Condenação da Via 4 Amarela: O judiciário brasileiro e a proteção de dados
Nesse início de maio de 2021, vimos a falta que um órgão técnico faz em relação à privacidade e proteção de dados, tivemos uma decisão da justiça paulista na ação civil pública, proposta pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) em face da empresa Concessionária Da Linha 4 Do Metrô De São Paulo S.A. (Via Quatro), que foi frustrante em diversos aspectos da aplicação da LGPD.
A Via Quatro foi considerada responsável por violar a LGPD e o CDC ao utilizar dados biométricos de usuários do transporte público, sendo condenada a não coletar e tratar as referidas imagens e dados biométricos, sem prévio consentimento, bem como ao pagamento de indenização a título de dano moral coletivo pela utilização indevida da imagem dos consumidores.
Não estamos aqui defendendo o uso indevido de dados pessoais, cuja utilização indevida merece total coibição de nosso sistema legal, tendo em vista que a privacidade constitui um verdadeiro valor da sociedade moderna mundial. Entretanto, há que se lembrar o propósito da LGPD em proteger a privacidade das pessoas, assegurando que elas não sejam identificadas tão pouco o âmbito privado de suas vidas não seja acessado indevidamente.
Talvez a conduta da Via Quatro, ao instituir o sistema de monitoramento para detecção facial de emoções e perfil, possa atentar contra algum dos princípios da LGPD, mas a fundamentação da sentença carece de um entendimento profundo dos conceitos de privacidade ao citar os artigos da lei em completo descompasso da sua natureza jurídica.
Além disso, não podemos perder de vista que a LGPD colocou em pé de igualdade a proteção aos direitos e liberdades fundamentais dos titulares de dados pessoais em linha com o desenvolvimento econômico e tecnológico, a inovação e a livre iniciativa. A sociedade do século XXI possui muitas facilidades que não voltaremos atrás, mas a discussão da amplitude do uso de nossos dados pessoais é sempre relevante, pois cada vez mais as plataformas digitais oferecem facilidades aos usuários por conta do seu histórico de uso.
Obviamente também devemos considerar um ponto muito relevante, trazido pelas novas legislações, que visam regular o uso das tecnologias modernas como a LGPD, que é a transparência. Cada vez mais os serviços digitais e uso de tecnologias são chamados a oferecer a transparência como uma garantia aos usuários, por meio de informações claras, precisas e facilmente acessíveis, o que talvez tenha sido a maior falha da Via Quatro.
Antes de entrarmos nos aspectos da sentença é de suma importância entender os conceitos e diferenças de reconhecimento facial e detecção facial, pois os sistemas de reconhecimento facial usam detecção facial, mas nem todos os sistemas de detecção facial têm um componente de reconhecimento facial.
A detecção facial é a tecnologia capaz de identificar a presença do rosto das pessoas dentro de imagens digitais, por meio de algoritmos de aprendizado de máquina e outros para detectar rostos humanos em imagens. A detecção facial é um termo mais amplo do que o reconhecimento facial, pois representa apenas a capacidade de identificar que há um rosto humano presente em uma imagem ou vídeo.
A detecção facial tem várias aplicações, sendo apenas uma delas o reconhecimento facial, este sim pode confirmar a identidade, por meio da comparação com imagens em um banco de dados de registros armazenados.
Uma outra questão importante é o entendimento do conceito de dado pessoal, que é qualquer informação que possa tornar uma pessoa física identificada ou identificável, bem como de dados biométricos, previsto na LGPD como uma categoria especial de dados pessoais sensíveis, tendo em vista o elevado potencial discriminatório desses dados.
De fato, dados biométricos envolvem vários tipos como impressão digital, geometria da mão, reconhecimento de íris e retina, reconhecimento de voz e reconhecimento facial. Entretanto, a priori, os dados biométricos não envolvem a simples detecção facial, tendo em vista que os dados biométricos precisam estar vinculados a um indivíduo, como previsto na própria LGPD.
