sexta-feira, 25 de novembro de 2022 Show Comentar 1 Breve introdução A crescente preocupação com o uso de dados na atual sociedade da informação para fins comerciais e toda a emergente proliferação de normas de proteção dos dados pessoais induz a reflexão sobre a sua comercialização e seus limites. No atual sistema econômico capitalista dominado pelo valor comercial da informação - razão pela qual vem a ser chamado por alguns de informacionalismo1, convém indagar: podemos vender nossos dados pessoais? Se sim, quais os limites? A Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil não traz expressamente uma resposta. Em seu capítulo III, destinado a disciplinar os direitos do titular de dados, apenas menciona direitos de acesso, correção e à segurança de seus dados ou tratamento. Como se verá a seguir, contudo, apesar de não haver uma regra específica sobre a comercialização ou cessão de dados a qualquer título pelo proprietário dos dados, o sistema jurídico já oferece uma resposta afirmativa à pergunta. Deveras, em se tratando de dados pertencentes à pessoa, é legítimo o direito de qualquer pessoa humana titular desses dados autorizar sua utilização para fins comerciais. Prevalece o princípio da autonomia da vontade, consagrado no artigo 5º, II, da Constituição Federal. Por outro lado, preocupações de ordem ética e a elevação da proteção de dados a direito fundamental (art. 5º, LXXIX, CF) podem conferir limitações à disposição desses direitos. A resposta a essas questões deve considerar o papel da informação na sociedade atual, a análise da privacidade tanto sob a ótica de uma autodeterminação informativa, quando dos direitos patrimoniais. 2 A informação como base do capitalismo informacional A sociedade de informação, iniciada a partir da década de 80 do século XX, tem promovido transformações significativas nas relações sociais e econômicas locais ou globais. Entre os novos paradigmas desse capitalismo informacional (ou informacionalismo)2 está a informação como matéria-prima do sistema.3 Essa futura sociedade da informação nutre especulações positivas e negativas em torno de sua contribuição para o progresso humano. Ao mesmo tempo em que o uso arbitrário ou abusivo da informação desperta um sentimento protecionista, justificando a produção de legislações nacionais para tutela dos dados da pessoa humana, a mesma informação, como base do novo sistema, passa a se tornar o objeto mais valioso do comércio. Se o industrialismo é fundado na capacidade de produção e comercialização de mercadorias manufaturadas, e o capitalismo financeiro no mercado de créditos, o informacionalismo estrutura-se no mercado de informações. A informação comercialmente relevante pode se materializar na forma de imagens, localização, comportamentos ou interesses, ainda que potenciais, capturados por desenvolvidos sistemas de inteligência artificial. O interesse e valor comercial em torno da informação, ou de sua forma bruta - os dados -, está claro não apenas por toda a preocupação garantista já mencionada, mas pelo valor de mercado das gigantes da tecnologia (Big Techs), sem mencionar os cada vez mais recorrentes eventos de violação de dados com seu consequente "contrabando" na "deep web". Se os dados brutos ou sua forma elaborada - a informação - constituem a base desse novo sistema econômico, parece lógico que eles podem ser comercializados. Podemos, então, vender nossas informações, nossos dados pessoais? Se sim, quais os limites? Sem grande suspense, especialmente para o público leigo, a resposta é afirmativa. Podemos, sim, "vender", "alugar", "ceder" por diversas formas contratuais nossos dados pessoais. Há, contudo, exceções e limites. 3 Nossos dados pessoais já são "vendidos" Antes de apontar tais exceções e limites, é importante registrar que diariamente "vendemos" nossos dados. Só não temos consciência disso. É claro que não me refiro ao contrato de compra e venda disciplinado no Código Civil, mas ao uso vulgar que damos ao termo "vender", praticamente como sinônimo de comercializar. Com efeito, ao concordarmos com a política de cookies ou privacidade de muitos sites ou aplicativos, estamos concordando com a cessão parcial ou total de nossos dados. A diferença é que essa cessão se dá de forma gratuita. Ao utilizarmos um navegador como o "chrome", ou recorrermos a um buscador como o "google", anuímos, em algum momento, com o compartilhamento de nosso comportamento consumeirista. Nossos interesses nesses ambientes virtuais são dados tratados para se tornarem informações comercialmente atraentes - e, "vendáveis"! Uma empresa que busca anunciar seu produto contrata o "google ad", que nada mais é que um sofisticado mecanismo de inteligência artificial que utilizará nossos dados pessoais (interesse virtual) para nos mostrar o anúncio do produto dessa empresa. Quando realizamos uma busca rápida no "google" procurando uma viagem, esse comportamento cria um dado expresso da seguinte forma: "João acessou a página do "google" e digitou os seguintes termos "viagem para Brasília". Esse fato é um dado interpretado como: "João procura uma viagem para Brasília" (informação). Essa informação alimenta o sistema de inteligência artificial que se integra com o "google ad", que cruza na outra ponta a empresa de pacotes de viagem interessada em vender seu produto a pessoas como João. Ou seja, mediante um sofisticado e difuso sistema articulado por algoritmos (black box), a empresa responsável pelo sistema "google" "vende" seus dados para uma terceira empresa. O problema é que empresas como a "Google", Microsoft, Apple exploram comercialmente nossos dados mediante uma autorização de tratamento, ainda que isso não implique diretamente o acesso de terceiros a eles. Seria possível, portanto, reivindicar direitos de uso de nossos dados, a exemplo do que ocorre com as marcas e o direito de imagem (espécie do gênero dados ou informação)? De acordo com o artigo 5º, II, da Constituição Federal, ninguém é obrigado a deixar de fazer algo senão em virtude de lei. Trata-se da consagração do princípio da autonomia da vontade, que no caso ganha forma como princípio da liberdade de contratar, também reconhecida pelo artigo 421 do Código Civil. Sem embargo, como ressalva o mesmo artigo, a liberdade de contratar no Brasil não é absoluta, devendo observar limites como a função social do contrato, o regime jurídico dos direitos fundamentais, entre outros limites previstos em lei e na Constituição. 4 Privacidade como propriedade Um ponto controvertido envolvendo a comercialização de dados pessoais envolve o regime jurídico aplicável à relação do indivíduo com seus direitos da personalidade, em especial a privacidade, donde se projetam os dados e informações pessoais.4 Aplicar-se-ia aos direitos da personalidade in commercio os mesmos institutos e garantias decorrentes do direito de propriedade, ou o regime de tutela dos direitos fundamentais? De fato, muitas são as visões sobre o conteúdo do direito à privacidade, destacando-se o direito de ser deixado sozinho, o direito de exercer autonomia ou controle sobre assuntos de interesse pessoal (autodeterminação informativa) e o direito de limitar o acesso a si mesmo.5 Por isso, muitos interesses já foram protegidos em seu nome, em especial o direito de propriedade. Historicamente, observa-se que a proteção conferida a direitos fundamentais se origina do alargamento da dogmática dos direitos patrimoniais. Assim se deu, por exemplo, com o princípio da proibição do retrocesso social6 e como o princípio da proteção da confiança7, cuja adoção na jurisprudência alemã tiveram por fundamento os direitos patrimoniais. Nos Estados Unidos, cabe citar o caso Yovatt v. Winyard, de 1820, envolvendo a ação movida por Yovatt contra uma alegada cópia de informações de seu livro pessoal de fómulas de remédios, posteriormente utilizada por Winyard, ex-funcionário de Yovatt, em sua clínica particular. O tribunal aplicou ao caso o direito de propriedade para proteção de direitos hoje tutelados sob o manto do direito da concorrência, proteção de marca ou patente, direitos autorais ou privacidade.8 Também no direito inglês, os tribunais não reconheciam ao menos até o início do século XX, a tutela da privacidade, senão por meio da extensão da proteção conferida pelo direito à propriedade, especialmente pela aplicação da máxima "a man's house is his castle".9 A ideia de separação entre direito à privacidade (onde se incluem a proteção de dados e da informação) e direito de propriedade foi inspirada especialmente após a publicação de um artigo, em 15 de dezembro de 1890, por dois jovens advogados de Boston (EUA), Warren e Brandeis, chamado "The right to privacy".10 O direito defendido por ambos, primeiro paradigma teórico voltado à tutela do direito à privacidade, era, contudo, um direito negativo, oponível a terceiros na defesa de sua privacidade. No entanto, já entendiam que o avanço da tecnologia exigiria uma evolução do direito na proteção da dignidade humana. Como observa Seipp, contudo, Warren e Brandeis não propuseram uma autonomia do direito à privacidade, mas apenas procuraram sistematizar doutrinas e entendimentos já existentes em torno da proteção à privacidade, com o objetivo de estender sua aplicação para violações da privacidade cometidas pela imprensa.11 A partir de então, tem sido observado certo ceticismo da doutrina na aplicação do direito de propriedade ao direito à privacidade.12 No Brasil, derivações do direito de propriedade também foram utilizadas, no início, para a proteção da privacidade, citando-se o "caso dos espelhos", em que um edifício com espelhos que expunham a privacidade dos vizinhos teve a obra embargada com fundamento em instituto aplicável à limitação do direito de propriedade ou posse de bem imóvel (nunciação de obra nova).13 O desenvolvimento tecnológico, contudo, e a massificação do tratamento de dados e informações pessoais, bem como a suscetibilidade de seu mau uso por terceiros (empresas, hackers e qualquer pessoa mal-intencionada) exigiram uma modificação qualitativa na dogmática da tutela da privacidade, com o recurso à dogmática da proteção de direitos fundamentais, mais afeito à tutela de direitos da personalidade.14 No entanto, parte da doutrina ainda defende a análise da privacidade numa perspectiva de direito de propriedade, como é o caso de Lawrence Lessig, Professor da Faculdade de Direito de Harvard. Em sua obra "Privacy as property", Lessig questiona essa resistência da doutrina moderna em conceber a privacidade como propriedade, sugerindo as vantagens dessa concepção. O autor questiona: "se os dados fossem considerados uma propriedade, como são os direitos autorais, não seria mais fácil estabelecer um mecanismo de proteção?".15 Na verdade, talvez seja inevitável a aplicação do regime jurídico contratual, assentado em premissas que decorrem do direito de propriedade, aos dados pessoais, quando estes possam ser equiparados aos bens in commercio. A exemplo desses, contudo, a comercialização dos dados pessoais não apresenta liberdade absoluta e também encontra limites explícitos e implícitos no ordenamento jurídico brasileiro. 5 A possibilidade jurídica de comercialização de dados pessoais no Brasil Como visto, a comercialização de dados pessoais é possível na medida em que se compatibilize sua dimensão de direitos fundamentais com a possibilidade de seu uso como res in commercio. O artigo 20 do Código Civil brasileiro regula em parte a hipótese, autorizando, a contrario sensu, a transmissão, publicação, exposição ou utilização da imagem de uma pessoa mediante o livre consentimento. Perdeu o legislador brasileiro a oportunidade de inserir, no artigo 7º da LGPD, a hipótese de comercialização dos dados pessoais, desde que devidamente autorizada, como requisito autorizador de seu tratamento. Nada obstante, a venda, aluguel ou qualquer outra forma de cessão onerosa de dados pessoais encontra abrigo no inciso I do artigo 7º da LGPD, que prevê a possibilidade de tratamento mediante o livre consentimento do titular. Sem embargo, o principal fundamento autorizador da comercialização de dados pessoais pelo titular talvez se funde no fundamento da LGPD consagrado em seu artigo 2º, II - o princípio da autodeterminação informativa. Apesar da infeliz inserção recente na Constituição Federal brasileira da proteção de dados como direito fundamental,16 ainda se reconhece o princípio da autodeterminação informativa como direito fundamental implícito de nossa ordem. Segundo tal princípio, não apenas temos o direito à proteção de nossos dados, mas o direito de controla-los, de decidirmos o que fazer com eles. Ocorre que nossos dados pessoais, assim como nossa privacidade, também são tutelados pela Constituição brasileira e por princípios ínsitos ao Estado de Direito, como a dignidade humana, que restringe nossa liberdade ao coibir situações que atentem contra nossa dignidade. A venda de órgãos, o uso de nossa imagem como pessoa com alguma deficiência para fins comerciais, entre outras hipóteses, são exemplos de situações em que nossa liberdade de dispor sobre nós mesmos é restringida, porquanto nelas se presume uma ofensa à nossa dignidade, com a qual possivelmente concordamos por nos encontrarmos em uma posição de desigualdade econômica, social ou até mesmo psicológica. Para evitar tais abusos, reconhece expressamente o Código Civil a inalienabilidade e intransmissibilidade de direitos fundamentais, razão pela qual não podemos simplesmente "vender" nossos dados pessoais para uma Big Tech, ou renunciar todos os direitos sobre nossas informações. Isso não impede, por exemplo, que celebremos um contrato de cessão provisória de dados, ou cessão definitiva de dados produzidos em determinado contexto, tal qual a cessão de um direito de imagem a certa produtora pela participação em um filme. A gama de possibilidades de uso de dados pessoais para fins comerciais é certamente inestimável, assim como as limitações e condicionamentos que apenas a riqueza dos casos concretos permitirá identificar. Conclusão A comercialização de dados pessoais é implicitamente autorizada em nosso sistema jurídico, fundando-se no primado da autonomia da vontade e consequente liberdade de contratar, a par do princípio da autodeterminação informativa, uma dimensão da dignidade humana. Protegidos por direitos fundamentais expressos e implícitos, contudo, a comercialização de dados pessoais deve considerar a modalidade contratual e os limites e condicionamentos impostos aos direitos fundamentais, especialmente os direitos da personalidade, entre as quais a irrenunciabilidade e intransmissibilidade, salvo as hipóteses legalmente previstas e constitucionalmente admitidas. Saber, portanto, se um determinado contrato envolvendo o uso de dados pessoais é válido no Brasil, exigirá do profissional do Direito, em grande parte das vezes, o recurso às técnicas de interpretação constitucional, em especial a ponderação e o sopesamento, de modo a harmonizar a tensão constante e cada vez mais recorrente entre a liberdade de contratar e dispor de nossos direitos da personalidade e a proteção constitucionalmente conferida contra o abuso na utilização de nossos dados pessoais para fins comerciais que viole nossa própria dignidade. ____________ 1 Conceito trazido por CASTELLS, Manuel. A era da informação: economia, sociedade e cultura. In: A Sociedade em rede. São Paulo: Paz e Terra, 2011, v. 1, p. 50 et seq. 2 Conceito trazido por CASTELLS, Manuel. A era da informação: economia, sociedade e cultura. In: A Sociedade em rede. São Paulo: Paz e Terra, 2011, v. 1, p. 50 et seq. 3 Ibidem. 4 FERRAZ JÚNIOR, T. S. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado. Revista da Faculdade de Direito, Universidade de São Paulo, [S. l.], v. 88, p. 439-459, 1993. Disponível em: https://www.revistas.usp.br/rfdusp/article/view/67231. Acesso em: 20 mar. 2022. 5 PARENT, W. A. Privacy, Morality, and the Law. Philosophy & Public Affairs, v. 12, n. 4, p. 269-288. Disponível em: http://www.jstor.org/stable/2265374. Acesso em: 21 nov. 2022. 6 SARLET, Ingo Wolfgang. A eficácia dos direitos fundamentais: uma teoria geral dos direitosfundamentais na perspectiva constitucional. 11. ed. Porto Alegre: Livraria do Advogado, 2012, p. 450-1. 7 Cf. QUINTILIANO, Leonardo David. Direitos sociais e vinculação do legislador: as reformas previdenciárias e seus limites constitucionais no estado social e de direito. Rio de Janeiro: Lumen Juris, 2019, p. 194. 8 Cf. PROSSER, William L. Privacy. California Law Review, v. 48, n. 3, ago. 1960. p. 384 et seq. 9 SEIPP, David. J. The Right to Privacy in Nineteenth Century America. Harvard Law Review, v. 94, p. 1892 et seq. Disponível em: https://scholarship.law.bu.edu/cgi/viewcontent.cgi?article=2613&context=faculty_scholarship. Acesso em: 20 nov. 2022. 10 WARREN, Samuel D.; BRANDEIS, Louis D. The Right to Privacy. Harvard Law Review, vol. IV, 15 de dezembro de 1890, n° 51890. Disponível em: http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html. 11 SEIPP, David. J. The Right to Privacy in Nineteenth Century America. Harvard Law Review, v. 94, p. 1893 Disponível em: https://scholarship.law.bu.edu/cgi/viewcontent.cgi?article=2613&context=faculty_scholarship. Acesso em: 20 nov. 2022. 12 Cf. SEIPP, David. J. The Right to Privacy in Nineteenth Century America. Harvard Law Review, v. 94, p. 1895 et seq. Disponível em: https://scholarship.law.bu.edu/cgi/viewcontent.cgi?article=2613&context=faculty_scholarship. Acesso em: 20 nov. 2022. 13 Cf. Tribnal de Alçada do Rio Grande do Sul, Brasil, 6ª CC, AC 195079868, j. em 28.09.1995. 14 REGIS, E. D. S. Linhas gerais sobre a lei 13.709/2018 (A LGPD): objetivos, fundamentos e axiologia da lei geral de proteção de dados brasileira e a tutela de personalidade e privacidade. Revista de Direito Privado, v. 21, p. 66, jan./mar. 2020. ISSN 103. Disponivel em: https://pcpcadv.com.br/pdf/artigos/lgpd-erick-regis.pdf. Acesso em: 21 nov. 2022. 15 LESSIG, Lawrence. Privacy as property. Social Research, v. 69, n. 1, Spring 2002, pp. 250-3. 16 De fato, o termo "proteção de dados" fica aquém do real alcance do âmbito de proteção jusfundamental à autodeterminação do indivíduo, na medida em que ele não tem apenas o direito a ter seus dados protegidos, mas inclusive o direito de decidir o que fazer com eles.
sexta-feira, 18 de novembro de 2022 Comentar Nota-se um paralelo entre o inc. II do art. 43 da LGPD com o Código de Defesa do Consumidor torna-se irresistível; afinal, o art. 43 disciplina a exclusão de responsabilidade por meio da mesma técnica do art. 14, §3º, do CDC, que elenca, em um rol taxativo, as únicas hipóteses em que os agentes não serão responsabilizados. Se comparadas, nota-se que as redações dos dispositivos são quase idênticas ("os agentes de tratamento só não serão responsabilizados quando"), levando parte da doutrina a acreditar que a LGPD optou pelo sistema objetivo1. Contudo, embora essa construção sintática seja típica da responsabilidade objetiva2, uma vez que promove o estreitamento das excludentes de responsabilização, logo no inciso II do mesmo artigo, haveria um aparente alargamento dessas excludentes. Ao tornar possível a exclusão de responsabilidade ante a comprovação da não violação à LGPD, ainda que os agentes tenham realizado o tratamento de dados pessoais que lhes é atribuído, a doutrina subjetivista afirma que o inciso II tornaria possível uma análise baseada na culpa3. Para os subjetivistas, tendo em vista que a legislação de proteção de dados é pautada em uma série de condutas a se observar, condicionar a exclusa~o da responsabilidade civil à observância dessa legislação leva à necessidade de que seja feita uma análise da conduta e, por extensão, da culpa do agente para a responsabilização. Trata-se de um argumento lógico e com o qual concordaríamos se os filtros para a responsabilização na LGPD não fossem demasiadamente estreitos e estritamente objetivos. Mesmo havendo vozes na jurisprudência que se aliem a essa concepção, firmando que "a responsabilidade atribui'da aos agentes de tratamento não é objetiva"4, há outras que sequer notam uma incompatibilidade entre o polêmico inciso II do art. 43 da LGPD e a responsabilidade objetiva. Em julgado da 36a Câmara do Tribunal de Justiça de São Paulo é pontuado que a "responsabilidade dos controladores e operadores e' objetiva, mas dela se eximem se não houve violação à legislação de proteção de dados"5. Ou seja, em que pese a excludente ora mencionada, entendem que a lei desprezaria a culpa. Outro grande protagonista do debate é o art. 44 da LGPD. Novamente, a alusão ao Código de Defesa do Consumidor é irresistível, pois o artigo exprime uma versa~o adaptada do conceito de defeito de serviço insculpido no art. 14, §1º,do CDC6. Ainda que as palavras "defeito" e "vício" não façam parte da redação do artigo7, a inspiração é inegável, basta abrir cada um dos diplomas legais e colocar os dispositivos lado a lado. Assim, da mesma forma que a legislação consumerista entende pelo defeito do serviço se não for fornecida a segurança esperada pelo consumidor, o tratamento de dados será irregular quando não corresponder com essa mesma expectativa de segurança8. Os subjetivistas, contudo, embora reconheçam inspiração do art. 14 §1º do CDC no art. 44 da LGPD, defendem que a atribuição de responsabilidade decorrente deste artigo necessita da prova de que não foram adotadas medidas de segurança9. Ao que defendem, o art. 44 dependeria diretamente de seu parágrafo único, o qual condiciona a responsabilização à prova de que medidas de segurança aptas a proteger os dados não foram adotadas. Para eles, ainda que o dano decorresse da quebra de uma legi'tima expectativa de segurança, não seria possível responsabilizar o agente sem que fosse feita uma ana'lise valorativa de sua conduta, provando que ele deixou de implementar as medidas que lhe cabiam10. Tal tese parece-nos mais um malabarismo com a redação e topografia confusa do artigo do que uma interpretação conforme o espírito da LGPD. Se forem permitidos esses exercícios mentais, propomos a seguinte leitura da legislação: de acordo com a própria redação do art. 44, é irregular o tratamento que não forneça a segurança esperada. Pois bem. Se o tratamento é irregular, logicamente, ele é contrário à LGPD. Admitir raciocínio diverso seria afirmar que um tratamento de dados irregular não viola a legislação ou que a legislação permite um tratamento de dados irregular. São duas ideias absurdas! Partindo dessa premissa óbvia conclui-se: se não foi fornecida a segurança esperada, houve tratamento irregular de dados; se houve tratamento irregular, houve violação à legislação; se houve violação à legislação, não é possível exclusão de responsabilidade com base no inciso II do art. 43; afinal, somente não serão responsabilizados os agentes que respeitarem toda a lei de proteção de dados. Portanto, o agente que não fornecer a segurança esperada não se encaixa nas únicas excludentes de responsabilidade enunciadas no art. 43. É um jogo de palavras a partir das lacunas que a lei fornece. Compreendendo, ainda que brevemente, os principais fundamentos de cada uma das correntes, acaba se reconhecendo que o debate em torno de qual seria a responsabilidade civil decorrente da LGPD é quase tragicômico. A partir da interpretação dos mesmos dispositivos, as correntes chegam a conclusões diametralmente opostas. Elas são como um espelho que reflete, ponto a ponto, exatamente a imagem que se volta para ele, mas num giro de 180 graus. Questiona-se: como foi possível o surgimento de posicionamentos tão opostos a partir da interpretação da mesma série de dispositivos? A resposta se encontra no título do artigo. Por algum tempo, doutrinadores ficaram obcecados em traçar uma oposição entre a responsabilidade objetiva e a subjetiva. Contudo, trata-se de uma falsa dicotomia, que se dissolve cada vez mais ante a mudança do papel da culpa. A transformação ontológica da culpa foi intensa, transitando de uma culpa anímica, em que a reserva mental era relevante, para uma culpa objetiva11, na qual aferir se a conduta foi ou não culposa é verificar se ela observa o padrão esperado de comportamento. Essa transformação, no entanto, causou certa confusão na doutrina, pois se entendia que uma análise in abstracto seria contrária à ideia de responsabilidade subjetiva justamente por ser uma análise dotada de objetividade12. Contudo, ao contrário do que se concebe, os sistemas de responsabilização objetivo e subjetivo não podem ser lidos como duas esferas dissociadas e isoladas. Não são separados e intangíveis! Ao contrário, a responsabilidade subjetiva e a objetiva são dois extremos de uma linha conti'nua, cada uma de um lado, podendo haver sistemas intermediários entre eles13. Em outras palavras, pode haver uma análise de culpa na responsabilidade objetiva e vice-versa; da mesma forma, pode haver uma análise dotada de alta objetividade na responsabilidade subjetiva. São dois raciocínios diferentes que chegam à mesma conclusão: os sistemas de atribuição de responsabilidade se imiscuem. É exatamente pela volatilidade que o sistema de responsabilidade civil pode possuir na prática que há tamanho debate doutrina'rio acerca de qual seria aquele eleito pela LGPD. Embora não façam referência a essa concepção de que pode haver sobreposição de objetividade e subjetividade na atribuição de responsabilidade, DRESCH e FALEIROS JÚNIOR14 vão partir em defesa de que, na LGPD, há uma responsabilidade objetiva especial. Chamam de "especial" justamente por haver um grau de análise qualitativa nos padrões de conduta; porém, todos seriam objetivamente considerados. Ora, afirmar isso é acabar por reconhecer que pode haver algum grau de subjetivismo na objetividade. Ironicamente, BRUNO BIONI e DANIEL DIAS defendem a mesma concepção, mas de maneira invertida, espelhada. Ao invés de afirmarem que a LGPD inaugura uma análise qualitativa da conduta na responsabilidade objetiva, defendem que há um altíssimo grau de objetividade em uma responsabilidade que seria subjetiva. Os autores inclusive pontuam a necessidade de se avançar para além de uma concepção binária e baseada em frágeis antagonismos de se o sistema é objetivo ou subjetivo.15 Chamem de risco na responsabilidade subjetiva ou de culpa na responsabilidade objetiva, a responsabilização sera' a partir de um mesmo raciocínio: se não cumpridas as regras da lei, haverá responsabilidade. E ao que se nota, a lei impõe uma dupla atuação do agente de tratamento de dados, tanto de forma posterior ao dano quanto anterior: adotar medidas, implementá-las e demonstrar eficácia16. Se não adotar essa postura e antecipar os riscos, ele será responsabilizado se dessa falta de proatividade resultar dano. No entanto, não se exige um dever hercúleo do controlador de dados: não é sobre todo e qualquer risco, irrestritamente, que ele deve se responsabilizar, mas sim somente sobre aquilo que se considera a legi'tima expectativa dos padrões da indústria17. A ideia a ser desenvolvida é, ao nosso ver, similar com a disposta no Código de Defesa do Consumidor: trabalhar-se-á com conceito juri'dico indeterminado e cujo sentido deve ser concretizado pelos tribunais nas circunstâncias do caso concreto18. Nesse caso, junto do Poder Pudiciário, destaca-se a necessidade de um protagonismo da ANPD para delimitar quais os padrões mínimos nas principais situações de tratamento de dados, o que fatalmente irá orientar na conferência do estrito cumprimento da LGPD. O raciocínio deve ser o mesmo que já é aplicado: da mesma forma que não é exigido o padrão de segurança de uma instituição financeira a uma pequena mercearia não deve ser imposto aos agentes de tratamento adotar toda e qualquer medida de segurança. De toda forma, a responsabilização na LGPD será a partir de padrões bastante objetivos. E o agente que observa integralmente a lei, cobre todo o risco de seu empreendimento. ___________ *Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD (www.iapd.org.br). Advogada. *Davi Petroni Cardoso da Silva é Bacharelando da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo e bolsista do Programa Unificado de Bolsas da Universidade de São Paulo. ___________ 1 LIMA, Cíntia Rosa Pereira de; MORAES, Emanuele Pezati Franco de; PEROLI, Kelvin. O necessário diálogo entre o Marco Civil da Internet e a Lei Geral de Proteção de Dados para a coerência do sistema de responsabilidade civil diante de novas tecnologias. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson (Coord.). Responsabilidade civil de novas tecnologias. Indaiatuba: Editora Foco, 2020, p. 158 2 TEIXEIRA, Tarci'sio; ARMELIN, Ruth Maria Guerrero da Fonseca. Responsabilidade e ressarcimento de danos por violac¸a~o de regras previstas na LGPD: um cotejamento com o CDC. In: LIMA, Cíntia Rosa Pereira de (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei nº 13.709/2018, com alterac¸a~o da Lei nº 13.853/2019. São Paulo: Almedina, 2020, p. 303. 3 GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Capítulo 8. Término do tratamento de dados. Parte I: aspectos estruturais do tratamento de dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei geral de proteção de dados e suas repercussões no Direito Brasileiro. 2a ed. São Paulo: Thomson Reuters, 2020, p. 232. 4 BRASIL, Tribunal de Justiça de São Paulo. Apelac¸a~o Ci'vel 1000407-06.2021.8.26.0405; Rel. Ministro Soares Levada; Órgão Julgador: 34a Ca^mara de Direito Privado; Comarca de Osasco; Data do Julgamento: 16/08/2021; Data de Registro: 19/08/2021. 5 BRASIL, Tribunal de Justiça de São Paulo; Apelação Cível 1025180-52.2020.8.26.0405; Rel. Ministro Arantes Theodoro; Órgão Julgador: 36a Ca^mara de Direito Privado; Foro de Osasco; Data do Julgamento: 26/08/2021; Data de Registro: 26/08/2021. 6 SCHREIBER, Anderson. Responsabilidade civil na lei geral de protec¸a~o de dados. In: MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; RODRIGUES JR, Otávio Luiz. Tratado de proteção de dados pessoais. São Paulo: Forense, 2020. p. 327. 7 MARTINS, Guilherme Magalha~es. Capítulo 16. A lei geral de proteção de dados pessoais e os consumidores. In: MARQUES, Cla'udia Lima; MIRAGEM, Bruno; DIAS, Luciana Ancona de Magalha~es Lopes (Coord.). Direito do Consumidor: 30 anos de CDC. Rio de Janeiro: Forense, 2021, p. 431. 8 TEIXEIRA, Tarci'sio. ARMELIN, Ruth Maria Guerrero da Fonseca. Responsabilidade e ressarcimento de danos por violac¸a~o a`s regras previstas na LGPD: um cotejamento com o CDC. In: LIMA, Ci'ntia Rosa Pereira de (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei nº 13.709/2018, com alterac¸a~o da Lei nº 13.853/2019. São Paulo: Almedina, 2020, p. 304. 9 CRESPO, Marcelo. Compliance digital. In: NOHARA, Irene Patri'cia; PEREIRA, Fla'vio de Lea~o Bastos (Coord.). Governança, compliance e cidadania. Sa~o Paulo: Revista dos Tribunais, 2018, pp. 192-195. 10 SCHREIBER, Anderson. Responsabilidade civil na Lei Geral de Proteção de Dados Pessoais. In: MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; JÚNIOR, Otávio Luiz Rodrigues; BIONI, Bruno (Coord.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021, p. 327. 11 SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil: da erosão dos filtros da reparação à diluição dos danos. São Paulo: Atlas, 2007, p. 33. 12 Assim relatam os seguintes autores: DIAS, José Aguiar. Da responsabilidade civil. Rio de Janeiro: Renovar, 2006, p. 100; SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil: da erosão dos filtros da reparação à diluição dos danos. São Paulo: Atlas, 2007, p. 37 13 "This treatment of strict and fault-based liability as opposites is a monumental mistake. In fact, tort liability is almost always simultaneously fault-based and strict. For torts ranging from battery to negligence, and from libel to trespass, liability is imposed on the basis of wrongdoing. Yet, it is also imposed strictly-that is, in a demanding or unforgiving manner. As the first half of our title suggests, there is strict liability in fault." GOLDBERG, John. ZIPURSKY Benjamin, The Strict Liability in Fault and the Fault in Strict Liability. Fordham Law Review, New York, v. 85, issue 2, 2016, p. 745. 14 DRESCH, Rafael; JUNIOR, José Luiz de Moura Faleiros. Reflexo~es sobre a responsabilidade civil na Lei Geral de Protec¸a~o de Dados (Lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas; WESENDONCK, Tula (Coord.). Responsabilidade civil: novos riscos. Indaiatuba: Foco Jurídico, 2019, pp. 85-88 15 BIONI, Bruno; DIAS, Daniel. Responsabilidade civil na LGPD: construção do regime por meio de interações com o CDC. In: MARQUES, Claudia Lima; MIRAGEM, Bruno; DIAS, Luciana Ancona de Magalha~es Lopes (Coord.). Direito do Consumidor: 30 anos de CDC. Rio de Janeiro: Forense, 2021, p 518. 16 BRANCHER, Paulo Marcos Rodrigues; KUJAWSKI, Fábio Ferreira; CASTELLANO, Ana Carolina Heringer Costa. Princi'pios gerais de proteção de dados pessoais: uma ana'lise dos princi'pios elencados no art. 6º da Lei nº 13.709/2018 (LGPD). In: BRANCHER, Paulo Marcos Rodrigues; BEPPU, Ana Cláudia (Coord.). Proteção de dados no Brasil: uma nova visão a partir da Lei nº 13.709/2018. Belo Horizonte: Fórum, 2019, p. 81. 17 MIRANDA, Heitor Carma'ssio. Exoneração e limitação de responsabilidade por violação de dados pessoais nos contratos de computação em nuvem. Tese de Mestrado. São Paulo: Faculdade Getúlio Vargas, 2021, p. 73. 18 REINIG, Guilherme Henrique Lima. A responsabilidade do produtor pelos riscos do desenvolvimento. São Paulo: Atlas, 2013, p. 30.
sexta-feira, 11 de novembro de 2022 Comentar Preliminares Vivemos tempos nos quais, como sociedade, já dominamos o uso da tecnologia da informação para propagar a nossa voz, incrementar nossos negócios, aumentar nossa produtividade e nos aproximarmos como indivíduos. No entanto ainda estamos preocupados com a segurança das nossas informações nestes ambientes computacionais. Será que a Computação Confidencial será uma das inovações que nos deixará mais confiantes quanto ao uso do computador? Mesmo antes de comentarmos sobre Computação Confidencial, devemos analisar os riscos de segurança que recaem sobre a computação convencional. Todo computador é composto por dois tipos de dispositivos, que são: 1) Os dispositivos físicos (hardware) e; 2) Os dispositivos lógicos (software). Quando comentamos sobre segurança cibernética, na maioria das vezes, estamos preocupados com a segurança dos nossos dados, ou seja, dos dados inseridos na máquina, como também da garantia que os softwares, que atuam sobre os dados, produzam o resultado desejado de modo confiável e seguro e, não obstante, com a segurança dos dados resultantes da computação. Em linhas gerais, basicamente estamos preocupados com os aspectos de segurança relacionados ao software. São questões comuns neste tema: É seguro editar um arquivo neste serviço de computação em nuvem? É seguro deixar minhas fotos e dados pessoais na nuvem? Meu computador tem um antivírus confiável? Posso usar e confiar no serviço de banco digital a partir do meu celular? E sobre quais softwares estamos comentando? Basicamente, estamos falando em dois tipos de softwares, que são: 1) O software de aplicação, ou seja, o software que realiza a função desejada e final do usuário, seja ele editar um texto, usar uma planilha, usar um navegador web, entre outros; 2) Também há o software básico que é o sistema operacional. Todo computador ganha "vida" apenas quando operado por um software que interconecta todos os elementos do hardware e os gerencia, ou seja, o sistema operacional. Em termos práticos, estamos falando do Windows, do iOS para os Apple, como também os sistemas baseados em Linux. Em quais situações devo me preocupar com a segurança? Historicamente são duas as principais situações em que os seus dados correm risco. São elas: a) Quando os dados estão armazenados. Dizemos também que os dados estão em repouso, ou seja, quando os dados estão na memória principal do computador, ou armazenado em discos internos, ou mesmo em memórias secundárias externas como os pen drives (memórias flash); b) A outra maneira é quando os dados estão em trânsito, ou seja, quando estão sendo "transportados" entre dispositivos distintos. E como isso pode acontecer? Consideramos como dados em "trânsito" várias situações, entre elas estão: a transferência de dados numa rede de computadores, ou seja, via wi-fi, bluetooth, via web, email, etc; a transferência entre dados em memória, ou seja, da memória principal para os discos (secundária), entre discos, entre a memória secundária interna (discos) e as memórias secundárias externas (pen drives, discos externos, CD e outros). Meus caros, até os automóveis que possuem essas chaves eletrônicas estão em perigo atualmente. Hoje os criminosos conseguem romper os códigos trocados entre as chaves digitais e seu automóvel em segundos1. Sobre os dados em repouso, as ameaças ocorrem pela perda ou furto do equipamento, como também pela ação maliciosa de softwares que vasculham os discos a procura de informações valiosas para os criminosos. Daí a razão de ter instalado um antivírus confiável. Criptografia novamente? Eu uso isso? Sim. Usa! A criptografia é o principal mecanismo de proteção de dados, tanto os dados em trânsito quanto os dados armazenados, ou seja, em repouso2. A criptografia também é empregada desde a comunicação numa rede wi-fi doméstica (Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA), and Wi-Fi Protected Access Version 2 (WPA2)), até a comunicação por Bluetooth, no WhatsApp e no Telegram.O Facebbok e o Twitter ainda não dispõem de criptografia ponta-a-ponta3 4. Para os serviços em nuvem, tais como os serviços da Google, da Microsoft e da Amazon, todos eles garantem a segurança dos dados em trânsito e em repouso com base em serviços criptográficos. E por que estamos comentando sobre serviços em nuvem? Atualmente, grande parte dos serviços jurídicos, via computador, em escritórios usa a tecnologia de armazenamento em nuvem tanto para o armazenamento de dados, quanto que a realização da computação, ou seja, do processamento de dados. O próprio serviço do TJSP, a Plataforma de Justiça Digital, utiliza os serviços em nuvem da Microsoft5. Pequenos escritórios também têm seu cotidiano facilitado por pacotes similares ao Google Workspace que, como assemelhados, é uma coleção de ferramentas de computação em nuvem para aumentar produtividade e facilitar a colaboração dos usuários. Esses serviços geralmente são compostos por softwares de email, editores de texto, planilhas de cálculo, calendário colaborativo, agenda de contatos, chat e software de comunicação e teleconferência. Ataques às CPUs O que pouca gente sabe é que os computadores também são vulneráveis aos ataques às CPU (Central Processing Unit), ou seja, seus dados podem ser roubados ou adulterados enquanto estão sendo processados e não somente enquanto estão em repouso ou em trânsito. Talvez o caso mais antigo de ataque à CPU, ou seja, ao processador central do seu computador, tenha ocorrido em 2017 com a descoberta do software Meltdown. Na verdade, o Meltdown e o Spectre são dois softwares que exploram as vulnerabilidades dos processadores6. Embora os softwares convencionais não tenham permissão para ler dados de outros programas, um programa malicioso pode explorar o Meltdown e o Spectre para obter segredos armazenados na memória de outros programas em execução. Hoje, praticamente, não importa o dispositivo eletrônico que você usa, se é um telefone celular, se são os dispositivos eletrônicos de seu automóvel, um relógio digital, um tablet, um computador doméstico, ou mesmo um computador em nuvem, todos esses dispositivos têm um processador e todos estão correndo o risco de serem violados7. Praticamente toda semana surgem listas atualizadas sobre descobertas ou atualizações contra os riscos de ataques em CPUs8. Sabe aquele dinheirinho "suado" que você não usou e que, ao final do mês, aplicou numa criptomoeda? Sim, eu lamento, mas até ela também está em risco. Hoje, o segundo lugar na lista dos softwares que mais sofrem abusos é o chamado XMRig9. XMRig é um software de código aberto para CPU usado para minerar a criptomoeda Monero10. Os criminosos geralmente abusam desse software de código aberto, integrando-o a um malware para realizar mineração ilegal nos dispositivos das vítimas. Hoje, no mundo, temos mais de RS12bi em moneros a um custo de mais de R$860 cada criptomoeda. Enfim, o que é a Computação Confidencial? A computação confidencial é uma tecnologia emergente de segurança cibernética que executa tarefas computacionais que garantem a segurança das CPUs enquanto estão em uso. Essencialmente, como muitas organizações usam espaços e processamento por meio de serviços em nuvem, diversas empresas podem ocupar as mesmas instalações físicas ao mesmo tempo. Em tese, pode ocorrer que a presença de softwares distintos de duas organizações que processam os dados no mesmo ambiente possam ser usados para corromper ou espionar os dados do concorrente. Fundamentalmente, a computação confidencial torna possível a coexistência, e até a colaboração, de duas organizações num mesmo ambiente computacional de modo a combinar, analisar e até gerar informações novas a partir de seus dados ao mesmo tempo que mantêm não apenas os dados seguros, mas também os códigos (os algoritmos) "invisíveis" pelo sistema computacional e até pelos operadores humanos. Numa arquitetura de computação confidencial, todos os cálculos, os processamentos, são realizados em ambiente criptografado baseado em hardware na CPU. Estes são conhecidos como ambiente de execução confiável (TEE, do inglês Trusted Execution Environment). Dados e código não podem ser visualizados, adicionados, removidos ou modificados quando estiverem dentro de um TEE. A Computação Confidencial permite que as organizações isolem os dados em uso para que não sejam expostos à infraestrutura que os processa. Essa abordagem de proteção de segurança protege dados e códigos enquanto eles estão sendo usados por aplicativos, permitindo que as organizações tenham mais confiança na execução de aplicativos confidenciais na nuvem. Em quais casos podemos usar a Computação Confidencial? Como dissemos, no modelo atual de computação chamado SaaS (Software as a Service), ou seja, de software como serviço em que o usuário paga uma taxa para usar serviços online (email, editores, planilhas, chat, entre outros) as grandes empresas como Google e Microsoft já dispõem desta tecnologia. Em outros modelos, os quais os softwares são proprietários, muitas vezes elaborados sob demanda, a migração de todo o processamento para ambientes em nuvem permite aproveitar o serviço de computação confidencial disponível pelos provedores. Neste caso, irá ocorrer o isolamento dos processos da empresa contratante da infraestrutura de serviços da contratada, além de ter seu produto protegido contra eventuais administradores mal-intencionados do software. Além deste desacoplamento entre serviço e infraestrutura, a computação confidencial previne o desvio de dados ao mesmo tempo que permite uma colaboração segura entre aplicações.11 Por fim... Agora é só esperar para ver essa realidade da Computação Confidencial invadir também nossos computadores e demais dispositivos computacionais domésticos. Acredito eu que depois de ler este artigo e alguém te disser que tem ou conhece um sistema computacional completamente imune à violações você vai, ao menos, pedir mais detalhes antes mesmo de desacreditar amigavelmente. ______________ 1. What You Should Know About the Honda Key Fob Vulnerability. Disponível aqui. Última visita em 8 de novembro de 2022. 2. Criptografia homomórfica: essa técnica resolve o problema da segurança dos dados pessoais. Disponível aqui. Última visita em 9 de novembro de 2022. 3. Facebook will begin testing end-to-end encryption as default on Messenger app. Disponível aqui. Última visita em 8 de novembro de 2022. 4. Elon Musk wants end-to-end encryption for Twitter DMs. It may not be that simple. Disponível aqui. Última visita em 8 de novembro de 2022. 5. TJSP anuncia desenvolvimento da nova Plataforma de Justiça Digital. Disponível aqui. Última visita em 8 de novembro de 2022. 6. Meltdown and Spectre: Vulnerabilities in modern computers leak passwords and sensitive data. Disponível aqui. Última visita em 8 de novembro de 2022. 7. Security vulnerabilities found in Intel and AMD processors. Disponível aqui. Última visita em 8 de novembro de 2022. 8. Microsoft fixes four zero-days, 58 other flaws on Patch Tuesday. Disponível aqui. Última visita em 8 de novembro de 2022. 9. Check Point Press Releases: September 2022's Most Wanted Malware: Formbook on Top While Vidar 'Zooms' Seven Places. Disponível aqui. Última visita em 8 de novembro de 2022. 10. CoinMarketCap. Disponível aqui. Última visita em 8 de novembro de 2022. 11. Dever de notificação dos incidentes de segurança com Dados Pessoais - Parte 1. Disponível aqui. Última visita em 9 de novembro de 2022. __________ Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP com estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD. (www.iapd.org.br ) sexta-feira, 4 de novembro de 2022 Comentar Algoritmos de inteligência artificial: um breve panorama Algoritmos, de maneira simplificada, é uma sequência de passos para executar uma tarefa ou resolver um problema. "[...] uma sequência de raciocínios, instruções ou operações para alcançar um objetivo, sendo necessário que os passos sejam finitos e operados sistematicamente." (ROCKCONTENT, 2019, online). Assim, os algoritmos são desenvolvidos por seres humanos visando à realização de tarefas. Atualmente, é possível afirmar que ferramentas de machine learning conseguem induzir premissas, ou seja, construir hipóteses com base em um determinado conjunto de dados (SCHIPPERS, 2018). Esses algoritmos, alimentados com dados, podem aprender a se aprimorar de forma supervisionada ou não. Um dos grandes problemas é que esse processo de aprendizagem, de maneira não supervisionada, ocorre de forma que nem os desenvolvedores e programadores conseguem entender como o algoritmo chegou a determinados resultados, esses são chamados de "caixa-preta". Portanto, no tocante a essas decisões autônomas e aos algoritmos "caixas-pretas", nota-se um aspecto bastante problemático à medida que, contemporaneamente, eles são utilizados para definir perfis pessoais, profissionais, de consumo e de crédito ou dos aspectos da personalidade da pessoa natural, aliás, expressões essas que constam na Lei Geral de Proteção de Dados (lei 13.709/2018). Porque alguns algoritmos possuem vieses discriminatórios Em primeiro lugar, é válido comentar a compreensão acerca do fenômeno do enviesamento, que se entende pela discriminação baseada no tratamento automatizado de dados pessoais, em outros dizeres, o processo de tomada de decisão por algoritmos que resulta em tratamento injusto para os afetados. Em sentido semelhante, Alex Winetzki, diretor de pesquisa e desenvolvimento (P&D) da Stefanini pontua que "A inteligência artificial é reflexo da visão de mundo do homem, o algoritmo não conhece o argumento moral. [...] Se os dados são de baixa qualidade, o resultado também será ruim." (NOOMIS, 2020, online). A partir disso, o aprendizado de máquina (machine learning) é um ramo da inteligência artificial que envolve o aprendizado a partir de dados, a captação de padrões e a automatização de decisões (SILVA, 2021). Ao invés de elaboradores desenvolverem códigos enormes e rotinas com instruções específicas para que a máquina realize determinadas tarefas e consiga resultados, no aprendizado de máquina, treina-se o algoritmo para que ele possa aprender por conta própria, e até mesmo conseguir resultados que os desenvolvedores nem poderiam imaginar. Nesse treinamento, há a necessidade de quantidades exacerbadas de dados que precisam ser fornecidos aos algoritmos permitindo que eles se ajustem e melhorem cada vez mais seus resultados. Nessa linha, nasce o conceito de discriminação algorítmica, esse fenômeno entende-se pelo enviesamento baseado no tratamento e na tomada de decisões a partir de dados pessoais. Ou seja, o processo de tomada de decisão por algoritmos que resulta em um tratamento injusto para os afetados. Outrossim, de acordo com Gustavo Babo (2020, online): "A intenção dos algoritmos é, na maioria das vezes, tomar decisões sobre o futuro baseados em estatísticas do passado, realizando a predição de uma situação." Esse comportamento é problemático à medida que utilizar dados antigos faz com que os algoritmos reproduzam cenários que podem não condizer com a realidade vivenciada no momento do desenvolvimento e da utilização do sistema. Podendo assim, reproduzir preconceitos institucionalizados historicamente pela sociedade. Essa é a forma de viés mais comum nos algoritmos de inteligência artificial. (BABO, 2020). Dados históricos utilizados pelo sistema ampliam os vieses existentes na sociedade reproduzindo preconceitos nas decisões autônomas realizadas por um algoritmo teoricamente neutro. E isso ocorre porque as aplicações de inteligência artificial, mediante as técnicas de machine learning e de deep learning, utilizam padrões estatísticos na vasta quantidade de dados que recebem para sua tomada de decisão. Karen Hao (2019, online) em uma publicação no blog MIT Technology Review, afirma que: Como vimos antes, os algoritmos de aprendizado de máquina usam estatísticas para encontrar padrões nos dados. Portanto, se você fornecer dados históricos de crimes, ele selecionará os padrões associados a crime. Mas esses padrões são correlações estatísticas - nem de longe o mesmo que as causas. Se um algoritmo descobriu, por exemplo, que a baixa renda está correlacionada com a alta reincidência, não ficaria claro se a baixa renda realmente causou o crime. Mas é exatamente isso que 39 as ferramentas de avaliação de risco fazem: transformam percepções correlativas em mecanismos de pontuação causal. Panorama jurídico em matéria de inteligência artificial A criação de normas jurídicas e a aplicação e interpretação do direito demandam do legislador tempos próprios de modo que não cedam a pulsões intempestivas e populistas, em certas vezes, que se façam sentir. Por essa razão, o espaço jurídico entra em desconserto com fenômenos de alta volatilidade. A tecnologia, e em particular a inteligência artificial, é exatamente um desses casos. A rapidez do processo de surgimento e esquecimento de certos eventos leva o Direito a vários níveis de dificuldade. A primeira dificuldade reconhecida é a descrição da matéria a ser regulada ao passo que o intérprete entenda genuinamente do que se trata aquele instrumento legislativo. Surge a questão de como normatizar uma realidade que é, ontologicamente, extrajurídica. Ou seja, como colocar em letra de lei o que é polimórfico, volátil e, muitas vezes, passageiro. De nada serve uma definição que não consegue expressar de modo adequado e transparente o que está a ser definido a seu público. É por isso importante a concreção de um equilíbrio entre a determinabilidade e a intemporalidade. Em segundo lugar, a hiperespecialização acadêmica leva a que os operadores judiciários, preparados quase exclusivamente para a tarefa de leitura de instrumentos normativos, não disponham da capacidade técnica de compreensão do horizonte material que cada um dos termos técnicos relacionados a essas tecnologias demandam. Esta circunstância, fomentada pela falta de aposta na multidisciplinaridade da formação profissional culmina na impossibilidade de apreciação autónoma do caso que necessite de ser qualificado juridicamente. Definições que, visando a resistir à temporalidade de algumas tecnologias, se resumem em redações terminológicas de um elevado grau de abstração, tal que, embora logrando o objetivo visado, falham no que é essencial: fornecer ao intérprete do direito um apoio hermenêutico útil. Com isso, a inteligência artificial e a robótica continuam a ser tópicos que não tem merecido a atenção devida, sendo descortinados apenas pequenos afloramentos normativos em textos legais dispersos. Impacto social causado por algoritmos enviesados Para iniciarmos essa conversa, é válido trazer o exemplo do caso Apple Card que elucida exatamente os problemas do uso de algoritmos de inteligência artificial treinados a partir de dados enviesados. O impasse aconteceu porque o sistema estabeleceu uma pontuação dos usuários (score) para a concessão de crédito no cartão, sendo que homens receberam um crédito maior do que mulheres. Portanto, o algoritmo apresentou um viés discriminatório quanto ao gênero. Em razão da da Lei chamada ECOA (Equal Credit Opportunity Act) dos EUA, publicada em 1976, tornou-se proibido solicitar informações quanto ao gênero nos formulários de abertura de pedido de crédito bancário, no entanto, tal fato fez com que o treinamento de máquina não soubesse distinguir o gênero dos usuários, logo, não foi possível corrigir discriminações existentes na sociedade. Esse exemplo é muito importante para compreendermos que na inteligência artificial, é necessário introduzir a discriminação para corrigí-la. O caso ilustrado demonstra como o fenômeno de discriminação algorítimica pode impactar a sociedade. O fato da tomada de decisão do algoritmo ter feito com que mulheres alcançassem um limite mais baixo de crédito pode afastá-las, por exemplo, de empreenderem para obter sua liberdade e independência financeira. Isso pode reafirmar a violência que mulheres sofrem diariamente na sociedade brasileira e impedi-las de alcançar os direitos garantidos pela Constituição Federal de 1988. Uma mulher, que não obtém acesso à concessão de crédito bancário, possui dificuldades para abrir o seu negócio. No caso de uma vítima de violência doméstica, por exemplo, a independência financeira seria crucial para que ela conseguisse encerrar o ciclo de violência. O artigo 3º da Lei 11.340/2006, também conhecida como Lei Maria da Penha dispõe que: Art. 3º Serão asseguradas às mulheres as condições para o exercício efetivo dos direitos à vida, à segurança, à saúde, à alimentação, à educação, à cultura, à moradia, ao acesso à justiça, ao esporte, ao lazer, ao trabalho, à cidadania, à liberdade, à dignidade, ao respeito e à convivência familiar e comunitária. § 1º O poder público desenvolverá políticas que visem garantir os direitos humanos das mulheres no âmbito das relações domésticas e familiares no sentido de resguardá-las de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão. § 2º Cabe à família, à sociedade e ao poder público criar as condições necessárias para o efetivo exercício dos direitos enunciados no caput. Com isso, reflete-se, portanto, o status normativo para abraçar a manifestação de práticas discriminatórias e como atinge diversas situações existenciais quando envolve o princípio da dignidade da pessoa humana. O Poder Legislativo concordou que essas situações são um reflexo da sociedade, não se pode permitir que fenômenos emergentes, como a inteligência artificial, tenham um início discriminatório e sejam considerados, em certas situações, um firmador de discriminações, embora este seja apenas um reflexo social treinado a partir de dados enviesados com a realidade cotidiana. A superveniência da Lei Geral de Proteção de Dados (LGPD) A superveniência da LGPD ocorreu após o caso da Cambridge Analytica. A coleta de dados de usuários para traçar perfis psicográficos sem autorização devida foram influenciadoras de debates políticos no mundo. A LGPD disciplinou sobre a operação realizada com dados pessoais no que se refere à coleta, à utilização, ao processamento e ao armazenamento e seus consequentes efeitos externos. A amplitude da lei inseriu a percepção de dados pessoais, incluindo registros sobre raça, opiniões políticas, crenças, dados de saúde, etc. Dentro desse contexto, foi fomentado no âmbito brasileiro a proteção de dados pessoais em direito positivado de fato a partir de legislação infraconstitucional em sua máxima eficácia. A esfera da articulação em consonância com a estrutura constitucional vigente estabelece parâmetros sobre a utilização de dados pessoais, tanto para os diversos segmentos sociais e econômicos como para entes governamentais. (MAGRINI, 2019, p.94) A consolidação em legislações, padrões, normas e boas práticas na estrutura evolutiva das tecnologias de informação acompanham o desenvolvimento da inovação que a princípio não deve ser restringido para não afetar o desempenho, coexistindo com o campo jurídico para correlacionar soluções para a convivência e conveniência lícita das novas ferramentas (FERNANDES; GOLDIM, 2022). Conclusão Diante do que fora exposto, pode-se afirmar que a discriminação algoritmica necessita de regulamentação jurídica, sendo encessário disciplinar os fenômenos emergentes das novas tecnologias. O enviesamento é decorrente das desigualdades sociais, no entanto, deve-se evitar o fortalecimento e a reprodução das mesmas. Assim, é preciso verificar qual é a melhor forma de legislar sobre o assunto e é relevante notar que é preciso saber identificar as diferenças na sociedade para introduzi-las no aprendizado de máquinas destinadas à automatização das decisões. Consequentemente, o desafio para os próximos anos é elevado, mas é necessário para que não sejam perpetuadas as discriminações existentes no País. Referências BABO, Gustavo Schainberg S.. Discriminação Algorítmica: Origens, Conceitos e Perspectivas Regulatórias. 