requisito é fundamental para a segurança na entrega das respostas aos requisitantes feita pelo Encarregado. Nota da Autora. 7 Os referidos fluxos poderão ser visualizados no artigo escrito por esta autora: FRANCOSKI, Denise. A Lei Geral de Proteção de Dados Pessoais LGPD: aspectos práticos e teóricos relevantes no setor público e privado. "Aspectos práticos para a implementação da Lei Geral de Proteção de Dados Pessoais-LGPD nos Órgãos Públicos: O case do Tribunal de Justiça de Santa Catarina-TJ/SC ". 1ª. ed. - São Paulo: Thomson Reuters Brasil, 2021, p. 29 a 100. 8 Os referidos fluxos poderão ser visualizados no artigo escrito por esta autora: FRANCOSKI, Denise. A Lei Geral de Proteção de Dados Pessoais LGPD: aspectos práticos e teóricos relevantes no setor público e privado. "Aspectos práticos para a implementação da Lei Geral de Proteção de Dados Pessoais-LGPD nos Órgãos Públicos: O case do Tribunal de Justiça de Santa Catarina-TJSC ". 1ª. ed. - São Paulo: Thomson Reuters Brasil, 2021, p.80/81. 9 FRANCOSKI, Denise. "Aspectos práticos para a implementação da Lei Geral de Proteção de Dados Pessoais-LGPD nos Órgãos Públicos: O case do Tribunal de Justiça de Santa Catarina-TJ/SC". 1ª. ed. - São Paulo: Thomson Reuters Brasil, 2021, p. 81/82. 10 Disponível aqui - Acesso em 14.6.2021. 11 Disponível aqui  - Acesso em 14.06.2021. 12 O acordo de cooperação técnica poderá ser visualizado no Processo SEI 0015003-24.2021.8.24.0710, no portal do TJ/SC.
sexta-feira, 11 de junho de 2021

Quem vai colocar o guizo no gato?

A proteção de dados, fomentada pelo avanço tecnológico, é cada vez mais debatida nas mais variadas áreas da sociedade. Tal interesse crescente acontece, pois, há uma maior consciência de que o uso indevido de dados pode acarretar severos danos, inclusive podendo manipular as escolhas dos seus titulares. Dentre as diversas novidades trazidas pela Lei Geral de Proteção de Dados (lei 13.709/2018), está a criação da categoria de agentes de tratamento, que engloba a figura do controlador e operador. Contudo, justamente por se tratar de uma lei nova, surgem dúvidas quanto aos limites de atuação desses agentes de tratamento na prática - a ponto de a Autoridade Nacional de Proteção de Dados ter produzido recentemente um guia orientativo para definir os agentes de tratamento.1 Muito se fala sobre o controlador e seu poder de decisão sobre o tratamento de dados pessoais, mas quem, efetivamente, faz o tratamento dos dados? Quem coloca o guizo no gato como na fábula de Esopo, recontada por La Fontaine? O operador, pois, nos termos do artigo 5º, inciso VII, da LGPD, sendo uma pessoa natural ou jurídica, de direito público ou privado, é quem realiza o tratamento de dados pessoais em nome do controlador. A caracterização do agente como controlador ou como operador é sempre contextual, variando conforme a atividade de tratamento específica: uma mesma empresa pode ser controladora ou operadora para atividades diferentes.2 Como exemplo prático de operador, o Tribunal de Justiça de São Paulo, através da Portaria nº 9.918/2020, estabeleceu que, enquanto o próprio Tribunal é o controlador dos dados pessoais por ele tratados, são considerados operadores os provedores de serviços de Tecnologia da Informação e Comunicação daquele Poder Judiciário. O operador não poderá ser um empregado específico da empresa, pois a capacidade de realização de atividades é sempre da instituição e não do funcionário.3 Nesse compasso, no tratamento de dados de usuários de um e-commerce, a empresa de e-commerce será a controladora, as empresas que fornecem a tecnologia, o gateway de pagamento e a nuvem para armazenar os dados serão operadores, sendo que os funcionários de todas essas empresas não serão nem controladores, nem operadores, mas apenas parte da empresa controladora ou operadora.4  Embora atue em nome do controlador e obedecendo suas decisões, o operador poderá exercer certo controle, principalmente, sobre os aspectos técnicos relativos a um serviço específico que será prestado, podendo escolher, por exemplo, o sistema de segurança envolvendo o armazenamento e guarda dos dados pessoais; todavia, somente o controlador poderá tomar decisões sobre as finalidades do tratamento, as bases legais de tratamento e o conteúdo dos dados.5 E quais seriam os seus deveres? Destaca-se que a LGPD fomentou o aspecto preventivo, estabelecendo procedimentos mandatórios para os agentes de tratamento, como, exemplificativamente. ao estabelecer deveres referentes à implementação de severas políticas de segurança para proteção dos dados de acessos não autorizados.6 Nesse sentido, e da leitura em conjunto com o artigo 46 da LGPD, pode-se afirmar que essa lei consagrou um dever geral de segurança. O operador, portanto, deve exercer o tratamento de dados guiado por esse dever de segurança. Assim, deve, o operador, certificar-se de que o seu sistema de segurança, que armazena e guarda os dados pessoais, esteja devidamente protegido contra eventuais ataques cibernéticos, providenciando a proteção necessária. Relacionado a este dever de segurança, está o artigo 37 da LGPD, que prevê ao controlador e ao operador a obrigação de manter registro das operações de tratamento de dados que realizar, especialmente quando baseado no legítimo interesse. Mostra-se necessário, em conformidade ao dever de segurança, que o controlador e operador sempre mantenham atualizado o registro das operações de tratamento. Quanto à relação entre operador e compliance, o artigo 50 da LGPD possibilita que os operadores e controladores formulem regras de boas práticas e de governança, com a ressalva, no seu parágrafo primeiro, de que os agentes de tratamento levem em consideração a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. Entre os procedimentos de boas práticas, a doutrina destaca: a realização de mapeamento de todos os processos de tratamento de dados pessoais para avaliação dos efetivos riscos; a criação de uma matriz de riscos; a adequação dos sistemas e documentos internos aos princípios do tratamento de dados pessoais; o compromisso da alta direção da organização a fim de dar credibilidade ao programa de boas práticas; treinamento dos funcionários e colaboradores para que adequem as suas atividades à LGPD; revisão e implementação contínua do programa de governança, com auditorias internas periódicas.7 Conforme já visto, as atividades do operador são feitas em nome do controlador. Assim, a formulação de regras de boas práticas e de governança só poderá ser realizada pelo operador se houver determinação do controlador para tanto, estando o poder decisório do operador limitado aos aspectos técnicos referentes a como um serviço específico será prestado. Contudo, isso não elimina a liberdade do operador de ter seu próprio programa de governança, boas práticas e compliance para pautar a sua atuação, justificando, inclusive, a negativa de realização dos comandos do controlador. Quanto à responsabilidade civil do operador, para que ocorra a sua responsabilização por danos decorrentes do tratamento, deve haver uma violação legislação de proteção de dados, especialmente, do dever geral de segurança acima referido, representado pela contrariedade a padrões de conduta que legitimamente se pode esperar de um operador. Isso ocorre na hipótese de o operador não tomar as devidas providências de segurança nos seus sistemas de coleta e armazenamento de dados, acarretando vazamentos. O padrão de conduta esperado seria aquele em que o operador mantivesse o sistema seguro (como através de constantes atualizações), bem como notificasse o controlador em caso de qualquer incidente de segurança. No âmbito administrativo, o artigo 52 da LGPD estabelece que controlador e o operador ficam sujeitos às sanções administrativas aplicáveis pela ANPD em razão das infrações cometidas às normas previstas, que podem ser desde advertências, com indicação de prazo para adoção de medidas corretivas, até multa simples, de até 2% do faturamento, limitada a R$ 50.000.000,00 por infração, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. O artigo 52, § 1º, da LGPD, por sua vez, determina que, para a aplicação das sanções administrativas, serão consideradas, dentre outros critérios, o da adoção de política de boas práticas e governança. Assim, é importante que o operador demonstre, no processo administrativo, que atuou em conformidade com as boas práticas no tratamento. Igualmente, mostra-se necessário que o operador comprove a observância ao dever geral de segurança - assim como ocorre no âmbito da responsabilidade civil.  Nesse sentido, é essencial que o operador guarde o registro das operações de tratamento de dados pessoais que realizou, nos termos do artigo 37, da LGPD, bem como que demonstre que sempre manteve atualizado o software utilizado na coleta e armazenamento de dados, no intuito de evitar qualquer incidente de segurança. Por conseguinte, verifica-se que, embora seja o controlador que tenha autonomia decisória sobre a finalidade do tratamento dos dados, a figura do operador é de suma relevância para que se possa haver uma proteção de dados efetiva, pois ele irá realizar o tratamento, sendo o primeiro a notificá-lo em caso de incidente de segurança. Com o intuito de evitar a ocorrência de incidentes, mostra-se essencial que o operador atue em conformidade com as normas e princípios da LGPD, notadamente o dever geral de segurança e as boas práticas e governança. Caso assim não proceda, como os ratos da fábula, expostos aos riscos da tarefa de colocar o guizo no gato, estará, o operador, sujeito a suportar os riscos decorrentes do tratamento de dados pessoais. __________ 1 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia orientativo para definição dos agentes de tratamento de dados pessoais. Disponível aqui. Acesso em: 06 de jun. de 2021. 2 LEONARDI, Marcel. Controladores e operadores: papéis, distinções, mitos e equívocos. In:  FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antônio (Coords.). A Lei Geral de Proteção de Dados Pessoais: LGPD - Ed. 2021. São Paulo: Revista dos Tribunais. E-book. 3 PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei nº 13.709/2018. 3ª ed. São Paulo: Saraiva Jur, 2021. E-book. 4 CABELLA, Daniela Monte Serrat; FERREIRA, Raíssa Moura. Descomplicando: agentes de tratamento. Disponível aqui. Acesso em: 09 de maio de 2021. 5 LEONARDI, Marcel. Controladores e operadores: papéis, distinções, mitos e equívocos. In:  FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antônio (Coords.). A Lei Geral de Proteção de Dados Pessoais: LGPD - Ed. 2021. São Paulo: Revista dos Tribunais. E-book. 6 FRAZÃO, Ana; OLIVA, Milena Donato; ABÍLIO; Vivianne da Silveira. Compliance de dados pessoais. In: TEPEDINO; Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Revista do Tribunais, p. 681. 7 MATTIUZZO, Marcela.; CARVALHO, Vinícius Marques de; PONCE, Paula Pedigoni. Boas práticas e governança na LGPD. In: DONEDA, Danilo et al (Coord.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book.
"No século XXI, nossos dados pessoais são provavelmente o recurso mais valioso que ainda temos a oferecer, e os entregamos aos gigantes tecnológicos em troca de serviços de e-mail e de vídeos com gatos engraçadinhos."1 Se é certo que já se tornou um truísmo asseverar-se que os dados pessoais tornaram-se uma espécie de petróleo do século XXI, também é igualmente cristalino que o escritor israelense, citado na epígrafe, está coberto de razão quando afirma que estamos trocando nossos valiosos dados pessoais, com os gigantes da tecnologia, por um punhado de gatinhos engraçados. Mal comparando - ou, ao contrário, muito bem comparando - parece que estamos numa situação semelhante à das tribos nativas africanas, ou à dos nossos aborígenes americanos, diante dos países colonizadores europeus, quando trocavam ouro, prata e outros metais extremamente preciosos por meras quinquilharias de pouco ou nenhum valor... Já na década de setenta da centúria passada, Stefano Rodotà observava que a novidade fundamental introduzida pelos computadores era justamente a transformação da informação: antes dispersa, tornou-se organizada2. E prosseguia o grande autor peninsular: "Cada um dos dados, considerado em si, pode ser pouco ou nada significativo: ou melhor, pouco ou nada diz além da questão específica a que diretamente se refere. No momento em que se torna possível conhecer e relacionar toda a massa de informações relativas a uma determinada pessoa, do cruzamento dessas relações surge o perfil completo do sujeito considerado, que permite sua avaliação e seu controle por parte de quem dispõe do meio idôneo para efetuar tais operações."3 Em razão das considerações retro expostas - e, sobretudo, com base nas citações feitas - parece ser despiciendo assinalar que o fenômeno do tratamento de dados não apenas está transformando as feições do mundo contemporâneo, como está a exigir um sentido espantoso de resposta por parte dos juristas de vanguarda que têm por missão fundamental pensar constantemente o Direito. Nesse sentido, é certo que não terá sido a lei 13.709, de 14 de agosto de 2018 - que veio a lume serodiamente na ordenação jurídica pátria -, que terá despertado entre nós a preocupação com a proteção adequada dos nossos dados pessoais. Desde o século passado, como pude relatar numa das minhas experiências no exercício da advocacia,4 vem o País perdendo "oportunidades valiosas de investimento internacional em razão do isolamento jurídico em que se encontra por não dispor de uma lei geral e nacional de proteção de dados pessoais (LGPD)", conforme assinalado acertadamente no Parecer do Senador Ricardo Ferraço, relator do Projeto de Lei da Câmara 53/2018. Em livro mais recente, o autor das palavras constantes da epígrafe voltou ao tema, com vigor ainda maior, com a indagação de quem seria o dono dos dados neste século XXI. E, de forma categórica, afirmou: "Se quisermos evitar a concentração de toda a riqueza e de todo o poder nas mãos de uma pequena elite, a chave é regulamentar a propriedade dos dados." E prosseguiu, explicando que a terra teria sido o ativo mais importante de antigamente, orientando-se a política de então no sentido do controle da propriedade das terras. Muitas terras concentradas nas mãos de um pequeno número de pessoas determinava a divisão da sociedade, fundamentalmente, em duas grandes classes: a dos aristocratas, de um lado, e a dos cidadãos comuns, de outro. Com o advento da sociedade moderna, a importância da terra cedeu espaço para as máquinas e para as fábricas e, do mesmo modo que a propriedade das terras dividira a sociedade entre aristocratas e cidadãos comuns, o esforço político deslocou-se para o controle dos meios de produção com o propósito de evitar-se que a sociedade passasse a se dividir entre duas outras classes: a dos capitalistas e a dos proletários. A reflexão seguinte de Harari reside na convicção - a meu ver inteiramente exata - de que, no corrente século XXI, tanto a terra, quanto a maquinaria, ficarão irreversivelmente para trás, passando os dados ao lugar de ativo principal do planeta, concentrando-se o esforço político no controle do fluxo desses dados. A corrida para obter o maior número de dados possível, evidentemente em curso há algum tempo, já terá determinado algumas consequências econômicas em curto espaço de tempo: as empresas mais valorizadas da atualidade - Google, Facebook, Apple, Microsoft e Tencent -, para ficar apenas em alguns exemplos, são justamente as maiores gigantes do mercado de tecnologia. Mas esse acúmulo impressionante de dados irá determinar consequências de grande monta, tanto a médio quanto a longo prazos. No que se refere ao curto prazo, assinala Harari que esse acúmulo de dados dará ensejo ao surgimento de "um modelo de negócio inédito, cuja primeira vítima será a própria indústria da publicidade", esclarecendo que esse novo modelo caracteriza-se pela transferência da autoridade nas escolhas dos seres humanos para os algoritmos, deduzindo daí que, a partir do momento que serão os algoritmos - e não mais os seres humanos - quem escolhe e faz as compras para nós, a indústria da publicidade irá irremediavelmente à falência... Com efeito, sustenta Harari que, quando chegar o dia em que pudermos perguntar ao Google qual será o carro mais adequado a ser comprado por nós, a partir de tudo o quanto esse gigante da tecnologia sabe sobre os nossos hábitos, quais são as nossas necessidades, qual a nossa posição sobre o aquecimento global e até mesmo sobre as nossas ideias sobre a política no Oriente Médio, e ele nos der uma resposta satisfatória, qual será a utilidade de subsistir, ainda, uma publicidade sobre automóveis?      Caberia, então, perguntar: E no que se refere ao longo prazo? A resposta de Harari afigura-se ainda mais surpreendente... Diz-nos ele: "No longo prazo, ao reunir informação e força computacional em quantidade suficiente, os gigantes dos dados poderão penetrar nos mais profundos segredos da vida, e depois usar esse conhecimento não só para fazer escolhas por nós ou nos manipular mas também na reengenharia da vida orgânica e na criação de formas de vida inorgânicas."5 Após prever que os seres humanos comuns não terão mais condições de resistirem a esse espantoso processo e que, igualmente, não disporão mais de meios adequados para bloquear o fluxo de dados, pois chegaram a ponto de depender da rede para a tomada de todas as suas decisões, aí incluídas as de saúde e de sobrevivência física, conclui Harari:                  "Humanos e máquinas poderão se fundir tão    completamente que os humanos não serão capazes de sobreviver se estiverem desconectados da rede. Estarão desconectados desde o útero, e, se em algum momento da vida você optar por se desconectar, as companhias de seguro talvez se recusem a empregá-lo, e serviços de saúde se recusem a cuidar de você. Na grande batalha entre saúde e privacidade, a saúde provavelmente vencerá sem muito esforço."                Não cabe neste modesto espaço, evidentemente, fazer uma análise crítica do que poderá acontecer, num futuro próximo, com a engenharia da vida. Mas uma coisa é certa: quando se fala em proteção de dados pessoais, não se está falando de um simples modismo tão a gosto dos oportunistas de plantão. Muito ao contrário, estamos tratando, antes de tudo, dos caminhos a serem tomados pela própria humanidade. __________ 1 HARARI, Yuval Noah - Homo Deus - Uma breve história do amanhã, São Paulo: Companhia das Letras, 2016, p. 343. 2 RODOTÀ, Stefano. Elaboratori elettronici e controllo sociale. Bologna: Il Mulino, 1973, p. 14. 3 Idem, pp.14/15. 4 DE LUCCA, Newton; DEZEM, Renata Mota. Princípios, Fundamentos e Conceitos relacionados ao sistema de proteção de dados pessoais. In: LUCCA, Newton De; FILHO, Adalberto Simão; LIMA, Cíntia Rosa Pereira de; MACIEL, Renata Mota. (Org.). A Lei nº 13.709, de 14 de agosto de 2018: a disciplina normativa que faltava. 1ª ed. São Paulo: Editora Quartier Latin do Brasil, 2019, v. IV, pp. 21-48.   5 21 lições para o século 21, tradução Paulo Geiger, 1ª ed. - São Paulo: Companhia de Letras, 2018, p. 109.  
