Fonte: Opice Blum, Bruno e Vainzof Advogados Associados
“Metade da população mundial terá sua primeira legislação federal de proteção de dados pessoais nos próximos dois anos”, disse Trevor Hughes, CEO da IAPP (International Association of Privacy Professionals), no IV Preview On-line do Congresso de Direito Digital, Tecnologia e Proteção de Dados. “Um ano atrás, no início da pandemia, muitos disseram que a proteção de dados seria esquecida. O inverso ocorreu: a pandemia fez com que todos nós percebêssemos a importância da privacidade”, observou.
O evento, promovido pela Opice Blum Academy, contou com a presença de diversos especialistas, que, entre outros assuntos, abordaram a importância crescente da privacidade no mundo, assim como das novas tecnologias, como a Inteligência Artificial.
Ainda segundo Hughes, os Estados Unidos estão entre esses países que devem ter em breve uma lei válida para todo seu território. “Daqui a dois anos, em 2023, a possibilidade de aprovação da legislação federal é de 99%. Eu diria que a chance de isso ocorrer ainda neste ano é de 33%”, avaliou. Até hoje, os EUA têm somente legislações estaduais sobre a matéria, como da Califórnia e da Virginia. China e Índia são outros dois países que devem aprovar uma legislação válida nacionalmente.
“O ano de 2020 finalizou uma década com 62 novas legislações de proteção de dados aprovadas no mundo. Estamos todos usando os mesmos aparelhos, programas de computador, por isso, precisamos de definições, princípios e garantias comuns que vão nos ajudar a lidar com os desafios em privacidade. A Convenção 108 se aplica aos setores público e privado, com respeito aos direitos fundamentais, assegurando, por exemplo, que os indivíduos não sejam tratados como meros objetos”, disse Sophie Kwasny, Head da Unidade de Proteção de Dados do Conselho da Europa, que também participou do Congresso.
Confira abaixo os temas que foram destaques no evento, realizado no dia 25 de março.
Diferença entre proteção de dados e privacidade
“A Europa faz diferenciação entre proteção de dados e privacidade. O GDPR é voltado para a regulação de proteção de dados. Já o ePrivacy Regulation, diretiva ainda vigente na União Europeia, protege a privacidade. Essa distinção não ocorre nos Estados Unidos e em outros países, que consideram proteção de dados e privacidade como sinônimos”.
Trevor Hughes, CEO da IAPP
Transferência internacional de dados pessoais
“Em todo o mundo, transformações regulatórias estão ocorrendo. Na Europa, por exemplo, com a saída do Reino Unido da União Europeia, diversos desafios surgiram, como a necessidade de novos mecanismos de transferência de dados entre os países. A LGPD (Lei Geral de Proteção de Dados) tem restrições de transferência internacional de dados, havendo necessidade de regulamentação sobre isso. O que vejo é que há ainda muitos riscos globalmente em relação à transferência de dados”.
Trevor Hughes, CEO da IAPP
Big Techs
“Há hoje uma discussão muito forte no mundo sobre as práticas anticoncorrenciais das chamadas Big Techs, que dominam determinados mercados, como a publicidade on-line. A FTC (Federal Trade Commission) dos EUA vem atuando no sentido de garantir a efetividade da legislação antitruste. É possível até mesmo que a legislação federal de proteção de dados venha a contemplar, de alguma forma, essa questão – de criar mecanismos que evitem as práticas anticoncorrenciais”.
Renato Opice Blum, chairman e sócio-fundador do Opice Blum, Bruno e Vainzof Advogados Associados
Aplicação extraterritorial da LGPD
“A LGPD prevê a aplicação da lei também extraterritorialmente – quando o agente de tratamento não está no Brasil, mas tem como foco o mercado brasileiro. No GDPR, há um artigo que se aplica a empresas de fora da União Europeia, definindo a regra de que elas precisam nomear um representante na UE para receber reclamações dos titulares de dados e/ou determinações da Autoridade. O Brasil não importou isso do GDPR. Essa é uma questão de ausência de enforcement porque você depende, para regular essa questão, de acordos internacionais.”