2020. Disponível aqui. Acesso em: 10 out. 2022. FERNANDES, Márcia Santana; GOLDIM, José Roberto. Brasil e a Inteligência Artificial na área da saúde - Parte I. Migalhas de Proteção de dados, 2022. Disponível aqui. Acesso em: 01 nov. 2022. HAO, Karen. MIT Technology Review. AI is sending people to jail-and getting it wrong. 2019. Disponível aqui. Acesso em: 18 out. 2022. MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. 2. ed. Porto Alegre. Arquipélago Editorial, 2019. NOOMIS. Treine bem seus algoritmos para evitar decisões tendenciosas. 2020. Disponível aqui. Acesso em: 18 out. 2022. NOVAIS, Paulo; FREITAS, Pedro Miguel. Inteligência artificial e regulação de algoritmos. Diálogos, 2018. Disponível aqui. Acesso em 14 de out. de 2022. SETO, Kenzo Soares. Algoritmos da Opressão: a crítica de Safiya Umoja Noble aos efeitos sociais dos vieses algorítmicos. Lugar Comum-Estudos de mídia, cultura e democracia, n. 63, p. 217-221. SHIPPERS, Laurianne-Marie. Algoritmos que discriminam: uma análise jurídica da discriminação no âmbito das decisões automatizadas e seus mitigadores. Monografia - Escola de Direito de São Paulo, Fundação Getúlio Vargas. São Paulo, 57 p. 2018. Disponível aqui. Acesso em: 18 out 2022. SILVA, Júlia Leal. Tomada de decisão automatizada e controle pela LGPD. Instituto Avançado de Proteção de Dados (IAPD), 2021. Disponível aqui. Acesso em: 01 nov. 2022. sexta-feira, 28 de outubro de 2022 Comentar Introdução A inteligência artificial (IA), tal como recentemente definida pela Comissão Europeia caracteriza-se por ser um campo da ciência computacional que estuda o "comportamento inteligente" e "agentes inteligentes" que possam exibir tais comportamentos. Os sistemas podem exibir comportamento inteligente por meio da análise do seu ambiente e da tomada de decisões - com algum grau de autonomia - para atingir objetivos específicos. A IA já está a ser utilizada em muitas áreas, incluindo os cuidados de saúde, entre eles a IA pode ser aplicada na detecção e diagnóstico precoce, tratamento, previsão de resultados, avaliação de prognóstico, etc.1-2 Igualmente, os documentos europeus referidos, apresentam que a AI poderá, caso os riscos sejam gerenciados adequadamente, auxiliar, por meio de análise de grandes quantidades de dados, no encontro de soluções ou melhoramentos de técnicas existentes no setor de saúde e contribuir para a acessibilidade, resiliência e sustentabilidade dos sistemas de saúde, oportunizando vantagem competitiva para os setores de TIC e saúde. A inteligência artificial (AI) e a robótica, suas potencialidades de uso e, na mesma proporção, os desafios jurídicos, éticos e sociais por ela impostos devem ser compreendidos em um contexto complexo na área da saúde, como em muitas áreas da sociedade.3 A complexidade, no sentido proposto por Edgar Morin, isso é: A aversão ao maniqueísmo - do bem ou do mal - mas sim é compreender que a complexidade não é tudo, não é a totalidade do real, mas é o que melhor pode, ao mesmo tempo se abrir ao inteligível e revelar o inexplicável.4 A incerteza e a ambiguidade - características que traduzem o momento que vivemos - a chamada 4ª Revolução - são pressupostos reconhecidos. Portanto, a AI não pode ser tratada em uma percepção dicotômica - do bem ou do mal - mais sim como uma realidade a ser observada e refletida. E na mesma proporção, a Inteligência Artificial (IA) impõe uma avaliação dos riscos e oportunidades associados à sua incorporação na vida e no viver dos seres humanos. Luciano Floridi5, em sentido amplo, menciona que os impactos da AI afetam os seres humanos, em sua esfera individual, coletiva e social. A AI é uma realidade, portanto alguns pressupostos devem ser postos: 1- O uso da AI ou outras formas de TICs deve observar a proteção dos direitos fundamentais, Direito Humanos e direitos da personalidade, pautados pelos princípios constitucionais e de Direito Civil - entre eles o princípio da boa-fé e da boa-fé objetiva - que têm sua base no princípio da confiança; 2- A importância da proteção dos dados e informações pessoais, considerando os 13 princípios da Lei Geral de Proteção de Dados - Lei 13.709/2018; - que pauta seus princípios na dignidade da pessoa humana e no princípio da boa-fé (postos em seu artigo 6º). 3- A necessária percepção da complexidade - para manter o equilíbrio entre o desenvolvimento e o acesso às tecnologias e o controle e a vigilância do Estado, o princípio da transparência deve estar conjugado ao princípio da autodeterminação informativa. 4- Morley, Cowls, Taddeo e Floridi propõem que TICs, os aplicativos de rastreamento e com a utilização de AI, entre outros atendam a princípios éticos e critérios específicos para atingir o que eles denominam de "aplicativos éticos".6 5- O uso da AI deve estar em pleno equilíbrio com direito ao acesso à informação e a finalidade deve ser robusta. Os processos de tomada de decisão, particularmente na área da saúde, baseiam-se na confiança e na relação de confiança - que são necessariamente identificadas com todos os envolvidos nesta relação. As relações ocorrem em todas as esferas, públicas e privadas. Os critérios prévios para o estabelecimento da base de confiança, em situações que envolvam AI, não são diferentes na área da saúde, pelo contrário, devem ser intensificados, pois devem ser compostos por mecanismos concretos para informar, dar conta da utilização, motivação, processo e transparência dos critérios utilizados na tomada de decisões. Portanto, a utilização de sistemas que incluem Inteligência Artificial (IA) impõe uma avaliação dos riscos e benefícios associados à sua incorporação na área da saúde. Os diferentes tipos de IA apresentam múltiplos desafios éticos, legais e sociais. 1- Princípio da confiança Sem dúvida, cuidados de saúde; investigação envolvendo seres humanos ou concepção de políticas públicas - dados e informação são centrais. Por sua vez, a utilização de IA neste cenário depende e requer os dados e informações gastos em registos de saúde electrónicos (EHR). Por conseguinte, o tratamento dos dados e informações de saúde, dados sensíveis, deve basear-se no princípio da confiança.7 O princípio da confiança na área da saúde deve ser o alicerce, o ponto de equilíbrio e este deve ser compreendido na perspectiva ética, jurídica e de os próprios sistemas de AI. Na perspectiva ética, a confiança é elemento central nas relações humanas, sejam elas interpessoais ou dos indivíduos com o Estado, envolvendo a confiança nas instituições e nos seus representantes. Entretanto, esse "estado de confiança" não se apresenta meramente com listas de informações ou explicações ou na divulgação de dados e informações, mas deve ser sustentado sobre uma narrativa inteligível, nós diríamos finalidades justificáveis e motivadas.8 A narrativa inteligível deve ser combinada, conforme Onora O'Neill, com uma comunicação genuína em dois sentidos, 1) no sentido de fornecer oportunidades para a verificação e contestação e 2) no sentido de possibilitar e dar condições para uma posição do titular, tanto para manter, modificar ou recusar a narrativa9. A narrativa inteligível, por exemplo, para o uso de AI na assistência à saúde deve declarar o modo, os critérios e as ferramentas utilizadas; deve haver clareza na informação de como dados e informações em saúde serão tratados. Em qualquer situação, deve ser dando a conhecer os critérios de pré-seleção - pois, sabemos que a seleção em si pode direcionar a informação e negligenciar uma comunicação genuína, com "audiências reais"10 - portanto aqui o princípio da transparência, dos critérios algorítmicos, por exemplo, deve ser a referência para o exercício do controle pelo titular, excepcionadas as situações de interesse público e segurança pública, quando motivados. Por sua vez, na perspectiva jurídica, como leciona Judith Martins-Costa, o princípio da confiança, está na base das relações jurídicas, sejam de direito público ou privado11. O princípio da proteção da confiança apresenta-se na dimensão individual, ou na vertente subjetivada da segurança jurídica. Esse princípio depende do exercício da confiança, com indicação concreta da quebra das expectativas de direito ou com a evidência clara dos requisitos necessários à sua demonstração portanto uma tríade - base da confiança, exercício da confiança e frustação da confiança12. E o princípio da confiança nos sistemas de AI devem estar relacionados diretamente com as características dos sistemas, em particular, de instrumentos, máquinas, equipamentos, programas de computador, entre outros, que sejam utilizados para tratar dados sensíveis de saúde. Além de considerar, outras características, tais como o conhecimento por quem utiliza da operabilidade e a capacidade dos sistemas serem auditáveis e interoperacionáveis. A área da saúde: sistema de AI e recomendações internacionais Os sistemas de IA foram incorporados na área da saúde em múltiplas perspectivas, vejamos alguns exemplos: a) estão integrados em tecnologias de imagem e tratamento de sinais; b) estão presentes na área de comunicação para realizar interações de bases de dados robustas e big data; c) potencializam o acesso de dados e informações, em especial facilitados pelas redes de computadores (internet), por tecnologias como 4G e 5G e pelo acesso de dados e informações processados por satélites potentes e d) estão incorporados nas áreas de planejamento, conhecimento e raciocínio, associando-se diretamente ao processo de tomada de decisão. A área da saúde a utilização de AI pode auxiliar, subsidiar, complementar processos de tomada de decisão na assistência em saúde, pesquisa com seres humanos e desenho de políticas públicas em saúde. No entanto, é fundamental considerar neste contexto o tipo e o grau de automação associados, assim como o adequado entendimento do caráter obrigatório, recomendado ou permitido associado à utilização dos sistemas de IA. O desafio, em particular na área da saúde, é manter o equilíbrio e preservação as características de humanidade presentes no ato de decidir, levando em conta os aspectos éticos, legais e sociais. Neste contexto, os diferentes tipos de IA apresentam múltiplos desafios éticos, legais e sociais no mundo, tal como assinalado pela OCDE. Contudo, a diversidade e vulnerabilidade da cobertura social, económica e de acesso a cobertura universal da saúde (UHC) que existe na América do Sul, em particular, torna mais complexa a análise das tecnologias de saúde impulsionadas pela IA.13 A norma a cumprir em termos de acesso à saúde são os Objetivos de Desenvolvimento Sustentável (ODS) da ONU, que, até 2030, um Estado membro deve garantir: 1) o acesso aos serviços de saúde para todas as pessoas que necessitam de saúde, independentemente das características socioeconómicas, localização, riqueza ou qualquer outra vulnerabilidade; 2) a proteção financeira, ou seja todas as pessoas devem estar a salvo de riscos financeiros ao incorrerem em despesas de saúde; 3) acesso à qualidade dos serviços de saúde, ou seja, os cuidados de saúde têm de ser eficazes na prestação de cuidados e na melhoria dos resultados, ao mesmo tempo que são rentáveis e sustentáveis, porque o acesso sem qualidade pode ser considerado uma promessa vazia de cobertura de saúde universal.14 O Estudo sobre a Interoperabilidade da Saúde, por exemplo, é uma preocupação internacional. A Interoperabilidade da Saúde em Linha dos Dados de Saúde e Inteligência Artificial para a Saúde e Cuidados na União Europeia - Relatório Final Study salienta que a falta de confiança no apoio à decisão orientada para a IA está a impedir uma adoção mais ampla na saúde, e também a integração de novas tecnologias na prática clínica atual; a investigação e a medicina pessoal. Portanto, são desafios legais, éticos e sociais amplificados pela necessária internacionalização da área da saúde e pelos desafios do compartilhamento de dados e informações a fim de alcançar a saúde global, como proposta da ODS da ONU.15 Há recomendações sendo elaboradas por muitos países e organizações, destacando a recomendação proposta pela Comissão Europeia, em 2020, no White Paper sobre Inteligência Artificial - Uma abordagem europeia à excelência e confiança, com o objetivo de estabelecer as vias políticas para procurar o uso adequado da IA. Neste documento, a Comissão recomenda o estabelecimento de normas e orientações para o investimento na área da IA, visando dois objetivos centrais: a) promover a adoção da IA e b) abordar os riscos associados a certas utilizações desta nova tecnologia.16 A Comissão Europeia também criou um Grupo de Peritos de Alto Nível, que publicou, em abril de 2019, as Diretrizes sobre IA de confiança, compostas por sete requisitos-chave: 1) respeito pela dignidade da pessoa humana; 2) sistemas técnicos e de segurança sólidos; 3) gestão da privacidade e dos dados; 4) transparência; 5) respeito pela diversidade, não discriminação e equidade; 6) bem-estar social e ambiental e 7) responsabilidade. Por sua vez, o Governo norte-americano, em outubro de 2022, lançou um relatório, contendo um plano de ação e pressupostos, para a utilização de IA em diversas áreas: BluePrint for AI Bill of Rights - Making automated systems work for the american people Este documento é um chamado para a população discutir, refletir e debater sobre a questão da adequação de IA. Os pressupostos lançados no relatório são: 1) sistemas seguros e efetivos; 2) proteção contra a discriminação algorítmica; 3) proteção à privacidade e aos dados pessoais; 4) igualdade de acesso, oportunidades e direitos e 5) reação com as normas e políticas já em vigor. Este relatório também ressalta algumas áreas nas quais o uso de AI pode ser sensíveis - sensitive domains. Destacamos, em particular, as discussões promovidas, pelo Painel 6, referente aos sistemas de saúde, sobre a perpetuação ou intensificação de discriminações raciais, pelo uso da AI, em prejuízo ao acesso de tecnologias em saúde.17 AI na área da saúde - no Brasil O Brasil tem o maior sistema público de saúde do mundo, o Sistema Único de Saúde (SUS), que tem como princípio basilar o acesso universal - cobertura universal de saúde a nacionais e estrangeiros. O SUS atende mais de 214 milhões de pessoas, das quais 80% dependem exclusivamente dos atendimentos públicos. É indiscutível e notório que o SUS é uma conquista do povo brasileiro, que é garantida pela Constituição Federal de 1988, no artigo 196, e pela Lei n.º 8.080/1990. A estrutura do SUS deve ser garantida e melhorada constantemente. Entretanto, os desafios, neste contexto, ficam amplificados, pois é reconhecido que em algumas partes do país o acesso à saúde, às tecnologias de saúde e sanitárias são restritas e precárias.18 Neste contexto, a pergunta central deve ser: Como sistemas de AI podem aplacar diferenças e contrastes no acesso a tecnologias de saúde Brasil? Esta pergunta não é de fácil ou de rápida resposta, deve considerar acessibilidade de sistema de internet ou pondo de outra forma; interoperabilidade; conhecimento aplicado de quem opera estes sistemas, equipamentos e sistemas seguros, finalidades adequadas e análise de risco; por isso a resposta não será desenvolvida neste texto, mas em um próximo com foco específico. Entretanto, o Brasil está a reboque, no que concerne as discussões públicas, no âmbito dos poderes executivo e legislativo sobre o tema. E o Conselho Federal de Medicina ainda está mais defasado nestes reflexões. A falta de análise é evidente em comparação com às discussões internacionais, ocorridas na União Europeia e Estados Unidos da América. O Projeto de Lei 21 de 2020, em tramite no Congresso Nacional, aprovado na Câmara dos Deputados19, que estabelece fundamentos, princípios e diretrizes para o desenvolvimento e a aplicação da inteligência artificial no Brasil, nos seus 10 artigos, não prevê norma e ignora peculiaridades na utilização da AI na área da saúde, mesmo tendo o país o maior sistema público de saúde do mundo. Esperamos que a Comissão de juristas, instalada para analisar três Projetos de Lei (PL) sobre inteligência artificial, em discussão no Senado Federal, PL 5.051/2019; PL 872/2021 e PL21/2020, possa oferecer texto suplementar para aprimorar o texto legal, e no caso do uso da AI na área da saúde, possa considerar a sua importância, peculiaridade, complexidade e alcance. Considerações Finais A inteligência artificial (AI) e a robótica devem ser contempladas como ferramentas positivas na área da saúde, principalmente para aplacar desigualdades regionais e econômicas, melhor prover a assistência a saúde; auxiliar na determinação de políticas públicas nesta área e promover inovação na assistência e na pesquisa em saúde. Entretanto, na mesma proporção que as potencialidades de uso, crescem os desafios jurídicos, éticos e sociais por elas impostos, devendo estes serem compreendidos em um contexto complexo na qual está envolta a área da saúde. Neste sentido, a fim de atender aos Objetivos de Desenvolvimento Sustentável (ODS) da ONU e aos mandamentos constitucionais de acesso universal a saúde, estudos aprofundados devem ser realizados na gestão e na academia para colaborar nas discussões internacionais sobre os reais desafios do uso adequado da IA na área da saúde. __________ 1 EUROPEAN PARLAMENT. P9_TA(2022)0140 Artificial intelligence in a digital age European Parliament resolution of 3 May 2022 on artificial intelligence in a digital age (2020/2266(INI)). chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.europarl.europa.eu/doceo/document/TA-9-2022-0140_EN.pdf 2 EUROPEAN COMISSION. PwC. Study on eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the European Union Lot 2: Artificial Intelligence for health and care in the EU Final Study Report, 2021. DF ISBN 978-92-76-40310-4 doi: 10.2759/506595 Catalogue number: KK-05-21-225-EN-N 3 FERNANDES, Márcia e GOLDIM, José Roberto. Artificial Intelligence and Decision Making in Health: risks and opportunities; in Artificial Intelligence, Law and Beyond; Edited by Antunes, Henrique Sousa; Oliveira, Arlindo. Editora Spring. No prelo, previsão de lançamento 2022/2023. 4 MORIN (Meus demônios. Rio de Janeiro: Bertrand Brasil, 1997, pp.265-266. 5 FLORIDI, Luciano. Group privacy: a defence and an interpretation. In: FLORIDI, Luciano TAYLOR, Linnet; VAN DER SLOOT, Bart (Eds.). Group privacy: new challenges of data technologies. New York: Springer International Publishing, 2017, pp. 83-100; FLORIDI, Luciano. The ethics of information. Oxford: Oxford University Press, 2013. 6 MORLEY, Jessica; COWLS, Josh; TADDEO, Mariarosario e FLORIDI, Luciano. Ethical guidelines for COVID-19 tracing apps. Comment, 28 May 2020, aqui. 7 FERNANDES, Márcia Santana. Prontuário eletrônico e a lei geral de proteção de dados. Migalhas, 12 de fevereiro de 2021. 8 O'NEILL, Onora. Accountability, trust and informed consent in medical practice and research. Clinical Medicine, Vol. 4, no 3, May/June,2004. 9 O'NEILL, Onora. Accountability, trust and informed consent in medical practice and research. Clinical Medicine, Vol. 4, no 3, May/June,2004. 10 O'NEILL, Onora. Accountability, trust and informed consent in medical practice and research. Clinical Medicine, Vol. 4, no 3, May/June,2004. 11 MARTINS-COSTA. Judith. A proteção da legítima Confiança nas Relações Obrigacionais entre a Administração e os Particulares. Revista da Faculdade de Direito da Universidade Federal do Rio Grande do Sul, UFRGS, Porto Alegre, n.22, pp.228-255, 2002. 12 ÁVILA, Humberto. Segurança Jurídica. Entre permanência, mudança e realização no Direito Tributário. Pags. 364; 365; São Paulo: Editora Malheiros, 2011. 13 OECD. Recommendation of the Council Artificial Intelligence on OECD Legal Instruments, 2021. OECD Legal Instruments. 14 OECD/The World Bank (2020), Health at a Glance: Latin America and the Caribbean 2020, OECD Publishing, Paris. 15 FERNANDES, Márcia e GOLDIM, José Roberto. Artificial Intelligence and Decision Making in Health: risks and opportunities; in Artificial Intelligence, Law and Beyond; Edited by Antunes, Henrique Sousa; Oliveira, Arlindo. Editora Spring. No prelo, previsão de lançamento 2022/2023. 16 EUROPEAN COMISSION. White Paper on Artificial Intelligence - A European approach to excellence and trust. Brussels, 2020. chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf 17 THE WHITE HOUSE, American Government. BluePrint for AI Bill of Rights - Making automated systems work for the american people. October 2022. 18 ALBUQUERQUE, Mariana Vercesi de; VIANA, Ana Luiza d'Ávila; LIMA, Luciana Dias de, et.al. Desigualdades regionais na saúde: mudanças observadas no Brasil de 2000 a 2016. Ciência & Saúde Coletiva, 22(4):1055-1064, 2017. DOI. 19 BRASIL, Câmara dos Deputados . Acompanhe o tramite processual no link aqui. sexta-feira, 21 de outubro de 2022 Comentar A Lei Geral de Proteção de Dados Pessoais - Lei 13.709, de 14 de agosto de 2018, a seguir simplesmente "LGPD", já nasceu parcialmente vetada, notadamente na parte que tratava da Autoridade Nacional de Proteção de Dados - ANPD. No dia 28 de dezembro do mesmo ano foi editada a Medida Provisória 869, alterando então a LGPD e, dentre outros, criando a Autoridade Nacional de Proteção de Dados, naquele momento vinculada à Presidência da República. O texto inicialmente proposto pela MP869 previa, por exemplo, a alteração do inciso VIII do artigo 5º, permitindo que o encarregado, em inglês denominado Data Protection Officer - DPO, fosse simplesmente "pessoa" indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Ou seja, abriu-se o leque de possibilidade não só para pessoas naturais, para também para que pessoas jurídicas pudessem prestar serviços de encarregado, prática corriqueira no Brasil e no mundo, inclusive reconhecida e autorizada pela ANPD1. Durante sua tramitação em regime de urgência no Congresso Nacional, a MP869, que ocupava meia página do Diário Oficial, recebeu nada menos que 176 (cento e setenta e seis) emendas2. Recebida pelo Presidente da República, houve diversos vetos ao texto do legislativo, dando origem à lei 13.853, de 2019 que por sua vez alterou diversos artigos da LGPD quando promulgada no ano anterior. Dentre as alterações promovidas pela lei 13.853/19, destacamos o veto ao § 4º do artigo 41, que originalmente continha a seguinte redação: "§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará: I - os casos em que o operador deverá indicar encarregado; II - a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico; III - a garantia da autonomia técnica e profissional no exercício do cargo." Resumidamente, não fosse o veto presidencial, a LGPD exigia do encarregado 1) conhecimento jurídico-regulatório; 2) ser apto a prestar serviços especializados em proteção de dados; 3) garantia da autonomia técnica e profissional. Os requisitos e prerrogativas do finado § 4º do artigo 41 se alinhavam às recomendações doutrinárias3 e às melhores práticas nacionais e internacionais, a exemplo do item 6.3.1.1 da norma ABNT NBR ISO/IEC 27701:2019 , onde afirma-se que o encarregado deve ser independente e ter liberdade para reportar ao nível gerencial apropriado para assegurar a efetiva gestão de riscos de privacidade. Encontra respaldo ainda no disposto no Regulamento Geral sobre a Proteção de Dados 2016/679 - GDPR - em seus artigos 38 e 39. A própria ANPD orienta4 como boa prática a garantia de 1) liberdade encarregado na realização de suas atribuições; 2) recursos adequados para realizar suas atividades, tais como recursos humanos, prazos apropriados, finanças e infraestrutura; e por fim 3) conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização. Na mensagem 288 de 8 julho de 2019, o chefe do Executivo Federal justificou da seguinte maneira as razões de seu veto ao § 4º do artigo 41: "O Ministério da Economia e a Controladoria-Geral da União, solicitaram ainda, veto ao dispositivo a seguir transcrito: § 4º do art. 41 da Lei nº 13.709, de 14 de agosto de 2018, alterado pelo art. 2º do projeto de lei de conversão. A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial." Sem sequer entrar no mérito sobre a polêmica fundamentação formulada pelo Ministério da Economia e a Controladoria-Geral da União, que culminou na morte do § 4º do art. 41, chamamos atenção para um ato administrativo praticado pelo mesmo órgão - Ministério da Economia - do mesmo Governo: Instrução Normativa SGD/ME 117, de 19 de novembro de 2020. O ato Ministerial, que dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional traz as seguintes previsões em seus artigos 1º.e 3º: Art. 1º A autoridade máxima do órgão ou da entidade da administração pública federal direta, autárquica e fundacional deverá indicar Encarregado pelo Tratamento dos Dados Pessoais, nos termos do disposto no inciso III do art. 23 e no art. 41 da Lei nº 13.709, de 14 de agosto de 2018. § 1º O Encarregado pelo Tratamento dos Dados Pessoais indicado: I - deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e II - não deverá se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade. (...) Art. 3º A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado pelo Tratamento dos Dados Pessoais: I - acesso direto à alta administração; II - pronto apoio das unidades administrativas no atendimento das solicitações de informações; e III - contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, de acordo com os conhecimentos elencados no inciso I do § 1º do art. 1º e observada a disponibilidade orçamentária e financeira do órgão ou entidade. Mesmo que restrita ao âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, estarrece a constatação de que o veto presidencial foi ressuscitado pelo mesmo Ministério que pediu - e ganhou - o aniquilamento da regra da LGPD exigia do encarregado 1) conhecimento jurídico-regulatório; 2) ser apto a prestar serviços especializados em proteção de dados; 3) garantia da autonomia técnica e profissional. E mais, a Instrução Normativa ainda foi mais eloquente, exigindo conhecimentos em gestão de riscos (art. 1º § 1º, I) algo não previsto expressamente no texto revogado. O mesmo se conclui pela exigência de acesso direto à alta administração (art. 3º, I). Considerando que ainda nos encontramos em um primeiro movimento de amadurecimento e desenvolvimento de uma cultura de proteção de dados no país, a existência de "sinais trocados" e contradições em normas - ainda que setoriais - leva à uma desnecessária confusão no que diz respeito às qualidades requeridas ou exigíveis de um encarregado de dados. Mais um trabalho interpretativo para a ANPD. ______________ 1 "A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo." Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Abril/2022. Par. 74. p. 23. 2 Disponível em https://legis.senado.leg.br/sdleg-getter/documento?dm=7915984&ts=1630433096209&disposition=inline . Acesso em 30 set. 20222 3 "É altamente recomendável que o Encarregado tenha comprovado conhecimento jurídico específico sobre proteção de dados, bem como noções sobre o funcionamento da tecnologia utilizada pelo controlador, exigência expressa na GDPR. Seria de suma importância que a ANPD regulamentasse requisitos mínimos o quanto antes, na forma do Artigo 41, § 3º da LGPD, visando evitar dúvidas e questionamentos neste sentido." GOMES, Rodrigo Dias de Pinho. Encarregado pelo tratamento de dados pessoais na LGPD. Disponível aqui . Acesso em 22/09/2022. 4 Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Abril/2022. Par. 75 e 76. p. 23. ______________ Caitlin Mulholland é professora do Departamento de Direito da PUC-Rio. Associada do IBERC. Coordenadora do Grupo de Pesquisa DROIT - Direito e Novas Tecnologias. Doutora em Direito Civil pela UERJ. Rodrigo Dias de Pinho Gomes é professor e advogado. Doutorando e mestre em Direito Civil pela UERJ. Coordenador de Direito e Tecnologia da Escola Superior de Advocacia da OAB/RJ. Atua como consultor e DPO externo em diversas empresas. sexta-feira, 14 de outubro de 2022 Comentar A criptografia sempre aparece como uma alternativa para a proteção de dados pessoais e há controvérsias para esta aplicação. Recentemente vimos surgir um novo tipo de criptografia que permite trabalhar com parte dos dados criptografados, ou seja, deixaria `aberto' os dados supostamente não utilizados para identificação pessoal. Veremos neste texto uma introdução à criptografia homomórfica. Preliminares Já adianto o que muitos estão pensando: "Mais um conceito novo que eu devo saber. Não bastassem os conceitos do mundo jurídico que evoluem todos os dias, agora tenho que assimilar esses da Computação!". Trago também um alívio: talvez não seja tanto complexo assim. Andiamo piano. Ao mesmo tempo em que vemos muitas violações na segurança de dados pessoais podemos observar que existem também muitas pesquisas em tecnologias para incrementar a privacidade de dados, as chamadas Privacy Enhancing Technologies (PETs)1, tais como: privacidade diferencial, computação confidencial com enclaves seguros, computação multi partidária segura (MPC), aprendizagem federada e criptografia, mais especificamente criptografia homomórfica. Neste tema de criptografia relacionada à proteção de dados e à LGPD destaco a leitura do artigo de Doneda e Machado2 como essencial para entender sob quais circunstâncias e extensões as diversas técnicas criptográficas poderiam ser vistas como técnicas de anonimização de dados, o que, no meu entender, raramente podem ser consideradas assim. Entretanto recentemente essa nova técnica criptográfica, a criptografia homomórfica, entrou no radar da Comissão Europeia de Proteção de Dados por meio de uma empresa de PETs questionando se esta técnica poderia ser adotada para a transferência de dados entre os países da UE3. Neste artigo pretendemos rever alguns conceitos fundamentais em criptografia de dados e comentar en passant, sob quais condições seria apropriado considerar ou não a criptografia homomórfica como uma técnica de anonimização de dados. Criptografia: conceitos básicos É o estudo ou o emprego de técnicas para comunicação segura quando suspeitamos de um comportamento adversário, ou seja, de alguém que queira interceptar e reconhecer a informação trocada. De maneira mais geral, a criptografia trata da construção e análise de protocolos que impedem que terceiros ou o público leiam mensagens privadas. Assim temos um texto a ser criptografado, também chamado de texto puro, que depois de empregada uma técnica criptográfica passa a ser chamado de texto cifrado. As técnicas clássicas de criptografia remetiam a dois tipos de mecanismos para encriptação do texto puro, que são: os códigos de transposição e os códigos de substituição. Vejamos um exemplo de criptografia de transposição aplicada ao texto 'migalhas de proteção': 'imaghlsa rptoçeoã'. E agora aplicando um código de substituição ao texto "migalhas de protecao": OKNJC UFGRT QVGECQ. No primeiro exemplo fica claro que a ordem dos caracteres no texto foi trocada, por exemplo, 'casa' foi criptografada para 'acas'. Já para o segundo exemplo substituímos uma letra para segunda letra em ordem alfabética em caixa alta, ou seja, passamos 'a' para 'C'. Além disso, todas as novas 'palavras' têm cinco letras. Deste modo podemos dizer que a 'chave' deste algoritmo é CDEFGHIJ...TUVXZ, ou seja, elencando as letras em ordem alfabética, substituímos cada uma com a letra da chave de acordo com sua posição nesta ordenação alfabética. No início da II Grande Guerra o emprego massivo de criptografia exigiu o uso de métodos mecânicos e eletrônicos para criptografar. Exemplos destas máquinas 'modernas' são bem retratadas no filme 'O jogo da imitação'. Este filme é baseado no romance de 'Alan Turing: the Enigma' de Andrew Hodges4 e retrata o período em que Alan Turing e sua equipe trabalham para desvendar os códigos secretos das máquinas criptográficas de substituição Enigma dos alemães. Esse tempo marca o início do emprego da computação na criptografia. O que tínhamos de mais moderno até 1976 era a criptografia da chave simétrica em que algoritmos sofisticados baseados em substituição e transposição funcionavam sob o emprego de chaves muito complexas. Entretanto, por mais complexo que fossem esses algoritmos e estas chaves, para se desvendar o texto puro, o original, havia a necessidade de se trocar a chave. Outro problema nasce: como trocar uma chave criptográfica. Uma grande evolução na criptografia ocorre em 1976 quando Whitfield Diffie e Martin Hellman propuseram a noção de criptografia de chave pública, também chamada de chave assimétrica5. Esse nome indica que existem, ao menos, duas chaves distintas: uma chave é chamada de 'chave pública' e a outra de 'chave privada'. A chave pública, como o nome sugere, pode ser distribuída livremente e é a chave que transforma o texto puro no texto cifrado. Já, para desvendar o texto puro, só a chave privada tem este poder. Mais um grande avanço: o algoritmo é único, todos podem usar o mesmo algoritmo, mas com a óbvia criação de pares de chaves pública-privada distintas para cada necessidade. Atualmente as assinaturas digitais são baseadas neste esquema criptográfico de chaves assimétricas. Além deste, diversas outras aplicações usam chaves assimétricas, tais como: Bitcoins e todas as demais moedas digitais, protocolos de Internet, WhatsApp, Telegram, os navegadores web, as comunicações entre aplicativos bancários e os bancos, além de todas as comunicações web nas quais o usuário percebe um ícone de cadeado antes da URL. Na prática No cotidiano destas aplicações que usam criptografia não existe um modelo único de transformação de um texto puro num texto cifrado, mesmo usando essa teoria de chaves assimétricas. Ou seja, falar em criptografia implica em perguntar 'Qual tipo de criptografia?'. Vamos tomar como exemplo o criptomodelo mais conhecido que é o RSA, um algoritmo criado por Ron Rivest, Adi Shamir e Leonard Adleman em 19776. Como outros modelos, o RSA é parametrizado, ou seja, o operador do modelo tem que especificar alguns parâmetros que irão guiar o funcionamento do algoritmo. Por exemplo, o princípio do RSA é construir chaves públicas e privadas utilizando números primos. Dependendo dos números primos que o usuário inserir mais complexas serão as chaves pública e privada e mais difícil será a reversão do texto cifrado para o texto puro. Quanto maiores forem os números mais seguro será o texto criptografado. Na prática geralmente as chaves são de 128 bits e de 256 bits. Além destes dois parâmetros, outros parâmetros internos do algoritmo podem ser alterados pois trabalham na resolução de equações matemáticas complexas. No artigo de Doneda e Machado [2] os autores comentam sobre a necessidade de considerar estes detalhes metodológicos antes de se considerar genericamente um texto criptografado como um texto que resguarda os dados pessoais. A ICO, Information Comissioners Office, uma entidade independente do Reino Unido, que obedece a GDPR e que, por sua vez, entende a criptografia como um meio de proteção de dados pessoais, também faz considerações deste mesmo tipo na aplicação destas técnicas assimétricas7. O Santo Graal da criptografia: A criptografia homomórfica (HE) Será mesmo que precisamos descriptografar um texto cifrado para ter acesso à alguns de seus dados? Por exemplo, considere uma aplicação de votação. Existe uma máquina que lê nossa carteira de identidade digital para nos identificar como eleitores, registramos nosso voto na urna eletrônica e ambas as informações são criptografadas com a minha chave pública também armazenada na minha carteira de identidade digital. Usando a HE seria possível identificar em quem eu votei sem revelar a minha identidade. Bingo! A criptografia homomórfica surgiu como o Santo Graal da criptografia8. Ela promete que podemos extrair dados selecionados de textos criptografados, ou seja, podemos deixar alguns dados `acessíveis' e outros trancados. E como isso funciona? Será que devo saber? Penso que sim para diferenciar os que já ouviram dizer dos que já leram a respeito. HE: como funciona Lembram que a criptografia é realizada por meio de cálculos de funções matemáticas. Pense numa função bem simples que soma 10 em qualquer número natural. Assim, aplicando essa função, por exemplo, aos números 0, 1, 2, 3... teremos 10, 11, 12, 13... ou seja, todos os números foram transladados para valores maiores ou iguais a 10. Se antes esses números `viviam' num espaço (0, 1, 2,...) agora eles 'vivem' num outro espaço. Isomorfismo significa `mesma forma'. Na Matemática, o termo "homomórfico" descreve uma correspondência entre elementos de dois sistemas algébricos. Lembre-se, uma função pode levar um sistema para outro, um espaço para outro. Na criptografia homomórfica existe um homomorfismo entre as operações no texto puro e as operações no texto cifrado. Os autores do RSA já haviam pensado nesta ideia de implementar um esquema de criptografia totalmente homomórfico em 1978, mas foi só em 2009 que Craig Gentry, na sua tese de doutoramento em Stanford, desenvolveu o primeiro esquema de criptografia totalmente homomórfico. A criptografia homomórfica é um modelo de criptografia pública. Uma chave pública é usada para criptografar dados que só podem ser descriptografados com a chave privada correspondente. Enquanto a chave pública é usada para criptografia e pode ser compartilhada, a chave privada é usada para descriptografia e deve ser mantida em segredo. Sem a chave privada, os dados criptografados podem ser trabalhados, mas não descriptografados. No entanto, a HE guarda algumas características mais sofisticadas. Por exemplo, um texto simples de criptografia homomórfica pode ser criptografado usando várias chaves num mecanismo de compartilhamento secreto, de modo que apenas as partes que conhecem todas as chaves podem descriptografar um texto cifrado. Soma-se a esta lista a possibilidade de apenas duas operações com HE, a soma (e sua contrapartida subtração) e a multiplicação. Outras operações são necessárias no cotidiano das aplicações sobre dados pessoais. Tecnicamente hoje são possíveis apenas duas operações homomórficas usando HE, a adição e a multiplicação. Quando uma HE permite apenas uma operação é chamada Criptografia Homomórfica Parcial (PHE) e quando permite as duas é chamada Criptografia Homomórfica Total (FHE do inglês Fully Homomorphic Encryption). HE é a solução? Por enquanto, segundo a literatura internacional, receio que não. Embora a HE ofereça um novo patamar para a aplicação segmentada da criptografia, a HE é vulnerável a diversos tipos de ataques. Um dos motivos, como colocado acima, é porque não existe uma padronização segura na implementação dos algoritmos de HE. Alguns tipos de ataques, chamados ataques passivos já conseguiram recuperar ambas as chaves de uma HE. Por exemplo, o WPA2 é tido como o protocolo mais seguro de acesso à redes wi-fi. Muito provavelmente você deve estar utilizando este protocolo na sua casa. Internamente o WPA2 pode utilizar o modelo de criptografia AES, Advanced Encryption Standard, que é um protocolo de criptografia padronizado nos EUA desde 2001. Essa padronização ainda não ocorreu com a HE. Essa falta de padrão pode comprometer e muito a sua utilização. Essa falta de padronização foi o requisito que barrou o uso da HE para transações de dados entre os países da UE [3]. Além deste obstáculo, a HE ainda tem que atravessar outras barreiras. A HE não é totalmente à prova de adulteração. Como a criptografia homomórfica envolve a criação de uma chave de descriptografia, a existência dessa chave no modelo cria um risco de segurança. Outra: o desempenho computacional destes algoritmos de HE é muito baixo dada sua complexidade, ou seja, são computacionalmente muito custosos, ou ainda, são lentos. A IBM diz oferecer soluções FHE mais ágeis, assim como a Google. Fica a dica: mais um Santo Graal que promete ser a salvação para a LGPD pode, na verdade, ser mais uma grande falsa promessa nestes momentos iniciais. Referências bibliográficas 1 DONEDA, Danilo; MACHADO, Diogo. Proteção de dados pessoais e criptografia: tecnologias criptográficas entre anonimização e pseudonimização de dados. DONEDA, Danilo; MACHADO, Diogo (Coords.). A criptografia no direito brasileiro. São Paulo: Revista dos Tribunais, 2019. 2 Comments on Recommendations 01/2020 of the European Data Protection Board (EDPB). Disponível aqui. Último acesso em 12 de outubro de 2022. 3 Encryption at a glance. Information Commisioner's Office. Disponível aqui. Último acesso em 12 de outubro de 2022. 4 Time to adopt PETs. European Union Agency for Cybersecurity. Disponível aqui. Último acesso em 12 de outubro de 2022. 5 HODGES, Andrew. Alan Turing: the enigma. In: Alan Turing: The Enigma. Princeton University Press, 2014. 6 DIFFIE, Whitfield; HELLMAN, Martin E. Multiuser cryptographic techniques. In: Proceedings of the June 7-10, 1976, National Computer Conference and Exposition. 1976. p. 109-112. 7 RIVEST, Ronald L.; SHAMIR, Adi; ADLEMAN, Leonard. A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, v. 21, n. 2, p. 120-126, 1978. 8 MOORE, Ciara et al. Practical homomorphic encryption: A survey. In: 2014 IEEE International Symposium on Circuits and Systems (ISCAS). IEEE, 2014. p. 2792-2795. sexta-feira, 7 de outubro de 2022 Comentar Introdução: A transformação da ANPD em autarquia especial Até então subordinada formalmente ao Executivo Federal, a Autoridade Nacional de Proteção de Dados (ANPD) pode passar a cumprir com as diretivas previstas na LGPD1 a partir da edição da Medida Provisória 1.124/2022, que tem em seu cerne primordial a transformação da Autoridade em autarquia de natureza especial, criando também um cargo comissionado executivo de Diretor-Presidente da ANPD. A natureza jurídica da ANPD já era tida como transitória pela LGPD desde sua alteração pela lei 13.853/2019, que previa a possibilidade de transformação da autoridade pelo Poder Executivo em entidade da administração pública federal indireta sob regime autárquico especial. Dessa forma, ao estabelecer um prazo para tal desvinculação, a edição da Medida outorga à ANPD a autonomia técnica e decisória sem mais haver subordinação hierárquica à Presidência da República pela vinculação à Casa Civil, passando a possuir patrimônio próprio, além de sede e foro no Distrito Federal.2 Apesar das competências legais e as estruturas organizacionais permanecerem intactas, a Autoridade passa a ter Procuradoria própria, o que permite que passe a atuar perante o Judiciário a partir da atribuição de capacidade processual para que possa promover ações judiciais. Essa aguardada transformação influencia em muito na problemática nacional de reconhecimento como País adequado e viável para transferências internacionais de dados pessoais perante as autoridades estrangeiras, visto que a independência da Autoridade de Proteção de Dados local é pressuposto sine qua non para tanto3. O modelo europeu, no entanto, não é o único detentor de Autoridade independente, vez que países como Canadá, Japão, Taiwan e Austrália também são exemplos nesse quesito. Ainda, países da América Latina, como Uruguai e Argentina, não só possuem exemplos de legislações destinadas à proteção de dados pessoais, como também são considerados pelas autoridades europeias como países adequados para a transferência internacional de dados. Os anseios nacionais para o processo de ingresso na OCDE Não obstante as diretivas prévias existentes na LGPD para que a ANPD adquirisse sua independência paulatinamente, houve influência da Organização para a Cooperação e Desenvolvimento Econômico (OCDE)4 na edição da Medida aqui tratada, vez que, em outubro de 2020, foi emitido um relatório com recomendações que, dentre outros assuntos, diziam respeito à independência da ANPD. Atender a essas recomendações faz parte da política de Estado brasileira para a manutenção da boa relação com o órgão internacional. Considerado como parceiro-chave, o Brasil intenciona aderir como membro da Organização desde 1991, tendo manifestado interesse formal em 2017 em prol da adesão plena, e em janeiro do presente ano o Conselho da OCDE decidiu abrir discussões de acessão com o Brasil por meio da aprovação de convite formal para que seja iniciado o longo processo de adesão do Brasil nesse seleto clube. Em 2013, a OCDE atualizou a sua Recomendação do Conselho da OCDE sobre as Diretrizes que Regem a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais5 e, em 2020, por meio de suas revisões sobre a transformação digital no Brasil6, emitiu relatório pelo qual atestou o alinhamento da estrutura normativa trazida pela aprovação da lli 13.709/18 (LGPD). No entanto, recomendações para o "aumento da confiança através do aumento da privacidade" foram enumeradas em meio a tantas outras pontuações que tratavam desde problemáticas endêmicas como a desigualdade digital, até questões orçamentárias da nação em relação a planejamento para despesas com Tecnologias da Informação e Comunicação (TIC). Nesse relatório, no que tange à aplicação da privacidade com a governança, os recursos e os conhecimentos técnicos pelas autoridades nos países da OCDE foi recomendada, especificamente ao Brasil, a reavaliação do art. 55-A da lei 13.709/2018 que estabeleceu a ANPD, dispositivo esse que, até então, descrevia a Autoridade como "órgão da administração pública federal, integrante da Presidência da República". Dessa forma, como recomendações pontuais para o aprimoramento da proteção de dados no País - e consequente adequação do Brasil aos parâmetros da OCDE em prol de uma futura adesão como membro - foram mencionadas, para além da revisão e reavaliação do artigo supracitado, a necessidade de assegurar padrões de transparência e imparcialidade nas indicações de membros para o Conselho Diretor da ANPD e para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP)7, esclarecendo também as responsabilidades de facto atribuídas ao CNPDP. Ainda, foi indicado a necessidade do estabelecimento de regras claras no tangente à tomada de decisões no âmbito da ANPD, bem como em relação à sua implementação pelo Conselho Diretor, mencionando-se, também, que a transparência deveria se estender à adequação de um orçamento previsível para a Autoridade. Por fim, restou recomendado o alinhamento da Estratégia Brasileira para Inteligência Artificial com a LGPD e outros marcos legais relevantes para que seja atingido um nível estável de cooperação com a totalidade de atores no tratamento de dados pessoais. É de interesse nacional o atendimento a tais recomendações, visto que a adequação para a constituição de melhores práticas de governança, gestão pública, democracia consolidada, instituições sólidas e economia sustentável fazem parte da compilação de atributos que um país com o "selo OCDE" deve apresentar perante o mundo. E, para tanto, emerge a Medida Provisória 1.124/2022 como esforço do Executivo Federal para fazer cumprir tais direcionamentos. A necessidade de adequação ao GDPR para maior cooperação na transferência internacional de dados Com a elevação da Autoridade Nacional de Proteção de Dados à condição de autarquia de natureza especial, presumindo-se que a MP 1124/2022 seja convertida em lei, será dado mais um passo para o Brasil ser impulsionado rumo a uma decisão de adequação por parte da Comissão Europeia, decisão essa que constitui um dos mecanismos essenciais para a chancela da transferência internacional de dados entre países. Já com a regulação europeia advinda da Diretiva 95/468 e agora com a consolidação do GDPR, a identificação de países considerados adequados para a circulação de dados é obrigação da Comissão Europeia por meio de um procedimento que avalia uma série de mecanismos que abarque questões de proteção de dados (envolvendo aqui também segurança da informação) para que sejam cumpridos parâmetros específicos determinados pelo art. 45 do GDPR, tais como, principalmente, a possibilidade de exercício dos direitos pelos titulares e a existência de uma autoridade independente de proteção de dados. Somente então pode ser iniciado o processo interno de consultas pela Comissão para que, por fim, seja emitida uma decisão final em relação à adequação de determinado país9. É usual que esse exame sistemático dos mecanismos para a proteção de dados de outros países seja dado por meio de processo bilateral, em que o país "avaliado" seja incluído a fim de que seja facilitada a compreensão do funcionamento dos mecanismos regulatórios e das instituições que os implementam. Tal como é realizado pela Comissão Europeia, a ANPD também se utiliza desse método avaliativo para determinar o nível de adequação do contexto regulatório de proteção de dados de outros países para então determinar a permissão de transferência internacional de dados. No entanto, a inércia da ANPD, muito provavelmente pela falta de independência, não permitiu que fossem definidos os procedimentos necessários para que alguma decisão de adequação fosse proferida até a atualidade, apesar de estar previsto na agenda regulatória e já ter sido mencionada recentemente na Tomada de Subsídios sobre Transferência Internacional de Dados10. No cenário internacional, a interlocução com os organismos internacionais como a OCDE, OMC e OEA rendeu recomendações que, em sua maioria, postulavam pela independência e autonomia da ANPD, conforme mencionado no tópico anterior. Notáveis exemplos de confiança e credibilidade em questões que abarcam transferências de dados é o intercâmbio de cooperação entre autoridades totalmente independentes para resolução de problemáticas de grande repercussão e impacto internacional. A independência é critério de legitimidade não só para o cumprimento de metas de desenvolvimento digital, como também o é para a cooperação entre autoridades em casos de investigação criminal. A questão é que, desde a entrada em vigor da LGPD, diversas dúvidas restaram pendentes de saneamento por parte da ANPD sobre conceitos e hierarquização de mecanismos que deveriam, por sua vez, esclarecer questões sobre transferência internacional de dados11. Para a maioria dos instrumentos existentes no art. 33 da LGPD, existem lacunas residuais que devem ser preenchidas pela própria Autoridade. Essas lacunas, no âmbito da transferência de dados internacionais, são geradas por obstáculos advindos de questões mal esclarecidas. Para além das dúvidas sobre o grau de proteção de dados pessoais adequado e sobre os requisitos e condições mínimas a serem observados em face da LGPD, existem óbices contratuais oriundos da ausência de definições claras e objetivas acerca do conteúdo de cláusulas-padrão contratuais, assim como não se verifica objetivamente normas corporativas globais, certificados, selos, códigos de conduta ou, principalmente, cláusulas contratuais específicas para determinadas transferências de dados pessoais. É nesse cenário lacunar que a tão aguardada consolidação da independência da ANPD se mostra como requisito fundamental no que tange ao estabelecimento de grau de adequação por organizações internacionais multilaterais, tais como a União Europeia12, como bem preconiza o art. 45 do GDPR13, assim como a supracitada Organização para a Cooperação e Desenvolvimento Econômico (OCDE). A inconstitucionalidade formal de uma medida imprescindível Pode-se dizer que a aprovação e sanção da lei 13.709/2018, a LGPD, mesmo após as modificações incluídas com a lei 13.853/2019, para além das lacunas deixadas para futuro preenchimento pela atuação de órgão regulador específico, foi controversa no modo como constituiu a ANPD. Porém, mais controverso foi o modo pelo qual o Executivo Federal resolveu sanar uma falha pretérita. Ocorre que, apesar da presumida boa intenção da Medida, que viria como exercício da diligência prevista nos §§1º e 2º do art. 55-A da LGPD, pairou o questionamento sobre uma potencial incompatibilidade com a Lei Fundamental14. Existiria, então, a possibilidade de a Medida representar ato eivado de inconstitucionalidade formal, em razão do fato de que a Constituição prescreve, em seu inciso XIX do art. 37, que autarquias só podem ser criadas via lei específica. É pressuposto fundamental que toda autoridade reguladora, desde sua criação, tenha independência e autonomia, principalmente no caso brasileiro, em que a LGPD foi editada com uma finalidade regulatória de duas facetas, servindo tanto para o setor privado, quanto para o público. Partindo-se da premissa de que outras agências como a Anatel, Aneel, ANA, ANTT, dentre outras, foram constituídas de imediato na forma de uma autarquia, a ANPD emergiu de forma heterodoxa: apesar de a autoridade reguladora ser constituída com todas as feições de uma autarquia, foi criada como órgão vinculado à Casa Civil e, portanto, subordinado à Presidência da República. O resultado foi uma agência especial de facto cuja estruturação se deu como integrante da Administração Pública Federal Direta. A despeito do vício formal supramencionado, a Medida tende a passar despercebida15. Aparentemente inofensiva, legalmente prevista e economicamente necessária, a Medida pareceu ter sido bem recebida pelos que atuam na incipiente área da privacidade e da proteção de dados, visto que, se aprovada pelo Congresso, sanaria a controvérsia de uma autoridade reguladora vinculada ao Executivo, que deveria ter sido estruturada desde o início com independência e autonomia no âmbito da Administração Pública Indireta. Considerações Finais A entrada na OCDE e a adequação com o GDRP trazem vantagens para as multinacionais brasileiras e estrangeiras, pelo saneamento de gargalos no movimento dos fluxos de capitais e por passar a ter um "carimbo" de viabilidade para negócios e investimentos. Portanto, a transformação da ANPD em autarquia é necessária e benéfica para o País em termos socioeconômicos. Sua independência e autonomia permitirão a sua atuação jurídica como Agência Reguladora, nos âmbitos privado e público, sem ser um órgão da Presidência da República. Ainda que questionada em eventual controle concentrado de constitucionalidade, observando os atritos recentes entre o Planalto e o Supremo, a chancela da Medida Provisória ou de sua Lei de Conversão pelo Tribunal Constitucional é bastante provável. À semelhança das Medidas Provisórias 1.791/1998 e 2.012/2000 que criaram, respectivamente, a Anvisa e a ANS - inquestionadas até os dias atuais - provavelmente a MP 1.124/2022 subsistirá em prol de uma sociedade de dados ávida por aprimoramento e regulação. Criará uma agência com imprescindíveis funções, ensejará que o País se adeque cada vez mais aos parâmetros e recomendações prescritos pelo GDPR e pela OCDE, ironicamente se consolidando como um fim que justifica sim seus meios16. __________ 1 Quintiliano, Leonardo. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD). IAPD. 17 de março de 2021. Disponível aqui. Acesso em 27 de setembro de 2022. 2 Sobre a atuação da ANPD: LIMA, Cintia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD): entenda quais são as atribuições da ANPD e como este órgão atuará na fiscalização de implementação da LGPD. Disponível aqui, 03/11/2019, acesso em 05 de outubro de 2022. 3 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a eficácia da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2021. 4 OECD. Going Digital in Brazil, 2020. Disponível aqui. Acesso em 12 de setembro de 2022. 5 OECD. Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. 2013. Disponível aqui. Acesso em 27 de setembro de 2022. 6 OECD. O caminho da Era Digital no Brasil, 2020. Disponível aqui. Acesso em 08 de setembro de 2022. 7 DONEDA, Danilo. A Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Proteção de Dados. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book. 8 Article 29 Working Party. Transfers of personal data to third countries: Applying Article 25 and 26 of the EU data protection directive. Working Paper nº 12, 1998. Disponível aqui. Acesso em 27 de setembro de 2022. 9 Frazão, Ana; Cueva, Ricardo. Compliance e Políticas de Proteção de Dados. São Paulo (SP): Editora Revista dos Tribunais. 2022. 10 Consulta pública encerrada dia 30 de junho de 2022. Tomada de Subsídios sobre Transferência Internacional. Disponível aqui. Acesso em 27 de setembro de 2022. 11 Dresch, Rafael de Freitas Valle; Melo, Gustavo da Silva. A Autoridade Nacional de Proteção de Dados (ANPD): Entre sanção e fiscalização. Migalhas. 05 de novembro de 2021. Disponível aqui. Acesso em 27 de setembro de 2022. 12 CEPAL, UN. Internet & Jurisdiction Policy Network. Regional Status Report: Latin America and Caribbean. 2020. Disponível aqui. Acesso em 27 de setembro de 2022. 13 EUROPEAN COMMISSION. Adequacy Decisions. Disponível aqui. Acesso em: 12 de setembro de 2022. 14 Pereira, Sávio Luiz Martins. Inconstitucionalidade da Medida Provisória nº 1.124/2022. Conjur. 15 de agosto de 2021. Acesso em 22 de setembro de 2022. 15 MELLO, Celso Antônio Bandeira de. Curso de Direito Administrativo. 30ª ed., rev., ampl. e atual. São Paulo: Malheiros, 2013, nota de rodapé nº 10, p. 107. 16 Cf. Fins e Meios, de Aldous Huxley. sexta-feira, 30 de setembro de 2022 Comentar Uma das questões mais complexas no âmbito da disciplina da proteção de dados pessoais diz respeito aos artigos 15 e 16 da Lei Geral de Proteção de Dados (LGPD), que disciplinam o término do tratamento de dados. Cuida-se de regramento que visa a responder o questionamento de até quando os dados pessoais deverão ou poderão ser tratados e, ao mesmo tempo, pretende estabelecer o momento a partir do qual o agente de tratamento deverá ou poderá eliminar os dados pessoais. As considerações que seguem pretendem abordar essa questão em sua projeção na área da saúde, mais especificamente no que toca ao término do tratamento dos dados pessoais do paciente. De início, faz-se necessário discorrer brevemente acerca de aspecto conceitual que pode ser considerado de extrema importância no âmbito desta temática. E a digressão inicia a partir de uma pergunta: é possível considerar que os dados sejam "do" paciente? De imediato, adianta-se a resposta, que é negativa e se passa a explicar as razões. Primeiramente, mencione-se que a pergunta posta deve ser respondida a partir da disciplina de proteção de dados, que, de acordo com a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD - lei 13.709/2018) é transversal e afeta todas as áreas da sociedade. Como se sabe, a LGPD segue a tradição europeia de proteção de dados pessoais, por apresentar um texto legal com o caráter mais geral, marcado até mesmo em sua denominação, uma vez que se denomina "lei geral", como no caso da Europa, da revogada Diretiva de Proteção de Dados de 1995, substituída pelo Regulamento Geral de Proteção de Dados Pessoais de 2016. E, de acordo com nossa lei, que, como referido, segue uma escola europeia, há uma determinação expressa do conceito de dado pessoal. Essa definição consta no art. 5º da LGPD: dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Note-se: pelo próprio conceito da lei, na linha de outros textos legais internacionais, não se está a afirmar que o dado é "do" titular de dados pessoais, mas sim que se trata de uma informação relacionada à pessoa em questão. É corriqueiro e até aceitável que se faça menção "aos nossos dados" ou aos "dados do titular", mas se analisando o próprio conceito legal verifica-se que não sem razão ele é bem mais preciso. Mesmo na área da saúde, em que o conceito de dado pessoal escala para a categoria especial de dado pessoal sensível, no qual há uma proteção específica e mais robusta, a definição se constrói com base na expressão "informação relacionada a pessoa natural identificada ou identificável". Essa textura da regra, por si só, demonstra que não há como se falar em dado do titular, ou na área da saúde, de "dado do paciente". Não há direito de propriedade sobre o dado pessoal. Não há o direito, por parte do titular, de excluir o acesso ao dado pessoal daquele que com ele interagiu, se essa pessoa, no nosso caso um profissional da saúde, uma instituição de saúde ou um plano de saúde, por alguma razão, tenha de tratar a informação relacionada ao titular. Talvez quem tenha melhor exposto sobre a natureza do dado pessoal, que muito vai nos auxiliar quando examinamos os dados pessoais na área da saúde, foi Alexander Roßnagel, atual comissário de proteção de dados no Estado de Hessen, na Alemanha, e Professor da Universidade de Kassel. Roßnagel, a partir das lentes da impactante decisão do censo de 1983, do Tribunal Constitucional Federal alemão, afirmou que não é adequado falar em propriedade por parte do indivíduo dos dados relativos a sua pessoa1. Ainda, Roßnagel reafirma que a concepção do ordenamento jurídico relativo à proteção de dados não se coaduna com a ideia de propriedade sobre os dados pessoais2. Como já tivemos a oportunidade de referir3, o mais preciso é que se considere os dados relacionados a uma pessoa como resultado de uma observação social ou de um processo de comunicação social multirrelacional.4 Ou seja, há o potencial de um número maior de atores vir a tratar o dado pessoal, como o exemplo da saúde nos mostra claramente: médicos, enfermeiros, nutricionistas, fisioterapeutas, psicólogos, o plano de saúde, enfim, todos os integrantes das equipes multiprofissionais poderão vir a necessitar de tratar os dados relacionados ao paciente. Assim, o direito da proteção de dados, que, como se referiu, imprimiu a sua marca em todas as áreas da sociedade, não regula a propriedade, mas sim consiste num ordenamento sobre a informação e a comunicação do sujeito e envolvendo sujeitos, determinando quem, em qual relação, e em que situação, está autorizado a lidar com as informações relacionadas a determinada pessoa de uma determinada maneira. Dessa forma, o hospital ou o médico, o próprio paciente, bem como a empresa do seguro saúde podem necessitar de ter acesso ao prontuário ou a parte de seus dados para realizar alguma atividade que esteja no âmbito de suas atribuições contratuais ou legais, não podendo, todavia, deles se valer sem o respeito aos princípios da Lei Geral de Proteção de Dados, em especial os da finalidade e da necessidade.5 Quando examinamos, no Brasil, as regras do Conselho Federal de Medicina acerca do dever de guarda e armazenamento das informações relacionadas ao paciente, notamos uma certa falta de técnica no que diz respeito aos conceitos abordados. Impropriedades podem ser localizadas na Resolução n. 1.821/2007, do Conselho Federal de Medicina, que, se reconheça, é anterior à edição da LGPD e aprovou as normas técnicas concernentes à digitalização e ao uso dos sistemas informatizados para a guarda e o manuseio dos documentos dos prontuários contendo informações dos pacientes. Com efeito, um de seus considerandos refere que "o prontuário do paciente, em qualquer meio de armazenamento, é propriedade física da instituição onde o mesmo é assistido - independente de ser unidade de saúde ou consultório -, a quem cabe o dever da guarda do documento". Já em outro considerando, consta que os dados contidos no prontuário "pertencem ao paciente e só podem ser divulgados com sua autorização ou a de seu responsável, ou por dever legal ou justa causa". Há que se considerar que para estar adequada à disciplina da proteção de dados, essas regras devem se desapegar da ideia de propriedade e pertencimento e trilhar o rumo da "relação" e de que a informação relacionada a uma pessoa, ainda que um paciente, integra uma realidade multirrelacional, na qual diversos atores podem vir a ter de tratar o dado pessoal. Há que se perquirir, portanto, quem, em qual situação, pode acessar, e, mais amplamente, tratar o dado pessoal. Essas considerações prévias apresentam relação com a questão do término do tratamento dos dados pessoais na área da saúde. Uma vez que titulares de dados merecem a adequada proteção da informação relacionada a sua pessoa, havendo que se estabelecer, em posição de equilíbrio, os direitos do titular em conjunto com os deveres e interesses dos agentes de tratamento e da própria coletividade. E, por fim, resta a pergunta: mas até quando? Até quando poderá ou até mesmo deverão, a instituição de saúde, o médico, ou, de modo geral, o profissional da saúde armazenar as informações relacionadas ao paciente. Até quando manter arquivado o prontuário do paciente? No ponto, temos uma disciplina a ser compreendida a partir de diversas fontes legislativas. Inicialmente, deve ser considerado, pela ordem hierárquica o que determina a LGPD. Ela prevê, como referido, uma seção específica sobre o término do tratamento dos dados pessoais. A regra basilar dessa seção, nos artigos 15 e 16, é a seguinte: em tendo sido alcançada a finalidade para a qual os dados foram coletados, por exemplo, com o fim do tratamento médico, os dados deverão ser eliminados. Mas a conservação dos dados será permitida ou exigida, em algumas hipóteses, dentre as quais destaca-se, para a área da saúde, as seguintes, presentes no art. 16 da LGPD: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Como o inciso I indica, pode haver uma obrigação legal ou regulatória a ser cumprida pelo agente de tratamento, no caso aqueles que no âmbito da saúde tratam dados pessoais. Na seara regulatória, merece destaque, quanto à guarda dos dados relacionados ao paciente, o art. 7º da referida resolução 1.821/2007 do Conselho Federal de Medicina, que determina a guarda permanente dos prontuários que sejam arquivados eletronicamente em meio óptico, microfilmado ou digitalizado. Além disso, o art. 8º estabelece o prazo mínimo de 20 anos a partir do último registro, para a preservação dos prontuários em papel, que não migraram para o meio eletrônico. E, por fim, para que se saiba até quando armazenar os dados relacionados ao paciente, deve-se observar o contido na lei 13.787, de 27.12.2018, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuários. Esse texto legal estabelece que os prontuários em papel e aqueles digitalizados, ou seja, que foram transformados do papel para o documento eletrônico, poderão ser eliminados, a partir do último registro, decorrido o prazo de vinte anos. Determina, ainda, no art. 6º, § 2º, que, alternativamente, o prontuário poderá ser devolvido ao paciente, o que pressupõe, pela leitura da regra, que o profissional ou instituição de saúde, não manterá uma via consigo. Na legislação de proteção de dados, essa "devolução ao paciente" poderia ser equiparada ao denominado direito de portabilidade, previsto no art. 18, V, da LGPD. Prevê a Lei n. 13.787, ainda, que prazos diferenciados poderão ser estabelecidos em regulamento (ainda não editado) para eventual uso dos dados relacionados ao paciente em estudos e pesquisas nas ciências da saúde, bem assim para fins legais e probatórios. Nesses casos, há que se observar ainda, os critérios estabelecidos no art. 13 da LGPD. Em síntese, é possível afirmar que existe uma regra geral no Brasil, que se comunica e complementa o disposto na LGPD, dando conta de que mesmo que encerrado o tratamento pelos profissionais da saúde os dados não devem ser eliminados, o que poderá ocorrer após o prazo mínimo de vinte anos do último registro. O "último registro" contido na Lei n. 13.787 e até mesmo na resolução 1.821/2007 do Conselho Federal de Medicina, faz com que, na prática, a cada novo registro de informação relacionada ao paciente, os vinte anos passem a contar do zero. O exemplo da aplicação da LGPD, em conjunto com a legislação federal e as resoluções do Conselho Federal de Medicina, demonstra como pode ser lido o sistema da disciplina de proteção de dados em harmonia com o que se denomina legislação setorial, de modo a que se obtenha direcionamentos mais concretos de como os sujeitos devem proceder em determinada área de atuação. Não há dúvidas de que a aplicação dessas regras consiste em grande desafio, de elevada complexidade, a ser enfrentado pelo intérprete, com vistas a extrair da disciplina legislativa a sua mais adequada leitura. O assunto se torna ainda mais relevante quando se verifica a implementação do denominado Registro de Atendimento Clínico (RAC), que tornará obrigatório, em todo o sistema de saúde do País, um registro eletrônico centralizado das informações relacionadas ao paciente, de forma a garantir a continuidade do cuidado da saúde durante toda a vida do cidadão6. Nesse contexto, importantes desafios terão de ser enfrentados, especialmente no que diz respeito à gestão de um banco de dados sensíveis relacionados aos pacientes, de dimensão nacional, e que demandará a observância do razoável equilíbrio entre a proteção da personalidade do paciente e a busca pela maior eficiência na prestação dos serviços médicos. __________ 1 ROßNAGEL, Alexander. Einleitung. In: Roßnagel, A. (Org.). Handbuch Datenschutzrecht: Die neuen Grundlagen für Wirtschaft und Verwaltung, Munique, Beck Verlag, 2003,p. 4. No Brasil, ver LEONARDI, Marcel. Tutela e Privacidade na Internet, São Paulo: Saraiva, 2012, p. 77, que também rejeita a ideia de propriedade sobre os dados. 2 ROßNAGEL, Alexander. Einleitung., p.4. 3 MENKE, Fabiano. A proteção de dados e o novo direito fundamental à garantia da confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão. In. MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre Zavaglia P.. Direito, Inovação e Tecnologia. V. 1. São Paulo: Saraiva, 2015. 4 ROßNAGEL, Alexander. Einleitung., p.4. 5 Os princípios da finalidade e da necessidade enunciam, conforme a previsão do art. 6º, incisos I e III, respectivamente, da LGPD: "I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados." 6 Ver, quanto ao assunto, a Portaria n. 234, de 18 de julho de 2022, da Secretaria de Atenção Especializada à Saúde, do Ministério da Saúde. Fica o registro de agradecimento ao Dr. Marcos Ottoni pela informação da criação do Registro de Atendimento Clínico em nível nacional.
sexta-feira, 23 de setembro de 2022 Comentar A lei 13.709/18, Lei Geral de Proteção de Dados ("LGPD"), serviu e ainda serve de tema para inúmeras discussões no âmbito jurídico, no que tange a sua aplicação e extensão de efeitos. Em que pese não se tratar mais de novidade normativa propriamente dita, seus reflexos ainda seguem sendo pauta, como nos contratos eletrônicos, por exemplo, uma vez que a legislação de proteção de dados pessoais é ampla e aplicável às mais diversas áreas, desde os mercados tradicionais até os mais disruptivos. Considerando o conceito legal de dado pessoal1, é intuitivo o entendimento de que estes dados são encontrados em inúmeros segmentos, especialmente em contratos, e devem gozar da respectiva proteção, na forma da lei. Destaca-se, por oportuno, a disciplina de proteção de dados pessoais em ambientes que contam com regulamentação e normativas incipientes, como é o caso das relações tidas no âmbito da internet, em especial no que diz respeito à celebração de contratos eletrônicos. Sobre a temática, demonstrou a Pesquisa Nacional por Amostra de Domicílios promovida pelo Instituto Brasileiro de Geografia e Estatística, que, enquanto no ano de 2003, apenas cerca de 15% (quinze por cento) dos domicílios brasileiros pesquisados possuíam microcomputador2, em pouquíssimo tempo a realidade da digitalização das relações pessoais disparou, sendo que em 2018, e 99,2% (noventa e nove vírgula dois por cento) dos domicílios já contavam com acesso à internet, e se utilizava o telefone celular para a finalidade de navegar na rede3. Não por acaso, tratou o legislador de editar normativas que não ficassem estranhas a esta realidade, tais como a LGPD, que em seu artigo 1º, caput, estabelece que esta lei regula o tratamento de dados pessoais, ainda que em meios digitais4. É fato notório que hodiernamente vivemos a era das relações digitais em todas as esferas da vida privada, uma vez que as relações interpessoais e os negócios jurídicos se permeiam pela digitalização dos fatos. No que tange à disciplina contratual, como não poderia deixar de ser, a digitalização se faz presente em diversos aspectos. A adoção de contratos eletrônicos em nosso dia a dia é evidente, e marca uma verdadeira necessidade que se alinha com a exigência de dinamicidade, globalização e instantaneidade na maior parte das relações que firmamos. Além disso, a internet enquanto ecossistema e rede interconectada, além do surgimento e a consolidação da ampla utilização de softwares (web e mobile), tornam a cada dia mais concreta a celebração em larga escala de contratos eletrônicos. Estes podem ser entendidos, em sentido amplo, como os vínculos contratuais assumidos por intermédio de ferramentas tecnológicas que substituem papel e caneta, seja para fins de manifestação de vontade, seja para a escrituração do instrumento particular que regerá a relação entre as partes. Através de contratos ditos eletrônicos, é comum a dispensa da interação humana no mundo concreto, pois a interface entre as partes tem lugar no ambiente digital5. Contratos eletrônicos, portanto, tornam mais fácil, ágil, descomplicada e, muitas vezes, instantânea a assunção de obrigações e celebração de contrato entre partes interessadas, independentemente do tempo e do espaço físico em que se encontram. Atualmente, a cada minuto se celebram inúmeros contratos em ambientes digitais que se tratam de meros instrumentos de adesão, contendo frases como "li e aceito" e caixas em branco para preenchimento com anuência. Entretanto, estes contratos configuram instrumentos válidos, a priori, e, que, não obstante, efetivam operações de tratamento de dados pessoais potencialmente até de cunho internacional, haja vista que não necessariamente todas as pessoas envolvidas naquela transação estarão situadas no Brasil. À medida que a vida humana se torna digital, portanto, o direito contratual se vê coagido a acompanhar tal mudança, inclusive no que concerte à disciplina de proteção de dados pessoais. A edição da LGPD teve por finalidade a construção de um sistema eficaz na promoção da proteção dos direitos fundamentais de liberdade, privacidade e do livre desenvolvimento da personalidade da pessoa natural. Tal normativa foi promulgada ao encontro da tendência mundial de maior preocupação com o fluxo de informações de cunho pessoal na internet, inclusive diante de incontáveis contratações diárias que realizamos nas mais diversas plataformas, sites e aplicativos. Considerando a larga escala de contrato eletrônicos da espécie de adesão, levantam-se questões atreladas à dignidade individual, o direito à informação e à autodeterminação de cada indivíduo, considerando que a contratação ao alcance de um clique, cada vez mais pulverizada, necessita atender parâmetros mínimos. Esta necessidade se torna ainda mais latente ao considerarmos a especial proteção destinada às crianças e adolescentes, que contam com ampla e muitas vezes irrestrito acesso às ferramentas eletrônicas e à internet, e aos quais a LGPD reserva tratamento diferenciado, bem como aos consumidores, da forma do Código de Defesa do Consumidor. É comum que instrumentos contratuais exijam dados pessoais como nome completo, CPF, RG, endereço, nacionalidade, naturalidade, data de nascimento, ou mesmo dados pessoais sensíveis, como origem racial e étnica e biometria. Tais dados, uma vez fornecidos em um contrato eletrônico, ficarão armazenados em bases de dados situadas em arquivos eletrônicos ou mesmo nuvens de informação, as quais, muitas vezes, encontram-se no exterior. Poucos são os casos em que os contratantes se atentam ao consentimento e prestação de informações atrelados a estas coletas e tratamento de dados pessoais, ou que contam com tecnologia suficiente seja para a adequada segurança destes dados, ou, ainda, para aplicação de medidas de anonimização, ou para eventual fornecimento ou correção de dados, quando solicitado pelo titular6. Destaca-se que, para toda esta disciplina, a LGPD traz previsão de direitos e obrigações aos envolvidos, o que vem se reforçando através da atuação da Autoridade Nacional de Proteção de Dados - ANDP, sendo certo que o descumprimento destas premissas pode acarretar, além de penalidades contratuais, sanções por parte deste órgão. Por conseguinte, ainda que se tenha a percepção de que os meios eletrônicos, principalmente se ligados à internet, são menos burocráticos e visam facilitar a contratações, a celebração de contratos eletrônicos não pode ser entendida como terra sem lei, vista que deve ser compreendida dentro do ordenamento jurídico como um todo, inclusive no que se relaciona à disciplina de proteção de dados pessoais. __________ 1 Art. 5º. Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável. (LGPD. Disponível aqui. Acessado em 22/09/2022) 2 BRASIL, Instituto Brasileiro de Geografia e Estatística, Pesquisa Nacional por Amostra de Domicílios. 2003. v. 24. p. 106. Disponível aqui. Acessado em 05/03/2022 3 BRASIL, Instituto Brasileiro de Geografia e Estatística, Pesquisa Nacional por Amostra de Domicílios Contínua. 2018. p.26 a 59. Disponível aqui. Acessado em 05/03/2022 4 Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. (LGPD. Disponível aqui. Acessado em 22/09/2022) 5 Neste sentido: Os contratos eletrônicos podem ser conceituados como negócios jurídicos bilaterais, que se utilizam de computadores e outros tipos de aparelhos eletrônicos, como,por exemplo,telefone celular, iPhone ou tablet, conectados à internet, por meio de um provedor de acesso, a fim de se instrumentalizar e firmar o vínculo contratual, gerando,assim,uma nova modalidade de contratação, denominada contratação eletrônica. CESARO, Telmo De Cesaro Júnior De. RABELLO, Roberto Dos Santos. "Um Modelo Para a Implementação De Contratos Eletrônicos Válidos." Revista Brasileira De Computação Aplicada. 4.1 (2012): 48-60. p. 49. Disponível aqui. Acessado em 26/06/2022. 6 Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. (LGPD. Disponível aqui. Acessado em 22/09/2022). sexta-feira, 16 de setembro de 2022 Comentar O artigo 23 da Lei Geral de Proteção de Dados (LGPD) Pessoais impõe, em seus §§4º e 5º, a incidência do regime de tratamento público de dados pessoais aos serviços notariais e de registro1, embora referida lei não traga maiores detalhes em relação às peculiaridades de sua aplicação às atividades em questão2. Com o escopo de detalhar a aplicação da LGPD às serventias extrajudiciais, o Conselho Nacional de Justiça, por sua Corregedoria, publicou, no dia 24 de agosto de 2022, o Provimento n. 134, que trata especificamente das medidas a serem adotadas pelos serviços notariais e registrais. Não é novidade que a chamada "digitalização dos cartórios" tem sido fomentada em anos recentes por iniciativas como o Provimento n. 100/2020 da Corregedoria Nacional de Justiça, que criou o inovador e festejado sistema "e-Notariado"3, ou mesmo pela recentíssima Medida Provisória 1.085, de 27/12/2021, convertida na lei 14.382, de 27/06/2022, que dispõe sobre o Sistema Eletrônico de Registros Públicos - Serp e dá outras providências4. Essas são iniciativas nacionais, sem prejuízo dos avanços locais que as Corregedorias Estaduais já implementam há algum tempo, alinhando-se, assim, a um propósito maior de assimilação dos impactos da sociedade da informação sobre as atividades notariais e registrais. Na mesma linha, o aludido Provimento n. 134/2022 do CNJ5 contempla temas importantíssimos como a definição do controlador, a necessidade de indicação do encarregado de dados, a exigência de políticas de boas práticas e governança, o mapeamento das atividades de tratamento e a definição de procedimentos para o cumprimento de medidas técnicas e administrativas, além de outros, demandando análise cuidadosa de seu escopo de incidência. Definição do controlador de dados Um dos mais intricados temas relativos aos serviços notariais e de registro é a definição de quem será considerado controlador para os fins do artigo 5º, inciso VI, da LGPD e, a esse respeito, o artigo 4º do Provimento n. 134 dispõe que "os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares das serventias, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, a quem compete as decisões referentes ao tratamento de dados pessoais". De modo geral, sabe-se que compete ao controlador a decisão sobre as atividades de tratamento de dados pessoais, mas, em linhas mais específicas, as atribuições do controlador, na LGPD, são inúmeras, a exemplo das seguintes: (i) elaborar relatório de impacto à proteção de dados pessoais (art. 38); (ii) comprovar o cumprimento das exigências legais para a obtenção do consentimento (art. 8º, § 2º); (iii) comunicar à Autoridade Nacional de Proteção de Dados - ANPD a ocorrência de incidente de segurança (art. 48); (iv) atender requisições para o exercício de direitos dos titulares de dados (art. 18); (v) verificar a observâncias das instruções que repassa ao operador (art. 39); (vi) cooperar para o cumprimento da legislação relativa à proteção de dados pessoais (art. 39); (vii) indicar o encarregado (art. 41). E, havendo que se apurar a ocorrência de dano por violação à lei, é definido regime de responsabilidade civil, nos artigos 42, caput, e 44, parágrafo único, da LGPD, sobre o qual pairam sonoras controvérsias doutrinárias em relação à sua natureza (se objetiva ou subjetiva), mas com regra hialina acerca da solidariedade entre controlador e operador ou entre controladores conjuntos (art. 42, §1º, I e II, LGPD). A previsão contida no Provimento 134/2022 não abre margem a dúvidas no cotejo com a recente definição do Supremo Tribunal Federal, consolidada no Tema 777, com repercussão geral, no qual se analisou os artigos 37, §6º, e 236 da Constituição da República, sendo firmada a seguinte tese: "o Estado responde, objetivamente, pelos atos dos tabeliães e registradores oficiais que, no exercício de suas funções, causem dano a terceiros, assentado o dever de regresso contra o responsável, nos casos de dolo ou culpa, sob pena de improbidade administrativa"6. Assim, embora não se negue que é o titular da serventia, o interventor ou o interino quem, de fato, tem poder de decisão sobre as atividades notariais e registrais e, ainda, sobre o tratamento de dados pessoais levado a efeito no contexto de sua serventia extrajudicial, a incidência do Capítulo IV da LGPD (arts. 23 a 32) e a definição jurisprudencial sacramentada pelo STF não deixam dúvidas de que as atividades exercidas na condição de controlador de dados não poderão implicar a sua responsabilização direta e solidária, seja em caráter objetivo ou subjetivo, com fundamento no artigo 42, caput, ou no artigo 44, parágrafo único, da LGPD. Sobre isso, em complemento à definição trazida pelo CNJ, é absolutamente fundamental que a ANPD se pronuncie, especialmente no exercício de sua competência regulatória infralegal7, para atualizar o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público8, cuja primeira versão, de janeiro de 2022, nada detalha em relação aos §§4º e 5º do artigo 23 da LGPD e à peculiar situação de tabeliães e registradores. Indicação do encarregado de dados Outro tema fundamental elucidado pelo Provimento 134/2022 é o da nomeação do encarregado pela proteção de dados, incumbência do responsável pela serventia extrajudicial (artigo 6º, inc. I). Sem dúvidas, trata-se de medida fundamental, especialmente em razão da exigência contida no artigo 23, inciso III, da LGPD, que, no regime de tratamento de dados pessoais levado a efeito pelo Poder Público, impõe a indicação do encarregado, em reforço à previsão do artigo 41 da lei. De fato, por estarem os serviços notariais e de registro sujeitos ao regime de tratamento público de dados pessoais e, portanto, incumbidos de fornecer acesso aos dados, por meio eletrônico, à administração pública, por força do §5º do artigo 23 da LGPD, é de fundamental relevância o papel do encarregado, que atua como interlocutor em matéria de tratamento de dados pessoais, propiciando justamente a facilitação do intercâmbio comunicacional com a ANPD e, no caso específico, com o Estado. É de se registrar que, seguindo o entendimento acolhido pela ANPD em seu Guia Orientativo sobre Agentes de Tratamento9 (versão 2, de abril de 2022), não há óbice a que o encarregado seja pessoa natural ou jurídica ou mesmo que atue em prol de múltiplas serventias ao mesmo tempo, sendo a sua nomeação e contratação de livre escolha do titular da serventia, com possibilidade, ainda, de que seja escolhido e contratado de forma conjunta, ou mesmo de que seja subsidiado ou custeado pelas entidades de classe (art. 10, §§1º a 3º, do Provimento n. 134/2022). Políticas de boas práticas e governança Em que pese a facultatividade da definição de políticas de boas práticas e de governança no artigo 50, caput, da LGPD, o CNJ foi assertivo em relação à exigência de que sejam adotadas medidas de governança na implementação dos procedimentos de tratamento de dados para cumprimento das atribuições das serventias notariais e registrais. O artigo 6º do Provimento n. 134/2022 se alinha, em grande medida, às exigências cogentes do artigo 46 da LGPD (dever geral de segurança no tratamento de dados pessoais) e, também, do artigo 49 da LGPD (exigência de segurança dos sistemas e dispositivos informáticos empregados nas atividades de tratamento). Além dos dados pessoais sensíveis, e, ainda em matéria de governança, é imperioso que se considere a parametrização procedimental para o atendimento de requerimentos de certidões envolvendo dados restritos ou sigilosos (art. 38 do Provimento), que demandam avaliação específica. Quanto aos elementos restritos, deve-se observar o disposto nos artigos 45 e 95 da lei 6.015/1973, no artigo 6º da lei 8.560/1992, no artigo 5º do Provimento n. 73/2018, da Corregedoria Nacional de Justiça, e, quanto aos elementos sigilosos, o artigo 57, §7º, da lei 6.015/1973. Enfim, é de se destacar a relevância atribuída ao mapeamento de dados (art. 6º, inc. II, c/c art. 7º do Provimento n. 134/2022), que tem a finalidade de propiciar leitura estratégica das avaliações procedimentais relacionadas ao implemento de medidas técnicas e administrativas relacionadas ao tratamento de dados pessoais. A isso se somam algumas outras boas práticas e ações de governança estabelecidas no provimento, tais como: (i) adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais (art. 6º, inc. IV); (ii) definir e implementar Política de Segurança da Informação (art. 6º, inc. V); (iii) definir e implementar Política Interna de Privacidade e Proteção de Dados (art. 6º, inc. VI); (iv) criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares (art. 6º, inc. VII); (v) zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais (art. 6º, inc. VIII); (vi) treinar e capacitar os prepostos (art. 6º, inc. IX). Assinaturas eletrônicas, ICP-Brasil e digitalização de documentos Outro tema fundamental abordado pelo Provimento n. 134/2022 diz respeito aos critérios de integridade, autenticidade e confiabilidade dos registros públicos, uma vez que se definiu que é atribuição do responsável pela serventia extrajudicial a digitalização dos documentos10 físicos ainda utilizados (art. 15, inc. I) e o armazenamento dos documentos físicos que contenham dados pessoais e dados pessoais sensíveis em salas ou compartimentos com controles de acesso (art. 15, inc. II), facultando-se a eliminação de documentos físicos, depois de digitalizados, com observância ao disposto no Provimento n. 50/2015 da Corregedoria Nacional de Justiça (art. 15, parágrafo único). A previsão é bem-vinda, mas a ela devem se somar as exigências mais específicas contidas na lei 12.682/2012 (Lei da Digitalização11) e no decreto 8.539/2015 (que a regulamentou), pois categorias conceituais sobre documentos digitais (art. 2º, inc. II, do Dec. 8.539/2015) envolvem a diferenciação entre documentos nato-digitais e documentos digitalizados, sendo exigida, para esses últimos, a adoção de criptografia assimétrica de padrão ICP-Brasil para fins de arquivamento (art. 2º-A, §8º, da lei 12.682/2012, com reforma realizada pela lei 13.874/2019). A preocupação com a higidez dos requerimentos e com a segurança da informação também consta do Provimento 134/2022, como, por exemplo, verifica-se no art. 39 quanto aos requerimentos de certidões de inteiro teor, para os quais se exige assinatura eletrônica qualificada (de padrão ICP-Brasil) ou avançada (que adote os mecanismos do assinador Gov.br do Instituto Nacional de Tecnologia da Informação - ITI), denotando sintonia com as classificações definidas para assinaturas eletrônicas12 nas interações de particulares com o Poder Público, no plano federal, pelo artigo 4º da lei 14.063/2020. Por fim, a eliminação de documentos físicos que já tenham sido digitalizados demandará observância estrita ao disposto no artigo 55, §1º, do Provimento 134/2022 e reforçada cautela para evitar a duplicidade documental, inclusive para fins de governança de dados, sendo essencial que se avalie cada caso em função das exigências e dos permissivos dos artigos 15 e 16 da LGPD para fins de eliminação de dados. Das particularidades do provimento em relação às especialidades O Provimento 134/2022, em seus capítulos XI a XV, traz um detalhamento com relação a cada especialidade extrajudicial. Com relação aos Tabelionatos de Notas, o Provimento avança e uniformiza regras que eram disciplinadas de maneiras diversas nos variados Estados Brasileiros. Agora, o fornecimento de certidões de fichas de firma e testamentos, por exemplo, obedecerão aos mesmos requisitos em todo território nacional (arts. 28 a 33). No tocante às certidões do Registro Civil das Pessoas Naturais, o Provimento impõe restrições severas ao fornecimento de certidões, principalmente as de inteiro teor. A aplicabilidade, viabilidade e até mesmo a fiscalização desse controle demandarão análise profunda. Curiosamente, as certidões do Registro de Imóveis tiveram tratamento menos severo, muito embora possam refletir dados sensíveis constantes de certidões do Registro Civil. Uma questão que se coloca é a da exigência de indicação da finalidade para obtenção da certidão. Não há, nem por parte da lei, muito menos do Provimento, rol elucidativo acerca do que seria legítimo ou aceitável como finalidade para solicitação de uma certidão cujo conteúdo é, por disposição legal, público. A quem caberá a análise dessa finalidade? Por fim, no tocante aos Tabelionato de protesto, o Provimento impõe a exclusão do endereço do devedor e seu telefone da certidão (art. 51), bem como disciplina a unificação da CENPROT com facilitação de compartilhamento de endereços entre os tabeliães de modo a facilitar as intimações. Notas conclusivas O Provimento 134/2022 é repleto de nuances e detalhamentos essenciais para a adequação das serventias extrajudiciais à LGPD, especialmente em função da transformação digital que foi acentuada durante o período pandêmico de 2020-2021. Sem dúvidas, há necessidade de adequação/aperfeiçoamento por parte da Autoridade Nacional de Proteção de Dados, cujo múnus regulatório infralegal será muito beneficiado caso se acrescente, no cronograma de sua Agenda Regulatória13, para o próximo biênio (2023-2024), iniciativa voltada especificamente às atividades notariais e registrais. Temas ainda controversos, como a atuação do titular da serventia extrajudicial, na condição de controlador, e a necessidade de compatibilização de seu regime de responsabilidade civil - já sacramentado no Tema 777 do STF, com repercussão geral -, com as regras específicas dos artigos 42, caput, e 44, parágrafo único, da LGPD, bem como o delineamento de contornos mais claros para a aplicação das exigências dos demais dispositivos do Capítulo IV da LGPD aos serviços notariais e de registro são alguns dos assuntos que a ANPD terá de esmiuçar por força da competência que lhe é imposta pelo artigo 55-J, inciso XIII, da LGPD. As restrições severas à obtenção de certidões que essencialmente são públicas chocam-se com o princípio da publicidade que é essencial aos serviços notarias e de registro, e com a própria Lei n. 6.015/1973 que, em seu artigo 17, autoriza a obtenção de certidões sem informar motivo ou interesse. Curioso é que o Provimento faz menção a este artigo em seus considerandos, mas impõe a necessidade de indicação de finalidade à obtenção de determinadas certidões e até mesmo de autorização judicial. No mais, a atuação do CNJ, por sua Corregedoria Nacional de Justiça, é elogiável e muito bem-vinda, pois traz luz à aplicação da LGPD, com toda a sua complexidade, a um setor permeado por peculiaridades. Espera-se que o debate evolua ainda mais para que esclarecimentos complementares sejam trazidos à tona com máxima brevidade. Cabe agora às Corregedorias Estaduais a complementação do provimento através de Normas de Serviço, o que possibilitará a efetiva aplicabilidade do provimento em todo território nacional. __________ 1 LIMBERGER, Têmis. Comentários ao artigo 23. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais. Indaiatuba: Foco, 2022, p. 281-303. 2 LIMA, Cíntia Rosa Pereira de; LIMA, Marilia Ostini Ayello Alves de. Proteção de dados pessoais e publicidade registral: uma longa caminhada de um tema inesgotável. Migalhas de Proteção de Dados, 12 nov. 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/354779/publicidade-registral-uma-longa-caminhada-de-um-tema-inesgotavel Acesso em: 13 set. 2022. 3 Conferir, por todos, PERROTTA, Maria Gabriela Venturoti. Impactos jurídicos do sistema e-Notariado para as atividades notariais no Brasil. In: CRAVO, Daniela Copetti; JOBIM, Eduardo; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Direito público e tecnologia. Indaiatuba: Foco, 2022, p. 327-339. 4 MIRANDA, Caleb Matheus Ribeiro de. Sistema Eletrônico de Registros Públicos (Serp). In: KÜMPEL, Vitor Frederico (coord.). Breves comentários à Lei n. 14.382/2022. São Paulo: YK Editora, 2022, p. 9-34. 5 CONSELHO NACIONAL DE JUSTIÇA. Provimento n. 134, de 24 de agosto de 2022. Estabelece medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais. Disponível aqui. Acesso em: 13 set. 2022. 6 BRASIL. Supremo Tribunal Federal. Repercussão Geral. Tema 777 - Responsabilidade civil do Estado em decorrência de danos causados a terceiros por tabeliães e oficiais de registro no exercício de suas funções. Paradigma: RE 842.846. Relator: Min. Luiz Fux. DJe Nr. 172, de 08/07/2020. Disponível aqui. Acesso em: 13 set. 2022. 7 LIMA, Cíntia Rosa Pereira de. Comentários ao artigo 55-J. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais. Indaiatuba: Foco, 2022, p. 529-530. 8 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público. Versão 1.0, 27 jan. 2022. Disponível aqui. Acesso em: 13 set. 2022. 9 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Versão 2.0, 28 abr. 2022. Disponível aqui. Acesso em: 13 set. 2022. 10 Sobre o tema, conferir PARENTONI, Leonardo. Documento eletrônico: aplicação e interpretação pelo Poder Judiciário. Curitiba: Juruá, 2007, especialmente o Capítulo III. 11 MARCACINI, Augusto Tavares Rosa. Documentos digitalizados: originais, cópias e a nova Lei nº 12.682/2012. In: PAESANI, Liliana Minardi (coord.). O direito na sociedade da informação III: a evolução do direito digital. São Paulo: Atlas, 2013. p. 33-51. 12 MENKE, Fabiano. Assinatura eletrônica no direito brasileiro. São Paulo: Revista dos Tribunais, 2005, p. 30. O autor explica que "agora se vive a realidade de (...) ter de diminuir bastante a necessidade de utilização das assinaturas manuscritas. E isto de deve justamente ao desenvolvimento da criptografia assimétrica, e, com ela, a criação das assinaturas digitais". 13 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Portaria n. 11, de 27 de janeiro de 2021. Torna pública a agenda regulatória para o biênio 2021-2022. Disponível aqui. Acesso em: 13 set. 2022. sexta-feira, 9 de setembro de 2022 Comentar Introdução Com a chegada e a declaração de estado pandêmico provocado pela COVID-191, questões e dúvidas relativas à privacidade e à intimidade tornaram-se mais evidentes. O Direito, como uma das ciências da vida em sociedade, viu-se questionado. Poderia, então, este ente abstrato limitar direitos e garantias em prol de uma coletividade? Muito além das meras discussões acadêmicas, essas posições e discussões mostram interferências diárias em nossas vidas. Quais são os direitos e os deveres que cabem a cada pessoa e ao Estado quando posições fáticas refletem interferências nas escolhas individuais e na própria escolha individual de cada um? Os direitos fundamentais apresentam-se como o centro do debate. Não podemos negar que, nessa segunda década do século vinte e um, discussões sobre os limites dos poderes da sociedade materializados no Estado e no governo, e os direitos e deveres individuais, se colocaram em conflito. Mas será esse conflito real, ou meramente aparente? Em um contexto geral, é a Constituição Federal a norma máxima que apresenta fundamento de validade para os demais direitos. Mas, ela seria meramente o texto positivado, ou haveria algo a mais, questões vinculadas a materialidade, isto é, a realidade das relações que se apresentam. Analisaremos nesse breve artigo algumas considerações sobre proteção de dados e privacidade. Mas o que justificaria tal esforço? A questão é simples de se observar. Se de um lado temos as garantias e deveres constitucionais impostas à autoridade com poder de coerção, de outro temos a liberdade e o direito de exercermos nossas escolhas limitados pela consecução do bem comum. O Direito é amplo e permite discussões e posicionamentos diversos, dependendo da construção dos fatos que nos levam a possíveis conclusões diversas. Tecemos, então, alguns comentários a fim de fomentar a discussão e a polêmica inerentes a este assunto. O objetivo principal deste texto é discutir e difundir essas posições. Para tanto tentaremos trazer alguns aspectos deste debate, sem, contudo, esgotar a temática. Desenvolvimento A incorporação constitucional do Direito a Proteção de Dados como proteção fundamental A Emenda Constitucional 115, de 10 de fevereiro de 2022, alterou a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Incluiu-se no rol de direitos e garantias fundamentais previstos no artigo 5º, o inciso LXXIX, segundo o qual fica assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais. Da mesma forma que acrescentou o inciso XXVI ao artigo 21, de forma que compete à União: organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei. Fixando, ainda, competência legislativa privativa àquele ente, nos termos do inciso XXX, do artigo 22, segundo o qual compete privativamente à União legislar sobre: proteção e tratamento de dados pessoais. Anteriormente a este desenvolvimento legislativo e normativo a edição da Lei Geral de Proteção de Dados - lei 13.709/2018 apresentou uma regulação legal (infraconstitucional) sobre o assunto, a despeito da ausência de um marco normativo constitucional. Ainda que esta legislação não sirva de base de justificação constitucional direta deste direito, permite-se extrair a fundamentalidade da proteção a partir do seu conteúdo e alcance associado a partir da interpretação de princípios e direitos fundamentais de caráter geral e especial já positivados como o princípio da dignidade da pessoa humana, o direito ao livre e completo desenvolvimento da personalidade. Leonardo Quintiliando, em artigo publicado neste mesmo Portal2 nos questiona, após análise dos fundamentos que implicaram em alterações constitucionais, a sua necessidade; visto que "o direito à proteção de dados já é reconhecido pela doutrina e jurisprudência como princípio implícito na Constituição". O professor e advogado analisa os fundamentos considerados pelo Congresso para a constitucionalização identificando uma omissão quanto aos motivos e fundamentos que motivaram o constituinte, não explicitando sua necessidade. Identificou ainda que ,da forma que foi constitucionalizada como norma de eficácia contida esse direito, pode vir a sofrer restrições. Em outro escrito3, Quintiliano discute o contexto histórico e a finalidade da LGPD sob o alerta da possibilidade de controle da privacidade dos cidadãos e da manipulação de seus dados para interesses ilegítimos. Compreende, pois, que a proteção da privacidade é inerente à autodeterminação pessoal como uma irradiação do princípio da dignidade humana. Sua análise percorre desde a genérica previsão ao direito à privacidade na Declaração Universal dos Direitos Humanos, passando por outros instrumentos regionais para então chegar à proteção de dados, enquanto direito. A construção argumentativa é similar à utilizada pela Ministra Rosa Weber quando do julgamento da constitucionalidade da Medida Provisória 954/2020 que declarava a emergência de saúde pública no Brasil e dentro de seu escopo estava o compartilhamento obrigatório dos dados pessoais tendo em vista a proteção a saúde pública. O STF afastou essa hipótese. A partir da ADI 63874 de Relatoria da Ministra Rosa Weber no ano de 2020 quando o Supremo Tribunal Federal passou a reconhecer a proteção de dados pessoais como um direito fundamental autônomo e implicitamente positivado.5 Para compreender a lógica doutrinária e jurisprudencial devemos considerar a existência de normas com conteúdo materialmente constitucionais, de normas com conteúdo formalmente constitucionais. Recordando: o constituinte originário compreendeu que direitos e garantias expressos presentes na Constituição não excluem outros decorrentes do regime e dos princípios por ela adotados (Art. 5§2º). Podemos afirmar a existência de direitos materialmente constitucionais fora do texto expresso da constituição, atingidos por meio da interpretação proveniente dos tribunais competentes e da mais arrazoada doutrina. O texto constitucional não é taxativo em relação ao rol de direitos fundamentais. Esses podem estar dispersos no texto constitucional, assim como podem ser extraídos pelo intérprete do direito de toda a conformação do ordenamento jurídico. De acordo com Canotilho,6 a fundamentalidade material dos direitos fundamentais decorre da abertura da Constituição a outros direitos fundamentais não expressamente constitucionalizados Podemos entender o ordenamento jurídico, segundo as lições de Norberto Bobbio7, como uma entidade unitária constituída pelo conjunto sistemático de todas as normas (2006, p. 197), objetivando superar o risco permanente de incerteza e de arbítrio (2006, p. 198) a partir de três características fundamentais: a unidade, a coerência e a completude (2006, p. 198), encontrando seu fundamento na norma hipotética fundamental que pode se materializar na Constituição (mas que com ela não se confunde) em sua forma dinâmica. Ainda que possa o poder constituinte originar-se de um fato social, ele é autorizado pela norma fundamental a estabelecer normas emanadas que deverão ser cumpridas por todos, não admitindo lacunas, contradições e antinomias em seu sistema; sendo, portanto: uno, completo e coerente (BOBBIO, 2006, p.202). É dentro desta lógica sistêmica que o raciocínio vinculado à fundamentalidade do direito da proteção dos dados pessoais emergiu em decorrência dos direitos de personalidade e constitucionalmente, em especial, o respeito à privacidade e à autodeterminação informativa8. De forma que a coleta, o uso e o processamento (tratamento e manipulação) de dados relativos à identificação - efetiva ou potencial - de pessoa natural, hão de observar os limites delineados pela proteção à liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII). O tratamento de dados pessoais tende a ser uma medida eficaz, muitas vezes essencial, para a avaliação e o manejo de riscos, sendo que apresenta implicações para o desenvolvimento de políticas públicas e sociais. Quando há interesse público legítimo no compartilhamento dos dados pessoais dos usuários de serviços, faz-se necessária a garantia de que esses dados manipulados sejam adequados, relevantes e não excessivos em relação ao propósito a que deles se espera para o uso e conservados apenas pelo tempo necessário. Em função do princípio da transparência, o uso e a coleta desses dados devem ter seus critérios de uso e da forma de coleta e tratamento definidos, expressando e protegendo também a garantia do devido processo legal (art. 5º, LIV, da CF). Na dimensão substantiva, deve oferecer condições de avaliação quanto à sua adequação, à necessidade, à compatibilidade do tratamento com as finalidades informadas e à sua limitação ao mínimo necessário para alcançar suas finalidades. No mesmo sentido, devem ser apresentados mecanismos técnicos ou administrativos aptos à proteção de tais dados pessoais, em especial aqueles definidos como sensíveis de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na transmissão, seja no tratamento, Independentemente do cenário de urgência decorrente de crises e emergências, a necessidade de formulação de políticas públicas, que demandem dados específicos para seu desenho executivo, não pode ser invocada como pretextos para justificar investidas visando ao enfraquecimento de direitos e permitindo o atropelo de garantias fundamentais consagradas pelo sistema constitucional. Consequentemente, é relevante compreender o sentido do termo "dados pessoais" e analisar as características específicas da temática referente a dados pessoais sensíveis. Algumas Definições: Dados Pessoais e Dados Pessoais Sensíveis O Regulamento Europeu (UE 2016/679), que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, considera que as pessoas têm direito à proteção dos dados de caráter pessoal, garantindo a realização de um espaço comum de liberdade, segurança e justiça; logo, devendo esta proteção ser considerada em equilíbrio com outros direitos fundamentais. Neste sentido, define-se Dados Pessoais como toda unidade, a qual integra uma informação pessoal, relativa a uma pessoa física que possa ser identificada, direta ou indiretamente, a partir de uma referência ou identificador, por via eletrônica ou física, que apresentem elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social da mesma9. Nota-se que a normativa europeia define algumas categorias especiais relativas aos dados pessoais, é dizer, especifica-se a proteção de dados sensíveis, sendo esses aqueles que: "revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa"10. No direito pátrio, por sua vez o legislador seguiu os mesmos conceitos, a partir do artigo 5º da LGPD, podemos extrair que dados pessoais são informações relacionadas a pessoa natural identificada ou identificável e dados pessoais sensíveis caracterizam-se como dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A partir destas definições conceituais, deve-se compreender os limites e as diferenças entre o direito à proteção de dados pessoais e os direitos de privacidade, já que são conceitos relacionados e interligados; porém distintos e diversos. Entre os Direitos de Privacidade e a Proteção de Dados Kevin Peroli11 afirma que a efetividade da autodeterminação do indivíduo também recai sobre a proteção dos dados pessoais e sensíveis como fundamento ao acordo entre indivíduos e instituições acerca de quais dados podem ser tratados, de forma que existe a soberania do titular desses dados sobre suas próprias informações. Conforme nos indica Leonardo Quintiliano12, o próprio parecer da Câmara dos Deputados a respeito da PEC 17/2019 traz o posicionamento de Laura Schertel Ferreira Mendes, professora da Universidade de Brasília, que de forma concisa nos apresenta as diferenças básicas sobre esses direitos. O direito à privacidade possui caráter individual, expressando-se como um direito negativo que oportuniza o uso e o gozo de direitos. De outro lado, a proteção de dados apresentar-se com um caráter mais coletivo, expressando-se como um direito positivo, manifestado na própria decisão do indivíduo de permitir ou não a coleta, o uso, a circulação e o tratamento de seus dados, de forma a garantir a igualdade por meio da não discriminação e o aproveitamento de oportunidades sociais. Considerações Finais Desta forma, fica claro que apesar de próximos, estes conceitos não se confundem. Ainda mais que, com a constitucionalização da proteção de dados, o direito de proteção aos dados pessoais se tornou um direito mais autônomo, e não mais uma mera construção interpretativa. Ainda que haja críticas sobre a constitucionalização e a sua necessidade, o fato é que com a positivação deste direito em norma constitucional expressa, torna-se mais fácil o acesso e a compreensão desta proteção dos dados pessoais. No entanto, por ser algo novo, que tem seu debate iniciado há poucos anos, a execução e a proteção de direitos derivados da proteção de dados dependem de estabilização que só ocorrerá a partir das decisões judiciais sobre o caso concreto, de forma a garantir a unidade e a coerência de todo o sistema e ordenamento jurídico. __________ 1 BRASIL, Decreto Legislativo Nª. 06 de março de 2020, que "Reconhece, para os fins do art. 65 da Lei Complementar nº 101, de 4 de maio de 2000, a ocorrência do estado de calamidade pública, nos termos da solicitação do Presidente da República encaminhada por meio da Mensagem nº 93, de 18 de março de 2020". 