No tocante à sentença da Via Quatro, o primeiro ponto que causa estranheza é a aplicação da LGPD considerando que o fato ocorreu anteriormente à sua vigência. A sentença menciona que a empresa deixou de atribuir base legal para o tratamento dos dados pessoais, o que acaba por incorrer em retroatividade da Lei.
É certo, que a LGPD não se aplica apenas às novas bases de dados, sendo a adequação do legado um dos maiores desafios para as empresas, sem esquecer que incumbe à ANPD a tarefa de dirigir essa regulamentação, consoante artigo 63 da LGPD. Entretanto, não podemos confundir a obrigação das empresas, a partir do início da vigência da LGPD, em avaliar os tratamentos de dados existentes na empresa, eventualmente até interrompendo certos tratamentos, com a aplicação dos requisitos da lei em processo judicial iniciado antes da vigência da lei.
Vale lembrar que a LGPD não veio para impedir a inovação, sendo certo que os dados representam um ativo valiosíssimo para todas as empresas no desenvolvimento de seus negócios, desde que utilizados com governança e respeito aos indivíduos.
A sentença aplica de maneira imprecisa os conceitos de dado pessoal, dado pessoal sensível e dado anonimizado. Para se ter uma pequena ideia, a sentença considera que a detecção facial, mesmo sem identificar o indivíduo, já confrontaria com o conceito de dado biométrico, considerado dado pessoal sensível, com tratamento especial à luz da LGPD, o que, ao nosso ver, está bastante equivocado, nos termos esclarecidos acima.
Uma outra questão importantíssima seria o posicionamento da sentença de que as imagens “anonimizadas” demandariam o consentimento do titular para fins comerciais, considerando ainda a ausência de divulgação dessa imagem.
A LGPD deixa bem claro que os dados pessoais anonimizados não são considerados dados pessoais e podem ser utilizados livremente, desde que o processo de anonimização seja confiável e irreversível para não colocar a privacidade dos indivíduos em risco. Pergunta-se então, qual o direito à privacidade foi violado, se consideramos a premissa de que as imagens estão anonimizadas e que não há notícias de que qualquer pessoa tenha sido, por exemplo, contatada em razão das informações coletadas?
A utilização de informações anonimizadas para fins comerciais sem as informações de que estão sendo coletadas gera dano moral coletivo? Ao nosso ver soa estranha essa abordagem da sentença, tendo em vista que afronta a premissa de que o uso de qualquer informação não estará sujeito às determinações da LGPD, sempre que não seja possível identificar a quem se refere a informação.
Por qual motivo tal premissa não se aplicaria no caso de imagens? O mero fato de serem imagens, não significa que estejam sequer identificáveis e, além disso, é importante notar que tais informações não foram divulgadas pela empresa.
A detecção facial possui usos muito interessantes para monitorar pacientes que se movam em leitos de hospitais, por exemplo, o que ficaria inviabilizado segundo a interpretação dada à LGPD no caso da Via Quatro.
Um outro ponto interessante trazido à baila pela sentença se refere a importância da prova técnica em questões envolvendo proteção de dados, tendo em vista a importância da prova técnica de que não ocorre o reconhecimento facial, como alegado pela Via Quatro.
De fato, essa prova que caberia originalmente ao Idec, acabou tendo o ônus da prova atribuído à ré, até porque se o sistema que trata as imagens está sob a gestão da Via Quatro, não haveria outra forma de produzir essa prova. A não identificação das imagens não poderia efetivamente ser presumida, mas seja pela estratégia ou pela inercia da Via Quatro tal questão não ficou consignada de forma cristalina nos autos.
Por fim, um outro ponto que a sentença parece ter andado bem foi em relação a aplicação do CDC e o direito à informação. Isso porque, independente da aplicação da LGPD, caberia a Via Quatro ter dado transparência, pelo direito à informação ostensiva e clara. Ou seja, independente de estarmos individualizando o titular, mediante um reconhecimento facial, ou não, mediante a detecção facial, a transparência deveria ter sido privilegiada e o ambiente monitorado deveria ter um aviso a respeito inclusive com os objetivos e usos dados a essas imagens.
