apelaÇÃo cÍvel nº€¦ · web vieweu ainda não pude visualizar desta vez o pôr do sol mais...

ESTADO DO RIO GRANDE DO SULPODER JUDICIÁRIOTRIBUNAL DE JUSTIÇA

25/04/2019

Centro de Estudos

IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS

Padronização(...) – fala inaudível ou ininteligível... – fala incompleta ou interrompida

49ª PALESTRA DO PROJETO HORIZONTES DO CONHECIMENTO


DES. UMBERTO GUASPARI SUDBRACK – Bom dia. Na qualidade de atual Coordenador do Centro de Estudos – o antigo está aqui –, eu gostaria de dar início aos trabalhos. Queria desde logo mencionar que esta palestra é mais uma iniciativa do Des. Ney, que continua colaborando. Graças a ele, está ocorrendo esta palestra.

Saúdo o Prof. Pedro Vilhena, de São Paulo. Vou deixar que o Des. Ney leia o currículo, faça a apresentação mais formal, mas integral, e coloco todos à vontade.

DES. NEY WIEDEMANN NETO – Bom dia a todos. Eu agradeço a deferência que me faz o Des. Umberto de me passar a coordenação deste trabalho, declarando aberta mais uma reunião do Centro de Estudos no seu Projeto Horizontes do Conhecimento, em que nós buscamos trazer palestras e encontros sobre vários aspectos do Direito e, muitas vezes, até de outros ramos do conhecimento.

Quero agradecer ao Prof. Pedro Vilhena, que nos honra com a sua presença. Brevemente os dados do professor, que constam na sua apresentação: Mestre em Direito Europeu e Internacional da Propriedade Intelectual pelo CEIPI, da Universidade de Estrasburgo; membro do Comitê de Proteção de Dados da International Trademark Association. O currículo era bem mais extenso, mas nós pinçamos os dados que eram mais relevantes identificados com a temática do encontro desta manhã.

Saúdo também e agradeço a presença do Dr. Fabiano de Bem da Rocha, nosso interlocutor, que já teve oportunidade duas vezes de ser palestrante aqui nos eventos do Centro de Estudos e que tem proximidade com

1


25/04/2019

Centro de Estudos


essa temática. Foi quem fez essa ponte, trazendo o nosso dileto palestrante, ao qual eu vou de pronto passar a palavra. Esclareço que, ao final da apresentação, ainda haverá tempo para que nós possamos fazer algumas perguntas e contribuições a respeito.

Dr. Pedro, obrigado pela sua presença. Já lhe passo a palavra.

PROF. PEDRO VILHENA – Obrigado, Desembargador. Bom dia a todos. Queria agradecer muitíssimo o convite para estar aqui hoje. Eu ainda não pude visualizar desta vez o pôr do sol mais bonito do Brasil, mas no final da tarde hoje eu vou tentar olhar. Já me contaram que é o mais bonito do Brasil. É sempre um prazer voltar a Porto Alegre e é um prazer falar deste tema. É um tema recorrente na minha carreira, principalmente depois da aprovação da Lei. Eu já conversei sobre este tema em palestras semelhantes em empresas, em grupos de estudo, em câmaras de comércio, mas é a primeira vez que eu falo dentro de um Tribunal de Justiça. É especialmente honroso, por isso novamente agradeço o convite.

Eu vou pedir desculpas de antemão pela informalidade do discurso. Este é um tema novo, é um tema difícil. Eu não pretendo ser especialmente técnico, primeiro para não os aborrecer, é cedo para ficarmos entediados; segundo para facilitar a compreensão mesmo. É um tema novo, então acho importante termos um pouco de tangibilidade dos exemplos, conhecer as situações práticas de forma menos formal e mais intuitiva.

Vivemos em uma sociedade em que nós espalhamos dados com uma facilidade impressionante. Todo dia, em vários momentos do dia, estamos entregando para uma série de empresas, instituições públicas, aplicativos, sites e pessoas que sequer conhecemos dados pessoais de toda natureza. Aqui no Rio Grande do Sul vocês têm a nota fiscal com CPF? Chama-se Nota Gaúcha? Em São Paulo há também. Então, você vai à padaria de manhã, compra um pão com manteiga, compra um café com leite, vai pagar o seu café da manhã, e o caixa pergunta: “CPF na nota?” Nós dizemos sim e damos o número do CPF. Não temos a percepção de que esse CPF é imediatamente inserido no sistema daquela padaria, transmitido para uma central de dados do Governo e passa por uma série de processamentos para calcular a eventual devolução do imposto. Esse é só um exemplo.

2


25/04/2019

Centro de Estudos


Eu brinco que estas são as empresas que tratam os meus dados quase todo dia de manhã: a Apple, que programa o meu alarme e vê todo meu fluxo de comunicações pelo celular; o Facebook e o LinkedIn, onde eu vejo os meus amigos também, se existe alguma novidade no mundo dos negócios, alguma coisa que eu precise conhecer; o Estadão, onde eu vejo as notícias do dia antes de sair da cama, vejo se o mundo ainda está de pé e avalio se ainda vale a pena ir trabalhar; a Nespresso, que me vende as cápsulas de café e, portanto, sabe quanto café eu tomo todo dia, sabe que tipo de café eu tomo todo dia, sabe onde eu moro, sabe o número do meu cartão de crédito; a Vivo, que é a operadora que eu escolhi para me prestar serviços de internet e me ajuda, portanto, a fazer todo esse trâmite, toda essa troca de dados on-line; Bilhete Único, que lá em São Paulo controla o sistema de transporte público, então, quando eu vou ao escritório de metrô ou de ônibus, é no Bilhete Único que meus dados ficam cadastrados; por último, o escritório, que também tem meus dados todo dia, a hora que eu chego, a hora que eu saio, os meus diplomas, a minha formação, está tudo lá cadastrado. Isso é um dia de manhã, eu não cheguei nem à hora do almoço. Poderíamos pensar em uma série de outros exemplos de tratamento dos nossos dados por outras pessoas ao longo de um dia. Eu decidi ficar com esses. Um bom é: qualquer escritório a que você vá hoje, você chega na portaria do prédio, tira uma foto, pedem seu RG. Esses dados vão para onde? Quem cuida desses dados? Como esses dados são usados depois? Essas são perguntas que não fazemos e, portanto, não têm resposta aparente.

Qual é o problema disso? Com esses dados acumulados em tantos lugares diferentes, controlados por tantas pessoas – sequer temos noção de quantas, na verdade –, de vez em quando nos deparamos com notícias como a de um vazamento de dados atingindo, por exemplo, o Conselho Nacional de Justiça, ou notícias que relatam a venda de bases de dados do Exército Brasileiro, da Previdência Social, de instituições que jamais ousaríamos imaginar que, primeiro, coletassem nossos dados de forma tão clara e, depois, vendessem esses dados ou permitissem que esses dados fossem vazados. Nesse contexto de uma sociedade em que todos nós espalhamos dados, surgem as ditas leis de proteção de dados. Leis gerais de proteção de dados são relativamente comuns no mundo. Os países europeus

3


25/04/2019

Centro de Estudos


têm essas leis desde os anos 70; alguns países da América Latina, desde o começo dos anos 2000; nós estamos entrando nessa era agora.

O que é uma lei geral de proteção de dados? A primeira vez que vi o assunto foi justamente em Estrasburgo, quando eu fiz o meu mestrado. Eu tinha muita dificuldade de entender o que era uma lei de proteção de dados, porque não faz parte da nossa cultura jurídica. Nós simplesmente não estudamos isso, nunca vimos isso, na faculdade não nos falam disso. Eu sei explicar o que é uma enfiteuse, mas não sei explicar o que é proteção de dados. Ao longo dos anos, eu fui depurando uma definição, que acho justa, porque verifica os dois lados da moeda.

Uma lei de proteção de dados é uma lei que, de um lado, dá aos titulares de dados – nós – instrumentos de controle dos usos que vão ser feitos dos seus dados e, por outro lado, dá às empresas, ao governo, às entidades que cuidam desses dados uma série de deveres, obrigações e responsabilidades no trato dos dados. Então, são direitos para os titulares, deveres para quem controla os dados alheios.

Há um breve histórico dessa legislação no mundo. Como eu disse, as primeiras leis surgem na Europa nos anos 70. Vejam, anos 70, antes ainda do fenômeno da internet. Tratamento de dados não é necessariamente on-line. Estamos falando ainda de fichas de cadastro, fichas catalográficas, há coisas mais antigas, aqueles arquivos manuais, aquilo já era tratamento de dados. Quando você fazia uma caderneta na banca de jornal e pagava mensalmente os seus jornais, aquilo já era um tratamento de dados pessoais, mas o risco era muito pequeno, porque 10, 20 clientes de uma banca na esquina de casa, o vazamento daqueles dados não apresentava nenhum risco. Hoje, com a internet, a coisa se expandiu. Por isso, em 95 a Europa fez a sua primeira diretiva, harmonizando as legislações europeias sobre o assunto. Nos anos 2000, essas leis chegam à América Latina, e no Brasil as discussões começam em 2009, junto com as discussões sobre o Marco Civil da Internet. Um convênio do Ministério da Justiça com o Instituto de Tecnologia e Sociedade, do Rio, pretendia criar as duas legislações ao mesmo tempo no Brasil. Como sabemos, uma das legislações evoluiu antes. O Marco Civil foi promulgado em 2014, e a Lei de Proteção de Dados ficou um pouquinho para trás. Foi justamente a Europa, em 2016, quando o GDPR foi aprovado, e em 2018, quando ele se tornou aplicável, que puxou o Brasil a reboque. Lá em

4


25/04/2019

Centro de Estudos


2016, com a aprovação do GDPR, a Presidente Dilma Rousseff submeteu, na sua última noite antes do afastamento, o projeto de lei para o Congresso Nacional, e agora, em 2018, a reboque da entrada em vigor do GDPR na Europa, o GDPR, que é a nova lei europeia de proteção de dados, desencadeou no Brasil a aprovação da lei de forma surpreendentemente rápida. Foi aprovada na Câmara dos Deputados no final de maio, no Congresso Nacional no começo de julho, foi sancionada pelo Presidente em 14 de agosto, então foi um processo bastante rápido. Apesar de a tramitação ter durado muitos anos, a preparação dos anteprojetos e do projeto de lei ter sido muito longa, uma vez que o GDPR entrou em aplicação na Europa, o Brasil se juntou à lista de países que têm uma lei geral de proteção de dados.

Qual é o escopo de aplicação dessa lei? Para que essa lei se aplica? Primeiramente, do ponto de vista temporal, ela se aplica no Brasil a partir de 15 de fevereiro de 2020. A vacatio legis dela é de 18 meses. É um prazo de adequação razoável. Não é muito extenso. Nós já estamos quase na metade desse prazo, então muitas empresas estão correndo atrás desses projetos de adequação. A adequação não é simples, é bastante custosa, inclusive. Mas qual é o problema? No final do ano passado, o Presidente Michel Temer editou uma medida provisória estendendo a vacatio legis por 6 meses adicionais. Essa medida provisória ainda não foi confirmada, então hoje talvez a lei entre em vigor em 15 de fevereiro de 2020, talvez em 15 de agosto de 2020, a depender da confirmação da medida provisória.

Geograficamente, a lei se aplica, por definição, a todo o território nacional, mas ela tem dois critérios de extraterritorialidade, que são muito bem-vindos. Ela se aplica também a todo tratamento de dados feito fora do Brasil, quando ou os dados tiverem sido coletados no Brasil, ou houver, atrelada a esses dados, uma oferta de produtos ou serviços no Brasil. Um exemplo simples do cotidiano da maioria de nós é o Netflix. Nós assinamos um serviço de streaming de dados de filmes e séries. O tratamento dos nossos dados não é feito no Brasil, esses dados são transportados para uma base de dados nos Estados Unidos. Pensamos muito em nuvem, mas a nuvem não é uma nuvem. A nuvem é uma base de dados em algum lugar do mundo. No caso da Netflix, essa base de dados fica na Califórnia. Seria muito fácil imaginar que a lei brasileira não se aplica – “Olha, os dados estão na Califórnia, o Brasil não tem jurisdição sobre esse território”. Mas a lei brasileira diz que, se

5


25/04/2019

Centro de Estudos


houver oferta de produtos ou serviços no Brasil, ou se os dados tiverem sido coletados no Brasil, a lei se aplica, e é justamente esse o caso da Netflix. Os meus dados foram coletados aqui no Brasil, e eles usam os meus dados para me ofertar produtos e serviços aqui no Brasil.

Nesse slide eu falei um tanto sobre tratamento de dados, e esse vai ser um termo recorrente ao longo dos nossos próximos minutos de conversa, então eu queria explicar o que é tratamento. Tratamento é qualquer alteração que envolva um dado pessoal, qualquer uma. Se você pegar o seu celular agora, montar um grupo para marcar um happy hour hoje à noite, isso é uma operação de tratamento de dados. Você está usando o nome e o número de telefone dos seus amigos para criar um grupo. A lei não se aplica a esse caso, fiquem tranquilos, vamos chegar lá. Mas quando você dá o seu CPF na padaria de manhã para pegar a Nota Gaúcha, isso é um tratamento de dados. Quando você liga para uma operadora de telefone para fazer uma reclamação, e a pessoa abre o seu cadastro na tela dela e consegue ver o seu histórico, isso é um tratamento de dados. Então, toda vez que alguém que coleta, acessa, transforma, filtra, vende, apaga, transfere um dado pessoal, ela está realizando uma operação de tratamento. Isso é importante porque a lei não se aplica a dados pessoais e a lei não se aplica a empresas. A lei se aplica a operações de tratamento. Cada operação de tratamento tem que ser avaliada para que se diga se ela é legal ou ilegal. Não existe base de dados legal ou ilegal, existe operação de tratamento legal ou ilegal. É lá que vamos aferir a licitude do ato.

