COLUNAS

  1. Home >
  2. Colunas

Impressões Digitais

Discussão de aspectos ligados ao Direito Digital.

Ricardo Maffeis Martins e Daniel Bittencourt Guariento
Esta semana, o Supremo Tribunal Federal (STF) finalizou o julgamento do Recurso Extraordinário nº 1.075.412 e fixou polêmica tese de repercussão geral (tema 995), que diz o seguinte: 1 - A plena proteção constitucional à liberdade de imprensa é consagrada pelo binômio liberdade com responsabilidade, vedada qualquer espécie de censura prévia, porém admitindo a possibilidade posterior de análise e responsabilização, inclusive com remoção de conteúdo, por informações comprovadamente injuriosas, difamantes, caluniosas, mentirosas, e em relação a eventuais danos materiais e morais, pois os direitos à honra, intimidade, vida privada e à própria imagem formam a proteção constitucional à dignidade da pessoa humana, salvaguardando um espaço íntimo intransponível por intromissões ilícitas externas. 2 - Na hipótese de publicação de entrevista em que o entrevistado imputa falsamente prática de crime a terceiro, a empresa jornalística somente poderá ser responsabilizada civilmente se: (i) à época da divulgação, havia indícios concretos da falsidade da imputação; e (ii) o veículo deixou de observar o dever de cuidado na verificação da veracidade dos fatos e na divulgação da existência de tais indícios.  O caso concreto envolvia a condenação por danos morais do jornal Diário de Pernambuco em decorrência de uma entrevista em que um político acusara um ativista de ser o responsável por um atentado com mortes ocorrido durante os anos da ditadura militar. O autor da ação sequer havia sido acusado criminalmente pelo evento (ocorrido há décadas) e havia testemunhas que excluíam sua participação no atentado. O jornal publicou a entrevista sem ressalvas e se recusou a conceder direito de resposta1. Antes de entrarmos no ponto central deste artigo, importante destacar que o julgamento, ao firmar tese de repercussão geral, recebe alcance muito mais amplo que a disputa inicial. Além disso, a tese foi fixada por ampla maioria de votos (9x2), tendo prevalecido o entendimento do ministro Edson Fachin, ao passo que os únicos votos divergentes foram proferidos por ministros já aposentados, Marco Aurélio e Rosa Weber. Embora a assessoria de comunicação do Supremo e alguns de seus ministros tenham procurado relativizar o teor da decisão, afirmando que a responsabilização seria excepcional, apenas para casos de "indícios concretos de falsidade" e de "descumprimento do dever de verificar a veracidade dos fatos"2, o site Poder360 traçou importantes ressalvas: (i) conceitos muito abertos de "situações muito excepcionais", "fortes evidências" e "cuidados para divulgar que a acusação era, no mínimo, duvidosa"; e (ii) quem irá aplicar a sanção são os juízes de primeiro grau3, ao que acrescentamos: dificilmente esses casos chegarão ao STF para que seja feito controle sobre a aplicação da tese. Ao decidir pela responsabilização - ainda que de acordo com os critérios excepcionais fixados na tese e não de maneira ampla ou irrestrita - o Supremo Tribunal Federal acaba por aplicar aos veículos de imprensa uma regra semelhante à que vigora aos provedores de aplicações de internet em situações análogas, de ofensas praticadas por terceiros em entrevistas ou programas jornalísticos. Explica-se. O artigo 19 do Marco Civil da Internet (Lei 12.965/2014) prevê a responsabilização dos provedores por conteúdo gerado por terceiros nos casos em que a empresa de tecnologia não tome as providências para tornar indisponível o conteúdo ilícito após proferida uma ordem judicial. Essa regra tem aplicação genérica, é válida para vídeos, fotografias e matérias publicadas em sites ou blogs e nas diversas redes sociais. Nessa linha, não são incomuns as condenações judiciais de provedores que não removeram - ou demoraram a fazê-lo - entrevistas em que uma pessoa identificada proferia ofensas a outra. O curioso desses casos é que muitas vezes o ofendido não se importava em processar o responsável direto pelo ilícito ou mesmo a empresa de comunicação onde a entrevista ou programa jornalístico ocorreu originalmente, mas apenas o provedor de hospedagem4 que mantinha o conteúdo acessível na internet. Durante certo tempo, a prática foi muito comum nas ações eleitorais, tendo arrefecido em parte quando o Tribunal Superior Eleitoral fixou o entendimento de que as multas judiciais eleitorais deveriam ser direcionadas à própria Justiça Eleitoral (Fundo Partidário) e não ao outro litigante. Tem-se então que, para os provedores de aplicações de internet, não é simples a defesa do conteúdo produzido por terceiros. Embora não haja uma responsabilização inicial, caso sobrevenha ordem judicial de indisponibilidade ou exclusão do conteúdo, estes devem cumpri-la, sob pena de responsabilização, ainda que o material possa ser decorrente do exercício de liberdade de expressão. A partir de agora, para as empresas jornalísticas a responsabilidade pode surgir ainda antes de eventual determinação judicial de remoção, caso o juiz da causa entenda que não foram tomados os devidos cuidados com a veracidade da informação, tal como decidido. A recente decisão do STF gerou grande revolta de entidades ligadas ao jornalismo5, preocupadas sobretudo com a autocensura. Afinal, havendo dúvida quanto à veracidade da declaração, o veículo tende a optar pela não publicação, de modo a evitar processos e condenações. A medida torna-se ainda mais complexa no caso de entrevistas e programas ao vivo, como por exemplo um debate político ou os hoje tão populares podcasts. Infelizmente, não são poucos os casos de abusos contra a liberdade de imprensa. Há poucas semanas, repercutiu nacionalmente a condenação (oriunda de uma vara criminal de Florianópolis/SC) de uma jornalista a um ano de detenção em regime aberto e indenização de R$ 400 mil em razão de uma reportagem publicada pelo Intercept Brasil que desagradou um promotor de justiça e um juiz. Como bem sintetizado na edição de ontem do Migalhas, "impossível não pontuar que os 'indícios concretos de falsidade' ficarão ao alvedrio do juiz. Ou seja, apresentamos agora ao distinto público o dono da verdade: o juiz da causa. Durma-se com uma tese dessas...". __________ 1 Informações divulgadas pelo STF. 2 Confira notícia publicada no site do STF. 3 Confira editorial do Poder360. 4 Por vezes, a condenação atingia também o provedor de buscas. Posteriormente, a jurisprudência acabou afastando a responsabilidade dos buscadores pelo conteúdo hospedado em outros sites e apenas indexados no provedor de busca. 5 Vide reportagem da Folha de S.Paulo.
Pouco mais de cinco anos atrás, mais precisamente em 14/8/18, era publicada a lei 13.709, a denominada Lei Geral de Proteção de Dados Pessoais - LGPD, inaugurando no Brasil um regramento específico sobre privacidade e proteção de dados pessoais. Vista inicialmente com certo ceticismo - muitos apostavam que a lei "não ia pegar" - o tempo comprovou que a LGPD veio para ficar, se incorporando rapidamente às regras de governança das empresas e à cultura do brasileiro, seguindo tendência observada em âmbito mundial, especialmente entre os países integrantes da União Europeia, onde, embora a legislação de proteção de dados pessoais exista pelo menos desde a década de 1970, o tema ganhou enorme projeção a partir da entrada em vigor da General Data Protection Regulation - GDPR, também em 2018, consolidando as normas até então existentes sobre a matéria. Prova maior da importância dada à privacidade foi a publicação da Emenda Constitucional 115, em 10/2/22, incluindo a proteção de dados pessoais no rol de direitos e garantias fundamentais do art. 5º da Carta da República. Em paralelo, a maciça adesão das empresas à lei - apesar de majoritariamente atrasada, após a vacatio legis de 24 meses concedida pelo art. 65, II, da LGPD - deveu-se, em certa medida, à atuação da Agência Nacional de Proteção de Dados - ANPD, criada pela própria LGPD, originalmente como órgão da administração direta, integrante da Presidência da República, transformada, no dia 13/6/22, em autarquia de natureza especial pela Medida Provisória 1.124, convertida na lei 14.460, e posteriormente vinculada ao Ministério da Justiça e Segurança Pública. Desde a sua constituição, a ANPD tem se mostrado proativa no exercício das diversas competências que lhe foram atribuídas pelo art. 55-J da LGPD, com destaque para as atividades de regulamentação, orientação, fiscalização e, mais recentemente, de sancionamento. Nas palavras de seu diretor-presidente, Waldemar Gonçalves Ortunho Junior, a ANPD "vem buscando instrumentos para seu fortalecimento institucional, como criação de quadro de servidores e carreira próprios, para que possa intensificar cada vez mais sua atuação na defesa do direito constitucional à proteção de dados pessoais"1. Com efeito, os números da ANPD impressionam: nestes três anos de atuação: (i) o quadro de servidores aumentou cerca de 140% - de 50 para 121 pessoas; (ii) foram recebidos 2.589 requerimentos, entre denúncias (1.676) e petições de titulares (913); (iii) foram submetidos a debate social 13 temas de relevância, com milhares de contribuições via tomada de subsídios, consultas públicas e audiências públicas; e (iv) após cerca de sete meses da publicação da norma de dosimetria da pena, foram emitidas sanções em três processos administrativos, sete estão em andamento e outros 16 foram concluídos. Igualmente impressionante foi a atividade normativa e orientativa da ANPD, com a publicação de diversas resoluções2, guias3, documentos técnicos4  e enunciados, como o enunciado CD/ANPD 1/23, sobre as hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. Outro responsável pela popularização da LGPD foi o Poder Judiciário. O Supremo Tribunal Federal reconheceu, no âmbito das Ações Diretas de Inconstitucionalidade 6.387, 6.388, 6.389, 6.390 e 6.393, a proteção de dados pessoais como um direito fundamental autônomo. Ademais, os diversos órgãos do Judiciário têm interpretado e aplicado a LGPD, apreciando temas importantes relacionados à privacidade e à proteção de dados pessoais. Consoante pesquisa do Painel LGPD nos Tribunais5, foram identificadas, até setembro de 2022, 629 decisões de nível 3 (debate importante, mas não central sobre a LGPD) e nível 4 (em que a LGPD é a questão central), com destaque para o Tribunal de Justiça de São Paulo, que proferiu mais de 80 decisões de nível 4. De acordo com a professora Laura Schertel Mendes, coordenadora da pesquisa, "a proteção de dados no Brasil tem ganhado maior robustez por parte dos tribunais brasileiros. É nesses espaços que os conflitos da sociedade, as disputas entre as partes, e a administração da Justiça se interseccionam, e a cultura de proteção de dados passa a ganhar solidez e produzir efeitos. A construção de uma cultura de proteção de dados pessoais é fundamental em um ecossistema que leve a sério os desafios da efetividade da Lei Geral de Proteção de Dados"6. Por fim, percebe-se que as próprias empresas também tiveram um papel fundamental na difusão da LGPD. A percepção é de que os empresários passaram aos poucos a enxergar a adequação à lei não como um custo, mas como um investimento, identificando vantagem competitiva na proteção de dados pessoais, diante de uma preocupação crescente do consumidor/titular com a sua privacidade e a segurança da informação. Na opinião de Betania Gattai, gerente da Unilever, adequar-se à LGPD "representa um importante passo das organizações no compromisso com a integridade e maturidade das relações entre as marcas e consumidores, respeitando a privacidade dos clientes e valorizando o seu papel social junto ao mercado"7. Como se vê, nestes últimos cinco anos os avanços na esfera da privacidade e da proteção de dados pessoais foram enormes, mas ainda há muito a fazer, com grandes desafios pela frente. Em plena era digital, cujo desenvolvimento envolve conceitos como big data, internet das coisas e inteligência artificial, todos fortemente dependentes do tratamento de dados pessoais, o aprimoramento das regras que garantem a privacidade e a segurança da informação, a intensificação das atividades de educação, fiscalização e sancionamento, bem como a consolidação de uma jurisprudência em torno do tema, serão fundamentais. Será necessário, também, um maior amadurecimento da população enquanto titular de dados pessoais, com maior conscientização acerca da importância e do valor da privacidade, passando a exigir e cobrar dos agentes de tratamento um comportamento ético, transparente e responsável no processamento de dados pessoais. As empresas, por sua vez, deverão aperfeiçoar suas políticas de privacidade, investir cada vez mais em segurança da informação e capacitar continuamente seus colaboradores, de modo a assegurar um ambiente seguro e saudável para o tratamento dos dados pessoais de seus clientes. Enfim, espera-se que a partir da atuação conjunta e colaborativa do Estado - através dos seus três poderes -, da sociedade e das empresas, o país siga no processo de evolução da privacidade e da proteção de dados pessoais, a fim de que possamos, num futuro próximo, alcançar um grau de maturação semelhante ao verificado na Europa. _____________ 1 Mensagem introdutória do Balanço de três anos de Atuação da Autoridade Nacional de Proteção de Dados, disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/anpd_balanco_tres_anos.pdf 2 Como a CD/ANPD nº 1/21, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador; CD/ANPD nº 2/22, que aprovou o Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte; e CD/ANPD nº 4/23, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. 3 Guias de definição dos agentes de tratamento de dados pessoais e encarregado; como proteger seus dados pessoais; segurança da informação para agentes de tratamento de pequeno porte; aplicação da LGPD por agentes de tratamento no contexto eleitoral; tratamento de dados pessoais pelo Poder Público; cookies e proteção de dados pessoais. 4 Nota Técnica nº 6/23, sobre o tratamento de dados pessoais no setor farmacêutico; Notas Técnicas nºs 19/21 e 49/22, sobre a atualização da política de privacidade do WhatsApp; Nota Técnica nº 68/22, sobre o tratamento de dados pessoais pela Receita Federal; Nota Técnica nº 6/23, sobre o tratamento de dados de crianças e adolescentes pela rede social Tik-Tok, entre outras. 5 Projeto desenvolvido em parceria pelo Centro de Direito, Internet e Sociedade (CEDIS) do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) e o Jusbrasil, com análise das principais decisões judiciais em matéria de privacidade e proteção de dados pessoais. 6 Disponível em: https://painel.jusbrasil.com.br/ 7 https://blog.publicidade.uol.com.br/brainstorm/lgpd-entra-em-vigor-adequacao-as-regras-e-vantagem-competitiva-para-marcas/
No início deste ano, havia a expectativa de que o projeto de lei que visa combater fake news e regulamenta a responsabilidade dos provedores de aplicações (PL 2.630/2020) seria aprovado na Câmara dos Deputados. Porém, por conta de algumas discussões pontuais - como a que trata do direito de remuneração pelo conteúdo jornalístico e a definição sobre qual seria o órgão responsável pela aplicação de sanções - e por uma interminável discussão esquerda x direita sobre se o projeto configuraria ou não censura, o projeto foi retirado de pauta, o debate arrefeceu e não há previsão de que seja votado no curto e médio prazo. Na Europa, contudo, o tema avançou bastante. Em abril, ficou decidido que as grandes plataformas teriam que criar e/ou reforçar seus mecanismos de moderação de conteúdo, regra que entrou em vigor no final de agosto. Além das principais redes sociais, a regulamentação inclui sites de busca (Google e Bing) e gigantes do comércio digital, como Amazon, Alibaba, Apple Appstore e Booking. Alguns dos problemas combatidos são os mesmos existentes aqui, como a falta de explicação clara sobre as recomendações de conteúdo feitas pelas plataformas e a impossibilidade ou grande dificuldade de o usuário definir se concorda ou não com a distribuição de conteúdo de acordo com seu perfil. Trata-se do Digital Services Act (DSA), que entrou em vigor dia 25 de agosto passado1, com alcance nos 27 países da União Europeia. Esta norma, somada ao Digital Markets Act (DMA)2, tem a complexa e importante tarefa de deixar a internet mais segura, tornando cada vez mais difícil a propagação de conteúdo ilícito: fake news, discursos de ódio, promoção do terrorismo e ataques à democracia. Como a norma engloba também plataformas de comércio, alcança ainda o combate à pirataria e um controle mais rigoroso do uso de dados para envio de propaganda direcionada aos usuários3. Lá como cá, as autoridades tentam equilibrar as regras entre o combate à ilicitude e o respeito à liberdade de expressão e à livre iniciativa, permitindo que os usuários atingidos com alguma medida restritiva possam contestar a decisão da plataforma, lembrando-se que na União Europeia não há necessidade de ordem judicial específica para remoção de conteúdo ilícito, tal como ocorre no Brasil, por força do artigo 19 do Marco Civil da Internet. Ao contrário, na Europa vigora o conhecido sistema notice and take down, ou seja, a responsabilidade da empresa nasce caso não tome as providências necessárias que estejam a seu alcance para bloquear a ilicitude após notificação direta do interessado, que deve se dar preferencialmente por canais eletrônicos e de fácil acesso da própria plataforma. A norma prevê ainda que os usuários, caso estejam insatisfeitos com as providências tomadas pela plataforma, possam optar por "qualquer organismo de resolução extrajudicial de litígios" certificado pelas autoridades dos países-membros para resolver os conflitos relativos às decisões internas e que sejam imparciais, independentes e possuam conhecimento técnico especializado. A regulação europeia avança sobre um ponto sensível, imputando maior responsabilidade aos grandes players do comércio eletrônico, que deverão manter controle e armazenar boa gama de informações sobre vendedores4 e produtos, além de estarem aptos a fazer o rastreamento do material ilícito que for colocado à venda em suas páginas. No Brasil, certas plataformas de vendas (marketplaces) tentam - com relativo sucesso - aplicar a anúncios e ao comércio de mercadorias e serviços as mesmas regras de necessidade de ordem judicial para sua remoção, equiparando a venda de uma mercadoria falsa a uma crítica política, protegida pela liberdade de expressão. Outras medidas salutares são a obrigação de as empresas passarem por auditorias independentes e o compartilhamento dos relatórios anuais de transparência com as autoridades para avaliação sobre o cumprimento das diretrizes determinadas. Assim como o Marco Civil brasileiro serviu de inspiração para outros países e o Regulamento Geral de Proteção de Dados (GDPR) europeu foi uma das principais fontes de nossa Lei Geral de Proteção de Dados Pessoais (LGPD), as regras que recém entraram em vigor na União Europeia devem influenciar normas semelhantes em outros países, inclusive no Brasil. Afinal, muitas - se não todas - as plataformas digitais abrangidas pelo DSA também são acessadas globalmente e não há motivos para agirem com transparência e respeito aos dados na Europa e não atuarem de igual modo em outros países. Embora falar em regulamentação não seja algo que agrade os grandes provedores, existe o contraponto de que se outros países seguirem regras semelhantes, aquelas plataformas não terão dificuldade em se adequar a um regulamento único (ou muito parecido) e implementá-lo mundo afora, servindo inclusive como vantagem competitiva diante de um público que se mostra cada vez mais atento e preocupado com a preservação de seus dados pessoais. Para assegurar que as grandes empresas sigam as novas regras, as multas europeias podem chegar a 6% do faturamento global da empresa. A Europa tem tradição em impor derrotas a grandes companhias estadunidenses da área de tecnologia. Desde a condenação da Microsoft por práticas anticoncorrenciais (inclusão de seu player de música como parte integrante do sistema operacional Windows) em 20045; passando pelo célebre caso do direito ao esquecimento de 2014 envolvendo Google, o cidadão espanhol Mario Costeja González e a agência espanhola de proteção de dados; até a recente condenação (final de 2022) da Microsoft, na França, a uma multa de 60 milhões de euros pelo mau uso de cookies6. Nesta mesma linha, a presidente da Comissão Europeia Ursula von der Leyen publicou em sua conta na rede social X que "estamos trazendo nossos valores europeus ao mundo digital". Num mundo digital globalizado, em que poucas empresas são amplamente dominantes em seus setores de atuação, mostra-se conveniente uma regulação internacional das big techs. Mas se leis nesse sentido já suscitam enormes discussões internas, o que dirá em fóruns globais. __________ 1 Nesta data, começou a valer para 19 empresas de tecnologia que possuem mais de 45 milhões de usuários ativos nos países da União Europeia. A partir de fevereiro de 2024, passará a reger as demais empresas. 2 Versão portuguesa oficial do DSA. 3 Para saber mais sobre o Digital Services Act, indicamos a leitura de artigo de Karina Nunes Fritz publicado aqui no Migalhas e de reportagem do site Poder360. 4 A norma fala em obtenção, pelas plataformas, de nome, endereço postal, telefone, e-mail, cópia do documento de identificação do comerciante, seus dados bancários e número do registro comercial, se houver. 5 Confira-se reportagem da revista Exame sobre este caso. 6 Segundo reportagem do jornal português Diário de Notícias, os cookies eram utilizados sem o consentimento do usuário, que não tinha a opção de rejeitá-los ao navegar no site de buscas Bing.