Exemplos não faltam sobre a previsão, em Termos de Serviços e Políticas de Privacidade, de cláusulas que restringem a reparação integral de eventuais danos causados. Vejam-se duas ilustrações. Nos Termos de Serviços do YouTube, está previsto que "a responsabilidade total do YouTube e de suas afiliadas por qualquer reivindicação proveniente ou relacionada ao serviço limita-se: (a) ao valor da receita paga pelo YouTube a você com relação ao seu uso do serviço nos 12 meses anteriores à data de envio da sua notificação por escrito ao YouTube e (b) a US$ 500, o que for maior". Já na versão mais recente do Contrato de Serviços da Microsoft, afirma-se: "se você tiver alguma base para recuperar os danos (inclusive violação destes Termos), até a extensão permitida pela lei aplicável, você concorda que seu recurso exclusivo será recuperar, da Microsoft ou de qualquer afiliada, revendedor, distribuidor, Aplicativos de Terceiros e Provedores de Serviços e fornecedores, danos diretos até o valor equivalente ao valor pago por seus Serviços para o mês durante o qual ocorreu o prejuízo ou a violação (ou até USD$ 10,00 se os Serviços forem gratuitos)". Essa versão entra em vigor em 15 de junho de 2021. Como se sabe, admite-se, amplamente, no direito brasileiro, a gestão de riscos contratuais pelas partes - importante manifestação de autonomia privada. Um dos instrumentos que podem ser utilizados para essa alocação são as chamadas "cláusulas de não indenizar", objeto do presente artigo. Trata-se da inclusão, no contrato, de cláusula que exclui a reparação por perdas e danos decorrentes do inadimplemento (cláusula de exoneração) ou que fixa valor máximo de reparação pecuniária (cláusula de limitação). Dita gestão de riscos contratuais pode recair sobre a reparação por perdas e danos decorrentes de incidentes com dados pessoais? Faz diferença se o dano for moral ou material? E se a relação não for de consumo? E se, em vez de cláusula limitativa ou excludente do dever de reparar, a previsão do contrato for de cláusula penal ou de cláusula limitativa do objeto contratual? São os problemas que se busca enfrentar neste artigo. Inicia-se a análise pela perspectiva da inviabilidade de se limitar ou excluir a reparação de danos decorrentes de lesão à pessoa humana, à luz da teoria dos efeitos da lesão. O raciocínio incidirá para toda e qualquer relação, ainda que não seja de consumo. É direito fundamental da pessoa humana o controle de seus dados pessoais, o que está essencialmente vinculado ao princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB/88). Não se pode admitir a exoneração ou a limitação do dever de reparar danos resultantes de lesão à pessoa, sob pena de se pôr em xeque o referido princípio fundamental. É certo que a ordem pública figura entre os tradicionais requisitos de validade das referidas cláusulas limitativas e excludentes. No entanto, ao tratar desse requisito, a doutrina brasileira se refere, recorrentemente, apenas à proibição das cláusulas em face de reparação de dano moral. À luz da teoria dos efeitos da lesão, deve-se incluir na proibição também a indenização de danos materiais decorrentes de lesão à pessoa humana, uma vez que, nesse caso, a limitação ou a exclusão violariam a mesma prioridade valorativa. Ou seja, por esse raciocínio, não se admite a limitação ou a exclusão da reparação de danos decorrentes de incidentes com dados pessoais, sejam materiais, sejam morais. Cabe relembrar que a teoria dos efeitos da lesão sustenta a superação da identidade entre dano e lesão. O dano é o efeito da lesão. Se não chegam a ser antagônicas, as fórmulas empregadas se mostram bem distintas: dizer-se que "dano = lesão" é bem diferente de afirmar-se que "dano = efeito da lesão".1 A lesão à pessoa humana pode gerar também efeitos patrimoniais, na forma de danos emergentes e lucros cessantes. Assim, a "lesão à pessoa humana" não pode ser sinônimo ou núcleo de definição do conceito de "dano moral". O dano será patrimonial ou extrapatrimonial a depender do efeito antijurídico produzido, que não guarda correlação com a natureza do bem jurídico tutelado.2 Seja o efeito patrimonial, seja extrapatrimonial, a lesão é, de toda forma, à pessoa humana, o que justifica a inadmissibilidade de cláusulas limitativas ou excludentes. Assim, como a lesão à pessoa pode suscitar variados efeitos, a interpretação que se propõe - teoria dos efeitos da lesão - parece ser a única apta a permitir a construção da invalidade da cláusula tanto para danos morais quanto para danos materiais. No caso de incidentes com dados pessoais, mesmo quando a consequência (dano) é material, a lesão em jogo é existencial (à pessoa humana). Violaria a ordem pública na legalidade constitucional a exoneração ou a limitação da reparação em face de tais eventos. Não se admite, portanto, cláusula limitativa ou excludente quando está em jogo a proteção de dados pessoais, assim como não é permitida a cláusula na hipótese de lesão à integridade psicofísica de passageiro no contrato de transporte ou de paciente por intervenção médica. Se, nos termos da Constituição, as situações existenciais passam a gozar de prioridade axiológica, não será possível, sob pena de subversão hermenêutica, a prefixação de valor máximo ou a exclusão de reparação pecuniária por lesão à pessoa humana. Seja o dano material, seja moral, a solução é a mesma. Torna-se necessária, assim, interpretação ampliativa no sentido de serem proibidas cláusulas que limitem ou excluam a reparação de danos materiais ou morais decorrentes de lesão à pessoa humana. Essa conclusão se aplica a toda e qualquer relação, ainda que não seja de consumo, isto é, relação civil. Além disso, a interpretação proposta permanece a mesma independentemente da corrente doutrinária que se adotar a respeito da responsabilidade civil na LGPD, considerando-a de natureza subjetiva, objetiva, proativa etc. - tema controvertido, cujo aprofundamento escaparia aos limites do presente texto.3 Por outro lado, se a relação for de consumo, há disposições específicas no Código de Defesa do Consumidor sobre a matéria. A reparação integral é garantida como direito básico do consumidor, proibindo-se cláusulas limitativas ou excludentes diante de consumidor pessoa física. É admitida, por outro lado, a limitação da reparação em face de consumidor pessoa jurídica, desde que a situação seja justificável, sendo também proscrito, nesse caso, o pacto excludente (arts. 6º, VI, 25 e 51, I, CDC). Como se está tratando, neste trabalho, da proteção de dados pessoais, a questão que se coloca é quanto ao consumidor pessoa natural (física), de sorte que a incidência é da vedação absoluta às referidas cláusulas. Lembre-se, ainda, que o artigo 45 da LGPD prevê que "as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente".4 Passo adiante, se não se admitem cláusulas limitativas e excludentes do dever de reparar em caso de incidentes com dados pessoais, também não se pode permitir que as cláusulas penais e as cláusulas limitativas do objeto contratual gerem o mesmo efeito vedado. Ou seja, nenhuma cláusula pode restringir a reparação integral da vítima no caso de lesão à pessoa humana. Abra-se breve parêntese para que sejam compreendidos os efeitos das cláusulas de não indenizar diante do inadimplemento contratual. Como se sabe, configurando-se a mora do devedor, põe-se ao credor a possibilidade de obter coercitivamente a exata prestação devida, bem como pleitear perdas e danos. Se presente, na relação negocial, cláusula de não indenizar, esta atuará apenas com relação ao segundo efeito (perdas e danos), permanecendo hígido o direito do credor à exata prestação devida. Por outro lado, nos casos de inadimplemento absoluto, afiguram-se cabíveis os instrumentos (i) da resolução contratual e (ii) da execução pelo equivalente, sendo possível, em ambas as situações, o pleito indenizatório. Observe-se que, se pactuada cláusula de não indenizar, apenas a reparação por perdas e danos sofrerá constrição, permanecendo hígido o direito do credor ao equivalente à prestação devida, na hipótese de execução pelo equivalente, bem como à restituição da prestação já cumprida, no caso de resolução contratual.5 Então, por exemplo, se se verificar a mora do devedor em contrato de compra e venda de determinado produto tecnológico, o credor terá direito tanto a obter coercitivamente a entrega da coisa quanto a pleitear a reparação por perdas e danos. A cláusula de não indenizar apenas atua quanto ao segundo direito. Por outro lado, supondo-se que o credor ainda não tenha cumprido sua prestação e que venha a se configurar o inadimplemento absoluto do devedor nesse mesmo contrato, o credor terá direito à execução pelo equivalente, isto é, ao valor pecuniário correspondente à coisa, bem como à reparação por perdas e danos. A cláusula de não indenizar também somente atua quanto a esse segundo direito. Fechando-se o parêntese aberto para a compreensão dos efeitos e retornando-se à delimitação de fronteiras, cabe sublinhar que as cláusulas de não indenizar se diferenciam das cláusulas penais que exercem a função de fixar, previamente, o montante de perdas e danos.6 Em primeiro lugar, enquanto a cláusula penal estipula valor fixo, o ajuste limitativo estabelece teto de reparação e a convenção excludente priva o credor do recebimento da indenização. Há duas outras distinções entre as cláusulas de não indenizar e as convenções penais referidas: enquanto as segundas podem gerar como consequência que o valor pago pelo devedor supere a extensão do dano, nas primeiras isso não acontece, já que a função do ajuste é justamente a de limitar ou excluir (nunca aumentar) a reparação por perdas e danos. Além disso, enquanto o ajuste penal dispensa a comprovação dos prejuízos, tal prova se faz necessária para os pactos de não indenizar. Ainda que não se confundam tais convenções, a cláusula penal pode gerar, no caso concreto, efeito idêntico ao do pacto limitativo do dever de indenizar: a restrição da reparação por perdas e danos. Nesse ponto, cabe relembrar a regra do artigo 416, parágrafo único, do Código Civil, de que o credor não poderá pleitear indenização suplementar, se a extensão do dano causado for maior do que o montante fixado na cláusula penal, salvo se assim for convencionado pelas partes. Portanto, nas hipóteses em que não for previsto o direito do credor de pleitear os prejuízos excedentes, o pacto penal também poderá exercer, no caso prático, o efeito de limitação da reparação. Adota-se, neste trabalho, a terminologia cláusulas penais de perfil limitativo para caracterizar os ajustes penais nesses casos de restrição à reparação integral. De outro ângulo, as convenções limitativas e excludentes do dever de indenizar se distinguem das cláusulas limitativas do objeto contratual. Isso porque estas atuam no momento fisiológico, enquanto aquelas versam sobre o momento patológico da relação obrigacional. É exemplo de cláusula limitativa do objeto contratual a previsão de que o agente deixe de assumir as obrigações de segurança e de proteção de dados pessoais nos tratamentos realizados. Assim, a cláusula limitativa do objeto contratual se refere à não assunção de determinada obrigação por parte do devedor. Já nas convenções de não indenizar, o devedor assume a obrigação, mas um dos efeitos de seu inadimplemento, o de reparar pecuniariamente o credor, é limitado ou excluído. Permanecem hígidos, portanto, neste último caso, os outros direitos do credor diante do descumprimento: à exata prestação devida, ao equivalente ao devido e à restituição do já cumprido. Embora não se confundam tais ajustes, a cláusula limitativa do objeto contratual gera, no caso prático, efeito idêntico ao do pacto excludente: a exoneração do dever de indenizar por perdas e danos. No entanto, causa outras consequências ainda mais gravosas, relativas à exclusão dos referidos direitos à exata prestação devida, ao equivalente ao devido e à restituição do já cumprido. Denota-se, assim, a necessidade de controle funcional até mais rigoroso para os ajustes limitativos do objeto contratual. Por último, diante dessas aproximações de efeitos, faz-se necessária interpretação sistemática dos requisitos de validade para essas quatro cláusulas que disciplinam a responsabilidade contratual: (i) penal de perfil limitativo; (ii) limitativa do dever de indenizar; (iii) excludente do dever de indenizar; (iv) limitativa do objeto contratual. Inicia-se a explicação pelo paralelo entre a cláusula penal de perfil limitativo e a cláusula limitativa do dever de indenizar. Depois, se passa para o cotejo entre a cláusula de exoneração do dever de indenizar e a cláusula limitativa do objeto contratual.  A afinidade funcional entre as cláusulas penais de perfil limitativo e as cláusulas limitativas do dever de indenizar se fundamenta, primeiramente, no entendimento de que estruturas diversas podem gerar, concretamente, o mesmo efeito, caso em que receberão normativa equivalente. Assim, causando tanto as cláusulas penais quanto as cláusulas limitativas o efeito de restrição do dever de reparar por perdas e danos, os requisitos tradicionais de validade deverão ser interpretados sistematicamente para os dois ajustes. Além disso, o avizinhamento funcional se justifica para evitar a burla à lei por parte do devedor. Se as cláusulas penais de perfil limitativo não fossem inválidas nos casos em que os ajustes limitativos do dever de indenizar o são, bastaria a fixação contratual do pacto penal em baixo montante, sem previsão de possibilidade de indenização suplementar, para que o contratante escapasse da proibição legal, obtendo justamente o efeito vedado, isto é, a restrição do dever de indenizar. Na ponderação entre a autonomia negocial e o princípio da reparação integral, observa-se que os ajustes em análise produzem concretamente semelhante grau de restrição a este princípio. Desse modo, nas hipóteses em que o prato da balança da ponderação se inclina para a prevalência do princípio da reparação integral, invalidando-se as convenções limitativas, não devem ser também admitidas as cláusulas penais de perfil limitativo. A explicação é simples, insista-se: incide idêntica prioridade valorativa. Assim, em termos práticos, se a extensão do dano causado em decorrência de incidente com dado pessoal for maior do que o montante de perdas e danos fixado previamente na convenção penal, deverá ser assegurado o direito do credor aos prejuízos excedentes, mesmo se assim não tiver sido pactuado expressamente. Afasta-se a incidência do artigo 416, parágrafo único, do Código Civil. Imaginem-se três cláusulas previstas em contratos distintos, todas justamente para as hipóteses de reparação decorrentes de incidentes com dados pessoais: (a) uma primeira, penal, que fixa, previamente, o montante de perdas e danos em 500 unidades, sem previsão de possibilidade de indenização suplementar; (b) uma segunda, limitativa, que estabelece o teto de 500 unidades; e (c) uma terceira, de exoneração, que exclui o dever de indenizar. Suponha-se que seja causado, concretamente, dano na extensão de 1.000 unidades. Tratando-se de incidentes com dados pessoais, não se admitirá o efeito de limitação ou de exclusão do dever de reparar por perdas e danos para nenhuma das três cláusulas, independentemente de ser cláusula penal ou cláusula de não indenizar. A reparação será integral para as três hipóteses, ou seja, na extensão de 1.000 unidades. Afinal, a lesão é à pessoa humana. Demais disso, os mesmos fundamentos se aplicam para o paralelo entre as cláusulas excludentes do dever de indenizar e as convenções limitativas do objeto contratual. Estas se aproximam daquelas ao também excluírem a reparação por perdas e danos, mas, a rigor, revelam-se ainda mais gravosas aos interesses do credor, na medida em que eliminam outros direitos diante do descumprimento.  Nesse sentido, sob pena de fraude à lei, não se admite que a exoneração do dever de indenizar, quando vedada, seja obtida por meio da pactuação de cláusula limitativa do objeto contratual, sob o argumento de que o contratante estaria apenas definindo o conteúdo negocial. Como consequência, também as cláusulas limitativas do objeto contratual deverão se submeter ao juízo de merecimento de tutela que faz prevalecer a reparação integral diante de lesão à pessoa humana. Desse modo, é proibido que cláusula limitativa do objeto contratual exclua obrigação que, uma vez inobservada, gerará lesão à pessoa humana. Por exemplo, não se admite que o agente deixe de assumir as obrigações de segurança e de proteção de dados pessoais nos tratamentos realizados. Portanto, em linha tracejada que contenha, em um dos extremos, a plena satisfação do crédito e, no extremo oposto, o seu esvaziamento, se apresentam, em sequência: (i) a cláusula penal de perfil limitativo, (ii) a cláusula limitativa do dever de reparar por perdas e danos, (iii) a cláusula excludente do dever de reparar por perdas e danos e (iv) a cláusula limitativa do objeto contratual. Em todo o caminho dessa linha tracejada, não será admitido limitar ou excluir a reparação por perdas e danos diante de incidentes com dados pessoais, seja o dano moral ou material, seja a relação de consumo ou civil. Para qualquer caso de lesão à pessoa humana, deve ser integral a reparação dos efeitos dessa lesão. *Carlos Edison do Rêgo Monteiro Filho é professor titular de Direito Civil da UERJ (graduação, mestrado e doutorado) e ex-coordenador do programa de pós-graduação em Direito da UERJ. Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Membro da Comissão de Direito Civil da OAB/RJ, do IBDCivil e da AHC-Brasil. Advogado, parecerista em temas de direito privado.  **Diana Loureiro Paiva de Castro é  mestre em Direito Civil pela UERJ. Professora em cursos de pós-graduação da UERJ (CEPED) e da PUC-Rio (IDD). Procuradora do Estado de São Paulo. Coordenadora do Núcleo de Propriedade Intelectual e Inovação da PGE-SP.  Vice-Presidente da Região Sudeste na ANAPE. Membro do IBDCivil, do IBERC e da AHC-Brasil. Bacharel em Direito pela UERJ. Foi Procuradora da FAPESP.  __________ 1 Carlos Edison do Rêgo Monteiro Filho. Responsabilidade contratual e extracontratual: contrastes e convergências no direito civil contemporâneo. Rio de Janeiro: Processo, 2016, pp. 130-131. 2 Carlos Edison do Rêgo Monteiro Filho. O conceito de dano moral e as relações de trabalho. Civilistica.com, a.3, n.1, 2014, Disponível aqui. 3 A respeito da controvérsia sobre a natureza da responsabilidade civil na LGPD, v. Rafael Dresch. A especial responsabilidade civil na Lei Geral de Proteção de Dados. Migalhas. Disponível aqui. 4 Nesse sentido, cf. Cíntia Rosa Pereira de Lima. Da invalidade da cláusula de não indenizar em matéria de proteção de dados. In: José Luiz de Moura Faleiros Júnior; João Victor Rozatti Longhi; Rodrigo Gugliara (coords.). Proteção de dados pessoais na sociedade da informação: entre dados e danos. Indaiatuba: Foco, 2021, pp. 397-412. 5 Diana Loureiro Paiva de Castro. Cláusulas limitativas e excludentes do dever de indenizar: espécies, efeitos e controle valorativo. In: Aline de Miranda Valverde Terra; Gisela Sampaio da Cruz Guedes (coords.). Inexecução das obrigações: pressupostos, evolução e remédios, v. 1, Rio de Janeiro: Processo, 2020, pp. 339-368. 6 Sobre o tema da cláusula penal, cf. Nelson Rosenvald. A virada da cláusula penal na Inglaterra: um insight para a atualização de nossa responsabilidade contratual. Migalhas. Disponível aqui.