Sobre o escopo material, como eu disse, a lei se aplica a todas as operações de tratamento que ocorram no Brasil e em alguns casos até fora do Brasil, mas a lei nos dá oito exclusões de aplicação imediata. São casos nos quais sequer precisamos cogitar da aplicação da lei. É como se a lei não existisse para tratar desses casos. O primeiro deles é o uso de dados pessoais, o tratamento de dados pessoais, para fins particulares e não econômicos. Ora, marcar um happy hour com seus amigos usando um grupo de WhatsApp, ligar para a sua mãe para conversar com ela sobre a sua semana. Agora, se a sua mãe ligar para pedir dinheiro emprestado, é um fim particular e econômico, aí você pode dizer para ela: “Mãe, por favor, não me ligue, porque a senhora está violando a Lei de Proteção de Dados, tratando os meus dados de forma indevida”. Os três seguintes são decorrências lógicas do nosso texto

6


25/04/2019

Centro de Estudos


constitucional. A proteção de dados não se aplica quando a operação de tratamento for feita para fins artísticos, acadêmicos ou jornalísticos. É bastante óbvio: o papel das artes, da imprensa, da academia, da ciência no desenvolvimento do País se sobrepõe ao interesse individual que representa a proteção de dados pessoais. Então, evidentemente, uma pessoa pública não pode se opor ao tratamento de seus dados por um jornalista na investigação de uma notícia, ou por um cientista na investigação de uma tese acadêmica. É mais difícil imaginar o que é tratamento de dados pessoais em um contexto artístico. Ao final da Maratona de São Paulo, há um painel gigantesco com o logotipo da maratona formado pelo nome dos maratonistas. Uma lista de nomes, uma lista de dados pessoais formando um logotipo é um tratamento artístico de dados pessoais, e para esse caso a lei não se aplica. Além desses quatro de caráter mais privado, por assim dizer, há mais quatro, que se aplicam diretamente ao poder público, e também fazem muito sentido se pensarmos no texto constitucional. A Lei de Proteção de Dados não pode ser oposta a tratamentos de dados que visem a segurança nacional, segurança do território, defesa nacional, segurança pública, investigação policial, enfim. Isso me parece bastante óbvio, mas é importante. Há poucos dias eu recebi uma ligação de um jornalista que estava preocupado porque ele estava preparando uma notícia sobre o fato de a Polícia atualmente em São Paulo, ao prender um suspeito, ao deter um suspeito de um crime, pedir para o suspeito desbloquear o seu telefone, aí a Polícia vai olhar o WhatsApp da pessoa, vai investigar ali se há alguma coisa. O jornalista queria saber a minha opinião sobre o assunto. Eu falei qual era a minha opinião para ele, e ele falou: “Mas isso não estaria coberto pela Lei de Proteção de Dados?” Eu falei: “Não. Segurança Pública é uma das exclusões da Lei de Proteção de Dados. A Lei de Proteção não se aplica aí”.

A Lei de Proteção de Dados nos traz cinco personagens muito importantes, e eu queria apresentar esses personagens para vocês agora. O primeiro deles é o titular de dados. O titular de dados somos todos nós. Todos nós temos um nome, a maioria de nós tem um CPF, a maioria de nós tem um endereço, mas todos nós temos uma idade, uma data de nascimento, um local de nascimento, e por aí vai. Qualquer informação que possa ser vinculada a nós é um dado pessoal e nos torna titulares desse dado.

7


25/04/2019

Centro de Estudos


Agora, cada um de nós tem dois tipos de dados. Os dados pessoais são todos aqueles que se referem a nós de alguma forma. Se você quer um exemplo dos seus dados pessoais, você entra na sua conta do Facebook, vai lá em privacidade, acesso aos dados, pede para fazer o download dos seus dados. Você vai receber um arquivo impressionantemente grande, com tudo que você fez no Facebook desde que você entrou, todas as fotos que você postou, todas as fotos que você curtiu, todas as publicações que você fez, todas as suas conversas com seus amigos por meio do aplicativo Messenger, todos os amigos que você fez ao longo dos últimos anos, todos os amigos que você perdeu ao longo dos últimos anos – especialmente no período eleitoral de 2018. Está tudo ali, aí você entende. Mas tudo isso são dados pessoais? Sim, porque eles estão vinculados à sua conta e podem ser rapidamente relacionados a você. Então, essas publicações, curtidas, fotos também são dados pessoais. É claro que os dados pessoais, por definição, são sempre CPF, RG, número de telefone, número de matrícula em uma determinada instituição, e por aí vai.

Por outro lado, há uma série de outros dados que são um pouco mais delicados. Não é à toa que eles recebem o nome jurídico de dados pessoais sensíveis. São aqueles que podem nos causar algum tipo de embaraço no trato social, por qualquer motivo, porque a sociedade às vezes é conservadora, porque a sociedade não consegue entender, não consegue qualificar esses dados corretamente, porque isso pode gerar algum tipo de preconceito de qualquer natureza ou pode colocar em risco seu trabalho, enfim. Por isso, a lei determinou uma categoria especial de dados, que protege seus dados relacionados a origem racial, étnica, filiação a sindicatos e partidos políticos, orientações filosóficas ou religiosas, dados sobre a vida sexual e a saúde, dados biométricos, dados genéticos... Eu não sei aqui, mas em São Paulo agora há uma verdadeira obsessão por digital. Em todo lugar a que você vai, você cadastra a digital. Você vai ao banco, você já tem a digital cadastrada; a folha de ponto é com a digital; você vai a uma casa noturna, você tem que cadastrar sua digital.

DES. NEY WIEDEMANN NETO – Tabelionato...

8


25/04/2019

Centro de Estudos


PROF. PEDRO VILHENA – Tabelionato... Virou um verdadeiro exagero. Eu entendo que para a folha de ponto pode até ser interessante, para que um funcionário não marque o ponto em nome do outro, mas em uma casa noturna não faz o menor sentido, não há a menor necessidade. Enfim, a impressão digital é um dado biométrico e, portanto, é um dado sensível. A própria imagem, a nossa configuração facial, também é um dado sensível, é um dado biométrico. Em São Paulo, nós tivemos um caso envolvendo imagem, não sei se foi noticiado aqui. No metrô de São Paulo, os painéis de anúncio tinham uma câmera de reconhecimento facial para ver a reação das pessoas diante de determinado anúncio, para ver se o anúncio estava ou não sendo efetivo. Isso foi um pequeno sobressalto social em São Paulo, as pessoas não gostaram muito. O Ministério Público agiu rapidamente, a empresa responsável pelos painéis publicitários retirou as câmeras, e o assunto hoje está sendo discutido em uma ação judicial lá em São Paulo.

Os dados pessoais sensíveis têm um nível de proteção um pouco mais elevado. Não é muito, deveria ser muito mais elevado, mas a nossa lei foi conservadora. A verdade é que a nossa lei privilegiou a proteção dos dados pessoais como um todo, então o degrau ficou com pouca diferença. Na Europa, talvez esse degrau seja mais agudo.

O segundo e o terceiro personagens dessa lei são muito próximos: o controlador e o operador. O controlador é quem, detendo os dados pessoais, decide o que fazer com eles. Já o operador é quem, detendo os dados pessoais, faz a operação decidida pelo controlador. Um exemplo simples é a folha de pagamento dos escritórios: os dados são controlados pelo escritório, que é quem decide efetuar o pagamento e em que data. Essa folha de pagamento é enviada para um banco, que, por definição, é uma empresa muito maior do que o escritório, mas o banco não tem nenhum poder de decisão sobre esses dados. O banco não pode falar: “A Rose, copeira, trabalhou tanto este mês, eu vou pagar o dobro”. Essa decisão só cabe ao escritório. O banco só faz a parte operacional, ele só opera aquele dado. Por que é importante essa distinção? Porque, se houver uma violação de dados pessoais, é importante saber se quem violou foi o controlador ou o operador. É importante que o operador só faça com os dados aquilo que lhe for demandado pelo controlador, e o controlador tem que ter muito cuidado ao passar essas instruções, para que ele não fique exposto a responsabilidade sobre coisas que

9


25/04/2019

Centro de Estudos


ele não pediu. Outro exemplo muito bom é a compra em uma livraria pela internet. Nesse caso, a livraria é o controlador dos dados. É ela que recebe o pedido, é ela que faz a venda. Mas há vários operadores no caminho. A livraria não faz a compensação do pagamento. Seus dados de cartão de crédito são enviados para o sistema de crédito que envolve as administradoras, as operadoras de crédito, depois volta só com um sinal verde – “O pagamento foi efetuado” –; aí segue o seu pedido lá dentro, vai para uma empresa terceirizada de logística, que vai separar e embalar aquele livro; aí segue o fluxo, vai para uma empresa de entregas. Em toda essa cadeia, a livraria continua sendo a controladora dos dados, e os operadores são essas empresas que recebem uma informação como uma instrução: “Estão aqui os dados pessoais do Pedro para a compensação do crédito”, “Estão aqui os dados pessoais do Pedro para a entrega do livro”.

O encarregado é a pessoa física que vai, dentro da empresa, ser responsável pelo cumprimento da lei. Ele serve de canal de comunicação entre a empresa, os titulares e a autoridade nacional. O título em português ficou menos chique do que na Europa. Na Europa, eles chamam de data protection officer, algo como executivo de proteção de dados. Há um motivo: lá é obrigatório que essa pessoa tenha um cargo de direção na empresa; ela não trabalha para a empresa, ela trabalha para a autoridade nacional. É um sistema de dedo duro mesmo. O cara está dentro da sua empresa, recebe o salário da sua empresa, para contar para a autoridade nacional o que a sua empresa faz de errado. Não é assim no Brasil, acho que nem funcionaria aqui esse mecanismo de tratamento. Aqui, o encarregado é só um funcionário da empresa que é responsável pelos treinamentos internos, por receber as reclamações dos titulares e por entrar em contato com a autoridade nacional sempre que alguma coisa der errado.

A autoridade nacional é uma agência reguladora que vai cuidar de proteção de dados no Brasil, a exemplo do que já acontece com a aviação civil, no caso da ANAC; com as telecomunicações, no caso da Anatel; com a administração das águas, no caso da ANA, e por aí vai. É uma agência reguladora, com um poder sancionatório bastante grande – vamos falar de sanções mais adiante –, mas há um problema: na nossa atual situação fiscal, não temos orçamento para criar uma autoridade nacional. Então, o ex-Presidente Michel Temer vetou a criação da autoridade por vício de iniciativa e

10


25/04/2019

Centro de Estudos


se comprometeu a criá-la oportunamente. O “oportunamente” foi três dias antes de ele deixar o cargo, porque a despesa ficaria para o governo seguinte, e na verdade ele criou por medida provisória, a mesma medida provisória que amplia o prazo de vacatio legis, e criou de uma forma um pouco específica: está ligada à Presidência da República, sem dotação orçamentária, como se fosse possível criar essa agência sem nenhum dispêndio de dinheiro público – todos nós sabemos que não é. Então, estamos esperando a MP ser votada, confirmada ou rejeitada, para ver como o atual governo, que não parece sensível ao assunto, vai tratar da autoridade nacional de proteção de dados. É aí que estamos até agora.

Chegamos ao filé mignon. A lei traz uma série de obrigações para as empresas. Não é uma lei longa, são 65 artigos, mas é uma lei densa. O que eu fiz para apresentar essas obrigações foi montar o quebra-cabeça de uma forma diferente. A lei tem uma estrutura difícil para acompanharmos quais são as obrigações, então eu literalmente recortei artigos, fui mexendo, fui agrupando e cheguei a três grupos principais. As empresas têm que se preocupar com obrigações relacionadas ao tratamento dos dados, obrigações relacionadas aos direitos dos titulares e obrigações relacionadas à segurança dos dados. São desses três grandes grupos que vamos falar agora.

A lei diz que o tratamento de dados só pode ser feito em dez hipóteses. Hoje o tratamento é livre. Não temos nada que restrinja o tratamento de dados pessoais de forma geral, por isso que – estávamos comentando – muitos de nós recebem ligações no sábado de manhã tentando vender alguma coisa. Antigamente era um telemarketing ativo, era alguém que falava; hoje são gravações. A Fafá de Belém tenta há alguns meses me vender uma casa em Alphaville. Eu não vou morar em Alphaville nem que a Fafá de Belém venha pessoalmente me vender a casa, não tenho interesse. O pior é que não conseguimos sair daquilo, todo sábado o telefone toca mais ou menos na mesma hora e vem aquela mesma gravação. Foi o senhor que me falou do Moacyr Franco?

DES. NEY WIEDEMANN NETO – Moacyr Franco, recebo telefonemas.