No mês passado, foi publicada a lei 14.620/2023, entre outras coisas, acrescentando o § 4º ao art. 784 do Código de Processo Civil (CPC), o qual dispõe que "nos títulos executivos constituídos ou atestados por meio eletrônico, é admitida qualquer modalidade de assinatura eletrônica prevista em lei, dispensada a assinatura de testemunhas quando sua integridade for conferida por provedor de assinatura". A alteração legislativa evidencia a iniciativa do legislador de se alinhar à jurisprudência do Superior Tribunal de Justiça (STJ), que, no julgamento do REsp 1.495.920/DF, de relatoria do saudoso ministro Paulo de Tarso Sanseverino, considerou ser título executivo extrajudicial o contrato eletrônico de mútuo sem a assinatura por duas testemunhas, mas celebrado com a utilização de certificados emitidos pela Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil. Porém, a questão relacionada à necessidade de testemunhas é apenas uma entre tantas dúvidas derivadas da assinatura eletrônica de documentos. Embora possua tratamento legal há mais de 20 anos - de início regulamentada pela MP 2.200-2/2000, que instituiu a ICP-Brasil e definiu regras para a validade de documentos eletrônicos públicos e particulares, posteriormente complementada pela lei 14.063/2020, que dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos - a validade da assinatura digital ainda gera controvérsias, tanto na esfera jurídica, quanto no campo prático. Isso porque, o art. 4º da lei 14.063 criou três modalidades de assinatura eletrônica, com diferentes níveis de confiança sobre a identidade e a manifestação de vontade de seu titular e, por conseguinte, com a produção de diferentes efeitos jurídicos: simples: permite identificar o seu signatário e anexa ou associa dados a outros dados em formato eletrônico do signatário; avançada: utiliza certificados não emitidos pela ICP-Brasil ou outro meio de comprovação da autoria e da integridade de documentos em forma eletrônica, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento; e qualificada: utiliza certificados produzidos com a utilização do processo disponibilizado pela ICP-Brasil. A assinatura eletrônica qualificada é a que possui nível mais elevado de confiabilidade. De acordo com o art. 10, § 1º, da MP 2.200-2, assinaturas que utilizem certificados emitidos pela ICP-Brasil presumem-se verdadeiras em relação aos signatários, na forma do art. 219 do Código Civil, segundo o qual "as declarações constantes de documentos assinados presumem-se verdadeiras em relação aos signatários". Nesse caso, não há dúvida sobre a exequibilidade do documento, aceito, de uma forma geral, tanto para fins de execução quanto para registro ou protesto. No outro extremo, temos a assinatura simples, de baixa confiabilidade, por ser mera representação gráfica ou cópia digitalizada da firma original. Há, inclusive, precedentes do STJ que não reconhecem a validade ou limitam os efeitos jurídicos de assinaturas simples (AgInt nos EAREsp 1.555.548/RJ, Rel. Min. Herman Benjamin, Corte Especial, j. 02/08/2021 e AgInt no AREsp 1.606.689/PA, Rel. Min. Maria Isabel Gallotti, 4ª Turma, j. 15/03/2021). As maiores controvérsias, contudo, surgem na utilização da assinatura avançada, que, nos termos do art. 10, § 2º, da MP 2.200-2, se dá mediante a utilização de outro meio de comprovação da autoria e integridade que não com base em certificados emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. A utilização da assinatura avançada cresce substancialmente, disseminada por provedores de assinatura - plataformas de gerenciamento e assinatura de documentos virtuais, tais como DocuSign, ClickSign, D4Sign e AdobeSign -, mas nem sempre as partes adotam os cuidados necessários para que seja preservada a sua validade e/ou a exequibilidade do título. Além da não inclusão expressa nos documentos da ressalva do § 2º do art. 10 da MP 2.200-2, no sentido que as partes aceitam a assinatura eletrônica sem o uso de certificado emitido pela ICP-Brasil, é comum a formação de contratos "híbridos", ou seja, firmados com diferentes modalidades de assinatura, por vezes até mesmo em parte físicas, com a utilização de diferentes plataformas ou sem preservar a cadeia de custódia. Nesses casos, há jurisprudência, por exemplo do Tribunal de Justiça do Estado de São Paulo, reconhecendo a inexequibilidade do documento e determinando a conversão da ação executiva em cobrança, por ausência de título regular (AI 2289091-25.2019.8.26.0000, Rel. Des. Marino Neto, 11ª Câmara de Direito Privado, j. 11/4/2020; AI 2289089-55.2019.8.26.0000, Rel. Des. Achile Alesina, 14ª Câmara de Direito Privado, j. em 23/1/2020). Não bastasse, existem situações em que, mesmo observados todos os requisitos, determinados órgãos ainda demonstram resistência em conferir exequibilidade a documentos celebrados com assinaturas avançadas. É o caso, por exemplo, dos cartórios de protesto, que, de uma maneira geral, aceitam apenas títulos eletrônicos firmados com assinaturas qualificadas. Aliás, nem mesmo a questão atinente à necessidade de assinatura por duas testemunhas se mostra totalmente superada, pois, devido à redação genérica dada ao recém criado § 4º ao art. 784 do CPC, fica a dúvida se a dispensa vale apenas para documentos com assinaturas qualificadas, ou se abrange também os títulos com assinaturas avançadas. Dessa forma, embora se verifique a tendência de aceitação cada vez maior de documentos virtuais, com a mitigação das exigências de validade e exequibilidade atreladas à utilização de assinaturas eletrônicas, até que as práticas estejam mais consolidadas, especialmente no âmbito das repartições públicas, recomenda-se o máximo de cuidado na celebração de instrumentos dessa natureza, sobretudo visando a preservação da sua condição de título executivo extrajudicial. Por enquanto, na dúvida, o ideal é seguir com a utilização de assinaturas qualificadas ou, na impossibilidade, com as tradicionais assinaturas físicas, especialmente nas hipóteses em que se queira garantir a condição de título executivo.
Esta semana, o Projeto de Lei 2.630/2020 (que institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet) teve aprovado requerimento de urgência e, sem precisar passar por comissões temáticas na Câmara dos Deputados, seu mérito deve ser colocado em votação já na próxima semana. Se aprovado, teremos uma guinada de rumo na responsabilidade civil dos provedores de internet, mudando completamente o regime jurídico vigente. Para explicar como se chegou a isso, é preciso traçar uma linha do tempo e compreender que dois fatores contribuem fortemente para a possível aprovação do projeto: os abusos de todas as ordens cometidos pelos usuários e a postura arrogante de algumas empresas para com as autoridades brasileiras. No início das discussões judiciais sobre a responsabilidade de provedores - especialmente no que diz respeito a conteúdo produzido/publicado por terceiros, os usuários - o entendimento oscilava entre a responsabilidade objetiva (afinal, os provedores permitiram a conduta ilícita e deveriam responder por ela) e a subjetiva, em que o provedor atraía a responsabilidade caso não tomasse as medidas necessárias para bloquear a atividade ilícita após comunicação do usuário. Nessa época, o Superior Tribunal de Justiça (STJ) chegou a firmar jurisprudência no sentido de que o prazo razoável para a tomada de providências era de 24 horas. Dois problemas surgiam dessa interpretação: i) como comprovar a comunicação do usuário? Bastaria um e-mail, o preenchimento de um formulário online ou o envio de uma correspondência à sede da empresa? ii) tal prazo poderia ser considerado curto para a análise da postagem e a definição se haveria ou não ilícito, ao mesmo tempo que poderia ser muito longo para, por exemplo, a remoção de imagens de nudez. Em 2014, entrou em vigor a lei 12.965/2014, conhecida como Marco Civil da Internet e internacionalmente festejada como uma das legislações mais avançadas sobre tema. Um de seus destaques é o artigo 19, que estabelece que os provedores de aplicações somente serão responsabilizados se não tomarem as medidas adequadas para supressão do conteúdo ilícito após ordem judicial específica e que indique exatamente o material ofensivo1. Para a internet da época, compreendeu-se que a melhor maneira de fazer essa indicação era a decisão judicial apontar qual o endereço completo da página onde estaria o conteúdo, ou, em termos técnicos, o URL2. No entanto, nesses últimos nove anos muita coisa mudou. De um lado, os principais problemas hoje encontrados na internet não estão mais em sites, blogs, plataformas de vídeos ou redes sociais que podemos definir como "estáticas", em que o conteúdo publicado permanecia no ar e era facilmente identificado pelo URL. Nos últimos anos, as redes sociais tornaram-se "dinâmicas", ou seja, as postagens são feitas e têm durações muito pequenas, como nos stories do Instagram ou nos vídeos de poucos segundos do Tik Tok. Além disso, sua identificação exata não é mais satisfatoriamente feita por meio do endereço web como antigamente. De igual modo, a disseminação mundial dos aplicativos de mensagens instantâneas3 fez com que se tornasse muito difícil a localização da origem do conteúdo ilícito, bem como seu bloqueio. Como consequência, aguardar que o ofendido tome ciência da postagem ilícita, contrate advogado, ingresse com pedido de tutela de urgência no Judiciário, obtenha uma ordem de remoção e consiga intimar o provedor para que este cumpra a decisão, não mais funciona para combater as práticas ilícitas, uma vez que o conteúdo ou já foi excluído por atingir o período programado de duração ou já se tornou de tal forma viralizado que sua remoção não mais terá efeitos práticos para a honra e imagem do ofendido. Junto a este contexto, os abusos cometidos pelos usuários tornaram-se cada vez maiores. Surgiu e rapidamente se desenvolveu uma verdadeira indústria de fake news, na qual os responsáveis contam com as facilidades da rápida disseminação do conteúdo, suposta proteção em nome da liberdade de expressão e da vedação da censura e, o principal, a monetarização do conteúdo falso, na medida em que as plataformas por vezes preocupam-se apenas com o número de cliques e visualizações e não com o conteúdo em si, gerando um círculo vicioso em que o material ilícito é recomendado para outros usuários, indistintamente e cada vez mais, conforme o aumento de seu alcance. No âmbito da política, depois de algum tempo sem saber o que fazer, a Justiça Eleitoral acertou seu compasso a partir de 2022, com medidas enérgicas - muitas delas objeto de duras críticas - para fazer cumprir a legislação brasileira, especialmente no que diz respeito ao conteúdo que claramente ultrapassa os limites da liberdade de expressão. Mas o problema cresceu a níveis alarmantes em dois episódios recentes: os ataques antidemocráticos aos Três Poderes em 8 de janeiro e os recentes atentados a escolas brasileiras4, ambos divulgados e incentivados pelas redes sociais. Em paralelo ao aumento da ocorrência de ilícitos digitais, algumas empresas estrangeiras - a minoria, ressalte-se - assumiram uma postura intransigente perante as autoridades brasileiras que culminaram num paulatino recrudescimento das medidas adotadas. Dois exemplos são sintomáticos desta postura: i) os responsáveis por um aplicativo de mensagens que não possuíam representante no país e se recusavam a responder as intimações judiciais brasileiras, o que levou o ministro Alexandre de Moraes (STF e TSE) a determinar o bloqueio do aplicativo em todo território nacional5; e ii) a rede social que, chamada para uma reunião de emergência no Ministério da Justiça após os ataques a colégios, recusou-se a deletar perfis que enalteciam pessoas que cometeram atentados ou que estimulavam a prática de novos homicídios. Com isso, criou-se um cenário favorável à aprovação do projeto na Câmara dos Deputados, hoje sob a relatoria do deputado Orlando Silva6 (PCdoB/SP). Ainda que, no mérito, muitos de seus pontos certamente mereçam uma maior reflexão e a ampliação do debate - afinal, o projeto de lei altera parte sensível da regulação da internet no país - a conjuntura poderá fazer com que tais pontos fiquem em segundo plano. Afinal, conforme ouvido recentemente de um juiz paulista: "a situação chegou a tal ponto que não dá para ficar como está. É melhor regular de alguma forma, ainda que não a melhor e, se necessário, o Judiciário afasta os excessos depois". __________ 1 A exceção era o conteúdo conhecido como pornografia de vingança (cenas de nudez ou de atos sexuais de caráter privado), que não exige ordem judicial, de acordo com o artigo 21 da lei. 2 O termo URL é a abreviação de Uniform Resource Locator, ou Localizador Uniforme de Recursos. Significa endereço web, ou seja, o texto que você digita na barra de do navegador para acessar uma determinada página ou serviço (fonte: Tecnoblog). 3 Segundo reportagem da revista Veja de agosto de 2022, o WhatsApp está presente em 99% dos celulares em funcionamento no Brasil, o Instagram em 86%, o Messenger em 70% e o Telegram em 65%. 4 "Brasil teve 5 ataques com mortes em escolas em 2022 e 2023", reportagem do site Poder360. 5 Bloqueio que acabou não ocorrendo, pois às vésperas de sua efetivação, a empresa acabou nomeando representante no país e se comprometeu a atender as ordens judiciais. 6 Disponível aqui.
Após longos e salutares debates - inclusive por intermédio de audiência pública e mais de 2.500 sugestões de diversos setores - a Autoridade Nacional de Proteção de Dados (ANPD) aprovou no final de fevereiro, por unanimidade de votos de seu conselho-diretor, a resolução CD/ANPD nº 4/2023, que regulamenta a dosimetria e aplicação das sanções administrativas previstas no artigo 52 da lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). Em suma, a nova norma tem dois objetivos primordiais: (i) regulamentar os artigos 52 e 53 da LGPD, definindo os critérios e parâmetros para aplicação das sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas; e (ii) alterar os artigos 32, 55 e 62 da resolução CD/ANPD nº 1/2021, visando aprimorar o processo administrativo sancionador e fiscalizador da autoridade. Com isso, a ANPD dá o passo derradeiro para o pleno exercício da sua atividade repressiva, possibilitando a efetiva responsabilização de agentes por infrações às regras e princípios da LGPD. A partir das regras de dosimetria, a autoridade terá elementos concretos para determinar a sanção mais apropriada aplicável a cada caso específico, além de permitir o cálculo, quando cabível, do valor da multa incidente. Em outras palavras, a chamada "norma de dosimetria" define as circunstâncias, condições e metodologia de aplicação das sanções, garantindo a proporcionalidade entre a penalidade e a gravidade da conduta do agente, bem como maior transparência e segurança jurídica aos processos fiscalizatórios, facilitando o exercício do devido processo legal e do contraditório. Por outro lado, a resolução confere aos agentes elementos valiosos para avaliação e eventual revisão dos riscos assumidos com o tratamento de dados pessoais, auxiliando na tomada de decisões do negócio. O regulamento entrou em vigor em 28/2/2023, data da sua publicação, permitindo, desde então, a aplicação de todas as sanções previstas na LGPD: (i) advertência; (ii) multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões por infração; (iii) multa diária, com limite total de R$ 50 mil; (iv) publicização da infração; (v) bloqueio dos dados pessoais; (vi) eliminação dos dados pessoais; (vii) suspensão parcial do funcionamento do banco de dados, por no máximo seis meses, prorrogável por igual período; (viii) suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo seis meses, prorrogável por igual período; e (ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Na hipótese de haver pluralidade de agentes, estas sanções serão aplicadas individualmente, sendo certo, ainda, que as penalidades mais severas: a suspensão do funcionamento do banco de dados ou do exercício de atividades de tratamento e a proibição parcial ou total do exercício de atividades de tratamento, só serão aplicadas após alguma das outras sanções previstas na lei já ter sido imposta para o mesmo caso. Nos termos do artigo 8º do regulamento, as infrações serão ordenadas conforme os direitos pessoais afetados, além da gravidade e natureza do ato. A infração será leve quando, por exclusão, não for média ou grave. São médias as infrações que impactarem significativamente interesses e direitos fundamentais dos titulares, bem como ocasionarem danos materiais ou morais, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. Outrossim, serão graves as infrações que constituírem obstrução à atividade de fiscalização ou quando, além de materializarem alguma das hipóteses de infração média, cumulativamente: (i) envolverem o tratamento de dados em larga escala; (ii) caracterizem a intenção do infrator de auferir vantagem econômica; (iii) induzirem risco à vida dos titulares; (iv) envolverem o tratamento de dados sensíveis ou de vulneráveis; (v) implicarem o tratamento de dados sem base legal; (vi) envolverem o tratamento de dados com fins discriminatórios; ou (vii) caracterizarem a adoção sistemática de práticas irregulares. Dentre os parâmetros a serem considerados para a definição da sanção, merecem destaque: a boa-fé do infrator e sua condição econômica, a vantagem auferida ou pretendida, a reincidência específica ou genérica, o grau do dano, a cooperação do infrator, a adoção de políticas de boas práticas e governança, a pronta adoção de medidas corretivas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção. O regulamento traz também, em seus artigos 12 a 15, disposições sobre circunstâncias agravantes e atenuantes para a dosimetria do valor de multas, ressalvando que sua incidência, em qualquer caso, será limitada a 2% do faturamento da pessoa jurídica, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, com o teto de R$ 50 milhões. Dois pontos polêmicos do regulamento merecem destaque. O primeiro diz respeito à regra do artigo 27 - baseada no artigo 52, § 1º, XI, da LGPD -, que autoriza a ANPD a afastar a metodologia de dosimetria ou substituir a aplicação de sanção por outra, se entender pela desproporcionalidade entre a gravidade da infração e a intensidade da sanção. Não obstante o parágrafo único do referido artigo 27 ressalve que a decisão da ANPD não poderá ser baseada em valores jurídicos abstratos e deverá ser motivada e fundamentada de maneira a demonstrar a adequação da medida, o interesse público e os novos parâmetros adotados, não há como ignorar que essa exceção e o poder discricionário conferido à ANPD trazem insegurança jurídica na aplicação das sanções, mitigando a certeza, a transparência e a previsibilidade que próprio regulamento busca conferir. O segundo ponto polêmico refere-se à previsão do artigo 28, que autoriza a aplicação do regulamento a processos administrativos instaurados antes da publicação da resolução, contrariando o comando do art. 53, § 1º, da LGPD, o qual estabelece que as metodologias que orientarão o cálculo do valor-base das sanções pecuniárias deverão ser previamente publicadas, para ciência dos agentes de tratamento. Por fim, deve-se frisar que a aplicação de sanções pela ANPD não exclui a reparação, pelo agente, dos danos materiais e/ou morais causados aos titulares ou à coletividade, tampouco a imposição de penalidades administrativas previstas em outras normas. A aprovação do regulamento deve intensificar a atividade fiscalizatória e repressiva da ANPD, reforçando a necessidade de as empresas desenvolverem, manterem e constantemente atualizarem suas políticas de governança em privacidade e proteção de dados, com vistas a prevenir incidentes de segurança e violações à LGPD.
Após um hiato imprescindível para retomarmos o fôlego para 2023, a coluna Impressões Digitais reinicia com dois assuntos de grande repercussão e que certamente estarão na pauta da mídia nos próximos meses: (i) as discussões em torno do controle de conteúdo na internet, com a imposição ou não de limites prévios de um lado e o combate a posteriori dos abusos de outro; e (ii) os benefícios e riscos no uso da inteligência artificial, em especial após o sucesso da ferramenta ChatGPT. O debate sobre a possibilidade - ou, visto por outro ângulo, a necessidade - de controle do conteúdo publicado na internet, com destaque para as redes sociais, esteve presente durante todo ano de 2022, ganhando ainda maior relevância no período eleitoral. As discussões variaram entre os extremos dos que querem o controle prévio, algo que pode tangenciar verdadeira censura, aos que defendem a liberdade irrestrita de publicações, ainda que ofensivas, fake news ou até as atentatórias à democracia. Entre as duas fronteiras, abre-se verdadeiro leque de opções, desde a responsabilização civil e criminal posterior dos responsáveis pelo conteúdo ilícito, até o bloqueio temporário (suspensão) ou a exclusão dos perfis/usuários que praticaram as ilicitudes. A ordem de suspensão ou exclusão de perfis de redes sociais costumava ser uma das últimas medidas passíveis de serem adotadas pela Justiça. Isso porque em geral os usuários não se limitam a um único assunto em seus perfis, de modo que nem todo conteúdo publicado pode ser enquadrado como ilícito e, portanto, não deve ser removido. Porém, tal determinação passou a se tornar mais corriqueira em decisões do ministro Alexandre de Moraes, do Supremo Tribunal Federal e do Tribunal Superior Eleitoral1. O debate sobre o controle de conteúdo nas redes sociais teve um componente extra após os atos terroristas de 8 de janeiro em Brasília. Uma das medidas propostas pelo ministro da Justiça Flávio Dino nos dias seguintes à tentativa frustrada de golpe foi a edição de uma medida provisória para obrigar a remoção de postagens classificadas como crimes contra o Estado Democrático de Direito em até duas horas, sob pena de multa e responsabilização da plataforma2. Embora o ministro tenha procurado restringir a incidência às práticas já tipificada em lei como tais e não a meras opiniões exacerbadas ou "postagens antidemocráticas de modo geral", a iniciativa foi considerada polêmica - inclusive pelos que defendem a existência de mecanismo de controle - pela forma sugerida, uma vez que a conversão de medidas provisórias em lei tem um rito muito mais célere que um projeto de lei, restringindo as discussões legislativas sobre assunto tão sensível3, ao contrário do que ocorreu na aprovação tanto do Marco Civil da Internet (MCI), quanto da Lei Geral de Proteção de Dados Pessoais (LGPD), ambas sancionadas após amplo debate. Ainda na esteira dos atos de vandalismo na capital federal, a Advocacia-Geral da União (AGU) teve forte atuação, ao requerer judicialmente que as empresas responsáveis pelas principais redes sociais identificassem as postagens incentivadoras da depredação ocorrida, as removessem e - muito importante - vetassem a monetização daquelas postagens, impedindo seus autores de, além de incentivar os atos, faturar com sua divulgação4. O modo de identificar e classificar o conteúdo infringente segue sendo um problema de difícil solução. Como já tivemos a oportunidade de questionar ao abordarmos o combate às fake news, quem ficará responsável por decidir o que é ou não desinformação, mentira, fraude ou "incentivo" à invasão e depredação de prédios públicos?5 Deixar a cargo da autorregulação por parte dos provedores de aplicações não parece estar funcionando6, ao passo que a exigência da identificação precisa e inequívoca do conteúdo, tal qual previsto no artigo 19 do Marco Civil da Internet, já se mostra ultrapassada frente ao avanço da tecnologia. Atualmente, a circulação viralizada de conteúdo ofensivo via WhatsApp, Tik Tok e Telegram, é muito mais nociva que mera publicação ofensiva em um site ou blog, como ocorria em 2014, quando da promulgação do MCI. O outro assunto que deve dominar a pauta do direito digital é a rápida popularização do ChatGPT7 e de seus concorrentes - atuais e futuros - no campo da inteligência artificial. Tudo leva a crer que tais ferramentas tenham rápida aceitação e, no médio ou longo prazo, venham até mesmo a substituir os provedores de busca como fonte primária de informações. Com isso, as discussões sobre as consequências de possível mau uso de aparelhos ou aplicativos que funcionam graças à inteligência artificial e a responsabilização civil por parte de quem criou, desenvolveu, comercializou ou utilizou tais equipamentos ou programas ganha novo patamar. Aqui, não se está mais falando em eventual atropelamento causado por um carro que trafega sem a necessidade de motorista, mas do cometimento de fraudes ou dissimulações em provas, concursos, na advocacia ou - por que não? - no Judiciário? Se a inteligência artificial é capaz de redigir uma petição inicial e passar na primeira fase do exame da OAB8, o que a impediria de elaborar sentenças e outras decisões, em especial em casos do chamado contencioso de massa? Absolutamente nada. O risco e a questão ética, em todos esses exemplos, residem em saber se a inteligência artificial apenas auxiliou o profissional em sua atividade - o que pode ser positivo - ou o substituiu, o que não pode ser aceito em nenhuma das profissões da área jurídica. Paralelamente às questões éticas envolvendo a inteligência artificial, a discussão sobre o uso responsável dessas ferramentas deve chegar ao Judiciário e certamente levará a inúmeros debates, inclusive relativos à produção de provas, valorizando ainda mais a perícia em direito digital. Esses temas serão acompanhados pela coluna, bem como as principais discussões sobre proteção de dados, tais como a recente publicação da dosimetria das sanções administrativas pela Autoridade Nacional de Proteção de Dados, tema de nossa próxima coluna. Homenagem - Ettore Zamidi Faleceu esta semana o amigo Ettore Zamidi. Advogado com sólida atuação no Contencioso Digital, contribuiu na formação de importantes teses jurídicas, como a que definiu a necessidade de guarda da 'porta lógica de origem' pelos provedores de aplicações9, em que atuou do primeiro grau até a decisão do STJ. Gentil e leal, Ettore deixa grandes amigos em todos os locais por onde passou. ____________ 1 Vide reportagem do site Poder360 de 03/01/2023 com ordem de bloqueio de contas e do site G1 de 06/02 com determinação de desbloqueio por entender que, no caso, a usuária havia cessado a prática de disseminação de conteúdo ilícito. 2 Sobre o tema, vide reportagem do Correio Braziliense de 26/01/2023. 3 Nas palavras da Coalização Direitos na Rede, "soluções apressadas e inadequadas, mesmo que a partir de boas intenções, podem ter efeitos problemáticos sobre a internet brasileira". Confira a carta aberta da organização. 4 Uma boa análise sobre as medidas requeridas pela AGU foi feita por Carlos Affonso de Souza, em sua página no UOL. 5 Vide nossa coluna de junho de 2020, "PL 2.630: as falhas do projeto de lei que visa combater as fake news". 6 Reportagem da Folha de S.Paulo de 15/02/2023 informou que apenas o Tik Tok respondeu a questionamento judicial sobre remoção de vídeos ligados ao 8 de janeiro. As demais empresas teriam apresentado dados genéricos ou sequer respondido, o que, no entender de Elio Gaspari em sua coluna de 18/02 no jornal, configuraria uma "atitude suicida", que "poderá alimentar avanços contra a liberdade de expressão'. 7 O ChatGPT é um algoritmo baseado em inteligência artificial que funciona como um modelo avançado de geração de texto. A partir de uma rede neural, essa ferramenta presta atenção nas palavras-chave, no contexto e nos diferentes significados que as palavras podem ter, oferecendo aos usuários uma forma simples de conversar e obter respostas. 8 O Estadão de 21/02 informou que o ChatGPT teria sido aprovado na primeira fase da OAB (confira reportagem de Migalhas sobre o tema).. 9 Sobre o tema, confira a coluna "Provedores precisam guardar dados suficientes para identificar usuários de seus serviços".