2 QUINTILIANO, Leonardo David. A proteção de dados pessoais como direito fundamental - (ir)relevância da PEC 17/2019? Disponível aqui. 3 QUINTILIANO, Leonardo David. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD). Instituto Avançado de Proteção de Dados - IAPD Disponível aqui. 4 EMENTA MEDIDA CAUTELAR EM AÇÃO DIRETA DE INCONSTITUCIONALIDADE. REFERENDO. MEDIDA PROVISÓRIA Nº 954/2020. EMERGÊNCIA DE SAÚDE PÚBLICA DE IMPORTÂNCIA INTERNACIONAL DECORRENTE DO NOVO CORONAVÍRUS (COVID-19). COMPARTILHAMENTO DE DADOS DOS USUÁRIOS DO SERVIÇO TELEFÔNICO FIXO COMUTADO E DO SERVIÇO MÓVEL PESSOAL, PELAS EMPRESAS PRESTADORAS, COM O INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. FUMUS BONI JURIS. PERICULUM IN MORA. DEFERIMENTO. 1. Decorrências dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais. 2. Na medida em que relacionados à identificação - efetiva ou potencial - de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena de lesão a esses direitos. O compartilhamento, com ente público, de dados pessoais custodiados por concessionária de serviço público há de assegurar mecanismos de proteção e segurança desses dados. 3. O Regulamento Sanitário Internacional (RSI 2005) adotado no âmbito da Organização Mundial de Saúde exige, quando essencial o tratamento de dados pessoais para a avaliação e o manejo de um risco para a saúde pública, a garantia de que os dados pessoais manipulados sejam "adequados, relevantes e não excessivos em relação a esse propósito" e "conservados apenas pelo tempo necessário." (artigo 45, § 2º, alíneas "b" e "d"). 4. Consideradas a necessidade, a adequação e a proporcionalidade da medida, não emerge da Medida Provisória nº 954/2020, nos moldes em que editada, interesse público legítimo no compartilhamento dos dados pessoais dos usuários dos serviços de telefonia. 5. Ao não definir apropriadamente como e para que serão utilizados os dados coletados, a MP nº 954/2020 desatende a garantia do devido processo legal (art. 5º, LIV, da CF), na dimensão substantiva, por não oferecer condições de avaliação quanto à sua adequação e necessidade, assim entendidas como a compatibilidade do tratamento com as finalidades informadas e sua limitação ao mínimo necessário para alcançar suas finalidades. 6. Ao não apresentar mecanismo técnico ou administrativo apto a proteger, de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na transmissão, seja no tratamento, o sigilo, a higidez e, quando o caso, o anonimato dos dados pessoais compartilhados, a MP nº 954/2020 descumpre as exigências que exsurgem do texto constitucional no tocante à efetiva proteção dos direitos fundamentais dos brasileiros. 7. Mostra-se excessiva a conservação de dados pessoais coletados, pelo ente público, por trinta dias após a decretação do fim da situação de emergência de saúde pública, tempo manifestamente excedente ao estritamente necessário para o atendimento da sua finalidade declarada. 8. Agrava a ausência de garantias de tratamento adequado e seguro dos dados compartilhados a circunstância de que, embora aprovada, ainda não vigora a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), definidora dos critérios para a responsabilização dos agentes por eventuais danos ocorridos em virtude do tratamento de dados pessoais. O fragilizado ambiente protetivo impõe cuidadoso escrutínio sobre medidas como a implementada na MP nº 954/2020. 9. O cenário de urgência decorrente da crise sanitária deflagrada pela pandemia global da COVID-19 e a necessidade de formulação de políticas públicas que demandam dados específicos para o desenho dos diversos quadros de enfrentamento não podem ser invocadas como pretextos para justificar investidas visando ao enfraquecimento de direitos e atropelo de garantias fundamentais consagradas na Constituição. 10. Fumus boni juris e periculum in mora demonstrados. Deferimento da medida cautelar para suspender a eficácia da Medida Provisória nº 954/2020, a fim de prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel. 11. Medida cautelar referendada. (ADI 6387 MC-Ref, Relator(a): ROSA WEBER, Tribunal Pleno, julgado em 07/05/2020, PROCESSO ELETRÔNICO DJe-270 DIVULG 11-11-2020 PUBLIC 12-11-2020) 5 SARLET, Ingo Wolfgang; A EC 115/22 e a proteção de dados pessoais como Direito Fundamental I. In Consultor Jurídico [Direitos Fundamentais]. Publicado em 11 de março de 2022. Acesso em 05 de Agosto de 2022. 6 CANOTILHO, José Joaquim Gomes. Direito constitucional e teoria da constituição. 4º ed. Coimbra: Almedina, p. 373 7 BOBBIO, Norberto. O Positivismo Jurídico: Lições de Filosofia do Direito. Coleção Elementos do Direito. São Paulo, Ícone: 2006. 8 Trata-se de um poder que cada cidadão tem sobre seus próprios dados pessoais sendo uma forma de garantir o controle sobre as próprias, permitindo o domínio sobre os dados pessoais e consequentemente implicando que o seu uso e tratamento sejam legítimos. É um dos fundamentos que norteiam a LGPD e constitui-se em uma faculdade pessoal garantida a todos para o exercício de controle da coleta, uso, tratamento e transferência desses dados por e a terceiros. 9 Artigo 4º. Do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) 10 Artigo 9º. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) 11 PEROLI, Kelvin. O que são dados pessoais sensíveis? Instituto Avançado de Proteção de Dados - IAPD. Disponível aqui. 12 QUINTILIANO, Leonardo David. A proteção de dados pessoais como direito fundamental - (ir)relevância da PEC 17/2019? Disponível aqui. sexta-feira, 2 de setembro de 2022 Comentar Introdução A LGPD não trouxe previsão expressa do direito à desindexação dentre os direitos assegurados aos titulares de dados nos artigos 17 a 22 da lei, no entanto, não se deve olvidar que este é um rol exemplificativo na medida em que a proteção de dados pessoais é um direito fundamental e integra o rol dos direitos de personalidade. Assim, o próprio art. 5º da CF/88 traz a possibilidade de outros direitos e garantias fundamentais previstos em Tratados Internacionais dos quais o Brasil seja signatário (cláusula geral de reenvio prevista no § 3º). Semelhantemente, o Código Civil menciona alguns direitos de personalidade de forma exemplificativa1 (arts. 11 a 21 do CC/02), pois a tutela privada dos direitos de personalidade impõe uma releitura dos fundamentos do Direito Privado, como alertava Orlando Gomes2. Neste sentido, Pietro Perlingieri3 afirma que o fundamento da tutela dos direitos de personalidade é único, porém as manifestações da personalidade humana são múltiplas e não se pode identificar todas estas variedades a priori. 1 Conceito e limites do direito à desindexação Pizzetti Franco4 define o direito à indexação como: "o direito de não ver facilmente encontrada uma notícia que não seja mais atual. O efeito principal da indexação e difusão da notícia por meio das ferramentas de busca é, de fato, colaborar de maneira contínua para a atualidade das informações e criar um perfil da pessoa a que se referem". Para se compreender o direito à desindexação, deve-se recordar que as ferramentas de busca coletam informações a partir dos parâmetros indicados pelos usuários, classificando-as a partir de algoritmos de relevância da informação, restando claro que estas ferramentas realizam tratamento de dados pessoais. Portanto, surge a questão sobre as hipóteses legais para sustentar esse tratamento de dados. No art. 7º da LGPD, constatam-se as hipóteses para tratamento de dados pessoais, quais sejam: o consentimento do titular de dados; cumprimento de obrigação legal ou regulatória; pela administração pública, quando necessário à execução de políticas públicas; para a realização de estudos por órgão de pesquisa (garantida a anonimização sempre que possível); para a execução de contrato ou de procedimentos preliminares; para exercício regular de direito em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular ou de terceiros; para a tutela da saúde; para atender interesses legítimos dos agentes de tratamento ou de terceiros; e para a proteção do crédito, conforme a Lei do Cadastro Positivo (lei 12.414/2011). O art. 11 da LGPD, por sua vez, estabelece as bases para o tratamento de dados pessoais sensíveis,5 a saber: consentimento; cumprimento de obrigação legal ou regulatória; pela administração pública quando necessário à execução de políticas públicas; para a realização de estudos por órgão de pesquisa (garantida a anonimização sempre que possível); exercício regular de direito; obrigação legal ou regulatória; para a proteção da vida ou da incolumidade física do titular ou de terceiro; - para a tutela da saúde; e para a prevenção à fraude e à segurança do titular de dados. Percebe-se que, embora semelhantes, as hipóteses para o tratamento de dados pessoais sensíveis são mais restritivas, não se admitindo para a execução de contrato ou de procedimentos preliminares, para atender aos interesses legítimos dos agentes de tratamento de dados e para proteção do crédito. Desta forma, a indexação somente pode se sustentar se estiver embasada em uma das hipóteses autorizadoras para o tratamento de dados pessoais acima elencadas. Uma das hipóteses é o consentimento. Muito embora não seja esta a única base para o tratamento de dados pessoais, é inegável a relevância desta hipótese legal para que o tratamento de dados seja realizado. Portanto, quando a indexação estiver embasada apenas no consentimento6, a LGPD garante ao titular de dados pessoais o direito de revogar o consentimento (art. 18, inc. IX da lei). Neste sentido, pode-se afirmar que o direito à desindexação é um direito que decorre do sistema de proteção dos dados pessoais, segundo o qual o titular dos dados pode se opor ao tratamento de dados realizado sem uma base legal que o sustente ou quando o titular de dados se oponha, revogando o consentimento manifestado de forma expressa ou inequívoca. Quanto aos limites do direito à desindexação, deve-se atentar às circunstâncias legais que autorizam o tratamento de dados pessoais, independentemente do consentimento do titular de dados. Portanto, nestas hipóteses, não caberá o direito à desindexação, pois existe um fundamento legal, que deve ser demonstrado pelo agente de tratamento de dados em função do princípio da responsabilidade e prestação de contas (accountability) nos termos do inc. X do art. 6º da LGPD. Fundamento legal do direito à desindexação em uma perspectiva civil-constitucional O direito à desindexação está intimamente ligado à autodeterminação informativa, entendida como o direito subjetivo da pessoa de poder controlar o acesso, o fluxo e o compartilhamento de suas informações pessoais, o direito à proteção de dados deve ser visto como um direito fundamental. Os desafios para a concretude deste direito no contexto das novas tecnologias, cuja capacidade de armazenamento e a perenização da informação são facilmente alcançadas, são muitos. Segundo a opinião de Viktor Mayer-Shönberger7, a "Internet precisa nos permitir esquecer". Porém, destaca o autor, que, no caso González vs. Google Spain, a informação já estava ultrapassada e era irrelevante, portanto, não era necessária a sua preservação. Viktor destaca que não resgatar eventos e notícias descontextualizadas e desatualizadas é fundamental para a evolução do ser humano e o perdão. Cumpre destacar este o direito à desindexação é próprio ao sistema de informação, pois implica na coleta, seleção e organização de dados pessoais a partir dos parâmetros de busca definidos por algoritmos. Neste sentido, Jonathan Zittrain8 entende que, na verdade, o direito que se pretende é que a sua vida não seja apresentada por uma máquina sem que haja revisão, e de maneira tão trivial, basta digitar uma palavra de busca e um clique. Segundo o autor, este direito é legítimo. E a solução mais eficaz está na arquitetura da rede, disseminando ferramentas tecnológicas que subordinam a acessibilidade de determinado dado a um lapso temporal. Portanto, o direito à desindexação tem fundamento na própria Constituição Federal, art. 1o, inc. III (dignidade da pessoa humana), além do art. 12 do Código Civil quanto à tutela privada dos direitos de personalidade. A própria Constituição Federal, §1º do art. 2209, estipula fatores que relativizam a liberdade de informação e de expressão como a proteção dos direitos da personalidade, pois cediço que nenhum direito é absoluto. Por isso, um site de ferramenta de busca e indexação na Internet pode ser obrigado a estabelecer ferramentas de filtros para que determinado conteúdo não seja mais indexado conforme um determinado parâmetro de busca, sem, contudo, removê-la do provedor de conteúdo, da fonte primária, o que caracterizaria o direito à desindexação. Por ser o principal prejudicado, o titular do exercício do direito à desindexação, como um direito de personalidade, é a própria pessoa, detentora de suas informações pessoais veiculadas, processadas e transmitidas. Em contrapartida, excepcionalmente, a pretensão poderá ser exercida por seus sucessores nos termos do parágrafo único do art. 12 do Código Civil brasileiro, que confere tal legitimidade para a tutela dos direitos da personalidade. Conclusão: o fundamento do direito à desindexação na Lei Geral de Proteção de Dados (LGPD) Além disso, o fundamento legal para o direito à desindexação depende da hipótese em questão. Se o tratamento tiver sido realizado com base nas hipóteses legais para tal atividade, exceto o consentimento, a LGPD possibilita o direito à desindexação por meio da oposição facultada aos titulares de dados nos termos do art. 18, § 2o: "O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei". A parte final deste dispositivo legal ("em caso de descumprimento ao dispositivo da Lei") foi acrescentada na discussão do texto da lei no Congresso Nacional. Desta forma, o legislador deixa clara a possibilidade de se opor ao tratamento de dados pessoais, que pode ser à indexação, quando o agente de tratamento de dados não demonstrar nenhuma hipótese legal para o tratamento de dados pessoais, fato que demonstraria um descumprimento à LGPD. O outro fundamento legal para o direito à desindexação é a possibilidade de revogação do consentimento pelo titular de dados pessoais prevista no inc. IX do art. 18 da LGPD. Em outras palavras, quando a indexação estiver fundamentada no consentimento expresso ou inequívoco do titular, este poderá exercer o direito à desindexação revogando o consentimento.10 __________ 1 De acordo com Gustavo Tepedino: "Deverá o interprete romper com a ótica tipificadora seguida pelo Código Civil, ampliando a tutela da pessoa não apenas no sentido de admitir um aumento das hipóteses de ressarcimento, mas, de maneira muito ampla, no intuito de promover a tutela da personalidade mesmo fora do rol de direitos subjetivos previstos pelo legislador codificador". TEPEDINO, Gustavo. Cidadania e os direitos da personalidade. In: Revista da Escola Superior da Magistratura de Sergipe. Aracaju, n. 3, 2002, p.4. 2 Introdução ao Direito Civil. 18 ed. Rio de Janeiro: Forense, 2001. p. 150. 3 Manuale di Diritto Civile. 6. ed. Napoli: Edizioni Scientifiche Italiane, 2007. p. 149. 4 Le Autorità Garanti per la Protezione dei Dati Personali e la Sentenza della Corte di Giustizia sul Caso Google Spain: è Tempo di Far Cadere il "Velo di Maya". In: Il Diritto dell'informazione e dell'informatica, 2014, fasc. 4-5, Giuffrè, pp. 805 - 829. p. 808: "[...] il diritto a non vedere facilmente trovata una notizia non più attuale. L'effetto principale della indicizzazione e diffusione delle notizie attraverso il motore di ricerca è infatti quello di concorrere in modo contino a riattualizzare tutte le informazioni, facendole diventare tutte elementi del profilo in atto della persona a cui si riferiscono." 5 Dados pessoais sensíveis são definidos no inc. II do art. 5º da LGPD, a saber: "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". 6 Que pode ser expresso ou inequívoco conforme estabelece o inc. XII do art. 5º da LGPD e o caput do art. 8º da LGPD. Cf. LIMA, Cíntia Rosa Pereira de. Consentimento inequívoco versus expresso: o que muda com a LGPD? In: Revista do Advogado, ano XXXIX, n. 144, pp. 60 - 66. São Paulo: AASP, 2019. 7 Entrevista pulicada no Estadao.com.br, Cultura Digital, em 08/06/2014. 8 Opinion In New York Times. Disponível em aqui, Don't Force Google to 'Forget', acesso em 15 de mar. 2021. 9 Art. 220. A manifestação do pensamento, a criação, a expressão e a informação, sob qualquer forma, processo ou veículo não sofrerão qualquer restrição, observado o disposto nesta Constituição. § 1º Nenhuma lei conterá dispositivo que possa constituir embaraço à plena liberdade de informação jornalística em qualquer veículo de comunicação social, observado o disposto no art. 5º, IV, V, X, XIII e XIV. 10 Para o estudo mais aprofundado sobre o tema, vide: LIMA, Cíntia Rosa Pereira de. O direito à desindexação em uma perspectiva civil-constitucional. In: SARLET, Gabrielle Bezerra Sales; TRINDADE, Manoel Gustavo Neubarth; MELGARÉ, Plínio. Proteção de Dados: temas controvertidos. Indaiatuba: Foco, 2021. sexta-feira, 26 de agosto de 2022 Comentar Na disciplina da LGPD, o tratamento de dados pessoais só pode ocorrer se estiver fundamentado em uma base legal. Desse modo, para a operacionalização de sistemas de Inteligência Artificial que envolva o tratamento de dados pessoais, a atuação do Poder Público precisará estar respaldada em uma das hipóteses autorizativas previstas nos artigos 7º e 11 da lei 13.709/2018. Deve-se buscar, em cada caso concreto, a base legal mais adequada e segura para a finalidade pretendida, com a apresentação das justificativas pertinentes pela Administração Pública, sendo certo, inclusive, que o consentimento do titular poderá ser dispensado, nos termos analisados na Parte I deste ensaio. Se é exato que a disciplina da Lei Geral de Proteção de Dados Pessoais não pode ser interpretada de forma tão estrita que paralise ou impeça a atuação estatal, também é verdade que não há um "salvo-conduto" para o desrespeito ao direito à proteção dos dados pessoais. A via hermenêutica a ser seguida deve ser, sempre, a de viabilizar a atividade pública, mas com balizamentos jurídicos fundamentais que vão moldar a atuação do agente de tratamento. Na conformação do agir administrativo pela disciplina da LGPD, portanto, destacam-se os princípios contemplados em seu artigo 6º. De acordo com tal dispositivo, o tratamento de dados pessoais deve ser realizado para finalidade legítima, específica, explícita e devidamente informada, sem possibilidade de tratamento posterior de modo conflitante com esse objetivo (princípio da finalidade). Faz-se mister que a operação prevista seja compatível com o propósito aventado e que o procedimento ocorra sem excessos, na exata medida para se alcançar tal fim. Com efeito, o tratamento de dados pessoais deve ocorrer conforme sua razão justificadora e no limite desse escopo, encerrando-se a operação tão logo haja seu cumprimento (princípios da adequação e da necessidade).1 Assegura-se ao titular acesso facilitado e gratuito à forma, à duração do tratamento e à integralidade dos dados pessoais (princípio do livre acesso). Os dados devem estar corretos, claros, atualizados e se afigurarem relevantes para o atendimento do objetivo da operação (princípio da qualidade dos dados). São garantidas ao titular informações claras, precisas e facilmente acessíveis a respeito dos tratamentos realizados e dos agentes que os promovem, respeitados os segredos comercial e industrial (princípio da transparência). A operação deve ser efetuada de acordo com medidas técnicas e administrativas seguras (princípio da segurança). Demanda-se a adoção de providências que evitem a ocorrência de danos, determinando-se aos agentes de tratamento a demonstração do implemento das normas de proteção e da eficácia das medidas cumpridas (princípios da prevenção e da responsabilização e prestação de contas). O tratamento não pode se dar para fins discriminatórios ilícitos ou abusivos (princípio da não discriminação). Além disso, com relação aos dados de crianças e adolescentes, deverá ser observado, pelo Poder Público, o princípio do melhor interesse (art. 14, caput, LGPD), que é consectário da doutrina da proteção integral (art. 227, CRFB). Cuida-se de salvaguardar os direitos fundamentais desses sujeitos vulneráveis, independentemente de qual seja a base legal de tratamento. Outra disposição a ser considerada diz respeito ao artigo 23 da lei 13.709/2018. Isso porque as bases legais elencadas nos artigos 7º e 11 devem ser lidas em conjunto com a previsão do artigo 23 da LGPD. A norma exige que o tratamento de dados pessoais atenda a uma finalidade pública e que sejam observadas as competências legais dos órgãos administrativos. Demanda, ademais, a observância do dever de publicidade por parte do Poder Público, informando, de modo claro e atualizado, em veículo de fácil acesso, preferencialmente por meio de seus sítios eletrônicos, a respeito dos tratamentos realizados. Prevê, ainda, a indicação de encarregado, que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (art. 5º, VIII, LGPD). Também se mostra importante a elaboração de relatórios de impacto à proteção de dados pessoais, descrevendo os processos que podem gerar riscos às liberdades civis e aos direitos fundamentais e as providências que visam a mitigar os riscos envolvidos (art. 5º, XVII, LGPD). Nessa toada, "eventuais riscos à proteção de dados pessoais" devem ser levados em consideração "tanto nos relatórios de impacto de proteção de dados (RIPDs)" previstos na lei 13.709/2018 "quanto nas Avaliações de Impacto Algorítmico (AIA)", de modo a integrar o mapeamento de riscos da contratação pública de Inteligência Artificial.2 A perspectiva deve ser, portanto, a de enfoque na adoção de medidas capazes de antecipar e mitigar riscos, indo além de uma ótica tradicional que trata exclusivamente da reparação pecuniária de eventuais danos já causados. Com efeito, deve ser perseguida a tutela efetiva do direito à proteção dos dados pessoais e, consequentemente, do princípio da dignidade da pessoa humana, alicerce do sistema jurídico. Cabe observar que a LGPD prevê, na Seção "Da Responsabilidade" do Capítulo destinado ao "Tratamento de Dados Pessoais pelo Poder Público" (Seção II do Capítulo IV), contornos próprios para a atuação da Autoridade Nacional de Proteção de Dados nessa seara.3 É atribuída competência à ANPD para sugerir, ao Poder Público, a adoção de padrões e de boas práticas, para solicitar a publicação de relatórios de impacto à proteção de dados pessoais e para enviar informe com providências cabíveis para pôr fim a uma eventual violação (arts. 31 e 32). De outra parte, é certo que devem ser assegurados os direitos do titular previstos na LGPD (Capítulo III). Tratando-se de decisões automatizadas, põe-se em relevo o debate sobre o direito à explicação e o direito à revisão de tais decisões. O artigo 20, caput, da lei 13.709/2018, prevê que o "titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade". O § 1º do mesmo dispositivo estabelece que "o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial". No caso de recusa do fornecimento da informação com fundamento nos segredos comercial e industrial, a autoridade nacional poderá, nos termos do § 2º do artigo 20, "realizar auditoria para verificação de aspectos discriminatórios" no "tratamento automatizado de dados pessoais". A questão mais controvertida diz respeito a se haveria exigência de revisão humana ou se a revisão poderia ser feita por outra decisão automatizada. A redação original da LGPD continha a previsão do direito do titular de solicitar a revisão por pessoa natural, o que, todavia, foi excluído pela Medida Provisória 869/2018. Com a conversão da Medida Provisória nº 869/2018 na lei 13.853/2019, pretendeu-se estipular, no § 3º do artigo 20, que a revisão deveria ser realizada por pessoa natural, conforme previsto em regulamentação da autoridade nacional, que levaria em consideração a natureza e o porte da entidade ou o volume de operações de tratamento de dados. O dispositivo foi, todavia, objeto de veto presidencial. A redação vigente da Lei Geral de Proteção de Dados Pessoais não contempla, portanto, previsão expressa a respeito da revisão humana de decisões automatizadas. A exclusão operada pela Medida Provisória 869/2018, convertida na Lei nº 13.853/2019, tem gerado interpretações distintas na doutrina, havendo quem sustente, por exemplo, que, "mesmo com a Lei 13.853/2019, poder-se-ia inferir, a partir da principiologia da Lei, que a intervenção humana continua a ser uma exigência em alguma fase do processo de contestação da decisão automatizada, ainda que não no primeiro pedido de revisão".4 A esse respeito, foi observado, na Estratégia Brasileira de Inteligência Artificial (EBIA), que, "nos casos em que a avaliação de risco de decisões automatizadas indica um alto risco para os indivíduos, a intervenção humana pode ser um importante fator de mitigação do risco a ser considerado pelas organizações privadas e pelo setor público". Constou, então, como uma das ações estratégicas a serem implementadas, a criação de "parâmetros sobre a intervenção humana em contextos de IA em que o resultado de uma decisão automatizada implica um alto risco de dano para o indivíduo". Trata-se de tema ainda em construção, que certamente suscitará maiores debates doutrinários e jurisprudenciais, e demandará conformação pela Autoridade Nacional de Proteção de Dados, cabendo ao agente de tratamento acompanhar sua evolução e zelar pela atuação (sempre) em conformidade com a ordem jurídica. Por fim, cabe ressalvar os casos de tratamento de dados pessoais para fins exclusivos de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais. A ANPD afirma, em seu "Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público", que o inciso III do artigo 4º da lei 13.709/2018 "excepciona parcialmente a aplicação da LGPD" a tais operações. O Enunciado nº 678 da IX Jornada de Direito Civil consigna que se aplicam, aos tratamentos de dados pessoais realizados para tais fins exclusivos, "o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos na LGPD, sem prejuízo de edição de legislação específica futura". A Estratégia Brasileira de Inteligência Artificial (EBIA) aduz que, "enquanto uma lei específica sobre o tema não existe, aplica-se a LGPD ainda que de forma limitada". Desse modo, "a criação e o uso de bancos de dados de segurança pública integrados a sistemas de IA devem observar o devido processo legal, os princípios gerais de proteção de dados pessoais e os direitos dos titulares de dados, conforme o art. 4º, §1º, da LGPD". Diante do exposto nas Partes I e II deste trabalho, vê-se que o tratamento de dados pessoais pelo Poder Público no bojo da operacionalização de sistemas de Inteligência Artificial envolve tanto a apreensão da finalidade pública da atividade quanto a consideração da natureza pessoal da informação. Não se pode descurar, assim, da dimensão (não já unilateral, mas) relacional do tema, demandando-se o balanceamento entre os diversos interesses incidentes em cada caso concreto.5 Por um lado, é certo que a interpretação da disciplina da Lei Geral de Proteção de Dados Pessoais não pode ser tão ferrenha a ponto de paralisar ou impedir a aplicação da Inteligência Artificial no setor público. Por outro lado, também é verdade que não se pode descurar do respeito ao direito fundamental à proteção dos dados pessoais. Não há como se conceber um "cheque em branco" ao agente para adotar a qualquer custo e sem qualquer balizamento jurídico tecnologias de Inteligência Artificial. Todavia, também não podem ser construídas amarras excessivas que impeçam a inovação no setor público, sob pena de prejuízo, em última análise, à efetivação dos direitos que assistem aos próprios cidadãos. A inovação, aliás, constitui um dos fundamentos da disciplina de proteção dos dados pessoais, como prevê o artigo 2º, V, da LGPD. Assim, o caminho hermenêutico a ser trilhado deve ser o de viabilização da atividade pública, ao mesmo tempo em que se impõe uma conformação da atuação administrativa às regras de proteção de dados pessoais. Nesta perspectiva, desponta a superação da fantasiosa dicotomia entre direito público e direito privado, bem como da divisão estanque forjada entre os temas da Inteligência Artificial e da Proteção de Dados Pessoais. Na interseção entre todos esses campos, está o mesmo ponto de chegada: a construção da solução que melhor realize a escala axiológica constitucional. __________ 1 PERLINGIERI, Pietro. La pubblica amministrazione e la tutela della privacy. In: PERLINGIERI, Pietro. La persona e i suoi diritti: problemi del diritto civile. Napoli: Edizioni Scientifiche Italiane, 2005, p. 259. 2 FÓRUM ECONÔMICO MUNDIAL, C4IR Brasil. Guia de Contratações Públicas de Inteligência Artificial, 2022, p. 41. Disponível aqui. 3 Ilustre-se com a recente manifestação da ANPD sobre a divulgação dos microdados do Enem e do Censo Escolar pelo INEP. 4 BIONI, Bruno R.; MENDES, Laura Schertel. Regulamento Europeu de Proteção de Dados Pessoais e a Lei Geral Brasileira de Proteção de Dados: mapeando convergências na direção de um nível de equivalência. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. 2. ed. São Paulo: Thomson Reuters Brasil, 2020, p. 803, E-book. 5 PERLINGIERI, Pietro, op. cit., p. 259. sexta-feira, 19 de agosto de 2022 Comentar Os Direitos da Personalidade são projeções do ser humano que, amparados no valor fundamental deste e no princípio maior da dignidade da pessoa humana, concedem a uma pessoa, por meio do ordenamento jurídico, a possibilidade de fruir e dispor dos atributos essenciais da sua própria personalidade.1 Em outras palavras, tais direitos irradiam do próprio ser humano, para que ele possa ser efetivamente o que é, sobreviver e se adaptar.2 A partir deste enunciado e da noção de atipicidade dos direitos privados de personalidade, cuja caracterização está intrinsicamente ligada ao desenvolvimento humano, deve-se destacar que a acepção do direito ao esquecimento na chamada era digital, ainda que não esteja limitado a esta, tem contornos ainda mais relevantes que sustentam sua caracterização como direito de personalidade autônomo. O primeiro grande desafio é construir um conceito do que vem a ser o direito ao esquecimento, podendo ser compreendido como um direito de personalidade autônomo por meio do qual o indivíduo, a fim de não ser estigmatizado como o ser humano em determinado momento de sua vida, pode pedir para excluir ou deletar as informações a seu respeito, ou mesmo impedir a propagação e divulgação de determinado conteúdo que lhe diga respeito, notadamente quando tenha passado um lapso temporal considerável desde a sua coleta e utilização ou sua ocorrência, e desde que tais informações não tenham mais utilidade ou não interfiram no direito de liberdade de expressão, científica, artística, literária e jornalística.3 Portanto, o conteúdo do direito ao esquecimento resulta de um sopesamento de princípios. Diante dessa perspectiva dinâmica que caracteriza este direito, além de considerar este mesmo pressuposto para a sociedade informacional, por ser necessária uma análise casuística e de ponderação deste com os demais direitos da personalidade e de garantias fundamentais, questiona-se a efetividade de um tema de repercussão geral, como o Tema 786 julgado pelo STF como Recurso Especial 1010606, cujo relator é o Ministro Dias Toffoli, já que fica clara a impossibilidade de estabelecer um precedente que possa ser aplicado universalmente a todos os casos. O que já foi objeto de reflexão desta coluna por Cíntia Rosa Pereira de Lima e Guilherme Magalhães Martins.4 Nota-se que tal observação consta da emenda do recurso citado, in verbis: "É incompatível com a Constituição a ideia de um direito ao esquecimento, assim entendido como o poder de obstar, em razão da passagem do tempo, a divulgação de fatos ou dados verídicos e licitamente obtidos e publicados em meios de comunicação social analógicos ou digitais. Eventuais excessos ou abusos no exercício da liberdade de expressão e de informação devem ser analisados caso a caso, a partir dos parâmetros constitucionais - especialmente os relativos à proteção da honra, da imagem, da privacidade e da personalidade em geral - e das expressas e específicas previsões legais nos âmbitos penal e cível". (RE 1010606, Relator(a): DIAS TOFFOLI, Tribunal Pleno, julgado em 11/02/2021, PROCESSO ELETRÔNICO REPERCUSSÃO GERAL - MÉRITO DJe-096 DIVULG 19-05-2021 PUBLIC 20-05-2021).5 Entretanto, no próprio julgado ficou evidente que deve ser feita análise casuística para coibir "eventuais abusos". Portanto, diante do dinamismo do direito ao esquecimento, e da sociedade informacional como um todo, a conceitualização do tema, e a maneira pela qual este será regulamentado pelo ordenamento jurídico ainda é uma incógnita, pois este direito necessita de uma vagueza semântica proposital. Nesse sentido, deve-se destacar que o Regulamento Geral Europeu sobre Proteção de Dados Pessoais (GDPR) garante este direito, no art. 17,6 sendo entendido como: "the right of individuals to have their data no longer processed and deleted when they are no longer needed for legitimate purposes".7 Para uma análise aprofundada sobre o tema, sugere-se outro texto já publicado nesta coluna de autoria da professora Maria Cristina De Cicco.8 Embora possua enorme relevância no contexto geral, isso porque não existia até então uma conceitualização legal para o direito ao esquecimento, e também pela necessidade da criação de um consenso entre os Estados sobre o que pode ser reproduzido na internet, para facilitar a tutela desse direito9, o termo ainda é muito discutido e criticado. Dessa forma, mesmo sendo um conceito criado propositalmente de forma vaga, para que pudesse acompanhar o dinamismo do constante desenvolvimento tecnológico, ainda esbarra em outros direitos como a liberdade de expressão e o direito à informação, criando a necessidade de análise caso a caso para sua implementação, além de demonstrar que a discussão desse direito não se enquadra como um tema novo, embora atual. Neste sentido, importantes as reflexões de João Alexandre Silva Alves Guimarães.10 Outra importante distinção, embora ignorada no julgado em questão, é a do direito ao esquecimento e direito à desindexação. Isso porque, mesmo que inicialmente tratado como um direito integrado a outros direitos, como a indexação, o direito à privacidade e a intimidade, o Direito ao Esquecimento é um direito autônomo, embora possa ser instrumentalizado pelos demais. Dessa forma, um dos casos mais importantes sobre o tema da desindexação, que trouxe notoriedade a discussão do tema no contexto online, é o caso González vs. Google Spain, que se originou na Espanha, em 24 de maio de 2007, quando um cidadão espanhol solicitou a desindexação de informações relativas ao fato de ter sido processado por débitos devidos à Seguridade Social. Durante a execução fiscal, o espanhol teve alguns imóveis vendidos publicamente, o que culminou na publicação da notícia por um grande veículo de comunicação na Espanha. Ademais, embora o fato tivesse ocorrido há mais de dez anos, o espanhol foi surpreendido com a indexação desta notícia pelo crawler da ferramenta de busca Google. Sendo assim, foi solicitada a desindexação da informação do site de busca, mesmo que a informação veiculada seja verdadeira, isso porque o tempo transcorrido à tornava irrelevante. Por conseguinte, esse caso deve ser considerado um marco no processo de reconhecimento do direito ao esquecimento, pois, embora tenha tratado do direito à desindexação, este além de ser, por muito tempo, considerado análogo ao direito ao esquecimento, exerce uma função instrumentalizadora do primeiro. Além disso, o Tribunal europeu interpretou, a partir da Diretiva 95/46/CE, que as ferramentas de busca realizam o tratamento de dados pessoais, pois esses dados inseridos na rede mundial de computadores são coletados, armazenados e disponibilizados aos usuários11 segundo uma ordem de classificação imposta pelo crawler. Sendo assim, o direito à desindexação dessa informação decorre do sistema de proteção de dados, já que o titular desses dados deve consentir com o tratamento de informações que lhe corresponda, discussão de alta valia na sociedade informacional, e para a tutela do direito ao esquecimento online. Como já afirmamos em outra ocasião nesta coluna, a "desindexação envolve a possibilidade de se se pleitear a retirada de certos resultados (conteúdos ou páginas) relativos a uma pessoa específica de determinada pesquisa, em razão de o conteúdo apresentado ser prejudicial ao seu convívio em sociedade, expor fato ou característica que não mais se coaduna com a identidade construída com a pessoa ou apresente informação equivocada ou inverídica."12 Consequentemente, embora existam correntes contrárias ao direito ao esquecimento, demonstrado pelos argumentos utilizados pela maioria dos ministros no Recurso Extraordinário 1010606, como por exemplo a fala do Ministro Ricardo Lewandowski, "A humanidade, ainda que queira suprimir o passado, ainda é obrigada a revivê-lo,"13 quando este afirma que o direito ao esquecimento só poderia ser aplicado a partir de uma ponderação de valores, que pese os direitos fundamentais da liberdade de expressão e os direitos da personalidade, acaba por abrir importante brecha ao reconhecimento tanto do direito ao esquecimento quanto ao direito à desindexação. Outrossim, a principal consequência da aplicação do direito ao esquecimento não resulta na supressão da liberdade de expressão e na liberdade jornalística de veicular fatos históricos e de notoriedade social, mas sim na dignidade da pessoa humana e na sua possibilidade de desenvolvimento pessoal, quando dá respaldo a exclusão de fatos que digam respeito a vida privada do indivíduo para que a sociedade não os eternize. Uma decisão contrária a tal argumento se choca com todo o ordenamento jurídico que prioriza o bem-estar do indivíduo em sua esfera privada, além de minimizar sua relevância para a sociedade e para o tratamento de dados, quando resume sua supressão a necessidade de reparação de danos. Sendo assim, o Recurso Extraordinário 1010606 julgado pelo Supremo Tribunal Federal, no qual não foi reconhecido o direito ao esquecimento de forma ampla e irrestrita, pois esse significaria um corte a liberdade de imprensa pela relevância do caso: familiares da vítima de um crime de grande repercussão nos anos 1950 no Rio de Janeiro buscavam reparação pela reconstituição do caso por um programa televisivo, sem a sua autorização, mesmo após um significativo tempo ter transcorrido entre o fato criminoso e o programa televisivo. Entretanto, as opiniões não foram uníssonas e não descartaram a possibilidade de ser reconhecer o direito ao esquecimento em determinado caso concreto. Assim, para o presidente do STF, ministro Luiz Fux, o direito ao esquecimento é uma decorrência lógica do princípio da dignidade da pessoa humana, e "quando há confronto entre valores constitucionais, é preciso eleger a prevalência de um deles."14 Para o ministro, esse direito pode ser aplicado, porém, no caso em questão, por possuir grande notoriedade e por ser de domínio público, não poderia sofrer essa censura simplesmente pelo decorrer do tempo, o que abre diversas lacunas que, mesmo também deixadas pela LGPD, não impedem o reconhecimento do direito ao esquecimento como um direito de personalidade autônomo, aplicado as exceções casuísticas citadas pelos ministros no acórdão, que deverão sempre ter como norte o princípio mor estabelecido pelo art. 1º, inciso III da Constituição Federal e art. 12 do Código Civil. Sendo assim, o Supremo Tribunal Federal fala em exceções para a aplicação do direito ao esquecimento, e não sua total anulação, não sendo essa discrepância uma contradição em si mesma, já que é possível verificar que, na colisão de direitos mencionada, é necessário a análise das peculiaridades de cada caso. Por fim, um ponto não enfrentado nessa questão é como a Lei Geral de Proteção de Dados Pessoais, interpretada à luz dos referidos dispositivos da CF/88 e do CC/02, pode dar guarida seja ao direito à desindexação, além do direito ao esquecimento. Tema que será enfrentado com mais detalhes em outra oportunidade nesta coluna. __________ 1 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a Efetividade da Lei Geral de Proteção de Dados. Editora Almedina Brasil, SP abril, 2020, p. 84. 2 DINIZ, Maria Helena. Curso de Direito Civil Brasileiro, 13 ed. São Paulo: Saraiva,1997. P. 99. 3 LIMA, Cíntia Rosa Pereira de. Direito ao esquecimento e internet: o fundamento legal no Direito Comunitário Europeu, no Direito Italiano e no Direito Brasileiro. In: CLÊVE, Clêmerson Merlin; BARROSO, Luis Roberto. Coleção Doutrinas Essenciais em Direito Constitucional: direitos e garantias fundamentais, volume VIII, São Paulo, Revista dos Tribunais, 2015, p. 511 - 544. 4 A figura caleidoscópica do direito ao esquecimento e a (in)utilidade de um tema em repercussão geral. Migalhas de Proteção de Dados. 29 de setembro de 2020. Disponível aqui. Acesso em: 16/08/2022. 5 BRASIL, Supremo Tribunal Federal (Plenário), Recurso extraordinário com repercussão geral 1.010.606/RJ. "Aplicabilidade do direito ao esquecimento na esfera civil quando for invocado pela própria vítima ou pelos seus familiares", Relator Min. Dias Toffoli, julgamento: 11/02/2021. Publicação: 20/05/2021. Jurisprudência do Supremo Tribunal Federal. Brasília, DF: Supremo Tribunal Federal. Disponível aqui. Acesso em: 03/06/2021. 6 LIMA, Cíntia Rosa Pereira de. Direito ao Esquecimento e Marco Civil da Internet: o fundamento legal no Direito brasileiro do direito ao esquecimento. Direito ao Esquecimento e Marco Civil da Internet: O fundamento legal no direito brasileiro do direito ao esquecimento. 2014. Disponível aqui. Acesso em: 02/03/2021. 7 EUROPEAN COMMISSION. General Data Protection Regulation, 2016. On the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC. Disponível aqui. Acesso em: 22/03/2021. 8 Esquecer, contextualizar, desindexar e cancelar. O que resta do direito ao esquecimento. In: Migalhas de Proteção de Dados. 23 de abril de 2021. Disponível aqui. Acesso em: 17/08/2022. 9 LAUPMAN, Clarisse. MENDES, Thiago Alcantara. A Privacidade, o Esquecimento e a Fragmentação do Direito Internacional: Conexões Necessárias. O Direito na Sociedade da Informação V, Editora Almedina Brasil, SP abril, 2020. Pg. 35. 10 O direito ao esquecimento: a última chance de sermos nós mesmos? In: Migalhas de Proteção de Dados. 03 de setembro de 2021. Disponível aqui. Acesso em 17/08/2022. 11 LIMA, Cíntia Rosa Pereira de. Direito ao Esquecimento versus Direito à Desindexação. O Direito na Sociedade da Informação V, Editora Almedina Brasil, SP abril, 2020. Pg. 59. 12 LIMA, Cíntia Rosa Pereira de. MARTINS, Guilherme Magalhães. A figura caleidoscópica do direito ao esquecimento e a (in)utilidade de um tema em repercussão geral. Migalhas, setembro, 2020. Disponível aqui. Acesso em: 03/06/2021. 13 LEWANDOWSKI, Ricardo. STF conclui que direito ao esquecimento é incompatível com a Constituição Federal. Portal do Supremo Tribunal Federal. Disponível aqui. Acesso em: 17/03/2021. 