11


25/04/2019

Centro de Estudos


PROF. PEDRO VILHENA – Estão vendo? É um pouco diferente. Eu recebo da Fafá de Belém; ele, do Moacyr Franco; vocês devem ter recebido do Faustão, da Susana Vieira.

Hoje, de forma geral, temos proteção de dados esparsa no Código de Defesa do Consumidor, no Código Penal, enfim, mas não temos uma lei geral. Então, hoje essa obrigação não existe e ela passa a existir.

Você só pode efetuar uma operação de tratamento de dados se você tiver uma base legal, e a lei oferece dez bases legais possíveis.

1. Cumprimento de uma obrigação legal ou regulatória. Seu filho está com uma doença, você vai ao hospital, o médico descobre que é sarampo. Ele não tem a opção de não reportar às autoridades sanitárias, é uma obrigação legal de todo hospital e de todo médico reportar a verificação de um novo caso de uma doença infectocontagiosa. Nesse caso, ele está agindo no cumprimento de uma obrigação legal. Esse é um tratamento de dados permitido, portanto, pela lei.

2. Execução de políticas públicas. Aqui um grande exemplo é quando pensamos a política pública de erradicação da miséria. Todo mês, a Caixa Econômica Federal trata dados pessoais de milhares de brasileiros para efetuar os pagamentos dos benefícios do programa Bolsa Família. Esse pagamento de execução de política pública também é permitido pela lei. Outro exemplo são as políticas de saúde pública, como o Ministério da Saúde em relação aos coquetéis anti-HIV, coquetéis antirretrovirais. Ali também se tratam dados pessoais – sensíveis, diga-se de passagem – de milhares de pessoas que estão inscritas nesse programa e que recebem os medicamentos de forma gratuita do governo.

3. Realização de pesquisas. Estamos falando basicamente de pesquisas clínicas, pesquisas médicas, desde que conduzidas por ente público ou por ente privado sem fins lucrativos.

4. Cumprimento de contratos. Normalmente, no cumprimento de um contrato você é obrigado a tratar o dado da parte contrária. O exemplo que eu dei da compra em uma livraria virtual é perfeito. A livraria precisa dos dados para efetuar o pagamento, para efetuar a entrega do livro, para emitir a nota fiscal, enfim. O regular cumprimento daquele contrato exige o tratamento de dados pessoais, e nesses casos o tratamento também é legítimo.

12


25/04/2019

Centro de Estudos


5. Processos judiciais. Aqui eu gosto muito de pensar em processos trabalhistas. A empresa tem lá os dados dos funcionários registrados em uma base de dados, e normalmente são muitos dados – de admissão, de folha de ponto, de ausências, de férias, de atestados médicos, os dados que a empresa transfere para o eSocial... Um dia, um funcionário pede demissão ou é demitido, entra com uma ação trabalhista e pede o pagamento de horas extras pelo período dos últimos três anos, que ele alega que não recebeu. A empresa vai ser obrigada a tratar os dados pessoais desse funcionário. Ela vai verificar a folha de ponto e ver se realmente ele tinha horas extras a receber, ver quais foram as ausências... A defesa dos interesses da empresa depende, nesse processo judicial, do tratamento de dados pessoais da parte contrária. Aqui está só judicial, para fins de espaço, mas a lei fala também em processos administrativos e em arbitragem.

6 e 7. Proteção da vida e da saúde. São bastantes óbvios. Pensando novamente no ambiente de uma empresa, o seu colega de trabalho tem um mal súbito, desmaia. Você liga para o serviço de emergência da sua cidade, vem a ambulância. Ao mesmo tempo, você liga para o RH e pede todos os dados daquela pessoa que o RH tiver, porque ela não está em condições de dar os seus dados, tipo sanguíneo, informação sobre alergia. Nesse caso, você pode tratar os dados daquela pessoa para a proteção da vida ou da saúde dela. O mesmo ocorre em um acidente na rua, enfim. São sempre casos emergenciais. Não existe proteção de dados com base nesses fundamentos legais de longo prazo. Se estamos falando de longo prazo, vamos ter que encaixar em uma das outras. Por isso que o caso dos medicamentos antirretrovirais é execução de política pública, não é proteção da saúde. A proteção da saúde pressupõe que a pessoa não pode dar os dados dela de forma consciente, de forma autônoma.

8. Legítimo interesse do controlador. Este é um que corre o risco de ser o grande buraco negro da lei, porque, se eu falar que tudo é o meu legítimo interesse, eu resolvi o problema e não preciso de nenhuma das outras. Na Europa, o legítimo interesse tem sido visto com muito cuidado, com muita cautela e com muito equilíbrio com relação aos interesses do titular. É muito legal que você exerça o seu legítimo interesse enquanto controlador, desde que isso não fira as legítimas expectativas do titular quanto ao uso dos seus dados. Eu não vou citar o nome, mas há uma empresa que é um aplicativo,

13


25/04/2019

Centro de Estudos


serviço de entrega. Eu me inscrevi, usei o serviço duas vezes, não gostei, e todo dia eles me mandam dois SMSs, um antes do almoço e um antes do jantar. Todo dia, e não tem como sair. É desesperador. Eles podem falar que isso é legítimo interesse deles, e eu posso discordar, porque duas vezes por dia é um tanto abusivo. Nem de um serviço de clipping diário eu espero receber dois e-mails por dia, então me parece que é uma propaganda um pouco exagerada e foge do legítimo interesse da empresa. Quando pensamos em escritórios de advocacia, por exemplo, uma base de dados que todos nós temos é base de jurisprudência, e base jurisprudência tem muitos dados pessoais de magistrados, de advogados, de partes, de pessoas físicas, eventualmente de peritos, de assistentes técnicos, enfim. Existe ali uma quantidade substancial de dados pessoais, ainda que sejam poucos dados por pessoa – normalmente o nome e a função que a pessoa exerce naquele processo. Segundo a lei, é uma base de dados e contém dados pessoais. Qual é o fundamento legal para um escritório de advocacia manter a sua base de jurisprudência? É o seu legítimo interesse. Não estamos usando essa base para de nenhuma forma perseguir ou fazer perfis de um determinado magistrado, de um determinado advogado, de uma determinada parte. O que nos interessa em uma base de jurisprudência é o conteúdo jurídico das decisões, e não as partes que compuseram as respectivas lides sob a direção dos magistrados.

9. Proteção ao crédito. Esta é a cláusula legal que permite a continuidade da existência de serviço como o Serasa Experian, de cálculo de crédito, de scoring de crédito.

10. Consentimento. Este é o último e o mais importante de todos. Mais importante porque, quando eu não conseguir encaixar o tratamento em nenhuma das hipóteses anteriores, eu vou ter que contar com o consentimento do titular. Qual é o problema no consentimento? Ele deve ser por escrito ou por alguma outra forma que o controlador consiga provar a sua obtenção e ele tem que ter finalidades específicas. Eu não posso perguntar: “Você consente com que eu use o seu número de telefone?” É pouco. “Você consente com que eu use o seu número de telefone para envio de mensagens SMS com cupons de desconto, para ligações sobre a entrega do seu produto e mais alguma coisa?” Isso é importante.

A lei não proíbe nada. Mentira, a lei proíbe uma coisa: a venda de dados de saúde. É a única proibição que a lei tem. De resto, a lei não proíbe

14


25/04/2019

Centro de Estudos


nada. Você pode tudo, desde que você encontre uma base legal dentro dessas dez. A venda dos dados você não vai conseguir encaixar em nenhuma das nove, então você vai ter que ir para o consentimento: “Tudo bem. Eu estou disposto a consentir com que uma empresa venda os meus dados, desde que eu receba uma parte do dinheiro, desde que eu seja de alguma forma beneficiado com essa venda”. O que temos que entender em um mundo onde existe a proteção de dados pessoais é que uma parte da ideia de ter o controle sobre esses dados é ter o controle também de quem pode ter esses dados, o que essas pessoas podem fazer e, mais importante, o que eu ganho com isso.

Em 2014 houve a Copa do Mundo no Brasil, e eu era contra, achava um absurdo, um desperdício de dinheiro público, “não vai ter copa”, não sei o quê. Teve, a Copa começou. Eu, como quase todo o mundo, mudei de ideia, falei: “Meu, que legal. A Copa tem que ser aqui todo ano”. Aí fiquei de madrugada tentando comprar ingresso, porque era de madrugada que lançavam os novos lotes, as devoluções de ingresso no site da FIFA. Comprei, fui assistir a Coreia do Sul e Bélgica em Itaquera – e essa é a única frase em que é possível encaixar essas três localidades. O jogo foi muito legal, eu adorei, a Copa acabou naquele 7 a 1 tenebroso para todos nós, eu apaguei a existência daquela Copa do Mundo, falei: “Deixa, esquece, não quero mais Copa mesmo”. Até que, em dezembro daquele ano, eu recebi um e-mail da FIFA. A FIFA dizia: “Pedro, que legal que você se inscreveu na nossa base de dados. Que bom que você gostou de ter visto o jogo conosco. Gostaríamos de continuar em contato com você. Clique aqui para permitir que a gente continue te mandando e-mail sobre os eventos organizados pela FIFA. Se você clicar, você concorre a uma viagem para Zurique em janeiro, para assistir à cerimônia do Bola de Ouro, o melhor jogador do mundo”. Claro que eu cliquei, falei: “Vai que eu ganho”. Na hora, eu pensei: “Olha, estão comprando os meus dados por uma viagem para Zurique? Não, eles estão comprando os meus dados pelo ticket para participar do sorteio para ganhar uma viagem para Zurique”. E eu vendi os meus dados por esse ticket muito tranquilamente, ainda tive um pensamento mesquinho na hora: “Se eu não ganhar, eu vou lá e descadastro”. Eu não ganhei, não fui lá e descadastrei, e a FIFA não é minha cliente, mas eu posso falar com todo orgulho que a FIFA usa os meus dados de forma muito, mas muito razoável. A FIFA é das empresas que nunca tiveram um escândalo de vazamento de dados, o que é mais sorte do que competência, porque a

15


25/04/2019

Centro de Estudos


vazamento de dados todos nós estamos expostos. Nos últimos cinco anos, eu recebi três e-mails da FIFA – eu fiz a pesquisa outro dia na minha caixa –, um para a Copa das Confederações, um para a Copa da Rússia e um acho que para a Copa América. É um uso bastante razoável dos meus dados pessoais. Em cinco anos receber três e-mails é bastante justo.

O consentimento deve ter uma finalidade específica. No caso da FIFA, a finalidade era manter você atualizado sobre os eventos organizados pela FIFA. Há um consentimento que damos muito rápido, sem perceber: você liga para reclamar de algum serviço ou liga para fazer alguma coisa, a pessoa fala: “Se a ligação cair, eu posso retornar para esse número?” Nós falamos: “Pode”. Isso é um consentimento. Ela está pedindo a sua autorização para usar o seu número de telefone para retornar a ligação em caso de problema de comunicação. É muito específico, são finalidades determinadas. Essa pessoa não pode usar seu telefone para rigorosamente mais nada, mas, se a ligação cair, ela pode usar seu telefone para ligar de volta. Consentimento nem sempre é um grande contrato com letras pequenas, às vezes é só uma coisinha ali no telefone, que nem percebemos que falamos.

Qual é o problema do consentimento? Nós não lemos e nós aceitamos. A pichação dessa foto é verdadeira e não fui eu que fiz. Não sei se ela ainda existe, ela estava em Maresias, eu encontrei em um ano novo. Este é o grande problema do consentimento: nós não lemos. Então, é importante que as empresas comecem a nos dar informações sobre o consentimento de outras formas que não sejam só aquele contrato escondido ou aquele link em que nós nunca clicamos, nunca. Há lá o quadradinho para dizer que se aceita e há o link do lado para o contrato. Nós clicamos no quadrado e nunca clicamos no link. Tudo bem, eu também não clico. Eu li alguns termos e condições de uso ao longo da vida, normalmente os que eu mesmo escrevi. Dos outros, eu não li muito, a menos que tenha ocorrido algum escândalo, alguma notícia que me despertasse o interesse. É muito difícil ler esse tipo de contrato e é muito difícil escrever esse tipo de contrato. Então, é importante que as empresas passem também a, na navegação dos seus serviços, no site, informar mais. Quando você estiver preenchendo o endereço, haver uma informaçãozinha ali do lado – “Precisamos do seu endereço para tal finalidade”, “Precisamos do seu CPF para emitir a nota fiscal”, “Precisamos do seu telefone para tirar dúvidas no momento da entrega” –, alguma explicação que fuja daquele contrato e que

16


25/04/2019

Centro de Estudos


deixe mais claro o porquê de aqueles dados todos serem coletados. A coleta de dados abusiva não é recomendada. Você deve coletar os dados dos quais você precisa, o resto não. O que é desnecessário não colete, é só responsabilidade extra.