No último dia 18 de outubro, a Autoridade Nacional de Proteção de Dados ("ANPD") lançou o guia "Cookies e Proteção de Dados" ("Guia")1, visando, nas palavras da própria autoridade, "orientar os agentes de tratamento sobre as boas práticas na área, além de traçar um panorama geral sobre o assunto, abordando desde questões mais conceituais como a classificação desta tecnologia de acordo com diversos parâmetros, até pontos mais técnicos como as boas práticas a serem observadas na sua utilização em sites eletrônicos". Os Cookies, criados em 1994 pelo engenheiro de software Lou Montulli, são pequenos arquivos de computador ou pacote de dados enviados para o navegador do usuário quando este visita os sites, permitindo a coleta e o armazenamento de determinadas informações desse usuário, inclusive dados pessoais, de modo a tornar a experiência de navegação melhor e mais segura. As possibilidades de utilização dos cookies são infinitas, permitindo, por exemplo, que os sites identifiquem os usuários, lembrando e validando seus dados de acesso, ou rastreiem itens visualizados pelos usuários para sugerir outros produtos que possam ser de seu interesse. Existem diversas categorias para definição dos cookies. Dentre elas, vale destacar a classificação que toma por base o tempo de retenção das informações coletadas, dividindo os cookies em duas classes: (i) de sessão ou transitórios, utilizados apenas durante a navegação em um site, ficando armazenados na memória RAM (temporária e de acesso rápido) do dispositivo, sendo excluídos automaticamente ao final da sessão; e (ii) os persistentes, que se alojam por certo prazo ou até indefinidamente nos dispositivos, sendo recuperados a cada nova visita ao site. Deve-se ressaltar, ainda, que, como os dados armazenados nos cookies não mudam, os cookies por si só não são prejudiciais. Ainda assim, embora os cookies não tenham a capacidade de infectar computadores com vírus ou outros malwares, determinados ataques cibernéticos podem sequestrar cookies e, com isso, informações acerca do histórico de navegação do usuário. Dada a relevância e a disseminação dos cookies, em linha com o compromisso assumido pela ANPD desde que o órgão foi criado, o Guia, de 40 páginas, tem finalidade precipuamente educativa, trazendo o conceito de cookies, os princípios da Lei Geral de Proteção de Dados Pessoais ("LGPD") aplicáveis a tais arquivos, os direitos e deveres dos agentes envolvidos no tratamento de cookies e recomendações para garantir o cumprimento da Lei, tais como políticas e banners. De acordo com a Diretora da ANPD, Miriam Wimmer, relatora do processo de elaboração do Guia no Conselho Diretor, o material "traz orientações importantes para a adequação de agentes de tratamento às disposições da LGPD. O objetivo é promover a cultura da proteção de dados pessoais no ambiente digital, incentivando a adoção de práticas transparentes, que garantam maior compreensão e controle dos titulares sobre o uso de seus dados pessoais"2. Diante da multiplicidade de finalidades dos cookies, uma das grandes preocupações da ANPD é a falta de informações claras aos usuários sobre os dados pessoais coletados e o potencial descumprimento de princípios basilares da LGPD, tais como os da finalidade, da necessidade e da transparência, previstos respectivamente no art. 6º, I, III e VI da lei. Nesse sentido, o Guia recomenda aos agentes de tratamento de dados a elaboração de uma Política de Cookies ou documento equivalente, apresentando informações sobre as finalidades específicas que justifiquem a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, dentre outras informações sobre o tratamento de dados listadas no art. 9º da LGPD. A ideia é propiciar a maior quantidade de informações possível aos usuários, fomentando o processo de aculturamento acerca da utilização dos cookies. Afinal, boa parte da segurança está na consciência do usuário. Os cookies certamente ajudam a navegação, proporcionando maior praticidade, mas todo cuidado é pouco, especialmente na utilização de computadores compartilhados. Deve-se sempre ter em mente que a próxima pessoa que vai utilizar o dispositivo poderá ter acesso às informações do usuário anterior através dos dados que ficaram armazenados, incluindo logins e senhas. O Guia permanecerá aberto a comentários e contribuições contínuas da sociedade, permitindo que o material se mantenha continuamente atualizado, à medida em que novas regulamentações e entendimentos sejam estabelecidos. __________ 1 Acesse o Guia aqui 2 Disponível aqui.
No último domingo, nós brasileiros votamos em primeiro turno para presidente da República e governador dos estados, bem como para os cargos do Legislativo nos âmbitos federal e estadual. Diferente dos anos mais recentes, chamaram atenção as reclamações generalizadas de longas filas em muitos colégios eleitorais espalhados por diversas cidades em todo território nacional. Embora o diagnóstico talvez não seja preciso para, de forma isolada, justificar a demora, autoridades da Justiça Eleitoral apontaram a questão da biometria como um dos motivos determinantes para as filas. Já faz alguns anos que os Tribunais Regionais Eleitorais (TRE's) começaram a convocar os eleitores para recadastramento, oportunidade em que foi realizada a coleta da biometria, na forma de impressões digitais e fotografias1. A cada ano, os eleitores de novos municípios foram chamados, aumentando progressivamente o percentual de eleitores com dados biométricos cadastrados, tendo havido um hiato importante neste processo em decorrência da adoção de medidas sanitárias de combate à Covid-19. Os leitores e leitoras devem se recordar que no pleito municipal de 2020 a biometria não foi utilizada. Um dado, porém, chamou a atenção na votação da última semana. Muitos eleitores que não haviam se recadastrado nos cartórios eleitorais, ao colocarem o polegar na máquina anexa à urna eletrônica, relataram ter sido automaticamente identificados pelo sistema. Não há mágica, trata-se do compartilhamento de dados de outros órgãos com a Justiça Eleitoral. Neste sentido, confira-se a explicação do diretor-geral do TRE do Estado de São Paulo2: Nesta eleição, mesmo que não tenha comparecido ao cartório eleitoral para coletar os seus dados biométricos, se o eleitor ou eleitora tiver registrado a sua impressão digital em algum órgão parceiro da Justiça Eleitoral ela pode ser utilizada para a sua identificação. Dados biométricos de 4,2 milhões de eleitores paulistas cadastrados no Denatran devem ser usados este ano. (grifamos) O uso compartilhado de dados pessoais vem previsto em diversas passagens da Lei Geral de Proteção de Dados Pessoais (LGPD - lei 13.709/2018). Já em seu artigo 5º, inciso XVI, a lei define o compartilhamento como a "comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados".  No caso dos eleitores que não fizeram recadastramento eleitoral e, ao votar, foram identificados pela biometria, ocorreu este "tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos" descrito na lei. Segundo explicado pelo diretor do TRE paulista, no estado de São Paulo o compartilhamento teve sua origem nos órgãos de trânsito, ou seja, ao tirar pela primeira vez ou renovar a habilitação, o condutor teve sua biometria coletada para expedição da carteira nacional de habilitação (CNH) e estes dados foram transferidos à Justiça Eleitoral. Além do Departamento Nacional de Trânsito (Denatran), a Polícia Federal também faz a coleta da biometria ao emitir passaportes e alguns órgãos de identificação estaduais idem, ao emitir a cédula de identidade (RG). Uma das principais perguntas aqui é: você sabia que seus dados biométricos seriam compartilhados para finalidades totalmente diferentes das que justificaram a coleta? Por mais que a finalidade remota seja a mesma - identificar uma pessoa de forma segura - seus propósitos imediatos são bem diversos. Quando um cidadão se dirige ao órgão de trânsito para renovar sua habilitação, sujeita-se à coleta de seus dados biométricos exclusivamente pela necessidade para fins de emissão da CNH, não para utilização por outros órgãos públicos. Muito provavelmente, ele sequer imagina que isso possa ocorrer, não sendo praxe ser receber tal informação. E, como já explicado, o uso compartilhado de dados pessoais pode ocorrer também entre entes privados. Para evitar abusos ou mal uso dos dados compartilhados, a LGPD traz diversas regras, tais como: necessidade de previsão em lei ou regulamento do uso compartilhado, pela Administração Pública, para execução de políticas públicas, quando a esta for a base legal utilizada (art. 7º, III); necessidade de novo consentimento específico do titular dos dados quando um controlador compartilhá-los com outro controlador (art. 7º, § 5º); direito do titular a receber informações sobre as entidades com as quais o controlador realizou o uso compartilhado (art. 18, VII); e - diretamente atrelado à situação comentada - necessidade de atingimento de "finalidades  específicas de execução de políticas públicas" quando se verificar o uso compartilhado de dados pessoais pelo Poder Público (art. 26, caput). O que se viu nas eleições serve de exemplo didático da importância de que cada pessoa tenha ciência e consciência do que é feito com seus dados pessoais. Desde o banal "me informa seu CPF para eu consultar se há desconto" até o também corriqueiro registro dos dados pessoais com fotografia do documento de identidade e da pessoa em portarias de edifícios comercias e residenciais. Uma fotografia isolada não permite o reconhecimento facial de uma pessoa, mas apenas a identificação de gênero e idade aproximada. Porém, se esta pessoa já tiver sido fotografada em outro local (por exemplo, na portaria do edifício onde está situado o consultório de seu médico) e os dados lá coletados forem compartilhados com terceiros, o reconhecimento facial - com todos seus problemas3 - passa a ser uma realidade, uma vez que a imagem está atrelada a um banco de dados que contém as informações sobre aquela pessoa. Para evitar problemas, faz-se necessária uma conjugação de esforços e atitudes: dos titulares, com a conscientização da importância da proteção de seus dados pessoais; de controladores e operadores, para que atuem segundo as regras previstas na LGPD, a começar pelo dever de informação aos titulares quanto ao uso compartilhado de dados; e da Autoridade Nacional de Proteção de Dados (ANPD), na fiscalização e punição de condutas e práticas irregulares, tema de nossa próxima coluna. __________ 1 Mesmo os eleitores que utilizam o título impresso, em que não consta fotografia, mas passaram pelo recadastramento, possuem suas fotografias coletadas. Para conferir, basta baixar o aplicativo e-Título. 2 Matéria publicada no site do TRE/SP em 02/10/2022 (acesso em 06/10/2022). 3 Vide as colunas "Desafios na utilização de sistemas de reconhecimento facial" e "Rápido avanço nas tecnologias de reconhecimento facial acende luz amarela na sociedade". *Atualização 7/10/2022 às 14h: A Folha de S.Paulo acaba de publicar reportagem sobre o tema desta coluna. 
A evolução das ferramentas de inteligência artificial e de deep learning permitiu o surgimento e a rápida difusão no uso dos sistemas de reconhecimento facial, tecnologia de identificação de pessoas mediante a análise profunda dos formatos geométricos e logarítmicos da sua imagem, baseada na premissa de que cada indivíduo possui um padrão característico facial único. Comparado ao sistema de impressão digital, criado pelo francês Francis Galton em 1892, o reconhecimento facial é bem mais novo, com origem somente a partir da década de 1960, quando o governo Norte Americano iniciou a pesquisa e o desenvolvimento de um sistema semiautomático de reconhecimento facial semelhante ao que existe hoje. Os leitores biométricos de identificação ganharam enorme espaço no âmbito da segurança pública e privada, substituindo os métodos tradicionais de autenticação de pessoas, como registros documentais e senhas em texto. Além do uso individual, para liberação de acesso a celulares e computadores, o reconhecimento facial vem sendo largamente utilizado em espaços com grande circulação de pessoas, como vias públicas, estádios, shopping centers, bancos e condomínios. A despeito de suas inegáveis vantagens, tais como o incremento da segurança, precisão e agilidade dos resultados e melhoria na experiência do usuário, a utilização de sistemas de reconhecimento facial para fins de monitoramento tem suscitado questionamentos, sobretudo após o advento da Lei Geral de Proteção de Dados ("LGPD"), tendo em vista o seu potencial de restrição à liberdade individual, de violação da privacidade e de uso para fins discriminatórios. Fizemos uma primeira incursão neste tema no início de 20201, mas de lá para cá as discussões evoluíram e merecem novas considerações. O sistema de reconhecimento facial é baseado no uso de padrões biométricos, que, de acordo com o art. 5º, II, da LGPD, é um dado pessoal sensível, cujo tratamento possui requisitos específicos, mais rígidos do que aqueles previstos para o tratamento de dados pessoais em geral. Ademais, quando realizado de forma aleatória, em ambientes com elevado fluxo de pessoas, o sistema invariavelmente irá captar a imagem de indivíduos vulneráveis, tais como crianças, adolescentes e idosos, cujos dados pessoais também possuem regras específicas de tratamento. Mesmo quando realizado mediante a obtenção do consentimento do titular, como no âmbito das relações de trabalho ou em clubes e condomínios, deve-se levar em consideração a possibilidade de substituição ou combinação do sistema de reconhecimento facial com outras tecnologias que cumpram propósito equivalente, na medida em que os princípios da adequação e da necessidade contidos no art. 6º, II e III, da LGPD, exigem que o tratamento de dados pessoas seja realizado sempre pelo meio menos invasivo. Outrossim, quando a base legal para a utilização do reconhecimento facial for outra que não o consentimento, a situação se torna ainda mais sensível, pois entre as hipóteses do art. 11 da LGPD, que autorizam o tratamento de dados sensíveis, não está o legítimo interesse do controlador. A rigor, o uso da tecnologia encontra fundamento no inciso II, "g", do referido art. 11, que autoriza o tratamento de dados pessoais sensíveis para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Nesse contexto, em maio do ano passado, um concessionária do Metrô de São Paulo foi condenada em primeiro grau de jurisdição2 a se abster de utilizar a tecnologia de reconhecimento facial para fins publicitários, bem como ao pagamento de indenização por danos morais coletivos no valor de R$100 mil. Naquela oportunidade, a juíza ressalvou que o reconhecimento facial não precisa estar baseado exclusivamente no consentimento do titular e que a finalidade do tratamento dos dados deve ser analisada para se determinar a necessidade de consentimento. Nessa linha de raciocínio, a magistrada consigna em sua decisão que "a situação exposta no caso concreto é muito diferente da captação de imagens por sistemas de segurança com objetivo de melhoria na prestação do serviço, segurança dos usuários ou manutenção da ordem, o que seria não só aceitável, mas necessário diante da obrigação da fornecedora de serviço público zelar pela segurança de seus usuários dentro de suas dependências". Mais recentemente, em março deste ano, o próprio Metrô paulistano foi alvo de ação civil pública na qual foi deferida tutela liminar3 suspendendo a utilização de tecnologias de reconhecimento facial, sob o argumento de que "não foi disponibilizada qualquer informação sobre os critérios, condições, propósitos da implementação do sistema". Neste novo processo, a discussão está centrada nos requisitos e limites para utilização da tecnologia de reconhecimento facial como política de segurança pública. Além da necessidade de o uso do sistema se dar de forma transparente e informada, as entidades autoras apontam que o reconhecimento facial pode elevar o risco de discriminação de minorias, como pretos, não binários e transgêneros. Com efeito, o tema tem gerado inúmeras discussões, não apenas no Brasil, mas em todo o mundo. Argumenta-se que, no atual estágio de desenvolvimento da tecnologia, o seu potencial danoso ainda é grande, sobretudo para grupos vulneráveis. Diversos estudos, do que é exemplo o realizado em 2018 por Joy Buolamwini, pesquisadora do Massachusetts Institute of Technology - MIT4 apontam para significativa diferença em termos de acurácia de diferentes ferramentas de reconhecimento facial em relação a rostos de pessoas não brancas e, ainda mais intensamente, em mulheres pretas, de modo a reforçar estereótipos e preconceitos já existentes na sociedade, expressamente vedados pelo art. 6º, IX, da LGPD. Além disso, pondera-se que os critérios utilizados para o desenvolvimento do reconhecimento facial partem de uma lógica cisgênera e binária de classificação, o que tende a intensificar a atual realidade de exclusão e estigmatização de pessoas transexuais e não binárias. Outra grande preocupação é com a utilização de bases de dados privadas para a identificação e autenticação das pessoas monitoradas, que também pode gerar grandes distorções e erros. Diante disso, a Autoridade Europeia de Proteção de Dados recentemente realizou consulta pública para proposta de diretrizes visando proibir o uso de reconhecimento facial em determinadas situações, entre as quais a identificação biométrica remota de pessoas em espaços públicos5. Assim, não obstante o reconhecimento facial seja uma importante ferramenta de monitoramento e segurança em espaços públicos, ainda não há clareza quanto à legitimidade na sua utilização na perspectiva da privacidade e da proteção de dados, dada a preocupação com a preservação dos direitos e liberdades individuais dos titulares dos dados, principalmente porque ainda não há orientação específica da Autoridade Nacional de Proteção de Dados e a jurisprudência em torno do tema ainda é incipiente. Portanto, recomenda-se extrema cautela na implementação dessa tecnologia, levando em consideração os princípios de privacidade e proteção de dados desde a sua concepção (privacy by design), com a elaboração de uma política específica de utilização do sistema para servir de guia de implantação, ajudando na tomada de decisões e orientando para que sejam respeitadas todas as regras da LGPD, minimizando riscos e trazendo maior segurança. Ademais, diante do tratamento de dados pessoais sensíveis em larga escala, inclusive de vulneráveis, recomenda-se a elaboração de um Relatório de Impacto à Proteção de Dados, de modo a identificar a necessidade de adoção de medidas específicas para a redução de impactos e riscos em determinadas situações concretas. __________ 1 Disponível aqui. 2 Ação Civil Pública ajuizada pelo Instituto Brasileiro de Defesa do Consumidor - IDEC, processo 1090663-42.2018.8.26.0100, ainda pendente de julgamento das apelações interpostas. 3 Ação Civil Pública ajuizada pelo Instituto Brasileiro de Defesa do Consumidor - IDEC e outros, processo 1010667-97.2022.8.26.0053. O Metrô interpôs o agravo de instrumento 2079077-58.2022.8.26.0000, com parecer da Procuradoria de Justiça pela revogação da liminar e julgamento iniciado em 15/8/2022 e adiado com pedido de vista pelo desembargador revisor. 4 Disponível aqui.  5 Disponível aqui. 
Advogando na área de privacidade e proteção de dados, uma das perguntas que mais nos tem sido feita nos últimos meses é se ainda é possível tirar o atraso e adequar a empresa às regras previstas na Lei Geral de Proteção de Dados Pessoais (LGPD - lei3.709/2018). A LGPD, lembre-se, foi promulgada em agosto de 2018 e, após diversas mudanças legislativas, entrou em vigor em agosto de 2020, com exceção dos artigos que regulam as sanções administrativas, que só passaram a valer há pouco mais de um ano. No primeiro momento, ainda durante o período de vacância, foram as grandes empresas e aquelas que possuíam relações comerciais ou interesses econômicos com empresas europeias (por conta do início de vigência do GDPR, o Regulamento Geral de Proteção de Dados europeu), que iniciaram seus processos internos de adequação à LGPD, a revisão de suas políticas de privacidade e de proteção de dados e a criação de estruturas próprias para atendimento aos titulares de dados pessoais e resposta a questionamentos administrativos e judiciais que surgissem, coordenadas por um encarregado1. Por outro lado, muitas pequenas e médias empresas optaram por esperar. Seja para verificarem se a nova lei de fato iria "pegar" - algo típico da cultura nacional - seja pela necessidade de altos investimentos, ou até mesmo para melhor compreender o que precisaria ser feito e se a LGPD efetivamente as abrangeria, embora a leitura de seu artigo 3º não deixasse margem para dúvidas:  Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou      III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.  A realidade tem demonstrado que sim, a LGPD aplica-se às empresas, ainda que microempresas ou de pequeno porte2, e que estar adequada à lei e às melhores práticas de proteção de dados tornou-se não um custo extra, mas verdadeiro diferencial competitivo.  Para chegar a tal conclusão, baseamo-nos em duas principais constatações. De um lado, há o ganho reputacional. É visível que as preocupações com a privacidade das pessoas e com a proteção de dados pessoais deixaram de estar relegadas a segundo plano e tornaram-se objeto de inquietação de consumidores. Nesse sentido, respeitar - e demonstrar que efetivamente o faz - a privacidade de seus clientes, tomando as medidas necessárias e adequadas para que dados pessoais sejam tratados e protegidos com segurança, além de evitar comportamentos abusivos e pouco transparentes, como o compartilhamento indiscriminado dos dados com terceiros, repercute cada vez melhor na sociedade. Pode-se aqui traçar um paralelo com as empresas que investem em medidas de preservação do meio-ambiente, cada vez mais valorizadas por consumidores, sociedade e mídia. Além disso, como muitas empresas ainda não estão corretamente preparadas para cumprir as obrigações previstas na LGPD ou atender os direitos dos titulares de dados pessoais, estar adequada aos ditames da lei representa verdadeira janela de oportunidade frente à concorrência, na medida em que grandes empresas - aquelas às quais nos referimos acima, que já cumprem os requisitos legais - cada vez mais buscarão firmar novos contratos apenas com parceiros que também estejam adequados. Mais do que mera escolha empresarial, trata-se de verdadeira necessidade, pois a LGPD, ao disciplinar a responsabilidade pelo tratamento de dados, determina que controlador e operador que causarem dano material ou moral a outrem são obrigados a reparar o dano, prevendo ainda regras de responsabilidade solidária entre ambos (art. 42, § 1º, I e II), com o reforço - sempre que houver relação consumerista - das regras de responsabilidade previstas no Código de Defesa do Consumidor, como expressamente prevê o art. 45 da LGPD. Trocando em miúdos: uma instituição financeira resolve iniciar uma campanha publicitária que envolva o sorteio de prêmios para novos clientes que se cadastrarem. Para tanto, decide contratar uma agência de publicidade para organizar a campanha e a plataforma onde os consumidores cadastrarão seus dados e participarão do sorteio. Neste hipotético exemplo, a instituição financeira estará na posição de controladora dos dados de seus clientes e a agência de publicidade atuará como operadora, uma vez que realizará o tratamento de dados pessoais em nome e sob as diretrizes do controlador. Para não correr riscos que podem: (i) gerar punição administrativa por parte da Autoridade Nacional de Proteção de Dados ou de órgãos como a Secretaria Nacional do Consumidor (Senacon); (ii) dar causa ao ajuizamento de inúmeras ações individuais ou mesmo de uma ação civil pública; e (iii) correr sério risco reputacional à sua imagem em caso de vazamento de dados, a instituição financeira certamente buscará um parceiro que demonstre estar de acordo com a LGPD e seguir as medidas mais eficazes de segurança disponíveis no mercado. Assim, uma premiada agência de publicidade, famosa por suas campanhas, mas que não demonstre estar adequadamente preparada no que diz respeito à proteção de dados pessoais, poderá ser preteria por outra - talvez não tão conhecida - que comprove estar de acordo com as regras da LGPD. É este tipo de oportunidade que irá se abrir cada vez mais às empresas que ainda não se prepararam, mas que decidirem aproveitar o momento para tanto. O próprio mercado exigirá, cada vez mais, que os prestadores de serviços estejam aptos a cumprir a lei. Por isso, ainda há tempo para as empresas que não se adequaram à LGPD correrem atrás do prejuízo e transformarem o que à primeira vista poderia ser encarado como gasto em investimento e oportunidade, inclusive de novos e maiores ganhos. __________ 1 O encarregado também é conhecido como DPO - Data Protection Officer. 2 Em relação a microempresas, empresas de pequeno porte e startups, a Autoridade Nacional (ANPD) editou um manual de boas práticas, o guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte, com orientações e procedimentos simplificados.