Rony Vainzof, sócio do Opice Blum, Bruno e Vainzof Advogados Associados
Fornecedores sem domicílio no Brasil
“A ausência de domicílio no Brasil não pode representar uma vantagem para se escusar das obrigações da LGPD ou retardar possíveis sanções. Como lidar com fornecedores de serviços e produtos on-line que não têm representação no Brasil? A obrigatoriedade de nomeação do DPO (Data Protection Officer) ou Encarregado de Proteção de Dados Pessoais, nesses casos, poderia ser uma solução”.
Leonardo Marques, coordenador-geral de Consultoria Técnica e Sanções Administrativas da Secretaria Nacional do Consumidor (Senacon)
Indicações para o conselho consultivo da ANPD
“Recebemos mais de 120 indicações para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD). Nossa prioridade é constituir esse conselho consultivo, que será um ambiente privilegiado para obter as perspectivas dos diferentes segmentos afetados pela LGPD. Ficamos felizes com o grande interesse despertado pelo CNPD. Neste momento, estamos em processo de escolha, considerando como critérios a experiência com proteção de dados pessoais e a representatividade dos indicados.”
Miriam Wimmer, diretora da ANPD (Autoridade Nacional de Proteção de Dados)
Papel do CNPD
“Espero que a postura inicial do conselho consultivo da ANPD seja construtiva, colaborativa, e não beligerante ou conflituosa. Claro que o CNPD tem o papel de monitorar as ações da ANPD, mas não é momento agora de ter visão crítica em relação à Autoridade, já que o órgão, apesar de sua estrutura enxuta, vem trabalhando em ritmo intenso. O papel principal do conselho consultivo neste momento é contribuir para a conscientização da sociedade, assumindo verdadeiro viés educativo.”
Fabricio da Mota Alves, advogado e indicado pelo Senado Federal para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Tomada de subsídios pela ANPD
“As normas não podem ser tiradas do nada. Não pode haver o elemento surpresa, que é muito ruim para os empresários, para o ambiente econômico. Por isso, nós, da ANPD, decidimos dar um passo além: antes de propor a consulta pública, proporcionamos um procedimento prévio, o da tomada de subsídios, para que qualquer indivíduo ou organização possa contribuir. Dessa forma, vamos amadurecendo o debate, fazendo com que a sociedade se envolva”.
Miriam Wimmer, diretora da ANPD (Autoridade Nacional de Proteção de Dados)
Acordo de Cooperação Técnica entre ANPD e Senacon
“Quando temos um incidente, podemos, é claro, atrair as competências de diferentes órgãos públicos, que tutelam bens jurídicos distintos. O olhar do Banco Central, por exemplo, é diferente do nosso olhar [da ANPD]. Agora, quando consideramos ANPD e Senacon, o bem jurídico é o mesmo – o de proteção do consumidor/titular de dados. Esse foi um dos fatores que motivaram nosso Acordo de Cooperação Técnica firmado recentemente. Não faz sentido que dois órgãos, que protegem o mesmo bem jurídico, estejam atuando de forma paralela, sem integrar esforços.”
Miriam Wimmer, diretora da ANPD (Autoridade Nacional de Proteção de Dados)
Incidente de segurança de dados pessoais à luz da LGPD
“O conceito é muito amplo, já que vai muito além do vazamento de dados. Para ter incidente, pode não haver vazamento, bastando que alguém acesse, por exemplo, a base de dados da companhia e apague, de forma indevida, o conteúdo ou ainda que alguém acesse a base de dados, sem que tenha autorização para isso.”
Caio Lima, sócio do Opice Blum, Bruno e Vainzof Advogados Associados
“Nosso conceito de incidente de segurança é amplo: todo e qualquer tratamento que não estiver em conformidade com o que está previsto na Lei Geral de Proteção de Dados. Se o tratamento se dá em violação a um dos princípios da LGPD ou a base legal não é adequada, também temos um incidente de segurança. Agora, de acordo com a lei, nem todo incidente deve se reportado: somente aqueles que trouxerem risco ou dano relevante para os titulares de dados”.