É certo que a principal porta de entrada no mercado eletrônico são os sistemas de buscadores de Internet, também chamados de motores ou ferramentas de busca (search engenies), que são oferecidos por empresas como Google, Yahoo, Bing, entre outras, destacando-se que o buscador da primeira, o Google Search, apresenta-se como a ferramenta de busca mais utilizada pelos internautas. O comércio eletrônico, segundo Newton De Lucca, há muito se descortinou como uma grande ferramenta para o escoamento da produção de bens e de serviços: O comércio eletrônico nada mais é do que o conjunto de relações jurídicas celebradas no âmbito do espaço virtual que têm por objeto a produção e circulação de bens e serviços. [...] Em todas as retroaludidas ocasiões nas quais me pronunciei sobre o tema da proteção ao consumidor, no âmbito do comércio eletrônico, sem exceção, proclamei meu entusiasmo pelas possibilidades de crescimento dessa modalidade de escambo, bastando recordar, entre tantas, a comodidade de poder adquirir produtos ou serviços sem sair da própria casa e por preços menores do que os existentes nos estabelecimentos empresariais dos fornecedores, bem como na possibilidade de comprar coletivas com preços menores regulada pelo decreto 7.962, de 15 de março de 2013.1 Quem nunca passou pela experiência de buscar um produto ou serviço no Google Search quando, então, recebe um anúncio daquele item e, em seguida, nos próximos dias aparecem vários anúncios relacionados a busca? A Google vem aprimorando seus algoritmos de personalização, a partir de sofisticadas ferramentas de Inteligência Artificial, consegue estabelecer com exatidão as preferências dos usuários. A confortável situação de, com um simples clique, acessar um universo de informações tem conquistado os usuários, que desconhecem, na grande maioria dos casos, que deixam valiosas pegadas digitais. Como bem sintetizado por Eli Pariser2 no contexto do marketing comportamental, cada clique gera uma commodity valiosa e cada movimento do mouse é altamente disputado pelos players desse mercado. Assim, a plataforma Google Search e as dos demais aplicativos ofertados são usadas para orientações de questões triviais, como previsão do tempo, e também, para pesquisar preços de um produto ou serviço, além de suas características, ou mesmo como ferramenta de pesquisa. No entanto, o tratamento de dados realizados pelos algoritmos nas plataformas de marketing digital conferiu ao comercio eletrônico um aumento exponencial da dinâmica de funcionamento do consumo e, assim, diversos reflexos para a atividade de produção e circulação de bens e de serviços. São diversas as informações que identificam ou possam identificar os usuários o que podem se valer dos direitos assegurados pela LGPD. No entanto, devido à falta de informação e de transparência, será fundamental a atuação da ANPD para fiscalizar a observância da LGPD. Esse novo normal do comportamento social trouxe ao universo jurídico novas perguntas, por exemplo: como equilibrar e conciliar os interesses dos consumidores (internautas), dos anunciantes dos bens e serviços e das plataformas de anúncios? De um lado, tem-se a LGPD, que busca proteger os consumidores do tratamento ilícito de dados pessoais, uma vez que esses dados, quando utilizados de forma irregular, podem ser uma das forças motrizes para o funcionamento dos algoritmos do marketing digital. Isto porque a LGPD tem como premissa a de garantir ao titular de dados o controle da sua exposição na Internet e, assim, alcançar a sua justa expectativa na utilização dos recursos dessa esfera do espaço digital, isto é, encontrar ou não o "resultado livre" em suas buscas. Esse "resultado livre" é o que a Google Search convencionou chamar de "resultado orgânico". Do outro lado têm-se os anunciantes. Não é novidade que as sociedades buscam maior visibilidade de seus bens e serviços e, para isso, não medem esforços, inclusive financeiros, para melhor a visibilidade de seus produtos ou serviços. O que antes se via no horário nobre da televisão, hoje se repete com os desenvolvedores dos algoritmos de forma ininterrupta, fazendo com que determinados anúncios apareçam no topo das buscas realizadas pelo consumidor. A novidade das plataformas de marketing digital é que os algoritmos (que atuam no direcionamento da busca do consumidor), muitas vezes, não demonstram como se deu o resultado das buscas, nem às empresas nem aos consumidores, que desconhecem o porquê de determinada empresa liderar o topo da lista dos resultados de pesquisa. Dessa forma, em alguns casos, a aquisição de "palavras-chaves" nas plataformas de marketing digital pode ocasionar ofensa ao direito marcário, porque empresas concorrentes podem se utilizar de elementos marcários de concorrentes como palavras-chaves. Essa conduta resulta no fato de que, quando o usuário busca no Google Search pelo nome de uma marca, o primeiro resultado mostrado pode ser o nome da marca concorrente, e, com efeito carona, causar prejuízos ou, ainda, obrigar o titular da marca a adquirir elementos de sua própria marca como palavra-chave, pagando o preço mais alto do leilão do Google Ads. Valérie-Laure Benabou e Judith Rochfeld3 destacam que tecnologias que se utilizam de algoritmos devem ser explícitas e, se a era é a da governança dos algoritmos, o mínimo que os sujeitos governados esperam é transparência quanto às regras aplicáveis, de uma maneira inteligível. Não se trata de violação aos segredos comerciais, não se podendo exigir de um operador a publicação de seu know-how, sem qualquer justificativa, o que a LGPD deixa muito claro reforçando em diversas passagens a proteção aos segredos comercial e industrial. Ocorre que é preciso conciliar os interesses envolvidos, de modo a estabelecer uma obrigação de revelação útil e proporcional dos processos de tratamento para os titulares dos dados pessoais. A partir do momento em que há um algoritmo direcionando a vontade do consumidor (como ocorre no "Google Ads" ou "AdWords", com claro potencial para limitar ou conduzir o exercício livre do direito de escolha do consumidor e das empresas), somado ao exercício de atividade lucrativa da plataforma (que é voltada ao oferecimento de "palavras-chave" a serem adquiridas por sociedades que podem ser concorrentes e podem utilizar-se do "produto" para o fim de alavancar suas atividades adquirindo elementos marcários de terceiros), faz-se necessária ponderação acerca das regras voltadas à regulação dessas atividades empresariais. Assim, por um terceiro lado, há as plataformas de anúncios, pelas quais, de todo o exposto, é possível extrair deveres anexos às atividades empresariais. A partir do momento que uma empresa é detentora de poder no mercado (neste caso, do mercado de buscadores na Internet) e desenvolve um modelo de negócios capaz de oferecer à sociedade uma plataforma de marketing digital com tecnologia apta a direcionar "pessoas certas" a "determinados produtos ou serviços", nos mais diversos setores e dos mais diversos graus de poder aquisitivo, não se pode tratar essa plataforma, seu "produto", tão somente como o exercício do direito à livre iniciativa.  Nesse aspecto, as lições de Eros Roberto Grau são muito oportunas, quando afirma que não se pode reduzir a livre-iniciativa, tal qual consagrada no art. 1º, IV, do texto constitucional, meramente à feição que assume como liberdade econômica ou liberdade de iniciativa econômica. E prossegue:4 Dela - da livre iniciativa - se deve dizer, inicialmente, que expressa desdobramento da liberdade. Considerada desde a perspectiva substancial, tanto como resistência ao poder, quanto como reivindicação por melhores condições de vida (liberdade individual e liberdade social e econômica), podemos descrever a liberdade como sensibilidade e acessibilidade a alternativas de conduta e de resultado. Pois não se pode entender como livre aquele que nem ao menos sabe de sua possibilidade de reivindicar alternativas de conduta e de comportamento - aí a sensibilidade; e não se pode chamar livre, também, aquele ao qual tal acesso é sonegado - aí a acessibilidade. Em síntese, a partir dessas premissas, a licitude da prática deve ser analisada no caso concreto e deverá levar em conta o modo em que os termos foram adquiridos pelas empresas. É sabido que o funcionamento do Google Ads ocorre a partir da aquisição, em leilão, de "palavras-chave" em três possíveis modalidades diferentes, quais sejam, a correspondência exata, ampla ou negativa. O resultado ou função desta ferramenta é o de que o vencedor do leilão das "palavras-chave" aparecerá junto ao resultado orgânico, nas primeiras colocações, liderando o topo da lista com os resultados quando o usuário digitar o termo (palavra-chave) adquirido pela empresa. Além disso, a partir de "palavras-chave", aos olhos do consumidor, o resultado no Google Search do Google Ads se distingue do "resultado orgânico" somente pela palavra anúncio, que pode aparecer no canto superior ou inferior, de forma quase imperceptível ao consumidor médio. Não se pode perder de vista, como já dito, que o algoritmo do Google Ads funciona em três níveis: o da correspondência exata, ampla ou negativa. Esses níveis atuam no Google Search a partir do radical do termo buscado pelo consumidor. Essas diferentes modalidades ajudam os anunciantes a controlar quais pesquisas podem acionar seus respectivos anúncios. Acerca das modalidades de correspondência mencionadas, é preciso esclarecer que as "palavras-chaves" adquiridas na correspondência ampla são alcançadas por termos similares, ou seja, os anúncios podem ser exibidos em pesquisas que incluem erros ortográficos, sinônimos, pesquisas relacionadas e outras variações relevantes do radical e do sufixo. Já a correspondência negativa é o tipo de correspondência que impede que seus anúncios sejam exibidos em pesquisas que incluam determinado termo, ao passo que, na correspondência exata, os anúncios podem ser exibidos em pesquisas que correspondam ao termo exato ou variações muito aproximadas. Portanto, é possível concluir que, embora a aquisição de marca alheia como "palavras-chave" na ferramenta do Google Ads tenha potencial para configurar concorrência desleal, a simples contratação da ferramenta não pode ser considerada como conduta desleal in re ipsa, ainda mais nos casos em que há discussão se houve violações às marcas que, por sua vez, podem ser registradas no INPI nas modalidades nominativa, figurativa ou mista, em classes e setores diferentes, configuram-se como forte ou fraca e recebendo proteções diferentes. Logo, para caracterização do ilícito, deve ser demonstrada a modalidade de aquisição da "palavra-chave" e, em seguida (no caso de haver aquisição da palavra-chave capaz de ofender a proteção referente ao tipo), a modalidade e a classe da marca registrada. *Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada. **Emanuele Pezati Franco de Moraes é Mestre em Direito pela Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2017-2019). Especialista pelo programa LLM em Direito Civil da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo - FDRP/USP (2018-2020). Pesquisadora no grupo de pesquisa Observatório da LGPD e Observatório do MCI, ambos vinculados ao CNPq. Associada Fundadora do Instituto Avançado de Proteção de Dados - IAPD. Associada do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogada e sócia fundadora do escritório Advocacia Especializada Pezati Parceiros. Rede social - Instagram: aeppadv. __________ 1 DE LUCCA, Newton. A proteção dos consumidores no âmbito da internet. In: LIMA, Cíntia Rosa Pereira de; NUNES, Lydia Bastos Teles. (Coord.). Estudos Avançados do direito digital. Rio de Janeiro: Elsevier, 2014, p. 93 - 94. 2 The Filter Bubble: how the personalized web is changing what we read and how we think. Nova York: Penguin Books, 2011. p. 07: "In the view of the 'behavior market' vendors, every 'click signal' you create is a commodity, and every move of your mouse can be acuctioned off within microseconds to the highest commercial bidder". 3 BENABOU, Valérie-Laure e ROCHFELD, Judith. À qui profite le clic? Le partage de la valeur à l'ère du numérique. Collection Corpus dirigée par Thomas Clay et Sophie Robin-Olivier. Paris: Odile Jacob, 2015. p.78. 4 GRAU, Eros Roberto. A Ordem Econômica na Constituição de 1988. 10.ª ed. Malheiros: São Paulo, 2017. p. 197.
O conceito Eu considero o conceito de neutralidade da rede como o maior legado da lei Federal 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet [Marco Civil, 2014]. Esta lei estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil e, como ressaltado no Art. 9º do Capítulo III, "Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo." Ou seja, a neutralidade da rede representa a ideia de que os usuários da web têm direito a um serviço que não discrimina o conteúdo trafegado dado a sua origem, seu destino, a aplicação, a plataforma, o tipo de equipamento ou até mesmo proprietário do meio de transmissão usado. Tim Wu [WU, 2003], professor da Universidade de Columbia, foi responsável por cunhar o termo "neutralidade da rede" quando se referiu a história dos serviços de comunicação prestados nos EUA que sempre utilizaram os chamados "common carrier", ou seja, no sentido das comunicações, as empresas que prestam serviços públicos regulados pelo governo. Por exemplo, se o cabeamento telefônico de sua cidade é fornecido por uma empresa telefônica isso não limita seus residentes de ligarem ou receberem chamadas telefônicas de outras empresas.  Entendendo o contexto Atualmente pode ser difícil para nós entendermos esse conceito de neutralidade da rede dado que usamos os dados da web como outro bem qualquer. Abrimos a "torneira da internet" e esperamos sair os dados, sejam estes vindos da nossa rede social favorita, de um serviço de streaming de música, de um streaming de vídeo por demanda, para trabalhos no escritório, enfim, não nos preocupamos com a origem, o conteúdo, ou mesmo a aplicação que usamos. Temos os dados, usamos e pronto. Finito! Todos usam. Todos pagam pela quantidade de dados usados, sejam esses dados para o lazer, para o lucro ou até mesmo para atividades ilícitas. Neutralidade absoluta. Mas, a vida digital nem sempre foi assim. Aqui no Brasil as discussões sobre este conceito de neutralidade começaram formalmente na esfera política em março de 2014 [Plenário, 2014], sete anos antes da aprovação do Marco Civil. Segundo Scott Jordan [JORDAN, 2009], da Universidade da Califórnia, o congresso norte-americano começou discussões semelhantes bem antes, em 2005 e, em 2006, já havia um forte lobby sobre o tema. Em ambos os países, entre os favoráveis à neutralidade da rede estavam os consumidores, representados por grupos organizados da sociedade civil, os especialistas em computação, as organizações de direitos humanos e as empresas que disponibilizam conteúdo ou aplicações computacionais com base na web. Ambos temiam que sem a proibição da discriminação dos dados, os provedores de serviços de internet poderiam cobrar taxas discriminatórias sobre os dados utilizados, ou mesmo oferecer serviços com níveis diferenciados de qualidade. Cabe lembrar que, concomitantemente a estas discussões sobre neutralidade da rede, as empresas de telefonia estavam crescendo substancialmente e estendendo os cabeamentos físicos e demais equipamentos por todo o país para levar sinais de voz e vídeo ao maior número de lares passíveis. Por outro lado, as empresas fornecedoras de serviços de conteúdo da web usavam esta infraestrutura de cabos e equipamentos até para a comunicação por voz entre usuários da rede, abrindo assim uma concorrência desigual frente às operadoras de telefonia. Nesta época, a convergência de praticamente todos os serviços de comunicação para a web estava nascendo e, como muitos processos neste estágio inicial, ainda sofria de desequilíbrios. Os que advogavam a neutralidade da rede apoiavam a ideia por acreditarem que esse princípio era a base conceitual natural para abrigar a liberdade de expressão, além de promover a competição e a inovação de serviços na rede. Advogavam também que a garantia a padronização da transmissão de dados na Internet é essencial para seu crescimento. Esse último ponto, o da padronização da transmissão, é um ponto que iremos destacar mais a frente neste artigo. Os opositores à neutralidade da rede, capitaneados pelos provedores de Serviço ou Acesso à Internet (em inglês, Internet Service Provider, ISP), argumentavam que a neutralidade da rede reduziria seu incentivo para construir a Internet, reduziria também a concorrência no mercado e poderia aumentar seus custos operacionais que teriam de repassar aos seus clientes. Alegavam também que não havia motivos para uma regulamentação deste tipo de serviço. Não é de se estranhar que os fabricantes de equipamentos eletrônicos dedicados à comunicação de dados, tais como, roteadores, switches, e gateways, também eram partidários da não regulamentação da rede.  Entendendo o trânsito de dados na rede Talvez você não precise ler esse trecho se estiver cansado ou dominar o assunto, mas com certeza voltará neste ponto para entender o "pulo do gato" com mais propriedade. No contexto de redes de computadores, ou melhor, da transmissão e recepção de dados da web, os dados são trocados na forma de pequenos "pacotes de dados". Esses pacotes de dados são individualmente encaminhados entre os nós da rede através de ligações físicas tipicamente partilhadas por outros nós. Por exemplo, um nó da rede é o seu computador que busca uma informação do site www.xyz.com. A requisição de uma página do site xyz sai do seu computador, passa pelo seu roteador, passa pelo provedor de internet e chega ao computador servidor do site buscado. Todos estes entes citados anteriormente (roteador, provedor, servidor) são nós da rede. Como podemos ter várias informações nestas ligações entre os nós já que seu computador por estar, por exemplo, conectado a outro site também, bem como o servidor do xyz pode estar atendendo outro computador cliente, esse intercâmbio de dados indo e voltando na rede é um paradigma da Computação ao qual chamamos de "comutação de pacotes". Pronto! Parte 1 finita. E é só isso? Essa transmissão é simples assim? Eu concordo... o mundo poderia ser simples assim, mas não é. Só mais um pouco. Vejam bem, enquanto existem computadores que se comunicam via fibra óptica, os nossos ainda usam fios ou uma rede wi-fi doméstica. Também existe o problema de como esses pacotes encontram seus destinos; tem o problema das interferências que podem gerar erros de transmissão; tem os problemas da ordenação dos pacotes... e vários outros. Para encurtar a história, os criadores desta forma de trânsito de dados tiveram uma brilhante ideia para resolver todas estas questões citadas acima usando camadas de solução de problemas, uma camada em sequência da outra. Cada camada resolve seu problema e, quando este estiver resolvido, o sistema passa os dados para a próxima camada. Isso é o que chamamos de Modelo OSI (do acrônimo do inglês Open System Interconnection) [Wikipedia OSI]. Este é um modelo conceitual de telecomunicação criado em 1971 (bem antes de qualquer discussão sobre neutralidade da rede) com objetivo de ser um padrão para protocolos de comunicação de dados. Veremos que parece que os criadores deste modelo já anteviam um "clima adverso" no futuro em relação ao livre trânsito de dados na web. O modelo OSI tem sete camadas, mas não nos estenderemos por todas elas. Abordaremos apenas a três primeiras. A primeira camada, chamada de Camada Física, transforma os bits dos computadores em sinais elétricos, ópticos ou de rádio frequência (wi-fi, Bluetooth). Converte a ida e a volta destes sinais. É uma camada necessária e efetiva. Resolvida essa transformação, os dados são passados para a Camada de Ligação ou Enlace de Dados. É muito importante aqui saber que cada dispositivo conectado a uma rede de comunicação tem um número único chamado de MAC address. Esse endereço pode facilitar e agilizar o intercâmbio de dados na rede quando, por exemplo, transferimos dados de um computador para outro usando uma mesma rede local, a exemplo, numa rede doméstica. A terceira camada, chamada de Camada de Rede, fornece os meios para transferência de dados entre nós que estejam em redes diferentes. Uma rede é um meio para o qual muitos nós estão conectados. Essa camada é a que faz o roteamento dos dados na rede mundial e torna a Internet possível. Uma das tarefas desta camada é, por exemplo, transformar os endereços lógicos dos nós, ou seja, os nomes dos domínios, nos seus endereços físicos, os famosos endereços IP (Internet Protocol). Por exemplo, quando digitamos www.migalhas.com.br na verdade, acessamos o IP 177.69.220.104 que é o endereço físico deste website na rede. Essa camada de rede também faz esse serviço. A grande sacada Como já comentamos, a comutação de pacotes neste modelo conceitual OSI tem outras 4 camadas que, por exemplo, camadas que estabelecem o diálogo entre dois computadores, tarefa que chamamos de sessão; camadas que tratam de conversão de padrões de codificação de caracteres; camadas que tratam de criptografia; entre outras tarefas. Mas, o conceito de neutralidade da rede, bem como os argumentos de acesso aberto, está frequentemente relacionado às consequências de uma arquitetura de Internet em camadas.  Foi nesse modelo em camadas que os técnicos e os advogados elaboraram sua estratégia de defesa da abertura da rede. Os arquitetos da pró-neutralidade foram buscar sua defesa num artigo acadêmico de 1984 de três cientistas do MIT (Massachusetts Institute of Technology), Saltzer, Reed e Clark [SALTZER, 1984]. Neste artigo, os autores criam e explicam o que eles chamam de Princípio Ponta-a-Ponta (end-to-end principle). Este princípio, usado até hoje, serviria para guiar a implementação de novas funcionalidades numa rede. Uma destas funcionalidades, por exemplo, poderia ser um filtro que bloqueia ou discrimina pacotes de dados. Este princípio genérico de design, o end-to-end principle, sugere que a funcionalidade da rede deve ser implementada nas camadas OSI 1, 2 e 3 e, portanto, em cada roteador, apenas se não puder ser implementada efetivamente nas camadas superiores. Em redes projetadas de acordo com esse princípio, os recursos específicos do aplicativo residem nos nós finais de comunicação da rede, em vez dos nós intermediários, como gateways e roteadores, que existem para estabelecer a rede em sua finalidade mais primitiva, o trânsito fluido de dados. Em outras palavras, a premissa básica deste princípio é que os benefícios da adição de funcionalidades a uma rede simples, como por exemplo, adição de filtros para pacotes de dados, degradam a rede rapidamente, especialmente nos casos em que as camadas finais precisam implementar essas funções apenas por razões de conformidade. A implementação de uma funcionalidade específica incorre em penalidades para o uso de recursos da rede, independentemente de a função ser usada ou não. Assim sendo, uma implementação de uma função específica na rede distribui essas penalidades entre todos os clientes, usuários ou não destes recursos. Usando este princípio científico, demonstrado no artigo em questão, os advogados da pró-neutralidade derrubaram a ideia dos oposicionistas usando suas próprias tecnologias e ferramentas. Após esta alegação científica, os argumentos técnicos anti-neutralidade caíram por terra. Esse argumento, usado até hoje, mantém a web funcionando sobre protocolos comuns que se espalham por todas as camadas OSI e permitem seu uso independentemente do conteúdo transitado. Se for necessário implementar uma forma de filtro, que ele seja implementado apenas na ponta final da rede, ou seja, nos nós finais de quem deseja essa filtragem. A comutação de pacotes nos seus níveis mais elementares, camadas 1 a 3, não deve ser impregnada por funcionalidades às quais não foram planejadas. Analisando o princípio ponta-a-ponta hoje, descrito em 1984, sobre uma criação do início dos anos 1970, as camadas OSI, percebemos o quanto foram criativos esses desenvolvedores que protegeram a essência da transferência de dados com o mínimo de invasão possível para agilizar a troca de informações. Atualmente percebemos que essa estruturação da rede em camadas permite a criação de métodos de proteção de dados que são independentes da infraestrutura de comunicação da rede, ou seja, essa arquitetura em camadas permite a criação de métodos de proteção de dados que residam apenas nas camadas finais da rede, camadas ligadas às aplicações e que são usadas apenas pelos usuários que de fato se interessam por isso. Qual o motivo de proteger os dados de um streaming de áudio de uma rádio, ou de uma transmissão esportiva de um evento aberto? Poucas vezes na história da comunicação digital podemos ver um trabalho interdisciplinar que uniu advogados e especialistas em computação gerar tantos benefícios à sociedade. No entanto, passadas décadas da formulação e divulgação do princípio ponta-a-ponta parece que muitos ainda não sabem que ele existe, ou fingem que não sabem. Em setembro do ano de 2020, a Secretaria de Acompanhamento Econômico (SEAE) do Ministério da Economia [SAE, 2020], sugeriu retomar a discussão sobre o conceito de neutralidade de rede diante da chegada do 5G no Brasil. Vejam bem, essa tecnologia 5G não altera as camadas OSI que formam a infraestrutura global de todas as comunicações que usam a Internet. A tecnologia 5G é apenas uma agilização da troca de dados e funde-se a qualquer outra tecnologia que respeite a padronização das camadas OSI. A justificativa da Secretaria seria garantir a viabilidade jurídica de redes privadas e do fatiamento de rede (network slicing). Ou seja, sugestões como esta fazem com que o princípio da neutralidade da rede ainda sofra grandes perigos no Brasil. Sendo assim, torna-se cada vez mais imperativo que todos, nós cidadãos pró-neutralidade, usuários da rede e seus serviços, saibamos um pouco mais de tecnologia para proteger esse princípio que modelou essa nova estrutura de comunicação que serve a todos os brasileiros, sem distinção. A quebra deste princípio definitivamente vai gerar um fatiamento da rede, como prega a Secretaria, fatiamento o qual, por consequência, vai gerar nichos tecnológicos e de informação fechados, de acesso restrito e que nada irão ajudar a construir a sociedade da informação que desejamos e que é tão importante para um país em desenvolvimento. Referências bibliográficas Marco Civil da Internet. Disponível aqui. WU, Tim. Network neutrality, broadband discrimination. J. on Telecomm. & High Tech. L., v. 2, p. 141, 2003. Plenário. Disponível aqui. JORDAN, Scott. Implications of Internet architecture on net neutrality. ACM Transactions on Internet Technology (TOIT), v. 9, n. 2, p. 1-28, 2009. SEAE. Disponível aqui. Wikipedia OSI. Disponível aqui. SALTZER, Jerome H.; REED, David P.; CLARK, David D. End-to-end arguments in system design. ACM Transactions on Computer Systems (TOCS), v. 2, n. 4, p. 277-288, 1984. Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP e estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.