No último dia 14 de agosto a Lei Geral de Proteção de Dados Pessoais ("LGPD") completou quatro anos de promulgação, embora só tenha entrado em vigor mais de dois anos depois, em 18 de setembro de 2020. Diferentemente da General Data Protection Regulation - norma análoga da Comunidade Europeia que serviu de inspiração para o legislador pátrio -, que apenas consolidou regras de privacidade e proteção de dados dos países membros em vigor há pelo menos 50 anos, a LGPD é inovadora para o ordenamento jurídico brasileiro, que até então não continha regras específicas para o tratamento de dados pessoais. A LGPD fixa princípios, obrigações e direitos inerentes à proteção de dados pessoais, que, em consonância com os avanços alcançados na era digital, foi reconhecida pelo Supremo Tribunal Federal e alçada a garantia fundamental pela Emenda Constitucional 115, de fevereiro deste ano, que incluiu o inciso LXXIX no artigo 5º da Carta Magna. Na sequência da promulgação da LGPD, foi criada a Autoridade Nacional de Proteção de Dados ("ANPD"), inicialmente vinculada ao governo federal e, desde a edição da Medida Provisória 1.124/22, transformada em autarquia com funções de agência, assegurando-lhe o mesmo grau de autonomia administrativa e independência técnica de que desfrutam órgãos como o Banco Central, a Agência Nacional de Vigilância Sanitária - Anvisa e a Agência Nacional de Telecomunicações - Anatel. Ademais, em agosto de 2021, foram nomeados os vinte e três membros do Conselho Nacional de Proteção de Dados ("CNPD"), constituindo formalmente o órgão que compõe a estrutura da ANPD e serve de mecanismo de participação da sociedade na autoridade, com competência para, entre outras coisas, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade. Esse microssistema normativo e organizacional colocou o tema em evidência, exigindo de todas as empresas a adequação de suas práticas e, com isso, acelerando significativamente o processo de aculturamento da sociedade acerca da importância dos dados pessoais enquanto bem jurídico integrante dos direitos da personalidade e diante do crescente valor da informação. De forma semelhante com o que aconteceu com a entrada em vigor do Código de Defesa do Consumidor - mas de forma bem mais célere - a promulgação da LGPD vem conscientizando a população sobre o tratamento de dados pessoais por terceiros, disponibilizando ferramentas para o exercício do direito à sua proteção. No entanto, ainda há um bom caminho a percorrer: em uma pesquisa realizada pelo Procon de São Paulo, entre maio e junho de 2021, com mais de sete mil pessoas1, não obstante quase 90% dos entrevistados tenham dito saber o que é dado pessoal, só 45% acertaram a definição do termo e apenas 35% afirmaram conhecer a LGPD. Esses dados foram confirmados por pesquisa realizada na mesma época pela Federação Brasileira de Bancos - FEBRABAN em conjunto com o Instituto de Pesquisas Sociais, Políticas e Econômicas - IPESPE2, em que 60% dos entrevistados afirmaram conhecer "só de ouvir falar" ou não conhecer a LGPD. Do lado dos controladores e operadores dos dados pessoais, houve a preocupação em adotar medidas tendentes à adequação aos ditames da lei, não apenas em razão do receio frente às pesadas sanções previstas na LGPD, mas também diante da percepção de que o respeito às regras de privacidade e proteção de dados representa uma vantagem competitiva junto à concorrência. Todavia, assim como no caso dos titulares dos dados pessoais, ainda há muito a fazer: conforme estudo da RD Station de janeiro a abril de 2021, com quase mil empresas3, 30% já haviam começado o processo de adequação à LGPD. Entre as de grande porte o percentual foi um pouco maior, chegando a 39%. O resultado foi corroborado por estudo da plataforma Capterra, realizado em junho do ano passado com mais de trezentos gerentes ou coordenadores de pequenas e médias empresas4, das quais apenas 37% consideraram estar totalmente adequadas à LGPD. Como se vê, nesta ponta também há espaço para evolução, sendo certo que o ritmo de adequação deve acelerar assim que tivermos a divulgação, pela ANPD, da tão esperada metodologia de dosimetria das penas, possibilitando a aplicação das sanções administrativas, e do consequente início dos procedimentos de fiscalização pela autoridade. Por outro lado, também se aguarda regulamento que limite a obrigação de adequação, estabelecendo critérios de exclusão de empresas com baixo volume de tratamento de dados. No cenário internacional, a LGPD vem promovendo o alinhamento do Brasil às melhores práticas de proteção de dados pessoais adotadas em todo o mundo, contribuindo assim para o desenvolvimento econômico e tecnológico do país. Enfim, não obstante ainda tenhamos enormes desafios pela frente, os avanços nestes últimos quatro anos foram enormes e, a despeito do olhar cético de muitos quando da promulgação da LGPD, trouxeram a certeza de que a privacidade e a proteção dos dados pessoais é um direito que veio para ficar. Portanto, àqueles que seguem apostando que a LGPD "não vai pegar", basta acessar o Portal de Violações da Agência Nacional dos Profissionais de Privacidade de Dados5 e verificar as sanções já aplicadas pelo Poder Judiciário em decorrência da violação à privacidade e à proteção de dados pessoais. Finalmente, merece registro estar em vias de aprovação no Senado Federal o Projeto de Lei 2.076/2022, para que o dia 14 de agosto seja reconhecido oficialmente como o "Dia Nacional da Proteção de Dados", favorecendo ações educativas e de conscientização sobre o tema. __________ 1 Pesquisa disponível aqui. 2 Pesquisa disponível aqui. 3 Pesquisa disponível aqui. 4 Pesquisa disponível aqui. 5 Disponível aqui.
O direito ao esquecimento, mundialmente conhecido após a divulgação da decisão do Tribunal de Justiça da União Europeia sobre o cidadão espanhol Mario Costeja González1 - que nunca mais foi esquecido -, não foi reconhecido no Brasil, tendo o Supremo Tribunal Federal (STF) expressamente o afastado no julgamento do recurso extraordinário 1.010.606/RJ, ocasião em que foi firmada a Tese 786, segundo a qual é incompatível com a Constituição Federal a ideia de um direito ao esquecimento. Contudo, um acórdão Superior Tribunal de Justiça (STJ) publicado no final de junho deu novo alento aos defensores da existência desse direito e de sua aplicação no ordenamento jurídico brasileiro. Trata-se do recurso especial 1.660.168/RJ, da relatoria do ministro Marco Aurélio Bellizze, julgado por maioria de votos pela Terceira Turma do STJ. Para entendermos melhor a decisão, válido apresentar o contexto e o histórico deste julgamento. Pois bem. Anteriormente, o STJ havia julgado dois casos em que o direito ao esquecimento estava em debate. Em decisões diferentes da Quarta Turma daquele tribunal, ambas relatadas pelo ministro Luis Felipe Salomão, restou decidido que: i) a família de vítima de crime de repercussão nacional ocorrido há décadas não teria direito ao esquecimento (impedir a divulgação ou indenização pecuniária) por ter o nome da vítima se tornado indissociável do próprio delito, de modo que "se tornaria impraticável a atividade da imprensa para o desiderato de retratar o caso Aida Curi, sem Aida Curi"; ao passo que ii) acusado de crime também de repercussão nacional (chacina da Candelária), posteriormente absolvido, possui direito ao esquecimento em nome da dignidade da pessoa humana, mesmo que isso implique em limitações à atividade informativa, pois "a fatídica história seria bem contada e de forma fidedigna sem que para isso a imagem e o nome do autor precisassem ser expostos em rede nacional", o que resultou em fixação de danos morais2. Foi justamente o caso Aida Curi que chegou ao Supremo Tribunal Federal e resultou no acórdão acima mencionado e na fixação da tese da incompatibilidade do direito ao esquecimento com a Constituição de 1988. Porém, no intervalo de tempo entre a decisão do STJ e o julgamento pelo STF, diversos casos foram levados ao Judiciário, resultando em decisões não uniformes. Dentre eles, o STJ julgou um recurso em que provedores de aplicação (Google, Yahoo e Microsoft) questionavam acórdão proferido pelo Tribunal de Justiça do Rio de Janeiro (TJ/RJ) que ordenara os respectivos sites de busca a implementar um filtro para bloquear o nome da autora de resultados que apontassem para suposta fraude em concurso público. Segundo o tribunal fluminense, não havia impossibilidade - nem técnica, nem jurídica - para que os provedores providenciassem tal filtro, devendo o "direito à imagem, à personalidade e ao esquecimento" prevalecer sobre a "livre circulação de fatos noticiosos por tempo imoderado". No STJ, o recurso3 foi julgado a primeira vez em maio de 2018, tendo a Terceira Turma decidido que, em razão das peculiaridades fáticas, consideradas "circunstâncias excepcionalíssimas", fazia-se necessária a intervenção do Judiciário para cessar o vínculo entre os dados pessoais da autora e os resultados dos sites de busca que direcionassem a uma informação (a suposta fraude no concurso) que, seja pelo conteúdo privado, seja pelo decurso do tempo, não deveria mais ser acessada. Assim, tratou-se da aplicação do direito ao esquecimento diretamente aos sites de busca. Ao assim decidir, o STJ não seguiu a jurisprudência da própria corte4 no sentido da ausência de responsabilidade dos provedores de busca pelos resultados apresentados, devendo o ofendido direcionar sua irresignação aos provedores de conteúdo que tenham divulgado a informação ilícita ou ofensiva e não aos buscadores. Derrotados, os provedores tentaram duas cartadas para reverter a decisão e fazer prevalecer o entendimento do STF contrário ao esquecimento. Primeiro, no próprio STJ, em sede de embargos de divergência5. Contudo, a tentativa não foi exitosa, uma vez que a Segunda Seção do tribunal entendeu, de forma unânime, no início de 2021, que as situações não eram idênticas, exatamente pela excepcionalidade da hipótese em julgamento, que não se encaixava na regra geral da jurisprudência. Em vez de soluções jurídicas conflitantes, o que havia era uma "dissonância na sua moldura fática". Vencida essa etapa, os três provedores de busca interpuseram recursos extraordinários (RE) para o STF. Uma das principais alegações foi justamente a contrariedade com a decisão proferida no RE 1.010.606/RJ, que culminou na mencionada tese 786 da repercussão geral. Verificando uma possível divergência, a Presidência do STJ determinou que a Terceira Turma reapreciasse a decisão anterior, para eventual juízo de retratação6. Finalmente, chegamos à decisão que deu origem ao título deste artigo. Ao reapreciar (em junho de 2022) a decisão de 2018, a Terceira Turma do STJ manteve o entendimento anterior e, mesmo diante da existência de tese da Suprema Corte com repercussão geral afastando o esquecimento, entendeu inexistir afronta àquela tese, na medida em que o STJ não determinara a exclusão das notícias desabonadoras, mas apenas a "desvinculação do nome da autora" da matéria sobre a suposta fraude no concurso público, mantendo íntegro o conteúdo da publicação. Embora tenha constado da decisão que a questão não foi julgada sob a ótica do esquecimento, mas da prevalência dos direitos à intimidade e à privacidade, bem como da proteção de dados pessoais, não resta dúvida de que, demonstrando-se a presença de circunstâncias especiais, é possível obter o almejado esquecimento - ainda que, se necessário, sob outra nomenclatura -com base no precedente ora confirmado pelo STJ7. Ademais, o que acabou vetado pela tese fixada pelo Supremo Tribunal Federal foi apenas a proibição da divulgação de fatos verídicos publicados em meios de comunicação em razão da passagem do tempo, deixando o STF margem para análise de outras situações caso a caso, em especial para proteção da honra, imagem, privacidade e personalidade, exatamente o que fez o STJ no acórdão comentado. _______ Post scriptum: O caso envolvendo a chacina da Candelária também foi objeto de recurso extraordinário para o STF. O recurso ficou sobrestado no STJ e, tal qual ocorreu com o REsp nº 1.660.168/RJ, foi objeto de juízo de retratação no final de 2021. A Quarta Turma do STJ manteve seu entendimento anterior, fundado exatamente na possibilidade de análise casual de situações que destoem da regra geral. Nenhum dos casos transitou em julgado. _______ 1 Confira diversas reportagens e artigos já publicados em Migalhas sobre o tema. 2 Respectivamente, os recursos especiais (REsp) nºs 1.335.153/RJ e 1.334.097/RJ, ambos julgados em 2013. 3 Trata-se do já mencionado REsp nº 1.660.168/RJ. 4 Veja-se, a título de exemplo, o REsp nº 1.316.921/RJ, julgado pela Terceira Turma em junho de 2012. 5 Recurso interposto para sanar entendimentos conflitantes entre órgãos julgadores do próprio STJ. No caso em questão, apontou-se suposta divergência entre a decisão embargada e um precedente da Quarta Turma. O órgão responsável pelo julgamento foi a Segunda Seção. 6 De acordo com a regra do artigo 1.040, II, do Código de Processo Civil. 7 Oportuno verificar que o voto-vista da ministra Nancy Andrighi (no julgamento do juízo de retratação) esclarece que a hipótese foi sim decidida, tanto pelo TJ/RJ, quanto pelos votos vencedores no STJ, com fundamento no direito ao esquecimento.
Desde o final do ano passado, quando o fundador do Facebook, Mark Zuckerberg, anunciou que a rede social mudaria seu nome para Meta1, como parte do projeto da empresa de revolucionar a internet através da realidade virtual, o termo "metaverso" ganhou enorme espaço na mídia, atraindo a atenção de todo o mercado. O que muitos denominam de a "nova fronteira digital" ou "o novo capítulo da internet", na verdade remonta à obra de ficção científica Snow Crash, de Neal Stephenson2, lançada em 1992. O termo foi apropriado pelo mundo digital para definir um espaço virtual coletivo compartilhado que reproduz o mundo real por meio da conjugação das tecnologias de realidade virtual3, realidade aumentada4 e internet. Neste intervalo de três décadas desde a cunhagem do termo, identificam-se diversas iniciativas de exploração comercial do metaverso, por exemplo em filmes (Matrix, 1999; Avatar, 2009; e Free Guy, 2021), jogos (Sim's, 2000; Roblox, 2006; e Minecraft, 2011) e plataformas de ambientes interativos para relações sociais (Active Worlds, 1995; Second Life, 2003; Decentraland, 2017; e Mozila Hubs, 2018), as quais, devido ao atual estágio de evolução tecnológica e à enorme difusão dos produtos digitais nos hábitos e na cultura mundial, tendem a aumentar de forma exponencial nos próximos anos. Importante registar que o metaverso em si - como um ambiente virtual compartilhado de interação - ainda não existe. Os diversos aplicativos até aqui lançados funcionam como uma espécie de porta de entrada para esse mundo abstrato, mas eles ainda não estão interligados. Quando isso acontecer, os produtos de cada plataforma serão interoperáveis, criando um universo único, semelhante ao que existe hoje com a rede mundial de computadores. Entretanto, o nascimento do multiverso parece ser apenas uma questão de tempo. Recentemente, Meta (Facebook), Sony, Microsoft, Nvidia, Qualcomm e outras trinta empresas constituíram o Metaverse Standards Forum5, grupo formado para disseminar a tecnologia do metaverso de maneira aberta, padronizada e comunicável, justamente pensando no surgimento de meios para que as diversas plataformas se interliguem. Antes mesmo que isso ocorra, a comunidade jurídica já deve se preocupar com os limites e a regulação do metaverso, antevendo a multiplicidade de efeitos legais que advirão das relações mantidas nesse ambiente virtual. O desafio parece ser o de separar a realidade alternativa intrínseca ao metaverso, de situações com consequências concretas para a esfera de direitos e obrigações dos usuários. Será que, dentre os inúmeros eventos reais passíveis de reprodução virtual, poderemos, num futuro próximo, falar em casamento ou crimes no metaverso? De partida, o próprio ingresso no metaverso exige a prática de atos que ainda são novidade, geram dúvida e carecem de melhor regulamentação. Com efeito, embora o acesso às plataformas de uma maneira geral seja gratuito, parte das funcionalidades do metaverso exige a aquisição de ativos digitais como criptomoedas (por exemplo, o Linden, da Second Life; e a Mana, da Decentraland) e NFTs (tokens representativos de propriedade sobre bens e direitos virtuais, como imóveis e veículos, voltados para uso no metaverso), que carecem de regras mais claras. Por outro lado, a "materialização" daqueles que ingressam no metaverso exige a criação de um avatar, o qual reproduz no universo virtual as características físicas e de personalidade do usuário, permitindo a sua interação com os demais usuários. Aqui, a dúvida é em que medida o avatar poderá ser considerado uma extensão do seu usuário enquanto sujeito de direito, com personalidade jurídica, apto a exercer direitos e contrair obrigações no metaverso. Esse ponto leva a outra indagação, quanto à caracterização do metaverso como um espaço de desenvolvimento de relações sociais e negociais capazes de produzir efeitos jurídicos. Em outras palavras, a evolução do metaverso como uma realidade paralela em que os usuários, representados por seus avatares, se socializam, trabalham, consomem, enfim, praticam os mesmos atos da vida real, pode levar ao estabelecimento de relações jurídicas análogas às do mundo físico? Retomando o exemplo, um casamento no metaverso poderia resultar em direitos sucessórios entre os avatares e seus bens virtuais? E mais: admitindo-se essa possibilidade como viável, seria possível a prestação de serviços no metaverso, como os de advocacia para uma ação de separação, com a consequente criação de instituições virtuais equivalentes aos órgãos públicos reais, como o Poder Judiciário e o MP? E quais seriam as leis aplicáveis, considerando que estaríamos em um ambiente global, sem fronteiras, que, a rigor, concentra pessoas de todo o planeta? O que, num primeiro olhar, parece absurdo, digno de obras de ficção científica, pode num curto espaço de tempo se tornar realidade. Para nos mantermos no exemplo da prestação de serviços jurídicos, há cerca de quinze anos, o Ministério da Justiça de Portugal lançava a plataforma e-Justice Centre, para operar especificamente no metaverso como uma corte e um centro de medição e arbitragem visando a resolução de disputas no mundo virtual da Second Life6. Em contrapartida, no mesmo ano de 2007, a Seção de São Paulo da Ordem dos Advogados do Brasil analisava - e, então, rejeitava - a instalação de escritório virtual na plataforma Second Life. Naquela ocasião, entendeu-se que haveria a quebra do princípio da pessoalidade inerente à relação cliente-advogado, além de não haver como garantir o sigilo profissional7. Enfim, as dúvidas e as discussões tendem a se multiplicar, pois já se tem notícia de projetos e experiências envolvendo o metaverso nas mais variadas áreas, como a imobiliária (reprodução virtual de empreendimentos para serem visitados e mobiliados por clientes), a financeira (criação de ferramentas para operação e oferta de produtos em ambientes virtuais) e a educacional (museus virtuais abertos à visitação pública). No Brasil, a Petrobras já realizou palestra em auditório virtual criado no ambiente da Second Life, da qual puderam participar apenas pessoas que tivessem seus avatares cadastrados no site8. Nessa rápida incursão, já foi possível verificar que o metaverso traz infinitas oportunidades e, a reboque, implicações jurídicas para as mais variadas áreas do direito. A despeito dos questionamentos e incertezas que esse universo virtual suscita, a sua existência se torna cada dia mais real e concreta, tornando fundamental os debates em torno da sua regulamentação. ______ 1 Disponível aqui. 2 Disponível aqui. 3 Tecnologia de interface entre usuário e sistema operacional via recursos gráficos com o objetivo de criar a sensação de presença em um ambiente que não é real. 4 Integração de elementos ou informações virtuais a visualizações do mundo real por meio de dispositivos eletrônicos como câmeras e sensores. 5 Disponível aqui. 6 Disponível aqui. 7 Disponível aqui. 8 Disponível aqui.