Renato Leite Monteiro, Data Protection Counsel no Twitter
Dever de notificação de incidente de segurança
“Como saber se devo reportar o incidente? O mero impacto aos direitos dos titulares não significa que precisa fazer o report. A LGPD impõe às organizações a obrigação de analisar o impacto para verificar o risco que traz aos direitos e liberdades fundamentais. Se for relevante, aí sim é preciso fazer o report. Para esse trabalho, deve ser usada a matriz de risco versus severidade (impacto), de acordo, por exemplo, com as diretrizes do ICO (Information Commissioner’s Office), do Reino Unido. É a probabilidade de o risco se concretizar versus a probabilidade desse risco causar impacto para o titular de dados se efetivamente se concretizar (que é a severidade).”
Renato Leite Monteiro, Data Protection Counsel no Twitter
Prazo razoável para notificar incidente de segurança
“Essa é uma questão complexa. Importante que tenhamos um prazo de dias, e não de horas. Isso dá segurança jurídica para as empresas, para que elas consigam comunicar com propriedade, da melhor forma possível. Claro que, a partir da identificação do risco ou dano relevante, a recomendação já é comunicar.”
Aline Fuke Fachinetti, especialista em proteção de dados do Grupo Yamaha Brasil
“Há quem defenda prazos de notificação diferentes para setores diferentes, considerando as especificidades das atividades econômicas. A notificação parcial foi a solução adotada pela Europa, para contornar a dificuldade de definição do prazo. A ANPD já adotou essa solução, considerando as primeiras medidas relacionadas à notificação [o formulário disponibilizado no site]. Caso haja incerteza se deve notificar, a preferência é pela notificação. E, como disse, pode haver uma notificação parcial – na seguinte linha: isso é o que sabemos até agora.”
Renato Leite Monteiro, Data Protection Counsel no Twitter
Quando começa a contar o prazo de notificação?
“No GDPR, a partir do momento em que o controlador é informado pelo operador, pela mídia, pelo cliente, por diversas formas possíveis. A partir daí, são 72 horas para enviar a notificação à Autoridade. Já houve aplicação de penalidade por lá porque a organização tomou conhecimento e demorou mais de 72 horas para informar.”
Renato Leite Monteiro, Data Protection Counsel no Twitter
“Nosso entendimento é que o prazo de notificação comece a contar a partir da confirmação do incidente de segurança, para que não haja inclusive excesso de notificação à ANPD. Nesse meio-tempo entre a suposta ocorrência do incidente e a confirmação dele, a companhia estará inteiramente dedicada a investigar.”
Caio Lima, sócio do Opice Blum, Bruno e Vainzof Advogados Associados
Investigações envolvendo incidente de segurança
“É muito comum que o administrador queira que sua área de TI e/ou de Segurança da Informação tenha resposta na hora sobre o que ocorreu no incidente de segurança. Essas apurações não são instantâneas, já que demoram oito, 14 meses para chegar a uma resposta”.
Domingos Montanaro, cofundador e CEO da Ventura ERM
Transparência com o titular de dados pessoais
“Sem transparência, restringimos a possibilidade de o titular exercer seus direitos. Precisamos dizer o que fazemos, por meio de linguagem direta, concisa, sem juridiquês, com os dados pessoais. A LGPD é uma lei fundada em confiança, e a transparência é fundamento da autodeterminação informativa.”
Tiago Furtado, gestor da área de Proteção de Dados do Opice Blum, Bruno e Vainzof Advogados Associados
Requisições dos titulares de dados pessoais
“A LGPD empodera o titular de dados, fazendo com que ele seja o protagonista. De uns tempos para cá, o titular comum, que não tem relação com o Direito, começou a exercer seus direitos, perguntando quais dados seus são tratados pela empresa. Bem diferente do início, de quando a LGPD entrou em vigor, ocasião em que basicamente profissionais da área, ligados de alguma forma ao Direito e/ou à LGPD, nos procuravam para entender como seus dados estavam sendo tratados.”