14 FUX, Luiz. STF conclui que direito ao esquecimento é incompatível com a Constituição Federal. Portal do Supremo Tribunal Federal. Disponível aqui. Acesso em: 17/03/2021. sexta-feira, 12 de agosto de 2022 Comentar A Sociedade da Informação O uso e a popularização da internet e das redes sociais influenciam e afetam as mais diversas áreas da vida presentes no nosso dia a dia. Atualmente, o trabalho, a saúde, a política, a educação, o lazer, o jornalismo e tantos outros âmbitos das estruturas sociais se encontram entremeados pela digitalização, sofrendo suas influências e alterando também o ambiente on-line em retorno. Em conjunto com isso, houve também a ascensão da telefonia móvel, que possibilitou o acesso à internet de maneira remota e portátil, facilitando a criação de uma cultura de interconexão e compartilhamento de ideais em tempo real, a todo momento emaranhados em teias coletivas de produção e troca incessantes. Portanto, a forma de conexão que temos atualmente é muito mais dinâmica e dialoga em muitos aspectos com as nossas novas relações sociais, novos padrões de comunicação e interação. Neste sentido, houve uma alteração no paradigma comunicacional, passamos de uma comunicação tradicional, em que poucos falavam em nome da grande mídia, para uma comunicação muitos-para-muitos1, em que o usuário é o principal difusor e produtor de conteúdo, mediado pelas plataformas, havendo, portanto, muitos emissores e muitos receptores de comunicação. Em paralelo a essa tendência de digitalização da vida, há um movimento de mercantilização dos dados, transformando a atenção e interação dos usuários em um modelo de negócios, de modo que quanto mais tempo um indivíduo gasta em uma determinada plataforma, e quanto maior o seu volume de interação neste ambiente, mais dados podem ser coletados a seu respeito. A propósito, o documentário The Social Dilemma (O Dilema das redes - em tradução livre), disponível na Netflix, retrata como é a engrenagem utilizada pelas grandes plataformas que "espia" os passos dos usuários enquanto navegam por horas nas redes sociais e quais são os mecanismos empregados para que os usuários fiquem cada vez mais conectados. O Mercado da Economia da Atenção A transformação de dados brutos disponibilizados pelos indivíduos em um fluxo de negócios altamente rentável é caracterizada por Shoshana Zuboff como "capitalismo de dados" ou até mesmo "capitalismo de vigilância". De acordo com a autora, "o capitalismo de vigilância reivindica de maneira unilateral a experiência humana como matéria-prima gratuita para a tradução em dados comportamentais"2. Sendo, portanto, os dados insumos para inúmeras atividades econômicas, tornando-se objetos de pujante e crescente mercado. Neste sentido, Newton De Lucca, afirma que "no corrente século XXI, tanto a terra, quanto a maquinaria, ficarão irreversivelmente para trás, passando os dados ao lugar de ativo principal do planeta, concentrando-se o esforço político no controle do fluxo desses dados".3 Na atual "sociedade informacional", verificamos que "a produtividade e a competitividade de unidades ou agentes dependem basicamente de sua capacidade de gerar, processar e aplicar de forma eficiente a informação baseada em conhecimentos"4, exprimindo uma nova estrutura social, denominada por Manuel Castells de "capitalismo informacional" em que considera que a atividade econômica e a nova organização social se baseiam, material e tecnologicamente na informação5. Neste novo modelo de capitalismo podemos perceber o "efeito dos jardins murados", conceito em que o usuário é mantido o máximo de tempo possível dentro de uma plataforma específica para que seja facilitado o tratamento de seus dados pessoais. Segundo Salil K. Mehra6: O termo "jardim murado" tem sido usado repetidamente para se referir a restrições de acesso ou habilidades do usuário de alguma forma limitados. As "paredes" não precisam ser absolutas. Em vez disso, podem ser restrições à saída ou entrada, ou restrições "parciais" a certas categorias de atividade. A concepção mais ampla de restrições para incluir restrições parciais ecoa definições usadas em antitruste. O "jardim" em questão geralmente é algum tipo de plataforma que permite a atividade do usuário - uma rede ou dispositivo que permite que os usuários se conectem com uns aos outros."7 Ainda, as redes sociais digitais reforçam a distribuição dos usuários em bolhas ou câmaras de eco, porque esses ambientes reverberam e reforçam a discussão de pontos de vista semelhantes e mantém o usuário mais tempo conectado. Dessa forma, a probabilidade de que diversos usuários tenham acesso a conteúdos totalmente personalizados para as suas opiniões e de que estes usuários acabem sendo alvos de uma percepção distorcida da realidade aumenta consideravelmente. Sobre este ponto, Eli Pariser foi bem claro ao afirmar que: O código básico no seio da nova internet é bastante simples. A nova geração de filtros on-line examina aquilo de que aparentemente gostamos - as coisas que fazemos, ou as coisas das quais as pessoas parecidas conosco gostam - e tenta fazer extrapolações. São mecanismos de previsão que criam e refinam constantemente uma teoria sobre quem somos e sobre o que vamos fazer ou desejar a seguir. Juntos, esses mecanismos criam um universo de informações exclusivo para cada um de nós - o que passei a chamar de bolha dos filtros - que altera fundamentalmente o modo como nos deparamos com ideias e informações.8 Essa nova sistemática de engajamento, disputa de atenção e consequentemente, o novo modal de consumo de conteúdo intelectual, político, educacional, dentre outros, passando pelo filtro mercantilizado do capitalismo de dados pode consciente ou inconscientemente modular e influenciar opiniões, liberdades e ações dos indivíduos imersos nessa realidade murada. Algumas empresas de tecnologia podem conhecer o perfil emocional de um número enorme de usuários, o que os torna vulneráveis as investidas para a manipulação de seus comportamentos. Podendo conduzi-los a apoiar determinada causa, partido político, ou mesmo candidato, ou seja, o ambiente on-line se tornou uma potente arma de manipulação, seja para o consumo, ou ainda para outros interesses, ao que parecem, não tão democráticos9. Também, aliado a esse mapeamento psicológico e comportamental dos indivíduos, vemos nas redes a figura dos "Robôs Sociais", ferramentas automatizadas de publicações, através de contas controladas por softwares e algoritmos, que atuando nas redes sociais como se fossem outros usuários reais, participam ativamente de discussões, e são verdadeiros instrumentos para a disseminação de conteúdo direcionado, com o objetivo de convencimento e com a publicação de conteúdo de maneira extremamente veloz, além de todo aparato relacionado à desinformação e às fake news que inundam o ambiente digital na atualidade. A proteção dos dados pessoais Frente à toda essa atmosfera favorável ao compartilhamento massivo de informações, opiniões, sentimentos e dados, e em face deste novo arcabouço exploratório dos nossos dados houve a necessidade de criação e implementação de novos direitos fundamentais, sob a lente tecnológica da sociedade conectada. É nesta linha de raciocínio que implementamos o tão esperado direito fundamental à Proteção dos Dados Pessoais10 na Constituição Federal (EC 115), como um direito individual e autônomo, que não se confunde com o direito fundamental à privacidade e vem para tutelar e fornecer salvaguardas para estes novos ativos digitais, que certamente se configuram como extensões de nossa personalidade. Para além, a lei 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados (LGPD), que tem forte influência do Regulamento Geral de Proteção de Dados 2016/679 do Parlamento Europeu, consagra, em nosso ordenamento jurídico, o microssistema de proteção de dados, que deve ser interpretada à luz da Carta Magna. A LGPD disciplina o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. O seu objetivo é "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da pessoa natural", conforme preceitua seu art. 1°. Os fundamentos da proteção de dados pessoais estão relacionados no art. 2° da LGPD, dentre os quais, damos especial destaque à autodeterminação informativa (inciso II), que busca conceder ao indivíduo o poder para que ele possa decidir acerca da divulgação e utilização de seus dados pessoais. Há, portanto, algumas frentes em que a proteção de dados pessoais pode ser efetiva quando se trata de modulação comportamental no meio digital. Uma delas é o investimento em medidas de transparência, responsabilização e prestação de contas, no sentido de instrumentalizar os cidadãos nesta relação com as plataformas. Estas medidas correspondem a princípios que estão traduzidos em diversas legislações no Brasil e no mundo, tendo especial destaque na Lei Geral de Proteção de Dados, em seu art. 6º, VI, que prevê que o direito à transparência consiste na "garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial", além do inciso X, que trata a responsabilização e prestação de contas como a "demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas." Uma medida possível para facilitar as atividades de controle e proteção de dados pessoais no ambiente digital é a implementação de relatórios de transparência e accountability por parte dos provedores de aplicação. Há ainda que se falar no que a Lei Geral de Proteção de Dados chamou, em seu artigo 20, de "direito à explicação". Este possui especial relação com o princípio da transparência e preceitua que o titular de dados deve ter direito à revisão das decisões tomadas exclusivamente com base na análise de dados, por mecanismos automatizados. Este direito reverbera consequências principalmente naquilo que se refere às decisões ligadas a mecanismos de inteligência artificial e ainda aos fluxos algorítmicos, que muitas vezes são repletos de vieses e possuem uma opacidade característica. Com isso, a legislação resguarda o direito a uma análise humanizada, que leve em conta fatores menos inteligíveis e claros para um mecanismo que não é dotado de inteligência emocional, social e muito menos de raciocínio crítico que demande a compreensão e a interpretação de outros fatores que não sejam dados brutos.11 Neste sentido, é possível implementar um canal de atendimento ao usuário com a finalidade específica de contestação desse tipo de decisão, contando com pessoas especializadas e preparadas para atender a demanda. Essas medidas, com destaque aos relatórios de transparência, são fundamentais para guarnecer os cidadãos na relação com as plataformas e possibilitar um acompanhamento mais efetivo da atuação das plataformas por parte da sociedade e por instituições públicas na fiscalização desses entes privados, para que suas atividades não interfiram em liberdades e direitos individuais e coletivos. Neste cenário, buscando uma saída para mirar horizontes de transparência e proteção de dados de fato, o princípio da responsabilização e prestação de contas é muito importante em uma futura regulação destas plataformas, buscando não uma transparência literal e sem propósito, apenas por expor seus mecanismos e lógicas, mas uma transparência qualificada, por intermédio dos relatórios de transparência, direito à explicação e a instrumentalização do titular de dados nesta relação em que está em clara posição de hipossuficiência. Considerações Finais Por fim, é necessário entender que um processo de regulação prematuro e que não leve em consideração os princípios da proteção de dados, livre concorrência, não discriminação, respeito aos direitos humanos, explicabilidade, segurança e desenvolvimento tecnológico pode trazer mais riscos aos direitos fundamentais e frear a evolução de um ecossistema digital, sendo importante que caso necessário, esse processo de regulação e aplicação de regras conte com a participação de todas as partes interessadas, criando uma câmara multissetorial de discussão com representantes do estado, dos provedores de aplicação e principalmente da sociedade civil. A integração entre estas três figuras é imprescindível para a construção de um arcabouço regulatório equilibrado e sólido para todas as partes, sendo certo que, atualmente, a regulamentação existente no Brasil sobre proteção de dados pessoais já fornece ferramentas para combater movimentos coordenados e movimentos aleatórios que podem influenciar decisões, opiniões e convicções. __________ 1 BRITO CRUZ, Francisco (coord.); MASSARO, Heloisa; OLIVA, Thiago; BORGES, Ester. Internet e eleições no Brasil: diagnósticos e recomendações. InternetLab, São Paulo, 2019, pp. 10-11. 2 ZUBOFF, Shoshana. A Era do Capitalismo de Vigilância: A Luta por um Futuro Humano na Nova Fronteira do Poder. Tradução George Schleisinger - 1.ed - Rio de Janeiro: Editora Intrínseca, p.18. 3 DE LUCCA, Newton. Coluna Migalhas de Proteção de Dados. Yuval Noah Harari e sua visão dos dados pessoais de cada um de nós. Disponível aqui. Acesso em: 20/07/2022. 4 CASTELLS, Manuel. A sociedade em rede: economia, sociedade e cultura. V. 1 São Paulo: Paz e Terra, 2013, p. 119. 5 LIMA, Marilia Ostini Ayello Alves e FLAUZINO, Ana Clara Gonçalves. Coluna Migalhas de Proteção de Dados. Aplicabilidade da teoria do desvio produtivo a partir da LGPD - "O tempo vital do titular de dados como bem juridicamente tutelado". Disponível aqui. Acesso: 30/07/2022. 6 MEHRA, Salil K., Paradise is a Walled Garden? Trust, Antitrust and User Dynamism. 2011. George Mason Law Review, Forthcoming. Disponível aqui. Acesso em: 09 de Agosto de 2022. P.08. 7 Citação Original: The term "walled garden" has been deployed repeatedly to refer to restrictions on user access or abilities are in some way limited. The "walls" need not be absolute. Instead, they can be restrictions on exit or entry, or "partial" restrictions on certain categories of activity. The broader conception of restraints to include partial restrictions echoes definitions used in antitrust. The "garden" in question is generally some kind of platform enabling user activity - a network or device that allows users to connect with each other. 8 PARISER, Eli. O filtro invisível: o que a internet está escondendo de você. Editora Schwarcz-Companhia das Letras, 2012, p.12. 9 LIMA, Marilia Ostini Ayello Alves e GUEDES, Tathiane Módolo Martins. Perspectivas sobre o comportamento humano nas redes sociais e os mecanismos de manipulação dos usuários. In LIMA, Cíntia Rosa Pereira de (Coord.) ANPD e LGPD: desafios e perspectivas 1° Ed. São Paulo: Almedina, 2021. 10Cf LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. Migalhas de Proteção de Dados. Disponível aqui. Acesso em: 10/07/2022. 11 MULHOLLAND, Caitlin; FRAJHOF, Z. Isabella. Inteligência Artificial e a Lei geral de Proteção de Dados Pessoais: Breves Anotações sobre o Direito à Explicação Perante a Tomada de Decisões por meio de Machine Learning. In FRAZÃO, Ana; MULHOLLAND, Caitlin. Inteligência Artificial e Direito: ética, regulação e responsabilidade. 1ª ed. São Paulo: Thomson Reuters Brasil, 2019. p. 265 e 266. sexta-feira, 5 de agosto de 2022 Comentar Introdução Em junho de 2022, o Future of Privacy Forum (FPF)1, em conjunto com a LGBT Tech, apresentaram o relatório intitulado The Role of Data Protection in Safeguarding Sexual Orientation and Gender Identity Information discutindo os novos riscos criados privacidade pessoal de membros da comunidade LGBT. É evidente que o uso de tecnologias digitais fornece mais poder aos indivíduos desta comunidade, permitindo uma melhor interconexão comunitária e um acesso a serviços diversos. Para membros desta comunidade, a Internet é o único espaço onde se sentem seguros para expressar sua sexualidade e se conectar com seus iguais. Todavia, o processamento de dados dessas populações tradicionalmente marginalizadas deve também fornecer proteção contra possíveis danos que podem ser potencializados pelo contexto presente e passado de perseguição deles. Isto ocorre, pois a despeito da maior aceitação social desta comunidade, a proteção de direitos, incluindo o direito à privacidade e à proteção de dados pessoais, é constantemente violada com instrumentos protetivos atrasados e insuficientes para a efetiva proteção destes indivíduos. Indivíduos LGBTQ+ são mais impactados por violações de privacidade online; enfrentando barreiras e preconceitos significativos, violência e discriminação, prejudicando seu direito à igualdade e dignidade. Saltam aos olhos as violações aos direitos fundamentais a partir da publicação de conteúdos online descritos como homofóbicos, bifóbicos ou transfóbicos, além de danos à privacidade na forma de exposições públicas não desejadas e assédios. Ainda que o relatório tome por pressuposto fatos históricos, normas e julgados que conformam o direito á privacidade a estas pessoas, é nítido seu viés crítico em relação à onda conservadora que vem minando direitos de minorias, incluindo aí o direito à privacidade e o direito à proteção de dados pessoais. Cabe ainda observar a ausência de uma regulamentação federal unificada nos EUA em relação aos dados pessoais sensíveis de orientação sexual e identificação de gênero. A partir do relatório publicado, cabe-nos questionar o que ocorre no Brasil, se os principais tópicos indicados no relatório referentes à proteção de dados pessoais e o uso dessas informações sensíveis da população LGBTIA+ encontra guarida ante aos problemas sociais enfrentados. Além disso, cumpre-nos questionar se as proteções existentes são suficientes e se há outras medidas cabíveis para reforçar a proteção a este grupo social. O questionamento trazido no relatório, que será analisado, desenvolveu-se ante a ausência de lei federal nos EUA que regule compreensivelmente a proteção de dados pessoais de forma geral, a despeito de diversas normatizações setoriais existentes, as quais são insuficientes para oferecer a proteção adequada. Ainda que haja proteção a dados pessoais relativos à crédito, saúde, finanças e dados coletados de crianças2, faz-se ausente uma disciplina jurídica específica para coleta e para o uso de dados relativos à orientação sexual e a identificação de gênero que podem colocar pessoas LGBTIA+ em posições que podem sujeitar-lhes a prejuízos e riscos vinculados a perda de oportunidades sociais e profissionais, perdas econômicas, exclusão de círculos sociais e em alguns casos perda de liberdade. Dados e Informações Sensíveis sobre Orientação Sexual e Identidade de Gênero. Antes de continuarmos cabe definirmos exatamente o que seria Orientação Sexual e Identidade de Gênero, para tanto faremos uso de definições provenientes dos Princípios de Yogyakarta sobre a aplicação da legislação internacional de direitos humanos em relação a orientação sexual e a identidade de gênero. Vejamos, segundo este documento internacional: (1) Orientação Sexual como referência à capacidade de cada pessoa de ter uma profunda atração emocional, afetiva ou sexual por indivíduos de gênero diferente, do mesmo gênero ou de mais de um gênero, assim como ter relações íntimas e sexuais com essas pessoas. (2) Identidade de Gênero como a profundamente sentida experiência interna e individual do gênero de cada pessoa, que pode ou não corresponder ao sexo atribuído no nascimento, incluindo o senso pessoal do corpo (que pode envolver, por livre escolha, modificação da aparência ou função corporal por meios médicos, cirúrgicos ou outros) e outras expressões de gênero, inclusive vestimenta, modo de falar e maneirismos. Isto é a base interpretativa de direitos humanos; mais além disto devemos compreender seus usos a partir da política de proteção de dados e como isto pode afetar diretamente a população LGBTQIA+. A coleta e o processamento de dados individuais por uma vasta gama de atividades e empresas podem ou não aludir diretamente a estas questões relativas à intimidade pessoal e sexual, podendo ser obtidas de três formas diversas: a auto-apresentação, a inferência direta e a inferência indireta. (1) As informações auto-reportadas dizem respeito a informações e dados diretamente coletados a partir de informações prestadas ou de ações advindas do próprio indivíduo, como as autodeclarações em redes sociais e aplicativos de relacionamentos. (2) As informações diretamente inferidas são extraídas de ações e comportamentos afirmativas dos indivíduos como assinaturas e cadastros em listas e redes exclusivos para membros de comunidades determinadas. (3) Já as informações indiretamente inferidas não dependem de ações afirmativas advindas do indivíduo, são extraídas da análise de dados e metadados que permitem identificar hábitos e preferências como hábitos de compras, históricos de navegação e de lugares frequentados. Está coleta e uso de dados relacionados a populações minoritárias e vulneráveis podem identificar desigualdades sociais e evidenciar situações de exclusão e discriminação. Estamos diante de informações e dados pessoais sensíveis que se de um lado podem, positivamente, ser utilizados para providenciar acesso a produtos e serviços especializados e personalizados; promover a saúde pública integral, física e mental, da população LGBTQIA+, fortalecendo estas comunidades por meio da mitigação dos efeitos da divisão e exclusão social e da identificação de vácuos na garantia de direitos fundamentais e, consequentemente, combatendo de forma efetiva a discriminação. Por outro, o uso destes dados e informações pessoais dependem do seu uso ético, visto que podem reforçar relações tóxicas e desiguais, assim como potencializar a violência pelo uso da tecnologia. O crescimento do uso de algoritmos potencializa perigos e novas formas de discriminação para os indivíduos LGBTs. São os algoritmos essenciais no desenvolvimento de ferramentas, serviços e comerciais personalizados; todavia, podem refletir conceitos e pré-conceitos sociais enraizados na estrutura social, escalando a discriminação e impossibilitando seu combate. Esses algoritmos podem moderar, limitar ou mesmo mudar os conteúdos e informações que as pessoas de determinada comunidade têm acesso. Limita-se habilidades e competências em relação a difusão e a monetização de temas vinculados a comunidades específicas, impedindo seu crescimento, permitindo que comportamentos odiosos advindos do desconhecimento e da ignorância assumam papel de destaque no mainstream. Dessa forma, experiências injustas e discriminatórias podem ser amplificadas quando do uso de ferramentas automatizadas de tomada de decisões utilizando os dados pessoais sensíveis relativos à orientação sexual e a identidade de gênero, implicando em limitações relativas à moradia, emprego, oportunidades financeiras entre outras limitações de acesso a serviços e direitos. Riscos e Perigos Implicados no Uso de Dados e Informações Sensíveis da População LGBTQIA+ Compreendido os elementos, os conceitos técnicos e as implicações tecnológicas do uso dos dados e informações pessoais sensíveis vinculadas à orientação sexual e identificação de gênero, devemos agora analisar os elementos reais, os riscos e prejuízos sentidos por estes indivíduos em seu dia a dia, para no tópico seguinte, conformar estas conclusões embasadas na realidade estadunidense com a legislação brasileira. A coleta, o uso e o armazenamento de dados pessoais dos indivíduos LGBTs trás consigo riscos potenciais e inerentes a esta comunidade, lidando com diferenças de tratamento que levam a impactos e prejuízos no pleno desenvolvimento destas pessoas. A exposição e o mal uso destes dados podem levar a situações desconfortáveis, de violência tanto em nível familiar, como social e profissional. A partir do relatório de mesma autoria publicado no ano de 2017, podemos categorizar estes danos em 4 categorias tipológicas: perda de oportunidades, perdas econômicas, exclusão social e perda de liberdade, apresentando tanto aspectos coletivos como individuais, com consequências tanto injustas, como até mesmo ilegais. Vejamos um a um exclusivamente. (1) Perda de Oportunidades: materializa-se socialmente na diferença de acesso a oportunidades de trabalho, a seguros e benefícios, moradia e educação. Ocorrendo por meio de filtragem indevidas e exclusão de minorias, limitando acesso a direitos chegando à negação a direitos de moradia e educação. (2) Perdas Econômicas: são uma consequência lógica da perda de oportunidades, ainda que não negados em sua totalidade, é evidente a diferença de acesso e custos, em outros termos, evidencia-se a discriminação creditícia e a diferença em preços de produtos e serviços. (3) Exclusão Social: implica-se, portanto, na formação de bolhas sociais, com prejuízos evidentes à dignidade inerente a cada ser humano, constrangendo e limitando o exercício de direitos. (4) Perda de Liberdade: é o caso mais extremo, e com origem nas diversas discriminações e preconceitos que a comunidade LGBT sofre/sofreu no decorrer da história. Há um elemento higienista de exclusão do diferente, de não aceitação do ser humano, que podem em último caso representar a perda da própria vida. E no Brasil, este contexto se aplica? Quais as conclusões que podemos chegar? Diferentemente dos EUA, onde o relatório foi desenvolvido, no Brasil, desde o ano de 2018, há a lei 13.709, a Lei Geral de Proteção de Dados (LGPD), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Referida norma fundamenta-se no respeito à privacidade, na autodeterminação informativa, na inviolabilidade da intimidade, da honra e da imagem, nos direitos humanos individuais e sociais entre outros. O fundamento último de validade, como em todo sistema jurídico é a Constituição Federal, está prega a igualdade entre todos os indivíduos independentemente de qualquer condicionante3. Ainda que o Poder Judiciário tenha, por meio de decisões e resoluções em sede de controle de constitucionalidade, garantido e expandido o direito à igualdade de acesso a serviços e direitos públicos a população LGBTQIA+, estas decisões são precárias. A precariedade das decisões que garantem direitos está vinculada à manutenção de posições jurisprudenciais que dependem, a despeito do princípio de não regressão dos Direitos Humanos, da composição dos Tribunais Superiores, notadamente, o STF. Há, de fato, uma violação de direitos por omissão consciente e querida do Poder Legislativo de fazer as adequações normativas necessárias a incluir e garantir de forma positiva e comissiva esses direitos. Desta sorte, ainda que tenha havido avanços em relação aos direitos desta população, cabe ainda, grande desenvolvimento para que essa comunidade tenha seus direitos efetivamente garantidos. Ainda que a LGPD proteja de forma geral esta população a partir de seus princípios e fundamentos norteadores, os preconceitos e prejuízos sociais e discriminatórios advêm da estrutura de desenvolvimento e evolução social, e a sua proteção extrapola os limites normativos dependendo da atuação ética e consciente dos operadores destes dados pessoais sensíveis. Referencial Bibliográfico AMATO, Andre L. V. ; CASTRO, C. D. . A legalização dos casamentos entre pessoas do mesmo sexo no Brasil como forma de efetivação dos Objetivos de Desenvolvimento Sustentável das Nações Unidas. In: Guilherme Vítor de Gonzaga Camilo, Vivianne Wanderley Araújo Tenório e Wanda Helena Mendes Muniz Falcão. (Org.). Ensaios Direito Internacional e Relações Internacionais: Reflexões a partir de estudos transnacionais. 1ed.Erechim/RS: Editora Deviant, 2017, v. 1, p. 150. BRASIL. Constituição (1988). Constituição (da) República Federativa do Brasil. Brasília: Senado Federal, 1988. Disponível aqui. Acesso em 02 de agosto de 2022. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República. Disponível aqui. Acesso em 02 de agosto de 2022. BRASIL. Supremo Tribunal Federal. Acesso em 02 de agosto de 2022. FPF (Future Privacy Forum); LGBT Tech. THE ROLE OF DATA PROTECTION in Safeguarding Sexual Orientation and Gender Identity Information. Disponível aqui. Acesso em 02 de agosto de 2022. DENSA, Roberta; DANTAS, Cecília. Proteção de dados de criança em meio digital: análise dos riscos conforme a Organização para a Cooperação e Desenvolvimento (OCDE). In Migalhas de Proteção de Dados [online], 10 jun. 2922. Disponível aqui. Acesso em: 03 ago. 2022. QUINTILIANO, Leonardo. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD). In Instituto Avançado de Proteção de Dados (IAPD) [online], Ribeirão Preto, 15 mar. 2021. Disponível aqui. Acesso em: 03 ago. 2022. PRINCÍPIOS DE YOGYAKARTA. Disponível aqui. Acesso em 02 de Agosto de 2022. __________ 1Trata-se de uma importante Think Tank integrada por advogados, empresários, acadêmicos e consumidores, situanda em Washington DC, nos EUA. O objetivo principal é enfrentar os desafios impostos pela inovação tecnológica para o desenvolvimento de proteções à privacidade, de normas éticas e de boas práticas corporativas. 2 Vd., DENSA, Roberta; DANTAS, Cecília. Proteção de dados de criança em meio digital: análise dos riscos conforme a Organização para a Cooperação e Desenvolvimento (OCDE). In Migalhas de Proteção de Dados [online], 10 jun. 2922. Disponível aqui. Acesso em: 03 ago. 2022. 3 Vd., QUINTILIANO, Leonardo. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD). In Instituto Avançado de Proteção de Dados (IAPD) [online], Ribeirão Preto, 15 mar. 2021. Disponível aqui. Acesso em: 03 ago. 2022. sexta-feira, 29 de julho de 2022 Comentar Preliminares Tudo começou em abril deste ano quando o magnata dos negócios Elon Musk, então a pessoa mais rica do planeta1, ofereceu US$ 43 bilhões para adquirir a empresa de mídia social Twitter, Inc. Recordo que Musk já era seu maior acionista individual possuindo 9,1% das ações da empresa. Ainda em abril, Musk recusa o convite para participar do Conselho de Administração. No dia 25 do mesmo mês, esse mesmo Conselho aceitou a oferta de compra de Musk de US$ 44 bilhões, vinculando o valor a privatização da empresa. Tudo parecia ir bem até que em 8 de julho Musk anunciou que pretendia desmanchar o negócio afirmando que o Twitter violou parte do acordo de compra ao se recusar a reprimir contas de spambot. spambot é tipo de software, um robô, projetado para auxiliar no envio de mensagens de spam. Os spambots criam contas fictícias e enviam mensagens de spam usando essas contas. A empresa entrou com uma ação contra Musk no Tribunal da Chancelaria do estado de Delaware em 12 de julho. Negócio congelado, por enquanto. Mas será que, de fato, essa manifestada ingerência dos spambots sobre a empresa pode ter sido a causa do bloqueio dessa negociação bilionária? Veremos. About Twitter Twitter é uma rede social focada em microblog, ou seja, textos curtos voltados para interações rápidas do usuário com o público via web. A empresa foi criada em 2006 e liderada pelo empresário norte-americano Jack Dorsey. No ano passado o Twitter gerou uma receita de US$ 5 bilhões, sendo que 92% desta receita foi proveniente de anúncios publicitários. Essa plataforma conta ainda com 206 milhões de usuários ativos diariamente, sendo que 38 milhões estão nos Estados Unidos2. Em janeiro deste ano, 19,05 milhões de brasileiros acessaram o Twitter3. Twitter é só mais uma mídia social? Como outros serviços web aparentemente grátis, o valor pago para se utilizar uma mídia social for free são os dados dos usuários. Os meus, os seus, os nossos dados são a moeda. Neste sentido, cabe dizer que nem todas as mídias sociais são iguais. Facebook, Twitter e Instagram são as plataformas de mídia social mais populares e usadas mundialmente. No entanto, cada uma atrai tipos ligeiramente distintos de usuários e também oferecem serviços e recursos exclusivos. O Facebook, por exemplo, tem um amplo apelo: das 7,6 bilhões de pessoas no planeta, 2,5 bi usam essa plataforma ao menos uma vez ao mês. Ainda, 68% dos americanos adultos relatam usar essa plataforma, sendo que aproximadamente 80% dos usuários está na faixa etária entre 18 a 49 anos de idade. Os usuários do Instagram tendem a ser jovens. A rede social para compartilhamento de fotos e vídeos é mais popular entre os jovens de 18 a 24 anos. Nessa faixa etária, 71% dos norte-americanos dizem ter uma conta no Instagram. Cerca de 1 bilhão de usuários fazem check-in mensalmente nesta plataforma4. Já pelo Twitter, seus usuários são mais propensos a serem graduados, ricos e terem uma vida urbana. Aparentemente o Twitter é um "partidão". Twitter bots Outra diferença importante entre essas mídias é que o Twitter é a única destas mídias sociais que tem uma API aberta, ou seja, uma Interface de Programação de Aplicação aberta. Uma API é uma forma de ligação entre dois sistemas computacionais. Neste caso, o Twitter disponibiliza uma API para seus usuários que os possibilita usar recursos do Twitter por um software que eles tenham criado. Em outras palavras, um programador pode, tendo uma conta no Twitter, escrever um código próprio que envia e recebe tweets a partir do seu programa particular de computador. Ou seja, um programador pode programar as funções do Twitter sem necessariamente usar a interface do Twitter no computador ou no aplicativo. Essa possibilidade permite, por exemplo, que muitos acadêmicos (como eu) criem bots (robots) que captam mensagens do Twitter constantemente para fazer análises. Análises essas das mais variadas. Por exemplo, analisar quem posta, o que posta, sobre o que escreve, quem são seus seguidores e quem eles seguem; além de, por exemplo, responder ou criar e enviar tweets. E qual seria o real valor destas mensagens? Explico: uma mensagem enviada por esta plataforma pode ter, além dos 280 caracteres, ou seja, o conteúdo da mensagem em si, 150 outros atributos vinculados a ela5. Esses atributos vão desde o codinome do usuário, até a sua localização geográfica quando enviou a mensagem, o dia, o horário, seus seguidores e até a cor e a imagem que você pode usar no seu perfil. São todas informações valiosíssimas que certamente diferenciam e deixam únicos cada usuário do serviço. Todas essas informações poderiam ser usadas para criar um perfil de cada usuário, mesmo que essa tarefa não seja ética e permitida, por exemplo, pela LGPD. Poderia, mas não pode. O valor dos bots Essa preocupação do Elon Musk em conhecer exatamente quantas são as contas fakes do Twitter e quantos são os eventuais spambots que as criaram e as manipulam é antiga. Nos idos de 2009 já se afirmava, por meio de um estudo da famosa Harvard Business Review, que 10% dos usuários do Twitter eram responsáveis por 90% de sua atividade6,7. Nesta época, nas demais redes sociais 10% dos usuários respondiam por 30% do conteúdo. Ou seja, a relação 10% para 90% é uma clara indicação de postagens mecanizadas, programadas. Por outro lado, neste mesmo ano, o valor de mercado desta empresa estava estimado em US$ 250 milhões. Percebam a diferença de valor de mercado em 2009 para os atuais US$ 44 bilhões8. Recentemente o Twitter afirmou que menos de 5% de suas contas são fakes ou spambots. Sabemos também que o próprio Twitter oferece a possibilidade de compra de seu "firehose", ou seja, o fluxo massivo total dos aproximados 500 milhões de tweets enviados diariamente pela plataforma. Dezenas de empresas têm acesso a esses "firehose" para diversas análises destes microblogs trocados. Este fluxo de dados está disponível há anos para empresas que pagam ao Twitter pela capacidade de analisá-lo para encontrar padrões e insights nas conversas diárias. É estranho o fato de se desejar gastar essa fortuna de US$ 44 bilhões, praticamente o mesmo valor de mercado da Ambev hoje9, sem antes fazer uma avaliação independente usando esses dados de terceiros, mesmo tendo condições para tal. Alguns analistas dizem que Musk está usando seu argumento como pretexto para sair do acordo ou negociar um preço mais baixo. Existe também a alegação que essa eventual atividade de spam deve ser quantificada exatamente pela equipe de Musk pois, se o Twitter estiver subestimando o spam em seu serviço, as estimativas da empresa sobre quantos usuários poderiam de fato ver anúncios seriam menores, afetando a receita. Os bots e as "leis" humanas Em 1942 o aclamado escritor de ficção científica Isaac Asimov publica seu livro intitulado Runaround o qual influenciou muitas outras obras do mesmo gênero. Neste livro, Asimov descreve explicitamente as três leis da robótica10, que são: Um robô não pode ferir um ser humano ou, por omissão, permitir que um ser humano sofra algum dano; Um robô deve obedecer às ordens dadas por seres humanos, exceto quando tais ordens entrarem em conflito com a Primeira Lei; Um robô deve proteger sua própria existência desde que tal proteção não entre em conflito com a Primeira ou Segunda Lei. Mais tarde, Asimov acrescentou outra lei, conhecida como quarta ou lei zero, que substituiu as outras. Ele afirmou que "um robô não pode prejudicar a humanidade ou, por inação, permitir que a humanidade sofra algum mal". Percebam que, do ponto de vista computacional, os bots, como uma criação humana, são meios modernos de mecanização de tarefas, entre elas, destaca-se neste caso a panfletagem midiática moderna, ou seja, a distribuição de material digital de merchandising aqui com o codinome de spam. Pode-se até alegar que esta atividade está entre os custos a serem absorvidos pelos usuários por utilizam um serviço aparentemente gratuito. Considerando-se ainda a possibilidade (reforço, apenas a possibilidade) destes mesmos bots usarem mecanismos de inteligência artificial (IA) nas suas tarefas de criação de textos, escolhas de destinatários e até eventuais respostas automatizadas aos tweets recebidos, cabe aqui a mea culpa de que esses métodos de IA hoje empregados pertencem a classe das weak IA, ou seja, métodos ainda nos níveis mais elementares de IA e que, mesmo que aprimorados, talvez nunca cheguem a se aproximar das características da inteligência humana11. Sob esta ótica, muito embora os bots do Twitter, façam todo um trabalho intenso de panfletagem para garantir os sucessivos lucros da empresa e sua valorização impressionante ao longo dos anos, o que realmente tem valor de mercado ao final do dia são quantos seres humanos pensantes e potenciais consumidores leram e se atentaram para esses anúncios. Robôs são bons trabalhadores, mas infelizmente não colocam a mão no bolso. Referências bibliográficas 1 Bloomberg Billionaires Index. Disponível aqui. Último acesso em 25 de julho de 2022. 2 Twitter Revenue and Usage Statistics (2022). Disponível aqui. Último acesso em 25 de julho de 2022. 3 Brasil tem a quarta maior base de usuários do Twitter no mundo. Disponível aqui. Último acesso em 25 de julho de 2022. 4 Twitter vs. Facebook vs. Instagram: What's the Difference? Disponível aqui. Último acesso em 25 de julho de 2022. 5 Data dictionary: Premium v1.1. Disponível aqui. Último acesso em 25 de julho de 2022. 6 Twitter bots are hard to track, and focusing on the amount misses the point. Here's what matters more, according to 2 researchers. Disponível aqui. Último acesso em 25 de julho de 2022. 7 10% Of Twitter Users Account For 90% Of Twitter Activity. Disponível aqui. Último acesso em 25 de julho de 2022. 8 Fall 2008, Facebook tries to acquire Twitter. Disponível aqui. Último acesso em 25 de julho de 2022. 9 Quais são as maiores empresas do Brasil em receita, lucro e valor de mercado? Disponível aqui. Último acesso em 25 de julho de 2022. 10 Three laws of robotics: concept by Asimov. Disponível aqui. Último acesso em 25 de julho de 2022. 11 FJELLAND, Ragnar. Why general artificial intelligence will not be realized. Humanities and Social Sciences Communications, v. 7, n. 1, p. 1-9, 2020. sexta-feira, 22 de julho de 2022 Comentar "Este prefácio, apesar de interessante, inútil. Alguns dados. Nem todos. Sem conclusões. Para quem me aceita são inúteis ambos. Os curiosos terão prazer em descobrir minhas conclusões, confrontando obra e dados. Para quem me rejeita trabalho perdido explicar o que, antes de ler, já não aceitou."Mário de Andrade. Pauliceia Desvairada. São Paulo: Casa Mayença, 1922, p. 07. Introdução Municípios, uma brasilidade federativa, são entes com contextos muito variados: entre Serra da Saudade, Minas Gerais, o menos habitado do Brasil, e São Paulo, a "Pauliceia Desvairada", de Mário de Andrade, não há como serem as políticas públicas tratadas como blocos de construção HTML, já pré-fabricadas e prontas a serem implementadas pelos agentes públicos. A proteção de dados pessoais, como direito fundamental1 a ser efetivado por todos os entes, está nesse âmbito. Sem a estruturação de ações conectadas com a realidade ou, como diria a jusfilósofa Helen Nissenbaum2, com os distintos contextos3, o que restaria seria, sem dúvidas, dados e resultados à maneira como escreveu Mário de Andrade, há 100 anos, em seu "Prefácio Interessantíssimo", de "Pauliceia Desvairada": "Alguns dados. Nem todos. Sem conclusões." São Paulo, 22/7/22 Em "Pauliceia", a Prefeitura do Município de São Paulo, por meio do decreto municipal 59.767/204, regulamentou a aplicação da LGPD no âmbito do administração pública municipal, designando ao seu controlador geral do município a atribuição de encarregado pela proteção de dados pessoais5. Entre as atribuições dispostas à figura do encarregado, está a de emissão de diretrizes, cogentes para os órgãos e orientativas às entidades da administração pública, que disponham sobre a elaboração de seus planos de adequação à efetividade da proteção de dados pessoais no âmbito do Poder Executivo do município6. Em 22/7/22, a 100 metros do Theatro Municipal de São Paulo, no também centenário cruzamento entre Viaduto do Chá e Rua Líbero Badaró, o Poder Executivo do município publicou, por meio de sua controladoria geral do município, a sua instrução normativa CGM/SP 01/227, que estabelece disposições referentes ao tratamento de dados pessoais no âmbito da administração pública municipal. A instrução normativa delimita, como um primeiro passo rumo à sua padronização do plano de adequação da prefeitura do município à efetividade da proteção de dados pessoais, a implementação de registros de operações de tratamento de dados pessoais, relatórios de impactos à proteção de dados pessoais e mapeamentos de fluxos de dados pessoais por todos os seus órgãos e entidades, o que, por sua eficácia horizontal, ou seja, por sua aplicação a todos os órgãos e entidades, otimiza, ao controle interno do município e aos seus controles externo e social, a análise de conformidade de suas políticas públicas quanto à proteção de dados pessoais. Conforme dispõe o seu art. 14, os órgãos da administração pública municipal deverão e suas entidades poderão realizar registros de operações de tratamento de dados pessoais que contenham, materialmente: (i) a identificação dos processos ou atividades da prefeitura do municípios nos quais há o tratamento de dados pessoais; (ii) a identificação dos agentes de tratamento e do encarregado; (iii) as fases do ciclo de vida do tratamento de dados pessoais; (iv) a natureza e o escopo do tratamento de dados pessoais; (v) a finalidade do tratamento de dados pessoais; (vi) as categorias de dados pessoais tratados, inclusive com a descrição das subcategorias de dados pessoais sensíveis; (vii) o volume das operações de tratamento e das categorias de dados pessoais tratados; (viii) categorias de titulares de dados pessoais envolvidos nos tratamentos; (ix) o compartilhamento e uso compartilhado de dados pessoais, inclusive com a descrição dos agentes de tratamento com os quais os dados pessoais são compartilhados; (x) os contratos de serviços e soluções de tecnologia da informação que tratam os dados pessoais dos processos mapeados; (xi) descrições sobre eventuais transferências internacionais de dados pessoais; e (xii) medidas de segurança e de proteção de dados pessoais já adotadas a fim de mitigar os riscos à segurança da informação e aos dados pessoais tratados. O seu art. 15, por sua vez, ao tratar da elaboração de relatórios de impacto à proteção de dados pessoais, que servirão de subsídio à elaboração de único relatório de impacto à proteção de dados pessoais dos órgãos da administração pública municipal, estabelece, materialmente, como requisitos: (i) a identificação dos agentes de tratamento e do Encarregado; (ii) a necessidade de sua elaboração ou atualização; (iii) a descrição do tratamento de dados pessoais, com base no mapeamento de dados pessoais; (iv) a natureza e o escopo do tratamento de dados pessoais; (v) o contexto e a necessidade do tratamento de dados pessoais; (vi) a finalidade do tratamento de dados pessoais; e (vii) a identificação, análise e gestão de riscos praticadas pela Prefeitura do Município com relação à segurança da informação e à proteção de dados pessoais. Também foi estabelecida a necessidade da elaboração de programas de capacitação dos servidores da administração pública municipal que objetive a conscientização sobre os processos que se utilizam do tratamento de dados pessoais e das medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito. Por fim, destaca-se o texto de seu art. 108, que dispõe a necessidade da aposição, em sites e em lugares visíveis ao público, como prédios públicos e praças de atendimento, das hipóteses de tratamento de dados pessoais contidas nos arts. 7º e 11 da LGPD. As disposições da instrução normativa se inspiram, com as adaptações necessárias à realidade do município de São Paulo, em metodologia de registro das operações de tratamento de dados pessoais já utilizada pela administração pública Federal e que foi desenvolvida, principalmente, pela autoridade nacional de proteção de dados pessoais da França, a "Commission Nationale de l'Informatique et des Libertés" - CNIL9, no âmbito de sua implementação do RGPD - regulamento geral sobre proteção de dados pessoais da União Europeia, cuja sistemática está em harmonia com o que propõe, no Brasil, a LGPD. Conclusão Apesar de não prevista na obra de Mário de Andrade, "Pauliceia Desvairada", a conclusão é que, por ora, está o Poder Público paulistano munido de instrumentos que, consolidados, serão aptos a elevar o seu nível de adequação à proteção de dados pessoais. Aos leitores munícipes do entorno do Vale do Anhangabaú, os próximos passos rumo à proteção de sua vida privada, intimidade e dados pessoais poderão ser acompanhados no curso da história que se desenvolve no edifício Matarazzo, Viaduto do Chá, 15. _____ 1 BRASIL. EC 115/22. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, Diário Oficial da União, 11/2/22. Disponível aqui. 2 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim. 3 FALCÃO, Daniel; PEROLI, Kelvin. As novas abordagens da privacidade: contextos, tipos e dimensões. Migalhas, 30/12/21. Disponível aqui. 4 SÃO PAULO (Município). Prefeitura do município de São Paulo. Decreto municipal 59.767/20. Regulamenta a aplicação da lei Federal 13.709/18 - LGPD - no âmbito da Administração Municipal direta e indireta. São Paulo, Diário Oficial da Cidade de São Paulo, 16/9/22. Disponível aqui. 5 Art. 5º, caput, do decreto municipal 59.767/20: "Art. 5º Fica designado o Controlador Geral do Município como o encarregado da proteção de dados pessoais, para os fins do art. 41 da lei Federal 13.709/18." 6 Art. 6º, inc. IV, do decreto municipal 59.767/20: "Art. 6º São atribuições do encarregado da proteção de dados pessoais: [...] IV - editar diretrizes para a elaboração dos planos de adequação, conforme art. 4º, inciso III deste decreto". 7 SÃO PAULO (município). Prefeitura do município de São Paulo. Controladoria Geral do Município. Instrução Normativa CGM/SP 01/22. São Paulo, Diário Oficial da Cidade de São Paulo, 22 jul. 2022. 8 Art. 10 da instrução normativa CGM/SP 01/22: "Art. 10. As Secretarias e Subprefeituras deverão disponibilizar, em seus sítios eletrônicos e em lugares visíveis das respectivas instalações físicas, as hipóteses de tratamento de dados pessoais, nos termos do art. 11, inciso II, do Decreto Municipal 59.767/20, e do art. 2° desta Instrução Normativa, bem como fornecer instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca, conforme o art. 5º, inciso XII, da lei Federal 13.709/18." 9 FRANÇA. Commission Nationale de l'Informatique et des Libertés. La CNIL publie un nouveau modèle de registre simplifié. Paris, Commission Nationale de l'Informatique et des Libertés, 25/7/19. Disponível aqui. Referências bibliográficas 1 ANDRADE, Mário de. Pauliceia Desvairada. São Paulo: Casa Mayença, 1922, p. 07. 2 BRASIL. Emenda Constitucional 115/22. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, Diário Oficial da União, 11/2/22. Disponível aqui. 3 FALCÃO, Daniel; PEROLI, Kelvin. As novas abordagens da privacidade: contextos, tipos e dimensões. Migalhas, 30/12/21. Disponível aqui. 4 FRANÇA. Commission Nationale de l'Informatique et des Libertés. La CNIL publie un nouveau modèle de registre simplifié. Paris, Commission Nationale de l'Informatique et des Libertés, 25/7/19. Disponível aqui. 5 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim. 6 SÃO PAULO (município). Prefeitura do município de São Paulo. Decreto municipal 59.767/20. Regulamenta a aplicação da lei Federal 13.709/18 - LGPD - no âmbito da Administração Municipal direta e indireta. São Paulo, Diário Oficial da Cidade de São Paulo, 16 set. 2022. Disponível aqui. 7 SÃO PAULO (município). Prefeitura do Município de São Paulo. Controladoria Geral do Município. Instrução Normativa CGM/SP 01/22. São Paulo, Diário Oficial da Cidade de São Paulo, 22/7/22. sexta-feira, 15 de julho de 2022 Comentar Não se desconsidera a dificuldade de fiscalização de abusos que geram lesões a direitos em uma lógica estritamente baseada em custo e benefício. Todavia, o incremento de atividades econômicas na internet conduziu ao amadurecimento do conceito de 'perfilização', que, para o recorte proposto, se desdobra em duas práticas distintas: precificação personalizada e precificação dinâmica. O termo "perfilização" - extraído do vocábulo inglês profiling - é mais complexo do que parece. Segundo Rafael Zanatta, "profiling (expressão inglesa de perfilização) significa 'o ato ou processo de extrapolar informação sobre uma pessoa baseado em traços ou tendências conhecidas'".1 A intenção, em essência, é prever cenários e traçar perfis2, que, nas relações de consumo, viabilizam a predição comportamental a partir de parâmetros heurísticos. Em pleno século XXI, vivencia-se o apogeu da era marcada pela ampla conectividade estudada por Schwab3. Os debates jurídicos decorrentes desse fenômeno já se elasteceram para além das regras contidas no Código de Defesa do Consumidor (Lei nº 8.078/1990), uma vez que o ritmo galopante da inovação impõe reformulações aos modelos tradicionais de regulação pela lei e de engessamento das estruturas econômicas. Nesse contexto, abriu-se largo campo à exploração de modelos de negócio baseados em algoritmos capazes de processar grandes acervos de dados, trazendo sofisticação ao tradicional comércio eletrônico e viabilizando a implementação de estruturas negociais baseadas em dados e na identificação de perfis e tendências para a potencialização de lucros a partir da oferta de produtos e serviços mais personalizados ao consumidor final. A "precificação personalizada" é usualmente identificada pelas expressões geo-pricing e geo-blocking. Entretanto, o conceito é mais abrangente e engloba essas duas práticas como espécies que, quando implementadas, levam em conta a localização geográfica para propiciar a precificação algorítmica, mas com nuances próprias. O tema ganhou muita relevância, no Brasil, após atuação pioneira do Ministério Público do Estado do Rio de Janeiro, em razão de denúncia formalizada, à época dos Jogos Olímpicos do Rio de Janeiro, em 2016, por uma empresa que explora atividades de reservas de quartos de hotel e compra e venda de passagens aéreas. Na denúncia formalizada, a denunciante narrou ter identificado que uma concorrente exibia preços diversos em seu sítio eletrônico, a depender da localização de onde o potencial consumidor acessava a plataforma. Houve grande repercussão midiática, com veementes reações e sancionamento administrativo levado a efeito pelo Departamento de Proteção e Defesa do Consumidor (DPDC), órgão do Ministério da Justiça4, além de imediata investigação, pelo Ministério Público, que culminou na instauração de inquérito civil e na subsequente propositura de ação judicial5, levando a discussões sobre os limites da captura de metadados de navegação para fins de exibição de preços e de sua utilização.6 Sabe-se que a captura dos dados de navegação é robustecida por metadados (a partir dos chamados cookies7), em conjugação, ainda, com dados pessoais usualmente cadastrais, coletados para o fim de, traçando o perfil do potencial consumidor, viabilizar a elevação ou redução do preço final do produto ou serviço que lhe é apresentado, maximizando lucros.8 O potencial de discriminação de preços, condições negociais, qualidade e quantidade, além de outras informações relevantes, nessas práticas, depende de variáveis complexas e dos substratos valorados (com maior ou menor 'peso') pelos algoritmos que operacionalizam a coleta e o processamento de dados. E, além da violação flagrante às relações de consumo e à boa-fé que deve reger as contratações eletrônicas, tem-se em pauta uma questão fundamentalmente ética9, pois seria possível programar o algoritmo para indicar preços mais elevados para usuários perfilados como 'pessoas com maior poder aquisitivo'. O principal traço distintivo da prática em questão diz respeito ao objeto da precificação personalizada: um quarto de hotel é um espaço físico específico e dotado de características bem delimitadas; da mesma forma, um assento em uma aeronave que realiza o transporte aéreo entre pontos de partida e destino previamente escolhidos terá por objeto o mesmo voo, na mesma aeronave, na data e no horário definidos. O cumprimento obrigacional, portanto, tem contornos totalmente previsíveis, bem delimitados e contempla um único objeto. Desse modo, ainda que se possa discutir a precificação diferenciada para quartos de maiores dimensões ou com comodidades adicionais, ou mesmo para passagens aéreas de "classes" melhores e que ofereçam maior conforto, é certo que o objeto será diverso e, por consequência, será justa a diferenciação de preço em razão do objeto que, mesmo possuindo múltiplas categorias, continuará sendo lícito, possível e determinado (art. 104, II, do Código Civil). O que se repudia - e que se tornou objeto da veemente reação no Brasil - é a discriminação de preços de caráter subjetivo, isto é, que leva em conta elementos que permitam traçar o perfil pessoal, profissional ou de consumo do potencial consumidor. Na hipótese, o mesmo objeto (seja um quarto de hotel ou um assento em aeronave) será comercializado para consumidores diferentes, por preços diferentes e em função de decisão automatizada (art. 20, caput, LGPD), gerando um vício de forma, porquanto defesa, em lei, a perfilização discriminatória nesse contexto específico (art. 20, §2º, LGPD). Contornos diversos são os da chamada precificação dinâmica, há tempos utilizada para regionalizar preços em mercados digitais, sem gerar, necessariamente, discriminação ou até mesmo a perfilização. Quando se emprega o adjetivo 'dinâmica' para categorizá-la, tem-se em vista traços distintivos circunstanciais, mas não necessariamente relacionados ao conceito desenvolvido anteriormente, qual seja, a predição do perfil pessoal, profissional, de consumo, de crédito ou aspectos relacionados à personalidade. Não se 'personaliza' o produto ou o serviço para moldá-lo ao perfil que se traçou do consumidor em potencial; o que se faz, em singela descrição, é adaptar preços a realidades regionais que possam sofrer os impactos de circunstâncias de cariz tributário, inflacionário ou de conversão de moeda. No comércio eletrônico, trata-se de prática habitual de empresas que comercializam software para download imediato (sem mídia física, caracterizável como produto). No mercado digital de jogos eletrônicos, já se tornou regra. Grandes empresas se valem da prática designada como regional pricing support para equacionar disparidades de conversão de moeda e regionalização de acordo com a localização geográfica do consumidor. O objetivo, naturalmente, é potencializar vendas, pois, a partir de tal prática, um consumidor norte-americano, por exemplo, paga proporcionalmente mais por um mesmo jogo eletrônico vendido digitalmente do que um consumidor residente no Brasil, se considerada apenas a precificação comparada pela conversão da moeda (do dólar americano para o real, neste exemplo).10 Noutros termos, se o software fosse vendido ao comprador brasileiro em dólares, este teria que suportar os ônus da conversão de moeda (além de tributos, como o Imposto sobre Operações Financeiras). O consumidor brasileiro, por sua vez, pagaria proporcionalmente menos do que um consumidor argentino (se considerada a conversão do dólar, aqui tomado como paradigma, para pesos), em razão da desvalorização mais acentuada da moeda argentina em relação ao real brasileiro. Há imperfeições, no contexto da precificação dinâmica levada a efeito no comércio de licenças de software, pois a utilização de Virtual Private Networks - VPNs permite alterar o Internet Protocol - IP e "ludibriar" a plataforma para que determinado consumidor pareça estar noutro país. Com isso, medidas de limitação à alteração do país de residência nessas plataformas de comércio de jogos eletrônicos têm sido implementadas.11 Mesmo imperfeita, apesar de parecer muito clara a diferença conceitual, tal prática gerou a aplicação de vultosa multa, de ? 