Foi publicada semana passada a Medida Provisória (MP) 1.124/2022, alterando a Lei Geral de Proteção de Dados Pessoais (LGPD) para modificar a natureza jurídica da Autoridade Nacional de Proteção de Dados (ANPD), transformada em autarquia especial e afastada do controle direto da Presidência da República, o que ocorria desde a entrada em vigor da LGPD. No meio a tantas notícias ruins e intervenções questionáveis do atual governo na economia, a mudança é muito bem-vinda para o fortalecimento da proteção de dados no Brasil. Aqui, vale um breve histórico: quando aprovado pelo Congresso Nacional o projeto de lei que instituía a LGPD, havia previsão da criação da ANPD enquanto integrante da administração pública federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça. Porém, os artigos de lei relativos à Autoridade Nacional de Proteção de Dados foram todos vetados pelo Executivo, diante da necessidade de lei específica para criação de autarquia e por serem de iniciativa privativa do presidente da República as leis que disponham sobre criação e extinção de órgãos da administração pública1, uma vez que o projeto de lei teve origem no próprio Congresso. Como a criação da LGPD sem a previsão de uma autoridade central tornaria a proteção de dados frágil, a solução encontrada à época foi a edição da MP nº 869/2018, posteriormente convertida na Lei nº 13.853/2019, criando a ANPD como integrante da própria Presidência da República, ou seja, um órgão da administração pública direta, sem autonomia administrativa e financeira, nem patrimônio próprio e com servidores cedidos de outros órgãos governamentais. A alternativa adotada foi objeto de críticas2, em especial pela falta de autonomia administrativa de um órgão eminentemente técnico e responsável máximo por zelar pela proteção dos dados pessoais, elaborar diretrizes para uma política nacional de proteção de dados e privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da lei e disseminar na sociedade o conhecimento das normas e políticas públicas sobre privacidade e medidas de segurança (art. 55-J da LGPD). Nomeados diretores e conselheiros da ANPD, o órgão começou a atuar efetivamente e assumiu importante papel, de onde se destacam não apenas a criação de canais de comunicação com os titulares de dados pessoais e avisos de incidentes de segurança, como a elaboração de importantes guias orientativos (sobre tratamento de dados pelo poder público e sobre segurança da informação para agentes de pequeno porte, para destacar alguns). Como previsto desde a publicação da primeira resolução de seu Conselho Diretor, a ANPD passou a promover a orientação, conscientização e educação de pessoas e empresas sobre seus direitos e deveres ligados à proteção de dados pessoais, privilegiando assim a segurança jurídica, especialmente pelo fato de a LGPD disciplinar direitos que antes não eram protegidos pelo ordenamento jurídico (ou o eram de modo esparso, sem profundidade, como por exemplo pelo Marco Civil da Internet, a lei 12.965/2014). Mas a falta de autonomia era algo que já vinha incomodando seus próprios membros, como externado pela diretora Nairane Leitão no início do ano, quando afirmou que "falta autonomia administrativa (...) já está na hora de a gente andar com as próprias pernas". A opinião da conselheira Laura Schertel Mendes caminhava no mesmo sentido: "autoridade que não é autônoma não consegue cumprir todas as funções e competências com tudo que se espera dela"3. Finalmente, após o período de transição e a partir da entrada em vigor do decreto que vier a alterar sua estrutura regimental, a "nova" ANPD, com natureza de autarquia especial, terá quadro próprio de servidores, com definição de seus respectivos cargos e remuneração, sede e patrimônio próprios, além das tão almejadas autonomias financeira e administrativa - ao lado das autonomias técnica e decisória, existentes desde sua criação - o que permitirá que o órgão atue com mais desenvoltura e independência, como verdadeira agência reguladora da proteção de dados e privacidade e, espera-se, afastada de ingerências governamentais. Aumentam assim as probabilidades de a LGPD ser efetiva em todo território nacional, como acontece na União Europeia, cuja proteção de dados pessoais é considerada exitosa em boa medida pela proatividade das autoridades nacionais e regionais de proteção de dados, que devem atuar de forma independente e livre de influências externas, diretas ou indiretas, conforme preceituam os artigos 51 e 52 do GDPR europeu. __________ 1 De acordo com os artigos 37, XIX e 61, § 1º, II, "e", ambos da Constituição Federal. Vide mensagem de veto nº 451. 2 Às vésperas do início do funcionamento da ANPD, comentamos nesta coluna sobre a mudança no status da ANPD e a mera possibilidade legal de que o Executivo viesse, no prazo de dois anos, a transformá-la em autarquia. Em diversos outros textos de Impressões Digitais abordamos a criação e a atuação da ANPD em seus primeiros meses (confira no índice da coluna). 3 Manifestações proferidas em janeiro deste ano, durante evento sobre privacidade e cybersegurança - confira aqui.
A incursão na era da informação, o desenvolvimento da big data e a hiperconectividade tornaram essencial, enquanto diferencial competitivo para empresas, a construção e manutenção de um banco de dados com informações atualizadas e detalhadas de seus clientes. Essa necessidade impulsionou a prática chamada de enriquecimento de base de dados, consistente na atualização e/ou adição de dados ao cadastro de clientes. Por exemplo: a empresa tem o nome, CPF e telefone de um cliente, e deseja confirmar se o telefone ainda é o mesmo e obter o endereço de e-mail. Basta uma rápida consulta na internet para constatar a existência de dezenas de empresas oferecendo esse serviço, por meio de variadas ações e ferramentas. Contudo, embora o enriquecimento de base de dados seja um relevante instrumento de marketing, o advento da lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais - LGPD, incrementou a privacidade das pessoas, impondo, com isso, importantes restrições aos mecanismos passíveis de serem utilizados para atualizar e agregar informações pessoais. Isso porque a LGPD exige que as atividades de tratamento - assim entendidas como qualquer operação realizada com dados pessoais, inclusive a sua coleta, utilização e armazenamento - de informações relacionadas a pessoas naturais estejam baseadas em ao menos uma das hipóteses descritas em seu artigo 7º, bem como que observem determinados princípios, enumerados no artigo 6º da LGPD, com destaque para a finalidade (propósitos legítimos, específicos, explícitos e informados ao titular dos dados, sem possiblidade de tratamento posterior de forma incompatível com essas finalidades), a adequação (compatibilidade do tratamento com as finalidades informadas ao titular dos dados, de acordo com o contexto do tratamento) e a necessidade (limitação do tratamento ao mínimo necessário para a realização de suas finalidades). Fora desses parâmetros, o tratamento de dados pessoais será ilegal e abusivo, sujeitando os responsáveis não apenas às sanções administrativas previstas no artigo 52 da LGPD - que incluem multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil, a eliminação do banco de dados e a suspensão ou proibição de seu uso -, como também às penalidades civis e penais aplicáveis. Da análise das hipóteses legais do artigo 7º da LGPD, aliadas aos princípios acima mencionados - finalidade, adequação e necessidade - conclui-se, a rigor, que o tratamento de dados pessoais para fins de marketing - e, mais especificamente, para fins de enriquecimento da base de dados - poderá se dar apenas mediante o consentimento do titular (artigo 7º, I) ou com base no legítimo interesse da empresa (artigo 7º, IX). O consentimento, nos termos do artigo 5º, XII, da LGPD, exige a manifestação livre, informada e inequívoca do titular, concordando com o tratamento de seus dados pessoais para uma finalidade determinada. O legítimo interesse, por sua vez, aplica-se apenas ao tratamento de dados para finalidades legítimas, que, de acordo com o artigo 10, I, da LGPD, incluem o apoio e a promoção das atividades da empresa, respeitadas as expectativas do titular e seus direitos e liberdades fundamentais. Daí extrai-se que os dados pessoais obtidos pela própria empresa no contexto da relação comercial com seus clientes poderão ser tratados, para fins promocionais diretos, com base no legítimo interesse. Porém, outras atividades de marketing mais específicas, que não estejam na esfera de expectativa ordinária do cliente - como, por exemplo, uma análise mais aprofundada do seu perfil - só poderão ser realizadas mediante consentimento do titular. Diante desse novo panorama criado pela LGPD, verifica-se que boa parte dos serviços de enriquecimento de base de dados disponíveis no mercado são ilegais, expondo a risco aqueles que os utilizam. Essa ilegalidade reside no fato de que muitos desses serviços se baseiam no cruzamento dos dados já existentes na base do titular com outros coletados por meios ilegítimos, sobretudo via buscas na internet utilizando tecnologias de inteligência artificial, ou a partir de bancos de dados próprios, obtidos e/ou mantidos sem a observância de uma das hipóteses do artigo 7º da LGPD. Nesse aspecto, vale destacar que os dados pessoais disponíveis na rede mundial de computadores, ainda que tornados públicos pelo próprio titular, não podem ser livre e discricionariamente utilizados, muito menos comercialmente explorados. O artigo 7º, § 3º, da LGPD é claro ao dispor que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização. Em outras palavras, não é aceitável que os dados pessoais que alguém voluntariamente torne público para uma certa finalidade (manifestação em redes sociais, acesso a serviços, identificação em reportagens etc.) sejam rastreados, coletados e utilizados por terceiros para outras finalidades, totalmente alheias às expectativas do titular e visando ganhos financeiros, ainda que indiretos. Acrescente-se, por oportuno, que esse raciocínio vale inclusive para dados pessoais disponibilizados por órgãos estatais, que tornam determinadas informações públicas visando a uma finalidade específica, a qual não pode ser desvirtuada por terceiros para benefício econômico próprio. Portanto, para que o mencionado cruzamento de dados seja legal, ele deve se dar com base em conteúdos legitimamente obtidos pelas duas partes: (i) do lado da empresa que quer enriquecer sua base, a partir de dados pessoais por ela própria obtidos no contexto da relação comercial com seus clientes; e (ii) do lado das empresas que oferecem serviços de enriquecimento, a partir de bancos de dados criados, obtidos e/ou mantidos especificamente para este fim, com base em uma das hipóteses do artigo 7º da LGPD e respeitados os princípios do artigo 6º da lei. No caso das empresas que oferecem os serviços de enriquecimento, elas dificilmente terão bancos de dados pessoais aderentes à LGPD capazes de realizar o referido cruzamento, não apenas porque isso pressuporia uma base com dezenas de milhões de titulares, mas também porque, na prática, elas teriam de contar com o consentimento desses titulares para que seus dados fossem utilizados especificamente para enriquecer bases de terceiros. Por isso, ao contratar ou mesmo realizar diretamente o enriquecimento de bases de dados, as empresas devem estar atentas aos mecanismos que podem ser efetivamente utilizados para tanto, de modo a evitar o tratamento ilegal e abusivo de dados pessoais. Exemplos de ações/oportunidades legítimas são a call to action (chamadas em sites ou aplicativos para que o próprio titular informe e/ou atualize seus dados), os call centers (aproveitamento do serviço de chamadas para manter atualizados os dados dos clientes) e os eventos (aproveitamento do contato presencial ou virtual para confirmar e agregar novos dados do cliente). Enfim, na contratação do serviço de enriquecimento de base de dados, deve-se ter em vista a rastreabilidade dos dados que serão utilizados para fins desse enriquecimento, ou seja, saber a origem desses dados e se há base legal para o seu tratamento/cruzamento. Lembre-se de que, em caso de fiscalização pelas autoridades competentes e, principalmente, de incidentes de segurança, será fundamental demonstrar que todos os dados pessoais em poder da empresa estão sendo tratados de maneira legítima, respeitando as regras e princípios da LGPD.
Foi há pouquíssimo tempo, mas parece que ninguém mais fala no famoso "golpe do Instagram", em que o criminoso invade a conta de alguém na popular rede social de fotografias e começa a postar fotos de eletroeletrônicos novos a preços muito baratos, quase sempre afirmando que é de um parente ou amigo que vai viajar e precisa vender com rapidez. Após realizar o Pix, a vítima (amiga do verdadeiro dono do perfil no Instagram) descobre que nunca irá receber o produto. Também já ficou démodé o golpe de mandar uma mensagem via WhatsApp para um parente informando ter mudado de chip, pedindo para adicionar o novo número e, na sequência, solicitando um empréstimo para uma despesa urgente, que será pago no dia seguinte. A mídia concentra-se hoje no chamado "golpe do Pix", crime surgido e rapidamente aprimorado e se espalhado pelas grandes cidades brasileiras aproveitando-se dessa nova modalidade de pagamentos e de transferência entre contas-correntes - sem a burocracia dos antigos DOC e TED - que caiu no gosto do brasileiro1. Outro fator que facilitou a ação dos criminosos foi a enorme adesão ao uso dos aplicativos para celular de bancos e demais instituições financeiras, seja pela praticidade, seja porque os bancos praticamente obrigam seus correntistas a instalar e usar os aplicativos, a não ser que o cliente prefira resolver tudo pessoalmente, nas cada vez mais escassas e com poucos funcionários agências bancárias2. O crime em questão possui várias etapas, começando com o furto ou roubo do celular da vítima3, depois repassado a quadrilhas especializadas em acessar/invadir os aplicativos de bancos. Uma vez obtido o acesso às contas bancárias do dono do celular, são feitas compras e transferências via Pix para diversas outras contas. Como o dinheiro entra imediatamente na conta indicada, é possível logo em seguida realizar novas transferências, dificultando ou mesmo inviabilizando a identificação dos destinatários finais dos valores. Por vezes, os golpistas fazem empréstimos pessoais como forma de aumentar o lucro, transferindo tais valores tão logo concedidos os empréstimos, o que costuma também ser imediato, a depender do histórico de relacionamento do correntista com o banco. Com tudo isso, aumentam simultaneamente o prejuízo e o desespero da vítima, mesmo que tenha feito tudo que estava a seu alcance: comunicação do crime aos bancos, lavratura de boletim de ocorrência, informação do número IMEI4 à operadora, para que esta proceda com o bloqueio do celular roubado, e aquisição de novo chip e celular. De nossa experiência em situações como essas, constata-se que, em boa parte dos casos, as instituições financeiras ressarcem o prejuízo de seus clientes sem grandes dificuldades, após comunicação do fato e verificação de que as operações realmente eram suspeitas, tudo a indicar a ocorrência de golpe. Porém, não raro algum banco se recusa a devolver os valores transferidos, imputando ao consumidor a responsabilidade pelo desfalque. É preciso então buscar algum modo adequado para resolução do conflito, como o Procon ou as plataformas digitais Consumidor.gov.br e Reclame Aqui ou se socorrer do Judiciário. Quando a disputa chega ao Poder Judiciário, seja nos Juizados Especiais ou na Justiça Comum, além da prova do prejuízo financeiro, o ponto nevrálgico acaba sendo a distribuição do ônus da prova: compete ao cliente comprovar que os golpistas acessaram indevidamente o aplicativo que deveria ser seguro e realizaram as transações de forma não autorizada ou ao banco demonstrar que a falha ou erro foi do consumidor? Como regra, por se tratar de uma relação consumerista, ocorre a inversão em favor do correntista, para facilitação de sua defesa, desde que o juiz considere verossímil a alegação ou hipossuficiente o consumidor, nos termos do art. 6º, VIII, do Código de Defesa do Consumidor. Por outro lado, uma das defesas das instituições financeiras é justamente a alegação de culpa exclusiva da vítima (uso de senhas fracas, não utilização de medidas protetivas como o duplo fator de autenticação nos aplicativos etc.). Levando-se em consideração que será muito difícil ao consumidor demonstrar eventuais falhas nos sistemas de segurança bancários e que, ao contrário de um saque indevido na agência ou no caixa eletrônico feito com o uso do cartão e da própria senha, as medidas técnicas de informática sugeridas para proteção das pessoas no caso de furto ou roubo do celular não são de fácil implementação para o chamado "cidadão médio"5, é razoável supor que o banco precisará comprovar a culpa exclusiva de seu cliente se quiser se eximir da responsabilidade de ressarcimento. Ocorrendo o furto ou roubo do celular, deve o consumidor tomar as medidas já indicadas - elaboração de boletim de ocorrência, bloqueio do chip junto à operadora e comunicação das instituições financeiras - além de monitorar as movimentações indevidas em suas contas e armazenar todas as mensagens mantidas com gerentes e funcionários dos bancos. Tais conversas serão importantes em futura reclamação junto à ouvidoria do banco ou mesmo como prova em processo judicial. Por vezes, diante da não apresentação de uma solução adequada, o envio de notificação extrajudicial ao banco, com os argumentos e a documentação apresentados de forma clara, pode ser suficiente para evitar a necessidade de ajuizamento de uma ação. Mesmo se não resolver, a notificação poderá ser importante meio de prova. Do lado dos bancos, é essencial o investimento constante na segurança de seus sistemas e também na informação dos consumidores. Quanto mais bem informado estiver o cliente para que consiga se prevenir dos novos golpes, melhor para todos, inclusive para a instituição financeira. A inteligência artificial será de grande valia para impedir transações ilícitas, principalmente para identificar e bloquear rapidamente movimentações fora do padrão do cliente. Exigir que os demais bancos implementem e mantenham métodos eficazes de identificação de seus clientes - para que possa ser efetuado o bloqueio das contas de destino das transferências ilegais - e que os órgãos de segurança pública atuem de modo firme no desmanche das quadrilhas também são papeis que os bancos e a própria Febraban - Federação Brasileira de Bancos - podem e devem desempenhar. __________ 1 Segundo dados do Banco Central, em dezembro de 2021 o Pix já era utilizado por 71% dos brasileiros, tendo a impressionante marca de 99% de adesão na faixa etária até 24 anos. Confira aqui. 2 A título de exemplo, os dois bancos utilizados por um dos autores desta coluna não permitem sequer o pagamento de uma conta de luz pelo internet banking sem a validação pelo token do aplicativo de celular, que substituiu - compulsoriamente - o antigo token no formato de chaveiro. 3 As modalidades mais comuns são o furto enquanto a pessoa está distraída conversando ao telefone ou enviando mensagens e o roubo por falsos motoqueiros de aplicativos. 4 O código IMEI é o International Mobile Equipment Identity ou Identificação Internacional de Equipamento Móvel. Um número único e global, presente em celulares. Numa analogia, o IMEI equivale ao número de chassis de um carro. Informando a ocorrência do crime para a operadora onde o celular está registrado, ela é - ou deveria ser - capaz de bloqueá-lo, impedindo seu uso pelos criminosos.  5 Reportagens publicadas recentemente indicam procedimentos como instalação de bloqueios de tela, atualização do sistema operacional, uso de biometria ou reconhecimento fácil e instalação de um código também no chip do aparelho - confira aqui e aqui. Isso sem falar de medidas caseiras que vêm sendo adotadas pelas pessoas, como ter um segundo celular exclusivamente para os aplicativos bancários ou desinstalar os aplicativos de e-mails do telefone, para impossibilitar o recebimento de novas senhas pelos golpistas.
Em nossa última coluna, falamos das dificuldades e da morosidade do trâmite do PL 2.630/20201, que visa a combater a disseminação de fake news na internet, sobretudo nas redes sociais. A notícia da compra do microblog Twitter pelo bilionário sul-africano-canadense naturalizado americano, Elon Musk, por impressionantes US$44 bilhões - cerca de R$220 bilhões - promete trazer desdobramentos para esse tema, não apenas no Brasil, mas em todo o mundo. Caso a transação seja aprovada pelas autoridades regulatórias norte-americanas, o Twitter deixará de ser uma companhia aberta com ações negociadas na bolsa de valores, para se tornar uma empresa de dono único, elevando Musk à condição de protagonista das discussões envolvendo redes sociais e liberdade de expressão. O magnata, fundador da montadora de veículos elétricos Tesla e da fabricante de sistemas de transporte espacial SpaceX, parece ter percebido a importância estratégica de controlar uma mídia social, um veículo de comunicação em massa, tal como fez seu desafeto e também milionário, Jeff Bezos, fundador da empresa de tecnologia (e-commerce, computação em nuvem, streaming e inteligência artificial) Amazon, que em 2013 comprou o jornal diário Washington Post pela "bagatela" - se comparado a preço pago por Musk pelo Twitter - de US$250 milhões. Embora suas postagens não revelem claramente suas ideologias, no comunicado que sucedeu o acordo, Musk, que antes mesmo da aquisição já manifestara sua discordância com as políticas de moderação do Twitter, defendeu a liberdade de expressão, chegando a cogitar a liberação do chamado blue badge - selo de verificação do microblog que indica a autenticidade de contas de interesse público - para todos os usuários, posicionamentos que parte boa do mercado e dos especialistas têm visto com certa desconfiança. Por outro lado, Musk mencionou a possibilidade de proibir a utilização de robôs pelo Twitter, o que, em princípio, favorece o debate público, estando em linha inclusive com o PL 2.630/2020, que obriga a criação de mecanismos que informem o uso de sistemas automatizados para o gerenciamento de contas. Apesar do alvoroço causado pela compra do Twitter por Musk, não se trata propriamente de uma novidade na seara das big techs. Embora não seja proprietário único do Facebook, WhatsApp e Instagram, Mark Zuckerberg é presidente, CEO e acionista controlador da Meta Platforms, empresa que concentra essas três plataformas. Seja como for, o movimento de Musk tende a elevar a pressão por uma maior regulação dos monopólios digitais e das mídias sociais, no combate às consequências negativas dessa concentração de poder na internet. Trata-se de pauta que já é destaque em todo o mundo, do que são exemplos a proposta de edição do denominado Digital Services Act, regulamento de serviços digitais da Comunidade Europeia com regras que buscam elevar a proteção dos direitos fundamentais no ambiente digital, bem como os debates no Congresso norte-americano para a criação de uma agência nacional voltada especificamente para o combate da desinformação e para a reforma da Communications Decency Act, cuja seção 230 isenta empresas de internet de diversas consequências legais decorrentes do conteúdo postado em suas plataformas e até mesmo de suas próprias decisões de remoção de conteúdo, partindo da premissa de que são meros intermediários ou canais. No Brasil, para além do PL 2.630/2020, tivemos a recente decisão do ministro do Supremo Tribunal Federal Alexandre de Moraes, que, no âmbito da Petição 9.935/DF, oriunda de representação de autoridade policial, ordenou o bloqueio do aplicativo de mensagens Telegram em todo o território nacional, diante da resistência em cumprir decisões judiciais e adotar procedimentos de moderação de conteúdo para evitar a propagação de atividades ilícitas na sua plataforma. Independentemente de quais venham a ser as políticas de funcionamento da plataforma, a aquisição do Twitter por uma pessoa física e a transformação da companhia em uma empresa de capital fechado causa preocupação, na medida em que estará dispensada de divulgar informações ao mercado, reduzindo a transparência. Esse será um dos papéis da regulação, fiscalizando e equilibrando o funcionamento das redes sociais, de modo a criar um ambiente saudável e democrático, sem abusos. A liberdade de expressão é um direito fundamental, mas não é um direito irrestrito, encontrando limites em outros direitos fundamentais com os quais se interrelaciona e que inviabilizam, por exemplo, as já mencionadas fake news e os discursos de ódio. Assim como outros setores da economia com potencial de causar impactos significativos na sociedade e influenciar os rumos de um país, as redes sociais também devem se sujeitar à regulação, como meio de moderação de conteúdos e estabelecimento de regras de conduta que assegurem o amplo respeito aos direitos dos usuários. __________ 1 Texto original do senador Alessandro Vieira (PSDB/SE) e substitutivo do deputado Orlando Silva (PCdoB/SP).