Odilon Oliveira, gestor de Proteção de Dados na Unimed do Brasil
Dados não estruturados: a dor de cabeça do DPO
“Os dados não estruturados são a grande dor de cabeça do DPO ou Encarregado de Proteção de Dados Pessoais. Vou explicar o motivo. Antes de mais nada, o DPO precisa verificar como será a comunicação com o titular de dados, como ele entrará em contato com a empresa. Imagine o seguinte cenário: empresa com seção de contato disponível no site, disponibilizando o e-mail do DPO ou do departamento de privacidade, contendo, portanto, as informações de como o titular de dados pode enviar sua requisição. O titular encaminha então o pedido. Quando esse pedido chega à empresa, vai para onde? O pedido está realmente chegando ao DPO ou ao departamento de privacidade? Se for assim, ótimo, é o correto. O problema é quando chega ao SAC, sem que os colaboradores estejam treinados para saber que se trata de um pedido de proteção de dados e que, por isso, deve ser encaminhado imediatamente para o DPO. E tem mais: pode ser que esteja chegando ao DPO, mas está sendo possível checar com facilidade os dados? Somente se estiverem estruturados. Quando não estão, é preciso correr para encontrar os dados em algum lugar na organização, e, para isso, você tem apenas 15 dias – o prazo legal. Por esses motivos, desenhar o processo tem enorme importância.”
Humberto Ortiz, gestor da área de Proteção de Dados e DPO do Opice Blum, Bruno e Vainzof Advogados Associados
Dados pessoais como política pública
“Há discussões no Brasil sobre o uso de dados pessoais para fazer política pública. Em alguns casos, essa utilização é muito importante. O compartilhamento de dados com operadoras de telecom, por exemplo, para medir índice de isolamento social na pandemia é um exemplo. Claro que, para isso, não há necessidade de rastrear o GPS. O mapa de calor, com dados anonimizados, sem identificação, é suficiente.”
Camilla Jimene, sócia do Opice Blum, Bruno e Vainzof Advogados Associados
Mudança de mindset no tratamento de dados
“É preciso rever aquele comportamento de ter os dados porque em algum momento vou usá-los. Esse apego aos dados deve ser combatido. O critério para tratar dados deve considerar o valor que você quer agregar a partir do seu tratamento. Essa é a mudança de mindset necessária. O dado tem que passar por mim, gerar um fluxo e, se for o caso, sair de mim. O dado não me pertence, ele só é um fator que agrega.”
André Filipe Batista, PhD e professor do Programa Avançado em Data Science e Decisão do Insper
Privacy by design
“É preciso lembrar sempre que o dado pode ser pessoal. Isso faz com que você tenha a seguinte precaução: para que eu quero esse dado? Preciso realmente dele? Quando você faz a escolha por usar o dado pessoal, você precisa ter o controle e a vigilância sobre ele, ou seja, garantir sua segurança desde a concepção do produto ou serviço, por exemplo. Esse é um dos fundamentos do chamado privacy by design.”
Andrea Willemin, conselheira da Comissão de Proteção de Dados do Conselho Nacional do Ministério Público
Segurança cibernética
“Os novos normativos do Banco Central do Brasil olham para uma régua mínima de controles de risco, operacionais e de liquidez. No controle de risco operacional, destaque para a questão da segurança cibernética. Deve haver uma pessoa responsável pela segurança que responderá em nome da instituição.”
Florence Terada, gestora de Bancário Digital do Opice Blum, Bruno e Vainzof Advogados Associados
Open Banking
“Estamos exigindo o Open Banking por parte das instituições reguladas, mas há um universo também de não reguladas. Por isso, permitimos a parceria entre reguladas e não reguladas, com ganho de sinergia, para oferecer serviços diversos aos clientes.”
Mardilson Fernandes Queiroz, Head de Divisão no Banco Central do Brasil
Regulamentação da Inteligência Artificial
“O Congresso Nacional tem a missão de traçar as balizas principiológicas que os órgãos reguladores vão atuar. Os projetos de lei sobre Inteligência Artificial não podem ser prejudiciais para a competitividade do país. É preciso entender que não dá para regular a tecnologia, mas sim o uso que é feito dela. E muito importante: IA é ganho de escala, sendo essa característica que viabiliza o investimento nela. Ao exigir supervisão humana para cada uma das suas atividades, o ganho de escala é comprometido”.