7.8 milhões, pela Comissão Europeia, às empresas Valve, Capcom, Bandai Namco, Focus Home, Koch Media e ZeniMax.12 A própria notícia sinaliza a discriminação por localização georreferencial como fundamento para a sanção, em confusão com o já analisado geo-blocking. Contudo, não se faz referência ao regional pricing support. Para que se possa compreender melhor a diferença, é importante que se elucide que o objeto da relação de consumo, nesta segunda hipótese, é a licença de uso do software, cuja natureza é replicável, porquanto acessado mediante pagamento para que se viabilize o download, a instalação em dispositivo informático e, feitas algumas verificações de idoneidade dos arquivos, sua fruição. Caso o episódio tivesse ocorrido no Brasil, o tema produziria polêmica, pois a extensão da proteção jurídica conferida ao software é debatida, pela doutrina, há décadas13, mas foi legislada de forma específica somente com a Lei nº 7.646/1987, posteriormente revogada pela Lei nº 9.609, de 19 de fevereiro de 1998.14 Não há dúvidas de que se trata do resultado do complexo e altamente técnico trabalho de programadores e desenvolvedores, que só é possível pelo emprego de conhecimentos específicos, além de experiências e competências pessoais ligadas, essencialmente, à parametrização de funções "in abstracto".15 Significa dizer que, pelo conceito, para estruturar um conjunto de funções direcionadas à realização de tarefa específica, cria-se um código-fonte que obedecerá aos comandos previamente estabelecidos e matematicamente inseridos na build respectiva. O produto final, portanto, tem contornos de produção intelectual prototipada e usualmente sujeita a pivotagem e testagem. Porém, consolidado o código, este se torna um produto acabado e idêntico, que será acessado de forma ubíqua por todos aqueles que o adquirirem via download. Eis o traço distintivo mais interessante: a relação de consumo relativa à comercialização de passagens aéreas ou reservas de quartos de hotel cuida de objetos estáticos; por outro lado, a comercialização do software considera objeto ubíquo. Logo, não faz sentido que a precificação, no primeiro caso, leve a distinções entre consumidores; já no segundo, faz todo sentido. Como visto, a diferença primordial que se identifica entre os exemplos da geodiscriminação realizada para a comercialização de passagens aéreas ou para a reserva de quartos de hotel, em comparação com as plataformas de comercialização de jogos eletrônicos, é o objeto da precificação e não o uso de algoritmos para isso. Pela análise empreendida, está claro que a reserva de quartos de hotel ou a compra de passagens aéreas deve representar prestação de serviços idêntica para todo consumidor, sem distinção subjetiva, embora se admita a definição de categorias de produtos ou serviços conforme seus aspectos qualitativos (v.g., quartos maiores ou assentos mais confortáveis). É totalmente diferente do download de software que está hospedado em um mesmo servidor, mas que é realizado por consumidor residente num ou noutro país. O hotel ou o voo são os mesmos, são objetos estáticos; o jogo eletrônico, licenciado para venda, varia, é ubíquo.16 O art. 20, §2º, in fine, da LGPD faz referência aos 'aspectos discriminatórios' do tratamento automatizado de dados pessoais. De fato, a perfilização discriminatória é vedada, mas o ponto central da norma está no objeto da relação jurídica estabelecida, e não na prática algorítmica em si. Realizando-se o cotejo analítico dessa forma, evitar-se-á disparidade de entendimentos e a solução aplicada a cada caso refletirá, com maior exatidão, suas particularidades, evitando distorções, interpretações equivocadas ou soluções sem efeito prático. ____________ 1 ZANATTA, Rafael. Perfilização, Discriminação e Direitos: do Código de Defesa do Consumidor à Lei Geral de Proteção de Dados. ResearchGate. fev. 2019. Disponível em: https://bit.ly/3hQe5wM. Acesso em: 12 jul. 2022. 2 Segundo Danilo Doneda, os "dados, estruturados de forma a significarem para determinado sujeito uma nossa representação virtual - ou um avatar - podem ser examinados no julgamento de uma linha de crédito, de um plano de saúde, a obtenção de um emprego, a passagem livre pela alfândega de um país, além de tantas outras hipóteses". DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006, p. 2. 3 SCHWAB, Klaus. A quarta revolução industrial. Tradução de Daniel Moreira Miranda. São Paulo: Edipro, 2016, p. 115. 4 De fato, logo que o caso veio a público, em decisão inédita no Brasil, o Departamento de Proteção e Defesa do Consumidor (DPDC) condenou a fornecedora supracitada, na esfera administrativa, ao pagamento de multa no valor de R$ 7.500.000,00 (sete milhões e quinhentos mil reais) por diferenciação de preço de acomodações e negativa de oferta de vagas em hotéis, quando existentes, de acordo com a localização geográfica do consumidor. 5 O caso específico teve início a partir da atuação ministerial do Promotor de Justiça Dr. Guilherme Magalhães Martins, à época da 5ª Promotoria de Tutela Coletiva do Consumidor da Capital, do Ministério Público do Estado do Rio de Janeiro, e seguiu, com a instauração de inquérito civil (nº 347/2016) e a propositura de ação civil pública (nº 0111117- 27.2019.8.19.0001) - que também contou com a atuação do Promotor de Justiça Dr. Pedro Rubim Borges Fortes - em face da empresa "Decolar.com". Mais detalhes sobre o caso e sobre a emblemática atuação ministerial podem ser obtidos em: FORTES, Pedro Rubim Borges; MARTINS, Guilherme Magalhães; OLIVEIRA, Pedro Farias. O consumidor contemporâneo no Show de Truman: a geodiscriminação digital como prática ilícita no direito brasileiro. Revista de Direito do Consumidor, São Paulo, n. 124, p. 235-260, jul./ago. 2019; MARTINS, Guilherme Magalhães. O geo-pricing e geo-blocking e seus efeitos nas relações de consumo. In: FRAZÃO, Ana; MULHOLLAND, Caitlin (Coord.). Inteligência artificial e direito: ética, regulação e responsabilidade. São Paulo: Thomson Reuters Brasil, 2019, p. 633-650. 6 EDER, Niklas. Privacy, non-discrimination and equal treatment: developing a fundamental rights response to behavioural profiling. In: EBERS, Martin; GAMITO, Marta Cantero (Ed.). Algorithmic governance and governance of algorithms: Legal and ethical challenges. Cham: Springer, 2021, p. 44-47. 7 Sobre os cookies e seus impactos quanto ao direito à privacidade, conferir: ZIMMERMAN, Rachel K. The way "cookies" crumble: Internet privacy and data protection in the Twenty-First Century. NYU Journal on Legislation and Public Policy, Nova York, v. 4, p. 439-464, 2000. 8 CUMMINGS, Rachel; DEVANUR, Nikhil R.; HUANG, Zhiyi; WANG, Xiangning. Algorithmic Price Discrimination. Proceedings of the Thirty-First Annual ACM-SIAM Symposium on Discrete Algorithms, Nova York, p. 2432-2451, jan. 2020. 9 SCHOLZ, Lauren H. Algorithmic contracts. Stanford Technology Law Review, Stanford, v. 20, n. 2, p. 128-168, set./dez. 2017, p. 144. 10 Sobre isso, cf. JANSKÝ, Petr; KOLCUNOVA, Dominika. Regional differences in price levels across the European Union and their implications for its regional policy. The Annals of Regional Science, Cham, v. 58, p. 641-660, 2017. 11 PARKER, Jason. Steam Region Change Now Limited to Enforce Regional Pricing. E-sportsTalk, 24 jun. 2021. Disponível em: https://www.esportstalk.com/news/steam-region-change-now-limited-to-enforce-regional-pricing/. Acesso em: 12 jul. 2022. 12 EUROPEAN COMMISSION. Antitrust: Commission fines Valve and five publishers of PC video games ? 7.8 million for "geo-blocking" practices. 20 jan. 2021. Disponível em: https://ec.europa.eu/commission/presscorner/ detail/en/ip_21_170 Acesso em: 12 jul. 2022. 13 Em 1985, Orlando Gomes escreveu: "Entendo que o 'software' é uma expressão criativa do trabalho intelectual e pessoal de quem o prepara. Essa criação da inteligência, materializando-se num corpus mechanicum que torna comunicável sua expressão, adquire individualidade definitiva, tal como se fosse um romance, um filme cinematográfico ou uma composição musical. Para ser protegido como tal basta a criatividade subjetiva, entendida como trabalho pessoal do programador - como se admite quando na obra protegida o elemento da criatividade consiste na idealização do seu plano." GOMES, Orlando. A proteção jurídica dos programas de computador. In: GOMES, Orlando; WALD, Arnoldo; ASCENSÃO, José de Oliveira; LOBO, C.A. da Silveira; ULMER, Eugen; KOLLE, Gert. A proteção jurídica do software. Rio de Janeiro: Forense, 1985, p. 15. Nessa época, a doutrina se baseava em parco repertório normativo para estruturar uma base compreensiva sobre o tema, a exemplo do Decreto-Lei nº 239/1967 e do Decreto nº 75.225/1975, relativos à política nacional de desenvolvimento científico e tecnológico; do decreto-lei 1.418/1975, relativo à tributação de contratos de software no exterior; do Decreto-Lei nº 1.996/1976, que incentivava a exportação de software; da Lei nº 5.772/1971, que instituiu o Código de Propriedade Industrial da época; da Lei nº 5.988/1973, que regulava os direitos autorais. Foi somente em 1987, com a Lei nº 7.646, que se definiu um marco normativo "quanto à proteção da propriedade intelectual sobre programas de computador e sua comercialização no País". 14 O conceito de software (programa de computador, como se convencionou designá-lo a partir de então) é apresentado logo no artigo 1º: "Art. 1º Programa de computador é a expressão de um conjunto organizado de instruções em linguagem natural ou codificada, contida em suporte físico de qualquer natureza, de emprego necessário em máquinas automáticas de tratamento da informação, dispositivos, instrumentos ou equipamentos periféricos, baseados em técnica digital ou análoga, para fazê-los funcionar de modo e para fins determinados." 15 FALEIROS JÚNIOR, José Luiz de Moura. A responsabilidade civil de programadores e desenvolvedores de software: uma análise compreensiva a partir do conceito jurídico de 'operador de dados'. In: FRAZÃO, Ana; CUEVA, Ricardo Villas Bôas (Coord.). Compliance e políticas de proteção de dados. São Paulo: Thomson Reuters Brasil, 2021, p. 815-818. 16 Segundo Maria Luiza Kurban Jobim: "O traço distintivo, portanto, entre o preço dinâmico e o preço personalizado, por mais difícil, na prática, que estes possam se demonstrar, é a relação direta entre a disponibilidade para pagamento inferida pelo fornecedor - a partir de dados pessoais e comportamentais do consumidor - com a fixação do preço. A DAP [disposição a pagar] reflete o valor atribuído pelo indivíduo às mercadorias e serviços que deseja adquirir e se refere ao maior valor monetário que as pessoas estão dispostas a pagar. (...) A lógica adjacente à implementação do preço personalizado tal como concebido no presente é relativamente recente, sendo viabilizada sobretudo pela coleta maciça de dados hoje possível no ambiente virtual." JOBIM, Maria Luiza Kurban. Precificação personalizada (personalised pricing): progresso ou retrocesso? Definições e reflexões preliminares a partir da Lei Geral de Proteção de Dados (LGPD) e da Análise Econômica do Direito (AED). In: SARLET, Gabrielle Bezerra Sales; TRINDADE, Manoel Gustavo Neubarth; MELGARÉ, Plínio (Coord.). Proteção de dados: temas controvertidos. Indaiatuba: Foco, 2021, p. 257. sexta-feira, 1 de julho de 2022 Comentar A operacionalização de sistemas de Inteligência Artificial envolve, no mais das vezes, o tratamento de conjunto expressivo de dados pessoais. Nessa toada, a Inteligência Artificial e a Proteção de Dados Pessoais constituem campos de estudo que se atravessam mutuamente. De outra parte, também se sustenta, de há muito, a superação definitiva da dicotomia entre direito público e direito privado, proporcionando a interpenetração das searas e a redefinição permanente da noção de ordem pública. Sobressai, nesse sentido, a necessidade de tutela e de promoção, em todas as relações intersubjetivas, dos valores que emanam da escala constitucional. O direito à proteção dos dados pessoais, previsto expressamente como direito fundamental no novo inciso LXXIX do artigo 5º da Constituição da República de 1988, é aplicado tanto na relação entre indivíduo e Poder Público quanto entre particulares. Assim, a atuação dos agentes sociais públicos e privados, como na hipótese de aplicação de tecnologias de Inteligência Artificial, só terá lugar na medida em que for merecedora de tutela à luz da legalidade constitucional. O objeto deste ensaio se situa na zona de interseção entre esses campos de estudo: cuida-se do exame das contratações públicas de Inteligência Artificial, com enfoque no tratamento de dados pessoais pelo Poder Público. O trabalho se dividirá em duas partes. Nesta primeira, a análise recai sobre a relação imbricada entre Inteligência Artificial e Proteção de Dados Pessoais, bem como sobre os conceitos e bases legais previstos na disciplina da lei 13.709/2018 (LGPD). Na Parte II, será abordada a conformação imposta pela ordem jurídica ao tratamento de dados pessoais pelo Poder Público no bojo da operacionalização de sistemas de Inteligência Artificial. Como visto, a Constituição da República de 1988 contempla, como direito fundamental, o direito à proteção dos dados pessoais. O inciso LXXIX do artigo 5º da Carta Magna, incluído pela Emenda Constitucional nº 115, de 10 de fevereiro de 2022, prevê que "é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais". Todavia, mesmo antes do advento da EC nº 115/2022, o Supremo Tribunal Federal já havia reconhecido, em 2020, a autonomia desse, por assim dizer, novo direito fundamental, ao referendar a medida cautelar deferida para suspender a eficácia da MP 954/2020 (ADIs 6.387, 6.388, 6.389, 6.390 e 6.393). Em essência, o direito à proteção dos dados pessoais é diretamente informado pelo princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB). Se a proteção dos dados pessoais constitui direito fundamental e se a utilização de tecnologias de Inteligência Artificial no setor público envolve, em geral, o tratamento de conjunto expressivo de dados pessoais, revela-se inequívoca a relação umbilical entre os dois campos de estudo. A operacionalização de sistemas de Inteligência Artificial deverá respeitar o direito fundamental à proteção dos dados pessoais, como tem sido colocado em evidência nas regulamentações e nos estudos sobre o tema. Vejam-se alguns exemplos. Na Estratégia Brasileira de Inteligência Artificial (EBIA), afirma-se que se afigura "fundamental que os princípios da IA estejam alinhados com os da LGPD e que os valores da proteção de dados sejam considerados tanto na aquisição quanto no desenvolvimento e uso dessas tecnologias", considerando o tratamento massivo de dados (big data) (anexo da Portaria MCTI 4.617, de 6 de abril de 2021, alterado pela Portaria MCTI 4.979, de 13 de julho de 2021). No texto do PL 21/2020, submetido pela Câmara dos Deputados à apreciação do Senado Federal, ainda em trâmite, são previstos como fundamentos do desenvolvimento e da aplicação da Inteligência Artificial no Brasil a proteção de dados pessoais e a harmonização com a LGPD (art. 4º, VIII e XV). Também é contemplado como princípio a "centralidade do ser humano", consubstanciada no "respeito à dignidade humana, à privacidade, à proteção de dados pessoais e aos direitos fundamentais" (art. 5º, II). Na relação entre direito e tecnologia, a resolução 332, de 21 de agosto de 2020, do Conselho Nacional de Justiça (CNJ), que "dispõe sobre a ética, a transparência e a governança na produção e no uso de Inteligência Artificial no Poder Judiciário", toma por premissa que a operacionalização de tais sistemas "deve respeitar a privacidade dos usuários, cabendo-lhes ciência e controle sobre o uso de dados pessoais". Além disso, estipula-se que "quando o desenvolvimento e treinamento de modelos de Inteligência exigir a utilização de dados", as amostras deverão "ser representativas e observar as cautelas necessárias quanto aos dados pessoais sensíveis e ao segredo de justiça" (art. 6º, caput). Dentre os estudos sobre o tema, no "Guia de Contratações Públicas de Inteligência Artificial", elaborado pelo Centro para a 4ª Revolução Industrial do Brasil (C4IR Brasil), fruto de uma parceria entre o Fórum Econômico Mundial, a União, o Estado de São Paulo e a iniciativa privada, a incorporação de "todas as exigências da legislação referente à proteção de dados e boas práticas aplicáveis à solução de IA" consta como uma das diretivas incidentes no âmbito público. Isso porque a "adoção de tecnologias como IA e aprendizado de máquina no setor público pressupõe acesso e tratamento de um conjunto expressivo de dados, internos e/ou externos à organização". Já no relatório "Recomendações de governança: uso de Inteligência Artificial pelo Poder Público", elaborado pela Transparência Brasil, a "efetiva proteção dos dados pessoais do cidadão" é prevista como uma das quatro recomendações aplicáveis. Destaca o estudo que "o emprego de tecnologias de IA" demanda, no mais das vezes, "o processamento de grande quantidade de dados para o treinamento do modelo, impulsionando a criação e/ou a disponibilização de bancos de dados pessoais massivos". O tema da proteção de dados pessoais, até 2018, era objeto apenas de tutela legislativa esparsa no direito brasileiro. Todavia, como se sabe, em 14 de agosto de 2018 foi editada a lei 13.709/2018, que contempla disciplina específica para o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado (art. 1º). A Lei Geral de Proteção de Dados Pessoais aplica-se, portanto, direta e imediatamente, à atuação estatal. Desse modo, a operacionalização de sistemas de Inteligência Artificial que envolva o tratamento de dados pessoais pelo Poder Público deverá guardar observância à disciplina da LGPD. A lei 13.709/2018 conceitua dado pessoal como aquele titularizado por pessoa natural identificada ou identificável, excluindo de sua proteção a informação relativa à pessoa jurídica (art. 5º, I e V). Tutela-se, assim, a noção de personalidade como valor, isto é, conjunto de predicados da pessoa humana, sempre concebida como fim em si mesma, a qual se diferencia do conceito de subjetividade, que diz com a aptidão para ser sujeito de direito, e incide para a pessoa natural e para a pessoa jurídica. A premissa de inaplicabilidade às pessoas jurídicas da proteção conferida pela LGPD foi, aliás, consignada no Enunciado 693, aprovado na IX Jornada de Direito Civil do Conselho da Justiça Federal (CJF), realizada em 19 e 20 de maio de 2022. Por outro lado, com relação ao dado pessoal sensível, a LGPD traz lista exemplificativa em seu artigo 5º, II: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A qualificação de determinado dado pessoal como sensível deve ocorrer concretamente, conforme a identificação da maior probabilidade de uso discriminatório por terceiros. São denominadas de bases legais as hipóteses autorizativas de tratamento de dados pessoais elencadas na LGPD. O consentimento é apenas uma das bases legais, inexistindo hierarquia entre elas, como reconhecido pelo Enunciado nº 689 da recente IX Jornada de Direito Civil. Assim, quando o tratamento a ser realizado pelo Poder Público se enquadrar em uma das hipóteses previstas na LGPD que autorizam operações com dados pessoais independentemente de consentimento, este estará dispensado. Caberá, portanto, à Administração Pública fundamentar o tratamento pretendido em uma das bases legais previstas nos artigos 7º e 11. O artigo 7º da Lei Geral de Proteção de Dados Pessoais contempla como bases legais, em linhas gerais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) execução de contrato ou de procedimentos preliminares relacionados a contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) tutela da saúde; (ix) legítimo interesse; (x) proteção do crédito. De outro giro, o artigo 11 da lei 13.709/2018 fornece disciplina específica para os dados pessoais sensíveis e prevê, resumidamente, as seguintes bases legais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; (vi) proteção da vida ou da incolumidade física do titular ou de terceiro; (vii) tutela da saúde; (viii) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. No caso de tratamento de dados de crianças, coloca-se em questão a previsão do artigo 14, § 1º, da LGPD, que demanda a obtenção de consentimento específico e em destaque de um dos pais ou do responsável legal do menor. Todavia, insista-se, inexistindo hierarquia entre as bases legais e sendo o consentimento apenas uma das hipóteses autorizativas, a interpretação sistemática a ser dada à legislação é a de que também podem incidir, para dados de crianças, as bases legais previstas nos artigos 7º e 11, respeitado o princípio do melhor interesse (art. 14, caput, LGPD). Este entendimento foi, aliás, adotado no Enunciado nº 684 da já referida IX Jornada de Direito Civil. De outra parte, a lei 13.709/2018 autoriza a transferência internacional de dados pessoais nos casos expressamente previstos em seu artigo 33. Destacam-se, em tema de tratamento de dados pessoais pelo Poder Público, as hipóteses em que a transferência internacional for necessária: (i) para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade, nos termos do artigo 23, caput, inciso I, da lei e (ii) para o cumprimento de obrigação legal ou regulatória pelo controlador (arts. 33, VII e IX, c/c art. 7º, II, LGPD). Dispensa-se a obtenção de consentimento do titular. Por outro lado, também se admite o compartilhamento de dados pessoais com outros entes públicos ou com entidades privadas. Tanto no caso de compartilhamento público-público (art. 26, caput, LGPD) quanto na hipótese de compartilhamento público-privado (arts. 26, § 1º, e 27, LGPD), o consentimento do titular poderá ser dispensado. O compartilhamento público-público está previsto no caput do artigo 26 da lei 13.709/2018. O dispositivo exige que o uso compartilhado de dados pessoais pelo Poder Público atenda a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, bem como respeite os princípios elencados no artigo 6º da lei, quais sejam, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. Registre-se que, quando empresas públicas e sociedades de economia mista estiverem operacionalizando políticas públicas, e no âmbito da execução delas, receberão o mesmo tratamento dado aos órgãos e às entidades do Poder Público (artigo 24, parágrafo único, LGPD). Já o compartilhamento público-privado demandará a observância das regras previstas nos artigos 26, § 1º, e 27 da Lei nº 13.709/2018, que devem ser interpretadas à luz das bases legais elencadas nos artigos 7º e 11. Nos termos do artigo 26, § 1º, da LGPD, faz-se, em regra, vedada a transferência pelo Poder Público de dados pessoais constantes das bases a que tenha acesso a entidades privadas, com exceção das hipóteses a seguir sintetizadas: (i) execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado; (ii) dados acessíveis publicamente; (iii) previsão legal ou respaldo em contratos, convênios ou instrumentos congêneres; (iv) se objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. De acordo com o artigo 27 da Lei Geral de Proteção de Dados Pessoais, a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado demanda consentimento do titular, a não ser que: (i) reste configurada hipótese de dispensa de consentimento prevista na lei; (ii) ocorra o uso compartilhado de dados, caso em que será dada publicidade nos termos do artigo 23, caput, inciso I, da LGPD; (iii) incidam as exceções elencadas no referido artigo 26, § 1º. Há uma certa dificuldade interpretativa neste artigo 27, que pode ser solucionada por meio do recurso às bases legais previstas nos artigos 7º e 11.1 A análise até aqui efetuada pode ser ilustrada a partir das duas bases legais que guardam significativa afinidade com o agir administrativo: cumprimento de obrigação legal e execução de políticas públicas. À luz da disciplina da LGPD, nestas duas hipóteses, poderá ocorrer, independentemente de consentimento do titular: (i) tratamento de dado pessoal; (ii) tratamento de dado pessoal sensível; (iii) tratamento de dado de criança e adolescente; (iv) transferência internacional de dado pessoal; (v) compartilhamento público-público; (vi) compartilhamento público-privado. Isso posto, a Parte II do trabalho examinará como o tema do tratamento de dados pessoais pelo Poder Público se coloca no bojo da operacionalização de sistemas de Inteligência Artificial. Até lá! __________ 1 Miriam Wimmer. O regime jurídico do tratamento de dados pessoais pelo Poder Público. In: Laura Schertel Mendes; Danilo Doneda; Ingo Wolfgang Sarlet; Otavio Luiz Rodrigues Júnior; Bruno Bioni (coords.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021, p. 295, E-book. sexta-feira, 24 de junho de 2022 Comentar Introdução A democratização do mercado de crédito no Brasil, iniciado a partir do Plano Real, permitiu o acesso facilitado ao crédito no país, fomentando o mercado de consumo, ao mesmo tempo que contribuiu para o incremento do número de consumidores superendividados (MARTINS, 2017, p. 38). Atualmente, o advento das fintechs proporciona desburocratização no acesso ao crédito, garantindo maior autonomia do consumidor, por outro lado, também pode resultar em aumento de dívidas e agravamento da sua condição de vulnerabilidade (OLIVEIRA, C., 2020, p.19). Um os fatores que contribuem para a situação de superendividamento da população brasileira é a qualidade do crédito concedido. Quanto mais baixo o grau de qualidade do crédito tomado, mais sacrifícios o consumidor terá de realizar para honrar a dívida, seja por conta de altas taxas seja pelos riscos dos negócios (MARTINS, 2017, p. 41). O custo do crédito, por sua vez, é calculado a partir do risco de inadimplência do tomador e o risco assumido pelo cedente. Tais cálculos de custo são afetados pelas informações disponíveis às instituições financeiras quando do momento da contratação. Ocorre que, em razão da assimetria informacional no contexto bancário, as instituições passam a exigir altas taxas de juros resultante da falta de previsibilidade de adimplência, especialmente quando o tomador do crédito possui menor renda (SOUTO, 2019, p. 76). Tendo em vista a baixa qualidade do crédito esses consumidores, então, estão mais vulneráveis e propícios ao fenômeno do superendividamento. Nesse contexto, cabe a investigar o papel das fintechs, com o emprego de tecnologias disruptivas de Big Data e análise de crédito, como estratégia de prevenção ao superendividamento e melhoria do mercado de consumo creditício. LGPD e CDC: proteção ao crédito e superendividamento A Lei Geral de Proteção de Dados (LGPD - lei 13.709/2018) estabelece as hipóteses que autorizam o tratamento de dados pessoais, as chamadas "bases legais". As hipóteses de tratamento previstas na LGPD estão divididas em dois artigos: (i) o artigo 7º, dedicado às bases legais para tratamento de dados pessoais, e (ii) o artigo 11º, dedicado às bases legais que autorizam o tratamento de dados pessoais sensíveis. Entre as bases legais que autorizam o tratamento de dados pessoais, destaca-se a base legal de proteção do crédito, prevista no art. 7º, inc. X, da LGPD. Trata-se de uma inovação da legislação brasileira em comparação com o Regulamento Geral de Proteção de Dados Europeu (GDPR - General Data Protection Regulation), que inclui o tratamento de dados pessoais objetivando a proteção do crédito e do sistema financeiro. Considera-se que o tratamento de dados pessoais realizados com fundamento nesta base legal busca ampliar e facilitar a concessão de crédito, contribuindo para melhorar a análises de risco e impulsionar o mercado de consumo (TEFFÉ; VIOLA, 2020, p. 27). Uma das aplicações diretas da base legal de proteção ao crédito é o credit scoring, sistema de pontuação utilizado por instituições financeiras que tem por finalidade auxiliar na toma de decisões relativas à concessão de crédito (TEFFÉ; VIOLA, 2020, p. 27). Essa base também fundamenta outras atividades de tratamento de dados pessoais relacionadas à redução do risco de crédito como a definição e o gerenciamento de limites de crédito e o desenvolvimento ou consulta a scores e informações de bureaux de crédito. Nesse caso, a base deverá ser adotada em harmonia com as normas do Código de Defesa do Consumidor (CDC - lei 8.078/90) e da Lei do Cadastro Positivo (lei 12.414/11) e demais legislações aplicáveis. O tratamento de dados pessoais baseado na base legal de proteção ao crédito coaduna com as regras de prevenção e tratamento do superendividamento introduzidas no CDC pela lei 14.181/2021. Nesse sentido, o art. 54-D, inc. II, do CDC dispõe que, na oferta de crédito, o fornecedor ou o intermediário deverá "avaliar, de forma responsável, as condições de crédito do consumidor, mediante análise de informações disponíveis em bancos de dados de proteção ao crédito". Aliás, o CDC já prevê a criação de bancos de dados e cadastros de consumidores como serviços de proteção ao crédito (art. 43). Open Banking: a lógica da autodeterminação informativa do consumidor O Open Banking foi criado com a intenção de padronizar o compartilhamento de dados bancários entre clientes e instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil (BCB). O sistema Open Banking se traduz numa plataforma que permite a integração de APIs (Application Programming Interfaces) e, a partir desses protocolos de integração, proporciona certo grau de comunicação e compartilhamento entre instituições de maneira robusta, ágil e conveniente. Assim, o Open Banking estabelece a padronização de APIs para viabilizar a interoperabilidade entre sistemas de instituições financeiras e de pagamento. Com o advento da LGPD e o avanço tecnológico no mercado financeiro, observa-se a alteração do raciocínio legislativo, assim o dever de sigilo bancário começa a abrir espaço para a autodeterminação informativa, visando garantir ao usuário maior controle sobre o tratamento de dados pessoais. Tal é o sentido da autorização do compartilhamento por trás do Open Banking. A partir da concessão de informações claras e precisas a respeito dos dados coletados e dos serviços oferecidos, o titular pode exercer o direito de controlar suas informações pessoais, assim como protegê-las. A lógica da autodeterminação informativa e da defesa do consumidor permite, assim, a construção de novos produtos e serviços no mercado financeiro, em especial, a partir do Open Banking e Open Finance, enquanto prevê maior controle aos consumidores em relação às suas finanças e informações. A autodeterminação informativa constitui-se, assim, um direito do indivíduo em decidir livremente sobre o uso de seus dados pessoais, incluindo para quem serão repassados e com que finalidade serão tratados (SOUSA; SILVA, 2020, p. 11). Independentemente de o tratamento de dados pessoais se basear na base legal do consentimento (art. 7º, inc. I, da LGPD), a autodeterminação informativa é um dos fundamentos da LGPD (art. 2º, inc. II) e deve ser observada em todas as operações de tratamento de dados pessoais, revelando-se também nos princípios do livre acesso e da transparência (art. 6º, inc. IV e VI). O tratamento de dados pessoais como estratégia de concessão de crédito responsável A ampla disponibilização de informação às instituições financeiras pode tornar as operações de crédito menos arriscadas, proporcionando a redução da necessidade de garantias de alto valor e a redução da taxa de juros, gerando uma maior oferta de crédito com melhor qualidade no mercado (SOUTO, 2019, p. 78). O adequado tratamento dos dados pessoais disponíveis contribui, assim, para a concessão de crédito seguro e personalizado às necessidades e qualidades do consumidor, também servindo de medida de prevenção ao superendividamento. O Open Banking, ao permitir o acesso às fintechs de maior quantidade de dados pessoais dos consumidores, conduz a melhorias na capacidade de triagem dos algoritmos de análise de dados (screening), especialmente por permitir o acesso a diversas fontes de dados, como birôs de crédito, por exemplo (HE; HUANG; ZHOU, 2020, p. 02). A melhoria na capacidade de screening das fintechs possui dois efeitos: (i) identificar de maneira mais eficaz o tipo de tomador de empréstimo, o que implica no aumento dos empréstimos de qualidade; e (i) aumenta o grau de competitividade no mercado de crédito (HE; HUANG; ZHOU, 2020, p. 02). Desse modo, seguindo-se a lógica da autodeterminação informativa da centralidade da proteção de dados no contexto do Open Banking, é possível construir um ecossistema de crédito seguro e competitivo, contribuindo para a diminuição do superendividamento. É evidente que a oferta do crédito deve ser acompanhada de informações claras, precisas e de fácil acesso aos consumidores a fim de permitir a manifestação livre e consciente da vontade, devendo-se aplicar medidas regulatórias e fiscalizatórias para coibir a prática de marketing predatório. Considerações finais As fintechs alimentadas pelo amplo compartilhamento de dados permitido a partir do Open Banking, contribuem para a democratização do acesso ao crédito e maior controle dos consumidores quanto às opções de produtos creditícios. O acesso aos dados pessoais permite maior segurança na decisão de concessão de crédito, diminuindo a assimetria informacional característica do setor bancário tradicional, o que permite menor taxas de juros. As tecnologias apresentadas pelos novos serviços do mercado creditício devem ser acompanhadas pela centralidade da autodeterminação informativa e proteção dos dados pessoais dos consumidores, além de oferecer transparência a respeito do tratamento de dados envolvido e das condições de crédito concedidas. Deve-se garantir, portanto, o equilíbrio entre o open finance, acompanhado de serviços de crédito disruptivos, e a preservação da dignidade e autonomia dos consumidores. Tal equilíbrio inicia-se pela interpretação harmoniosa entre as legislações aplicáveis sobre o tema, em especial a Lei Geral de Proteção de Dados, o Código de Defesa do Consumidor e as regulações setoriais do Banco Central. Referências HE, Zhigou; HUANG, Jing; ZHOU, Jidong. Open Banking: credit market competition when borrowers own the data. National Buerau of Economic Research, working paper nº 28118, 2020. Disponível aqui. Acesso em: 09 jan. 2022. LABORATÓRIO DE POLÍTICAS PÚBLICAS DA INTERNET (LAPIN). Relatório Open Banking & LGPD: Entraves e Eficiências. Brasília, 2020. 45f. Disponível aqui. Acesso em: 27 dez. 2021. MARTINS, Lucas Rafael. O superendividamento do consumidor de crédito: um estudo de fatores desencadeadores do endividamento crônico e análise dos principais modelos de recuperação e do PL 283/2012. 2017. 65 f. Trabalho de Conclusão de Curso (Bacharel em Direito) - Faculdade Nacional de Direito, Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2017. OLIVEIRA, Cecília Franco Vieira de. O superendividamento bancário na era das Fintechs. 2020. 30 f. Trabalho de Conclusão de Curso (Bacharel em Direito) - Escola de Direito, Pontifícia Universidade Católica do Paraná, Curitiba, 2020. SOUSA, R. P. M. de; TAVARES DA SILVA, P. H. Proteção de dados pessoais e os contornos da Autodeterminação Informativa. Informação & Sociedade: Estudos, [S.l], v.30, n. 2, p. 1-19, 2020. Disponível aqui. Acesso em: 09 jan. 2022. SOUTO, Gabriel Araújo. O Cadastro Positivo: a solução para o combate à assimetria informacional no setor bancário brasileiro? Revista da PGBC, v.13, n. 1, p. 75-88, jun. 2019. Disponível aqui. Acesso em: 09 jan. 2022. VIOLA, Mario. TEFFÉ, Chiara Spadaccini de. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais dos artigos 7º e 11. In: BIONI, Bruno (coord.) Tratado de proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021. sexta-feira, 17 de junho de 2022 Comentar 1. IAPD e GENE na cooperação técnica nos setores de energia e de Proteção de Dados O Instituto Avançado de Proteção de Dados - IAPD é uma organização de caráter científico, técnico e pedagógico, sem fins lucrativos ou econômicos, fundada em 2019 com a missão de centralizar as propostas sociais de estudos avançados nesta área, com reflexos positivos nos mais diversos setores da economia do país, a partir do Desenvolvimento de pesquisas multidisciplinares, em âmbito nacional e internacional, relacionadas à proteção de dados, sejam de natureza social, econômico-financeira, tecnológica, urbanístico-ambiental ou político-institucional, além de quaisquer outros levantamentos para projetos de seu interesse, visando enfrentar os desafios comuns ao desenvolvimento social, de forma a contribuir para com as políticas públicas inerentes à aplicabilidade da LGPD e das normas a serem implantadas pela Autoridade Nacional de Proteção de Dados (ANPD). A entidade é presidida pela Professora Cintia Rosa Pereira de Lima e, entre os seus associados, encontram-se pesquisadores e professores de destaque, além de profissionais especializados na área temática.1 O Grupo de Excelência em Negócios de Energia - GENE é órgão fundado em 2016 e operado por especialistas, professores, pesquisadores e profissionais da área de energia que tem entre os seus objetivos a disseminação de conhecimento e o estímulo ao Administrador para a compreensão matriz energética como elemento essencial para a organização das nações e das atividades. A energia ocupa um papel de destaque no processo de definição de estratégias empresariais e institucionais, ensejando o debate e a pesquisa nas diferentes dimensões que envolvem o tema na atualidade, com ênfase na gestão de negócios em energia Capitaneado pelo Professor Fernando Mario Rodrigues Marques, o GENE opera no âmbito do Conselho Regional de Administração de São Paulo - CRA-SP. 2 Estas entidades se uniram no início de 2021 para elaborarem pesquisas e programas específicos voltados para a proteção de dados no âmbito no setor energético brasileiro, que possam ser implantados em sintonia com os ditames da ANPD Autoridade Nacional de Proteção de dados e da ANEEL - Agência Nacional de Energia Elétrica. Pretendem prestar auxílio institucional e gerar aproximação com órgãos que executem a fiscalização e controle da aplicação da LGPD no setor de energia elétrica, observando também, os reflexos junto aos consumidores e as políticas governamentais voltadas para o desenvolvimento econômico e social e o meio ambiente, num contexto de gestão sustentável da energia e proteção de dados. Esta proposta institucional, se alinha com as funções cooperativas da ANPD - Autoridade Nacional de Proteção de Dados, como se observa do Art. 55-J da LGPD e seus parágrafo, nos seguintes termos: "§ 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei. § 4º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD." As reflexões conjuntas que ora são trazidas à lume, fazem parte desta cooperação institucional que se pretende prestar ao setor de energia, no âmbito da proteção de dados pessoais. 2. O setor de energia e sua função econômica na era da digitalização É muito difícil imaginar uma vida cotidiana sem a presença da energia que movimenta a economia, nos mais diversos seguimentos, entre os quais a indústria, comercio, serviços, saúde, além dos vários meios de transporte, permitindo os mais expressivos usos que proporcionam desde iluminações totais das residências e cidades, como também dos equipamentos que auxiliam na qualidade de vida, como eletrodomésticos e os voltados para as transações bancárias e acesso à internet. A energia movimenta a economia global, permitindo que sejam produzidos todos os produtos que temos hoje e que sejam realizados os mais variados tipos de serviços. As próprias atividades de produção, transmissão e distribuição de energia são extremamente relevantes para a economia, gerando investimentos, riqueza e empregos diretos e indiretos. Para gerar a energia são utilizadas as mais variadas fontes: hidráulica, eólica, solar, térmica e química. "Petróleo, óleo diesel e carvão foram os grandes insumos da sociedade industrial que necessitava de energia para atender as demandas de produção. Inclua-se também nesse pacote a energia nuclear. Por muito tempo, essas fontes geradoras cumpriram um papel fundamental no desenvolvimento econômico e social do mundo."3 Ainda hoje, tais fontes são muito relevantes na matriz energética mundial. Enquanto o mundo tem, em média, 84% de energia primária gerada por fontes fósseis, o Brasil tem 43% do seu mix energético gerado por fontes renováveis.4 No entanto, além de finitas, tais fontes de geração de energia são muito poluentes e podem comprometer o direito das gerações futuras a um meio ambiente saudável e equilibrado, tornando-se motivo de preocupação da comunidade internacional. Em função disso, o setor energético tem buscado soluções para melhorar sua eficiência e seus negócios. "No bojo dessa transformação, destacam-se três aspectos. O primeiro é a descentralização dos sistemas de geração de energia, aproximando-os dos locais de consumo, além dos avanços nas tecnologias de armazenamento. Em segundo lugar, observa-se a proliferação de tecnologias digitais, que permite que a energia seja produzida, transmitida e consumida de forma mais inteligente e eficiente. Por fim, evidencia-se o crescimento de fontes de energia renováveis para descarbonização do sistema energético, como parte dos esforços globais de mitigação das mudanças climáticas."5 No que se refere à crescente digitalização dos processos e uso massivo de dados (incluindo dados pessoais), isso permite que a energia seja produzida, transmitida e consumida de forma mais inteligente e eficiente, com a descentralização da produção, armazenamento e distribuição da energia por meio dos Recursos Energéticos Distribuídos (REDs), aproximando-os dos locais de consumo, bem como a preocupação com a sustentabilidade ambiental e econômica.6 As smart grids, ou redes elétricas inteligentes estão entre as principais transformações digitais do setor elétrico. São redes de transmissão e distribuição de energia caracterizadas pelo uso de tecnologias de informação e comunicação que usam sistemas de medidores inteligentes atrelados por dispositivos de comunicação à computação para coleta e análise de dados, com uso de big data e inteligência artificial. Essa realidade permitirá que máquinas, equipamentos, residências, edifícios e até mesmo cidades sejam geridos e programados remotamente e de forma coordenada para uma melhor gestão da entrega da energia. Nesse sentido, já está em discussão hoje a chamada tokenização da energia. As transações financeiras dessa atividade econômica envolvem a troca da energia, que é um produto físico, transportado pela rede de transmissão e distribuição. "A economia da eletricidade é moldada por sua física, como por exemplo pelo fato da eletricidade ser consumida quase no mesmo instante de sua geração, pois armazenar eletricidade ainda é muito caro, o que faz com que seu preço flutue amplamente."7 Além disso, a energia elétrica, tal qual é encontrada na natureza é algo homogêneo. Não se pode diferenciar o Kwh gerado em um painel solar fotovoltaico do Kwh gerado por uma usina termina a carvão. Tais características são propícias para que utilize as tecnologias baseadas em blockchain para representar determinada transação de energia elétrica de maneira mais confiável, rápida e econômica para validar e registrar transações financeiras e operacionais, inclusive podendo discriminar a fonte da energia transacionada, de modo que o produto energia passaria de homogêneo para heterogêneo. O resultado disso seria uma maior customização dos modelos de contratos e de precificação da energia8, a aplicação para resposta da demanda9, a comercialização de energia ponto a ponto10, e a certificação da origem da energia11. Nota-se, assim, que o uso de dados passa a ser um elemento importantíssimo para o novo modelo de negócios que vem se estruturando no setor de energia elétrica. Dentre os dados usados pelas tecnologias de digitalização empregadas no setor de energia elétrica, existem muitos que são dados pessoais o que gera a crescente preocupação com a adequação das atividades de tratamento de dados pessoais, nos termos da Lei 13.709/2018 (Lei Geral de Proteção de Dados - LGPD). 3. A adequação da LGPD aos negócios de energia Quanto mais as redes de geração, sobretudo a geração distribuída, transmissão e distribuição vão entrando na era digital, um volume cada vez maior de dados passa a ser coletado, armazenado e analisado pelos atores do mercado energético (distribuidores, transmissores, geradores, comercializadores, além dos agentes regulatórios e o Poder Público). Nesse contexto, os dados pessoais também passam a ser objeto de coleta e análise. Em um panorama de uso constante e progressivo de recursos energéticos distribuídos, as pessoas naturais que geram energia própria (notadamente a energia solar fotovoltaica) passam de simples consumidores a produtores de energia (prossumidores) e, nesta condição, enviam uma quantidade importante de dados às distribuidoras de energia, responsáveis pela medição e compensação dos valores relacionados à energia gerada em excesso e disponibilizada na rede de distribuição, para que esta energia possa ser utilizada no consumo de outras pessoas. Por sua vez, as smart grids podem coletar e armazenar dados gerando os seguintes impactos: a) definição de tarifas diferenciadas, de acordo com as variações no horário de consumo ou no perfil do consumidor. Com um processo avançado de tokenização pode-se até mesmo ter uma diferenciação de preços sobre a origem da energia consumida, o que implica em mais um dado sobre o perfil do consumidor; b) disponibilização do formato pré-pago para a compra de energia elétrica ou do fornecimento por mais de uma empresa distribuidora; c) leitura digital remota dos quadros de energia, com monitoramento do consumo tanto pela distribuidora quanto pelo consumidor; d) ativação e desativação remota do fornecimento de energia elétrica; e) uso de sistemas de inteligência artificial para mapear os padrões de consumo, tornando possível a identificação de fraudes; f) acionamento remoto e monitoramento do consumo dos aparelhos conectados à rede de energia elétrica, entre outras possibilidades.12 Além disso, conforme Arturo Jordão Cortez e Adriano Marcolino, "As redes inteligentes envolvem todas as oportunidades relacionadas à tecnologia da informação. Na era da informação, a mesma pode ser monetizada, criando, por exemplo, anúncios pagos e marketing direcionado para certos consumidores de acordo com o perfil de consumo. Este tipo de oportunidade ainda é pouco explorado e as possibilidades são muitas."13 Trata-se de um ponto de grande importância para o sistema de proteção de dados pessoais estabelecido pela LGDP, posto que a coleta e uso de dados de consumo visando o direcionamento de ações de marketing deve contar com o consentimento dos titulares dos dados, uma vez que tal uso foge às finalidades estritamente relacionadas com os negócios relacionados às atividades das redes inteligentes. O setor de distribuição de energia trabalha com um grande fluxo de dados incluindo dados pessoais de seus consumidores, funcionários, fornecedores de bens e serviços, inclusive dados sensíveis, como no caso dos consumidores que possuem doenças que necessitam de aparelhos elétricos, previsto nos artigos 6, parágrafo único e 659, VII da REN 1.000/2021 da ANEEL1, além dos próprios dados de consumo. Esses dados chegam às Concessionárias por vários canais de atendimento e se prestam a cumprir várias finalidades, tais como o fornecimento de energia, a compensação de valores nos termos da cobrança das contas, atendimento de chamadas técnicas e enquadramento dos consumidores de baixa renda. Além disso, elas compartilham dados com empresas prestadoras de serviços de manutenção de rede e instalações, empresas do mesmo grupo econômico e até mesmo no caso de transações e alterações societárias envolvendo a Companhia, hipótese em que a transferência das informações seria necessária para a continuidade dos serviços. Quando a empresa pertence a um grupo estrangeiro, poderá, em certas condições contratualmente estabelecidas, haver transferência internacional de dados. Todas essas operações de coleta, armazenamento e transferência de dados devem ser realizadas, observando-se os principios e fundamentos previstos na LGPD. Além disso, esse tratamento de dados pessoais, deve estar estritamente vinculado às finalidades que justifiquem o acesso e uso de tais dados. Não se pode tratar dados pessoais que não estejam vinculados às finalidades previstas. Por exemplo: para o cumprimento do contrato de fornecimento de energia, orçamento de conexão e demais atividades que precisem a identificação do consumidor, a REN 1000/21 da ANEEL prevê a coleta dos seguintes dados cadastrais: Nome completo conforme cadastro da Receita Federal, CPF, RG ou outro documento de identidade oficial com fotografia, Registro Administrativo de Nascimento de Indígena (RANI), Endereço da instalação. Além disso, para atendimento aos consumidores, outros dados poderão ser solicitados para tratamento, tais como Telefone, Endereço de e-mail, Data de nascimento, estado civil. Conforme se nota, temos dois dados sensíveis: o RANI, que se refere diretamente à etnia, e a informações sobre pessoas usuárias de equipamentos elétricos destinados à manutenção da vida. Para esses, há que se tomar todos os cuidados previstos nos artigos 11 e 12 da LGPD. Outro ponto importantíssimo para o setor elétrico está na participação das agências reguladoras setoriais juntamente com a Autoridade Nacional de Proteção de Dados (ANPD - órgão regulador e fiscalizador do cumprimento da LGPD) no que se refere à fiscalização e à regulamentação. Isso significa que a ANEEL terá um papel importante junto à ANPD, podendo, inclusive, passar a ser responsável por fiscalizar o cumprimento da lei no setor elétrico. Com a tendência de descentralização de atividades de geração e distribuição, por meio da crescente tendência de uso da geração distribuída, inclusive permitindo-se a realização de negócios ponto a ponto, conforme mencionamos, haverá, também, uma maior presença de atores que farão tratamento de dados pessoais. Esses casos precisarão estar bem regulados pela ANEEL do ponto de vista da adequação à LGPD. 4. Conclusão É preciso olhar a questão da proteção de dados como uma oportunidade para que as empresas públicas e privadas que atuam no setor energético, possam especializar a coleta de forma tal que , ao atenderem aos principios protetivos da LGPD, inclusive com relação aos novos produtos colocados ao consumidor, contribuirão para a harmonização do mercado e gerarão a partir da coleta de dados, informações de qualidade e transparência, com reflexos no desenvolvimento do setor e do próprio negócio. Em razão do volume de dados pessoais coletados pelos diversos agentes que operam no setor energético, e, verificada a hipótese de compartilhamento de dados pessoais, urge que se respeite a vontade do consumidor e que a coleta não seja precedida de um tratamento tecnológico que envolva inteligência artificial de tal forma que possibilite a formação de um viés negativo na perfilação do consumidor, decorrente de interferência ou interpretação algorítmica que possa de alguma forma gerar prejuízos ao consumidor titular dos dados pessoais ou, ainda, perdas de oportunidades ou pressão de ofertas advindas exatamente da análise e classificação de seus dados coletados. Enfim, se estas empresas do setor energético, devem coletar os dados pessoais dos seus clientes e fornecedores, para o exercício pleno de suas atividades, devem pela coleta e tratamento destes dados, se responsabilizar e adotar a necessária proteção e tratamento, na exata forma preconizada na lei. E, deste ponto de vista, não será nada mais justo que, possam se utilizar dos dados pessoais coletados, uma vez resguardado o sentido finalista ou a base legal desta coleta, no benefício do desenvolvimento de seus negócios, desde que o faça de forma ética e responsável, sem desprezar os direitos dos consumidores titulares destes dados. Nesses termos, a necessidade de adequação das empresas públicas e privadas que atuam no setor energético, às regras principiológicas e fundamentos da LGPD, pode ser vista não como uma externalidade negativa que gera custos, mas sim como investimento, pois, ao passarem por um processo de conhecimento e de reorganização dos dados por imposição legal, obterão melhor governança protetiva e, via de consequência, um controle de gestão de forma tal que refletirá na competitividade e na responsividade social adequada do mercado, onde também se incluem os usuários titulares dos dados pessoais. _________________ 1 https://iapd.org.br/ 2 https://www.crasp.gov.br/centro/site/grupos-de-excelencia/negocios-de-energia 3 Associação Brasileira dos Comercializadores de Energia (Abraceel). Energia Livre: como a liberdade de escolha no setor elétrico pode mudar o Brasil - Luiz Chinan e Thiago Nassa - São Paulo - 2014, 44 p., p. 13. 4 https://fgvenergia.fgv.br/dados-matriz-energetica 5 BARBATO, Humberto. Artigo: A era digital já é realidade no setor elétrico. Publicado em 22/04/2019. Disponível em https://www.energiaquefalacomvoce.com.br/2019/04/22/artigo-a-era-digital-ja-e-realidade-no-setor-eletrico/. Acesso em 26/05/2022. 6 Conforme COSTA JR, Arlei. A digitalização do setor elétrico brasileiro, in Revista Brasileira de Pesquisa Jurídica (Brazilian Journal of Law Research), Avaré: Eduvale, v. 1, n. 3, p. 119-138, 2020. DOI: 10.51284/rbpj.01.cj., p. 122. Disponível em: https://ojs.eduvaleavare.com.br/index.php/rbpj/article/view/20. Acesso em: 26/05/2022. E também conforme BARBATO, Humberto. Op. Cit. 7 COSTA JR, Arlei. Op. Cit., p. 128. 8 COSA JR, Arlei. Op. Cit., p. 128-129. 