Esta semana, o plenário da Câmara dos Deputados rejeitou o requerimento de urgência ao projeto de lei que busca combater a disseminação de fake news na internet, em especial nas redes sociais (PL 2.630/2020)1. Assim, o projeto terá trâmite mais alongado, passando por diversas comissões da Câmara e não terá aplicação nas eleições de 2022. Como bem pontuado no Twitter pelo professor da Universidade do Estado do Rio de Janeiro (UERJ) Carlos Affonso Souza, "o debate oscilou entre 'quem é contra o PL quer mentir nas redes' e 'quem apoia quer impedir a vitória de Bolsonaro'", o que, claramente, deixa as importantíssimas discussões técnicas que envolvem liberdade de expressão e combate a mentiras e informações falsas em segundo plano. À época da apresentação do projeto, destacamos em nossa coluna diversos problemas em suas previsões legais, como imprecisões técnicas; uso de termos como "desinformação", que implicam muita subjetividade do intérprete; direcionamento das regras às principais plataformas hoje existentes, o que pode deixá-las rapidamente obsoletas; além de elevada carga de obrigações aos provedores de internet e redes sociais, tais como monitoramento e responsabilidade exclusiva no combate a conteúdo falso ou enganoso. De lá para cá, várias proposições foram apensadas ao projeto principal, dentre as quais destacamos a extensão da imunidade parlamentar para as redes sociais (art. 22, § 8º, do substitutivo ao PL), que cria duas classes de cidadãos: os comuns, que estarão sujeitos às regras de combate a fake news e os privilegiados (parlamentares), que não serão responsabilizados por opiniões e palavras proferidas nas redes sociais, escapando de qualquer moderação de conteúdo. A regra, absurda por si só, é especialmente problemática no período eleitoral, uma vez que coloca num patamar superior os candidatos que exerçam mandato parlamentar em relação aos que não exercem. De qualquer forma, na falta de uma lei específica para regular o tema, é o Judiciário - em especial o Supremo Tribunal Federal (STF) e o Tribunal Superior Eleitoral (TSE) - que tem se mexido para evitar que as eleições presidenciais deste ano sejam tão influenciadas por fake news quanto as de 2018, um fenômeno mundial que já tinha sido verificado dois anos antes no Brexit e na eleição de Donald Trump. O TSE tem firmado acordos e compromissos com outros órgãos públicos (como a própria Câmara dos Deputados) e com as principais plataformas de internet2. De acordo com o que foi divulgado, os memorandos de entendimento assinados pelos provedores listam ações, medidas e projetos que serão desenvolvidos em conjunto pelo TSE e cada provedor. Mesmo o Telegram - que se recusava a atender qualquer chamado das autoridades brasileiras3 - acabou se rendendo diante da ordem do ministro Alexandre de Moraes (STF) de suspensão de seus serviços no país, de modo que se acredita venha a participar da iniciativa do TSE. No que toca à distinção do que seria informação verdadeira da falsa - ou, como diz a campanha criada por veículos de imprensa e institutos de checagem, fato ou fake - o substitutivo, em sua redação atual, segue responsabilizando os provedores, de acordo com suas políticas e termos de uso, para que atuem contra a disseminação de informações falsas (o art. 15 do substitutivo fala em "exclusão, indisponibilização, redução do alcance ou sinalização do conteúdo"). É previsto, ainda, o dever de informar o usuário, inclusive com a fundamentação da medida tomada pelo provedor e os procedimentos e prazos que podem ser tomados por quem se sentiu prejudicado. Este ponto altera significativamente o Marco Civil da Internet, que afasta a responsabilidade de provedores até que seja proferida ordem judicial específica determinando a indisponibilização de conteúdo ilegal (art. 19 da Lei nº 12.965/2014). Além disso, traz alto grau de insegurança jurídica, na medida em que transfere a decisão às empresas de internet, quase todas estrangeiras, muitas das quais com sede nos EUA, cujo conceito de liberdade de expressão é bem diferente do brasileiro. Por fim, como o projeto de lei ainda enfrentará longo trâmite no Congresso Nacional, é preciso cuidado redobrado com eventuais tentativas dos governantes de se atribuir o poder de decisão sobre o que pode ou não ser publicado ou o que deve ou não permanecer no ar. A título de exemplo, em El Salvador o presidente Nayib Bukele, sob a justificativa de combater as gangues que atuam no país, está em forte ofensiva contra os meios de comunicação, a ponto de o congresso salvadorenho ter aprovado - esta semana - uma alteração no Código Penal que prevê até quinze anos de cadeia aos responsáveis por difundir mensagens de "pandilleros"4. Segundo reportagem do jornal espanhol El País, a legislação persegue "a elaboração e reprodução ilegal de mensagens, sinais, denominações ou propaganda alusiva às gangues" nos meios de comunicação analógicos e digitais, o que levou a associação de jornalistas locais a expressar sua preocupação com o "claro intento de censura", no que foi respaldada pela organização Human Rights Watch. Seguimos acompanhando o desenrolar do projeto de lei, bem como as medidas e decisões do Poder Judiciário na árdua tarefa de preservar a liberdade de expressão ao tempo em que se combatem as fake news. __________ 1 Texto original do senador Alessandro Vieira (PSDB/SE) e substitutivo do deputado Orlando Silva (PCdoB/SP). 2 Twitter, TikTok, Facebook, WhatsApp, Google, Instagram, YouTube e Kwai. Confira-se aqui. 3 Tratamos do assunto em nossa coluna de 04/02/2022. 4 Em tradução livre, os membros ou integrantes de gangues.
Em recente decisão proferida no âmbito de ação de obrigação de fazer cumulada com indenização por danos morais ajuizada por uma pessoa física em face da Eletropaulo Metropolitana de Eletricidade de São Paulo S.A., processo 1001311-34.2021.8.26.0564, a 13ª câmara de Direito Privado do TJ/SP deu provimento ao recurso de apelação da concessionária e reformou a sentença proferida pelo juízo da 9ª vara Cível da Comarca de São Bernardo do Campo - que aplicava à espécie a responsabilidade civil objetiva, condenando a ré a "recolher os dados pessoais do autor de todos os locais onde foram compartilhados sem autorização" e a "pagar ao autor a título de danos morais a quantia de R$ 10.000,00" - para julgar improcedentes os pedidos, sob o argumento de que "não se viabiliza a determinação de obrigação de fazer genérica e cujo cumprimento não teve sua viabilidade demonstrada", bem como de "ausência nos autos do processo de elementos de convicção aptos a demonstrar a alegada violação da dignidade da pessoa humana, da honra ou da imagem do autor". Extrai-se da fundamentação do voto da relatora, desembargadora Ana de Lourdes Coutinho Silva da Fonseca, o entendimento de que "a mera constatação de que dados pessoais básicos tenham sido objeto de ilegal vazamento não configura, automaticamente, dano moral; sendo certo que não há nos autos prova de outras reverberações do referido compartilhamento irregular". A decisão tende a consolidar esse posicionamento no âmbito do TJSP, que acumula julgados no sentido que o vazamento de dados não configura dano moral in re ipsa1. Em primeiro lugar, vale registrar que a pacificação da jurisprudência em torno do tema vem em boa hora, na medida em que pretensões de indenização dessa natureza aumentaram significativamente a partir da entrada em vigor da LGPD, baseando-se nas regras de responsabilidade e de ressarcimento de danos pelos agentes de tratamento de dados contidas na Seção III do Capítulo VI da norma, notadamente o comando do artigo 42, segundo o qual "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo". Por outro lado, no que tange especificamente ao mérito da decisão, a linha de entendimento estabilizada pelo tribunal paulista se mostra correta e prudente, inibindo o desenvolvimento da chamada "indústria do dano moral" em torno do vazamento de dados pessoais, sem, no entanto, tolher o direito daqueles titulares cuja personalidade seja de fato violada por incidentes de segurança. O entendimento do TJ/SP quanto à inexistência de dano moral presumido no vazamento de dados se filia à jurisprudência do STJ, que apenas em hipóteses excepcionais afasta a regra geral que prevê a necessidade de comprovação do dano pleiteado e reconhece o dano moral in re ipsa, no qual o dever de indenizar resulta da simples ocorrência do evento danoso, dispensando a análise dos elementos subjetivos do agente causador e a prova do prejuízo. As exceções identificadas pelo STJ envolvem situações em que há inquestionável abalo psicológico da vítima e/ou claros reflexos negativos para a sua honra ou imagem, tais como no falecimento de membro da família2, na inscrição indevida em cadastro de inadimplentes3 ou no protesto indevido de título4. Não é este, em absoluto, o caso dos incidentes de segurança de dados, que, a depender da natureza e da extensão das informações vazadas e do uso que delas é feito, pode não ocasionar nenhum dano moral aos titulares afetados. Importante ressalvar que a limitação à indenização individual de titulares de dados não impede o sancionamento dos agentes de tratamento na via administrativa, pela Autoridade Nacional de Proteção de Dados, ou mesmo na via judicial, pelo Ministério Público e outras entidades legitimadas, nas situações em que o vazamento de dados decorrer da violação à legislação de proteção de dados e/ou causar danos à coletividade. Nesse aspecto, vale acrescentar que não há na LGPD nenhum elemento que permita inferir pela responsabilidade objetiva de controladores e operadores. Embora a LGPD não seja explícita quanto à natureza da responsabilidade dos agentes de tratamento, da interpretação lógico-sistemática da lei conclui-se pela adoção do regime da responsabilidade subjetiva, diante da necessidade, nos termos dos seus artigos 43 e 44, de uma avaliação qualitativa da conduta desses agentes para que surja o dever de indenizar. Inclusive, o dispositivo da LGPD que fazia alusão à responsabilidade objetiva - artigo 35, sobre a transferência internacional de dados - foi alterado logo no início do trâmite legislativo, revelando, ainda que implicitamente, a opção do legislador pela responsabilidade subjetiva. Nessa mesma linha de raciocínio, o fato de a redação do artigo 42 ter sido complementada para incluir a expressão "em violação à legislação de proteção de dados pessoais" indica que os agentes de tratamento somente serão responsabilizados quando o seu comportamento não se enquadrar nos requisitos da lei. Assim, constata-se que a jurisprudência que se solidifica no tribunal bandeirante se alinha ao espírito da LGPD e coíbe o uso abusivo de demandas indenizatórias ligadas à privacidade e à proteção de dados pessoais, evitando que haja o desvirtuamento da lei. _______________ 1 Confira-se, à guisa de exemplo: AC 1000406-21.2021.8.26.0405; Rel. Des. Pedro Baccarat, 36ª câmara de Direito Privado, DJe de 13/10/2021; AC 1000598-51.2021.8.26.0405; Rel. Des. Marcondes D'Angelo, 25ª câmara de Direito Privado, DJe de 30/9/2021; AC 1000397-59.2021.8.26.0405; Rel. Des. Irineu Fava, 17ª câmara de Direito Privado, DJe de 2/8/2021; e AC 1003108-82.2021.8.26.0002; Rel. Des. Berenice Marcondes Cesar, 28ª câmara de Direito Privado, DJe de 30/6/2021. 2 AgInt no REsp 1.165.102/RJ, Rel. Min. Raul Araújo, 4ª turma, DJe de 7/12/2016. 3 AgInt no REsp 1.828.271/RS, Rel. Min. Raul Araújo, 4ª turma, DJe de 12/3/2020. 4 AgInt no AREsp 1.457.019/PB, Rel. Min. Raul Araújo, 4ª turma, DJe de 21/11/2019.
Mês passado, um dos coautores desta coluna entrou em contato, via WhatsApp, com uma academia de uma das modalidades esportivas que mais cresce no país. A conta da empresa no aplicativo de mensagens possui atendimento virtual, ou seja, a ferramenta fornece opções e, de acordo com as respostas, direciona o usuário para as informações que - aparentemente - o cliente busca, tudo sem qualquer interação humana. Porém, a conversa não começou nada bem, como se observa do print abaixo: Em resumo: o atendimento virtual informou que a empresa está "em conformidade com a Lei Geral de Proteção de Dados (LGPD)" e, imediatamente, questionou se o cliente estaria de acordo com a política de privacidade. As opções colocadas para o usuário quanto à referida política foram apenas "sim" e "não". Ao optar pelo "não", o atendimento foi encerrado, sem qualquer outra possibilidade de discussão ou questionamento. O primeiro dos vários problemas está no fato de que a política de privacidade com a qual é obrigatória a concordância para prosseguir com o atendimento não é apresentada ao titular dos dados. Não está disponível nem mesmo no site ou nas redes sociais da empresa. E, em todos os canais, o único atendimento disponibilizado é o do WhatsApp.   A impressão transmitida é de que a política de privacidade da empresa se resume lei 13.709/2018 - LGPD), seja porque o aceite neste caso não pode ser legalmente considerado consentimento - que é a base legal utilizada no exemplo - uma vez que absolutamente inexiste "manifestação livre, informada e inequívoca" do titular dos dados pessoais quanto ao tratamento que será realizado e sua finalidade (art. 5º, XII, da LGPD). A empresa provavelmente deve contar que os potenciais futuros clientes e interessados nos serviços por ela prestados fatalmente acabem clicando na opção "sim", sem outros questionamentos. Até porque o cuidado com a proteção dos dados pessoais ainda não está totalmente consolidado no Brasil, tendo recebido impulso com a entrada em vigor da lei e, recentemente, com o novo status constitucional de direito fundamental. Já com a ideia deste artigo em mente, decidimos prosseguir da única maneira possível, fornecendo o aceite do atendimento virtual (suposto consentimento). A situação, em vez de melhorar, piorou. Para conseguir agendar uma aula experimental, foi preciso fornecer os seguintes dados pessoais: nome completo, CPF, data de nascimento e e-mail1. Somente após informados todos estes dados é que o WhatsApp nos direcionou a um atendimento pessoal. Porém, como os horários disponíveis eram poucos e as regras não permitiam fazer o agendamento da aula para a semana seguinte, fomos obrigados a iniciar um segundo contato alguns dias depois e, assim, a fornecer novamente o "consentimento" e todos os dados para, finalmente, atingir o objetivo. Aqui residem outros problemas. Além da boa-fé, um dos princípios mais importantes da LGPD é o da finalidade ou, nas palavras da lei, a "realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades" (art. 6º, I). O princípio da finalidade está em ligação direta com os princípios da adequação (compatibilidade do tratamento com as finalidades informadas) e da necessidade (limitação do tratamento ao mínimo necessário para a realização das finalidades)2. Retornando ao exemplo do texto, não há qualquer justificativa para a coleta de tantos dados quanto os solicitados de alguém que sequer mantém relação contratual com a empresa (que, aqui, age enquanto controladora dos dados). Os dados são exigidos como condição para que o titular possa obter informações sobre os serviços prestados pela academia. Não se está, no momento de fornecimento dos dados pessoais, realizando a matrícula ou qualquer ato negocial. Assim, não há finalidade que justifique o tratamento de tantos dados para um simples fornecimento de informações. O nome do interessado e um meio de contato, como o número do celular e/ou o e-mail, seriam suficientes (o chamado "mínimo necessário") e adequados para o bom atendimento e ainda poderiam ser enquadrados - além do consentimento3 - como legítimo interesse do controlador (art. 7º, IX, da LGPD), na medida em que é de se esperar que a empresa possa ter informações sobre quem tem interesse em seus serviços e eventualmente enviar promoções e ofertas em busca de novos alunos. Embora muitas empresas já tenham se adequado à lei, inclusive na prestação de informações de forma clara e inequívoca aos titulares de dados pessoais, observa-se que ainda há muito a ser feito. No contexto da LGPD, "gambiarras" como apenas informar que ela está sendo cumprida ou oferecer ao titular as hipóteses binárias de aceitar tudo ou não usufruir do serviço ofertado certamente não podem ser vistas como cumprimento efetivo da lei. __________ 1 Acrescente-se a todos estes dados o número do telefone, uma vez que o atendimento se deu pelo WhatsApp. 2 Art. 6º, II e III, da LGPD. 3 Caso este fosse corrigido pela empresa e passasse a seguir as exigências da lei e não o suposto consentimento do "você concorda com nossa política? Sim ou não?".
No último dia 10 de fevereiro, o Congresso Nacional promulgou a EC 115/22, acrescentando ao artigo 5º da Constituição Federal o inciso LXXIX, que assegura, nos termos da lei, "o direito à proteção dos dados pessoais, inclusive nos meios digitais". A promulgação da EC 115/22 ocorre poucos meses após o pleno do STF julgar a ADIn 6.393, reconhecendo a proteção de dados pessoais e a autodeterminação informativa como direitos fundamentais autônomos, conferindo-lhes salvaguarda especial, tanto como um mecanismo para reforçar a proteção individual, como para garantir uma limitação na intervenção do Estado. A emenda teve origem na PEC 17/19, de autoria do senador Eduardo Gomes (MDB/TO) e de relatoria da senadora Simone Tebet (MDB/MS), aprovada pela Câmara dos Deputados e pelo Senado no ano passado. O presidente do Senado, Rodrigo Pacheco (PSD/MG), classificou a emenda como uma "medida meritória", que, segundo ele, reforça a segurança jurídica e favorece os investimentos em tecnologia no Brasil, destacando que os novos mandamentos constitucionais complementam, lastreiam e reforçam dispositivos inseridos recentemente na legislação ordinária, como o Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD)1. Com isso, a proteção de dados pessoais assume o status de um direito fundamental, uma cláusula pétrea da matriz constitucional, inerente aos indivíduos - portanto irrenunciável, inalienável e inviolável - e essencial a uma vida digna, fazendo com que essa proteção se torne um dever do Estado. Além disso, a promulgação da EC 115/2022 evidencia a distinção entre proteção de dados e privacidade, esta última já prevista no inciso X do artigo 5º da Constituição Federal. Com efeito, a proteção de dados pessoais é muito mais do que um mero desdobramento do direito à privacidade - ligado ao princípio da inviolabilidade, sobretudo das comunicações -, sendo certo que a sua inserção em um inciso separado, após o acolhimento de propostas de alteração no texto original da PEC 17/2019, confirma essa sua condição de direito autônomo. Mas não foi só. A EC 115/22 também incluiu os incisos XXVI e XXX, respectivamente, aos artigos 21 e 22 da Carta Magna, atribuindo à União competência para organizar e fiscalizar a proteção e o tratamento de dados pessoais, bem como competência privativa para legislar sobre a matéria. O objetivo foi afastar o risco de iniciativas legislativas de estados e municípios que pudessem interferir na aplicação da LGPD e outras normas que venham a ser editadas pela União visando a tutela dos dados pessoais. A preocupação se deve ao fato de que, após a edição da LGPD, houve um movimento de diversos municípios no sentido de aprovarem suas próprias leis de proteção de dados, gerando o risco concreto de um verdadeiro caos jurídico. Ainda em 2018, a cidade de Vinhedo/SP aprovava a Lei Complementar 161/18, seguida por iniciativas semelhantes em João Pessoa/PB e Cariacica/ES, além de múltiplos projetos de outros municípios Brasil afora. Essa situação serviu de alerta para o poder legislativo federal e para a comunidade jurídica em geral, devido à clara insegurança jurídica decorrente da existência de diversas normas dispondo sobre o mesmo tema. Desde então, vinha se defendendo a competência legislativa exclusiva da União, agora confirmada e consolidada pela edição da EC 115/22. A positivação do direito à proteção de dados pessoais na Constituição Federal irá sem dúvida fortalecer a importância do cumprimento da LGPD, contribuindo para a conscientização das instituições privadas e dos entes públicos quanto à necessidade de adequarem as suas operações de tratamento de dados pessoais. Por outro lado, a emenda também valoriza a atuação da Autoridade Nacional de Proteção de Dados (ANPD) como entidade independente responsável pela uniformização e consistência na aplicação da LGPD, encerrando definitivamente as discussões em torno de uma possível fragmentação das atribuições da ANPD, o que também poderia trazer grandes dúvidas e incertezas, como no caso da Lei Complementar de Vinhedo/SP, que atribuía à ouvidoria da Câmara de Vereadores a competência para fiscalização da proteção de dados. Finalmente, o reconhecimento da proteção de dados pessoais como direito fundamental também traz benefícios de ordem econômica, elevando o grau de segurança da informação, conferindo maior visibilidade junto à comunidade internacional, o que fortalece o relacionamento do Brasil com os países que têm alto nível de adequação. Enfim, com a promulgação da EC 115/22, a exemplo da União Europeia - que também elevou a proteção de dados pessoais à condição de direito fundamental a partir da convenção de Strasbourg -, e mesmo de outros países da América Latina, como Chile, Uruguai e México, o Brasil avança na sua consolidação como um país que reconhece e prioriza a proteção de dados pessoais. _________ 1 Fonte agência senado. Disponível aqui.