Andriei Gutierrez, diretor de Regulações Governamentais e Assuntos Regulatórios da IBM Brasil
Inteligência Artificial no Poder Judiciário
“A Inteligência Artificial é muito útil considerando que há, por um lado, volume grande de processos judiciais muito semelhantes e, por outro, escassez humana e financeira no Judiciário. A IA pode ajudar a resolver esse volume de casos com agilidade e a entender como o Judiciário funciona, para construir políticas públicas baseadas em evidência. Precisamos compreender de onde vêm as demandas, como elas surgem e como estamos respondendo a elas. Veja, por exemplo, o projeto Sinapses no TJ de Rondônia, que opera em todas as etapas de IA: estudo, desenvolvimento e produção. O CNJ (Conselho Nacional de Justiça) está acolhendo esses modelos de IA fornecidos pelo projeto Sinapses. São APIs para todo o Judiciário, de modo que um tribunal que não produza IA possa usar em seus sistemas a IA de outro”.
Braulio Gusmão, juiz do Tribunal Regional do Trabalho da 9ª Região
Princípio da accountability na Inteligência Artificial
“Accountability, ou seja, prestação de contas, é muito importante. O algoritmo vai falhar em alguns momentos, e a sociedade vai ter que buscar onde o algoritmo errou, seja para aprender com o erro, seja para consertar o futuro, seja para responsabilizar os culpados. É preciso lembrar que a IA é operada por humanos, que têm vieses inconscientes, podendo ser refletidos nos seus sistemas ou algoritmos.”
Marcos Bruno, sócio e CEO do Opice Blum, Bruno e Vainzof Advogados Associados
Publicidade on-line
“A publicidade on-line em 2019 foi de 124 bilhões de dólares no mundo, de acordo com o IAB. A publicidade direcionada, personalizada, tem enorme participação nisso, e os cookies são fundamentais para seu funcionamento. A ePrivacy, diretiva ainda vigente na União Europeia, tem uma diferenciação de cookies bem importante para garantir o respeito à privacidade nesse universo da publicidade direcionada.”
Henrique Fabretti, gestor da área de Proteção de Dados do Opice Blum, Bruno e Vainzof Advogados Associados
Cookies em linguagem acessível
“Os cookies são uma das tecnologias usadas para coletar dados. No Mercado Livre, além de disponibilizar aos usuários os avisos de cookies durante o acesso, fizemos um portal da privacidade para explicar em linguagem fácil o que são eles”.
Camilla Schrappe, Data Privacy Supervisor no Mercado Livre
Cookies funcionais
“Se você proibir os cookies funcionais, você inviabiliza o e-commerce. Para as plataformas de comércio eletrônico, é muito importante acompanhar a jornada de compra do usuário. Considero que o próprio usuário vai acabar motivando certas mudanças. O que quero dizer é que o consumidor vai provocar situações regulatórias. Determinado app, por exemplo, que está sendo pouco transparente em relação aos dados, em como utiliza as ferramentas de tracking e publicidade. Dependendo do feedback dos consumidores, o app será obrigado a mudar suas políticas”.
Dirceu Santa Rosa, líder regional para o Brasil da IAPP
Inovação jurídica e Visual Law
“O Visual Law demanda um time multidisciplinar, com o olhar da Comunicação e uso de linguagem menos técnica. Isso não significa prescindir da figura do advogado – pelo contrário. Afinal, quem disse que, para proteger as regras, precisamos elaborar documentos baseados no juridiquês?”
Danielle Serafino, sócia do Opice Blum, Bruno e Vainzof Advogados Associados
Visual Law é construção a várias mãos
“No processo de elaboração dos documentos em Visual Law, os feedbacks internos são fundamentais para transformar a jornada de compreensão do tema. O objetivo final é construir um documento que seja compreensível por ambas as partes. Para isso, o advogado deve estar aberto para o envolvimento de outras áreas que agreguem valor ao documento jurídico. Precisa também ter empatia pelo público-alvo, entender onde está a dor dele e, sobretudo, ter ousadia para inovar.”
Carlos Campagnoli, Data Protection Manager na Sanofi Medley Farmacêutica
Transformação do mercado jurídico
“Para o futuro, vejo uma profunda transformação da cultura do mercado jurídico, com um olhar mais crítico e mais próximo das pessoas. O Visual Law abre caminho para mostrar que, a partir da transformaçao de um documento, podemos reinventar a profissão. Mais leve e focada em quanto de valor você entrega, em vez de quantas horas a fio trabalha na demanda.”
Aline Rodrigues e Steinwascher, Head do Jurídico no Will Bank
Para mais informações sobre os assuntos abordados neste report, nossas equipes permanecem à disposição.