No dia 8 de abril de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) praticou um ato típico da figura de agente de tratamento, ao nomear um encarregado pela proteção de dados pessoais (ou DPO)1. Conforme previsto no artigo 5º, VIII, LGPD, caberá ao controlador ou operador a função de nomear o encarregado. A medida, trazida pela Portaria ANPD nº 28 de 2021, trouxe à tona um debate em torno da seguinte pergunta: pode a ANPD figurar como controladora? Tal questionamento se dá porque a ANPD é "órgão da administração pública federal, integrante da Presidência da República", que por sua natureza se constitui como ente despersonalizado, conforme previsão da lei 9.784/99 (art. 1º, § 2º, I). A princípio, estaria a ANPD excluída do conceito de controlador. Contudo, o ato de nomeação praticado está em harmonia com a IN SGD/ME 117/2020, expedida pela Secretaria de Governo Digital, vinculada ao Ministério da Economia, que estabelece que não apenas entidades, mas órgãos do Governo Federal devem indicar encarregado e adotar outras medidas de compliance à LGPD, como a adequação de políticas e diretrizes2. Considerando a validade da Instrução Normativa, pela teoria dos motivos determinantes é possível afirmar que a obrigação imposta se dá em razão de considerar os órgãos públicos controladores, ainda que entes despersonalizados, nos moldes trazidos pela Lei. Tal instrução já foi corroborada em publicação feita pela própria ANPD3, a quem compete zelar pela proteção dos dados pessoais e sanar dúvidas razoáveis. Entendendo a controvérsia em torno do conceito, o art. 5º, VI da LGPD conceitua o controlador como a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". Textualmente, não está prevista - ou proibida - a atribuição do status de controlador aos entes despersonalizados, haja vista a menção apenas à pessoa natural ou jurídica. O ideal seria uma mudança advinda pela via legislativa que incluísse tais entes como controladores. Contudo, considerando que o Direito não pode silenciar diante de norma lacunosa ou de dúvidas, é necessário buscar respostas por meio da interpretação teleológica e sistemática. Pode-se considerar, por exemplo, que o artigo 55 - J, XX da LGPD, permite à ANPD a realização desta função interpretativa, ao estatuir que caberá à ANPD "deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos". O presente artigo levantará a possibilidade de reconhecimento de entes despersonalizados como controladores, com especial atenção aos condomínios. O primeiro argumento tem vínculo com o principal objetivo da LGPD: a proteção da pessoa natural, titular de dados pessoais4. Tomando por base apenas órgãos públicos e condomínios, é nítida a afirmação de que lidam com volume razoável de dados pessoais em frequência diária. Basta verificar que dados pessoais são todas as informações que tornam a pessoa natural identificada ou identificável para perceber que as operações estão presentes no cotidiano de órgãos públicos de todas as esferas e poderes, mas também em condomínios residenciais e comerciais, independentemente de sua constituição como pessoa jurídica. Por exemplo, quanto aos órgãos públicos, podem ser englobadas categorias que envolvem desde contribuintes e administrados a jurisdicionados e assistidos. Nos condomínios, por sua vez, os titulares podem ser agrupados em diversas categorias, desde proprietários e locatários a colaboradores, entregadores e visitantes. Da mesma forma, os dados tratados podem ser desde os mais comuns (nome completo, CPF etc.) até dados sensíveis (biometria, filiação sindical etc.). Enfim, todos esses dados - e respectivos titulares - estariam desprotegidos em caso de negativa da possibilidade de enquadrar entes despersonalizados no conceito de controlador, em lesão direta ao caráter protetivo da LGPD. Foi essa preocupação, aliás, que levou à edição da mencionada Instrução Normativa. O Diretor do Departamento de Governança de Dados e Informações da Secretaria de Governo Digital afirmou que "a LGPD foi uma conquista da sociedade brasileira e a sua implementação é um desafio para todos nós, tanto do setor público quanto do privado". Se existe tal preocupação com órgãos públicos, com o condomínio deve ser ainda maior, já que o descumprimento de medidas de adequação por aqueles órgãos poderia levar a eventual responsabilidade das entidades jurídicas autônomas a que se vinculam, enquanto no condomínio tal medida restaria muito mais dificultada, ao exigir a persecução de todos os proprietários de unidades autônomas, por exemplo. Ilustrando, se uma escola municipal trata dados de maneira inadequada e os torna vulneráveis a incidentes, há possibilidade de exigir adequação ou eventual reparação ao Município correspondente. Entretanto, se um condomínio tratar dados pessoais de maneira inadequada e não puder ser caracterizado como controlador, a quem seriam impostos os deveres legais e as boas práticas aptas a evitar a violação de direitos dos titulares de dados? Ainda, quem responderia perante a ANPD e autoridades judiciárias no caso de violações causadas? O argumento de que a responsabilidade civil fora dos termos da LGPD poderia eventualmente abarcar tais situações é possível, mas escaparia ao próprio fundamento de criação de uma lei voltada especificamente à proteção de dados e à privacidade que, ao vigorar, já demonstra a insuficiência dos instrumentos anteriormente previstos para a adequada tutela dos direitos fundamentais à privacidade e proteção de dados. O art. 4º, I da LGPD, por sua vez, estabelece que o tratamento realizado somente pela pessoa natural para fins particulares e não econômicos não está sujeito aos moldes da Lei, não mencionando a pessoa jurídica e os entes despersonalizados. Por se tratar de norma de exceção, deve sofrer interpretação restritiva. Quando quis excepcionar a regra, o legislador o fez expressamente, tanto que não restringiu os demais incisos à categoria das pessoas naturais. Em entendimento semelhante, a Autoridade de Proteção de Dados da Finlândia (Tietosuojavaltuutettu) atribuiu à comunidade religiosa das Testemunhas de Jeová a controladoria de dados pessoais coletados nas pregações feitas porta a porta - dados simples, como nome e telefone. O caráter pessoal do tratamento foi restringido, com base no GDPR, sob o argumento de que uma operação de tratamento de dados pessoais não pode ser considerada puramente pessoal quando o objetivo é tornar os dados coletados acessíveis a espaço que exceda a figura da pessoa natural que o coleta (no caso do condomínio, esse fim é evidente). Considerando que pequenas associações de bairro podem ser controladoras, nos termos da LGPD, seria desarrazoado imaginar que condomínios, que podem ter estrutura mais robusta e acessos mais frequentes aos dados, estariam isentos. O segundo argumento é o de que o ordenamento jurídico e a jurisprudência já reconhecem, por ficção jurídica, algumas capacidades ao condomínio, como a de figurar como consumidor, contribuinte ou parte em processo. Ademais, o condomínio possui patrimônio próprio, destacado, configurando-se como centro de imputação de obrigações. Tais admissões se dão por necessidade fática de abarcar tais entes despersonalizados para determinados fins. Um destaque feito é para a capacidade de estar em juízo, já atribuída aos condomínios. Isso ocorre porque o enunciado normativo é expresso ao afirmar que somente a pessoa (leia-se: natural ou jurídica) é titular de tal capacidade. Vejamos o art. 70 do CPC: "toda pessoa que se encontre no exercício de seus direitos tem capacidade para estar em juízo". Essa previsão não engloba, ipsis literis, o ente despersonalizado, mas a jurisprudência tem sido uníssona ao admitir a capacidade do condomínio estar em juízo, como autor ou réu5. No caso da LGPD, também haveria necessidade fática de reconhecimento, ainda que por ficção jurídica, da capacidade de condomínio figurar como controlador para a tutela do titular de dados, de maneira preventiva - impondo o dever de adequação - ou, quando for o caso, atribuindo a apenas um ente a possibilidade de responder administrativa e civilmente, evitando que o titular do direito violado tivesse que buscar os proprietários das unidades autônomas individualmente, o que tornaria o exercício de direitos inviável. Todas as reflexões levam à conclusão de que deve ser racionalizada e estruturada a possibilidade de entes despersonalizados figurarem como controladores, notadamente os condomínios, inclusive com a possibilidade de eventual regime diferenciado que adeque os deveres e responsabilidades impostos pela LGPD às estruturas de cada um.  *Caitlin Mulholland é professora do Departamento de Direito da PUC-Rio. Associada do IAPD. Coordenadora do Grupo de Pesquisa DROIT - Direito e Novas Tecnologias. Doutora em Direito Civil (UERJ).  **Carlos Eduardo Ferreira de Souza é advogado na área de Proteção de Dados e Regulatório de Novas Tecnologias no Lima=Feigelson Advogados. Mestrando em Teoria do Estado e Direito Constitucional pela PUC-RIO. __________ 1 Nos termos do art. 5º, VIII da LGPD: "VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);" (Grifo nosso). 2 BRASIL. Instrução Normativa nº 117, de 19 de novembro de 2020, da Secretaria de Governo Digital, vinculada ao Ministério da Economia. Dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. 3 BRASIL. Órgãos devem indicar responsável por tratamento de dados pessoais nas instituições da Administração Pública, da Autoridade Nacional de Proteção de Dados. Publicada em: 02/12/2020. Disponível aqui. Acesso em 16/04/2021. 4 Tal objetivo é expresso no art. 1º da LGPD: "Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural." (Grifo nosso) 5 Vide por todos: AgInt no AREsp 1.550.993/RJ; AREsp 402.826-GO; AI 220.492/DF.
sexta-feira, 30 de abril de 2021

Estado vigilante e regulação das fake news

Introdução Atualmente, graças à web 2.0, o mundo vive um período onde há uma enorme circulação de fake news online, especialmente, nas redes sociais, com o objetivo de moldar a opinião pública e, por conseguinte, influenciar nos resultados das eleições. O Brasil também tem sentido os efeitos desse fenômeno. Nesse sentido, o presente artigo se propõe a discorrer sobre qual a melhor forma de combate às fake news na área política, e sobre o porquê da intervenção direta do Estado como "guardião da verdade" deve ser evitada. Das fake news A mentira sempre existiu. Até mesmo os animais são capazes de mentir para benefício próprio. Carl Safina verificou que os macacos africanos, objetos de seu estudo, se utilizavam de chamados específicos para enganar os demais macacos de sua espécie. Em sua pesquisa, Safina concluiu que os macacos "gritavam" os chamados utilizados para alertar a presença de predadores com o objetivo de enganar os outros macacos, possibilitando alguma chance de fuga em um combate tido como perdido ou mesmo para conseguir eliminar a competição por frutos da mesma árvore. Se esses animais já se utilizam da divulgação de notícias falsas para benefício próprio, o que dirá dos humanos, a espécie animal mais sofisticada em comunicação e raciocínio. Dessa forma, constata-se que o fenômeno das fake news não é recente. Apesar de situarem seu início com o surgimento da política e da retórica, ou seja, na Antiguidade Clássica, especula-se que o ser humano se utiliza da mentira para beneficiar-se desde quando começou a se comunicar. Assim, percebe-se que as notícias falsas sempre permearam o cenário político. A novidade é que, atualmente, o avanço tecnológico ampliou o poder de propagação das fake news. Segundo estudo do MIT, com base no conteúdo que circulou no Twitter de 2006 a 2017, as notícias falsas têm 70% mais chances de serem "retuitadas". A chamada web 2.0, nesse sentido, atrelada ao período da pós-verdade, criou um terreno fértil para a propagação desse tipo de conteúdo, uma vez que, na pós-verdade, as pessoas não procuram a veracidade da informação. Na ânsia de provarem que estão certas, as pessoas apoiam-se em qualquer material que reforce aquilo que já pensavam. Assim, em especial na era da pós-verdade, basta que a notícia confirme a opinião da pessoa para que ela seja vista como verdadeira. E, disso se valem as fake news. Elas se alimentam das "certezas" existentes no homem da pós-verdade para poluir o debate democrático, fazendo com que ninguém acredite em mais nada. Percebe-se, dessa forma, que o objetivo das fake news não é fazer com que as pessoas acreditem na mentira, mas sim que elas duvidem da verdade, polarizando as opiniões da sociedade e poluindo o debate democrático, prejudicando a democracia, vez que a saúde da democracia depende da qualidade do diálogo realizado dentro dela. Ainda, vale aproveitar a oportunidade para levantar a relevante diferença entre fake news e desinformação. Atualmente, entende-se que o uso da expressão "desinformação" é muito melhor para definir o fenômeno que "fake news". Estudiosos do tema no Brasil e Europa compreendem que o termo "desinformação" é melhor por duas grandes razões. A primeira é que o uso frequente da expressão "fake news" por políticos, como forma de deslegitimar as notícias que não o beneficiam, acabou banalizando o termo. A segunda é que o termo "desinformação" não só compreende as notícias falsas (fake news) como também os dados verdadeiros; porém descontextualizados. Vale dizer ainda que existem autores que entendem por melhor utilizar o termo "notícias fraudulentas" ao invés de "fake news". Para fins do presente trabalho, que tem por objetivo introduzir o leitor ao tema, os termos "fake news" e "desinformação" serão tratados como sinônimos. No entanto, fique o leitor atento à importante diferenciação entre as expressões. Impactos na democracia Percebe-se, com base no que já foi dito, que as redes sociais e aplicativos de troca de mensagens passaram a servir de meios para a difusão de desinformação numa escala e rapidez inéditas, semeando a desconfiança, alimentando as tensões políticas e sociais, prejudicando o espaço público de debates e ferindo a democracia. Esse fenômeno foi sentido no mundo todo. Destaque para as eleições norte-americanas de 2016 e para as discussões sobre o referendo que decidiu pela saída do Reino Unido da União Europeia. No Brasil, a situação não foi diferente. De acordo com o Digital News Report, do Instituto Reuters para o Estudo do Jornalismo, cerca de 85% dos usuários de internet do Brasil disseram estar preocupados em discernir o conteúdo digital verdadeiro das fake news. Além disso, uma pesquisa feita pelo Congresso Nacional aponta que o público jovem dá mais valor a informações veiculadas na internet para definir seu voto. No mesmo sentido, a pesquisa realizada pela IDEIA Big Data, revela que mais de dois terços das pessoas receberam fake news por WhatsApp durante a campanha eleitoral brasileira de 2018. Democracia e liberdade de expressão O fato de que os termos "democracia" e "liberdade de expressão" estão intimamente ligados é sabido por todos. No entanto, o que gera debates é a forma como se dá esse relacionamento. Alguns indivíduos veem a liberdade de expressão como um instrumento da democracia, outros a veem como um direito individual inviolável, que deve ser garantido pela democracia. Por conseguinte, enquanto uma visão acredita que a liberdade de expressão está em função da democracia, outros defendem que a democracia deve garantir a liberdade de expressão como um valor inviolável. A visão instrumentalista da liberdade de expressão defende que essa liberdade deve ser protegida apenas na medida em que contribui para um debate saudável, que faça com que o eleitor exerça seu voto de maneira informada. John Stuart Mill, em sua tese sobre a liberdade e o utilitarismo, também atribui uma função instrumental à liberdade de expressão. MILL vê essa liberdade em função da busca pela verdade e, nesse sentido, defende que é de extrema importância o contato com a falsidade, pois só assim a verdade poderia ter suas razões reforçadas. Para MILL, a propagação da verdade sem a manifestação de suas razões a transforma, ao longo do tempo, em um dogma, podendo inclusive ter seu sentido distorcido. No entanto, para essa corrente que vê a liberdade de expressão como mero instrumento da democracia, o cenário atual, marcado pela velocidade com que a desinformação circula nos meios digitais, é suficiente para afastar argumentos como os de John Stuart Mill, uma vez que permitir que a falsidade circule na web 2.0 acarretaria prejuízos enormes ao debate público. Já a outra corrente, aquela que vê a liberdade de expressão como um valor fundamental e inviolável, entende que todos os envolvidos no debate público são cidadãos, independente da qualidade de suas opiniões. Essa corrente entende que exigir um estudo prévio e uma "qualidade mínima" da manifestação de opinião criaria um elitismo no debate público, segregando mais ainda a sociedade. Dessa forma, para tal corrente, os cidadãos devem ter o direito de opinar reconhecido e garantido, de modo que possam dar a sua contribuição ao debate público, independente de qual seja sua opinião, uma vez que um debate público saudável é um debate público plural. Assim, não há democracia sem uma plena liberdade de expressão garantida a todos. Isso não quer dizer que as pessoas não devam ser o mais bem informadas o possível e nem que a deliberação pública seja a mais racional possível. A intervenção estatal Sendo assim, é razoável propor que o Estado e, por conseguinte, o direito, deva atuar de modo a coibir os danos provenientes das fake news, uma vez que elas, comprovadamente, afetam a democracia. No entanto, o que se deve levar em conta é até que ponto a intervenção do Estado é válida e justificável. O que se quer evitar é a figura do "Big Brother" presente no romance "1984" de autoria de George Orwell. Nesse romance, as pessoas integrantes de uma sociedade fictícia estão sob vigilância constante das autoridades, de modo que o Governo viola e invade a privacidade de seus cidadãos sob a justificativa de que é para o bem e segurança de todos. Essa preocupação contra a tirania estatal está presente em todo o mundo, é inclusive um dos fundamentos da Segunda Emenda à Constituição dos Estados Unidos. A second amendment da Constituição Americana permite o porte de armas aos cidadãos como forma de garantia da legítima defesa e de combate à tirania estatal. Guardadas as devidas proporções e deixado o porte de armas de lado, visto que não é o objeto do presente artigo, percebe-se que é mais do que importante a garantia de uma convivência equilibrada entre Estado e sociedade. Nesse sentido, cabe estender essa preocupação também à questão do controle estatal sobre as fake news. Muitas medidas positivas têm sido adotadas por parte do Estado. O Tribunal Superior Eleitoral (TSE) adotou inúmeras medidas positivas, como o Seminário Internacional de Fake News e Eleições, que foi realizado com o apoio da União Europeia, tendo inclusive o Tribunal Superior Eleitoral colocado em curso várias medidas para dar efetividade às lições aprendidas. Firmou também parcerias com agências de fact-checking, firmou acordos com partidos políticos e inclusive teve seu chatbot como finalista no Bots Brasil Awards.   No mesmo sentido, o TSE também criou o Programa de Enfrentamento à Desinformação com Foco nas Eleições 2020, que conta inclusive com a participação de Google, Facebook, Twitter e WhatsApp, contendo eixos dedicados à Alfabetização Midiática e Informacional, Contenção à Desinformação, Identificação e Checagem de Desinformação, Aperfeiçoamento do Ordenamento Jurídico e Aperfeiçoamento de Recursos Tecnológicos. A Justiça Eleitoral, também preocupada em combater as fake news criou o Portal da Justiça Eleitoral. O Portal conta com informações relevantes para os cidadãos, uma linguagem acessível, inúmeros vídeos e atividades interativas, resposta às dúvidas mais frequentes e desmistificação dos mitos que rondam a votação por urna eletrônica. Por outro lado, medidas de controle repressivo também têm sido adotadas. As resoluções 23608 e 23610 do TSE tratam justamente da remoção de conteúdo da internet após análise judicial. Apesar desse tipo de medida não gerar um Estado de "Big Brother",  a adoção desse tipo de controle estatal pode significar um grande retrocesso. Além de significar uma medida extremamente paternalista de controle do que deve ou não ser dito, a retirada de conteúdo após a apreciação do judiciário pode aumentar a desconfiança da população e desacreditar ainda mais as instituições democráticas brasileiras. Pode-se ainda ter o risco da retirada de conteúdo legítimo, mas que é contrário à ideologia do julgador. Adicionalmente, cumpre salientar que a Resolução n. 23.610 do TSE, ao disciplinar a matéria relativa à propaganda eleitoral, menciona, explicitamente, a Lei Geral de Proteção de Dados (LGPD) em três instantes: 1) Art. 28, inc.III, da Resolução: define que o consentimento do titular dos dados deve ser disciplinado pela LGPD quando se tratar de propaganda eleitoral por meio de mensagens eletrônicas decorrentes de endereços cadastrados gratuitamente; 2) Art. 31, §4º, Resolução: a utilização, doação e cessão de dados pessoais deve seguir as diretrizes da LGPD e 3) Art. 41 da Resolução: prevê a aplicação da LGPD quando cabível. Dessa maneira, observa-se que o TSE, ao adotar algumas medidas para a proteção de dados pessoais, visa a proteger os eleitores de receberem fake news que prejudiquem a escolha política a ser realizada no instante das eleições. Ao se estabelecer um obstáculo para a coleta e para o compartilhamento de dados pessoais, a propagação das fake news é prejudicada, favorecendo a realização de eleições democráticas. Em suma, são diversas as medidas adotadas pela justiça eleitoral para impedir as fake news, já que elas representam uma ameaça ao processo eleitoral democrático, uma vez que interferem na escolha realizada pelos cidadãos. Diante do exposto, a LGPD será muito importante para a criação de obstáculos à disseminação de fake news de conteúdo político. Conclusão  Dessa forma, o que se propõe não é a não intervenção estatal na garantia de um processo democrático saudável. Pelo contrário, a participação do Estado é fundamental, mas nem por isso deve ser feita de qualquer jeito. O Estado deve direcionar seus esforços para medidas de governança que ensinem e fortaleçam os cidadãos, para que eles possam, com seus próprios intelectos, identificar as fake news e alcançar a verdade. Assim, mais medidas, como a nova Lei Geral de Proteção de Dados, devem ser adotadas, conciliando o aumento da autonomia e da privacidade dos cidadãos com o aumento da segurança pública e da garantia de um espaço público de debates salutar. Referências ABBOUD, Georges. Fake news e regulação. São Paulo: Thomson Reuters Revista dos Tribunais, 2020. BRASIL. Senado Federal. Câmara dos Deputados.  Redes sociais, notícias falsas  e privacidade de dados na internet. Disponível aqui . Acesso em: 18/04/2021. DIGITAL NEWS REPORT. Digital news report 2019. Disponível aqui. Acesso em 20/04/2021. LIMA, Cíntia Rosa Pereira de; SOUSA, Maria Eduarda Sampaio de. LGPD e combate às fake news. In Migalhas de Proteção de Dados, setembro/2020. Disponível aqui. Acesso em 27/04/2021. MELLO, Patrícia Campos. 2 em cada 3 receberam fake news nas últimas eleições, aponta pesquisa. Folha de São Paulo, 19/05/2019. Disponível aqui . Acesso em: 21/04/2021.  MILL, John Stuart. On Liberty and Utilitarism. New York: Bantam Dell, 1993.  MIT. The spread of true and false news online. 2018. Disponível aqui . Acesso em: 18/04/2021. NETO, Fernando Celso Guimarães. LGPD, Fake News e Eleições. In IAPD Artigos, abril/2021. Disponível aqui. Acesso em: 27/04/2021. OLIVEIRA, Cristina Godoy Bernardo de; LIMA, Tiago Augustini de; RODRIGUES, Pedro Sberni. Eleições Municipais, LGPD e pandemia: uma combinação imprevisível. In Migalhas de Proteção de Dados, outubro;2020. Disponível aqui. Acesso em: 27/04/2021. RAIS, Diogo. Fake news: a conexão entre a desinformação e o direito. São Paulo: Thomson Reuters Revista dos Tribunais, 2020.  SAFINA, Carl. Beyond words: what animals think and feel. Nova York: Henry Holt and Company, 2015. p. 261. *Cristina Godoy Bernardo de Oliveira é professora doutora da Faculdade de Direito de Ribeirão Preto - USP desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD. **Fernando Guimarães é graduando em Direito na Faculdade de Direito de Ribeirão Preto da USP. Bolsista PUB pela USP na área de Direito & Internet, sob a orientação da profa. dra. Cristina Godoy Bernardo de Oliveira.