Sem prejuízo das críticas cabidas em razão de eventuais deslizes judiciais sobre questões técnicas da LGPD, é gratificante presenciar o desenvolvimento do tema, que ainda carece de muito debate e amadurecimento.
Diogo Silva Marzzoco é coordenador da equipe de Proteção de Dados no Pinhão e Koiffman Advogados
Helio Ferreira Moraes – Sócio de Proteção de Dados no Pinhão e Koiffman Advogados
A ANPD esclarece pontos relevantes acerca do Controlador, Operador e Encarrega
Entenda os principais aspectos no novo guia emitido pela ANPD
Diogo Silva Marzzoco – Coordenador da equipe de Proteção de Dados
Helio Ferreira Moraes – Sócio de Proteção de Dados
Nesse último 28/05/21 a ANPD – Autoridade Nacional de Proteção de Dados emitiu o seu “Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, um documento muito esperado pela sociedade brasileira, pois esclarece uma série de dúvidas que as empresas tinham sobre o tema.
Na Europa, as figuras de co-controlador e sub-operador estão mais avançadas, mas aqui no Brasil vínhamos exercitando a analogia em relação a GDPR com certa insegurança jurídica, tendo em vista as diferenças entre essa legislação e a nossa LGPD – Lei Geral de Proteção de Dados Pessoais.
Referido guia não se caracteriza como uma normativa vinculante, deixando inclusive aberta a possibilidade de comentários e contribuições pela sociedade civil que possam contribuir para sua atualização na medida que novas regulamentações e entendimentos forem publicados pela ANPD.
Antes de adentrar as questões mais polêmicas, o guia afasta por completo a confusão que algumas pessoas faziam ao interpretar que as figuras dos controladores ou operadores poderiam ser estabelecidas entre indivíduos subordinados, como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, deixando claro que esses indivíduos já atuam sob o poder diretivo do agente de tratamento, que é a organização no caso das pessoas jurídicas. De fato, o guia é categórico ao afirmar que a definição legal de controlador não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades entre empregados, administradores, sócios, servidores, dentre outros.
Além disso, o guia também corrobora o entendimento majoritário dos especialistas de que o agente de tratamento é definido para cada operação de tratamento de dados pessoais, ou seja, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento.
No guia, a ANPD admite controladores conjuntos, em que pese a LGPD seja omissa nesse ponto, trazendo uma luz sobre diversas discussões ente os especialistas acerca do que seriam os co-controladores.
A atividade de controlador pode partir tanto do conceito previsto na LGPD para esse agente de tratamento, sob o prisma do contexto fático e circunstâncias do caso, quanto de regulação e do contrato entre as partes. Sendo importante a realidade dos fatos, assim como em questões trabalhistas ou tributárias, nas quais a aplicação do direito decorre mais da realidade dos fatos do que de instrumentos contratuais.
Assim, o papel dos agentes de tratamento deve ser definido a partir de um caráter funcional, ou seja, as funções que exercem na situação fática, por exemplo quem é o responsável efetivo pelas decisões relativas ao tratamento, e não como mera vontade das partes de se categorizar como X ou Y.
Além disso, uma outra questão interessante elucidada pelo guia foi que na relação com os entes públicos, o agente de tratamento são os entes da federação ao qual o órgão público despersonalizado envolvido na relação de tratamento de dados pessoais faz parte, havendo apenas uma descentralização de atividades ao Órgão Público competente, como no caso da União e seus Ministérios.
Entretanto, em que pese o controlador ser a União, por exemplo, as hipóteses de uso compartilhado de dados pessoais, de atendimento às exigências da ANPD, de aplicação de sanções administrativas, obrigação de transparência, bem como nomear o Encarregado, entre outras obrigações, fica a cargo dos órgãos públicos distribuídos. Cabendo a tais órgãos estabelecer estruturas adequadas para receber requerimentos de titulares e solicitações de providências determinadas pela ANPD.