9 "A resposta da demanda é um mecanismo para gerenciar o consumo dos clientes em resposta às condições de oferta, como por exemplo, realizar a redução ou deslocamento do consumo de energia em momentos críticos por meio de pagamentos ou em resposta a preços de mercado, adicionando estabilidade ao sistema, pois a geração e o consumo devem estar equilibrados em tempo real, o que é dificultado em uma rede bidirecional de geração e consumo, onde ambos estão em constante oscilação e com a introdução das energias renováveis e intermitentes." (COSTA JR., Op. Cit., p. 129) 10 "A comercialização de energia ponto a ponto ou peer-to-peer (P2P) é o foco da maioria das empresas de blockchain para o setor de energia. O termo se refere a possibilidade de comprar e vender energia entre vizinhos. Os prosumidores com excesso de energia podem vender seu excedente localmente ou exportar para a rede ou armazenamento. A grande quantidade existente dos REDs não é suportada pela atual estrutura da Câmara de Comercialização de Energia Elétrica (CCEE), que é a responsável por viabilizar e gerenciar a comercialização de energia elétrica no Brasil. A maior parte da geração residencial é de origem fotovoltaica e seus excedentes geram margens pequenas nessas transações, o que torna esse mercado pouco atraente e provavelmente inviável para as comercializadoras, abrindo espaço para a tecnologia blockchain." (COSTA JR., Op. Cit. p. 131). 11 COSTA JR., Op. Cit., p. 133. 12 IEBT. Disponível em https://iebtinovacao.com.br/entenda-como-as-tecnologias-digitais-transformarao-o-setor-eletrico-brasileiro/ Acesso em 31/05/2022. 13 CORTEZ, Arturo Jordão e MARCOLINO, Adriano. Oportunidades e desafios para a implementação de smart grid no setor elétrico brasileiro. FGV Energia, Agosto 2019, p. 7. 14 A RES 1000/2021, consolidou as normas de Prestação do Serviço Público de Distribuição de Energia Elétrica e revogou as Resoluções Normativas ANEEL nº 414, de 9 de setembro de 2010, a qual continha regras mais específicas (e abrangentes) sobre o cadastro dos consumidores. Na atual Resolução, as normas estão dispersas. No entanto, as distribuidoras podem colher outros dados dos consumidores não previstos expressamente (e que antes estavam previstos na Resolução 414), desde que atentem para as diretrizes da LGPD, notadamente sobre as bases legais para o tratamento de dados pessoais. sexta-feira, 10 de junho de 2022 Comentar A Organização para Cooperação e Desenvolvimento (OCDE) é organização internacional que tem por objetivo constituir políticas públicas para melhoria da qualidade de vida dos cidadãos, trabalha o estabelecimento de padrões internacionais baseados em evidências científicas e busca de soluções para os desafios sociais, econômicos e ambientais1. Em maio de 2011, o órgão publicou as primeiras diretrizes a respeito dos cuidados e das ferramentas relacionadas aos riscos do uso da internet por crianças e adolescentes, denominadas "The Protection of Children Online: risks faced by children online and policies to protect them"2. Na mesma linha, em maio de 2020, o órgão emitiu novas diretrizes com o título "Protecting children online an overview of recent developments in legal frameworks and policies OCDE digital economy papers"3. O objetivo desse texto é trazer o mapeamento dos riscos relacionados aos dados de crianças e adolescentes conforme o documento. Do mapeamento dos riscos Para iniciar o estudo, a OCDE analisa as classificações de riscos que foram desenvolvidas por diversos órgãos internacionais que distinguem entre riscos relacionados a conteúdo nocivo e aqueles relacionados a interações nocivas e, grosso modo, classifica os riscos em três categorias: i) riscos de tecnologia na internet; ii) riscos relacionados ao consumo; e iii) privacidade da informação e riscos de segurança. O risco relacionado à informações e dados pessoais diz respeito, justamente, ao compartilhamento de dados pessoais de crianças e adolescentes na internet. Nesse sentido, o documento afirma que as crianças são um grupo particularmente vulnerável, visto sua capacidade reduzida de prever perigos e consequências da exposição de suas informações no meio digital. Conforme o estudo, as crianças correm riscos relacionados à privacidade das informações quando seus dados são coletados sem que percebam, através de cookies, ou ainda por meio da contratação de serviços on-line. Assim como o comportamento dos adultos, as crianças aprovam os termos de privacidade dos serviços on-line sem fazer a leitura (e compreender todos os seus termos), já que, muitas vezes, são longos e escritos em linguagem técnica o que os torna ainda mais difíceis de serem compreendidos pelas crianças. Nesse sentido, os serviços on-line populares entre crianças quase sempre falham em oferecer procedimentos que assegurem aos pais as informações quanto ao tratamento dos dados de seus filhos, bem como em obter autorização expressa para tanto. Essa situação dificulta o controle dos pais no tratamento de dados dos filhos em meio digital. Informação pessoal como commodity As informações pessoais tornaram-se uma espécie de commodity no meio digital, e essa também é uma realidade para as crianças. O estudo trazido pela OCDE aponta que 95% (noventa e cinco por cento) dos adolescentes britânicos estão cientes desse fato e demonstram preocupação com as informações coletadas por websites. Além disso, ainda de acordo com o documento, de quarenta websites constantemente acessados por crianças, quase dois terços requerem dados pessoais para acesso e navegação4. Nesse contexto, algumas campanhas publicitárias, com objetivo de atingir o seu público-alvo, têm como forma de cativar as crianças o uso de jogos, questionários e outros conteúdos, que acabam coletando informações pessoais (da criança e de sua família), muitas vezes sem requerer o consentimento dos pais. A possibilidade de ganhar um prêmio ou receber conteúdo on-line gratuito é, muitas vezes, a motivação para que crianças forneçam seus dados. Dessa forma, o documento ressalta a maior vulnerabilidade das crianças em fornecer seus dados em meio digital. Isso porque, diante da sua percepção ainda imatura sobre a vida, é extremamente difícil para elas compreenderem a intenção comercial e os riscos nela envolvidos quando do fornecimento de dados pessoais5. Por conseguinte, o grande desafio nesse contexto é informar adequadamente tanto os pais quanto as crianças sobre o propósito e a extensão do uso desses dados, além de não permitir qualquer tipo de utilização de dados sem o conhecimento e a permissão dos pais ou responsáveis. Compartilhamento de dados pessoais e socialização em meio online Conforme o relatório da OCDE, estudos recentes apontam que crianças consideram os contextos da vida on-line e offline parte de uma mesma realidade: isso porque elas usam a internet primariamente como forma de socializar com pessoas que já conhecem pessoalmente, compreendendo o mundo on-line um espaço privado de atividade social entre seus pares. Uma forma muito utilizada de compartilhar informações pessoais nessa faixa etária se dá por meio de mídias sociais, plataformas de blog e outros meios e aplicações comuns ao cotidiano. Através da postagem contendo informações, imagens e vídeos, essas crianças compartilham uma gama de informações, não só sobre elas, como também sobre seu meio social e sua família. Nesse sentido, elas podem presumir, de forma incorreta, que todas as informações submetidas ao universo digital são restritas às pessoas imediatamente próximas a elas, sem contar com a possibilidade de ter seus dados compartilhados com uma imensidão de pessoas. Dessa forma, existe o risco de crianças concederem informações on-line, o que pode colocá-las em situações de risco. Tal risco advém da sensação de pertencimento quando presentes nas redes sociais. Dados mostram que o uso dessas redes por jovens é cada dia menos cuidadoso e cresce aceleradamente6. Nesse contexto, estudos demonstram que, apesar de jovens acreditarem ter privacidade na vida on-line, um número grande deles compartilha, cada vez mais, suas informações pessoais nas redes. De acordo com dados trazidos pelo estudo, entre 2000 e 2005 a porcentagem de jovens americanos que compartilha informações pessoais nas redes cresceu cerca de 24% (vinte e quatro por cento). Ainda nesse sentido, outro estudo americano concluiu que 81% (oitenta e um por cento) dos jovens inscritos na rede MySpace postavam com frequência fotos suas, e que, desses jovens, 93% (noventa e três por cento) indicavam sua cidade natal em tais postagens. Ressalta-se ainda que, de acordo com informações do relatório da OCDE, apesar de muitas mídias sociais como Facebook, Bebo e MySpace requisitarem idade mínima (classificação etária) de 13 (treze) anos para o registro na rede, um número crescente de crianças abaixo dessa idade tem criado contas nas mencionadas redes. Nesse sentido, a falsa sensação de privacidade que a opção de perfis fechados dá nessas redes sociais faz com que os jovens se sintam cada vez mais seguros para postar fotos, vídeos e informações pessoais. Esse fato também traz uma falsa sensação de segurança aos pais, já que 93% (noventa e três por cento) dos pais de crianças que utilizam essas redes estão cientes das referidas postagens. Ressalta-se, nesse contexto, que as informações pessoais de usuários podem ser postadas por outras pessoas. Como exemplo, citamos as tags, que são marcações de outros indivíduos em fotos, vídeos e informações em perfis variados. Tal prática é comum entre jovens, e, na maior parte das vezes, não é necessária a permissão da pessoa "marcada" para que as informações apareçam em seu perfil7. Ainda nessa toada, importante destacar que o uso de informações e dados pessoais de crianças na internet pode também ser um risco em relação a terceiros com intenções criminosas. Segundo estudo trazido pela OCDE, em 2006 a Comissão Federal do Comércio dos Estados Unidos reportou 1.498 denúncias de vazamento de dados de pessoas menores de 18 (dezoito) anos; isso representa 2% de todas as ações criminosas envolvendo roubos de identidade naquele ano. Destaca-se que os dados de crianças e adolescentes podem ser usados também como forma de conhecer os locais acessados por eles, dando informações a respeito de sua casa, escola e locais de lazer, não só por outros indivíduos com intenções maliciosas, mas também pelos próprios websites, tais como Facebook, Google e outros, que utilizam essas informações para finalidades diversas. No caso do uso de celulares, tal fato pode ser ainda mais evidente, gerando o rastreio de todos os passos dados pela criança, sem qualquer limite em relação à sua privacidade. Notas conclusivas Tendo o Brasil sido convidado a integrar8 a OCDE, é de extrema relevância que a fiquemos atentos aos estudos e orientações feitas pelo órgão. Trata-se de importante passo para que as políticas públicas brasileiras fiquem alinhadas aos países desenvolvidos e democráticos que integram o grupo. Sem dúvidas, os riscos apresentados pelos estudo são reais e as crianças brasileiras estão expostas a eles (e outros) já que a realidade brasileira em termos de educação e conscientização da população pode ser diferente da dos países estudados. Nota-se que, por outro lado, que a legislação brasileira tem avançado significativamente na proteção da criança em ambiente digital e que o Estatuto da Criança e do Adolescente traz regras e princípios úteis para enfrentar os desafios que as novas gerações hoje vivenciam. Da mesma forma, o Marco Civil da Internet, a Lei Geral de Proteção de Dados, o Código Penal, o Código de Defesa do Consumidor, bem como a autorregulação publicitária trazida pelo CONAR através do Código Brasileiro de Autorregulamentação Publicitária, pode resolver boa parte das questões debatidas no relatório da OCDE. __________ *O presente texto é um extrato do texto que foi publicado na obra "Infância, adolescência e tecnologia: o Estatuto da Criança e o Adolescente na sociedade da informação", publicado pela Editora Foco. 1 Disponível aqui. Acesso: 31/10/2021. 2 OCDE (2011-05-02), "The Protection of Children Online: Risks Faced by Children Online and Policies to Protect Them", OCDE Digital Economy Papers, No. 179, OCDE Publishing, Paris. Disponível aqui. Acesso: 31/10/2021. 3 Disponível aqui. Acesso: 31/10/2021. 4 Conforme o estudo, em 70%, é requerido o nome; em 53%, o endereço de e-mail; em 43%, a data de nascimento; em 40%, o código postal; em 24%, o endereço residencial; em 24%, o telefone celular. 5 O estudo cita pesquisa trazida pelo Escritório Australiano Comissário de Privacidade (Australian Office of the Privacy Commissioner) indicou que australianos jovens são mais suscetíveis em prover dados pessoais em detalhes em vista de receber algum desconto ou prêmio on-line. 6 De acordo com a pesquisa, o uso das redes sociais pelos adolescentes é bem conhecido pela sociedade atual. Em 2007, 51% dos adolescentes americanos criaram um perfil em alguma rede social e 21% fazem uso regular dessa plataforma. Nesse sentido, o número é maior entre meninas (69% de meninas contra 50% de meninos, com idade entre 15 e 17 anos). O uso de redes sociais aumenta conforme a criança cresce: 27% das crianças têm entre 8 e 11 anos, 55% têm entre 12 e 15 anos e 67% têm entre 16 e 17 anos. 7 Ainda nesse sentido, estudos comprovam que pouco mais de 40% dos jovens tiveram suas fotos postadas em perfis diversos sem sua permissão. Outro estudo revela ainda que 6% dos jovens reportam fotos embaraçosas postadas em redes sociais sem suas devidas permissões. 8 Disponível aqui. sexta-feira, 3 de junho de 2022 Comentar Introdução No Considerando 4 do Regulamento Geral Europeu de Proteção de Dados (GDPR), estabeleceu-se que o sistema de processamento de dados deve ser desenhado para servir aos seres humanos, não o contrário (QUINTILIANO, 2021). Consequentemente, com o elevado uso de inteligência artificial com o objetivo de automatizar decisões, diversos questionamentos estão surgindo sobre a interpretação do art. 22 do GDPR, notadamente, no que se refere às decisões tomadas por meio da definição de perfil (profiling). Nesse sentido, poderíamos abordar diversas questões relacionadas ao art. 22 do GDPR que estão sendo apresentadas ao Poder Judiciário, no entanto, o objetivo desse texto é apresentar a problemática sobre a compreensão da natureza do artigo 22(1) do GDPR: trata-se de uma proibição a priori, devendo o controlador evitar o uso de decisões automatizadas qualificadas, salvo nas exceções apresentadas pelos itens seguintes do art. 22 do GDPR, ou se trata apenas de um direito a ser invocado pelo titular dos dados pessoais? Como o Tribunal de Justiça da União Europeia deverá enfrentar em 2022 essa questão, por causa do Caso SCHUFA, torna-se relevante compreender o debate envolvendo o mencionado artigo do GDPR. Por conseguinte, primeiramente, apresentaremos os requisitos necessários para que a decisão automatizada seja qualificada, logo, objeto de aplicação do art. 22 do GDPR. Em seguida, falaremos sobre o caso SCHUFA e as possíveis intepretações dadas ao art. 22(1) do GDPR. Além disso, o Comitê Europeu de Proteção de Dados (EDPB) já emitiu o seu posicionamento quanto a essa discussão, restando verificar se ele se manterá ou será modificado pela corte europeia. As 3 condições para a aplicação do Art. 22 do GDPR O artigo 22(1) do GDPR estabelece alguns requisitos para ser aplicado em hipóteses de automatização das decisões. Ao se verificar a existência das condições necessárias impostas pelo supracitado dispositivo do GDPR, será possível dizer que se trata de uma decisão automatizada qualificada. Consequentemente, torna-se importante apresentar as exigências do GDPR para as decisões automatizadas e as respectivas interpretações. De acordo com o artigo 22(1) do Regulamento Geral Europeu de Proteção de Dados, para que haja a sua incidência é necessário que o processo de automatização de decisões seja baseado em dados pessoais e preencha 3 requisitos: 1) Exista uma decisão: é preciso que haja uma decisão tomada a partir do processamento dos dados pessoais e que se refira a um indivíduo que será impactado pela decisão. Dessa maneira, deve-se distinguir do processo de preparação, suporte e complementação da tomada de decisão (BYGRAVE, 2020, p. 398); 2) Baseada unicamente no processo automatizado: embora exista o termo "unicamente", o Comitê Europeu de Proteção de Dados (EDPB) esclareceu que não se deve realizar uma intepretação restritiva do termo "unicamente", ou seja, deve-se compreender esse requisito como sendo a inexistência de um envolvimento significativo de um ser humano no processo de decisão (SILVA; OLIVEIRA, 2021). Assim, os controladores não poderão se furtar da aplicação do artigo 22(1) do GDPR se a participação humana não for expressiva e não houver a possibilidade de modificação da decisão automatizada (EDPB/WP29, 2019, p. 20-21); 3) Os efeitos devem ser jurídicos ou de similar impacto significativo: De acordo com o entendimento do EDPB (2019, p. 21), a decisão automatizada preenche esse requisito: 1) quando os direitos ou o status jurídico dos indivíduos são afetados (inclusive em relações contratuais); 2) quando o comportamento, as escolhas e as circunstâncias dos indivíduos são impactadas; 3) quando o titular dos dados pessoais é impactado de forma prolongada ou permanente; e/ou 4) quando ocasiona a discriminação ou a exclusão de um indivíduo. O Considerando 71 do GDPR fornece dois exemplos relativos à natureza dos efeitos das decisões automatizadas para a aplicação do art. 22(1) do GDPR: denegação do pedido de concessão de crédito ou recrutamento eletrônico sem a intervenção humana de maneira significativa. Já o EDPB foi um pouco mais longe e forneceu como exemplo algumas formas de propagandas online que influenciam comportamentos; contudo, ressaltou-se que isso dependerá de cada caso, uma vez que é necessário verificar o quão invasivo foi o profiling e se houve uso das vulnerabilidades dos titulares dos dados pessoais para influenciarem comportamentos de determinada maneira (EDPB/WP29, 2019, p. 22). Neste sentido, pode-se notar que, embora o art. 22(1) do GDPR estabeleça parâmetros para ser aplicado em situações que se usam decisões automatizadas, há muito debate quanto à interpretação dos requisitos disciplinados pela lei, sendo que a doutrina e a jurisprudência contribuirão para entendermos como o mencionado artigo será aplicado em casos específicos. Além disso, como as tecnologias estão em constante modificação, nota-se que o entendimento acerca do art. 22(1) do GDPR não será estático e evoluirá conforme se desenvolverem novas aplicações envolvendo decisões automatizadas. A interpretação do Artigo 22 do Comitê Europeu de Proteção de Dados (EDPB) Apesar da questão concernente à automatização das decisões ser disciplinada desde 1995 pela União Europeia, por meio do artigo 15 da Diretiva de Proteção de Dados (DPD) a qual recebeu influência da Lei de Proteção de Dados da França de 1978, apenas recentemente verificamos o elevado número de casos levados ao Poder Judiciário sobre a matéria que é regida pelo art. 22 do Regulamento Geral Europeu de Proteção de Dados (GDPR). A frequência de casos relacionados ao art. 22 do GDPR deve-se, notadamente, pelo fato de ser cada vez mais frequente o uso da automatização de decisões nos diversos setores da vida cotidiana. Diante do exposto, torna-se importante mencionar que vários questionamentos relativos à interpretação do Art. 22 do GDPR estão sendo realizados, sendo importante, primeiramente, apresentarmos o texto do supracitado dispositivo: Art. 22 - Decisões individuais automatizadas, incluindo definição de perfis 1. O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar. 2. O n.o 1 não se aplica se a decisão: a) For necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento; b) For autorizada pelo direito da União ou do Estado-Membro a que o responsável pelo tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados; ou c) For baseada no consentimento explícito do titular dos dados. 3. Nos casos a que se referem o n.o 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão. 4. As decisões a que se refere o n.o 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9.o, n.o 1, a não ser que o n.o 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular. Conforme apresentado por Bygrave (2020), o debate acadêmico sobre o artigo 22 do GDPR começa com a dúvida relativa à natureza do dispositivo: trata-se de uma proibição (com algumas exceções) ou é um direito que pode ser exercido pelos indivíduos para torná-lo efetivo? Em virtude das indagações suscitadas, o Comitê Europeu de Proteção de Dados (EDPB) emitiu a sua Opinião em 2018 (EDPB/WP29, 2019): O termo direito no Regulamento Geral Europeu de Proteção de dados não quer dizer que o Artigo 22(1) apenas se aplica quando o titular dos dados pessoais o invoca ativamente. O Artigo 22(1) estabelece uma proibição geral para uma tomada de decisão baseada em um processo de automatização. Essa proibição aplica-se quer o titular dos dados adote alguma ação, quer não, no que se refere ao processamento de seus dados pessoais. (Tradução livre) Em relação ao Tribunal de Justiça da União Europeia (CJEU), que possui a autoridade para interpretar os dispositivos do GDPR; ainda não se manifestou sobre o conteúdo do art. 22(1). No entanto, deve-se mencionar que questionamentos preliminares sobre esclarecimentos acerca do conteúdo e da finalidade do Art. 22(1) do GDPR foram enviados ao Tribunal de Justiça da União Europeia em 2021 pelo Tribunal Administrativo de Wiesbaden (Alemanha) no Caso SCHUFA (C-634/21). No caso C-634/21, o Tribunal de Wiesbaden foi provocado a analisar o modelo de negócio da agência de crédito da Alemanha (SCHUFA), pois a SCHUFA está fornecendo informação aos bancos quanto à confiabilidade dos indivíduos conforme decisões automatizadas de classificação dos titulares dos dados pessoais por meio de um sistema de pontuação (scores). De acordo com o Tribunal alemão, trata-se de uma questão que deve ser analisada sob o ponto de vista do processo em si de automatização para a concessão de crédito por meio do score, não se restringindo a avaliar os casos em que o crédito é denegado a determinado indivíduo (FPF, 2022, p. 47). Como esse caso influenciará as demais decisões do Poder Judiciário que impactarão os titulares de dados pessoais de forma substancial, o Tribunal de Wiesbaden pretende confirmar com o Tribunal de Justiça da União Europeia a interpretação dada ao artigo 22(1) do GDPR. Diante do exposto, nota-se que, em 2022, provavelmente, verificaremos se o Tribunal de Justiça da União Europeia confirmará o entendimento emitido pelo Comitê Europeu de Proteção de Dados de que o artigo 22(1) deve ser interpretado como uma proibição a priori; devendo o controlador, portanto, evitar utilizar decisões automatizadas que possuam efeitos significativos jurídicos ou similares (decisões automatizadas qualificadas) sobre os titulares dos dados pessoais, salvo nas exceções apresentadas no artigo 22 do GDPR. Conclusões Ao se verificar que a proteção fornecida pelo GDPR é destinada ao titular dos dados pessoais, não aos dados em sim, pode-se notar que a tendência é existir a confirmação do posicionamento do EDPB pelo CJEU, ou seja, a natureza do artigo 22(1) do GDPR será considerada como uma proibição a priori (salvo as exceções apresentadas no Art. 22(2) do GDPR), pois se deve evitar ao máximo o uso recorrente de decisões automatizadas baseadas no uso do profile dos indivíduos, já que se trata de uma elevada concentração de poder nas mãos das empresas e do poder público. Assim, cumpre-nos observar e acompanhar os desdobramentos desse debate, pois, certamente, impactará, ainda que de forma tangencial, o Brasil. Referências BYGRAVE, L.A.. The EU General Data Protection Regulation (GDPR) - A Commentary. Oxford: Oxford Press, 2020, p. 530-532. EDPB/WP29. Guidelines on Automated individual decision-making and profiling for the purposes of Regulation 2016/679 (WP251rev.01), Brussels: EU, 2018, p. 19. FPF (Future of Privacy Forum). Automated Decision-making under the GDPR: practical cases from courts and data protection authorities. Washington: FPF, 2022. QUINTILIANO, Leonardo. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD). SILVA, Rafael Meira; OLIVEIRA, Cristina Godoy Bernardo de. Inteligência Artificial e proteção de dados: definição de perfil e desafios. Migalhas de Proteção de Dados, 22 jan. 2021. Disponível aqui. Acessado em 01 de junho de 2022. sexta-feira, 27 de maio de 2022 Comentar "Se cada um de nós varresse a frente do nosso lugar, o mundo todo seria limpo."Johann Wolfgang von Goethe O presente artigo busca analisar as excludentes de responsabilização dos agentes de tratamento de dados pessoais na Lei Geral de Proteção de Dados. Nesse contexto, cabe destacar que tais excludentes estão previstas no artigo 43 da Lei Geral de Proteção de Dados1, dividindo-se em três incisos. O inciso I estabelece a excludente da não realização do tratamento e, por consequência, diz respeito ao dever de registro das operações de tratamento, tanto do operador, quanto do controlador, nos termos do artigo 37 dessa lei2, especialmente quando fundamentado com base no legítimo interesse. Pela inversão do ônus da prova, na maior parte dos casos, este dever de registro explicitará facilmente a hipótese descrita para os fins de se afastar eventual responsabilização.3 O inciso II define a excludente da ausência de ilicitude no tratamento e, assim, designa, também, situações de "exercício regular de direito" de forma similar ao artigo 188, inciso I, do Código Civil. Este inciso deve ser lido levando em consideração os parâmetros estabelecidos pela Lei Geral de Proteção de Dados, tais como o dever de registro, nos termos do artigo 37, o dever geral de segurança, previsto no artigo 46, e os deveres de boas práticas e de governança descritas no artigo 50. Diante da situação em que não ocorre ato ilícito - ou seja, inexiste violação à legislação de proteção de dados -, com o operador e o controlador respeitando o dever geral de segurança, não há responsabilização dos agentes de tratamento. Por exemplo, se uma decisão automatizada, baseada em critérios transparentes, sem nenhum viés, e devidamente fundamentada, negar um empréstimo a alguém, não haveria nenhuma responsabilização aos agentes de tratamento, já que não ocorreu violação à legislação de proteção de dados.4 Por fim, o inciso III incorpora o fato da vítima (titular de dados) e o fato de terceiros como excludentes de responsabilização - excludentes, aliás, clássicas da responsabilidade civil e já, previstas, por exemplo, na legislação consumerista (artigo 12, § 3º, inciso III, do CDC, que prevê a excludente de responsabilização do fornecedor em caso de culpa exclusiva do consumidor ou de terceiro). Diante deste contexto, conceitua-se o fato exclusivo da vítima como o evento que se identifica como causa necessária de um dano sofrido por ela, e cuja realização só possa ser a ela imputável.5 Destacam-se situações em que, mesmo com a diligência dos agentes para garantir a maior segurança possível no tratamento de dados, o titular dos dados, na sua pessoa, incorra ao dano - como, a título exemplificativo, ao disponibilizar seus dados, mesmo não sendo hipossuficiente, a sítios eletrônicos que claramente não são confiáveis, ou ao não atualizarem periodicamente os seus aplicativos nos seus celulares. Aliás, a esse respeito, há o entendimento de ocorrer fato exclusivo do usuário quando este, sem o devido cuidado, e havendo o cumprimento do dever de segurança daquele que prestou o serviço, contribui para o dano.6 Quanto ao fato de terceiro, há uma interrupção do nexo causal, na medida em que não é a conduta do agente a causa necessária à produção de danos.7 No presente ponto, pode-se, por exemplo, questionar a responsabilidade do encarregado, responsável por passar instruções ao controlador e a seus controladores quanto à proteção de dados, em caso de fato exclusivo deste. Causa estranheza que a responsabilização desta figura central para o controle de eventos danosos esteja omissa no artigo 42 dessa lei, que versa apenas sobre a responsabilidade civil do controlador e do operador. Igualmente, questionável se uma invasão cibernética a um sistema que armazena dados pessoais poderia ser imputada como fato de terceiro. Considerando que o sistema de responsabilidade da Lei Geral de Proteção de Dados é centrado num dever geral de segurança8, entende-se que, se o controlador ou o operador demonstrarem que, à época do ataque hacker, trataram os dados com a melhor técnica de segurança da época, pode incidir essa excludente de ilicitude pela ocorrência de fato de terceiro. Aliás, o entendimento de uma responsabilidade centrada num dever de segurança não é novidade no ordenamento jurídico brasileiro: no Código de Defesa do Consumidor, a responsabilidade pelo fato do produto e fato do serviço é fundada no defeito, em que há a possibilidade do fornecedor de afastar a sua responsabilidade quando comprovar que não faltou com a segurança e informações devidas acessíveis através da melhor técnica existente.9 Este é, também, o entendimento do Superior Tribunal de Justiça.10 Inclusive, as excludentes de responsabilidade civil do fabricante, construtor, produtor ou importador, disciplinadas no artigo 12, § 3º, incisos I, II e III, do Código de Defesas do Consumidor11, são bastante similares às excludentes consagradas no artigo 43 da Lei Geral de Proteção de Dados. Nesse mesmo sentido, a jurisprudência dos Tribunais brasileiros entende que, demonstrado o cumprimento do dever de segurança na colocação do produto pelo fornecedor, pode-se alegar o fato de terceiro.12 Assim, é possível aplicar esse entendimento também ao inciso III do artigo 43 da Lei Geral de Proteção de Dados. Por se tratar de uma problemática recente, faz-se necessário cuidado especial na aplicação das excludentes de responsabilidade em processos judiciais que certamente irão interpretar o melhor formato de responsabilização dos agentes de tratamento de dados pessoais. A devida aplicação exige a consideração dos aspectos especiais da disciplina da proteção de dados pessoais e de seu regime especial de responsabilidade civil. __________ 1 Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem: I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. 2 Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. 3 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coords.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019, p. 81. 4 CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos, São Paulo, ano 21, nº 53, p. 163-170, jan.-mar. 2020, p. 167. 5 MIRAGEM, Bruno Nubens Barbosa. Direito civil: responsabilidade civil. São Paulo: Saraiva, 2015, p. 241. 6 TJRS, 12a. Câmara Cível, Apelação Cível n. 70083485789, Rel. Des. Ana Lúcia Carvalho Pinto Vieira Rebout, j. 10/06/2020. 7 ROSENVALD, Nelson; FARIAS, Cristiano Chaves de; BRAGA NETTO, Felipe Peixoto. Curso de direito civil: responsabilidade civil. Salvador: Juspodvm, 2017, v. 3, p. 431. 8 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coords.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019, p. 82. 9 DRESCH, Rafael de Freitas Valle. Fundamentos da responsabilidade civil pelo fato do produto e do serviço: um debate jurídico-filosófico entre o formalismo e o funcionalismo no Direito Privado. Porto Alegre: Livraria do Advogado Editora, 2009, p. 126. 10 STJ, REsp. 1.095.271/RS, T4, Rel. Min. Felipe Salomão, j. 07/02/2013, DJe 05/03/2013. 11 Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos. (...) § 3° O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar: I - que não colocou o produto no mercado; II - que, embora haja colocado o produto no mercado, o defeito inexiste; III - a culpa exclusiva do consumidor ou de terceiro. 12 TJPR, 9ª Câmara Cível, Apelação Cível n. 1727103-5, Rel. Des. Domingos José Perfetto, j. 30/11/2017, DJ 23/01/2018. sexta-feira, 20 de maio de 2022 Comentar A ambiência do metaverso e suas perspectivas Este despretensioso artigo tem a função de buscar a reflexão sobre o desenvolvimento das relações entre pessoas e de negócios e os seus possíveis desdobramentos jurídicos em metaverso, com os consequentes desafios inerentes, além de pretender ser o piloto de uma série temática específica destinada a esta coluna de proteção de dados, coordenada com excelência pelos nobres professores. Preocupa-nos, entre outros temas que serão colocados ao longo deste artigo, a questão da proteção dos titulares de dados pessoais, enquanto usuários dos espaços e ambientes de metaverso. Há uma incógnita sobre a coleta e a utilização de dados pessoais que formam o rastro digital deixado pelo usuário em sua navegação nestes espaços virtuais, sejam dados estruturados não estruturados, gerando uma possível coleta para conjugação com várias bases contidas em bancos de dados públicos, privados e redes sociais e inserção em sistemas de processamento no modelo big data analytics, possibilitando o fomento do perfilamento, classificação e interpretação que possa realçar a construção de um potente perfil deste usuário ou gerar a sua ressignificação, a partir da análise da tendência de consumo e de suas preferências, refletindo na vida real e podendo gerar discriminação algorítmica.1 A terminologia metaverso foi originariamente grafada no romance de ficção científica intitulado "Snow Crash" (Nevasca), de Neal Stephenson, lançado em 1992 e é utilizada na atualidade para indicar um tipo de mundo virtual construído a partir de plataformas tecnológicas que buscam replicar a realidade, formando um espaço coletivo e virtual compartilhado, constituído pela soma de "realidade virtual", "realidade aumentada" e "Internet".2 Estas plataformas estão capacitadas para as mais diversas especificidades e características, formando espaços não territoriais onde há imersão e interação de pessoas, por meio de imagens criadas e projetadas ou, ainda, por instrumental disponibilizado para as mais diversas atividades, gerando-se ambientes e mundos paralelos reverberados em realidade virtual, que podem ter inúmeros pontos de contato e interação com o mundo real, possibilitando experiências intelectuais, neurológicas, visuais e, recentemente, sensoriais e olfativas. Acreditando que o metaverso possa ser o caminho futuro provável da internet e da tecnologia, Mark Zuckerberg, CEO do Facebook, combinou aspectos de realidade virtual com dados sociais da mencionada rede, aliado à promessa de gerar uma nova experiência de uso do espaço virtual, e , a partir do ano 2021, realizou a modificação estrutural de sua empresa que passou a denominar-se Meta Platforms Inc., caminhando mais assertivamente para a construção de tecnologias voltadas para a ampliação de atividades interativas em metaverso. A ambiência de metaverso e a expansão da experiência de uso e interação entre pessoas de forma tal que se possa replicar as atividades e negócios dos mundos reais, além de ampliar as redes de relacionamento, decorre da evolução tecnológica das plataformas, com o concurso de tecnologias informacionais e de inteligência artificial que proporcionam a experiência da realidade aumentada. Via de regra, estas experiências são concretizadas e exteriorizadas através da possibilidade de o usuário criar o seu próprio Avatar, vocábulo que advém de crença hinduísta que prega a materialização de um ser supremo, divino e celeste na terra, que pode assumir forma humana ou animal. São espíritos de divindades que ocuparão corpos terrestres, como exemplo Krishna e Rama, que são avatares do Deus Vixnu (Vishnu), responsável pela sustentação do universo.3 A palavra avatar foi apropriada em seu sentido figurativo, para significar o processo metamórfico de transformação e mutação onde o ingressante ao metaverso cria uma persona interativa que será dirigida em todas as extensões de sua personalidade neste mundo paralelo, a partir de ferramentas e Inteligência Artificial (I.A), que contribuem para desenvolver as tarefas e atividades quotidianas deste ambiente, gerando a interação e interface entre a realidade aumentada e o mundo real. Metaverso como campo de interação e desenvolvimento de relações sociais e negócios Entre o final dos anos noventa e início deste século, foram comercialmente desenvolvidas e implantadas as plataformas que buscavam gerar as atividades e experiências em metaversos, entre os quais situam-se Active worlds em 1995, There.com; Blaxxun e a denominada Second Life (S.L) que foi criada no ano de 2003 pela Linden Lab - empresa fundada por Philip Rosedale em 1999, além de outras voltadas para a simulação de realidade como a OpenSimulator de 2007. Muito embora no curso do tempo, se tenha pretendido transformar o S.L em um ambiente ativo e tecnológico de realidade virtual, com o concurso de parceria desenvolvida com a empresa Sansar Social Reach, recentemente houve modificação desta trajetória, com o anúncio da venda da plataforma S.L. para a startup Wookey Project Corp. que seguirá na operação, como noticiado.4 Com o propósito de criar uma realidade paralela onde usuários poderiam jogar, socializar, trabalhar, comprar e vender propriedades, entre outras atividades, houve muito interesse destes nos primeiros anos de atividades e, dependendo do tipo de uso, a plataforma funcionava como um jogo, um mero simulador, um comércio virtual ou uma rede social. Com experiências gráficas de tridimensionalidade, havia premissa de liberdade na oferta deste ambiente, incentivando o usuário a ingressar em uma nova vida paralela onde poderia ser e se transformar no que pretendesse, sem limites para a criatividade, em ambiente de liberdade e economia virtual própria, complementado com o elemento de rede social que possibilitava interação estrita, relacionamentos amorosos virtuais e reais. O sistema era formado por duas partes: o cliente que ingressava através de um download no site oficial, passando a operar e construir os seus espaços interativos e o servidor. Na comemoração dos 10 anos do lançamento do jogo, a Linden Lab anunciou que o Second Life ganharia conexões externas. Com isso, trouxe suporte oficial do Facebook, em uma tentativa de criar uma experiência melhor integrada entre a vida real e virtual, das pessoas que poderiam compartilhar as suas fotos, entre outros interesses. Este metaverso possuía jornal interno (S.L.Herald), negócios e economia própria e nestes tantos anos de funcionamento, passou por dezenas de patchs de atualização, gerando evolução tecnológica com reflexos na percepção do usuário, tanto nos efeitos visuais e de iluminação dos ambientes, como nas feições e características dos avatares, que passaram a ser dotados de mais animação e de vozes. Mesmo que hoje se expandam negócios virtuais de criptoativos ou criptomoedas, é fato que o sistema S.L, desde seu inicio de operação, criou uma moeda própria denominada Linden Dollar (também grafado como L$), levando o mesmo nome da empresa mantenedora (Linden), que obviamente não teria valor algum direto no "mundo real". Todavia, apesar de não ter valor real direto, o Linden Dollar poderia ser convertido para dólares americanos e também era possível comprar Linden Dollar através do sites especificos e com o uso de cartão de crédito internacional, respeitando sempre os limites pré-estabelecidos pela administração do sistema. A moeda virtual possuía valor flutuante em relação ao dólar americano, ou seja, seu valor poderia variar a qualquer momento. Em 25 de maio de 2007 cada Linden Dollar estava valendo aprox. R$ 0,0077 (menos de um centavo de real) e hoje um Linden Dollar é igual a $0.00313 (USD).5 Do ponto de vista jurídico, a empresa servidora destas plataformas, pode ser vista como provedora de conteúdo multidisciplinar onde há relação de consumo entre usuários (operadores de avatares) e o criador do sistema operacional. Há também uma relação de consumo entre fornecedores de produtos e serviços em ambiente virtual quando estes se refletem no mundo material, após a aquisição efetivada no ambiente de metaverso, por meio de avatar, mas operada por consumidor real. Há relação contratual entre as partes sempre que esta for a natureza das mesmas e houver a vontade de se efetivar negócios jurídicos com repercussão interna ou externa. Pode haver relações assemelhadas às existentes em mundo real, quando da interação entre estes dois mundos. (Exemplo. Compra e venda de bens e imóveis em espaço virtual ou no mundo real. Direito sucessórios sobre eventuais direitos de uso ou apossamento de bens e áreas virtuais obtidos em metaversos e que foram instrumentalizados pela pessoa através de seu avatar, etc.) Não são poucos os demais exemplos de metaversos destinados às inúmeras atividades especificas, entre os quais se apresentam Star Wars Galaxies- Lineage- Ever Quest - GuildWars- Torneo Poker. Há ainda o Decentreland, a VRChat que é uma plataforma online de mundos virtuais, criada pela VRChat, Inc em 2014 para permitir a interação direta entre os usuários através de voz e gestos, possibilitando maior imersão com o uso de Óculos de R.V. e a criação de seu próprio mundo ou avatar semelhantes ao usuário na vida real, ou destoando da realidade, podendo criar personagens fictícios, monstros, dentre outros, como também criar mundos que simulem um ambiente real, como um bairro ou escritório. E, finalmente, tanto o Roblox que foi criado em 2006 como metaverso de múltiplos jogos e atividades integradas a outros desenvolvedores, como o Fortnite, que a partir da Battle royale, permite assistir a curtas animados e apresentações musicais, são metaversos utilizados mundialmente também por crianças e adolescentes, ensejando o necessário cuidado e a proteção adequada. Inúmeras experiências culturais e educacionais foram testadas e implementadas em metaversos desde a criação destes ambientes. O Museu de História Natural de Florença apresentou em S.L. a mostra Maskio-La Natura dell"uomo que somente aconteceria no mundo real, tempos depois. A Universidade de Harvard implantou em metaverso uma unidade, em experiência seguida à época no Brasil, por inúmeras universidades públicas e privadas brasileiras que pretendiam instalar neste metaterritorio, um ponto de presença visando a ampliação de suas atividades e serviços educacionais.6 Segundo informes da época (19/08/2007) em busca de experiências no mundo virtual 3D e relacionamentos com empresas e instituições de ensino internacionais, as Universidades USP, PUC-SP, Cásper Líbero e Mackenzie, ao lado da UNB e da Universidade Federal de Minas, ganharam auditório e terreno, numa parceria com a IG/Kaizen, para desbravar o mundo virtual.7 Talvez ainda não se tenham elementos concretos e análises de resultados destas experiências educacionais, todavia é fato que estas são reais e alvissareiras e, com o incremento tecnológico, ampliam-se as possibilidades de ensino mais assertivo da experiencia de sala de aula, a partir de ambiente possibilitado pelas inovações e evolução tecnológica de metaverso. Registra-se neste campo, o produto desenvolvido pela Meta, consistente da idealização de luvas hápticas sensíveis ao tato, capazes de transmitir sensações interativas ao usuário, com relação aos objetos virtuais para o mundo real, que podem ser ampliadas quando aliadas ao uso dos óculos RV, gerando experiência visual e sensorial inimaginável.8 No campo dos negócios empresariais, também foram inúmeros os projetos e as experiências implantadas em metaverso, desde as experiências pioneiras como a da Petrobras que transmitiu palestra técnica simultânea ao mundo real, em S.L. em auditório virtual composto por avatares funcionários e executivos convidados. No segmento dos negócios imobiliários, Incorporadoras, construtoras e comercializadoras, criaram cópias virtuais de edifícios que lançariam no mundo real onde os consumidores poderiam interagir em três dimensões e decorar os apartamentos além de terem a experiência de realidade ampliada. Instituições Financeiras como o Banco Wells Fargo, constituíram ferramentas hábeis para operação e ofertas em metaverso. Empresas como a IBM aceleraram o seu ingresso nos mundos virtuais, com um investimento de cerca de milhões de dólares para a expansão de sua presença no popular universo tridimensional. A loja da Bumbum Ipanema foi uma das primeiras lojas virtuais a se instalarem em SL, para oferta de produtos de marca real da moda brasileira. A potencialidade de negócios em metaverso com reflexos no mundo real, já era conhecida desde seu lançamento. Tornou-se emblemático à época, o caso Anshe Chung Studios instalado em S.L para operações relacionadas ao mercado imobiliário por meio de seu avatar de mesmo nome, operado por Ailin Graef como proprietária virtual de imóveis e realizadora de negócios de compra, desenvolvimento, aluguel ou revenda de terrenos virtuais, contabilizando uma fortuna de mais de US$ 1 milhão nestas operações, culminando por ser objeto de matérias em diversos periódicos mundiais.9 As empresas operadoras destas plataformas, estão permitindo que indivíduos criem e titularizem avatares que possam se candidatar a empregos e construir carreiras no metaverso, ganhando dinheiro real. As oportunidades empreendedoras em metaverso são incontáveis, a exemplo da realização de operações de tokenização de avatares e de bens internos. Recentemente foi noticiado que a empresa sediada em Cingapura OWNFT World planeja lançar o projeto 'Guardiões da Moda', ou GOF, fruto de sua parceria com a Warner Music Group e com redes de streaming e marcas de moda, para produzir vídeos e shows. Fruto desta operação, serão criados 6.888 tokens não fungíveis de avatares (Non-Fungible Token - NFTs) construídos na blockchain Ethereum, onde cada usuário poderá lançar seu avatar NFT - que custará 0,18 ETH (R$ 2,7 mil) cada - para estrelar em desfiles de moda virtuais, videoclipes e séries animadas. Segundo noticiado, quando um avatar é lançado em um programa ou vídeo, seu proprietário recebe uma parte da receita por meio de tokens da comunidade GOF, que podem ser trocados por outros ativos digitais como stablecoins, uma classe de criptomoedas atrelada a um ativo de reserva 'estável' como dólar americano, por meio de uma bolsa descentralizada.10 Serviços jurídicos e de justiça operados em metaverso Já no campo dos serviços jurídicos, o exercício da advocacia por meio de escritórios instalados em ambiente virtual nos moldes SL, não é novidade. A Seção de São Paulo da Ordem dos Advogados do Brasil emitiu posição no Proc. E-3.472/2007 de 18/07/2007 que foi ementada da seguinte forma: "Exercício da advocacia - escritório em ambiente virtual second life - sigilo profissional e inviolabilidade do escritório inexistentes - ausência de relação de pessoalidade - vedação - publicidade por meio da prestação de serviços advocatícios em jogo virtual - impossibilidade." O ponto fulcral desta questão, residiu no fato do reconhecimento pela entidade de classe de que o Second Life, além de um jogo, constitui um ambiente de relacionamento online que oferece a possibilidade de realização de negócios com repercussão econômica e jurídica no mundo real. A utilização do referido ambiente por advogados para mero relacionamento ou jogo, escapa à competência da OAB. No entanto, afirmou a OAB/SP que se o advogado utiliza o referido ambiente virtual para obter clientes, com ou sem remuneração, a quem serão prestados, no ambiente eletrônico ou fora dele, serviços advocatícios efetivos, as regras legais e éticas aplicáveis aos advogados, sem sombra de dúvida, hão de incidir. Entendeu o órgão de classe que, além da quebra do princípio da pessoalidade que deve presidir a relação cliente-advogado, não há como garantir-se o sigilo profissional do advogado, o que inviabiliza a abertura e manutenção de um escritório virtual de advocacia, por sua própria natureza, pois não se revestiria da basilar inviolabilidade e do indispensável sigilo dos seus arquivos e registros, contrariando o direito-dever previsto no art. 7º, II, do EAOAB , além do que a publicidade, não se coadunaria com os princípios insculpidos no CED e no Prov. 94/2000 do Conselho Federal.11 Recentemente a ConJur retomou o tema e ouviu especialistas da matéria que foram unânimes no sentido de se manter cautela nas atividades de advocacia em metaverso, apresentando os desafios futuros decorrentes da preservação da privacidade, dos valores éticos da classe e da proteção dos dados dos titulares.12 Mas, é fato que, se a tecnologia prosseguir em expansão, muitos dos negócios do mundo real serão replicados nos metaversos concernentes e apropriados, gerando a ampliação de redes de distribuição de produtos e de serviços de forma globalizada. Neste contexto, escritórios prestadores de serviços jurídicos sediados em países que possuam menor potencial restritivo à advocacia, terão destaque na oferta e na captação de demandas, além de proporcionar aos clientes, novas formas e experiências de atendimento eficiente, sem desprezo da qualidade. Considerando-se que metaversos situam-se em espaços não territoriais, importante discussão sobre níveis de eticidade e de cumprimento de regras locais nos países de origem, com relação aos seus órgãos de classe ocorrerão. Todavia, como a OAB se flexibiliza em vários pontos, a exemplo da publicidade e informação da advocacia, consoante se depreende do provimento nº 205/2021 que trata, inclusive, de marketing jurídico na publicidade, decerto a visão inicial mencionada, passará também por transformação para possibilitar o exercício de atividades especificas de advocacia em metaverso, respeitados os regramentos éticos.13 Já no tocante às atividades voltadas para a solução de conflitos em metaverso ou, ainda, o uso deste ambiente para facilitar a realização da justiça, observamos que há experiências pioneiras como a levada à efeito pelo Ministério da Justiça de Portugal que lançou no ano de 2.007, uma plataforma para operar em metaversos o que denominou de "E-Justice Centre", que era consistente de uma corte com atendimento diário e aberta a todos os residentes do mundo virtual Second Life. Esta experiência contemplou também um centro de mediação e arbitragem, que visava gerar a segurança necessária para transações comerciais e outros tipos de relações virtuais.14 Tratava-se de uma espécie de tribunal exclusivo para causas "intramundo", que julgava avatares, e não seus representantes no mundo real. Em notícias da época, observou-se que o serviço era prestado em português, e deveria atrair avatares brasileiros. O lançamento foi feito pelo Secretário de Estado da Justiça da época, João Tiago Silveira que informou que o "E-Justice Centre" seguiria as leis do país de origem dos avatares. Em caso de nacionalidades diferentes, se levaria em conta a legislação norte-americana (onde estavam os servidores da Linden Lab à época) e o direito internacional. Não se tem notícias atuais acerca da evolução destes modelos buscando a solução de conflitos em metaverso, mas, pode ser um dos tantos caminhos e uma tendência na busca da pacificação social.15 Já no que tange ao uso do metaverso no cenário judicial brasileiro, o Conselho Nacional de Justiça (CNJ) pretende construir uma plataforma blockchain até 2030, para gerar mais eficiência e transparência nas atividades jurisdicionais. A utilização de tecnologia e de I.A., possibilitará que certas atividades do dia a dia possam ser desenvolvidas também em metaversos, como sistemas de audiência judicial. Recentemente, o Conselho Nacional de Justiça realizou uma audiência pública com vistas a buscar a padronização dos Portais dos Tribunais para uniformizar a linguagem para uma comunicação integrada entre os tribunais e atingir o maior acesso dos cidadãos aos serviços da Justiça.16 A possibilidade de exploração das tecnologias voltadas ao metaverso e de blockchain, também é estudada em vários tribunais brasileiros. Em evento recente realizado no Tribunal de Justiça de Santa Catarina (TJSC), voltado para a discussão de um Judiciário Exponencial como desafio para a justiça, estes temas foram tratados com acuidade, com destaque para o potencial de uso das criptomoedas e blockchain, além da Regulação do metaverso como um dos novos desafios da justiça.17 Onde há economia, deve estar também o Direito na sua principiologia e amplitude protetiva. Os desafios do metaverso são relevantes e merecem amplo debate temático, visando a possibilidade de sua utilização para fomentar riquezas e desenvolver atividade empresarial ordenada, sem se afastar de conquistas sociais e dos direitos à privacidade, proteção do titular de dados pessoais e dignidade da pessoa humana. Além dos cuidados específicos para se detectar preventivamente que metaversos se transformem em bolhas sistêmicas que possam gerar prejuízos incomensuráveis aos usuários, há que se ter atenção para com a possibilidade de criação de metaversos em ambientes hostis no modelo "deep web", gerando ou visando ilicitudes das mais diversas. Temas desafiadores merecem o olhar dos pesquisadores, entre os quais elencamos a solução de controvérsias e a prestação de serviços jurídicos em metaterritório, arbitragem em ambiente virtual, jurisdição e legislações aplicáveis em caso de conflito, questões voltadas para a relação de trabalho e Inclusão social em geral e de pessoas portadoras de necessidades especiais; relação de consumo e oferta em metaverso; cybercrimes, lavagem de dinheiro e pedofilia em ambiente digital, no sentido de se coibir a prática por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente, nos termos do Art. 241-A do ECA. Enfim, aliado ao movimento de robotização algorítmica de tribunais como forma de gerar melhor resposta da justiça, na replicação de modelos jurídicos usuais para ambientes externos como metaversos, independente das ferramentas tecnológicas deve-se observar as premissas e pressupostos de cidadania. Conclusão Se através do metaverso e das tecnologias, se pode criar uma vida paralela e um "persona" que se animará nestes "mundos", deve-se guardar sintonia para que nestas interações, não se reduzam as conquistas sociais e econômicas do "mundo real", afastando-se os padrões negativos e hostis que geram tanta destruição e desconformação. Caberá