Tratamento ainda tem três peculiaridades importantes. A primeira delas é: dados de crianças e adolescentes têm regras especiais. Se algum dia vocês se depararem com um caso envolvendo dados de crianças e adolescentes, tomem cuidado e consultem as regras especiais. Transferências internacionais também têm regras especiais. O caso da Netflix é um bom exemplo. Nós nem imaginamos que há uma transferência internacional de dados por trás quando estamos inscrevendo ali os nossos dados. Há regras especiais. Essas transferências só podem ser feitas em determinadas condições, as empresas têm que tomar muito cuidado com o cumprimento dessas condições. A última: término do tratamento. Vocês assistem àquele programa de TV Acumuladores, em que as pessoas têm a casa cheia? O Brasil é um grande acumulador de dados. Temos a impressão de que quanto mais melhor, então temos bases de dados gigantescas. Muitos dos meus clientes dizem: “E a base de clientes inativos?” Eu falo: “Meu amigo, se o cliente está inativo, acabou, ele não é mais seu cliente. Deixa eu te dar esta notícia: ele é cliente de outra pessoa agora. Ele continua usando o seu produto ou serviço, ele só encontrou outro fornecedor”. Então, é muito importante que as empresas comecem a ter políticas de retenção de dados por tempo determinado. Guardar dados para sempre não é uma boa alternativa, porque as bases de dados agora são uma responsabilidade. Se você tem um vazamento em uma base de 100 mil entradas, é muito ruim, mas é muito pior se você pudesse ter tido um vazamento em uma base de 10 mil, mas teve na de 100 mil porque você ficou guardando dados dos quais você não precisava mais. Então, é importante fazer um saneamento das bases e entender por quanto tempo vamos guardar cada dado. RH é um exemplo fantástico, nós recebemos um currículo hoje, vai para uma base de currículos. Fica lá por quanto tempo? Quanto tempo demora para um currículo ficar desatualizado? Não sei, seis meses, nove, um ano... Certamente currículo de dois anos está desatualizado, dois anos é bastante coisa. A pessoa mudou de posição na empresa, mudou de empresa, fez um curso, foi a um congresso, publicou um artigo... Alguma coisa ela deve ter feito em dois anos na vida dela. Então,

17


25/04/2019

Centro de Estudos


essas políticas de retenção... Currículo retém por x meses; informações trabalhistas retém por x anos; previdenciárias, por determinação legal, por 20 anos... Ou seja, políticas específicas para retenção de dados, para que as bases não fiquem como a casa das pessoas que aparecem nessa série Acumuladores.

Chegamos ao segundo grupo de obrigações das empresas, que é o atendimento a direitos dos titulares. Nós passamos a ter nove direitos fundamentais aqui, eu vou colocar os nove de uma vez e falar sobre cada um deles.

Basicamente, os nossos dados são nossos e estão apenas sob o controle da empresa. Temos o direito de mexer nesses dados, ainda que eles estejam sob o controle da empresa. Temos o direito de acessar esses dados. Eu dei o exemplo do Facebook, em que nós conseguimos baixar as informações. Não sei se vocês repararam, o Santander está com uma campanha agora falando justamente sobre acesso de dados: “Todos os bancos usam os seus dados, mas só o Santander diz como usa os seus dados”. Aí você tem, no aplicativo lá do Santander, uma forma de acessar os seus dados. Eles estão vendendo como uma grande jogada de marketing, e eu acho que é, mas na verdade o que eles estão fazendo é antecipar uma obrigação legal. Eles já estão em um processo de adequação adiantado, estão antecipando o cumprimento dessa obrigação legal para os seus clientes.

Correção dos dados, bastante óbvio: você mudou de endereço, você mudou seu estado civil, adotou o nome da sua esposa ou do seu esposo, ou se divorciou e retirou o nome da sua esposa ou do seu esposo... Você pode corrigir os seus dados.

Anonimização, bloqueio ou eliminação de dados desnecessários. Você comprou um livro, mas você preencheu um cadastro que pedia seu signo, seu time de futebol, o nome do seu cachorro, o nome da sua mãe e do seu pai. É claramente uma retenção abusiva de dados seus. Você pode pedir para que esses dados sejam eliminados, ou anonimizados, ou bloqueados. Sobre dados abusivos, quem aqui acha que, em uma entrevista de emprego, perguntar religião é abusivo? E se a empresa tiver políticas de inclusão, ainda acha abusivo? E se a empresa tiver políticas de permitir que as pessoas guardam os feriados das suas respectivas religiões, os dias santos, ainda assim? Essa é uma pergunta interessante. Eu não vou entrar na seara trabalhista de jeito nenhum, eu não ousaria, mas é uma pergunta interessante

18


25/04/2019

Centro de Estudos


do ponto de vista de proteção de dados pessoais. Havia uma pergunta muito comum nos hospitais antigamente, no momento em que você fazia a entrada: “Você é testemunha de Jeová?” O racional por trás dessa pergunta é: “Você aceita tomar doação de sangue, transfusão de sangue, tratamentos médicos invasivos?” Essa pergunta já foi alterada em quase todos os hospitais. Hoje se faz a pergunta que tem que ser feita, que é: “Você aceita receber tratamentos médicos invasivos?” É muito mais lógico fazer a pergunta dessa forma. Enfim, eu divaguei um pouco só para falar sobre dados desnecessários e a possibilidade que nós temos de pedir a eliminação desses dados.

Portabilidade dos dados, este é especialmente interessante. Nós conhecemos o conceito de portabilidade por conta da telefonia celular e por conta dos planos de saúde agora. Existe até portabilidade de investimentos bancários, planos de previdência, enfim. É um conceito que já conhecemos no Direito brasileiro, mas eu ficava pensando: “Como eu vou fazer portabilidade de dados? Por que eu faria portabilidade de dados pessoais?” Aí, em uma situação, eu cheguei a uma conclusão interessante, que é a portabilidade dos dados médicos. Eu vou sempre ao mesmo médico, mas estou achando que meu médico está ficando meio velhinho, não está mais vendo direito o problema do meu olho, não sei o quê. “Doutor, eu quero que o senhor envie os meus dados para um outro médico.”

DES. NEY WIEDEMANN NETO – O prontuário?

PROF. PEDRO VILHENA – O prontuário. Isso é um caso de portabilidade de dados. Em uma palestra como esta, um rapaz me perguntou... Ele era motorista do Uber e muito bem avaliado, acho que ele tinha 5 estrelas ou 4 e 90 e alguma coisa. Ele se inscreveu no Cabify e não tinha avaliação ainda. Ele me perguntou: “Eu poderia pedir a portabilidade da minha avaliação?” Eu entendo que talvez. Depende muito do algoritmo de avaliação de cada aplicativo, se tem os mesmos critérios de avaliação, mas me parece que seria o caso de portar os dados de avaliação dele, para que ele comece no outro serviço já com uma reputação condizente com a sua atuação profissional, ainda que em outra plataforma.

Revogação do consentimento, que é o opt-out. Quando recebemos um e-mail com spam, lá embaixo diz: “Clique aqui para se

19


25/04/2019

Centro de Estudos


descadastrar”. É isso, você revoga o consentimento. O seu e-mail continua naquela base de dados, mas aquela base de dados não vai mais poder te mandar e-mails. É diferente da eliminação, que é o direito de retirar o seu e-mail daquela base de dados: “Eu não quero mais pertencer a essa base de dados, eu quero sair dessa base de dados, porque eu não tenho mais interesse”. Eu nem mesmo preciso dizer o porquê, basta manifestar o interesse em sair da base.

Há dois direitos de informação. Um quer informação sobre a negativa do consentimento. Então, você tem lá os termos e condições, com várias cláusulas e, em uma delas, há o consentimento para envio de publicidade ou para envio de alguma coisa. Ele tem que dizer qual a consequência de você não dar o seu consentimento. “E se eu não quiser receber publicidade, você vai se negar a prestar o serviço? Você vai se negar a vender o produto? Qual é a consequência, nessa relação, de eu negar o meu consentimento?” E o outro quer informações sobre compartilhamento. Eu posso, a qualquer momento, pedir para a empresa que ela me diga com quem ela compartilhou os meus dados e por que motivo. No caso da livraria, é muito fácil, compartilhou com a administradora de cartões e com a empresa de logística para cumprir o contrato. Mas será que ela compartilhou também com um parceiro comercial, para que ele fizesse publicidade direta para você? A empresa tem que manter um registro disso para nos informar com quem ela compartilhou os dados. Vocês veem o tamanho da dificuldade disso para uma empresa? A empresa tem que manter registros muito claros de tudo que ela faz com os dados pessoais. É quase como se ela montasse uma base de dados sobre as bases de dados. Manter ali, claramente: “Usei este dado para compensar um pagamento, para enviar um livro, para vender para alguém”, e por aí vai. É bastante delicado esse processo para as empresas, principalmente do ponto de vista de sistemas.

O último conjunto de obrigações: obrigações de segurança. A segurança dos dados é muito importante. Pessoa entra na sua vida por meio de um aplicativo, coleta os seus dados com a sua permissão e guarda os seus dados. É importante que os seus dados estejam seguros ali, de alguma forma. Dá para garantir 100% de segurança no mundo de hoje? Não dá. A CIA sofreu um vazamento de dados. Se a CIA sofreu um vazamento de dados, qualquer

20


25/04/2019

Centro de Estudos


um pode sofrer. Aliás, há um ditado em segurança da informação que diz que há dois tipos de empresa: as que sofreram vazamento de dados e as que não sabem que sofreram vazamento de dados. Eu não sei se eu vou tão longe, mas eu acho que é muito difícil garantir 100%. Mas a lei não quer que a empresa seja perfeita. A lei quer que a empresa seja defensável, minimamente. Ela quer que a empresa tome cautelas mínimas na proteção dos dados que ela coletou.

Há três aspectos relevantes aí:1. Aspectos preventivos. A empresa tem que trabalhar para

evitar que os dados vazem, para evitar que os dados sejam disponibilizados indevidamente. Esses aspectos podem ser lógicos – e aí estou falando de hardware e software, antivírus, firewalls, proteção por criptografia, e por aí vai –, devem ser também físicos – não adianta você ter a melhor base de dados do mundo se ela fica em uma sala aberta em que qualquer pessoa pode entrar e sair sem o menor controle – e devem ser também jurídicos – é preciso ter contratos específicos com todas as pessoas que acessam essa base de dados, para que elas mantenham a confidencialidade daqueles dados.

2. Aspectos corretivos. Se eu tive um incidente de segurança, se eu sofri um vazamento de dados, o que eu faço? É preciso ter um plano de resposta a incidentes. É como um incêndio, você tem que estar preparado para agir no escuro, você tem que estar pronto para reagir muito rápido, mas de forma muito efetiva. Então, planos de resposta a incidentes, uma empresa de comunicação para reportar o fato ao mercado. Não se pode mais esconder. Se houver um vazamento dados, você é obrigado a notificar, então é bom ter uma empresa de relações públicas que cuide da comunicação, é bom ter um escritório de advocacia que vá te defender perante a autoridade nacional, e por aí vai. E evidentemente, do ponto de vista técnico, a primeira coisa que fazemos quando ocorre um vazamento é...? Em casa, quando há um vazamento de água, qual a primeira coisa que fazemos? Fechar o registro. Então, o primeiro aspecto corretivo e o mais importante é entender onde houve o vazamento e fechar o registro. Às vezes isso significa tirar a base de dados inteira do ar. A Sony sofreu um vazamento de dados em 2012. Quem joga PlayStation ficou traumatizado, porque a Sony tirou do ar por duas semanas a base de dados do PlayStation, sem explicar o motivo. Aí, depois de duas semanas, ela explicou: “Tiramos porque identificamos um vazamento, não conseguimos achar o ponto exato”. É como um vazamento na sua casa: se

21


25/04/2019

Centro de Estudos


você fechou o registro da sua casa, e continua vazando, feche o do prédio, mas aí você vai impactar a vida dos outros. Foi o que a Sony fez, ela teve que desligar a chave geral, tirar a base de dados do ar, mas era importante na correção daquele incidente de segurança.

3. Aspectos de boas práticas. Como é impossível criar uma fórmula legal para dizer: “Para ser 100% seguro, você precisa contratar estes serviços, estes antivírus, estes firewalls e assinar estes contratos”, recomenda-se que as empresas utilizem de boas práticas. Que olhem para o mercado, conversem com os concorrentes, verifiquem quais são as práticas mais atuais em segurança para garantir que a sua empresa esteja adequada, faça treinamentos, muitos treinamentos, não deixe o seu funcionário esquecer a importância dos dados pessoais. Pensamos em vazamento de dados como um hacker em um porão qualquer nos Estados Unidos, na Rússia, tentando entrar no seu sistema, mas às vezes pode ser uma pessoa dentro da sua empresa que, de forma desavisada, vai lá e pega um dado. Por exemplo, sua empresa presta serviços para o Neymar. Um estagiário, que gosta de futebol, entra no cadastro do Neymar, pega o telefone dele e liga para o Neymar. Aquela coisa que criança faz, você não sabe nem por que ela fez. Você olha para ela: “Por que você fez isso?” “Não sei!” Estagiário vai falar o que com o Neymar? O Neymar descobre que é um cara que trabalha no escritório, liga para você. Então, você tem que avisar as pessoas de que aquela base de dados está ali não para se descobrir o telefone de uma celebridade ou de alguém interessante. Não é isso, o sistema é outro. Houve um caso em São Paulo em que um terceirizado na Net deu em cima de uma dona de casa usando o telefone dela. Ele foi lá instalar internet, saiu, pegou o celular dela na ordem de serviço e mandou mensagem para ela: “Oi. E aí, tudo bem? Vamos sair um dia?” Ela achou um absurdo: “Eu sou casada. Apaga o meu telefone”. Ele falou: “Eu não vou apagar nada. Eu tenho todos os seus dados, vou ficar com eles aqui. Se você quiser, eu não te ligo mais, mas eu vou ficar com eles aqui”. Isso virou notícia de jornal. Ela era jornalista – para ajudar –, então ela fez um belo post no Facebook, virou notícia no Estadão. A Net foi muito rápida em contornar a crise, a Net foi muito hábil. Eu não sei se eles tinham um plano desenhado, mas a Net foi muito, muito rápida, contornou a crise muito bem. Daí a importância de treinamentos: a pessoa não pode fazer isso e ela tem que saber que ela não pode fazer isso. É abusivo, não é para isso que ela tem

22


25/04/2019

Centro de Estudos


acesso. Aqui nós conseguimos ver onde a proteção de dados encontra uma interface com a vida real. Esse cidadão, que tinha os dados dessa senhora, poderia ser fisicamente perigoso para ela. Ele tinha acesso à casa dela, ele sabia onde ela morava, ele sabia que ela era uma cliente da Net. Ele poderia chegar à portaria de uniforme da Net e se apresentar como funcionário. Se o porteiro não bloqueasse, ele poderia entrar no prédio, esperar essa senhora no corredor da casa dela. Ele já entrou naquela casa, ele sabe se tem alarme, se não tem, quantas chaves são. Existe uma interface entre proteção de dados e, às vezes, segurança pessoal, física.