A LGPD certamente foi uma conquista no campo da proteção dos dados pessoais, ainda que criticável em alguns pontos, como não deixou de notar a doutrina especialista na matéria. Todavia, um aspecto merece certamente um aplauso, ou seja, a ausência de qualquer mínima referência ao direito ao esquecimento. Isso, contudo, não significa que esse direito não exista. O direito ao esquecimento existe, está vivo e próspero! Necessita somente ser bem-conceituado, como, de resto, requer qualquer direito.  O direito ao esquecimento, como direito fundamental que é, encontra o seu fundamento na Constituição, que reconhece e garante os direitos e liberdades fundamentais. Esses direitos são imanentes à pessoa, precedem mesmo à Carta, que não os cria, mas os reconhece e os garante, não sendo necessária, para sua máxima proteção, uma previsão específica em lei. Nesse sentido, a decisão do STF1, com repercussão geral reconhecida, em tema de direito ao esquecimento causou e causa mais de uma perplexidade. Não só pela escolha equivocada do caso, inadequado a caracterizar o direito ao esquecimento ou por ter tratado de forma genérica um tema que de genérico não tem nada, mas principalmente por ter concluído ser o direito ao esquecimento incompatível com a Constituição Federal. Assim, por maioria, o STF negou provimento ao Recurso Extraordinário e indeferiu o pedido de reparação de danos formulado contra a recorrida, nos termos do voto do Relator, vencidos parcialmente os Ministros Nunes Marques, Edson Fachin e Gilmar Mendes. Consequentemente, a maioria do STF fixou a seguinte tese: É incompatível com a Constituição a ideia de um direito ao esquecimento, assim entendido como o poder de obstar, em razão da passagem do tempo, a divulgação de fatos ou dados verídicos e licitamente obtidos e publicados em meios de comunicação social analógicos ou digitais. Eventuais excessos ou abusos no exercício da liberdade de expressão e de informação devem ser analisados caso a caso, a partir dos parâmetros constitucionais - especialmente os relativos à proteção da honra, da imagem, da privacidade e da personalidade em geral - e as expressas e específicas previsões legais nos âmbitos penal e cível. Uma ocasião perdida que, como se sabe, não volta atrás.  Não se pretende aqui fazer um comentário à decisão, mas tão-somente tecer algumas reflexões. Decidiu-se, por maioria, que o direito ao esquecimento não encontra guarida no ordenamento brasileiro, mas não se especificou no que consiste esse direito. Surge então espontânea a dúvida de como seja possível excluir algo do qual não se tenha bem claras as suas fronteiras. Na coluna "Migalhas de Proteção de Dados" do dia 29/09/2020, Cíntia Rosa Pereira de Lima e Guilherme Magalhães Martins trataram sobre o caráter dinâmico do "direito ao esquecimento". O que se tem notado é uma grande confusão entre o direito ao esquecimento e a proteção dos dados pessoais, que são conceitos bem distintos apesar de guardarem alguma atinência entre eles. Confusão à qual muito contribuiu o Regulamento Europeu de Proteção dos dados pessoais (GDPR)2 que no art. 173, prevê o direito ao cancelamento de dados, colocando entre parêntesis "Direito ao esquecimento", o que de per si já é uma contradição, porque o direito ao esquecimento não é um direito ao cancelamento de fatos ou dados e não é orientado a cancelar o passado, mas a proteger o presente. Ao mesmo tempo colocou-se a expressão entre aspas, passando a ideia da estranheza da expressão em relação ao direito ao cancelamento, outra contradição! O desenvolvimento da sociedade da informação trouxe como consequência uma expansão do direito ao esquecimento, mas logicamente, em modalidades diversas em relação ao sentimento social e à posição dos juristas. Enquanto as pessoas acreditam tratar-se de um direito ad nutum, livre e ilimitado, os juristas buscam defini-lo e delimitar o seu alcance de forma harmônica, ponderando-o sempre com outros direitos e liberdades constitucionalmente garantidos. Todavia, ainda que atualmente a atenção dos juristas e do público em geral se concentre principalmente no exercício do chamado "direito ao esquecimento online", é necessário estabelecer com clareza as linhas de demarcação entre esse importante instituto - na sua tradicional configuração - e a proteção dos dados pessoais, porquanto seja incontestável a identidade do objetivo de ambos:  a garantia da pessoa e da sua inseparável dignidade. Para uma melhor compreensão do fenômeno, ocorre ter sempre em mente que o direito ao esquecimento, de origem jurisprudencial, assume diversos aspectos de acordo com a geração à qual pertence4. Em extrema síntese, a primeira consiste no direito de não ver republicada uma notícia, já legitimamente publicada, quando transcorreu um período de tempo considerável e não haja um interesse público atual na republicação dessa notícia. A segunda, já pós Internet e delineada na decisão n. 5.525 de 2012 do Tribunal de Cassação italiano, é o direito de contextualizar a informação. A terceira, individualizada a partir do caso Google Spain5 e depois reafirmada no Regulamento Europeu 679/2016, é o direito de cancelar dados pessoais em determinadas circunstâncias. Vistas as características do direito em questão, somente na primeira geração pode-se falar efetivamente de direito ao esquecimento, enquanto na segunda e principalmente na terceira, delineia-se uma figura totalmente diferente, podendo-se falar quando muito em direito à contextualização ou à dexindexação (o que fiz questão de deixar claro na minha participação do Webinar sobre o tema). Cada geração tutela um bem jurídico diferente, assim, na primeira, o direito à reputação6; na segunda, a identidade pessoal; e na terceira, os dados pessoais. Por esse motivo o direito ao esquecimento não pode ser considerado autônomo, mas, sim, instrumental. Pode parecer uma contradição em termos, mas na realidade não o é porque o direito ao esquecimento é um instrumento fundamental para a concretização de outros direitos da personalidade, como a reputação, a honra, a intimidade, a identidade pessoal. Outro fator importante que constitui um discrimen entre a primeira e as outras gerações é representado pelo tempo, fundamental à caracterização do tradicional e verdadeiro direito ao esquecimento. Na Internet, como se sabe, a informação e os dados permanecem infinitamente, portanto, o fator "tempo" nesse caso não releva em relação à duração ou à distância entre um evento e a sua (re)republicação; mas sim, em relação à sua permanência. No direito ao esquecimento tradicional, a notícia contestada deve ser reproposta a distância de anos, enquanto na Internet a notícia está sempre ali, circunstância que alterou a forma de utilização da informação que passa a ser apreendida e usufruída instantaneamente. Apesar da importância desse requisito, é necessário advertir que não é a antiguidade do fato a legitimar a evocação do direito ao esquecimento, mas sim, o dano potencial que a reproposição da experiência de uma pessoa possa causar à verdade da própria imagem no momento histórico atual. A Internet caracteriza-se, entre outras coisas, pela velocidade do compartilhamento das informações por milhões de pessoas, o que impõe como fundamental, a compreensão do alcance de uma informação para que a identidade do sujeito não seja desnaturada ou mesmo falseada. Assim, na segunda e na terceira gerações, caracterizadas pela sociedade digital, o direito em questão vincula-se ao conceito de arquivamento. Justamente essa característica de "permanência" da notícia faz com que a republicação não seja necessária, impondo-se ao contrário, a sua atualização, se necessário e a sua contextualização. Dá-se mesmo uma inversão dos papéis de cada sujeito interessado porque na primeira geração é o jornalista a ativar-se para a reproposição da notícia enquanto, depois do advento de Internet, são as próprias pessoas que procuram as informações relativas a si mesmo ou a outrem, nos motores de busca. Se na primeira geração o direito ao esquecimento coloca-se quase sempre em conflito com as liberdades de expressão e de imprensa e, portanto, com a liberdade de crônica e o direito de informar e de ser informado, nas gerações sucessivas, em razão da tendência das pessoas em conceber os dados pessoais de forma proprietária - o que não corresponde à ratio da legislação em matéria -, o problema diz respeito à necessidade constante de uma ponderação do direito à proteção dos dados pessoais com outros direitos da personalidade, conforme dispõem o GDPR e a LGPD. Ambos, como se sabe, buscam atribuir maior segurança e responsabilidade aos fluxos de dados no próprio território, em consonância com a lição de Rodotà que há muito advertia que a privacidade, na atualidade, evoluiu do right to be alone ao controle sobre os próprios dados pessoais.7 Nas três gerações, o direito em questão deverá ser sempre analisado em concreto, assim, doutrina e jurisprudência italianas, há tempos, individualizaram critérios voltados à valoração do equilíbrio e da ponderação das liberdades, por alguns aspectos antagonistas, mas todas reconduzíveis a valores constitucionalmente tutelados e finalizadas ao pleno desenvolvimento da pessoa humana tanto na dimensão social - no aspecto concernente à liberdade de expressão -, quanto do indivíduo em relação à proteção de sua vida privada.8 Como critérios comuns a todos os casos, são indicados principalmente a existência e a permanência de um interesse público9 à veiculação da notícia conjugado com a atualidade e a essencialidade, o chamado vigor informativo, e a salvaguarda da verdade e da memória histórica e científica. Na ponderação dos dois direitos, portanto, caberá ao juiz avaliar a existência de um interesse público concreto e atual na republicação dos fatos e nos dados de identificação dos sujeitos protagonistas, tendo sempre presente que o anonimato de per si não é garantia de tutela da intimidade ou da privacidade. Em razão disso, deverá ser levado em consideração também o critério espacial, pois é evidente que se o âmbito de difusão espacial da notícia for reduzido, o risco de preconceito que pesa sobre o interesse do sujeito em sua identidade pessoal e intimidade é maior e deverá ser levado em conta com mais vigor, de modo que as condições para considerar alcançado o interesse público na informação devem ser ainda mais rigorosas. Por conseguinte, a (re)divulgação da notícia, depois de algum tempo, só pode ser considerada lícita na hipótese em que se refira a pessoas que despertem interesse na comunidade no momento da republicação, tanto em virtude da notoriedade quanto pelo papel exercido; em caso contrário, o direito dos interessados ??à intimidade prevalece sobre eventos passados nos quais a memória coletiva já esmaeceu. A contradição à qual me referi no início torna-se evidente mesmo tão-somente com a leitura do art. 17 GDPR. No que diz respeito ao chamado reconhecimento legislativo do direito ao esquecimento afirma-se que cada pessoa deve ter o direito de retificar os dados pessoais que lhe digam respeito e o "direito ao cancelamento e ao esquecimento", se a conservação desses dados não cumprir o disposto no Regulamento. Em particular, a parte interessada deve ter o direito de solicitar que seus dados pessoais que não sejam mais necessários para os fins para os quais foram coletados ou de outra forma tratados ??sejam excluídos e não mais processados, quando retirarem seu consentimento ou quando se opuserem ao tratamento de dados pessoais que lhe digam respeito ou quando o tratamento dos seus dados pessoais não estiver de acordo com o Regulamento. Este direito é particularmente relevante se o titular dos dados deu o consentimento quando era menor de idade e, portanto, não estava totalmente ciente dos riscos decorrentes do tratamento e, posteriormente, mesmo já tendo alcançado a maior idade, deseja cancelar este tipo de dados pessoais, em particular da Internet. No entanto, a posterior retenção de dados deve ser permitida se for necessária para fins de pesquisa histórica, estatística e científica, por razões de interesse público no setor de saúde pública, para o exercício do direito à liberdade de expressão, quando exigido por lei ou quando se justifica uma limitação do processamento de dados em vez de um cancelamento. É clara, portanto, a confusão entre os dois conceitos em análise. Uma coisa é o direito ao esquecimento que mantém uma relação estreita com a mídia tradicional. Outra, é o tratamento dos dados pessoais, que diz respeito a um sistema que pode, de alguma forma, sobrepor-se, mas sem se identificar com o primeiro, principalmente em razão da tendência a banalizar fatos, institutos e soluções. Na nossa hipótese, hoje tudo é dado pessoal, tudo é informação, por isso, tudo o que diz respeito à pessoa torna-se dado pessoal ou, pior ainda, objeto de direito ao esquecimento. É importante superar essa tendência para evitar que a pessoa se torne digital, desencarnada e não mais, real. O que o GDPR e a LGPD estabelecem na realidade, entre outras, é a necessidade de os dados pessoais observarem o princípio da minimização10, ou seja, serem adequados, pertinentes e limitados ao que for necessário  em relação às finalidades para as quais são tratados, prevendo de consequência o caráter modulável do consentimento ao tratamento dos dados, que permite ao sujeito contestar a continuidade da utilização do dado quando esgotou-se o tempo e o espaço funcional à sua utilização. Mesmo sem uma referência específica ao direito ao esquecimento, Rodotà evidenciava a diversidade de caráter entre o direito à privacidade/intimidade e a proteção dos dados pessoais, tendencialmente elitista o primeiro, democrático a segunda. A seu dizer, se ontem a proteção da privacidade se chocava com o direito de crônica e com as exigências de tutela da intimidade de personagens famosos contra os ataques da imprensa sensacionalista, hoje a proteção dos dados pessoais, digitalizados, diz respeito a todos. Um e outro, expressão do mesmo direito da personalidade e do princípio da dignidade humana. Nas gerações sucessivas à tradicional, não se trata de direito ao esquecimento, mas digamos de direito de não ser encontrado, contudo, como esclarecido pelo TJUE, somente a partir de uma busca genérica por meio de motores de busca, porque apesar do teor do art. 17, o direito ao esquecimento não é voltado a cancelar seja o que for. O fato continuará sempre acessível. Em especial, a memória histórica e a verdade devem ser sempre garantidas porque, ao contrário do objetivo do Edito de Nantes de 159811, as numerosas "comissões da verdade" criadas nos países saídos de regimes ditatoriais, demonstraram a importância de dar plena luz ao passado como forma de reconciliação fundada na construção de uma memória mantida e compartilhada. Como observei em várias ocasiões12, o caráter permanente e tendencialmente infinito da memória de Internet cria uma incompatibilidade natural do direito ao esquecimento com o mundo digital. A normativa sobre a privacy, já no dizer de Rodotà, coloca-se em um dos pontos mais delicados e significativos da sociedade da informação e da comunicação13. Desse modo, para desfrutar de todos os seus significados e potencialidades não será suficiente uma boa interpretação de suas normas, sendo necessário mesmo um trabalho cultural que evidencie como o direito de construir livremente a própria esfera privada sem interferências passe pela conscientização de uma maior responsabilização do usuário de Internet em relação ao seu comportamento que prevê deveres antes mesmo de direitos14. Dever, antes de tudo, de respeitar os outros e a si mesmo porque desse modo não só a tutela da privacidade seria in re ipsa, mas evitaria o congestionamento do Judiciário, já tão comprometido, em busca de uma identidade (intencionalmente) perdida. *Maria Cristina De Cicco é professora Associada de Direito Privado na Faculdade de Direito da Universidade de Camerino (Itália); professora na Escola de especialização de Direito Civil e componente do Colegiado do Doutorado em Direito Civil na Legalidade constitucional da Universidade de Camerino; coordenadora da Cátedra Ítalo-brasileira de direitos da pessoa; graduada em Direito pela Faculdade de Direito da USP e pela Faculdade de Direito da Universidade de Camerino; doutora em Direito Civil pela Universidade de Camerino; membro da Sociedade Italiana de Estudos em Direito Civil; da Sociedade italiana de Pesquisa em Direito Comparado (SIRD); membro do IBDFam; Responsável de projetos de pesquisa em tema de "Pessoa e Mercado"; Autora de publicações na área das Relações Existenciais e das Relações Patrimoniais. __________ 1 ARE 833248 RG, relator(a): min. DIAS TOFFOLI, julgado em 11/12/2014, PROCESSO ELETRÔNICO dje-033 DIVULG 19-02-2015 PUBLIC 20-02-2015. 2 Regulamento (UE) 2016/679 do Parlamento europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas física em relação ao tratamento dos dados pessoais. 3 Intitulado Direito al cancelamento ("Direito ao esquecimento"). 4 Para um aprofundamento: DE CICCO, Maria Cristina. O direito ao esquecimento na experiência italiana. In: GUERRA, Alexandre et al (coords.). Da estrutura à função da responsabilidade civil. Indaiatuba: Foco, 2021, p. 563 ss. 5 Tribunal de Justiça UE, Causa C-131/12, Google Spain SL, Google Inc./Agencia Española de Protección de Datos, 13 de maio de 2014. 6 De fato, para G.B. FERRI. Diritto all'informazione e diritto all'oblio. In: Rivista di Diritto Civile, I, 1990, p. 808, "o direito de ser esquecido pertence às" razões e às 'regiões' do direito à privacidade". 7 Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali. In: Rivista Critica del Diritto Privato, anno XV, n. 1, março 1997, pp. 583 - 609. pp. 588 - 591. 8 DE CICCO, Maria Cristina. O direito ao esquecimento levado a sério. In: LIMA, Marcelo Chiavassa de Mello Paula; OLIVEIRA, Caio Cesar de. (orgs.) Análise de Casos sobre Direito ao Esquecimento. São Paulo: Ed. Tirant lo blanch do Brasil. No prelo. 9 Cf. Também o Considerando 50, Regulamento (UE) 2016/679. 10 Art. 5, par. 1, let., "c" do RGPD e art. 6 da LGPD. 11 O Edito de Nantes de 1598 proibia a todos os súditos de renovar a memória dos fatos acontecidos entre março de 1585 até a subida ao trono, para consentir um retorno à normalidade. 12 DE CICCO, Maria Cristina; MORATO, Antônio. O direito ao esquecimento: luzes e sombras. In: R. de Mello, Jorge Silveira e M. Gama de Magalhães Gomes (orgs.). Estudo em homenagem a Ivette Senise Ferreira. São Paulo: LiberArs, 2015, pp. 77 ss.; DE CICCO, Maria Cristina. O direito ao esquecimento na experiência italiana, cit. 13 Posição recorrente na obra do autor. 14 DE CICCO, Maria Cristina. O papel dos deveres na construção da legalidade constitucional: reflexões de uma civilista. In: DE CICCO, Maria Cristina (org.). Os deveres na era dos direitos entre ética e mercado/I doveri nell'era dei diritti fra etica e mercato. Edição bilíngue. Napoli: Editoriale Scientifica, 2020, p. 12 ss.  