sexta-feira, 4 de fevereiro de 2022

Telegram "subiu no telhado" no Brasil

Nos últimos meses, o aplicativo de mensagens Telegram vem sendo apontado como a mais nova plataforma de distribuição em massa de fake news, bem como de ser uma espécie de "rede sem lei"1, que se recusa a atender as solicitações das autoridades judiciais brasileiras, em especial do TSE, que está realizando um trabalho preventivo2 junto aos principais aplicativos e redes sociais com vistas a evitar que se repita no pleito de 2022 o verdadeiro festival de fake news que marcou as eleições brasileiras de 20183, à semelhança do que ocorrera dois anos antes na disputa presidencial estadunidense. Curiosamente, o Telegram, aplicativo criado por russos e atualmente sediado nos Emirados Árabes Unidos - e que hoje se encontra ameaçado de encerramento das atividades no país - teve seus principais momentos de expansão no Brasil justamente nos períodos em que seu maior concorrente, o WhatsApp, enfrentou problemas com a Justiça brasileira, sofrendo seguidas ordens de bloqueio em decorrência de alegado descumprimento de decisões judiciais4. Posteriormente, o aplicativo acabou se tornando famoso com a divulgação das conversas trocadas entre membros do Ministério Público Federal de Curitiba e entre eles e o então juiz federal Sérgio Moro, no que ficou conhecido como "vaza-jato", em associação à operação Lava-Jato, por eles conduzida. Porém, a situação enfrentada atualmente pelo Telegram difere substancialmente das ordens que tiraram o WhatsApp do ar por algumas horas anos atrás e culminaram no questionamento de sua legalidade - e da proporcionalidade da medida - perante o Supremo Tribunal Federal5. Em tais casos, o que estava em jogo era o descumprimento de decisões criminais específicas, que exigiam acesso a conteúdo de conversas trocadas por meio do aplicativo de forma criptografada. Além disso, segundo consta, a empresa responsável pelo WhatsApp participou dos processos em questão, apresentando justificativas técnicas e/ou jurídicas sobre o motivo das recusas. Outro ponto importante é que, embora empresas estrangeiras por vezes argumentem em juízo que suas filiais brasileiras funcionam somente para venda de publicidade digital - justificativa quase sempre rechaçada pelo Judiciário - elas possuem representantes no país e endereços onde são regularmente citadas e intimadas, constituem advogados e apresentam defesa, raramente se furtando de comparecer aos tribunais. Sem embargo, claro, de poderem discordar de ordens judiciais, recorrer e até descumpri-las, sujeitas às penalidades decorrentes do descumprimento. O Telegram, contudo, não possui endereço ou representante no Brasil e, segundo informado pelo próprio TSE, não respondeu a nenhum questionamento daquela corte, nem mesmo ao convite formulado pelo ministro Roberto Barroso para que fossem avaliadas medidas a serem tomadas durante o período eleitoral6. O tema deve ser debatido pelos ministros do TSE neste início de ano, uma vez que o tribunal eleitoral tem função dúplice, não apenas julga as ações eleitorais, mas tem atuação administrativa de regulamentação do pleito. A discussão sobre a possibilidade de bloqueio e proibição de funcionamento do aplicativo não é simples, ainda que não possa ser considerada novidade pelo Telegram, que já foi banido de ao menos onze países7. Por um lado, o Marco Civil da Internet tem a liberdade de expressão como seu fundamento, princípio e objetivo (arts. 2º, caput, 3º, I e 4º, II); por outro, apresenta como sanções aos provedores de conexão ou de aplicações a suspensão temporária e até mesmo a proibição do exercício das atividades referentes a operações envolvendo dados pessoais ou "comunicações", exigindo que as empresas que prestem tais serviços respeitem a legislação brasileira, ainda que sediadas no exterior, "desde que pelo menos um dos terminais esteja localizado no Brasil" ou "que oferte serviço ao público brasileiro" (arts. 11, caput e §§ 1º e 2º e 12, III e IV, do Marco Civil). Há quem defenda ser necessária a aprovação de uma lei regulamentando critérios e procedimento próprios para que o Judiciário possa vir a proibir o funcionamento de um aplicativo no território nacional. Para outros, o bloqueio, embora considerado uma medida drástica, é possível: (i) tecnicamente (com a remoção do aplicativo das lojas Apple Store e Google Play ou o bloqueio a partir da infraestrutura dos provedores de conexão, como realizado nos casos envolvendo o WhatsApp); e (ii) juridicamente, uma vez que existe previsão legal. Sem dúvida, eventual proibição de funcionamento não atingirá apenas os responsáveis pela propagação de fake news ou por outros ilícitos cometidos no aplicativo, mas todos que o utilizam (estima-se que o Telegram esteja presente em mais de 50% dos celulares no país), prejudicando usuários que terão que migrar suas comunicações para outros serviços e, numa perspectiva mais ampla, a própria liberdade de comunicação. Porém, a desproporcionalidade verificada nos casos criminais envolvendo o WhatsApp não é tão acentuada na discussão relativa ao Telegram, já que a empresa não se preocupa sequer em responder os chamados das autoridades brasileiras8, tornando ineficazes medidas menos drásticas que poderiam ser aplicadas. Do que adiantaria, por exemplo, a fixação de uma multa diária que não teria como ser cobrada? O efeito poderia ser o oposto do pretendido: empresas aqui estabelecidas, percebendo que outra que optou por não ter representantes no país escapa de qualquer punição, teriam um incentivo para fechar seus escritórios brasileiros e, assim, escapar de problemas judiciais. Por fim, mas não menos importante, deve ser levado em conta que o período eleitoral é de poucos meses, o que torna ainda mais difícil aguardar eventual colaboração por parte de uma empresa estrangeira que já demonstrou não se preocupar com as denúncias de ilícitos ocorridos em seu aplicativo. Mantida a postura, o TSE precisa ser ágil em defesa da lisura das eleições e da democracia. ________________ 1 Vide reportagem da Folha de S.Paulo de 09/10/2021 (para assinantes). 2 Vide reportagem da BandNews de 22/01/2022. - Disponível aqui 3 Vide reportagem do Poder360 de 28/10/2021. - Disponível aqui 4 Sobre as ordens de bloqueio do WhatsApp, confira reportagem do G1 de 19/07/2016. - Disponível aqui 5 ADPF 403, relator o ministro Edson Fachin e ADI nº 5.527, relatora a ministra Rosa Weber, ambas atualmente com vista ao ministro Alexandre de Moraes. Confira em Migalhas de 28/05/2020. - Disponível aqui 6 Vide reportagem do jornal O Tempo de 23/01/2022. - Disponível aqui 7 Vide reportagem da Exame de 20/01/2022. - Disponível aqui 8 De acordo com reportagem do UOL de 02/02/2020, os criadores do Telegram somente atendem uma ordem judicial, de qualquer país, se houver confirmação de que a pessoa é suspeita de terrorismo. Qualquer outro pedido é considerado pela empresa como restrição à liberdade de expressão. - Disponível aqui
sexta-feira, 21 de janeiro de 2022

Vem aí o Real digital

Responsável por um dos sistemas financeiros reconhecidamente mais sólidos do planeta, o Banco Central do Brasil (BC) se mantém atento às transformações digitais da economia global e, nesse âmbito, às inovações para ampliação dos meios de pagamento, notadamente a tendência de emissão de moedas virtuais pelos bancos centrais, as denominadas CBDCs, abreviatura do termo em inglês Central Bank Digital Currencies. Depois de divulgar, em junho de 2021, as diretrizes para o desenvolvimento de uma moeda digital brasileira - com destaque para: (i) a ausência de remuneração1; (ii) a construção de um modelo tecnológico que permita integral atendimento às recomendações internacionais e normas legais sobre prevenção à lavagem de dinheiro, ao financiamento do terrorismo e da proliferação de armas de destruição em massa, inclusive o rastreamento de operações ilícitas; (iii); a adoção de solução que permita interoperabilidade e integração visando à realização de pagamentos transfronteiriços; e (iv) a aderência a todos os princípios e regras de privacidade e segurança determinados, em especial, pela Lei Complementar 105/01 (sigilo bancário) e pela Lei Geral de Proteção de Dados Pessoais (LGPD) -, o BC seguiu a iniciativa de países como Estados Unidos, Reino Unido e China e, em dezembro/2021, juntamente com a Federação Nacional das Associações de Servidores do Banco Central (FENASBAC), lançou o LIFT Challenge, laboratório para avaliar o uso e a capacidade de execução de projetos envolvendo o Real digital, com a previsão de realização de testes específicos até o final deste ano. Bahamas e Venezuela já têm suas moedas digitais, o sand dollar e o petros, respectivamente. A China iniciou em 2020 um piloto em algumas cidades, tendo como meta se tornar o primeiro país a abolir o uso do dinheiro em espécie. No Brasil, o Real digital vai muito além dos outros meios de transferência eletrônica, como o Pix - meio de pagamento eletrônico instantâneo criado pelo BC, que possibilita transferências de qualquer valor e a qualquer momento do dia, entre pessoas físicas, empresas e o governo -, pois permitirá a movimentação de moeda que não existe fisicamente. Por isso, a expectativa é de que, além da economia de recursos, a moeda virtual brasileira aumente a eficácia do sistema de pagamentos de varejo, fomente modelos inovadores de negócio a partir de evoluções tecnológicas, como contratos inteligentes (smart contracts), internet das coisas (IoT) e dinheiro programável, bem como favoreça a participação do Brasil no cenário econômico global, aumentando a eficiência nas transações transfronteiriças. A tecnologia a ser utilizada para a implantação dessa moeda virtual ainda não foi definida, mas é provável a utilização do blockchain - espécie de Distributed Ledger Technology - DLT, isto é, um livro-razão descentralizado e imutável que registra e valida transações e rastreia ativos -, o mesmo sistema de criptomoedas como Bitcoin, Ethereum e Binance Coin. Importante ressalvar que o Real digital, assim como qualquer CBDC, terá seu valor atrelado ao do papel moeda convencional, integrando a política monetária nacional. Por isso, essas moedas virtuais não se confundem com as criptomoedas, que não são moedas correntes, mas ativos digitais, com valor instável e especulativo e cuja liquidação exige a conversão por uma moeda corrente. Em paralelo ao projeto do BC, a Câmara dos Deputados aprovou, no dia 7/12/2021, o PL 2.303/152, de autoria do deputado federal Aureo Moreira Ribeiro (Solidariedade/RJ), que regulamenta as criptomoedas no país, visando criar um ambiente normativo que permita o pleno desenvolvimento das moedas digitais. O texto agora segue para votação pelo Senado, cuja Comissão de Ciência e Tecnologia (CCT), por iniciativa de seu presidente, o senador Rodrigo Cunha (PSDB/AL), realizou em setembro de 2021 audiência pública interativa para debater a criação e implantação do Real digital. O PL 2.303/15, entre outras coisas: (i) sujeita a disciplina do controle e funcionamento das corretoras de criptoativos a um ou mais órgãos da administração pública federal, a ser apontado pelo Poder Executivo (ao que tudo indica o BC) (art. 2º); (ii) fixa as diretrizes para o funcionamento do mercado de criptoativos, em linha com aquelas divulgadas pelo BC (art. 4º); e (iii) acrescenta uma nova modalidade de estelionato no Código Penal, consistente em "organizar, gerir, ofertar ou distribuir carteiras ou intermediar operações que envolvam ativos virtuais, valores mobiliários ou quaisquer ativos financeiros com o fim de obter vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento", punível com pena de 4 a 8 anos de reclusão e multa (art. 10 do PL, que acrescenta o art. 171-A ao Código Penal). O caminho parece ser este mesmo, acompanhando as iniciativas de digitalização dos mercados financeiros mundiais, potencializadas pela pandemia do novo Coronavírus. Entretanto, a despeito das inegáveis vantagens das moedas digitais, a sua utilização eleva os riscos de fraude, de modo que a sua implementação deve ser feita de forma responsável e gradual, com a observância de todos os protocolos de proteção de dados e de segurança da informação. Nesse sentido, a ampla discussão do tema pela sociedade, inclusive via projetos como o LIFT Challenge, a edição de um arcabouço normativo específico e a criação de órgãos regulatórios evidencia que nossas autoridades vêm se preocupando com a construção de um base robusta e perene para a implantação do Real digital. 1 A ausência de remuneração é mais um elemento tendente a equiparar a moeda digital ao papel moeda. Dessa forma, por exemplo, do mesmo modo que uma nota de R$10,00, quando você mantiver o valor de R$10,00 em forma digital em sua carteira virtual, esse valor não será alterado ao longo do tempo. 2 Inteiro teor da versão final da Câmara dos Deputados encaminhada ao Senado Federal, disponível aqui (acesso em 19/01/2022).
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 29 de outubro, a primeira resolução1 editada por seu Conselho Diretor, destinada a regulamentar o processo fiscalizatório, bem como o processo administrativo sancionador daquela agência. Suas atividades englobam expressamente: monitoramento, orientação e atuação preventiva, sem se descuidar da aplicação de sanções administrativas (art. 2º, caput e parágrafos)2.   Com a publicação e imediata entrada em vigor do regulamento, tanto os titulares de dados pessoais cujos direitos são objeto de proteção pela ANPD, quanto os "agentes regulados", sujeitos à fiscalização e às sanções, passam a conhecer as regras do jogo, desde os deveres de quem realiza o tratamento de dados pessoais de terceiros, até o trâmite do processo administrativo sancionador em todas suas fases, com destaque para as regras processuais e procedimentais. As definições surgem em boa hora, pois a ausência de uma cultura de proteção de dados no Brasil, aliada à possibilidade de punições em diversas frentes - administrativas e judiciais - em razão de um mesmo fato e à inexistência de parâmetros para a aplicação de penalidades trazia ansiedade e insegurança jurídica aos agentes de tratamento de dados (controladores e operadores)3. Neste sentido, importantíssima a definição de que a ANPD irá promover "a orientação, a conscientização e a educação" de pessoas e empresas, assim como buscará "a construção conjunta e dialogada de soluções" (art. 15, §§ 2º e 3º). Isso porque, em que pese o considerável prazo de vacatio legis - aumentado no capítulo relativo às sanções administrativas - é certo que grande número das empresas ainda não se adequou totalmente à Lei Geral de Proteção de Dados Pessoais (LGPD) e, mesmo as que já finalizaram a adequação, a falta de critérios bem definidos sobre as infrações e a aplicação de sanções faz com que a função educativa e de conscientização por parte da ANPD seja essencial neste primeiro momento. Na mesma linha, também adequada a indicação de que a Autoridade Nacional trabalhará com ciclos anuais de monitoramento e mapas dos temas prioritários que serão objeto de estudo e planejamento da atividade de fiscalização, com definição de objetivos e cronograma de execução (arts. 19 a 23). No âmbito processual, um dos destaques é a contagem dos prazos apenas em dias úteis, excluído o dia do começo e incluído o do término do prazo, (art. 8º), regra que se encontra em total consonância com o Código de Processo Civil e que já deveria ter sido objeto de alteração na Lei 9.784/99, que regula o processo administrativo federal4. Para as intimações (art. 12), são previstas desde a forma eletrônica, com leitura da determinação constante diretamente nos autos eletrônicos, até a publicação de edital, meio de comunicação fictício em que se sabe - desde os bancos da faculdade - que não é atingido o objetivo primordial da intimação, que é dar ciência às partes do que ocorre no processo5. Traçando certo paralelismo com o interesse processual6, o regulamento exige que a apresentação de requerimentos à ANPD seja acompanhada da comprovação de que o requerente submeteu previamente seu pedido ao controlador e que o problema não foi solucionado no prazo estabelecido (art. 25, § 1º). Ou seja, se o titular dos dados pessoais ou o interessado sequer procurou o agente de tratamento para resolver a situação, não poderá bater às portas da ANPD com sua reclamação. No capítulo da atividade preventiva, destaca-se o plano de conformidade para evitar ou remediar situações de risco ou de dano aos titulares de dados pessoais. Tal plano deve prever o objeto, as ações a serem adotadas, o prazo, os critérios de acompanhamento e finalmente a verificação dos resultados. Seu descumprimento tem como consequência o início da atuação repressiva da ANPD e pode ainda ser considerado agravante em procedimento sancionador (art. 36). De ofício ou após processo de monitoramento ou de fiscalização, com ou sem a realização de procedimento preparatório pela Coordenação-Geral de Fiscalização da ANPD, pode finalmente ser instaurado o processo administrativo sancionador (art. 37 e seguintes), que deverá seguir uma série de princípios da Administração Pública, tais como legalidade, finalidade, motivação e busca de fins de interesse geral. As garantias processuais da ampla defesa e do contraditório também se encontram presentes, além de ser expressamente "vedada a imposição de obrigações, restrições e sanções em medida superior àquelas estritamente necessárias ao atendimento do interesse público". Esta última previsão, embora salutar, terá difícil aplicação, pois a definição do que seria estritamente necessário ao interesse público envolve grande dose de subjetivismo e discricionariedade, podendo-se desde já imaginar que o Judiciário será chamado a se manifestar sobre eventuais exageros na imposição de sanções administrativas. Como tópico derradeiro, o regulamento - ao contrário da previsão genérica do artigo 65 da Lei nº 9.784/1999 - traça as hipóteses e o procedimento do pedido de revisão administrativa das sanções, pleito que não terá efeito suspensivo relativo ao crédito decorrente da aplicação das punições (arts. 68 e 69). Com a edição do regulamento, a ANPD privilegiou a segurança jurídica, possibilitando que as empresas tenham conhecimento prévio do que as aguarda em casos envolvendo o tratamento de dados pessoais. _____________ 1 Resolução CD/ANPD 1/2021. 2 Salvo quando expressamente informado, todas as referências a artigos, parágrafos e incisos feitas neste texto referem-se ao Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no Âmbito da ANPD. 3 Sobre o tema, vide nossas colunas Sua empresa já está preparada para responder a incidentes ligados à proteção de dados pessoais? e Sanções administrativas da LGPD finalmente entrarão em vigor. 4 O artigo 66, § 2º, da Lei nº 9.784/1999 prevê que os prazos expressos em dias contam-se de modo contínuo, disposição que guardava relação com o CPC vigente à época de sua edição. Desde a entrada em vigor do CPC/2015, contudo, a regra perdeu sentido, sendo de rigor sua alteração, para que volte a manter coerência com o processo civil. Válido mencionar que a lei de 1999 aplica-se subsidiariamente ao novo regulamento (art. 1º, § 2º), o que aumenta a importância da estipulação expressa de prazos em dias úteis. 5 A partir do art. 45, o regulamento disciplina as fases do processo administrativo sancionador, com regras processuais bem definidas, desde sua instauração, até a fase de cumprimento da decisão e inscrição na dívida ativa. 6 Em artigo publicado no Migalhas em 18/08/2017, Paulo Henrique dos Santos Lucon afirmou que "para a comprovação do interesse processual, primeiramente, é preciso a demonstração de que sem o exercício da jurisdição, por meio do processo, a pretensão não pode ser satisfeita. Daí surge a necessidade concreta da tutela jurisdicional e o interesse em obtê-la".
Não cabe dúvida de que a entrada em vigor da Lei Geral de Proteção de Dados - LGPD, exige que todos os departamentos das empresas revisem e adequem os seus fluxos de tratamento de dados pessoais, mas, passados três anos desde a promulgação da Lei, constata-se que a área de propaganda e marketing é uma das maiores - se não a maior - impactada pelo novo modelo de proteção e privacidade. Até o advento da LGPD, eram práticas comuns - e, a rigor, sem vedações legais específicas - a coleta da maior quantidade possível de dados pessoais de consumidores (muitos deles até desnecessários), a aquisição de mailing lists1, a contratação ou desenvolvimento de serviços de profiling2, enfim, as mais variadas práticas visando atingir, aproximar e atrair clientes. Doravante, estas práticas encontram limites na LGPD, sobretudo nos princípios da finalidade, necessidade, adequação e transparência, bem como na necessidade de que o tratamento de dados pessoais se realize com a observância de uma das bases legais dos artigos 7º ou 11 da lei. Em outras palavras, para além de observar o princípio da minimização, ou seja, cuidar para que os dados pessoais coletados sejam adequados, oportunos e limitados ao que é exigido pelas finalidades que determinam o seu processamento, as ações promocionais das empresas devem partir de uma das hipóteses legais que autorizam o tratamento. No caso específico do marketing, o tratamento de dados pessoais, via de regra, se dará com fundamento no legítimo interesse do controlador (artigo 7º, IX) ou no consentimento do titular (artigos 7º, I, e 11, I) e, excepcionalmente, com base na execução do contrato (artigo 7º, V). O legítimo interesse é a base legal mais subjetiva e flexível da LGPD, que inclusive não define o conceito, limitando-se a consignar, em seu artigo 10, que somente pode ser utilizado para "finalidades legítimas, consideradas a partir de situações concretas". De maneira geral, entende-se que haverá legítimo interesse sempre que o tratamento do dado pessoal, da forma realizada e para os fins pretendidos pelo controlador, estiver na esfera de expectativa do titular e não viole os seus direitos e liberdades fundamentais. Nesse aspecto, a própria LGPD aponta que, entre as finalidades que consubstanciam o legítimo interesse, está o "apoio e promoção de atividades do controlador", numa clara referência às ações de marketing. Ainda assim, e não obstante seja um conceito aberto, não é qualquer atividade de marketing que poderá ser realizada com base no legítimo interesse. O considerando 47 da General Data Protection Regulation - GDPR, norma que regula a privacidade e proteção de dados no âmbito da Comunidade Europeia e que serviu de inspiração para a LGPD, ressalva expressamente que se considera no legítimo interesse do controlador o tratamento de dados pessoais efetuado para fins de "marketing direito", que pode ser entendido como aquele pautado em ações focadas no acesso direto, sem intermediários, e no esforço de fortalecimento da relação com clientes que já demonstraram algum interesse pelos produtos ou serviços da empresa. Diante disso, e em linha com a regra do artigo 37 da LGPD, recomenda-se que a empresa tenha cuidado redobrado no registro de operações de tratamento de dados para fins de marketing realizadas com base no legítimo interesse, elaborando o chamado Legitimate Interest Assessment - LIA3, que permite avaliar a viabilidade na utilização do legítimo interesse como fundamento para determinada operação de tratamento de dados pessoais. Ademais, é fundamental que nas abordagens promocionais baseadas no legítimo interesse, as respectivas mensagens confiram ao cliente a opção de opt-out, isto é, de solicitar a remoção dos seus dados da lista de e-mails comerciais/spam da empresa remetente. Vale lembrar, ainda, que o tratamento de dados pessoais definidos no art. 5º, II, da LGPD como sensíveis4, não pode ser realizado com base no legítimo interesse, por ausência de previsão no artigo 11 da lei. Neste caso e de outros que não admitam o tratamento de dados pessoais com base no legítimo interesse, as ações de marketing deverão ser realizadas mediante a obtenção de prévio consentimento, o qual, nos termos dos artigos 5º, XII, e 8º, §4º, da LGPD, deve ser dado pelo titular mediante manifestação livre, informada, inequívoca e para uma finalidade específica, sendo nulas autorizações genéricas. Todavia, ao pautar suas ações promocionais no consentimento, a empresa deve estar ciente de que este pode ser revogado a qualquer tempo pelo titular, hipótese em que o tratamento dos dados deverá cessar imediatamente, o que pode comprometer determinadas campanhas ou estratégias. Excepcionalmente, algumas ações específicas de marketing, quando relacionadas a uma negociação em andamento ou a procedimentos ligados à pós-venda, podem ser enquadradas na base legal de execução de contrato (artigo 7º, V). Nesse sentido, por exemplo, o envio de e-mail ao consumidor lembrando que ele interrompeu sua compra no site da empresa e deixou produtos no "carrinho virtual", ou que chegou o momento de realizar a revisão do produto para que não haja a perda da garantia. Em tais situações, porém, a ação deve ser bastante específica, alcançando apenas os produtos envolvidos na relação contratual ou pré-contratual. Um último ponto que merece destaque diz respeito à aquisição de mailing lists. Essa prática, largamente utilizada e oferecida por diversas empresas, passa a ter limites na LGPD, em especial nas bases legais que autorizam o tratamento de dados pessoais. A rigor, a única base legal que autoriza a comercialização de dados pessoais é o consentimento, ou seja, a concordância do titular no sentido de que seus dados sejam oferecidos onerosamente pelo controlador a terceiros. Nessa situação, não há como sustentar a presença do legítimo interesse, pois não é razoável supor que o titular tenha a expectativa de que seus dados pessoais sejam vendidos pelo controlador. Mesmo dados pessoais: (i) cujo acesso é público ou (ii) que tenham sido tornados manifestamente públicos pelo titular, só podem ser tratados se forem respeitados a finalidade e o interesse público que justificaram a sua disponibilização (artigo 7º, §3º), os direitos do titular e os princípios da LGPD (artigo 7º, §4º), o que, obviamente, impede a sua exploração econômica via compilação de mailing lists para comercialização. Dessa forma, ao adquirir mailing lists é essencial certificar-se de que os dados pessoais nela contidos tenham sido obtidos por meios lícitos, sob pena de a empresa adquirente poder vir a ser responsabilizada pelo tratamento ilegal de tais dados. Em suma, portanto, é fundamental que as empresas revisem as suas estratégias de marketing, verificando se há base legal para o tratamento das informações contidas em suas bases de dados, elaborando o LIA sempre que necessário, redobrando o cuidado na aquisição de mailing lists, enfim, ajustando todos os procedimentos que envolvam o tratamento de dados pessoais. __________ 1 Listas de endereçamento eletrônico para distribuição de informações/propagandas em larga escala para usuários da rede mundial de computadores. 2 Análise comportamental do cliente/consumidor para identificar hábitos de consumo e realizar um marketing direcionado. 3 O LIA é um teste de ponderação dividido em 4 fases: (i) legitimidade (real interesse no tratamento dos dados); (ii) necessidade (se os dados utilizados são os menos intrusivos e estritamente necessários para atingir a finalidade pretendida); (iii) balanceamento (verificação da compatibilidade do tratamento dos dados frente à expectativa do titular e à preservação de seus direitos e liberdades fundamentais) e (iv) salvaguardas (medidas empregadas para garantir o cumprimento dos direitos dos titulares, tal como controles de acesso aos dados). 4 Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.  