No Brasil, sempre temos aquela pergunta: “A lei pega ou não pega? As empresas vão ou não vão fazer?” Eu digo que esta lei tende a pegar. Primeiro, porque ela é uma mudança cultural muito grande. É como usar cinto de segurança. Quem tem mais que 35 anos, como eu, lembra que nos anos 90 simplesmente não se usava cinto de segurança, só se entrava no carro e saía andando. É como cigarro. Quem tem mais que 35 anos também lembra que se fumava em cinema, em avião, em elevador, no trabalho. Se esta reunião tivesse sido nos anos 90, talvez eu estivesse agora aqui fumando um cigarro.

É uma lei que exige uma mudança cultural, e eu acho que essa mudança vem principalmente por conta das sanções. A lei diz que a sanção administrativa é cumulativa com a judicial, então você tem duas esferas possíveis de sanção. Na administrativa, um processo contraditório feito mediante a autoridade nacional, você tem seis penalidades possíveis:

1. Advertência, ou seja, “meu amigo, você está infringindo a lei nesse ponto, você tem 15 dias para retificar esse processo e ficar em conformidade”.

2. Multa, limitada a 2% do faturamento da empresa no ano anterior – da empresa ou do grupo no Brasil no ano anterior –, limitada ao teto de 50 milhões de reais. É uma multa razoável. Falamos de várias empresas aqui ao longo do dia, é claro que muitas empresas no Brasil estão longe de ter um faturamento de 50 milhões, quanto mais de ter um faturamento de 50 vezes 50 milhões, mas alguma das empresas que mencionamos aqui certamente tem um faturamento desse porte. Então, uma multa de 50 milhões não é uma multa desprezível nem para uma grande empresa.

3. Multa diária, também limitada a esse valor, então multa diária com um valor mais baixo, mas que, na sua soma, tem que ficar limitada

23


25/04/2019

Centro de Estudos


a 2% do faturamento ou 50 milhões. Nos dois casos, é por infração, então essa multa pode ser de 100, 200 milhões, 300 milhões, se houver infrações cumulativas.

4. Publicização, que pode ser até mais nociva do que a multa. Publicização é quando a autoridade nacional toma a narrativa da sua infração. Aconteceu, por exemplo, na França. O Google teve um problema na França com relação a termos e condições, a autoridade francesa achava – com razão – que os termos e condições do Google eram muito genéricos: “Nós coletamos seus dados para oferecer uma melhor experiência de navegação”. Não é bem isso. A pena aplicada ao Google foi, por 48 horas, manter na sua página principal um aviso da autoridade nacional informando que o Google não respeitava a proteção de dados dos franceses. Em 48 horas, quantas vezes nós entramos no Google? Quantas vezes nós entramos naquela página, e aquela página estava diferente de um fundo branco e uma caixinha de pesquisa? Se você entrar no Google, e o Google estiver vermelho ou preto, você não vai comentar com a pessoa ao lado: “Você viu o Google? Que loucura, uma nota aqui de que não cumpre a lei”? É um dano à imagem e à reputação muito grande. No caso do Google, é bom, porque o Google não tem muitos concorrentes. Estamos falando de um monopólio de fato, os concorrentes têm uma participação de mercado muito limitada. Mas, se pensarmos em um mercado de poucos concorrentes relevantes, por exemplo, streaming de música – você tem o Apple Music, o Spotify, o Deezer, mais uns aí –, se um deles sofre uma pena de publicização – “Este prestador de serviços não protege seus dados pessoais” –, será que você não pediria a portabilidade dos seus dados para outro, levando inclusive suas listas de música? Está aí um outro exemplo de portabilidade. “Eu já tenho aqui os discos de que eu gosto, as minhas playlists, quero portar para outro serviço, um serviço que aparentemente respeite a proteção dos meus dados.”

Os dois últimos são os mais drásticos e os mais extremos: 5 e 6. Bloqueio e eliminação. Se você tem problemas em

cumprir a lei com relação a alguns dados, a autoridade pode determinar que esses dados fiquem na sua base, mas sejam bloqueados, ou seja, eles são mantidos, mas você não consegue acessar. Pode, ainda, eliminar esses dados. Teve três problemas consecutivos com dados de cartão de crédito, a autoridade fala: “Você não tem estrutura, competência para cuidar de dados

24


25/04/2019

Centro de Estudos


de cartão de crédito, então eu determino a eliminação de todos os dados de cartão de crédito da sua base”. É muito invasivo, é muito extremo, mas está em linha com as legislações de proteção de dados de todo o mundo, então é um ponto de especial cuidado.

Quanto à responsabilidade civil, como eu disse, as penas são cumulativas, porque as penas derivam de atos diferentes. Na responsabilidade civil, a gente vai apurar o que aconteceu no caso prático com cada titular ou com cada grupo de titulares, não necessariamente nesse aspecto mais corporativo que a empresa deveria ter feito, que é o que se vê na autoridade nacional. A lei estabelece um sistema muito parecido com o do Código de Defesa do Consumidor. O titular de dados é considerado – não pessoalmente, mas no contexto da lei – hipossuficiente. Ele pode escolher se ele vai agir contra o controlador ou contra o operador dos dados. Depois cabe aos dois, em eventual ação de regresso, discutir de quem foi a efetiva responsabilidade pelo fato. Existe a possibilidade de inversão do ônus da prova. Cabe ao controlador ou ao operador provar que agiu corretamente, e não ao titular provar que houve uma falha. Por último, existe a possibilidade de ações coletivas.

Vou contar uma história que aconteceu neste Tribunal, aqui no Rio Grande do Sul. A Unisinos teve um problema de proteção de dados há alguns anos. Um funcionário tinha que mandar para os estudantes de Arquitetura um arquivo contendo vagas de estágio. Era um arquivo do Word com anúncios de vagas estágio. Em vez de ele mandar isso, ele mandou para os estudantes de Arquitetura um arquivo do Excel contendo a lista de todos os alunos da Unisinos, com endereço, contato, semestre em que está matriculado, matérias em que está matriculado e situação financeira perante a universidade. Eu brinco: “Deve ter sido um estagiário”. É um erro grande. A pessoa não errou pouco, ela errou muito. Até o formato do arquivo era diferente. Foi um erro bastante grave, mas a universidade trabalhou muito bem também para corrigir, é outro grande exemplo. Os estudantes se uniram em grupos para entrar com as ações, então várias ações chegaram até o Tribunal aqui do Rio Grande do Sul, de diferentes grupos de estudantes. A decisão que o Tribunal encontrou à época foi de que não havia ilicitude, não havia dano, porque os dados não eram sensíveis. Vejam que, mesmo muito antes de a lei existir, já existia uma ideia aqui pelos Desembargadores de que alguns dados são mais sensíveis do que outros. Se vocês olharem a definição

25


25/04/2019

Centro de Estudos


de dados sensíveis, dados financeiros não são considerados dados sensíveis. Hoje, a decisão provavelmente seria diferente, mesmo antes da aplicação da lei, porque o pensamento social evoluiu. Já se tem uma ideia de que faz parte das responsabilidades da universidade tomar um maior cuidado com aqueles dados. E, certamente, depois que a lei entrar em vigor, a decisão será ainda mais dura do que ela seria hoje seria hoje.

A conclusão que eu trouxe hoje para vocês é de que a lei tem um impacto direto em todas as empresas e todos os órgãos da Administração Pública, que também estão obrigados a cumprir com a lei. Eu falei de impacto direto, mas também imediato. A ideia de que a lei vai entrar em vigor só daqui a nove ou quinze meses, dependendo da confirmação da medida provisória, é ilusória. É preciso muito esforço para fazer a adequação de práticas de uma determinada atividade a essa lei. Então, quanto antes as empresas e os órgãos públicos começarem a agir, mais fácil, mais tênue vai ser o processo de adequação. Esse processo não envolve só o jurídico dentro das empresas. Ele envolve necessariamente sistemas, tecnologia da informação, comunicação, recursos humanos... São muitas as áreas afetadas, seja porque elas vão ser necessárias para evitar e corrigir problemas, seja porque elas vão ser afetadas nas suas próprias atividades. Por isso, sempre recomendamos às empresas que comecem a pensar nos custos disso. Existe um custo de adequação dos sistemas, existe um custo de adequação dos contratos, existe um custo humano dentro da empresa em buscar processos, revisar processos e entender por quanto tempo guardar um currículo, se podemos ou não podemos mandar um e-mail para a base... Tudo isso passa a ser pensado de forma muito diferente a partir de hoje dentro das empresas.

Era isso que eu tinha para hoje. Vou deixar o resto do tempo que temos para eventuais perguntas que vocês possam ter.

DES. NEY WIEDEMANN NETO – Eu agradeço, Dr. Pedro, pela sua brilhante palestra, muito didática, conduzida com muita serenidade.

Eu tenho algumas considerações a fazer, mas não sou aqui debatedor, então posso fazer no decorrer do momento de perguntas, procurando priorizar as perguntas do auditório.

26


25/04/2019

Centro de Estudos


SR. JOHNNI DYSASZ – Eu gostaria que o Prof. Pedro por gentileza me explicasse um pouquinho a respeito de adequações de pequenos sites, pequenos blogs, ou um blog, por exemplo, um site de uma pessoa particular em relação à colocação... Ele coloca a questão da privacidade, a questão dos cookies. Coloca lá um acesso dentro desse blog, dentro desse site, um acesso a que pessoa se cadastre, coloque um e-mail, coloque uma demanda, tipo assim: “Exclui meu dado” ou “Por favor me repasse os dados que o senhor tem no determinado site, determinado blog”. Qual seria a responsabilidade em relação a isso? Falo em relação à questão das empresas, ao faturamento dos 2% das empresas. E qual seria a responsabilidade em relação a uma pessoa física, em relação a um blogueiro ou uma pessoa que tem um pequeno site de comércio, de microempresário ou de pequeno comércio apenas, com um site dentro da internet como um todo?

PROF. PEDRO VILHENA – Excelente pergunta. Eu acho que a primeira coisa que deve acontecer e que já está acontecendo em vários serviços é que os próprios serviços vão se adequar. Então, quem é blogueiro normalmente não tem um site próprio, ele hospeda o seu conteúdo em uma plataforma de terceiros. Essas plataformas tendem a se adequar para já conterem – como hoje contêm – os termos e condições padrão ali embaixo.

SR. JOHNNI DYSASZ – (Fora do microfone.)

PROF. PEDRO VILHENA – As próprias plataformas devem disponibilizar ferramentas para que você continue fazendo isso dentro da lei, já com essas opções adicionais, com um “clique aqui para reivindicar um determinado direito”, alguma coisa do gênero. Então, esse é um movimento que já existe, tanto em grandes prestadores para empresas – as empresas que prestam serviços para empresas, empresas de folha de pagamento, de benefício, já têm essas adequações em curso – como os serviços de internet – um blog, um aplicativo – também devem se adequar. Então, você talvez não precise agir diretamente, porque o seu prestador de serviço vai agir.


27


25/04/2019

Centro de Estudos


PROF. PEDRO VILHENA – Como ele te dá a ferramenta de hospedagem, ele também vai te dar a ferramenta para cumprir com essas obrigações.

Com relação ao faturamento, às penas, você provavelmente ficaria exposto às outras penas, se você não tiver um faturamento declarado, se for uma microempresa sem movimentação contábil efetiva.


PROF. PEDRO VILHENA – No caso de uma infração confirmada, de um processo administrativo acontecer, se não houver contabilmente um faturamento, por qualquer motivo, provavelmente vamos procurar uma pena alternativa. Mas isso não exime a ação judicial, e em uma ação judicial não é o faturamento que determina a indenização. A extensão do dano, a natureza dos dados, a reincidência do controlador naquela infração, os cuidados que o controlador teve antes e depois da infração, tudo isso entra no que chamamos de critérios de mensuração da indenização.