Em demandas repetitivas e de baixa complexidade - o sistema de ODR (Online Dispute Resolution), dotado de grande flexibilidade, pode ajudar a superar obstáculos de mecanismos tradicionais, judiciais ou ADR (Alternative Dispute Resolution), sendo marcado sobretudo pela natureza adaptativa, com diversas experiências positivas no exterior, como na Prefeitura de NY, E-Bay e PAY-PAL, Wikipédia e AirBNB, dentre outras. Ocorre a análise jurimétrica dos consumidores nas plataformas, num processo de desjudicialização que se iniciou com abertura comercial da Internet, nos anos 1990, e, no Brasil, acentuou-se com o Código de Processo Civil de 2015, levando à parametrização de interesses.1 Como afirma Colin Rule, um dos precursores da matéria, o ODR combina a eficiência da solução alternativa de conflitos com a Internet.2 No Brasil, há diversos mecanismos sem dúvida bem-sucedidos, a serem fomentados, como o Reclame Aqui, Juspro, e-Conciliar, Vamos Conciliar, Mediação Online e Consumidor.gov.br, esta administrada pela Secretaria Nacional do Consumidor, pertencente à estrutura do Ministério da Justiça, que atua desde 2014 com bons resultados, tendo inclusive expandido recentemente sua base operacional. Por um lado, a exaustão do modelo tradicional de resolução de conflitos é algo que não pode ser desconsiderado, de modo que o processo judicial, durante muito tempo, converteu-se na única resposta que se oferece para qualquer embaraço no relacionamento entre as partes. A procura pelo Judiciário foi tão excessiva que o congestionamento dos Tribunais inviabilizou o cumprimento de um comando fundante contido na Carta Cidadã, pela Emenda Constitucional 45/2004: a duração razoável do processo.3 Com o advento da recente Resolução 358, do CNJ, publicada no 02 de dezembro de 2020. Por meio da mencionada resolução, o Judiciário brasileiro começará a projetar sistemas informatizados de ODRs para a resolução de conflitos, voltados à tentativa de conciliação e mediação (SIREC), no formato de Tribunais online. A ideia é de caminhar além da primitiva ferramenta (mas com aparentes bons resultados) do consumidor.gov. Demandas que não chegariam aos tribunais passam a ser manipuladas por tecnologias que fazem as vezes de um agente neutro, propondo alternativas e ações possíveis às partes, com redução de custos, simplicidade e celeridade.4 Porém, em certos casos, os mecanismos de solução de controvérsias podem agravar assimetrias de poder, atribuir responsabilidades e alocar custos de maneira indesejável do ponto de vista social, fugindo ao escrutínio público, com a criação de bancos de dados parametrizados, pelas legal techs, para a venda de ODRs, e o consequente Big Data envolvido para ganhos econômicos. Algumas críticas feitas à ADR, do ponto de vista da assimetria, podem ser estendidas às ODRs. É verdade que, por ouro lado, embora se inspirem nos mecanismos alternativos de solução de conflitos, os ODRs não se limitam à sua transposição para o ambiente eletrônico.5 Na ausência de vedação legal,  a parte mais poderosa do ponto de vista  econômico, tecnológico e informacional  pode impor a ODR ao consumidor,  fornecedor, empregado, cliente etc.6 Existem dúvidas quanto à imparcialidade do mecanismo e preocupações com o desequilíbrio adicional de forças, concentração de informações pelo usuário habitual daqueles mecanismos. Tal preocupação é agravada pela opacidade das caixas-pretas dos algoritmos7 empregados nas soluções de conflitos. Por um lado, nascidos como resposta a conflitos surgidos na Internet, são uma boa opção para que as partes solucionem suas contendas, com desde que se trate de interesses individuais disponíveis, com efetividade, com a   negociação assistida por uma quarta parte. Na prática, boa parte das ODRs mais bem sucedidas são aquelas geridas pelas instituições nas quais os conflitos se originam, e naquelas que emprestam conhecimento especializado para sua resolução, como  plataforma de e-commerce, câmara de comércio, dotadas de conhecimento especializado  crucial para apurar o design das ODRs.8 Mediante o uso das ODRs, é possível antecipar, até o início do conflito, mediante o uso de computador, perante comunicação anônima, a administração de dados em volume e velocidade superiores, com comunicação interativa, demandando-se larga escala, perante qualquer ambiente. Isso leva à diminuição de custos e de tempo, numa atuação em outros momentos, prevenindo ou influenciando o conflito a fim de evitar sua escalada, de forma confidencial, sem exposição a terceiros.9 No entanto, a tecnologia não é neutra, e os procedimentos assim gerados podem ser persuasivos, induzindo a certas escolhas ou excluindo ou omitindo opções. As tecnologias refletem os preconceitos e premissas dos seus desenvolvedores, podendo determinar resultados simplesmente por sua formatação, podendo conduzir a ilegalidades ou abusividades.10 A tecnologia pode favorecer, por exemplo, o acobertamento de atos ilícitos. A indução das partes a certos procedimentos ou composição pode ferir diretrizes éticas e de ordem pública. Deve-se focalizar a transparência dos mecanismos de ODR. Até que ponto existe confidencialidade ou neutralidade? Segundo Dierle Nunes e Camila Mattos Paolinelli: "De todo modo, mesmo integradas ao sistema, é imprescindível que se examine, conforme dito, que o sistema de ODR tenha um desenvolvedor desinteressado. A utilização de ODRs criadas pelo setor privado, ainda que integradas ao sistema público de justiça, pode acentuar disparidades materiais entre os litigantes, tendo em vista que a plataforma é criada por um deles que detém todas as informações sobre o sistema. Com poder econômico e informacional, além da habitualidade das demandas (pois participará de todas), o litigante habitual alimentará o sistema com dados (quase que diários) que o favorecerão, desequilibrando os resultados, quase sempre. Ainda que a plataforma de ODR utilizada, seja desenvolvida pelo judiciário como "parte integrante" do sistema, a depender do sistema utilizado, alimentado pelos dados gerados em decorrência do grande número de demandas, os resultados apresentados na resolução dos litígios também poderão ser tendenciosos e direcionados a beneficiar litigantes habituais (em face das potencialidades de vieses do modelo algorítmico)". Nesse aspecto, talvez o grande desafio seja o de criar uma propedêutica processual amparada em direitos fundamentais que permita rigoroso controle dos resultados enviesados. A arquitetura de escolha da plataforma pode induzir comportamentos e é necessário observar, de perto, quais tipos de comportamentos são estes. A crença na autonomia da vontade foi jogada por terra pela captologia (tecnologia que manipula), e, por isso, a importância de se fortalecer mecanismos que permitam participação informada e controle nos resultados.11 Em qualquer caso, há alguns limites que não podem ser ultrapassados, em nome dos valores que eleitor primordialmente na Constituição da República, em especial: 1 - A integridade da jurisprudência dos Tribunais Superiores na promoção aos vulneráveis (consolidando temas já julgados no sentido de servirem como precedentes poderosos contra a prática de recursos procrastinatórios - o tema 1075 - 'limites territoriais' da coisa julgada coletiva bem demonstrou essa falha)12. Problemas envolvendo consumidores com fragilidades aguçadas, como idade, pobreza, analfabetismo, levando à denominação hipervulnerabiilidade13, e somadas à crise própria do estado pandêmico, devem ser ainda levados em conta. O direito privado deve necessariamente reconhecer a fraqueza de certos grupos da sociedade, que se apresenta como ponto de encontro entre a função individual, que tradicionalmente lhe é reconhecida, e sua função social, afirmada no direito solidário privado que emerge da Constituição.14 2 - A garantia do  Acesso à Justiça como direito fundamental , evitando-se as seguidas tentativas de impor obstáculos de acesso ao Judiciário e à ordem jurídica justa através de modelos alternativos de solução de conflitos extrajudiciais, especialmente aqueles da plataforma digital, na forma do Art. 5º, XXXV - da Constituição da República: "a lei não excluirá da apreciação do Poder Judiciário lesão ou ameaça a direito" - , o que obsta a imposição dos ODRs como condição da ação, ao contrário do que tem decidido parte do Poder Judiciário, sob pena de vedação ao retrocesso.  O uso facultativo das plataformas mostra-se benéfico, como uma opção a mais, de modo a descongestionar o Poder Judiciário, trazendo ganhos, do ponto de vista da eficiência, mas sem jamais descuidar de todos os direitos fundamentais envolvidos; 3 -  A transparência quanto aos algoritmos adotados para manuseio de inteligência artificial quanto à matéria de relações de consumo. Especialmente quanto a este último ponto, na Lei Geral de Proteção de Dados, convém não descuidar, dentre os princípios das atividades de tratamento de dados pessoais (artigo 6º.), da transparência (VI), livre acesso (IV), não discriminação (IX), responsabilização e prestação de contas (X).  Fórmulas matemáticas ("black boxes") são usadas deliberadamente mais para confundir do que clarificar, tendo em vista a opacidade das armas de destruição matemática - termo cunhado por Cathy o'Neil15 - , desenhadas para serem opacas e invisíveis e temperadas pelo molho secreto do algoritmo. Modelos programados por algoritmos, embora possam trazer também grandes benefícios, afetam negativamente a vida de milhões de pessoas, de maneira inapelável e injusta na sociedade contemporânea, frequentemente de maneira não informada e contrária ao seu consentimento. *Guilherme Magalhães Martins é promotor de Justiça titular da 5ª Promotoria de Justiça de Tutela Coletiva do Consumidor e do Contribuinte da Capital - Rio de Janeiro. Professor associado de Direito Civil da Faculdade Nacional de Direito - UFRJ. Professor permanente do Doutorado em Direitos, Instituições e Negócios da Universidade Federal Fluminense. Doutor e Mestre em Direito Civil pela Faculdade de Direito da UERJ.  Associado fundador do Instituto Avançado de Proteção de Dados - IAPD. __________ 1 Acerca do tema, indicam-se as seguintes obras: RULE, Colin. Online Dispute Resolution for Business; B2B, E-commerce, consumer, employment, insurance, and other commercial conflicts. San Francisco: Jossey Bass, 2002. p.28-29 KATSH, Ethan; RABINOVICH-EINY, Oina. Digital Justice; Technology and the Internet of Disputes. Oxford: Oxford University Press, 2017. p.10. 2 RULE, Colin. Online Dispute Resolution for Business, op.cit, p.03 3 NALINI, José Renato. É urgente construir alternativas à justiça. In: ZANETI Jr., Hermes; CABRAL, Trícia Navarro Xavier. Justiça Multiportas; Mediação, Concilação, Arbitragem e outros meios adequados de solução de conflitos. 2.ed. Salvador: Juspodium, 2018. p.31. 4 ARBIX, Daniel do Amaral. Resolução online de controvérsias; tecnologias e jurisdições. Tese de Doutorado apresentada à Faculdade de Direito da USP. São Paulo, 2019. p.02. 5 ALBERNOZ, M.M. Online Dispute Resolution(ODR) para o comércio eletrônico em termos brasileiros. Direito.UnB - Revista de Direito da Universidade de Brasília. v.3, n .1, p., 2019. Disponível aqui. p.13 Acesso em: 15.04.2021. 6 ARBIX, Daniel do Amaral. Resolução online de controvérsias, op. cit, p.44 ALBERNOZ, M.M. Online Dispute Resolution(ODR) para o comércio eletrônico em termos brasileiros. Direito.UnB - Revista de Direito da Universidade de Brasília. v.3, n .1, p., 2019. Disponível aqui. Acesso em: 15.04.2021. 7 PASQUALE, Frank. The black box society: the secret algorithms that control money and information. Cambridge: Harvard University Press, 2015.p.09. 8 ARBIX, Daniel do Amaral. Resolução online de controvérsias, op. cit, p.72 9 ARBIX, Daniel do Amaral. Resolução online de controvérsias, op. cit, p.74 10 ARBIX, Daniel do Amaral. Resolução online de controvérsias, op. cit, p.32 11 NUNES, Dierle; PAOLINELLI, Camila Mattos. Novos designs tecnológicos no sistema de resolução de conflitos: ODRs, e-acesso à justiça e seus paradoxos no Brasil. Revista de Processo. v.314, p.395-425, abril 2021. 12 Supremo Tribunal Federal, Plenário, j. 08.04.21, julgado mérito com repercussão geral no Recurso Extraordinário 1101937 : "Decisão: O Tribunal, por maioria, apreciando o tema 1.075 da repercussão geral, negou provimento aos recursos extraordinários e fixou a seguinte tese: "I - É inconstitucional a redação do art. 16 da Lei 7.347/1985, alterada pela Lei 9.494/1997, sendo repristinada sua redação original. II - Em se tratando de ação civil pública de efeitos nacionais ou regionais, a competência deve observar o art. 93, II, da Lei 8.078/1990 (Código de Defesa do Consumidor). III - Ajuizadas múltiplas ações civis públicas de âmbito nacional ou regional e fixada a competência nos termos do item II, firma-se a prevenção do juízo que primeiro conheceu de uma delas, para o julgamento de todas as demandas conexas", nos termos do voto do Relator, vencido o Ministro Marco Aurélio. O Ministro Edson Fachin acompanhou o Relator com ressalvas. Impedido o Ministro Dias Toffoli. Afirmou suspeição o Ministro Roberto Barroso. Plenário, Sessão Virtual de 26.3.2021 a 7.4.2021. 13 TARTUCE, Fernanda. Igualdade e vulnerabilidade no processo civil. Rio de Janeiro: Forense, 2012. p.253. 14 MARQUES, Claudia Lima; MIRAGEM, Bruno. O novo direito privado e a proteção dos vulneráveis. São Paulo: Revista dos Tribunais, 2012. p.15.   15 O'Neil, Cathy. Weapons of Math Destruction: How Big Data Incraases Inequality and Threatens Democracy. London: Penguin Books, 2017. p.279-280.  