Uma outra questão importante esclarecida pela ANPD, entendimento de que o controlador não precisa monopolizar todas as decisões sobre o tratamento de dados, devendo apenas manter as relativas aos elementos essenciais para o cumprimento da finalidade.
De fato, o guia manifesta a desnecessidade de que todas as decisões sejam tomadas diretamente pelo controlador, bastando apenas que este mantenha sob sua influência e controle as principais decisões, tais como a definição da finalidade do tratamento, natureza dos dados e duração do tratamento.
Assim, o operador mantém certa autonomia, sobretudo técnica dentro da relação com o controlador. De qualquer maneira, o operador precisa estar atento para agir no limite das finalidades determinadas pelo controlador. Além disso, o operador deverá: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador.
No que concerne à controladoria conjunta, assim será considerada pela ANPD quando as decisões forem conjuntas ou complementares, em linha com a GDPR, que define que cabe aos controladores definir quem vai, por exemplo, assumir a responsabilidade de atender ao titular. Assim, de acordo com a interpretada da LGPD à luz da GDPR dada pelo guia, a controladoria conjunta ocorreria quando há “determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”.
E vai além, ao esclarecer as duas categorias de co-controladores como aqueles vinculados por decisões comuns, como aquelas em que duas ou mais entidades possuem uma intenção comum sobre as finalidades e meios de tratamento e tomam decisões em conjunto, bem como aqueles vinculados por decisões convergentes, que são distintas, mas se complementam de maneira que o tratamento não seria possível sem a participação de ambos os controladores. O teste proposto pela ANPD para definir se existe a controladoria conjunta é se todas essas questões forem respondidas positivamente:
Apesar dessa possibilidade de conjunção de responsabilidades, nos casos em que uma mesma operação de tratamento de dados pessoais envolva mais de um controlador, em que estes responderão de forma solidária, a exceção seriam as hipóteses em que não realizaram o tratamento de dados, tenham realizado, mas não houve violação à LGPD ou que o dano seja decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Na questão da reparação de danos, embora o art. 37 da LGPD determine que controlador e operador partilham obrigações e, consequentemente, a responsabilidade de manter o registro das operações de tratamento, o entendimento manifestado pela ANPD foi no sentido de que em regra a responsabilidade é do controlador. A única hipótese em que o operador seria equiparado ao controlador em termos de responsabilidade seriam nos casos de danos causados em razão do tratamento irregular realizado por operador (por descumprir as obrigações da legislação ou por não observar as instruções do controlador).
Um outro conceito que pairava no ar pela LGPD era a falta do conceito de suboperador, embora não impossibilitasse ou tornasse ilegal que ele existisse ou que tivesse funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro. Assim, o guia veio complementar essa lacuna definindo o suboperador como “aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador.”. Recomendando ainda o guia que o operador, ao contratar o suboperador, obtenha autorização formal do controlador, podendo constar até mesmo do próprio contrato firmado entre as partes.
Um ponto em que o guia não foi inovador e manteve certa celeuma foi em relação a manutenção da necessidade da publicação da identidade do Encarregado como ponto focal do titular e da ANPD no site das empresas. Aqui a ANPD perdeu a oportunidade de não engessar as empresas, pois para o titular não faz diferença quem é a pessoa física do Encarregado, o importante é ter um ponto focal para fazer os seus pleitos sobre o tema da privacidade. Pergunta-se: Qual a necessidade de obrigar a publicação da identidade do Encarregado? Não seria uma exposição desnecessária que não contribui para assegurar os direitos dos titulares?
Por fim, o guia trouxe uma novidade bastante desejável para o Encarregado, estabelecendo que este deve trabalhar com independência e liberdade, tempo e estrutura adequada, não havendo uma qualificação pré-ordenada. Entretanto, a qualificação deve ser definida mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.