SR.ª KARINE DEMOLINER – Bom dia, parabéns pela exposição. Eu gostaria de saber a tua opinião, se tu achas que esta lei será suficiente ou de alguma forma poderá auxiliar – não só o Poder Público, mas a própria autoridade que virá a ser criada – a combater a manipulação de dados.

A todo momento, como tu disseste, nós deixamos dados, nossos passos são rastreados na internet, e o direcionamento de conteúdo é visível. Enquanto está só vinculado ao consumo, já é problemático, o próprio fator superendividamento mostra que essa manipulação agrava, mas a minha preocupação é mais com ideias, com posicionamentos políticos, com condução do comportamento da sociedade. Lá pelas tantas, a sociedade está sendo conduzida a tomar posições a ou b com o conteúdo que está sendo jogado. Essa lei, de alguma forma, contém algum mecanismo que possa vedar esse tipo de situação? Ou teria que ser uma nova legislação? Fugiria a essas prescrições?

PROF. PEDRO VILHENA – Sua pergunta é ótima, porque ela puxa um pouco para a Sociologia. Desse ponto de vista, o que a lei faz é dar ao

28


25/04/2019

Centro de Estudos


titular – e aqui eu volto para aquela definição do começo – o controle sobre como os dados dele vão ser usados, e esse é um controle que nós não estamos acostumados a fazer. O Brasil é um país em que... Eu dei exemplos mais comerciais, mas a coisa mais comum do mundo é você espirrar e alguém perguntar: “Nossa, é gripe ou alergia?” “Não, é um espirro. Cuide da sua vida, pessoa.” Nós mal conhecemos alguém e perguntamos: “Você tem irmãos? Sua família é de onde? Qual é a sua ascendência? Qual o seu signo?” Temos um ímpeto de conhecer o outro de forma pessoal bastante pronunciado, então não temos o controle, nós damos nossos dados muito livremente. Eu entendi isso quando morei fora do Brasil. Uma mulher grávida é uma mulher grávida, não é um saco de perguntas. Você chega: “É menino ou menina? Já escolheu o nome? Posso encostar?” Não existe isso lá, porque eles têm um hábito de proteção dos próprios dados que nós ainda não adquirimos. Nesse sentido, talvez a lei traga uma mudança de comportamento individual de percebermos mais como nossos dados estão expostos e podem ser usados de forma negativa, e assim comecemos a nos preservar um pouco mais. Mas talvez não. Não é a lei que vai fazer isso. Se alguém vai fazer isso, seremos nós.

Há uma matéria recente do The New York Times sobre um estudo de um professor americano de proteção de dados. Ele pediu para os alunos, durante as férias, identificarem uma pessoa na rua sem conversar com ela. No ônibus, em uma praça, em um restaurante, olhar e descobrir quem é aquela pessoa. “Um completo absurdo, é impossível fazer isso.” Se você parar para pensar, não é. Por exemplo, as pessoas saem na rua falando ao telefone, aí estão reclamando de um serviço qualquer e falam o CPF em voz alta. Eu estava pensando nisso no escritório um dia, aí na hora de ir embora eu levantei e peguei a minha mochila. Há o nome do escritório na minha mochila. Se eu saio na rua com essa mochila, e um aluno desse professor americano está, por acaso, no mesmo ambiente que eu, se ele vir a minha mochila, o nome do meu escritório é superespecífico – Kasznar –, o cara vai achar o site do meu escritório na hora. Se ele tiver a paciência de olhar a foto todo o mundo no site, ele vai encontrar a minha foto. Ele vai saber quem eu sou em um pulo, e daí para ele descobrir o resto da minha vida é muito fácil.

Então, temos que aprender a nos preservar um pouco mais como cidadãos, como sociedade. Nós distribuímos dados de forma muito fácil, temos que ter mais cuidado, inclusive – como você falou – em posicionamentos

29


25/04/2019

Centro de Estudos


políticos, porque isso também atrai a possibilidade de outras pessoas verem os nossos dados e a manipulação de que conteúdo nós recebemos quando acessamos a internet.

SR. JOHNNI DYSASZ – Compactuando com o que o senhor disse, eu estava em um determinado banco, fui atendido pelo funcionário, paguei minhas contas e disse: “O senhor poderia por gentileza me dar meu saldo?” Ele começou a falar em voz alta. Eu disse: “Calma, moço...” Estava cheio de gente, eu achei ruim. Como não conhecemos todo o ambiente, não podemos controlar as pessoas, eu fiquei chocado. Gritar o meu saldo bancário para todo o mundo ali fica uma coisa constrangedora. Um exemplo de prática que uma empresa não pode fazer, mas não foi a empresa em si, foi a pessoa que estava me atendendo, personalizando o fato.

PROF. PEDRO VILHENA – Daí a importância de a empresa manter treinamentos, manter políticas, cartilhas, lembretes. A empresa tem que ser ativa na proteção dos dados que ela controla.

Nenhuma empresa existe, a empresa é uma ficção. A empresa é quem está ali trabalhando. Então, essas pessoas que compõem a empresa têm que estar preparadas constantemente para lidar com dados pessoais.

SR.ª LIZETE FLORES – Bom dia, Prof. Pedro. Depois da vigência da Lei Geral de Proteção de Dados, haverá alguma esperança para não recebermos aquelas ligações dos robozinhos, que são automáticas? Eu, por exemplo, recebo várias durante o dia, vêm de todos os estados do Brasil, e eu comecei a bloquear. Mas eu bloqueio um número, e em seguida vem outro. Eu não estou conseguindo bloquear as aqui do Rio Grande do Sul, as que começam com 051, e a qualquer horário. Eu entendo que isso seja a venda dos nossos dados para outras empresas, porque, se eu bloqueio do celular, toca no residencial, e agora que eu bloqueei nos dois, está tocando no meu trabalho. Sempre oferecem alguma promoção para nos cadastrarmos, eu já não me cadastro mais. Se eu me cadastro, coloco os dados errados para parar de ocorrer isso, mas continua ocorrendo. Eu queria saber como vai ser o tratamento disso a partir da vigência dessa lei.

30


25/04/2019

Centro de Estudos


PROF. PEDRO VILHENA – É difícil falar que vai solucionar, seria um exercício de futurologia. A tendência é que se resolva no médio prazo. A tendência é que esse tipo de serviço seja desativado, não porque vamos conseguir rastrear as ligações e chegar às empresas que fazem isso, mas porque vai ser feito o caminho contrário: a autoridade deve começar a fiscalizar as grandes bases de telemarketing do Brasil para entender de onde eles recebem dados, se esses dados foram ou não foram recebidos de forma legítima.

SR.ª LIZETE FLORES – (Fora do microfone.)

PROF. PEDRO VILHENA – O funcionamento do sistema é o seguinte: como essas bases são compradas, eles não têm como aferir a qualidade da base, se esses telefones são recentes, se eles existem. Então, o que eles fazem é um jogo de loteria: cada atendente fica ali disponível para seis ligações. São disparadas seis ligações ao mesmo tempo. Com o primeiro que atender o atendente fala, as outras cinco caem. Por isso que muitas vezes eles ligam e, quando você atende, ninguém fala nada, cai a ligação.

SR.ª LIZETE FLORES – (Fora do microfone.)

PROF. PEDRO VILHENA – Exatamente. Voltamos para aquele primeiro slide, da notícia da Band News. Eu não sei qual é a zona do problema aqui em Porto Alegre. Em São Paulo, há um viaduto chamado Santa Ifigênia, no Centro da cidade, onde você compra a base de dados que você quiser. Há base do INSS; há base do Círculo Militar, que é o clube dos militares de São Paulo; há base de empresas... Você fala o nome da empresa: “Tem base da empresa tal?” “Tenho, senhor. Está aqui.” Houve um caso de uma cliente do escritório que soube que estavam vendendo a base dela lá, foi lá, comprou, verificou, e era. Como essas bases chegam ali, como conseguem exportar uma base de dados inteira para fora do sistema, isso é difícil de entender, mas conseguem, e esses dados circulam. O bom é: na nova lei, qualquer empresa minimamente estabelecida de telemarketing – para ser uma empresa de telemarketing, você precisa ser minimamente estabelecido, você precisa de muitas linhas telefônicas – vai estar na mira da autoridade nacional. Assim, suas práticas vão

31


25/04/2019

Centro de Estudos


ser revisadas, e as que tiverem problemas vão acabar sofrendo esse tipo de penalidade, aí ou muda de comportamento, ou sai do mercado, não tem como se sustentar. É o que se espera.

SR.ª VITÓRIA WEBER – Bom dia. No curso da sua apresentação, o senhor falou que as empresas devem observar a questão da segurança desse banco de dados, inclusive com criptografia. Mais para o início da apresentação, o senhor dizia que a questão da proteção do banco de dados se exclui em caso de segurança pública, segurança nacional. A minha dúvida é principalmente para essa questão da criptografia de ponta a ponta, que vem sendo utilizada: não seria abusividade – acho que não é abusividade a palavra – impor a uma empresa que ela forneça os dados em casos de segurança pública, ela ser protegida pela criptografia de ponta a ponta e ela ser sancionada com um bloqueio? Pergunto isso porque é uma situação que vem ocorrendo com o Marco Civil da Internet em relação ao WhatsApp, inclusive é uma questão submetida ao STF, sobre a constitucionalidade, ou não, dessa imposição, considerando toda a questão da privacidade, da vida privada e tudo mais.

PROF. PEDRO VILHENA – Excelente pergunta. Há uma correlação importante com a Lei de Proteção de Dados. Eu já dei uma palestra exatamente sobre este ponto: os bloqueios do WhatsApp pelo Poder Judiciário em casos de não cumprimento de ordens judiciais. Também escrevi um artigo de opinião curto, que foi publicado no Correio Braziliense, sobre o assunto.

Essa lei não se aplica. Está excluída dessa lei a questão da segurança pública. Mas acho que o grande problema que se verifica no caso do WhatsApp – eu estou muito confortável, porque o WhatsApp não é meu cliente, o Facebook não é meu cliente, então está tudo bem, estou falando a opinião puramente acadêmica – é que eles não são parte dessa ação judicial. É uma ação que se desenvolve entre o Ministério Público e o investigado, uma ação criminal da qual ele não é parte. Na esfera dessa ação, há uma decisão falando: “Você, empresa privada de direito estrangeiro, internacional,” – não é nem brasileiro o WhatsApp – “está obrigada a me reportar tais e tais dados, tais e tais conteúdos”. Não se leva em consideração, nessa decisão, se essa empresa tem ou não tem esses dados; se ela é ou não é obrigada a ter esses dados; se, pelo direito do país dela, porque o WhatsApp é uma empresa

32


25/04/2019

Centro de Estudos


americana, ela tem leis e regulamentos próprios que impedem a divulgação desses dados no exterior, sob pena de violar uma lei nacional dela. Também não levam em conta que essa empresa não tem direito de recurso nesse procedimento, porque ela não é parte do procedimento – ela teria que utilizar um outro mecanismo jurídico, fora desse procedimento, para conseguir evitar essa ordem –; que as empresas são diferentes – o WhatsApp, com base na Califórnia, é uma empresa adquirida pela mesma empresa controladora do Facebook do Brasil, o que não quer nem de longe dizer que elas são a mesma empresa ou têm a mesma relação.

De forma geral, eu acho extrema essa coisa da ordem judicial, do “cumpra-se imediatamente”. Eu penso que, se no meu escritório eu recebesse uma ordem judicial para revelar todos os meus arquivos sobre o cliente tal, mas nunca... Bloquearia meu escritório inteiro, não iríamos abrir, em uma ação judicial, informação de um cliente nosso, porque temos um dever profissional, legal de guardar essa informação, e o WhatsApp alega justamente isto: “Eu tenho dever legal de guardar essa informação” – sob a lei americana, não sob a lei brasileira.

Então, entendo perfeitamente a posição do WhatsApp de não revelar os dados. Não acho que o Poder Judiciário brasileiro tenha o condão de determinar a alteração de um modelo de negócios. O modelo de negócios do WhatsApp é comunicação criptografada de ponta a ponta, e há excelentes casos, no direito brasileiro, de espionagem via WhatsApp, de investigação policial via WhatsApp, por infiltração. É difícil, são anos para infiltrar um policial em uma quadrilha, são anos de dedicação, é um risco constante – se o policial é descoberto, ele tem um risco de vida imediato –, mas em alguns casos já aconteceu com sucesso de um policial infiltrado estar no grupo de WhatsApp de uma quadrilha e ter acesso às conversas.

SR.ª ELENIRSE FURLANETTO – Meu nome é Elenirse, eu trabalho na área de segurança da informação aqui do Tribunal. Muito didática a palestra, parabéns.

Tenho vários colegas da área que atuam na área bancária, em empresas privadas. Desde a sanção da lei, eles já estão trabalhando, têm grupos no WhatsApp, participam de palestras, estudos. A minha grande dúvida e de outros colegas da Justiça Federal também é quanto à implementação da

33


25/04/2019

Centro de Estudos


lei na área pública. É um vácuo por enquanto. Já conversei com pessoas do Ministério Público, do Tribunal do Trabalho, e nós não temos uma direção ainda. A área privada está muito à frente de nós, porque nós também temos a Lei de Acesso à Informação, há outros cruzamentos, e nós precisamos de muito apoio jurídico. Acho que este é o momento em que o jurídico e a tecnologia vão trabalhar de mãos dadas. Minha pergunta é: na sua experiência na área pública, seja na GDPR, seja no Brasil, há algum norte?