aos usuários de nosso tempo e aos criadores desta ambiência virtual, guardar comprometimento com as conquistas sociais e princípios constitucionais, objetivando a evolução social, em qualquer dos mundos que se resolva habitar ou interagir, sempre preservadas as suas característica criadoras e objetivos, contribuindo para o aperfeiçoamento das instituições e, consequentemente, a melhoria do mundo real, sempre com a certeza de que o metaverso, na forma como ora se instituiu e se apresentou, é tudo o que pode ser e ainda não é. Referências 1 Disponível aqui 2 Disponível aqui 3 Disponível aqui 4 Disponível aqui 5 Disponível aqui 6 Disponível aqui 7 Disponível aqui 8 Disponível aqui 9 Disponível aqui 10 Disponível aqui 11 Disponível aqui 12 Conjur 13 Conjur 14 Disponível aqui. 15 Disponível aqui. 16 Disponível aqui. 17 Disponível aqui. sexta-feira, 13 de maio de 2022 Comentar O PL 21/20201 - que estabelece fundamentos, princípios e diretrizes para o desenvolvimento e aplicação da inteligência artificial no Brasil, e dá outras providências - dispõe no inciso VI do artigo 6º, que "Art. 6º Ao disciplinar a aplicação de inteligência artificial, o poder público deve observar as seguintes diretrizes: VI - responsabilidade: normas sobre responsabilidade dos agentes que atuam na cadeia de desenvolvimento e operação de sistemas de inteligência artificial devem, salvo disposição em contrário, se pautar na responsabilidade subjetiva, levar em consideração a efetiva participação desses agentes, os danos específicos que se deseja evitar ou remediar, e como esses agentes podem demonstrar adequação às normas aplicáveis por meio de esforços razoáveis compatíveis com padrões internacionais e melhores práticas de mercado". Partindo do micro para o macro, nos limites desta coluna, pretendo perfilhar seis argumentos que demonstram o equívoco de uma opção legislativa datada e descontextualizada, na expectativa de que o conjunto de Audiências Públicas da Comissão de Juristas dos Senado destinada a elaborar substitutivo de Projeto de Lei possa alcançar uma racionalidade distinta. O equívoco de se acolher uma responsabilidade subjetiva em abstrato Este é o pecado original. De forma açodada a comunidade jurídica é informada que o legislador pretende submeter a responsabilidade civil a um grau máximo de simplificação, em flagrante contradição à complexidade inerente ao desafio que se quer regular. Algoritmos são contextualizados e demandam soluções específicas para problemas específicos. Fato é que as tecnologias digitais emergentes dificultam a aplicação de regras de responsabilidade subjetiva, devido à falta de modelos bem estabelecidos para seu funcionamento adequado e à possibilidade de seu desenvolvimento como resultado de aprendizado sem controle humano direto, o que impede o conhecimento das consequências concretas. Necessário se faz, considerar, a tipologia e a autonomia em concreto da IA envolvida no dano. Ilustrativamente, a responsabilidade civil veste distintos figurinos para smart contracts, cirurgias robóticas e carros autônomos. a complexidade dos sistemas de Inteligência Artificial. Aliás, "Uma mesma tipologia, como é o caso dos carros autônomos, pode ter diversos graus de autonomia em relação ao condutor humano. Significa dizer que eventualmente pode haver diferentes regimes aplicáveis dentro de uma única tipologia".2 A Europa caminha prudentemente. A Resolução do Parlamento Europeu, de 3 de maio de 2022, sobre a inteligência artificial na era digital (2020/2266(INI), não pretende exaurir o debate, porém pretende avançar na discussão transnacional, salientando que: "146. devido às características dos sistemas de IA, como a sua complexidade, conectividade, opacidade, vulnerabilidade, possibilidade de sofrer alterações através de atualizações, capacidade de autoaprendizagem e potencial autonomia, bem como à multiplicidade de intervenientes envolvidos na sua criação, implantação e utilização, a eficácia das disposições do quadro de responsabilidade nacional e da União enfrenta desafios consideráveis; considera, por conseguinte, que, embora não haja necessidade de proceder a uma revisão completa dos regimes de responsabilidade funcionais, é necessário proceder a ajustamentos específicos e coordenados dos regimes de responsabilidade europeus e nacionais para evitar que as pessoas que sofrem danos ou cujos bens são danificados acabem por não ser indemnizadas; especifica que, embora os sistemas de IA de alto risco devam ser abrangidos pela legislação em matéria de responsabilidade objetiva, a que se deve juntar um seguro obrigatório, todas as outras atividades, dispositivos ou processos baseados em sistemas de IA que causem danos ou prejuízos devem continuar a estar sujeitos à responsabilidade culposa; considera que as pessoas afetadas devem, contudo, beneficiar da presunção de culpa por parte do operador, a menos que este seja capaz de provar que respeitou o seu dever de diligência".3 A simples alusão a apenas um extrato da recente Resolução do Parlamento Europeu, evidencia inequivocamente que o substitutivo ao PL 21 de 2020 coloca-nos na superfície de um contexto que oferece múltiplas camadas, algumas visíveis, outras um tanto quanto sutis. Para não sermos injustos em termos de rotular a responsabilidade subjetiva como única alternativa da proposta, o art. 6o, § 4o reproduz a redação do art. 37, §6o da CRFB/1988, ao estatuir a responsabilidade objetiva das pessoas jurídicas de direito público e as de direito privado prestadoras de serviços públicos. Nada mais natural do que compatibilizar o PL com o texto constitucional, na linha da teoria do risco administrativo. Na mesma toada, seguindo o desenvolvimento dos artigos 12 e 14 do CDC, o § 3º preconiza que quando a utilização do sistema de inteligência artificial envolver relações de consumo, o agente responderá independentemente de culpa pela reparação dos danos causados aos consumidores. A convocação das normas constitucional e consumerista reproduz dois paradoxos: a um, uma evidente contraposição de regimes de responsabilidades desprovida de justificativa, realçando a fragilidade do modelo subjetivo; a dois, a própria inaplicabilidade prática da responsabilidade subjetiva, pois para além das hipóteses de atribuição de danos ao Estado ou a fornecedores - em vista do conceito lato de consumidor - dificilmente observaríamos potenciais vitimas de sistemas de IA fora de tal binômio. A imprecisão da expressão "responsabilidade subjetiva" A utilização da expressão "responsabilidade subjetiva" no projeto por si só já acarreta insegurança jurídica. O Direito é uma ciência linguisticamente convencionada e os conceitos jurídicos também. O termo francês "faute", por vezes se torna um conceito inatingível, prestando-se a múltiplos significados. A Culpa se tornou uma expressão polissêmica. Se é certo que dentro de um sistema encontramos significado para as palavras, foi a partir de IHERING, que passamos a compreender que a responsabilidade civil tem a ver com ilicitude e culpa. Esta é uma incursão de muitas décadas, inclusive no sistema Lusófano, que prestigiou a base da responsabilidade aquiliana de matriz alemã. Portanto, ilícito e culpa são conceitos que não se confundem. A objetiva violação de um dever de cuidado (ilicitude) é pré-requisito para a culpa, mas dela se aparta em quase todos os sistemas jurídicos. A exceção é o Código Civil Francês. Ao contrário do Código Alemão, que expressamente requer a ilicitude como condição de responsabilidade - com anterioridade à culpa - na perspectiva francesa, a ilicitude não se autonomiza da culpa, tornando-se elemento dela, pois o legislador requer a existência de culpa sem que se faça referência normativa à ilicitude. O Código Reale exige da doutrina uma atitude de balizamento do fato ilícito como pressuposto da responsabilidade civil autônomo ao da culpa, ao estipular em seu artigo 927: "Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo". O legislador não apenas autonomizou, como agregou dois preceitos qualificadores do conceito da ilicitude. Os artigos 186 e 187 são duas pequenas cláusulas gerais de responsabilidade que concretizam as situações de ilicitude que fundamentam a responsabilidade civil do agente. Enquanto o artigo 186 do CC estabelece que a ilicitude decorre da violação de um direito subjetivo, o artigo 187 estatui que ilícitos também se qualificam pelo abuso do direito. Como apartar culpa e ilicitude dentro de nossas especificidades? Um ato é qualificado como antijurídico por objetivamente divergir da conduta exterior que a norma indicava como correta, sem que isto tenha relação com o processo psicológico que orienta a atividade humana. O juízo moral de censura sobre o comportamento do agente (culpa) - que podia e devia ter agido de outro modo conforme as circunstâncias do caso - não se confunde com contrariedade da conduta lesiva a um comando legal. A ilicitude em nada conflita com a culpa. São distintos pressupostos da teoria subjetiva da responsabilidade civil. Aliás, a responsabilidade subjetiva pretendida no projeto sequer se iguala com a residual culpa presumida da Resolução do Parlamento Europeu, de 20 de outubro de 2020. A teoria da culpa presumida foi uma primeira evolução na concepção da responsabilidade subjetiva pura, proporcionando uma inversão do ônus da prova. Com efeito, pode haver problemas com a comprovação do ilícito derivado das tecnologias digitais emergentes. Geralmente, a vítima deve provar que o agente (ou alguém cuja conduta lhe é atribuível) foi culpado. Portanto, a vítima não precisa apenas identificar quais deveres de cuidados o réu deveria ter cumprido, mas também provar ao tribunal que esses deveres foram violados, fornecendo evidências de como ocorreu o evento que deu origem ao dano. Tal racionalidade apenas beneficia o agente algorítmico, a final, quanto mais complexas as circunstâncias que levam ao dano, mais difícil será identificar evidências relevantes. Daí a importância das presunções de culpa. Cabe ao suposto ofensor demonstrar que o dano estava fora de sua esfera de previsibilidade. O fetiche da dicotomia responsabilidade subjetiva x objetiva Há uma disseminada ideia quanto ao fato de que as responsabilidades subjetiva e objetiva representam distintos paradigmas do direito de danos. Trata-se de um equívoco. Na verdade, o que há é um "continuum", sendo que as imputações subjetiva e objetiva de danos consistem apenas em dois extremos de uma longa linha reta, em um perímetro que acomoda várias figuras intermediárias com distintos nexos de imputação, até que se alcance a teoria do risco integral. Aliás, algumas hipóteses legais que o senso comum já traduziu como incidências de responsabilidade objetiva não se acomodam verdadeiramente à exatidão que esse conceito demanda, em verdade, são cidades que se encontram no caminho. A responsabilidade objetiva é uma responsabilidade independente da existência de um ilícito. Tanto faz se o agente praticou um comportamento antijurídico ou não, pois esse debate é infenso ao objeto da sentença. Para o magistrado só importa o nexo causal entre a conduta/atividade do agente e o dano. Nada obstante, muitos insistem em compreender a obrigação objetiva de indenizar como uma espécie de "responsabilidade sem culpa". Todavia, os conceitos não se equivalem. Tradicionalmente a culpa representa o elemento psicológico do agente. Por isso, somente será possível avançar na perquirição do estado anímico do ofensor se, conforme a cláusula geral do art. 186 do Código Civil, ficar previamente assentado que o comportamento de A foi a causa ilícita adequada do dano a B. Mais precisamente, a aferição da culpa necessariamente requer a prévia afirmação da ilicitude do fato danoso. O que ocorre é que, nas reais hipóteses de incidência da teoria objetiva, essa questão não está em jogo, pois o legislador ou o tribunal consideram que o fator de atribuição da obrigação de compensar danos (nexo de imputação) recebe justificação diversa do fato ilícito (v.g. equidade, dever de cuidado, risco da atividade). A precisão técnica é abandonada quando o civilista insiste em descrever como hipóteses de responsabilidade objetiva, a responsabilidade do fornecedor por danos derivados de produtos e serviços defeituosos (arts. 12 e 14, CDC). Talvez, seja melhor compreendê-la como uma "responsabilidade civil subjetiva com alto grau de objetividade".4 O "defeito" é um fato antijurídico, uma desconformidade entre um padrão esperado de qualidade de um bem ou de uma atividade e a insegurança a que efetivamente foi exposta a incolumidade psicofísica do consumidor. O CDC abole a discussão da culpa, mas sem que se evidencie a ilicitude do defeito (sujeita a inversão do ônus probatório), inexiste responsabilidade, mesmo se evidenciado o dano patrimonial e/ou moral. Em sentido diverso, no Código Civil, a responsabilidade objetiva pelo risco pede apenas que a atividade danosa seja indutora de um risco anormal, excessivo no cotejo com as demais atividades, por ser apta a produzir danos quantitativamente numerosos ou qualitativamente graves, independentemente da constatação de um defeito ou perigo. Isto é, por mais que seja exercitada com absoluto zelo, não se indaga se A exercia uma "atividade de risco", pois pela própria dinâmica dos fatos, mesmo que exercida por B, C ou D, os danos decorreriam do "risco intrínseco da atividade". Em complemento, a responsabilidade vicária dos patrões pelos fatos danosos de seus auxiliares, é alheia a um ilícito do empregador (art. 933, CC). Aplica-se o princípio, "let the superior answer", desde que o representante esteja agindo em nome do representado e em benefício deste. Todavia, somente será possível imputar obrigação de indenizar em face da pessoa jurídica, caso seja previamente comprovado o ilícito culposo do funcionário. Se o dano produzido pelo empregado não corresponde à violação de um dever de cuidado, fecha-se a via de acesso ao empregador. Alguns chamariam isso de responsabilidade objetiva "impura", por demandar aferição de culpa no antecedente (empregado) e a sua dispensa no consequente (patrão). Contudo, a autêntica responsabilidade objetiva requer tão somente a violação de um interesse jurídico protegido, elidindo-se considerações sobre a antijuridicidade. Esta discussão é relevante para fins de IA, pois se cogitarmos das hipóteses de responsabilidade civil indireta pelo fato de outrem (patrões por empregados, pais por filhos menores, curadores por curatelados), e responsabilidade pelo fato da coisa - seja esta uma coisa inanimada ou um dano provocado por animal - pela primeira vez, sistemas jurídicos responsabilizarão humanos pelo que a inteligência artificial "decide" fazer. Além disso, esse tipo de responsabilidade dependerá crucialmente dos diferentes tipos de robôs com os quais se está a lidar: robô babá, robô brinquedo, robô motorista, robô funcionário, e assim por diante. Em suma, o conceito de responsabilidade indireta é considerado por alguns como possível catalisador para argumentar que operadores de máquinas, computadores, robôs ou tecnologias semelhantes também serão objetivamente responsáveis por suas operações, com base em uma analogia com a responsabilidade indireta. Quando o dano for causado por tecnologia autônoma usada de uma maneira funcionalmente equivalente ao emprego de auxiliares humanos, a responsabilidade do operador pelo uso da tecnologia deve corresponder ao regime de responsabilidade indireta de um empregador para esses auxiliares. A pergunta óbvia é a seguinte: tudo isto será considerado como responsabilidade subjetiva como deseja o PL 21/20? Este é mais um argumento em prol de uma regulação que aposte em específicos nexos de imputação dentro de parâmetros objetivos flexíveis que acompanhem a inovação tecnológica. A 1. Camada adicional da responsabilidade civil na IA: accountability A melhor forma de regular a IA não reside no campo da liability, porém nas camadas adicionais da accountability e answerability. O termo "responsabilidade" (liability) conforme inserido no Código Civil, resume-se ao exato fator de atribuição e qualificação da obrigação de indenizar, para que se proceda à reparação integral de danos patrimoniais e extrapatrimoniais a serem transferidos da esfera da vítima para o patrimônio dos causadores de danos. Todavia, este é apenas um dos sentidos da responsabilidade, os demais se encontram ocultos sob o signo unívoco da linguagem. Palavras muitas vezes servem como redomas de compreensão do sentido, sendo que a polissemia da responsabilidade nos auxilia a escapar do monopólio da função compensatória da responsabilidade civil (liability), como se ela se resumisse ao pagamento de uma quantia em dinheiro apta a repor o ofendido na situação pré-danosa. Ao lado dela, colocam-se três outros vocábulos: "responsibility", "accountability" e "answerability". Os três podem ser traduzidos em nossa língua de maneira direta com o significado de responsabilidade, mas na verdade diferem do sentido monopolístico que as jurisdições da civil law conferem a liability, como palco iluminado da responsabilidade civil (artigos 927 a 954 do Código Civil). Em comum, os três vocábulos transcendem a função judicial de desfazimento de prejuízos, conferindo novas camadas à responsabilidade, capazes de responder à complexidade e velocidade dos arranjos sociais O PL 21/20 se aferra a tradicional a eficácia condenatória de uma sentença como resultado da apuração de um nexo causal entre uma conduta e um dano, acrescida por outros elementos conforme o nexo de imputação concreto. A liability é a parte visível do iceberg, manifestando-se ex post - após a eclosão do dano -, irradiando o princípio da reparação integral. Entretanto, a liability não é o epicentro da responsabilidade civil, mas apenas a sua epiderme. Em verdade, trata-se apenas de um last resort para aquilo que se pretende da responsabilidade civil no século XXI, destacadamente na tutela das situações existenciais, uma vez que a definição de regramentos próprios não advém de uma observação ontológica (ser), mas de uma expectativa deontológica (dever-ser) da interação entre inovação e regulação em um ecossistema no qual o risco é inerente às atividades exploradas.5 A "accountability", amplia o espectro da responsabilidade civil, mediante a inclusão de parâmetros regulatórios preventivos, que promovem uma interação entre a liability do Código Civil com uma regulamentação voltada à inserção de regras de boas práticas que estabeleçam procedimentos, normas de segurança e padrões técnicos. Se no plano da LGPD (art. 50) a governança de dados, materializa-se no compliance como planificação para os riscos de maior impacto negativo, em sede de IA, em sua vertente ex post, a accountability atua como um guia para o magistrado e outras autoridades, tanto para identificar e quantificar responsabilidades, como para estabelecer os remédios mais adequados. Assim, ao invés do juiz se socorrer da discricionariedade para aferir o risco intrínseco de uma certa atividade por sua elevada danosidade (parágrafo único, art. 927 CC) - o desincentivo ao empreendedorismo é a reação dos agentes econômicos à insegurança jurídica -, estabelecem-se padrões e garantias instrumentais que atuam como parâmetros objetivos para a mensuração do risco em comparação com outras atividades. Já não se trata apenas de considerar, a tipologia e a autonomia em concreto da específica IA envolvida no dano para nos definirmos pela incidência da cláusula geral do risco da atividade ou de outro nexo de imputação, porém, de diante de um determinado evento lesivo no qual se constate efetivamente uma atividade geradora de risco inerente, perquirirmos o desempenho real do agente em cotejo com o desempenho esperado em segurança dentro daquele setor do mercado para fins de eventualmente se impor uma mitigação da indenização, a teor do parágrafo único do art. 944 do CC. Trata-se assentir com a existência de uma função promocional da responsabilidade civil, mediante a reinserção da ética nas rotinas interpessoais. As sanções positivas atuam de maneira a provocar nos indivíduos o exercício de sua autonomia para alterar sua forma de comportamento. A ideia de 'encorajamento' está ancorada no pensamento de Norberto Bobbio, que sinaliza que, além de compensar, punir e prevenir danos, a responsabilidade civil deve criteriosamente recompensar a virtude e os comportamentos benevolentes de pessoas naturais e jurídicas. Por certo, o artigo 944 do CC pode ser o ponto de partida para alargarmos os horizontes da responsabilidade civil, destacando a sua função promocional e o investimento na reputação como fundamental ativo imaterial de agentes econômicos, em uma era primada pela corrida por incentivos, hoje enucleados na conhecida sigla ESG. Para aqueles que postulam pela accountability como critério decisivo para a incidência da responsabilidade subjetiva no PL 21/20, quando determinada atividade econômica, pela sua própria natureza, independentemente de quem a promova, oferece riscos que a experiência repute excessivos, anormais, provocando danos patrimoniais ou existenciais em escala superior a outros setores do mercado, a orientação dada ao empreendimento pelos seus dirigentes será irrelevante para a avaliação das consequências dos danos, relevando apenas a aferição do nexo de causalidade entre o dano injusto e o exercício da atividade. Entretanto, se assim for, priva-se de efeito jurídico qualquer ação meritória em sede de teoria objetiva. Quer dizer, o fato de o condutor da atividade propor-se a realizar investimentos em segurança e compliance perante os seus funcionários ou terceiros em nada repercutirá positivamente em caso de produção de uma lesão resultante do exercício desta atividade. Daí nasce a questão lógica: se inexiste qualquer estímulo para provocar um comportamento direcionado ao cuidado e à diligência extraordinários, qual será a ênfase de um agente econômico em despender recursos que poderiam ser direcionados a várias outras finalidades, quando ciente de que isto nada valerá na eventualidade de um julgamento desfavorável em uma lide de responsabilidade civil? Noutros termos, parece correta a compreensão de que o risco (e não a culpa) é o fundamento essencial para que sejam estabelecidos critérios próprios de imputação advindos do desvio dos parâmetros de segurança estabelecidos pela legislação protetiva e, quando presente o compliance, catalisados pela inobservância dos programas de integridade e das políticas de governança de dados, o que representaria uma espécie de responsabilidade objetiva especial. Isto é, superam-se as barreiras da culpa, suplantam-se as escusas técnicas e a ampla incidência de causas excludentes decorrentes do domínio da técnica pelo controle da arquitetura de software e se impõe a cooperação como modal de controle e aferição dos limites da responsabilidade civil. A 2. Camada adicional da responsabilidade civil na IA: answerability Answerability é literalmente traduzido como "explicabilidade". Enquanto a accountability oferece perspectivas para a função promocional da responsabilidade civil, a explicabilidade se impõe como uma camada da função preventiva da responsabilidade, materializada no dever recíproco de construção da fidúcia a partir do imperativo da transparência. Ademais, a accountability foca na pessoa que conduz uma atividade ou exerce comportamento danoso ou potencialmente danoso - os chamados agentes da responsabilidade -, enquanto a answerability se prende ao outro lado da relação: os destinatários ou "pacientes" de responsabilidade, que podem exigir razões para ações e decisões tomadas por aquele que exerce o controle da atividade. Assim, inspirada por uma abordagem relacional, a responsabilidade como "explicabilidade" oferece, uma justificativa adicional para a tutela da pessoa humana, com enorme valia perante corporações e operadores que terceirizam responsabilidades para algoritmos. A answerability é um procedimento recíproco de justificação de escolhas que extrapola o direito à informação, facultando-se a compreensão de todo o cenário da operação de tratamento de dados. Não se trata basicamente de saber qual é a IA utilizada e o que ela faz. O desafio está em buscar uma resposta ontológica, lastreada na identificação do cabimento das funções preventiva e precaucional da responsabilidade civil para que seja aferível a expectativa depositada sobre cada participante da atividade, especialmente quanto à previsibilidade de eventuais consequências. É legítimo que pessoas exijam uma explicação em nome de não-humanos ou mesmo em nome de outros humanos carentes de cognição. Se compreendermos quem deve responder, por quê e a quem as respostas se destinam, alcançamos o conceito de supervisão - oversight - um componente de governança em que uma autoridade detém poder especial para revisar evidências de atividades e conectá-las às consequências. A supervisão complementa os métodos regulatórios de governança (accountability), permitindo verificações e controles em um processo, mesmo quando o comportamento desejável não pudesse ser especificado com antecedência, como uma regra. Ao invés, em caráter ex post, uma entidade de supervisão pode separar os comportamentos aceitáveis dos inaceitáveis. Aliás, mesmo quando existem regras, o supervisor pode verificar se o processo agiu de forma consistente dentro delas, sopesando as considerações nas circunstâncias específicas do cenário. Por conseguinte, se um agente humano utilizando IA toma uma decisão com base em uma recomendação da IA e não é capaz de explicar por que ele tomou essa decisão, este é um problema de responsabilidade por dois motivos. Primeiro, o agente humano falhou em agir como um agente responsável, porque não sabe o que está fazendo. Em segundo lugar, o agente humano também deixou de agir com responsabilidade em relação ao paciente afetado pela ação ou decisão, que pode legitimamente exigir uma explicação por ela.6 Para além da responsabilidade civil: As sanções administrativas, o sistema de seguros e o fundo de compensação. Mesmo compreendida em sua multifuncionalidade e robustecida por diversos nexos de imputação a responsabilidade civil isoladamente não é capaz de oferecer uma tutela ótima diante de tecnologias digitais emergentes. Ilustrativamente, o déficit em termos de accountability não implicará em termos de aplicação de punitive damages, por absoluta ausência de previsão legislativa. Contudo, poderá impactar negativamente ao agente sob o viés do direito administrativo sancionador, mediante fiscalização decorrente de poder de polícia exercido por órgão a ser implementado. Sanções administrativas podem ser mais eficazes em termos de indução do que a responsabilidade civil, a final, a limitação do artigo 944 do Código Civil à indenização pela extensão do dano gera incentivos ao desrespeito à boa governança, "pela lógica econômica por meio do denominado inadimplemento eficiente da obrigação".7 Eventual fixação de multas em valor elevado não acarretará questionamentos sobre enriquecimento injustificado, na medida em que o produto de arrecadação das sanções administrativas será destinado a um Fundo de Defesa de Direitos, ou mesmo culminará com a suspensão ou interrupção da atividade danosa. Ademais, a socialização da responsabilidade civil é temática inescapável em qualquer política pública que leve a sério as novas tecnologias. O sistema securitário é uma combinação de seguros públicos e particulares, obrigatórios ou opcionais, sobre a forma de seguros pessoais ou seguros de responsabilidade contra terceiros. As companhias de seguros fazem parte de todo o ecossistema social e demandam um conjunto de regras de responsabilidade para proteger seus próprios interesses em relação a vítimas em potencial, sejam elas segurados ou terceiros afetados por danos. Ademais, para preservar a segurança e confiabilidade das tecnologias digitais emergentes, o dever de cuidado de cada pessoa natural ou jurídica deve ser afetado pelo seguro o mínimo possível, sem que isso exclua a asseguração de riscos elevados. No universo das Tecnologias Digitais Emergentes o seguro facultativo praticamente se torna compulsório, pois a fim de mitigar o impacto da responsabilidade objetiva, proprietários, usuários e operadores de robôs contratam seguros, da mesma forma que tradicionalmente os empregadores por seus prepostos. Essa é a lógica econômica das regras de responsabilidade objetiva, servindo como incentivo para que os empregadores amplifiquem o uso de agentes robóticos. Se por um lado os prêmios de seguro aumentam os custos de negócios que se servem de robôs, quanto mais essas máquinas se tornam seguras e controláveis, maiores setores da economia aceitam o risco de seu uso, não obstante a incidência da responsabilidade indireta por danos. Um esquema de seguro obrigatório para categorias de Tecnologias Digitais Emergentes de alta complexidade - relativamente a sua autonomia e possibilidade de aprendizagem - e que suponham um risco considerável para terceiros é uma inescapável solução para o problema de alocação de responsabilidade por danos - tal como há muito acontece com os veículos automotores. A final, quanto maior a frequência ou gravidade dos potenciais danos, menos provável se torna a aptidão para que as vítimas sejam individualmente indenizadas. Um esquema de seguro obrigatório não pode ser considerado a única resposta para o problema de como gerenciar danos, substituindo completamente as regras de responsabilidade civil. Fundos de compensação financiados e operados pelo estado ou por outras instituições com o objetivo de compensar as vítimas pelas perdas sofridas podem ser utilizados para proteger as vítimas que possuam direito a indenização de acordo com as regras de responsabilidade civil, mas cujas pretensões não podem ser atendidas quando os demais regimes de responsabilidade forem insuficientes como resultado da operação de tecnologias digitais emergentes e na ausência de uma cobertura de seguro. Um caminho possível seria o da criação de um fundo geral de compensação acessado pela matrícula individual de cada robô em um registro específico, permitindo a segura rastreabilidade das máquinas. Os fundos compensatórios protegeriam vítimas em duas frentes complementares: a) cobrindo danos produzidos por robôs que não possuem seguro de responsabilidade civil; b) compensando danos ocasionados por robôs, limitando a responsabilidade civil dos agentes intervenientes e das próprias seguradoras. Assim, independentemente de um sistema de responsabilidade objetiva e de seguro, produzido o dano, haverá um patrimônio afetado à compensação, mesmo que o robô não tenha seguro ou quando mecanismos de seguro obrigatório não se ativem por outras causas __________ 1 Disponível aqui. 2 MEDON, Felipe. Danos causados por inteligência artificial e a reparação integral posta à prova: por que o Substitutivo ao PL 21 de 2020 deve ser alterado urgentemente? 3 Disponível aqui. 4 BIONI, Bruno; DIAS, Daniel. Responsabilidade civil na LGPD: construção do regime por meio de interações com o CDC. In: MIRAGEM, Bruno; MARQUES, Cláudia Lima; MAGALHÃES, Lucia Ancona (coord). Direito do consumidor. 30 anos do CDC. Rio de Janeiro, Forense, 2021, p. 513. 5 GELLERT, Raphaël. Understanding data protection as risk regulation. Journal of Internet Law, Alphen aan den Rijn, v. 18, n. 1, p. 3-15, mai. 2015, p. 6-7. 6 Frank Pasquale, serviu-se do insight das 3 leis de Jack Balkin para a sociedade algorítmica, a fim de propor uma quarta lei, capaz de complementar a tríade: "A robot must always indicate the identity of its creator, controller, or owner." A vanguarda dos campos de IA, aprendizado de máquina e robótica enfatiza a autonomia - seja de contratos inteligentes, algoritmos de negociação de alta frequência ou robôs futuros. Há uma noção nebulosa de robôs "fora de controle", que escapam ao controle e responsabilidade seu criador. A formulação da 4. Lei com a exigência de que, com base na explicabilidade, qualquer sistema de IA ou robótica tenha alguém responsável por sua ação, ajuda a reprimir tais ideias. 7 TOMASEVICIUS FILHO, Eduardo. In Comentários à lei geral de proteção de dados pessoais. MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura. Indaiatuba: Foco, 2022, p. 483. sexta-feira, 6 de maio de 2022 Comentar Preliminares A eventual regulação das mídias sociais tem sido motivo de debates acalorados em todos espectros políticos. A aquisição do Twitter pelo bilionário Elon Musk incrementou essa discussão agora polarizando entre o controle total por uma empresa com capital fechado ou a liberdade ampla patrocinada por um mega empreendedor visionário. Apesar de todas essas acaloradas discussões, veremos que algumas iniciativas e conquistas sociais não são facilmente controladas, principalmente quando advindas de artefatos computacionais que se transformam e se recriam ao sabor do desafio tecnológico, da inovação, da expectativa de sucesso, ou, simplesmente pela possibilidade de contestação. Um pouco antes Os computadores foram criados preliminarmente como máquinas calculadoras que faziam tarefas precisas de várias pessoas em pouco tempo relativo. Tornaram-se máquinas fundamentais para cálculos balísticos durante a II Grande Guerra1 e impulsionaram os serviços censitários, bancários e financeiros2. Nem mesmo as formulações de Alan Turing, em meados dos anos 19303, que apontaram o computador como a primeira máquina genérica e multifuncional criada pelo homem, conseguiu avançar a passos largos a Inteligência Artificial já proposta e discutida no primeiro workshop sobre o tema no Dartmouth College em 19564. Nem o software e muito menos o hardware do século passado estavam preparados para a grande revolução que a Computação traria em nossas vidas no início deste milênio. O termo Web 2.05, cunhado em 2004, abriga várias tecnologias sobre a Internet que proporcionam serviços cada vez mais amplos aos seus usuários, tais como compras online, uso de redes sociais, softwares como serviços, enfim, a Web 2.0 proporcionou um mergulho intenso e profundo de toda sociedade urbana num mundo digital virtual sem precedentes. Os paralelos Se podemos dizer que a Web 2.0 imprimiu uma revolução na nossa sociedade, em praticamente todas as frentes, do comércio ao lazer, da economia às relações sociais, e das comunicações ao marketing, o mesmo não podemos dizer, por exemplo, sobre outras criações demandadas, como por exemplo, a imprensa de Gutenberg (1430). Na época a capacidade de reprodução de artigos literários era restrita a produção manuscrita de copiadores humanos. A mecanização era a única alternativa para ampliar a circulação de informação via mídia escrita. O mesmo raciocínio é válido para outros meios de mecanização para os quais temos a Revolução Industrial como uma grande fábrica de exemplos semelhantes à imprensa. Só por completude, as máquinas a vapor encurtaram distâncias, auxiliaram a redução de preços das commodities, ampliaram fronteiras, fomentaram a expansão do comércio, entre ouros benefícios. No entanto, todos esses avanços eram objetivos latentes de uma sociedade que ansiava pela modernização de necessidades básicas para o seu crescimento econômico e social. Podemos afirmar que, nos seus primórdios, a Computação nasceu também sobre as mesmas necessidades, a mecanização. Mesmo considerando as eventuais facilitações de atividades prometidas pela Inteligência Artificial entre o final dos anos de 1950 até meados dos anos de 1970, o que a sociedade esperava da Computação eram meios de ampliar seu tempo de lazer, tais como: máquinas mais inteligentes para deveres domésticos, máquinas mais produtivas e inteligentes para a indústria, robôs antropomórficos, programas como o STUDENT que resolviam problemas de álgebra, como também os veículos autômatos6. No entanto, o mundo começou a mudar a partir da entrada no novo milênio com a Computação expandindo suas áreas de atuação para o mundo das comunicações e dos serviços. Por exemplo, antes do advento dos tocadores de músicas encapsuladas no formato MP3 não havia uma pressão social para levarmos conosco, a qualquer lugar que fossemos, milhares de músicas para eventualmente ouvirmos. A maioria de nós ficaria satisfeito em poder levar alguns CDs para ouvirmos durante uma viagem e só. DJs certamente já existiam e carregavam suas caixas de vinis como mostra de grandes conquistas feitas durantes anos a custo de muito dinheiro. Tampouco falava-se no intercâmbio de músicas, a não ser as cópias de fitas cassete e, um pouco mais adiante, as cópias de CDs de áudio. O outrora famoso BitTorrent (lançado em 2001), que é um bem-sucedido protocolo de comunicação para compartilhamento de arquivos ponto a ponto (P2P), muito usado para compartilhar arquivos eletrônicos pela Internet de forma descentralizada, alastrou-se como erva daninha no campo musical e desmontou o esquema comercial das grandes gravadoras. Reforço: não era uma necessidade social lutar contra a indústria da música praticando a pirataria caseira. Não existia uma comoção social para esse esbulho do direito autoral. Em 2004 quando o engenheiro turco do Google, Orkut Büyükkökten, lançou a primeira rede social de sucesso no Brasil, o Orkut, 29 milhões de brasileiros sentiram a carência iminente de se arregimentarem com parentes esquecidos e coleguinhas da época do "jardim da infância"7. Outros também aproveitaram o software para se aproximarem de celebridades, colegas e parentes de n-ésimo grau. O Orkut arregimentou 15% da população total do Brasil em 2011. Neste mesmo ano, a hegemonia do já aclamado Facebook que reinava nos EUA, chegou ao Brasil abrigando 30,9 milhões de visitantes únicos no mês de agosto8. Essa nova rede social foi a responsável por tirar o Orkut do ar em 2014. Reforço: antes dessas duas redes sociais, esse velho conceito de networking era restrito à nossa rede de colegas e amigos e, com alguma aptidão, à um "amigo do amigo do meu pai". Então estamos afirmando que o Orkut foi uma criação da Google, como fora, de forma semelhante, o planejamento e a criação do thefacebook.com (renomeado para Facebook em 2005) por Mark Zuckerberg e colegas de Harvard em 2004? Não! Nesta época a Google adotava a filosofia dos 20%, ou seja, seus funcionários podiam usar 20% do seu expediente para trabalhar num projeto paralelo, a sua escolha, desde que relacionado com as atividades da empresa. Foi dessa fatia dos 20% que surgiram não só o Orkut, mas como também o Google Maps e o Gmail, por exemplo9. Nessa onda de virtualização das comunicações vieram o ICQ (1996), MSN Messenger (1999), como mensageiros eletrônicos instantâneos e, o Skype (2003) também usado para vídeo conferência. Era também nessa mesma época que nossos computadores pessoais eram controlados pelo sistema operacional Windows XP e usávamos comprar o pacote Office 2003, a primeira versão a usar cores e ícones do sistema operacional. Tudo isso hoje contrasta com mensageiros instantâneos como aplicativos de celular e uma extensa variedade de softwares via web no modelo SaaS (Software as a Service), ou seja, o modelo de software como serviço. Como exemplo: Dropbox, Google Drive, Netflix, Amazon Web Services, Nubank e Microsoft 365. Nos ombros de quem? A pergunta que fica é: como conseguimos elaborar essa sociedade em que o software é parte vital de nossos relacionamentos, de nosso cotidiano e do nosso trabalho? A resposta técnica é que esses serviços via software (redes sociais e afins), bem como os Markplaces (iFood, Amazon e Airbnb, como exemplos), apesar de parecerem um simples software na web, são softwares complexos que são executados sobre um grande elenco de protocolos e outros softwares que formam a base de comunicação de dados via internet. Toda comunicação via internet pode ser entendida pelo modelo TCP/IP. Esse modelo congrega todo tipo de protocolo e software básico para a comunicação via internet em quatro camadas sofisticadas, são elas: 1) Aplicação, ou seja, essencialmente o software que usamos; 2) A camada de Transporte que está relacionada com confiabilidade (o dado alcançou seu destino?) e integridade (os dados chegaram na ordem correta?) do acesso à rede; 3) A camada da Internet que captura os pacotes recebidos da camada de Transporte e adiciona uma informação sobre endereço virtual e, finalmente, num nível mais baixo; 4) A camada de rede que vai efetivamente enviar os pacotes pela Internet10. Ressalto que toda essa arquitetura Web e de Internet é uma arquitetura aberta, regulamentada por técnicos e engenheiros de grandes consórcios de software e que podem ser usadas para qualquer finalidade. Dadas essas condições técnicas abertas a qualquer um, amparados pela formulação teórica da Tese de Church-Turing11 que garante termos a máquina genérica mais poderosa até hoje construída, não há como parar as inovações via Computação. Sua estrutura foi elaborada de forma a poder espalhar pacotes de informação da maneira como a imaginação do programador desejar. Sobre essa mesma arquitetura que hoje surfamos na rede e nos seus serviços, outros tantos indivíduos e máquinas do submundo virtual surfam, por exemplo, na Dark Web, em atividades anônimas e privadas em contextos ilegais (e legais também) dos mais variados e assustadores possíveis. E sem regulação. Não há força, não há meios, para pará-los. Lembro-me dos meus anos como rádio amador oficialmente habilitado que, no início dos anos de 1990, experimentávamos o packet radio (rádio de pacote) que é um método de comunicação digital via rádio usado para enviar pacotes de dados. O que era muito semelhante ao modo como os pacotes de dados são transferidos entre nós na Internet hoje. Cada rádio funcionava como um nó da rede de comunicação, a exemplo dos computadores servidores hoje. Enviávamos e recebíamos informações com a nossa própria versão de protocolo de comunicação. E como era possível: os protocolos são especificações abertas de modelos de comunicação. São modelos disponíveis a qualquer pessoa. É só saber programar e ter o tempo necessário para essa atividade. Ou seja, se tirarem os fios, a web funcionará sobre as ondas do rádio. Saiu o ICQ, entrou o MSN, e depois o WhatsApp. No banco de reservas ainda temos o Twitter, o Telegram, o Truth Social, Mastodon, Reddit, Care2, Ello, Minds, The Dots, Plurk, Tumblr e aquele aplicativo que algum jovem gênio de 14 anos está escrevendo hoje e que iremos descobrir em breve. A rede não para. Nem precisa avisar os "russos". __________ 1 First Colossus operational at Bletchley Park. Disponível aqui.Visitado em 3 de maio de 2022. 2 The Automation of Personal Banking. Disponível aqui. Visitado em 3 de maio de 2022. 3 The Church-Turing Thesis. Disponível aqui. Visitado em 3 de maio de 2022. 4 Artificial Intelligence (AI) Coined at Dartmouth Disponível aqui. Visitado em 3 de maio de 2022. 5 What Is Web 2.0. Disponível aqui. Visitado em 3 de maio de 2022. 6 A Complete History of Artificial Intelligence. Disponível aqui. Visitado em 3 de maio de 2022. 7 A história do Orkut, a rede social favorita do Brasil. Disponível aqui. Visitado em 3 de maio de 2022. 8 Facebook ultrapassa Orkut e é a rede social mais popular no Brasil. Disponível aqui. Visitado em 3 de maio de 2022. 9 Why Google's 20% time management philosophy should be adopted by startups. Disponível aqui. Visitado em 3 de maio de 2022. 10 TCP/IP Model. Disponível aqui. Visitado em 3 de maio de 2022. 11 Advogados e cientistas da computação unidos para lacrarem a neutralidade da rede. Disponível aqui. Migalhas 5.342 de 14 de maio de 2021. Visitado em 3 de maio de 2022. sexta-feira, 29 de abril de 2022 Comentar A figura do encarregado pelo tratamento de dados (também conhecido como DPO) tem gerado diversas controvérsias e debates no cenário brasileiro. Uma das amostras mais recentes da relevância do tema foi a abertura de inscrições para tomada de subsídios sobre a norma do encarregado, feita pela Autoridade Nacional de Proteção de Dados ("ANPD") em 18/03/20221. O objetivo deste pequeno ensaio é analisar o conceito, as características, a obrigatoriedade de nomeação, os impedimentos e cautelas ligados ao cargo, o que se fará por meio de análise da legislação e regulação específicas no Brasil, com observação da experiência europeia para aclarar pontos ainda nebulosos no âmbito nacional. Na LGPD, encarregado é definido como a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)"2. Inicialmente, é possível concluir que o encarregado pode ser pessoa natural ou jurídica, apesar da lei haver se limitado ao termo "pessoa". Tal afirmação ocorre por diversos motivos: quando promulgada, em 14/08/2018, a LGPD previa o conceito de encarregado como a pessoa natural indicada pelo controlador, mas o texto foi alterado, antes de sua entrada em vigor, pela lei 13.853/2019, que suprimiu o termo "natural" e manteve apenas a expressão "pessoa", passando a abarcar tanto a pessoa jurídica quanto a pessoa natural. Além disso, o Guia Orientativo expedido pela ANPD3 prevê que o encarregado pode ser pessoa natural ou jurídica, entendimento que vem sendo adotado pelas melhores práticas internacionais, inclusive pela Europa, onde diversos controladores têm contratado empresas e escritórios para atuação como DPO as a service. No Brasil, ainda, a OAB expediu parecer recente em que admite sociedades de advogados como encarregadas4. Outro aspecto relevante é o fato de a LGPD prever a obrigatoriedade de nomeação de encarregado pelo tratamento de dados, o que deve ser feito por todo controlador, ressalvados os casos em que a ANPD estabeleça dispensa5, como aquela feita recentemente para os agentes de tratamento de pequeno porte6. Neste sentido, estão dispensados da nomeação de encarregado pela proteção de dados pessoais apenas microempresas, empresas de pequeno porte, startups, entidades sem fins lucrativos, pessoas naturais e entes despersonalizados, desde que preencham os demais requisitos trazidos na Resolução, quais sejam: 1) Não realizar tratamento de alto risco, que é o tratamento em larga escala ou que possa afetar significativamente direitos e liberdades e que, simultaneamente, utilize tecnologia inovadora ou emergente, realize vigilância ou controle de zonas acessíveis ao público, tome decisões unicamente com base em tratamento automatizado ou realize tratamento de dados sensíveis ou de crianças, adolescentes e idosos; 2) Não auferir e não pertencer a grupo econômico que tenha auferido receita bruta superior a R$ 4.800.000,00 ou, se startup, de R$ 16.000.000,00; Todas as demais organizações que realizem tratamento de dados pessoais permanecem obrigadas a nomear encarregado pelo tratamento de dados pessoais, o que inclui, portanto, não apenas grandes empresas, mas também as microempresas, empresas de pequeno porte e startups que não atendam os critérios mencionados. Mesmo nas hipóteses de dispensa, a resolução admite que a indicação será considerada uma boa prática, apta a reduzir sanções e responsabilidades e que, em qualquer caso, o controlador permanecerá obrigado a indicar um canal de comunicação com o titular. Tal determinação está em consonância com as atividades do encarregado, que podem ser divididas em dois grandes grupos: comunicação e manutenção do programa de compliance. No tocante à comunicação, o encarregado é o principal responsável pelas atividades de comunicação interna (com as áreas e demais colaboradores) e externa (com os titulares, a ANPD, os prestadores de serviços, parceiros e demais stakeholders), razão pela qual é fundamental a disponibilização do contato e identificação do encarregado. Outra importante função é a construção e manutenção da cultura de privacidade e proteção de dados, levando consciência da relevância do tema e da necessidade de envolver todas as pessoas na criação de serviços, produtos e procedimento que nasçam em adequação à legislação vigente. Sob a ótica da manutenção do compliance, é possível mencionar o desenvolvimento e gestão dos programas de governança, a estruturação de processos, a atualização de manuais e políticas, além do acompanhamento e definição de medidas de segurança, inclusive com aplicação de medidas disciplinares que estejam previstas em manuais e políticas7. Por todo exposto, é necessário que haja autonomia da figura do encarregado, que não deve se submeter a outras áreas. Isso é necessário para a integração com todos os departamentos da empresa, para a independência na adequação de procedimentos e para propositura de medidas de conformidade para todas as operações de tratamento de dados pessoais, independentemente do grau hierárquico do integrante da organização que as realize. Garantida a autonomia, é possível que o encarregado seja um colaborador da própria organização ou um agente externo, que atue como DPO as a service, seja pessoa natural ou jurídica. Ademais, inexistem pré-requisitos legais para o exercício da função, mas algumas medidas devem ser observadas, tais como: a) Possibilidade de conflito de interesse: No caso de encarregado interno, o GDPR determina que o controlador evite a nomeação de pessoas que possam gerar conflito de interesses entre o cargo de DPO e a função que exerça8, tais como colaboradores que atuem na área de TI ou RH ou qualquer membro que ocupe alto nível hierárquico, ocasiões em que necessitaria supervisionar a si mesmo. O Article 29 Data Protection Working Party sugere, de maneira mais ampla, que não devem ser nomeados colaboradores que tomem decisões relevantes acerca de tratamento de dados pessoais, pessoas que atuem como CEO, COO, CFO, CMO, head de áreas ou, ainda, qualquer colaborador que realize tratamento de dados pessoais em larga escala. Tal recomendação é relevante e a inobservância tem rendido sanções administrativas na Europa. A autoridade de proteção de dados belga aplicou multa de 50.000 ? (50 mil euros), cumulada com o prazo de 3 (três) meses para solução do conflito, a uma companhia que nomeou o Chefe do Departamento de Compliance, Gestão de Riscos e Auditoria como DPO. Já a autoridade de proteção de dados de Luxemburgo advertiu determinada companhia acerca da incompatibilidade entre a função de DPO e de Head de Compliance e Prevenção à Lavagem de Dinheiro. Por haver corrigido o erro de maneira tempestiva, não houve imposição de multa. Portanto, ao nomear encarregado interno, o controlador deve observar a compatibilidade entre o cargo e as atividades já desenvolvidas pelo controlador. b) Conhecimento técnico ou jurídico: No Brasil, inexiste norma prevendo qualificação técnica ou jurídica para o exercício da atividade de encarregado pelo tratamento de dados pessoais, tampouco há exigência de certificações. Contudo, o exercício da função de encarregado requer conhecimento sobre as normas de privacidade e proteção de dados pessoais, bem como noções sobre mapeamento de operações, gestão de riscos contratuais, elaborações de políticas, comunicação com titulares de dados pessoais e atuação em eventuais procedimentos administrativos ou judiciais. Além disso, é importante a noção da parte técnica, ligada a segurança da informação, mapeamento de sistemas e identificação de riscos. Por isso, tem sido comum a contratação de consultorias jurídicas ou técnicas para aprimoramento da gestão de programas de proteção de dados e da comunicação com agentes externos. __________ 1 BRASIL. Autoridade Nacional de Proteção de Dados. Abertas inscrições para tomada de subsídios sobre a norma do encarregado. Disponível aqui. Acesso em 22/03/2022. 2 Art. 5º, inciso VIII da LGPD. 3 BRASIL. Autoridade Nacional de Proteção de Dados. Guia orientativo para definições dos agentes de tratamento de dados pessoais e encarregado. Disponível aqui, p. 22, ponto 71. Acesso em 22/03/2022. 4 OAB/SP. Processo E-5.537/2021. EXERCÍCIO PROFISSIONAL - LGPD E ADVOCACIA - ENCARREGADO DE DADOS - INCOMPATIBILIDADE OU IMPEDIMENTOS - POSSIBILIDADE DE ATUAÇÃO - OBSERVAÇÃO DE CAUTELA QUANTO À PUBLICIDADE - CAPTAÇÃO INDEVIDA DE CLIENTELA - DEVER DE SIGILO. Disponível aqui. Acesso em 24/03/2022. 5 Art. 41 da LGPD. 6 Art. 11 da Resolução CD/ANPD nº 2/2022. 7 KREMER, Bianca; PALMEIRA, Mariana. A compreensão do encarregado: diferentes perfis, requisitos e qualificações. In: FRAZÃO, Ana; CUEVA, Ricardo Villas Bôas (coords.). Compliance e Políticas de Proteção de Dados. Thomson Reuters Brasil: São Paulo, 2021, pp. 623-663. 8 Key Issue "Data Protection Officer" do GDPR. Disponível aqui. Como garantir a preservação da privacidade na Internet ao fornecer dados pessoais em um cadastro?Cuidado com o que você publica nas redes sociais. ... . Evite responder provocações e ameaças. ... . Mude as senhas periodicamente. ... . Cuidado com sites que pedem muitas informações. ... . Saiba reconhecer os boatos. ... . Atenção nas compras online. ... . Cuidado ao usar computadores públicos. ... . Evite Wi-Fi público.. Como que se denomina a norma atual de proteção de dados na União Europeia?Regulamento Geral sobre a Proteção de Dados (RGPD)
O regulamento entrou em vigor em 24 de maio de 2016 e é aplicável desde 25 de maio de 2018.
Em que o caso Cambridge Analytica importa para a jurisdição Digital?Ref.: 5433685 Pontos: 1,00 / 1,00 Em que o caso Cambridge Analytica importa para a jurisdição digital? Sinaliza uma abertura cada vez maior a diversos atores da propriedade de tecnologias, demonstrando, portanto, um caminho à democratização.
Qual é o significado da sigla ANPD?O que é a Autoridade Nacional de Proteção de Dados Pessoais - ANPD? A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
|
O “aceito” nos termos de uso para uma lista gigantesca de itens ainda vai valer?
Postagens relacionadas
direito autoral © 2024 temalgum Inc.