Há exatos dois anos, em 11 de outubro de 2019, iniciávamos nossa coluna comentando que, passada então metade de uma década da promulgação do Marco Civil da Internet, ainda não havia sido atualizada a legislação autoral, sendo claramente insuficientes as previsões contidas na lei 9.610/1998 (Lei de Direitos Autorais - LDA) para regulamentar os direitos de autor e conexos no âmbito da internet. Na oportunidade, lamentávamos que o anteprojeto de modernização da lei, cujo trâmite teve início em 2010, havia sido esquecido nos escaninhos de Brasília, ao tempo em que o Ministério da Cidadania realizara nova consulta pública para reforma da LDA, deixando de lado tudo o que havia sido debatido por especialistas e sociedade nos anos anteriores. Transcorridos mais dois anos até os dias de hoje, não se avançou quase nada. Não há nenhuma informação sobre a consulta pública nos sites da Secretaria da Cultura ou da Secretaria Nacional de Direitos Autorais e Propriedade Intelectual. Aqui, um parêntesis digno de nota: para consultar as informações sobre a Secretaria, é obrigatório criar um cadastro no portal do governo federal1 ou acessar por meio de certificado digital, nas duas opções com fornecimento de um número válido de telefone celular - que é confirmado com o envio de código por SMS - em total desapreço à ampla publicidade que deveria nortear as informações do governo, sem falar no potencial abuso dos princípios da Lei Geral de Proteção de Dados Pessoais, em especial o princípio da necessidade. Fato é que, mesmo tendo passado por tão grandes e rápidas transformações - dos CD's ao Spotify, da TV a cabo aos serviços como Netflix e Globoplay, dos livros impressos aos e-books - o direito autoral permanece não adequadamente tutelado na internet e, assim, mal protegido. Isso, somado à ainda baixa percepção por parte da sociedade dos males da pirataria e da gravidade de se adquirir e livremente compartilhar cópias piratas de livros, filmes e músicas, bem como senhas de assinaturas individuais de plataformas de streaming, faz com que a situação seja ainda mais dramática. Atualmente, o Congresso Nacional discute projeto de lei que prevê multas de até R$ 50 mil para fraudes aos direitos autorais (substitutivo ao PL 5.675/2019), questão meramente periférica ao debate principal e, em paralelo, o governo federal tentou, por meio da malfadada Medida Provisória 1.068 - em boa hora suspensa pelo STF e devolvida à presidência da República pelo presidente do Senado Federal2 - disciplinar a matéria juntamente com a tentativa de impedir que as redes sociais pudessem excluir fake news e perfis acusados de espalhar discurso de ódio e informações falsas3. Embora nossa posição fosse frontalmente contrária à MP n° 1.068, especialmente pela falta de debate em sua edição e imediata entrada em vigor, seu texto apresentava um tímido avanço no ponto específico dos direitos autorais, como na definição de "justa causa" a permitir: (i) a suspensão ou até o cancelamento de uma conta ou perfil em rede social no caso de oferta de produtos que violem direitos autorais; e (ii) a suspensão ou bloqueio de conteúdo postado por terceiro destinado a difundir o uso de aplicativos ou tecnologia voltados à violação de tais direitos (arts. 8º-B, § 1º, V e 8º-C, § 1º, II, "i", da proposta de nova redação do Marco Civil). Com a conjugação desses três fatores: anteprojeto de lei deixado de lado, MP rejeitada (devolvida) pelo Congresso e projeto de lei que irá começar do zero, com mínimas alterações na regulação da matéria, os tribunais seguem majoritariamente aplicando a regra geral da responsabilidade subjetiva prevista no artigo 19 do Marco Civil da Internet, obrigando os ofendidos a se socorrerem do Judiciário para a remoção de conteúdo que viole direitos autorais, embora a LDA preveja responsabilidade solidária e punição a todos que venderem, distribuírem ou tiverem em depósito "obra ou fonograma" reproduzidos com fraude, para obtenção de ganho direto ou indireto, para si ou para outrem, com possibilidade de aplicação de sanções cíveis e penais aos que transmitirem ou retransmitirem, "por qualquer meio ou processo", obras artísticas, literárias e científicas mediante violação aos direitos de seus titulares (arts. 104 e 105). Assim, em plena era em que tudo está na internet e as mídias físicas são substituídas pelo acesso virtual, os provedores de aplicações de internet, fundados na justificativa de não estarem obrigados a fazer controle prévio de conteúdo4, nem poderem censurar terceiros sem ordem judicial de remoção, muitas vezes acabam por escapar da responsabilidade por violação a direitos autorais graças à ausência de legislação específica que regule o tema. Nobel da Paz premia liberdade de expressão Os jornalistas Maria Ressa e Dmitri Muratov, ela das Filipinas e ele da Rússia, receberam o Prêmio Nobel da Paz de 2021, em clara mensagem de defesa das liberdades de expressão e de imprensa, sistematicamente atacadas em diversos países. Em reportagem da Folha de S.Paulo, a porta-voz do comitê responsável pelo prêmio fez questão de pontuar que, embora essencial para a vida democrática, a liberdade de expressão não é absoluta e não pode ser utilizada como salvaguarda para abusos: "Temos mais imprensa e informação do que nunca, mas também temos o abuso e a manipulação da liberdade de expressão e do discurso público com as fake news. A liberdade de expressão é cheia de paradoxos. Fake news também são violações da liberdade de expressão". O recado ultrapassa as fronteiras filipinas e russas e encontra destinatários também no Brasil, como se viu com a comentada MP nº 1.068, cujo objetivo implícito, sob o manto da defesa da liberdade de expressão, era justamente impedir que as redes sociais pudessem combater a propagação de fake news5. __________ 1 Acesso mediante cadastro. 2 Após devolução pelo Senado, o governo enviou ao Congresso Nacional projeto de lei de idêntico teor à MP, o que possibilitará debate pelo Legislativo. 3 Embora o projeto se apresentasse publicamente como em defesa da liberdade de expressão. 4 Reconheça-se que alguns provedores, ao identificar em suas plataformas violação a direitos autorais, promovem imediatamente o bloqueio do conteúdo. A prática, contudo, não é regra. 5 Sobre o tema, confira nossa coluna "Medida provisória 'coloca fogo' nos debates sobre liberdade de expressão na internet".
Os fan tokens ou FTOs têm estado em bastante evidência nas últimas semanas, especialmente depois que grandes times de futebol do Brasil, como Flamengo, Vasco, Atlético Mineiro e Corinthians decidiram aderir a essa tecnologia. Antes disso, agremiações e seleções de futebol de outros países, além de diversos outros esportes, como automobilismo, basquete e artes marciais, já haviam lançado suas próprias "moedas", com destaque para o Barcelona, cujos FTOs foram inicialmente oferecidas ao mercado em junho de 2020 e, em menos de duas horas, já haviam gerado uma receita de 1,3 milhão de euros1, cerca de R$8 milhões na cotação atual. Impulsionadas pela pandemia da Covid-19 e a suspensão de diversos eventos esportivos ou a sua realização sem público, a indústria esportiva se viu obrigada a procurar novas formas de se capitalizar e de interagir com fãs e torcedores. Foi nesse contexto que, dentre outros produtos de natureza digital, como os NFTs (sigla em inglês para tokens não fungíveis2), foram lançados os FTOs, uma espécie de criptomoeda3 que confere aos titulares acesso a uma variedade de vantagens, tais como participação em iniciativas de marketing, prêmios e até mesmo direito de voto em determinados assuntos do clube (uniforme da equipe, músicas tocadas no estádio etc.). Embora fungíveis e intercambiáveis - diferindo, nesse aspecto, dos NFTs -, os FTOs não estão necessariamente atrelados aos princípios subjacentes de valor de outras criptomoedas como o Bitcoin, sendo o seu preço baseado muito mais no quanto os fãs e torcedores valorizam a possibilidade de participar das atividades do clube emissor e de conseguir benefícios exclusivos. Diante dessas aplicações específicas, os FTOs são também denominados utility tokens (tokens de utilidade), pois, pelo menos na essência, não são ativos financeiros nem de especulação, a rigor dispensando regulamentação pela Comissão de Valores Mobiliários ou qualquer outro órgão equivalente. Nesse sentido, como visto, os FTOs se contrapõem a criptoativos como o Bitcoin, que são considerados currency tokens ou CTOs (tokens moeda), um ativo financeiro que é basicamente usado como dinheiro, reserva de valor ou uma unidade de conta (para fins de precificação, por exemplo). Os FTOs também não se confundem com os security tokens ou STOs, que são ativos mobiliários virtuais, equivalentes às seguridades tradicionalmente oferecidas por grandes companhias ou governos para financiar suas atividades (ações, debêntures, certificados etc.), tendo como contrapartida o direito ao recebimento de dividendos, lucros, juros etc. Os STOs diferem das ativos mobiliários clássicos porque todo o procedimento é realizado através da utilização das tecnologias de blockchain e de criptografia, conferindo maior liquidez à operação. No seu lançamento, o preço dos FTOs em geral é definido pelo clube emissor, mas, a partir daí, fica sujeito às oscilações de mercado conforme sua popularidade. A maioria das transações relevantes tem sido realizada por intermédio da Chiliz, líder mundial na provedoria de blockchain para esporte e entretenimento, que desenvolveu a plataforma socios.com, específica para operações envolvendo FTOs e responsável pelo lançamento, entre outras, das moedas do UFC (organização de MMA, artes marciais mistas), do Chicago Bulls, Orlando Magic e Boston Celtics (integrantes da NBA, liga de basquete norte-americana), do Barcelona, Juventus, Paris Saint-Germain e Arsenal (times de importantes ligas de futebol da Europa) e, no Brasil, do Flamengo, Atlético Mineiro e Corinthians. A plataforma oferece um aplicativo que funciona como uma wallet (carteira), servindo de veículo inclusive para que os fãs e torcedores exerçam os direitos que lhes são assegurados pelos FTOs. Esses diretos são definidos por cada agremiação e normalmente possuem diferentes categorias, cujo acesso depende da quantidade de FTOs detidos pelo titular, como forma de estimular a aquisição de mais tokens. Entretanto, se há mais procura, o preço tende a aumentar. Então, os compradores de FTOs podem, sim, lucrar - ou perder - com a operação. Os FTO's do Paris Saint-Germain, por exemplo, valorizaram 132% logo após o anúncio da contratação do jogador Lionel Messi - subindo de US$22 para US$51 -, dias depois caindo cerca de 40% para se estabilizar em US$304. Embora menores, variações também têm sido identificadas conforme o resultado das partidas disputadas pelos times5. Portanto, mesmo não sendo o objetivo principal desta criptomoeda, essas oscilações de mercado deixam transparecer a possibilidade de especulação, situação que gera preocupação com os potenciais riscos atrelados ao negócio, sobretudo diante do desconhecimento de grande parte do público investidor. Ainda é cedo para avaliar o futuro dos FTOs no Brasil, mas será fundamental acompanhar de perto a sua evolução, em especial a forma como irá se desenvolver o seu mercado secundário, inclusive de modo a determinar a eventual necessidade de regulação pelo Estado. Até lá, por mais atraente que pareça a ideia de investir em criptoativos, ao mesmo tempo, prestigiar o seu time de coração, recomenda-se bastante cautela na aquisição dos FTOs. __________ 1 Disponível aqui. 2 Já falamos dos NFTs em coluna anterior. Confira aqui. 3 Criptomoeda ou cibermoeda é o nome genérico dado para moedas digitais/virtuais, um meio de troca que se vale das tecnologias de blockchain e criptografia para conferir segurança e validade às transações e proteção aos dados de quem transaciona. 4 Disponível aqui. 5 Disponível aqui.
A liberdade de expressão - e sua correlata liberdade de imprensa - são conquistas às quais o legislador constituinte de 1988 deu grande valor, em especial por nossa Carta ter sido promulgada após mais de duas décadas de ditadura militar, período em que a censura se fez constante. Mas a discussão sobre o tema, principalmente seus limites, nunca esteve tão presente quanto nos últimos meses. Para o bem e para o mal, os brasileiros começaram a entender que a liberdade de expressão encontra limites numa democracia. Para o bem, nas decisões - inclusive do Supremo Tribunal Federal - que deixam claro que manifestações com o intuito de fechamento do Congresso Nacional e do próprio Supremo ou insuflando atos de violência contra as instituições não são protegidas pela Constituição; para o mal, com as tentativas de censura contra textos críticos, com destaques para as iniciativas do Ministério da Justiça nesse sentido. Agora, na véspera do feriado de 7 de Setembro, data em que estavam marcadas manifestações de caráter antidemocrático em várias capitais, o governo federal editou a Medida Provisória 1.068/2021, alterando substancialmente o Marco Civil da Internet (lei 12.965/2014) para, sob a justificativa de assegurar a liberdade de expressão nas redes sociais, criar um procedimento próprio para que as empresas possam realizar a moderação do conteúdo publicado em suas plataformas, responsabilizando-as caso a remoção seja considerada irregular. A polêmica começa na escolha do instrumento para a regulação - por meio de medida provisória (MP), que entra em vigor na data de sua publicação, sem passar pelos imprescindíveis debates no Congresso - e continua na discussão sobre os verdadeiros motivos de sua edição, justamente no momento em que o cerco contra as fake news vem se fechando, com diversas ordens judiciais de busca e apreensão e até mesmo de prisão, além do bloqueio de perfis e das contas bancárias1 que alimentavam os perfis dos responsáveis por espalhar conteúdo falso ou o chamado discurso de ódio. Imediatamente, seis partidos - a maior parte deles de oposição - ingressaram com ações diretas de inconstitucionalidade para que o STF suspenda a eficácia da medida2, ao mesmo tempo em que é articulada no Senado corrente que defende a rejeição3 da medida provisória ou mesmo sua devolução à presidência da República. Na linha das ações ajuizadas no STF, o Conselho Federal da Ordem dos Advogados do Brasil também se manifestou pela inconstitucionalidade da MP4. Um dos problemas de o governo federal ter se envolvido na discussão é a politização do tema. As redes sociais adquiriram ao longo dos últimos anos extrema relevância social e econômica. Quando a febre começou, com Orkut, Second Life e outras, não se podia imaginar que, pouco tempo depois, surgiriam profissões como youtubers, instagrammers e, recentemente, os tiktokers. Pessoas que fizeram de seu prestígio nas redes sociais verdadeiras profissões, por vezes mais bem pagas que as tradicionais. Na mesma esteira, o bom uso das redes sociais é atualmente essencial para as empresas. Tal importância faz com que as decisões de remoção de postagens e perfis ou a desmonetização do conteúdo tenham impactos significativos e não possam mais ficar a critério único e exclusivo dos provedores e, o que é pior, sem qualquer preocupação com transparência. Não raro, perfis são removidos sem aviso prévio e sem justificativa ou, quando muito, sob a argumentação absolutamente genérica de inobservância das regras e termos de uso da rede social. Não à toa, são inúmeras as decisões judiciais determinando a reativação de um perfil ou, quando não tecnicamente possível, a conversão em perdas e danos por conta de exclusão imotivada. Nesse sentido, algumas regras contidas na MP ganham pertinência por procurarem criar um contraditório mínimo - ainda que não se compare, e nem seria possível, a um processo judicial -, como as regras do recém criado art. 8º-A: "acesso a informações claras, públicas e objetivas" relativas a políticas e ferramentas de moderação de conteúdo; "contraditório, ampla defesa e recurso" para quem sofreu limitação em suas publicações; "restabelecimento" do que foi deletado, caso a remoção seja considerada "indevida" e impossibilidade de "censura de ordem política, ideológica, científica, artística ou religiosa". Porém, como dito, quando tais temas não são debatidos no Legislativo - preferencialmente ouvindo-se a sociedade civil e os experts - mas sim impostos por um governo, qualquer que seja, sem discussão de seus impactos, a questão deve ser analisada com cuidado redobrado. A título de exemplo, nas situações listadas acima, quem ficaria responsável por dizer o que configura ou não censura de ordem política ou religiosa? A depender da resposta, estaremos não diante da defesa da liberdade de expressão, mas, ao contrário, de verdadeira tentativa de uma pessoa, órgão ou grupo político de definir o que é ou não verdade, o que deve ou não permanecer no ar, mitigando-se por completo o direito de as empresas definirem as regras de suas plataformas ou de as próprias redes sociais se autorregularem. Veja-se que a MP ainda acrescentou ao Marco Civil da Internet o art. 28-A, contendo a previsão de sanções que vão da advertência à proibição do exercício das atividades da plataforma no país, passando por multa diária, multa de até 10% do faturamento do grupo econômico no Brasil e suspensão das atividades, punições a serem aplicadas "pela autoridade administrativa, no âmbito de suas competências" (art. 28-A, § 2º). Ou seja, se não alterada a redação durante a conversão da MP em lei, um órgão governamental terá o poder de apontar as violações e já aplicar as sanções. Difícil imaginar situação pior. Em resumo, temos que a liberdade de expressão não é um direito absoluto e comporta limites. A limitação pode ser judicial ou definida pela própria rede social, situação em que algumas regras (especialmente relativas a transparência e motivação) devem ser claras. O debate sobre tais regras é bem-vindo e deve envolver estudiosos e sociedade civil e não ser imposto pelo governo. __________ 1 Bloqueio feito tanto diretamente por algumas das principais plataformas, como por ordens judiciais. Vide, a respeito: "YouTube suspende pagamentos a 14 canais após decisão sobre fake news" (Metrópolis, 27/08/2021) e "Twitter suspende contas em verificação contra spam e robôs, e usuários relatam perda de seguidores" (G1, 14/06/2021). 2 As ações foram distribuídas à relatoria da ministra Rosa Weber e, até o momento em que esta coluna é escrita, não se tem notícia de apreciação de liminar nas ADI's. Veja mais em "Partidos questionam MP sobre remoção de conteúdo das redes sociais" (STF, 08/09/2021). 3 "Senadores pedem rejeição da MP que limita remoção de conteúdos de redes sociais" (Agência Senado, 08/09/2021). 4 A íntegra do parecer da OAB pode ser lida aqui.
No próximo dia 1º de agosto, finalmente entrarão em vigor os artigos 52 a 54 da Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõem sobre as sanções administrativas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados no exercício de suas funções fiscalizatórias. Antes de mais nada, vale ressalvar que, embora tenha se criado enorme expectativa em torno da entrada em vigor dessas sanções, a verdade é que, nos termos do artigo 52, § 2º, da LGPD, controladores e operadores já estavam sujeitos a punição pelo descumprimento das regras atinentes ao tratamento de dados pessoais - vigentes desde 18 de setembro de 2020 -, com base em penalidades previstas na legislação extravagante, em especial no Código de Defesa do Consumidor, mediante instauração de processos administrativos ou ajuizamento de ações judiciais, individuais ou coletivas, por iniciativa de outros órgãos, como Ministério Público, PROCON, Defensoria Pública e associações, ou de particulares. Por outro lado, imagina-se que, à semelhança do que se verificou por ocasião da entrada em vigor da General Data Protection Regulation (GDPR), a lei de proteção de dados da Comunidade Europeia, em um primeiro momento a ANPD exercerá um papel preponderantemente didático, mais orientando do que punindo e, quando muito, aplicando a pena mais branda, de advertência, com a indicação de prazo para adoção de medidas corretivas. Falando especificamente nas sanções, a LGPD prevê nada menos do que oito diferentes modalidades de punição: (i) advertência; (ii) multa simples ou diária de até 2% do faturamento da empresa, seu grupo ou conglomerado no Brasil no último exercício, excluídos os tributos, limitada, no total, a R$50 milhões por infração; (iii) publicização da infração; (iv) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (v) eliminação dos dados pessoais a que se refere a infração; (vi) suspensão parcial do funcionamento do banco de dados a que se refere a infração por até um ano; (vii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até um ano; e (viii) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As últimas três penalidades listadas acima somente poderão ser aplicadas após já ter sido imposta ao menos uma das sanções anteriores para a mesma infração ou em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias. Sem prejuízo da ressalva anterior, as penalidades serão aplicadas de forma gradativa, isolada ou cumulativamente, conforme as peculiaridades do caso, atendendo aos seguintes critérios: (i) gravidade e natureza das infrações e dos direitos pessoais afetados; (ii) boa-fé do infrator; (iii) vantagem auferida ou pretendida pelo infrator; (iv) condição econômica do infrator; (v) reincidência; (vi) grau do dano; (vii) cooperação do infrator; (viii) adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; (ix) adoção de política de boas práticas e governança; (x) pronta adoção de medidas corretivas; e (xi) proporcionalidade entre a gravidade da falta e a intensidade da sanção. No texto original, parcialmente vetado pelo então presidente da República Michel Temer, havia ainda a previsão de aplicação das penas de (i) suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração por até um ano; (ii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até um ano; e (iii) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Essas sanções foram eliminadas sob a justificativa de que poderiam gerar insegurança aos agentes responsáveis pelas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional. Dentre as sanções, a que tem gerado maior preocupação é a multa pecuniária, cujo teto, além de bastante elevado - R$50 milhões -, foi fixado com a ressalva de que a limitação vale "por infração". A ANPD ainda não editou regulamento sobre as metodologias que orientarão o cálculo do valor-base das penas de multa, mas, nos termos do artigo 53 da LGPD, essas metodologias deverão apresentar objetivamente as formas e dosimetrias de cálculo, bem como fundamentação detalhada de todos os seus elementos e as condições para adoção da multa simples ou diária, estando sujeitas a consulta pública e prévia publicação para ciência inequívoca dos agentes de tratamento. Embora, de fato, a multa pecuniária chame a atenção, há outras sanções que, a depender do tamanho do banco de dados e do ramo de atividade do agente de tratamento, podem se mostrar ainda mais prejudiciais, como é o caso da proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, que, cada vez mais, se revelam estratégicas e fundamentais para o modelo de negócio de diversas empresas. Outrossim, em se tratando de vazamentos de dados individuais ou de acessos não autorizados, vale destacar que o controlador poderá se compor diretamente com o titular, de modo a evitar a aplicação de sanções administrativas pela ANPD. Evidentemente, como ocorre em qualquer processo administrativo, deverão ser assegurados aos agentes de tratamento o contraditório, a ampla defesa e o direito de recurso, não apenas em razão do quanto expressamente previsto nos artigos 52, § 1º, e 55-J, IV, da LGPD, como também da regra geral contida nos artigos 2º e 27, parágrafo único, da Lei 9.784/1999, que regula os processos administrativos no âmbito da Administração Pública Federal. Como se vê, ainda que a autoridade no início se disponha a ter uma atuação mais comedida e pedagógica, a entrada em vigor das sanções administrativas e o rigor dessas penalidades reforça a necessidade de que as empresas se adequem o quanto antes às exigências da LGPD, realizando o tratamento de dados pessoais em conformidade com os princípios e as garantias asseguradas pela lei. Nesse sentido, segundo pesquisa realizada pela empresa ICTS Protiviti1, especializada em consultoria, auditoria e serviços em gestão de riscos, 84% das mais de 500 empresas avaliadas não estão preparadas para as novas regras de privacidade de dados. Outro levantamento recente, da BluePex2, especializada em soluções de controle e segurança da informação, aponta que apenas 4% das pequenas e médias empresas se adequaram à LGPD. Os dados são alarmantes e trazem incertezas quanto ao tempo que será necessário para que tenhamos um ambiente que, de fato, respeite os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. De todo modo, a possibilidade de a ANPD, a partir de agora, fiscalizar de forma efetiva o cumprimento da lei, aplicando sanções, certamente contribuirá para a aceleração desse processo, que se mostra uma tendência mundial. __________ 1 Disponível aqui. 2 Disponível aqui.