PROF. PEDRO VILHENA – Infelizmente eu não tenho, pessoalmente, nenhuma experiência na área pública. Eu adoraria trabalhar em um projeto de adequação de algum órgão público. Acho que deve ser especialmente desafiador, porque existem perguntas adicionais que não preciso me fazer quando trato com cliente pessoa jurídica de direito privado. Há um capítulo especial da lei sobre o tratamento de dados por entes públicos. Algumas das hipóteses legais de tratamento são específicas para entes públicos, são hipóteses que eu nunca vou trabalhar com os meus clientes, então acho que seria muito enriquecedor para mim. Essa experiência eu não tenho.

O que eu posso dizer sobre por que ainda está nebuloso é que a medida provisória do final do ano passado mexeu também bastante – eu falei aqui do prazo, falei da autoridade nacional – no capítulo que fala de tratamento de dados pela Administração Pública, liberando um pouco a Administração Pública de algumas obrigações. Academicamente, eu sou contrário a isso, mas entendo a dificuldade de a Administração Pública, no Brasil, cumprir com essa lei. Estamos falando de quase 6 mil municípios, 26 estados, Distrito Federal, Governo Central, todo o Poder Judiciário, todas as Assembleias, as Câmaras de Vereadores, enfim, é uma estrutura gigantesca para se adequar.

Além disso, um dos papéis da autoridade nacional é auxiliar os órgãos públicos na sua adequação. A inexistência de uma autoridade nacional também é uma amarra para que os órgãos públicos se adaptem. Eu não tenho notícia, por exemplo, de nenhum órgão público que tenha feito uma licitação para contratar serviços de adequação. Talvez aconteça mais para frente; talvez não, talvez nós esperemos até que a autoridade nacional seja construída e os diferentes órgãos da Administração delas se socorram.

34


25/04/2019

Centro de Estudos


SR. MARCOS BABREIRA DE SOUZA – Bom dia, muito obrigado pela excelente palestra. Tenho algumas dúvidas.

O nosso país tem muitas leis, muitas boas leis, mas me parece que o problema que nós realmente sofremos é a falta de fiscalização dessas leis. O senhor comentou o caso da Santa Ifigênia, onde se pode comprar qualquer base de dados que se queira. Então, mesmo que a GDPR não tenha entrado em vigor, a pergunta é por que não é feito nada para isso. Eu, por exemplo, estou com um problema seríssimo agora: uma pessoa chamada Norma deu para a Previdência Social o número do meu telefone, e eu recebo ligação de financeiras me oferecendo financiamento para essa tal de Norma. Já faz uns quatro, cinco anos isso. Nós vamos ter, junto com a lei, um mecanismo para rastrear de forma a determinar quem fez a compra dessa base de dados? Isso é uma questão técnica bastante complexa, e me parece que, se isso não for feito, a lei pode se tornar inócua. Queria saber qual a sua opinião a respeito dessa falta técnica que nós temos e que, a meu ver, pode fazer com que a lei seja inócua, porque não teria como aplicá-la tecnicamente. Muito obrigado.

PROF. PEDRO VILHENA – Obrigado pela pergunta. Eu vou responder em um exercício de futurologia informada: não temos sequer uma autoridade nacional constituída, então eu não consigo dizer quais vão ser os instrumentos que a autoridade nacional vai colocar em marcha para fazer a fiscalização. Posso dizer como funciona em outras agências reguladoras dentro do Brasil e como funciona fora do Brasil.

Fora do Brasil, o foco tem sido normalmente na segurança das bases de dados. Da maioria das empresas que detêm grandes bases de dados adequadas à GDPR lá na Europa, principalmente, caiu muito o vazamento de bases, então existem menos oportunidades de alguém vender uma base ilegal no mercado. Lá foi atacada a causa: há menos vazamento, logo, há menos base à disposição.

No Brasil, quando eu penso, por exemplo, na Anatel, as investigações são feitas de acordo com o volume de reclamações. Então, quando você tiver um problema com a sua companhia telefônica, você entra no site da Anatel, faz um protocolo, eles têm uma classificação das demandas, é tudo automatizado. Então, eu imagino que, se a autoridade nacional brasileira tomar esse caminho, nós vamos lá no site da autoridade nacional de

35


25/04/2019

Centro de Estudos


proteção de dados, colocamos a nossa reclamação, e eles vão conseguir classificar que empresas estão tendo maior quantidade de problemas.

Nesse teu caso, minha recomendação é ouvir até o fim, ouvir a conversa, perguntar quem é. Se for o caso, pede uma minuta de contrato, para você saber quem está do outro lado. Até pensando no caso de reparação de danos na esfera cível hoje, eu não sei se receber ligações diárias por mais de cinco anos está na esfera do mero aborrecimento. Talvez haja aí um abuso considerável, principalmente porque imagino que, na maioria das vezes, você atenda e explique que você não é a Norma.

Eu tive esse problema, a minha sorte é que foi com o meu banco. O banco que eu uso começou mandando SMS, depois começou a me ligar, reclamando uma dívida de uma senhora que se chama Helena. Depois de três meses, eu falei: “Escuta, quanto a Helena está devendo? Porque, se for o caso, eu pago. Eu preciso de paz para viver, não aguento mais receber”. Aí, eles não conseguiam nem me dizer quanto a Helena devia. Eu tomei um caminho que não considero juridicamente viável para todo o mundo, mas era o que permitia o meu nível de paciência naquele dia. Liguei para a minha gerente do banco e falei para ela: “Você tem um mês para resolver isso, senão vou fechar a minha conta e transferir todos os meus 14 reais para outro banco”. Ela, com medo de perder um patrimônio tão grande assim, decidiu fazer alguma coisa. Quer dizer, eu tive que botar muita pressão, falei para ela: “Isso é um problema seu agora”. “Não, mas não é minha área.” Eu falei: “Se vira. Liga para a área, acha a área”. Eles têm dificuldade, mesmo dentro de uma empresa, como esse banco, porque eles tiram um retrato da base de dados das pessoas que devem e enviam esse retrato para uma empresa de cobrança. Então, toda essa operação das ligações, dos SMSs, é feita externamente por uma empresa de cobrança. O teu caso, de oferta de financiamento, é a mesma coisa, eles conseguem as informações dos benefícios requeridos e concedidos recentemente e, imediatamente, começam a fazer as ligações.

Eu trabalho em um escritório que faz Direito Digital, mas que na origem é um escritório de propriedade industrial. Quando você deposita uma marca perante o INPI e essa marca é publicada, há uma série de picaretas – acho que o termo jurídico é picareta – que pegam esses dados e enviam boletos para essas empresas, já prontos para pagar, como: “Inclusão da sua

36


25/04/2019

Centro de Estudos


marca no Sistema Nacional de...” – um sistema que não existe. Ele coloca um texto bonito, cobra 400 reais, e às vezes o cliente paga sem saber o que é, ou acha que nós sabemos ou ajudamos, que é uma taxa do governo que nós enviamos para ele. Graças a Deus, a maioria dos clientes nos manda, diz: “Recebi isto aqui. Posso desconsiderar?” “Pode. Desconsidera.”

SR.ª LUANA SCHERER – Oi, professor. Eu estou tentando escrever sobre a proteção de dados post mortem. O volume de dados é muito grande, e as pessoas morrem o tempo todo, então me preocupa essa questão dos dados que ficam vagando, a utilização desses dados. Estou focando mais na questão da quebra da privacidade e da tutela possível dos danos decorrentes da quebra da privacidade dos dados da pessoa falecida. Não sei se o senhor acha pertinente, relevante essa questão da proteção dos dados post mortem, que a lei deixou de lado, não abordou o que fazer com esses dados. Também envolve a questão da herança digital, quem pode ter acesso a esses dados e o que fazer com eles. Acho importante, porque é um volume grande de dados que fica. O que poderíamos fazer? Haveria uma tutela?

DES. NEY WIEDEMANN NETO – Até os prontuários médicos dos mortos.

PROF. PEDRO VILHENA – Até os prontuários médicos. Excelente a tua pergunta, eu acho que o tema é interessantíssimo.

A nossa lei deixa de lado por uma implicação do Código Civil: a personalidade se extingue com a morte. Então os direitos da personalidade, salvo previsão legal em contrário, também se extinguem. Aí você tem direitos à imagem, por exemplo, que podem ser transferidos... Transferidos não, eles passam a ser tutelados por entes familiares ou pelos herdeiros; direito ao nome também tem uma proteção post mortem.

A nossa Lei de Proteção de Dados não criou nenhum mecanismo específico post mortem, então esses direitos que mencionamos são válidos enquanto o titular está vivo. O que vamos ter no caso de um titular falecido não é legal, é contratual. Aí você vai ter uma infinidade de possibilidades.

37


25/04/2019

Centro de Estudos


O Facebook tem já uma política que evoluiu muito ao longo dos anos com relação a dados de pessoas falecidas. Já houve um momento em que a conta era desativada a pedido da família, depois eles passaram a transferir a conta para um ente da família, a pedido da família. “Meu filho morreu, quero ter acesso à conta” é diferente de “meu filho morreu, quero que apaguem a conta dele”. Mas o Facebook hoje já permite que um parente tenha acesso à conta do falecido e está agora estudando a possibilidade de transformar a página em um memorial. Há uma ideia de transformar o conteúdo da página, tirar algumas informações. Então, há possibilidades gigantescas de como lidar com a situação. Você tem pelo menos seis, sete possibilidades. Quem vai determinar é o prestador de serviço no contrato.

Acho que, se eu fizesse um estudo como o teu, se eu fosse me dedicar a estudar o tema, eu faria uma pesquisa de campo mesmo, tanto em herança digital quanto em proteção de dados: como o tema é tratado pelos grandes prestadores de serviço – Apple, Amazon, Facebook, Google. Eu faria um estudo de caso, um estudo de mercado, para entender como o tema é tratado. No Brasil, do ponto de vista legislativo, não há nada. A nossa doutrina de proteção de dados, no geral, ainda é muito esparsa. Então, um tema específico como esse, talvez você encontre pouca coisa. Talvez na Europa.

SR.ª ELENIRSE FURLANETTO – Só uma contribuição: sobre a importância da notificação no caso de vazamentos, tivemos um caso recente do CNJ, fomos lá no arquivo (...), chegamos ao arquivo dos dados vazados, e estavam lá diversos usuários nossos, do Tribunal. Então, a importância da notificação: porque ficamos sabendo, conseguimos informar as pessoas que tiveram os dados vazados e tomar uma medida, o que é diferente de ocultar o vazamento e não informar.

PROF. PEDRO VILHENA – A lei fala justamente disto: na ocorrência de um vazamento de dados, é fundamental que o controlador notifique a autoridade nacional da extensão do problema, de que tipos de dados foram vazados, de que medidas estão sendo tomadas, mas também que notifique os titulares dos dados, principalmente nos casos em que os dados possam oferecer algum risco. Que dados oferecem risco? Dados de senha – as pessoas têm o péssimo hábito de criar uma só senha para tudo na vida, e, se

38


25/04/2019

Centro de Estudos


vaza a senha de um serviço, a pessoa pode usar o e-mail e a senha de serviço para tentar logar nas suas contas em outros serviços –; dados de cartão de crédito; dados de saúde; dados de contato e localização. Esses são os dados que oferecem mais riscos para os titulares.

Dos grandes vazamentos de dados na Europa, houve um em agosto do ano passado, da British Airways, que incluía cartão de crédito. A companhia aérea criou uma linha de telefone específica para receber as reclamações dos usuários. Ela notificou todo o mundo por e-mail, informando esse número de telefone. Criou uma central de treinamento em três dias, para explicar àquelas pessoas: “Você precisa cancelar o seu cartão de crédito, você precisa pedir um novo cartão”. Já fazia uma interface com a administradora de cartão. É importante, nessas horas, que a empresa haja para que o dano causado ao titular seja o menor possível.

Pensando um pouco na teoria do risco, nós sabemos que corremos um risco quando colocamos o número do nosso cartão de crédito em um site. Temos noção desse risco, mas ele tem que ser o menor possível, a empresa tem que trabalhar para que ele seja o menor possível. Então, acho que esse é o recado para a empresa. “Vazou? Tudo bem, é inevitável, às vezes acontece. Nós tomamos todas as precauções, fizemos tudo que podíamos ter feito, e mesmo assim aconteceu. E agora, o que vamos fazer? Vamos fazer tudo para que o impacto na vida do titular seja o menor possível. Se pudermos ajudar a cancelar os cartões... Em que podemos ajudar para essa pessoa sentir menos o impacto da nossa falha de segurança?”