A internet permite o exercício de direitos básicos pelos usuários. É inegável que suas ferramentas possibilitam o acesso rápido e prático por qualquer público de conteúdos disponibilizados virtualmente. Ela é uma grande fonte de informações e tecnologia, podendo acarretar em vantagens e riscos aos seus usuários. Entretanto, embora seus avanços sejam comumente exaltados, por vezes, revela-se um mecanismo que possibilita a prática de ilícitos, decorrendo, principalmente, do seu mau uso associado à capacidade difusora de informações e ilícitos. Com o advento da lei 12.965/14 (Marco Civil da Internet), diversas mudanças ocorreram no cerne da responsabilização civil dos provedores de internet, sendo que a responsabilidade dos provedores de aplicações de internet sofreu as mudanças mais significativas. Tal espécie de provedor é definida como "qualquer pessoa jurídica que, através de um terminal conectado à internet, fornece um conjunto de funcionalidades que podem ser acessadas pelos usuários"1. No cenário anterior a promulgação do Marco Civil da Internet em 2014, o Superior Tribunal de Justiça consolidou o sistema do notice and take down, que mencionava a necessidade de notificação extrajudicial do provedor de aplicação para retirada de qualquer conteúdo que entendesse ilícito, a qual deveria ser atendida no prazo de 24 horas, sob pena de ser responsabilizado solidariamente com o autor do ilícito pelo dano causado2. Neste caso, o provedor não estaria obrigado a analisar o teor da denúncia recebida no referido prazo, devendo apenas promover a suspensão preventiva das páginas, podendo checar a veracidade das alegações em momento futuro oportuno3. Com o advento do Marco Civil da Internet, a responsabilização dos provedores passou a ser regida por novas regras. No caput do art. 19, está elencado que o provedor de aplicações de internet somente seria responsabilizado civilmente por danos advindos de conteúdo gerado por terceiros após deixar de cumprir em tempo hábil ordem judicial específica determinando sua retirada (judicial notice and take down)4. Esse comando contraria anterior posicionamento de que esta notificação poderia ser extrajudicial. A criação desse mecanismo de litigiosidade é duramente criticado por parte doutrina, dentre eles Anderson Schreiber5 e Cíntia Rosa Pereira de Lima6, que chegam a taxá-lo de inconstitucional7. A exceção prevista no Marco Civil da Internet está no art. 21, que determina o dever de o provedor de conteúdo remover conteúdo de nudez ou atos sexuais privados, publicados sem consentimento, mediante simples notificação extrajudicial, sob pena de ser subsidiariamente responsável8. Cumpre mencionar que em relação aos provedores de conexão, que são aqueles que exercem uma função intermediária entre o usuário e a internet, não há que se falar em responsabilidade civil por eventual conteúdo disponibilizado por terceiros, visto que os serviços que presta são apenas instrumentais, e não há condições técnicas de avaliar as informações nem o direito de interceptá-las9. No mesmo sentido, o art. 18 do Marco Civil da Internet estipula que "o provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros". Atenta-se que para a responsabilização e identificação de eventuais danos causados por terceiros na internet é essencial que os provedores preservem e forneçam os registros eletrônicos utilizados na prática ilícita. Neste sentido, o Marco Civil da Internet menciona que os provedores de aplicações de internet devem preservar os registros de acesso às aplicações de internet pelo prazo de 6 (seis) meses, nos termos do art. 15, enquanto que os provedores de conexão devem armazenar os registros de conexão por 1 (um) ano (art. 13).10 Tais prazos são criticados pela doutrina11, que defende, no mínimo, que os registros sejam armazenados pelo prazo de 3 (três) anos, visto que este é o prazo prescricional para as ações de reparação civil, conforme preceituado pelo art. 206, §3º, V, do Código Civil12. Perceba que tais prazos podem gerar diversos problemas práticos, visto que o sujeito muitas vezes poderá estar dentro do prazo prescricional para pleitear eventual reparação civil, mas poderá não obter informações por parte dos provedores de internet, visto que estes somente deverão armazenar registros pelos prazos de 6 (seis) meses (provedores de aplicações) ou 1 (um) ano (provedores de conexão). Por sua vez, no âmbito da Lei Geral de Proteção de Dados (Lei n. 13.709/18), percebe-se uma clara intenção do legislador em proteger os dados pessoais dos usuários, acompanhando os avanços da sociedade e da tecnologia. Tal legislação coloca o indivíduo ("titular", conforme elencado na lei) como protagonista das relações jurídicas que envolvam o tratamento de dados13. A temática da responsabilidade civil está regulamentada na Seção III do Capítulo VI da Lei Geral de Proteção de Dados, intitulada de "Da Responsabilidade e do Ressarcimento de Danos". Na coluna do dia 06/11/2020, Nelson Rosenvald alerta para o debate que decorre das múltiplas variáveis e dimensões do termo "responsabilidade". Cumpre mencionar que as normas tratadas nessa Seção não serão aplicáveis em todos os casos, podendo, a depender da relação jurídica, ceder espaço a normas específicas, tal como o Código de Defesa do Consumidor, conforme explicitado no próprio art. 45 da lei14. Ao analisar os dispositivos legais, nota-se que o legislador optou pelo surgimento de responsabilidade do exercício da atividade de proteção de dados que viole a "legislação de proteção de dados". Ao utilizar tal expressão, o legislador acaba por reconhecer que a proteção de dados é, de fato, um microssistema, com normas previstas em diversos diplomas legais, sendo a Lei Geral de Proteção de Dados o seu sustentáculo principal. Ressalta-se que a responsabilidade civil prevista na Lei Geral de Proteção de Dados não decorre apenas de eventual violação do microssistema de proteção de dados. É preciso interpretar o caput do art. 4215 em conjunto com o art. 44, parágrafo único da lei, que estipula: Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano. Por sua vez, o art. 46 da Lei Geral de Proteção de Dados estabelece que os agentes de tratamento de dados deverão adotar medidas de segurança, técnicas e administrativas visando a proteção de dados pessoais. Tais normas poderão, inclusive, ser editadas pela Agência Nacional de Proteção de Dados. Percebe-se, então, que é possível a responsabilidade civil no âmbito da Lei Geral de Proteção de Dados sob duas situações distintas: pela violação de normas jurídicas do microssistema de proteção de dados; e pela violação de normas técnicas, voltadas à segurança e proteção de dados pessoais. Evidentemente, só haverá responsabilização civil se a violação de norma jurídica ou técnica ocasionar dano material ou moral a um titular ou a uma coletividade. O art. 42, da Lei Geral de Proteção de Dados, restringe a responsabilidade civil ao controlador ou ao operador. Ressalta-se, entretanto, que, caso a relação jurídica do titular com o controlador e o operador tenha natureza consumerista, serão aplicadas as normas de responsabilidade civil dos arts. 12 e 18 do Código de Defesa do Consumidor, principalmente no que tange a responsabilidade solidária. Já o §1º excepciona a regra de alternância do controlador ou operador, permitindo a solidariedade entre ambos em dois casos específicos, objetivando "assegurar a efetiva indenização ao titular dos dados". No inciso I, está exposto que o operador responderá solidariamente em duas situações: caso descumpra a legislação de proteção de dados ou se não seguir "as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador". No inciso II, há previsão de solidariedade entre os controladores que estiverem diretamente envolvidos no tratamento, ou seja, aqueles que estabelecerem, em conjunto, decisões que violem o microssistema da proteção de dados ou às nomas técnicas cabíveis. Estas hipóteses de solidariedade estarão afastadas caso presentes as hipóteses de exclusão de responsabilidade previstas no art. 43 da Lei Geral de Proteção de Dados. De forma semelhante ao que ocorre em outros diplomas legais, o § 2º do art. 42, da Lei Geral de Proteção de dados, por sua vez, admite a inversão do ônus da prova, a critério do juiz, a favor do titular de dados, desde que verossímil a alegação, haja hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular for excessivamente onerosa. Cumpre mencionar que o reconhecimento da hipossuficiência do titular dos dados, além da inversão do ônus probatório, também se verifica no fato de que a responsabilidade civil no âmbito da Lei Geral de Proteção de Dados deva ser modalidade de responsabilidade objetiva, ou seja, prescinde da discussão sobre a culpa do agente. Basta, portanto, que se comprove o dano e o nexo causal. De fato, existe amplo debate na doutrina sobre a responsabilidade civil na Lei Geral de Proteção de Dados ser subjetiva ou objetiva. Nesse sentido, haveriam três cenários possíveis segundo Rafael de Freitas Valle Dresch16: parcela da doutrina entende que a responsabilidade seria subjetiva, o que demandaria análise da culpa dos agentes de tratamento em casos de danos aos titulares de dados pessoais17; outra parcela defende que a Lei Geral de Proteção de Dados, em razão do risco proveito ou da atividade, estaria apontando para a responsabilidade objetiva; e, ainda, a responsabilidade objetiva especial18, que se dará ante o cometimento de um ilícito, qual seja o descumprimento de deveres impostos pela legislação de proteção de dados, especialmente no que tange ao dever de segurança por parte do agente de tratamento. De fato, a responsabilidade civil objetiva, sob o aspecto especial é o que parece ter sido adotado pelo legislador pátrio. Ao analisar a Lei Geral de Proteção de Dados, percebe-se em seu art. 44 um dever geral de segurança que o agente de tratamento deve observar, cuja eventual violação acarretará em sua responsabilização civil. Portanto, deve-se observar eventual cumprimento ou não dos deveres decorrentes da tutela dos dados pessoais, especialmente no que tange ao dever geral de segurança ante a legítima expectativa quanto à possível conduta do agente. O art. 43, da Lei Geral de Proteção de Dados, por sua vez, menciona hipóteses de exclusão da responsabilidade civil dos agentes de tratamento, quando estes provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído; que embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; e que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros. Perceba, assim, que o Marco Civil da Internet, diferentemente do que previsto na Lei Geral de Proteção de Dados, adotou a responsabilidade civil subjetiva como regra em relação aos provedores de internet, modificando anterior posicionamento jurisprudencial envolvendo o tema. No âmbito da Lei Geral de Proteção de Dados, a responsabilidade civil é objetiva, decorrendo da violação dos deveres decorrentes da tutela dos dados pessoais e, portanto, não necessitando de discussão acerca da culpa do agente, o que demonstra um grande avanço acerca da responsabilidade civil no âmbito da sociedade da informação na qual estamos inseridos. Wévertton Gabriel Gomes Flumignan é Mestre em Direito pela USP. Graduado pela PUC/SP. Membro dos grupos de pesquisa "Observatório da Lei Geral de Proteção de Dados" e "Observatório do Marco Civil da Internet no Brasil" da FDRP-USP/CNPq. Associado Fundador do Instituto Avançado de Proteção de Dados - IAPD. Professor. Advogado e sócio do escritório Advocacia Flumignan. __________ 1 FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores no Marco Civil da Internet (lei 12.965/14). Dissertação de Mestrado Faculdade de Direito, Universidade de São Paulo, 2018, p. 67. 2 Brasil, STJ, REsp 1.337.990/SP, Rel. Ministro Paulo de Tarso Sanseverino, Órgão julgador: Terceira Turma, julgado em 21/08/2014. 3 Brasil, STJ, REsp 1.323.754/RJ, Rel. Ministra Nancy Andrighi, Órgão Julgador: Terceira Turma, julgado em 19/06/2012. 4 Art. 19, lei 12.965/14.  Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário. (...) 5 SCHREIBER, Anderson. Marco Civil da Internet: avanço ou retrocesso? A responsabilidade civil por dano derivado do conteúdo gerado por terceiro. In: Direito & Internet III - Tomo II: Marco Civil da Internet (lei 12.965/2014). DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de (coords.). São Paulo: Quartier Latin, 2015, pp. 293-294. 6 LIMA, Cíntia Rosa Pereira de. A responsabilidade civil dos provedores de aplicação de internet por conteúdo gerado por terceiro antes e depois do Marco Civil da Internet (Lei n. 12.965/14). Revista da Faculdade de Direito da Universidade de São Paulo, São Paulo, v. 110, p. 173, jan./dez. 2015. 7 Para aprofundar, recomenda-se a leitura: FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores no Marco Civil da Internet (Lei n. 12.965/14). Dissertação de Mestrado. Faculdade de Direito, Universidade de São Paulo, 2018. 8 Art. 21, lei 12.965/14.  O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo. Parágrafo único.  A notificação prevista no caput deverá conter, sob pena de nulidade, elementos que permitam a identificação específica do material apontado como violador da intimidade do participante e a verificação da legitimidade para apresentação do pedido. 9 GONÇALVES, Carlos Roberto. Direito Civil Brasileiro, vol. 4: Responsabilidade civil, 8 ed. São Paulo: Saraiva, 2013, pp. 103-105. 10 Cf. MORAES, Amanda Melo Ditano. Da Responsabilidade Civil pelos Atos Praticados na Internet. Disponível aqui, acesso em 05 abr. 2021. 11 Para aprofundar, recomenda-se a leitura: FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores no Marco Civil da Internet (Lei n. 12.965/14). Dissertação de Mestrado. Faculdade de Direito, Universidade de São Paulo, 2018. 12 A situação fica ainda mais grave do ponto de vista do Código de Defesa do Consumidor, visto que em seu art. 27 estipula o prazo de 5 (cinco) anos para a pretensão de reparação civil quando envolver relação de consumo, sendo pacífico o entendimento de que a relação entre os usuários e os provedores de internet consiste em uma relação consumerista (Brasil, STJ, REsp 1.316.921, Rel. Ministra Nancy Andrighi, Órgão Julgador: Terceira Turma, julgado em 26/06/2012). 13 Art. 5º, lei 13.709/18. V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. 14 Art. 45, lei 13.709/18. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente. 15 Art. 42, lei 13.709/18. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. 16 DRESCH, Rafael de Freitas Valle. A especial responsabilidade civil na Lei Geral de Proteção de Dados. Migalhas, Ribeirão Preto, 02 jul. 2020. Disponível aqui. Acesso em: 01 abr. 2021. 17 BODIN DE MORAES, Maria Celina. QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGPD. In: Cadernos Adenauer - Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro: Fundação Konrad Adenauer, 2019, ano XX, n. 3, pp. 113-135 e; CRUZ, Gisela Sampaio da; MEIRELES, Rose Melo Venceslau. Término do tratamento de dados. In: Lei Geral de Proteção de Dados e suas repercussões no Direito Brasileiro. FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). São Paulo: Thomson Reuters Brasil, 2019, pp. 219-241. 18 DRESCH, Rafael de Freitas Valle; FALEIROS JUNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (Lei 13.709/2018). In: ROSENVALD, Nelson; WESENDONCK, Tula; DRESCH, Rafael. (Org.). Responsabilidade civil: novos riscos. Indaiatuba: Editora Foco Jurídico Ltda., 2019, pp. 65-90.
A ascensão da chamada Internet das Coisas (Internet of Things, na expressão em inglês, ou simplesmente IoT) reflete a empolgação que já permeia o avanço da sociedade rumo à consolidação de novos modelos interativos que permitem à tecnologia se introjetar nas rotinas da população com os espaços urbanos. Nos espaços públicos, almeja-se que tudo se torne "smart" para a consolidação de uma cidade "inteligente". Como sugerem Waleed Ejaz e Alagan Anpalagan, para que isso seja possível, estratégias de implementação de recursos baseados no conceito de IoT são fundamentais para que se tenha incrementos a nível habitacional (smart homes), elétrico/energético (smart grids), econômico (smart economy), de mobilidade urbana (smart mobility and transport), de atendimento à saúde (smart healthcare) e de segurança pública (smart security).1 No imaginário geral, propostas desse tipo parecem remeter à ficção científica ou a uma espécie de ciberutopia que se faz presente na literatura e no cinema. Entretanto, muitas aplicações ditas "inteligentes" já são reais. Cidadãos se utilizam de equipamentos conectados a suas redes domésticas, por exemplo, para comandar luzes, tomadas, panelas, eletrodomésticos, assistentes pessoais... As casas estão se tornando "smart" em festejo à comodidade!2 Igualmente, são festejadas a celeridade e a eficiência de modelos de atendimento ao público baseados em algoritmos de Inteligência Artificial, que otimizam a oferta de metrôs e VLTs, contribuindo para a redução do número de veículos automotores (e de poluentes) nas vias públicas. Também se almeja propagar cada vez mais a utilização de sistemas de gestão de pagamentos que não dependam da troca de dinheiro em espécie, evitando-se, com isso, o uso de papel moeda. Sugere-se, ainda, a descentralização energética pelo uso de redes fotovoltaicas para que seja possível reduzir a centralidade de sistemas de distribuição de energia elétrica a partir de grandes powerplants. Não é surpresa, portanto, que o tema esteja na ordem do dia, uma vez que consta expressamente da Agenda 2030 para Cidades e Comunidades Sustentáveis da Organização das Nações Unidas.3 O fascínio do homem pela técnica sempre foi o vetor primordial da inovação, hoje dependente da hiperconectividade das redes para agregar valor à urbe contemporânea, cada vez mais 'virtualizada'. Sem dúvidas, grande empolgação surge a partir de modelos estruturais que revelam a imprescindibilidade da tecnologia para a proliferação do desenvolvimento.4 Exemplos de grandes projetos de implementação de cidades inteligentes vêm à mente, como o de Barcelona, na Espanha - considerada referência para o tema -, onde se começou a discutir a reformulação das estruturas urbanas por ocasião dos Jogos Olímpicos de 1992. A cidade catalã se baseou em premissas como a oferta de habitação, a melhora de infraestruturas urbanas, a criação de mais parques e jardins, a eliminação e melhoria da gestão de resíduos, o investimento em arquitetura e planejamento urbano metropolitano com preservação de prédios históricos, a criação de melhores modelos de distribuição elétrica, fornecimento de água, tecnologias digitais e de comunicação e a promoção internacional do turismo com abordagem integrada de todas essas benesses.5 A transformação urbana, a partir de uma perspectiva holística, integrando-a ao nível da rua no projeto urbano envolve planejamento de longo prazo, com uma boa combinação de indicadores criteriosos associados aos grandes objetivos políticos e à melhoria da qualidade de vida das pessoas. Não se descarta, ademais, a importância da proteção do patrimônio cultural das cidades.6 No entanto, um projeto desse tipo também deve incorporar operações de alto impacto e baixo custo, como as "micro-urbanizações"7, descritas pela doutrina como estratégias de propagação do uso de apps para interconectar os cidadãos às novas funcionalidades da urbe, verticalmente integradas em função da coleta e do tratamento massivo de dados pessoais de habitantes e visitantes/turistas e do monitoramento, em tempo real, de utilização dessas novas estruturas. No Brasil, apenas para citar um exemplo mais próximo, a cidade de Gramado, no Rio Grande do Sul, tem se mostrado pioneira na implementação de um projeto desse tipo. Conhecida por sua pujança turística, a bucólica urbe já vem sido reconhecida há alguns anos pelo projeto "Gramado, Cidade InteliGENTE", que já recebeu distinções e prêmios.8 Também é importante mencionar que há grande incentivo à internacionalização de projetos desse tipo a partir da realização de eventos periódicos como o Smart City Expo World Congress e o Mobile World Congress - para citar alguns -, e da criação de modelos-padrão, como City Protocol Society, um código-fonte aberto e disponível a gestores de cidades que queiram investir no desenvolvimento de serviços públicos urbanos, com vistas à popularização de uma nova anatomia das cidades: as "smart cities". Apesar do nome e de eventual imprecisão na tradução do adjetivo smart (esperto, sagaz), da Língua Inglesa para a Portuguesa, como "inteligente", é inegável que não se tem, nessas novas estruturas urbanas, algoritmos realmente inteligentes ou pensantes. Tudo é funcionalizado a partir de parâmetros previamente estabelecidos, o que conduz ao contraponto de toda a empolgação que norteia modelos inovadores para as cidades. De fato, a discussão perpassa pela compreensão do escopo e dos limites da proteção de dados pessoais. Como se disse, é preciso que todo cidadão esteja conectado à Rede para que possa usufruir das promissoras benesses desses modelos tecnológicos aplicados às cidades. Para além de questões estruturais relacionadas ao acesso à rede, iniciativas legislativas como a Proposta de Emenda à Constituição nº 185/20159 ou, bem mais recentemente, a Proposta de Emenda à Constituição nº 8/202010, têm a intenção de inserir um novo inciso ao artigo 5º da Constituição da República, fazendo constar, dentre o rol de direitos e garantias individuais, o acesso universal à Internet. Já tivemos a oportunidade de alertar para o seguinte:  Não se pode deixar de mencionar o impacto que uma reformulação como essa traria para a sociedade em seu momento atual, na medida em que modificaria todo o padrão estrutural da interação entre Estado e cidadãos. Parte-se da imperiosa implementação de políticas públicas voltadas ao acesso da população em geral à Internet e da disponibilização de sistemas como a wi-fi gratuita e projetos de cidades inteligentes (smart cities). (...) É preciso mais. E incumbe ao Estado garantir o cumprimento de medidas que visem combater a referida exclusão [digital], propiciando franco acesso dos cidadãos à Internet de modo a trazê-los para o universo digital, com abertura a um novo leque de possibilidades de participação social.11  Não se nega que, nos últimos dez anos, planejadores urbanos, empresas de tecnologia e governos promoveram a ideia de que cidades inteligentes dependem de estruturas de controle levadas a efeito por meio de coleta e da análise de dados na chamada "sociedade da vigilância".12 Nesse contexto, é impossível não mencionar as preocupações de Gary Marx quanto à ascensão de um Estado policialesco e dependente dos algoritmos para a fiscalização da vida cotidiana13, revelando os perigos de um novo e robustecido "panóptico".14 Ou, como prefere David Lyon, de uma sociedade da vigilância amplamente controlada pelo Estado15, cada vez mais empoderado e tendente ao totalitarismo em viés - como diz o autor - muito mais severo do que a tendência orwelliana16 extraída da noção de vigilância. A pandemia de Covid-19 revelou o potencial de estruturas algorítmicas para o controle de aglomerações - e já tivemos a oportunidade de analisar, nesta coluna, o emblemático exemplo do Simi-SP17 -, o que evidencia a premência do debate sobre a implementação de mecanismos de proteção de direitos em um ambiente extremamente novo e desafiador. A aplicação prática da Internet das Coisas, da computação em nuvem e da integração do Big Data na vida cotidiana certamente é convidativa e tem o potencial de proporcionar benefícios. A crítica construída pela doutrina a essa tendência não faz alerta específico aos perigos da tecnologia em si, mas de seus usos. Questiona-se: são as cidades inteligentes soluções suficientemente otimizadas, sustentáveis ??e equilibradas para superar os problemas urbanos em sua vasta plêiade de desafios? Ou são "não-lugares" (haja vista a transposição de estruturas de controle para a web) controlados por corporações - e não pelo Estado - em indesejado percurso antidemocrático?18 Por certo, a disciplina urbanística da propriedade "há de se sujeitar inteiramente aos princípios constitucionais consagradores da propriedade individual com suas limitações".19 Todavia, a ascensão da tecnologia propicia novas leituras para o que se entende por limitações à propriedade. O contraste entre liberdade e igualdade passa a ser atormentado pelo festejo da técnica, que inaugura novos e empolgantes modelos de controle e vigilância, imiscuindo-se às leituras que se faz das urbes contemporâneas, como alerta Marcos Catalan: "Talvez, sem perceber - embora, com esperada docilidade -, eles têm suas liberdades, contínua e suavemente, desbastadas, corroídas ou carcomidas nos mais distintos espaços de convivência urbana".20 Legislações protetivas, como a Lei Geral de Proteção de Dados Pessoais brasileira (lei 13.709/2018) não tratam especificamente das smart cities, mas sinalizam a importância da proteção de dados pessoais em contextos variados. Em estudo pioneiro - e que será publicado em breve - a pesquisadora Isadora Formenton Vargas realça esse ponto de vista, indicando três grandes eixos para que se possa conciliar a proteção de dados pessoais à crescente busca pelo implemento tecnológico em espaços urbanos: (i) a compreensão de que se está diante de grande espectro conceitual, tendo em vista que a União Internacional de Telecomunicações - UIT aponta, pelo menos, 116 definições conceituais para a expressão "cidade inteligente"; (ii) a compreensão dos limites e desafios do estado da arte da governança digital no Brasil (embora, nesse ponto, a recentíssima lei Federal 14.129, de 29 de março de 202121 sinalize desejável mudança); (iii) a compreensão ampliativa da tônica das atividades de tratamento de dados, e sua imperiosa proteção, quando realizada pelo Poder Público.22 Ainda há muito a se investigar no capítulo destinado pela LGPD ao tratamento público de dados pessoais (arts. 23 e seguintes), inclusive quanto à amplitude do conceito de 'finalidade pública' que norteia tais atividades. Por certo, o labor regulatório infralegal, a ser levado a efeito pela Autoridade Nacional de Proteção de Dados - ANPD, será essencial para trazer maior clareza às zonas cinzentas que ainda pairam sobre este e outros dispositivos do mesmo capítulo da norma. De todo modo, não se pode negar a importância do debate em torno do desenvolvimento de estruturas regulatórias mais específicas, inclusive no âmbito federal, para a propagação de iniciativas de implementação de smart cities por todo o Brasil. Uma nova agenda urbana norteada pela tecnologia não pode se desconectar de princípios e preceitos essenciais que garantam não apenas a preservação cultural e do patrimônio arquitetônico das cidades - cada vez mais high-techs - mas também a garantia de efetivação dos fundamentos (art. 2º) e princípios (art. 6º) que norteiam as atividades de tratamento de dados realizadas por algoritmos implementados para operacionalizar as empolgantes estruturas tecnológicas dessas urbes contemporâneas.  *José Luiz de Moura Faleiros Júnior é doutorando em Direito pela USP. Mestre e bacharel em Direito pela Faculdade de Direito da UFU. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado e professor. __________ 1 EJAZ, Waleed; ANPALAGAN, Alagan. Internet of Things for smart cities: technologies, Big Data and security. Cham: Springer, 2019, p. 3-11. 2 MUNTADAS, Borja. Algoritmos en la vida cotidiana: apps, gadgets y dependencia tecnológica. In: BARBOSA, Mafalda Miranda; BRAGA NETTO, Felipe, SILVA, Michael César; FALEIROS JÚNIOR, José Luiz de Moura (Coord.). Direito digital e Inteligência Artificial: diálogos entre Brasil e Europa. Indaiatuba: Foco, 2021, p. 641 et seq. 3 ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Agenda 2030. Cidades e Comunidades Sustentáveis. Disponível aqui. Acesso em: 30 mar. 2021. 4 PELTON, Joseph; SINGH, Indu. Smart cities of today and tomorrow: better technology, infrastructure and security. Cham: Springer, 2019, p. 225 et seq. 5 VIVES, Antoni. Smart city Barcelona: the Catalan quest to improve future urban living. Brighton: Sussex Academic Press, 2018, p. 32-35. 6 Em importantíssima obra, Eduardo Tomasevicius Filho analisa o instituto do tombamento quanto à proteção do patrimônio cultural, mas, de forma propositiva, conclui que "[o]s objetos qualificados como bens culturais são lugares de memória, porque auxiliam na recordação do passado. Sendo possível a ocorrência de manipulações, podem ocorrer usos políticos do passado, por meio da valorização da cultura elitista em detrimento da cultura popular (.). Define-se, então, bem cultural como bem, material ou imaterial, que tem a aptidão para contribuir com o desenvolvimento pessoal de quem o vê, por meio de sua contemplação, observação, contato e experimentação, geralmente selecionado como documento histórico de época acerca de determinado modo de vida, arte ou técnica ou por ser suporte da identidade coletiva ou da memória coletiva." TOMASEVICIUS FILHO, Eduardo. A proteção do patrimônio cultural brasileiro pelo direito civil. São Paulo: Almedina, 2020, p. 256. 7 LISDORF, Anders. Demystifying smart cities. Nova York: Apress, 2020, Cap. 11. 8 MUNICÍPIO DE GRAMADO. Comunicação e Imprensa. Gramado Cidade InteliGENTE recebe prêmio na área de desenvolvimento econômico e social. Disponível aqui. Acesso em: 30 mar. 2021. 9 BRASIL. Câmara dos Deputados. Proposta de Emenda à Constituição nº 185/2015. Disponível aqui. Acesso em: 30 mar. 2021. 10 BRASIL. Senado Federal. Proposta de Emenda à Constituição nº 8/2020. Disponível aqui. Acesso em: 30 mar. 2021. 11 FALEIROS JÚNIOR, José Luiz de Moura. Administração Pública Digital: proposições para o aperfeiçoamento do Regime Jurídico Administrativo na sociedade da informação. Indaiatuba: Foco, 2020, p. 276-277. 12 Cf. HALOGOUA, Germaine. Smart cities. Cambridge: The MIT Press, 2020. 13 Cf. MARX, Gary T. Fragmentation and cohesion in American society. Washington, D.C.: Trend Analysis Program, 1984. 14 Jeremy Bentham, em 1785, sugeriu o termo "panóptico" para se referir a uma estrutura penitenciária considerada ideal, pois permitiria a um único vigilante observar todos os prisioneiros, sem que estes pudessem saber se estão ou não sendo observados. BENTHAM, Jeremy. Panopticon letters. In: BOZOVIC, Miran (Ed.). Jeremy Bentham: the panopticon writings. Londres: Verso, 1995, p. 29. 15 LYON, David. The electronic eye: the rise of surveillance society. Minneapolis: University of Minnesota Press, 1994, p. 86-87. 16 A referência é extraída da clássica obra '1984', de George Orwell: "There was of course no way of knowing whether you were being watched at any given moment. How often, or on what system, the Thought Police plugged in on any individual wire was guesswork. It was even conceivable that they watched everybody all the time, but at any rate they could plug in your wire whenever they wanted to. You have to live-did live, from habit that became instinct-in the assumption that every sound you made was overheard, and, except in darkness, every movement scrutinized." ORWELL, George. Nineteen Eighty-Four. Nova York: Penguin Classics, 1961. E-book, p. 3. 17 FALEIROS JÚNIOR, José Luiz de Moura. Dados anonimizados e o controle de aglomerações na pandemia da Covid-19. Migalhas de Proteção de Dados, 28 dez. 2020. Disponível aqui. Acesso em: 30 mar. 2021. 18 Conferir, sobre o tema: MOROZOV, Evgeny; BRIA, Francesca. A cidade inteligente: tecnologias urbanas e democracia. Tradução de Humberto do Amaral. São Paulo: Ubu, 2019. 19 FIGUEIREDO, Lúcia Valle. Disciplina urbanística da propriedade. 2. ed. São Paulo: Malheiros, 2005, p. 24. 20 CATALAN, Marcos. A difusão de sistemas de videovigilância na urbe contemporânea: um estudo inspirado em Argos Panoptes, cérebros eletrônicos e suas conexões com a Liberdade e a igualdade. In: EHRHARDT JÚNIOR, Marcos; CATALAN, Marcos; MALHEIROS, Pablo (Coord.). Direito civil e tecnologia. Belo Horizonte: Fórum 2020, p. 141 21 BRASIL. Lei 14.129, de 29 de março de 2021. Dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública e altera a Lei nº 7.116, de 29 de agosto de 1983, a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), a Lei nº 12.682, de 9 de julho de 2012, e a Lei nº 13.460, de 26 de junho de 2017. Disponível aqui. Acesso em: 30 mar. 2021. 22 VARGAS, Isadora Formenton. Três fundamentos à cidade inteligente: a tônica da proteção de dados no Poder Público. In: CRAVO, Daniela Copetti; CUNHA, Daniela Zago Gonçalves da; RAMOS, Rafael (Coord.). Lei Geral de Proteção de Dados e o Poder Público. Porto Alegre: Centro de Estudos da PGM/Escola do Tribunal de Contas do Estado do Rio Grande do Sul, 2021. No prelo.
sexta-feira, 26 de março de 2021

Está na hora de jogar a toalha para a LGPD?

São poucos os nomes lendários de brasileiros desportistas que não estejam ligados ao futebol. Um desses nomes é do ex-campeão mundial Éder Jofre, na verdade tricampeão mundial, também conhecido como o "Galo de Ouro". Nas TVs em preto e branco, no final da década de 1960 e início de 1970, vimos várias de suas vitórias. Não era raro também ver os técnicos adversários jogarem toalhas no ringue como sinal de abandono da luta em curso e concessão de vitória ao oponente. Isso acontecia quando seu pugilista já apresentava sinais de cansaço e falta de reação. Vou voltar a esse tema mais tarde. Falando de tecnologia e dados pessoais, é praticamente certo dizer que no mundo desenvolvido não existe uma viva alma que não esteja vinculada a um destes gigantes da tecnologia da informação, tais como Google, Apple, Microsoft ou Fabebook. Isso sem contar outros hábeis nichos da web também valiosos como Netflix, Spotfy, TikTok e vários outros. Só como um exemplo, a máquina de busca do Google é responsável por mais de 90% das buscas no mundo [Internet Health Report, 2018], e dos 4,4 bilhões de usuários web no planeta água, quase a metade, ou seja, 1,8 bilhões de usuários tem uma conta no Gmail. Seguindo a metodologia comparativa da revista Fortune [Fortune, 2020], destaco abaixo foi a receita anual, em dólares americanos, das maiores corporações na área de Tecnologia da Informação. Confira essa a relação completa na Wikipedia [Wikipedia]. Os dados são referentes ao ano de 2019, antes da pandemia, e assim não sofreram o viés da crise sanitária. 1) Apple, 260bi; 2) Alphabet (Google), 162bi; 3) Microsoft, 126bi; 4) Huawei, 124bi; 5) Facebook, 71bi. Existem outras empresas mais ligadas à produção de equipamentos e que não acrescentei nesta lista, tais como a Foxconn, que fabrica os iPhones, PlayStation, Nintendo e os Xbox circulantes, além da Samsung, Dell, IBM, Sony, entre outras. Se alguém não notou a ausência da Amazon, com receita superior a 280bi, é porque esta gigante é considerada parte da cadeia varejista, ao lado do Walmart e outras empresas do ramo de energia. A título de comparação, a receita da Apple de US$260 bilhões é maior que o PIB de Portugal, da Finlândia e da Nova Zelândia. Até mesmo o Facebook, 12o lugar na lista, tem receita superior ao nosso vizinho Uruguai (56bi) e ao Panamá (66bi). Pela soma das receitas destes 5 conglomerados, 743bi, juntos eles seriam o 18o maior PIB do mundo, superando a Suíça, a Suécia e a Arábia Saudita. Esses 743bi correspondem a 54% do PIB brasileiro de 1,363tri em 2019. Minha inquietação é simples. Estas empresas armazenam uma quantidade enorme de dados pessoais, não só de brasileiros, mas, como também, de grande parte dos usuários da web no mundo, além de deter um poder enorme pelo tipo e pela quantidade de dados e informações que manipulam. Na vida real "This is big money. Excuse-me, big data". Em tese, como estes mocinhos da web operam em território nacional, deveriam obedecer a LGPD e, como esperado, a GDPR na Europa, além de outras leis irmãs que abarcam demais países com legislação semelhante. No entanto, sabemos que não há uma autoridade central de proteção de dados nos EUA, que sedia 4 destes 5 conglomerados e muito menos na China, sede da Huawei. Além disso, pela anatomia dos serviços de armazenamento em nuvem, há uma grande possibilidade que os dados sejam armazenados nos países sede dessas companhias e não em território nacional. Nos EUA, a Federal Trade Comission (FTC) é a principal autoridade federal para as questões de proteção e segurança de dados, muito embora tenha uma jurisdição limitada devido, em grande parte, às leis estaduais. Isso porque, no federalismo norte-americano, cada estado promulga as suas próprias regras em relação à proteção de dados pessoais e informações. Esses são os casos dos estados da Califórnia, com a California Consumer Privacy Act (CCPA), e de Nova York, com a New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD). E agora que essa verdadeira "farra do boi" não acontece na nossa casa? Será que estamos realmente protegidos quando nossos dados pessoais estão fora do domínio nacional e nas mãos de algumas poucas empresas? Notem que esses dados nem foram realmente transferidos para fora do país pois as contas já foram criadas e cadastradas em sites internacionais. Se essa desconfiança nem ao menos deveria ser sugerida por mim nem por ninguém dado que essas empresas já obedecem a LGPD, conforme esses documentos aqui citados [iCloud Compliance][Apple][Microsoft], por qual motivo eu deveria me preocupar? A resposta está nos contratos chamados de Política de Privacidade e Proteção de Dados uma vez que o sucesso de muitas destas mega corporações depende em grande medida da divulgação de dados pessoais por seus usuários. Ou seja, muitas delas são máquinas trituradoras de dados pessoais. Embora possa ser argumentado que os usuários abandonam voluntariamente sua privacidade quando acessam e usam esses aplicativos de mídias sociais logo ao criarem suas contas e depois quando inserem dados pessoais online cotidianamente, não está claro como o consentimento de revelação desses dados realmente funciona. Em alguns casos para sabermos quais dados estamos revelando são necessários poucos cliques. Veja esse site esclarecedor da Google para os serviços de anúncios [Google Ads] no qual eles informam que dados como nome, endereço, número do IP, seus cookies armazenados, seus números de telefone, entre outros, são recuperados pela Google e utilizados. Lendo isso alguém comentaria: "Basta ler os termos de uso, o contrato, a política de cookies. Está tudo explicadinho lá." Essa preocupação com a exposição voluntária dos dados não é nova. Em 2008, um estudo de dois acadêmicos da Carnegie Mellon nos EUA [MCDONALD, CRANOR, 2008] estimou que levaria 244 horas por ano, ou seja, um pouco mais de 10 dias, para o usuário americano típico da web ler as políticas de privacidade de todos os sites que visita. Notem que esse estudo foi realizado antes de todo mundo carregar na palma da mão um smartphone com dezenas de aplicativos. Leitores, não se animem. Esse tipo de leitura provoca um tédio insuportável. Mesmo muitos aventureiros que se animam a ler as políticas de privacidade têm dificuldade em entendê-las, porque muitas vezes esses textos exigem habilidades de leitura de nível paranormal. As políticas de privacidade frequentemente cobrem vários serviços oferecidos pela empresa, resultando em declarações vagas que tornam difícil encontrar informações concretas sobre quais informações pessoais são coletadas, como são usadas e com quem são compartilhadas. Sobre estes questionamentos, Cíntia Rosa Pereira de Lima alerta para os desafios do consentimento dos titulares de dados nesta coluna (Políticas de proteção de dados e privacidade e o mito do consentimento - Migalhas) Segundo Steinfeld [STEINFELD, 2016] quando os usuários de serviços computacionais são questionados por que não leem as políticas de privacidade, os usuários oferecem vários motivos, incluindo complexidade, linguagem jurídica e extensão. Outras razões para não ler as políticas de privacidade incluem sua linguagem vaga e o uso de termos nebulosos, seu formato e tamanho da fonte, ou o conhecimento prévio dos usuários da empresa ou marca. Ou seja, eles já escrevem o que sabem que você não vai ler. Ponto para o bicho-papão! O consentimento do titular de dados é ainda mais crítico se pensarmos nas aplicações de Inteligência Artificial como alertado por Cristina Godoy Bernardo de Oliveira e Rafael Meira (Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook - Parte 3 - IAPD). Não obstante toda essa criatividade excessiva para dominar os nossos dados eu não entendo que esses fenômenos de buracos-negros de dados surgiram por mero acaso. É natural dizer que vivemos num sistema de organização política e social fundado na supremacia dos técnicos, ou seja, numa tecnocracia. Esta também é uma sociedade voltada aos direcionamentos mercadológicos e que adora decisões rápidas e de baixo custo. Tudo é para ontem e, preferencialmente, pela manhã. Foi esse exato modelo social que proporcionou essas "maravilhas" da web: o consumo simplificado, visitas infindáveis a um mundo de vitrines diferentes, as vitrines reversas em que você é a estrela, a facilidade de ver, ouvir, conferir e decidir estando em qualquer lugar, e muitas outras possibilidades que só esse mundo virtual pode realizar, esse mundo que te conhece e sabe as suas necessidades. Um mundo quase que sem barreiras. Mundos permissivos a cada um, a cada grupo. Sendo assim, volto a pergunta: Por que não jogar a toalha para a LGPD e deixar que cada um escolha, como hoje, quais dados pessoais compartilhar? Por que não apenas fazer uma campanha de esclarecimento sobre essas Políticas de Privacidade e Proteção de Dados e deixar que as pessoas decidam? Será que as pessoas não preferem "doar" os seus dados em troca de todas essas facilidades? Não seria essa uma intromissão do Estado na escolha das pessoas? Isso seria uma tentativa de controlar o mercado? São várias essas questões e confesso que não tenho uma resposta definitiva para várias delas. No entanto acredito que hoje a acepção maior de privacidade de dados seja a da plena liberdade individual. Ser um usuário livre na web hoje significa ter o domínio dos seus dados pessoais. "Desde a Segunda Guerra Mundial, o avanço dos dispositivos eletrônicos de espionagem apresenta ameaças crescentes à privacidade na sociedade. O Sr. Westin atribui a este aumento na vigilância o baixo custo e as facilidade com quais dispositivos eletrônicos podem ser obtidos. Um fator adicional é a mudança nos costumes sociais, evidenciada pela vontade individual de divulgar mais informações sobre hábitos de vida e um elemento geral de curiosidade presente em todas as sociedades, refletido pela demanda popular por íntimos detalhes da vida de figuras públicas." Este é um texto datado de 1968, ou seja, 53 anos e ainda atual. Trata-se de parte das notas explicativas de um artigo do Professor Emérito de Direito Público e Governo da Columbia University, Alan Furman Westin [WESTIN, 1968]. Aproveito este texto para interpretar, a meu modo, as brilhantes colocações feitas pelo Prof. Eduardo Tomasevicius Filho quando participou de um webinar comigo durante o qual expus essa tese, não minha como podem ver, da equivalência entre a liberdade e a privacidade de dados (IAPD, 2021, disponível em: (422) 4º Webinar do IAPD | Proteção de Dados Pessoais na era da Inteligência Artificial - YouTube). As acepções ou sentidos da palavra liberdade mudam conforme as condições e o tempo em que são afloradas. No sentido original, livre é a pessoa que não se encontra preso ou na condição de escrava. A liberdade também alcança um sentido social e político adjetivando a pessoa que tudo pode fazer desde que não seja proibido por lei (não sei se muitos governantes entenderam bem esse ponto...). Talvez como um corolário a liberdade seja também entendida como o uso responsável dos direitos e o exercício consciente dos deveres. A capacidade do ser racional e consciente de autodeterminação, diante às múltiplas de alternativas oferecidas, induz ao que chamamos de livre arbítrio, a faculdade de tomarmos posição espontânea diante do bem e do mal. Acepção essa abordada com distinção por Santo Agostinho [TOMASEVICIUS FILHO, 2006]. Não esquecendo a liberdade no âmbito moral, ou seja, como uma condição de uma pessoa imune de qualquer coerção. Se não devemos jogar a toalha para a LGPD diante de todas essas tentações do capiroto devemos essa decisão a supremacia da liberdade individual. Friedrich Hayek já dizia que "Freedom is order through law", ou seja, que a liberdade é a ordem por meio da lei. Portanto é imperiosa a LGPD. Restritiva? Sim, mas convém lembrar outro trecho de Hayek "A base da liberdade também são as restrições comumente aceitas pelos membros de um grupo em que as regras de moral prevalecem. A demanda por 'libertação' dessas restrições é um ataque a toda liberdade possível entre os seres humanos." Deste modo, o sentido de liberdade não é a liberdade absoluta de fazer o que quisermos, mas sim o reconhecimento da necessidade da lei e da moralidade, a fim de garantir que a interação humana seja cooperativa e ordeira. Luciano Floridi [FLORIDI, 2005] conta a história do reencontro entre Penélope e Ulisses, este último irreconhecível pela esposa dadas as feições marcadas após a guerra de Tróia. Nesse encontro só algo muito particular entre eles restabelece a confiança no enlace. Assim, Floridi encerra a tese que a privacidade informacional é uma função das forças que se opõem ao fluxo de informações dentro do espaço de informação. Hoje a confiança no segredo guardado entre Penélope e Ulisses não pode mais ser depositada no espaço comum que é a web e, portanto, se a quebra da privacidade de informação é uma agressão a identidade pessoal também o é quanto a liberdade individual. Referências bibliográficas Apple. Disponível em https://www.apple.com/legal/privacy/br/ FLORIDI, Luciano. The ontological interpretation of informational privacy. Ethics and Information Technology, v. 7, n. 4, p. 185-200, 2005. Fortune. Disponível aqui. Google Ads. Diponível aqui. IAPD - Instituto Avançado de Proteção de Dados. Webinar sobre "Proteção de Dados na era da Inteligência Artificial". Disponível aqui, acesso em: 24 de mar. 2021. iCloud Compliance. Disponível aqui. Internet Health Report, abril de 2018. Disponível aqui. LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. Disponível em: Políticas de proteção de dados e privacidade e o mito do consentimento - Migalhas, acesso em: 24 de mar. 2021. MCDONALD, Aleecia M.; CRANOR, Lorrie Faith. The cost of reading privacy policies. Isjlp, v. 4, p. 543, 2008. Microsoft. Disponível aqui. OLIVEIRA, Cristina Bernardo de; MEIRA, Rafael. Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook - Parte 3. Disponível em: Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook - Parte 3 - IAPD, acesso em: 24 de mar. 2021. STEINFELD, Nili. "I agree to the terms and conditions":(How) do users read privacy policies online? An eye-tracking experiment. Computers in human behavior, v. 55, p. 992-1000, 2016. TOMASEVICIUS FILHO, Eduardo. O conceito de liberdade em Santo Agostinho. Revista da Faculdade de Direito, Universidade de São Paulo, v. 101, p. 1079-1091, 2006. WESTIN, Alan F. Privacy and freedom. Washington and Lee Law Review, v. 25, n. 1, p. 166, 1968. Wikipedia. Disponível aqui. *Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP e estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.