DES. NEY WIEDEMANN NETO – Nós já estamos nos encaminhando para o final, Prof. Pedro, então vou deixar para agora os breves comentários que eu poderia fazer, porque muitas questões já foram elucidadas nas contribuições do auditório. Inclusive, uma das que eu faria, e não será necessária, é com relação a como a Administração Pública deve se adequar à nova lei, inclusive minha preocupação diz respeito ao próprio Tribunal de Justiça, porque nós não podemos incorrer em alguma falha na proteção, no tratamento dos dados. Nós temos bases de dados que envolvem partes e advogados, até com o número do CPF das pessoas, e temos agora a implantação do processo eletrônico, o e-Proc, que vai capturar muito mais dados nesses cadastramentos. Mas o senhor já respondeu a respeito disso, e

39


25/04/2019

Centro de Estudos


me parece que muitas questões acabam sendo reportadas para o que fará a agência reguladora, que ainda não existe. Eu percebi também o seu comentário no início de que é uma agência que se procurou fazer com muita economia orçamentária, talvez até realocando recursos de outros setores do governo, funcionários vão ser cedidos de autarquias, e assim por diante. É uma coisa um pouco nebulosa ainda, mas vamos aguardar.

Eu pincei três questões, Dr. Pedro, para o encerramento. Vou fazer uma por uma para permitir a sua resposta, não vou apresentar as três de uma vez só para não atropelar. O senhor teria algum comentário a fazer com relação ao ato patriota, nos Estados Unidos, a partir do 11 de setembro? Eu vi o filme que passou nos cinemas sobre a vida do Dick Cheney, e ali mostra a criação do ato patriota e como eles viram uma oportunidade de ter mais acesso à privacidade das pessoas nos Estados Unidos sob esse argumento, até escutas telefônicas, tudo. Isso iria de encontro a essa filosofia que se apresenta da proteção. Teria algum comentário sobre esse tópico específico?

PROF. PEDRO VILHENA – Nós falamos bastante de Europa durante a apresentação, porque a Europa é o berço da proteção de dados como tal. Esse assunto na Europa se chama data protection, nos Estados Unidos se chama privacy. São conceitos diferentes. Os Estados Unidos não têm uma lei geral de proteção de dados, eles têm leis esparsas – a Califórnia tem uma lei recente –, mas existe esse buraco negro na lei do homeland security: a tudo que eu fizer para a segurança nacional, para a segurança do território, as leis de privacy não se aplicam, no caso dos Estados Unidos.

Eu acho interessante, porque essa é justamente uma das razões pelas quais uma lei de proteção de dados existiu pela primeira vez na história. Na França e na Alemanha dos anos 70, o grande motivo da criação dessas leis era que os governos queriam centralizar a base de dados: pegar a base de dados de habilitação para condução de veículos; base de dados das Forças Armadas, de membros ativos e da reserva; base de dados dos equivalentes nacionais de CPF e RG e criar uma base unificada. Os franceses entenderam – aliás, bem antes dos anos 70 – que informação é poder, que seus governos já tinham poder suficiente e que concentrar essas informações em superbase de dados... Estamos falando de uma época pré-computação rápida, estamos falando em computação muito incipiente ainda, com armazenamento

40


25/04/2019

Centro de Estudos


de dados em fitas magnéticas. Era algo muito anterior ao que temos hoje, mas já havia na sociedade uma percepção de que a junção dessas bases de dados criaria um poder muito grande, um poder talvez parecido com o que a CIA tem nos Estados Unidos. Os europeus refutaram isso, lá não colou, então a lei surgiu também com esse viés de proteção do cidadão contra o Estado, não só contra as empresas ou contra os grandes tratadores. Nos Estados Unidos não existe, o conceito de privacy não engloba isso, e sabemos que existe nos Estados Unidos a prática de diversos abusos – abusos se pensarmos com a nossa mentalidade, dentro da legislação deles isso é permitido –, principalmente nessa questão imigratória, de controle de fronteiras. Inclusive, recentemente eles passaram a legislação dizendo que você é obrigado a informar as suas senhas de redes sociais ao entrar no território americano. Para mim, é um completo absurdo preencher um formulário colocando minha senha do Facebook, do Instagram. Ainda não aconteceu comigo, eu vou aos Estados Unidos no mês que vem, estou com medo de que eles peçam. Não sei o que eu vou fazer, se eu crio uma conta falsa... Acho bastante abusivo, de forma geral, mas tenho medo de comentar, porque não é o meu Direito, então talvez dentro do Direito deles, dentro dos valores da cultura de elite americana, eles consigam equilibrar isso de forma que nós aqui, com a nossa cultura jurídica, não conseguimos compreender.

DES. NEY WIEDEMANN NETO – Eu me lembrei de comentar que, no projeto de lei que o governo, por meio do nosso Ministro da Justiça, Sérgio Moro, encaminhou para o Congresso, existe a criação de uma base de dados de DNA. Pretende-se que dos criminosos seja recolhida saliva, alguma amostra, para se ter o DNA das pessoas com condenações criminais. Parece-me que essa lei não proíbe, porque diz respeito à segurança pública, mas é uma questão a se refletir. Nos filmes americanos, quando se encontra uma amostra de DNA de uma pessoa, já se sabe quem foi.

PROF. PEDRO VILHENA – Acho que também é uma questão quase filosófica: em que sociedade queremos viver? Estamos dispostos a este tipo de invasão, obrigar alguém a ceder material genético? Se você coletou porque você coletou, porque estava ali como prova na cena de um crime, vá lá. Acho que essa obrigação conflita até com o princípio constitucional da não

41


25/04/2019

Centro de Estudos


autoincriminação – “Por que eu preciso dar meu material genético, se ele vai ser usado no futuro possivelmente ou potencialmente para me incriminar?”

Penso que nós fugimos um pouco da aplicação prática da lei e passamos mesmo para um patamar mais elevado de pensamento: é essa a sociedade que eu quero? É isso que eu busco? Quais são os caminhos? Será que é esse o caminho para a diminuição da violência no Brasil? Quantos países que têm segurança pública reconhecidamente melhor que a nossa têm bases dessa natureza? A Dinamarca precisou disso, a Noruega precisou disso, a Suécia precisou disso ou a Suíça precisou disso? Que instrumentos foram usados lá que deram certo? Por que esse seria o nosso instrumento? Por que esse, que não foi usado em nenhum desses lugares, daria certo aqui?”

DES. NEY WIEDEMANN NETO – Existe um projeto de lei que foi encaminhado agora ao Congresso para criar uma base de dados de pedófilos. Propõe que pessoas que foram condenadas de modo definitivo por pedofilia sejam monitoradas pelo Estado: onde estão residindo; se podem ou não podem morar perto de escolas, de pracinhas... Vão saber o nome e o endereço dessas pessoas, que já foram recolocadas em liberdade depois do cumprimento da pena pela prática do crime de pedofilia. É uma daquelas exceções, mas que também tem o seu impacto.

PROF. PEDRO VILHENA – Penso que a preocupação é legítima, mas você não monitora um homicida para ele não morar perto de pessoas vivas, porque ele pode matá-las; você não monitora uma pessoa que foi condenada por roubo para que ela não more perto de pessoas que tenham posses, para que ela não volte a furtar ou roubar. Nós entramos um pouco na esfera do... Não sei se vocês lembram que, no começo dos anos 2000, houve um filme americano chamado Minority Report.

DES. NEY WIEDEMANN NETO – Com o Tom Cruise.

PROF. PEDRO VILHENA – Isso. É uma sociedade no futuro em que você previa que tal pessoa iria cometer um crime e prendia a pessoa antes do cometimento do crime. Eu acho que nós, nesse caso do pedófilo, talvez estejamos chegando perto disso. Estamos impondo uma... não é uma restrição

42


25/04/2019

Centro de Estudos


de liberdade, mas estamos impondo um monitoramento que não seria imposto de outra forma. Porque ela cometeu um crime uma vez – e pedofilia, além de ser um crime, é uma condição psicológica que exige tratamento adequado –, partindo do pressuposto de que aquela pessoa não vai ter esse tratamento e vai continuar cometendo o mesmo tipo de conduta, já se impõe uma pena preliminar, que não é a restrição da liberdade, mas é um monitoramento social, outra questão filosófica.

DES. NEY WIEDEMANN NETO – Para encerrar, no último comentário que eu faria, eu queria apenas compartilhar uma preocupação que nós temos no Poder Judiciário, porque somos porta de entrada de muitas reclamações na via de ações judiciais.

Nós tivemos aqui uma experiência de 160 mil ações que foram ajuizadas contra o SPC, a CDL – Câmara de Dirigentes Lojistas, que controla a base de dados do SPC – e o Serasa. O Boa Vista, que é uma derivação do Serasa, tem três bases de dados de cadastramento de pessoas por inadimplência, que foram réus em 160 mil ações idênticas. Alguns escritórios de advocacia apresentaram uma tese contra um serviço que essas instituições estavam propondo há alguns anos, que era um serviço de consultoria para os comerciantes, para os lojistas, para o fornecimento de crédito. Eles criaram um algoritmo de probabilidade estatística de inadimplência. Um dos serviços era chamado crediscore e o outro serviço era score (...), mas era o mesmo serviço. A partir de dados das pessoas por hábitos de consumo, por idade, por endereço, eles montaram um algoritmo e diziam: “Pelo histórico de consumo e de renda dessa pessoa, existe uma probabilidade de 80% de essa pessoa inadimplir, de essa pessoa não pagar a conta. Então, é um risco você conceder crédito para esse consumidor”. Esse serviço foi muito mal visto quando foi disponibilizado.

Os escritórios de advocacia ofereceram um serviço para os consumidores do ajuizamento de ações individuais de indenização por danos morais. Isso foi muito intenso no Rio Grande do Sul. Houve outros estados da Federação, como Santa Catarina, que também sofreram essas demandas em massa. No fim, o STJ julgou um recurso que foi afetado na forma do julgamento dos recursos repetitivos, em que isso foi mitigado. O STJ, em um julgamento repetitivo, disse que não havia dano moral, porque isso seria alguma coisa

43


25/04/2019

Centro de Estudos


hipotética, alguma coisa em tese, que não havia dando efetivo e que aquilo não era uma base de dados, não dependia de uma autorização prévia ou que a pessoa precisasse ser notificada previamente de que o nome dela estava inscrito em uma base de dados, porque não existia base de dados, existia um tratamento de dados a partir de um algoritmo que pegava informações esparsas em várias bases de dados. Essas 160 mil ações no Rio Grande do Sul foram todas julgadas improcedentes.

Agora, dessas situações que o senhor colocou na sua palestra, expondo a nova filosofia que se apresenta com essa lei que entrará em vigor, a meu sentir, ressurge a preocupação com a possibilidade de ajuizamento de ações em massa por alguma questão que se possa apresentar, sem a necessidade de algum dano real, de algum dano efetivo, mas só pela questão de que os dados não estariam sendo tratados corretamente. O senhor teria algum comentário sobre isso?

PROF. PEDRO VILHENA – Um dos efeitos esperados da lei é que surja a figura do oportunista de proteção de dados pessoais, aquele que vai testar todos os serviços que ele usa, todas as empresas, até encontrar um problema. Com esse problema, ele vai processar a empresa para tentar ganhar 2 mil reais de indenização, porque ele não conseguiu corrigir um dado dele, ou porque ele não teve acesso aos dados no tempo que a lei determinava. Isso pensando no oportunista simples, oportunista sem nenhum julgamento de valor aqui, a pessoa que viu uma oportunidade e está tentando explorar essa oportunidade para fazer algum dinheiro.

Há outras categorias que podem ser afetadas. No Direito Trabalhista, por exemplo, penso que a proteção de dados vai integrar boa parte das ações trabalhistas no futuro. “Essa empresa não respeitava os meus dados”, “Essa empresa não me informava o que fazia com os meus dados”, “Essa empresa vendia os meus dados”, “Eu quero ter acesso a todos os meus dados imediatamente, para ver se a empresa pagou minhas horas extras integralmente”. Creio que isso vai fazer parte da rotina trabalhista.

Em casos de vazamentos, por exemplo, como esse que eu mencionei da British, que atingiu 380 mil pessoas, hoje, com a facilidade de comunicação que temos via internet, é provável que muito rapidamente se crie uma associação de afetados pelo vazamento x; que essa associação tenha três

44


25/04/2019

Centro de Estudos


advogados, que montem uma petição inicial padrão, que ficará disponível no site para as pessoas imprimirem, com o mero preenchimento de um formulário ali – algo muito simples, muito fácil –, para entrar com 10, 15, 20, 30 mil ações sobre um determinado vazamento.

O vazamento vai ser analisado e investigado pela autoridade nacional, mas sem repercussão financeira para quem teve os dados vazados. Essa multa é direcionada para os cofres da autoridade nacional. Quem teve dado vazado, se quiser ser ressarcido de eventuais danos, tem que recorrer ao Judiciário. Agora, tem que provar dano. Não existe reparação de dano sem dano.

DES. NEY WIEDEMANN NETO – In re ipsa?

PROF. PEDRO VILHENA – Eu entendo que não, nesse caso.

DES. NEY WIEDEMANN NETO – Houve perguntas suficientes para o Dr. Pedro. Sendo assim, eu agradeço a presença de todos e dou por encerrada esta reunião do Centro de Estudos. Muito obrigado a todos.

(TRANSCRIÇÃO E REVISÃO REALIZADAS PELO DEPARTAMENTO DE TAQUIGRAFIA E ESTENOTIPIA DO TJRS.)

45

apelaÇÃo cÍvel nº€¦ · web vieweu ainda não pude visualizar desta vez o pôr do sol mais...

Documents