CADERNO - 3o - 2A UNIDADE - DIREITO E TECNOLOGIA

Prévia do material em texto

CADERNO – FBDG - 3º semestre DIREITO E TECNOLOGIA – MARCUS SEIXAS
AULA 01 – OBSERVAÇÕES GERAIS E A TECNOLOGIA NO SÉCULO XXI 
OBSERVAÇÕES GERAIS DA DISCIPLINA:
· Disciplina que abre os horizontes e, cada vez mais, trata de uma questão contemplada pelos profissionais do Direito;
· Os principais aspectos das tecnologias utilizadas na vida em sociedade são de fundamental importância para que o profissional lide com uma grande quantidade de demandas; 
· Avaliações (25/03 e 27/05) serão individuais, compostas por três questões (geralmente duas teóricas e uma prática), com limites de linhas e realizadas em sala presencialmente. 
· A segunda avaliação será pautada na análise de um caso concreto (é necessário, portanto, estudar profundamente o caso para ter a capacidade de responder às perguntas); 
· Temas a serem discutidos: LGPD (Lei Geral de Proteção de Dados), a Lei do Marco Civil da Internet; a neutralidade dos serviços de internet; a Inteligência Artificial (IA) no nosso dia-dia; direito ao esquecimento e à internet; cookies, internet das coisas; governança algorítmica; DLT, Blockchain e as criptomoedas; o smartcontract; os direitos de autor e P2P; biotecnologia e biossegurança; VANS/drones; 
· A LGPD dialoga com os limites e possibilidades do uso de dados pessoais por terceiros.
· A Lei do Marco Civil da Internet regulamenta como deve funcionar a internet no Brasil, como o país pode regular essa matéria se a internet não é brasileira e quais são as fronteiras da intervenção brasileira em temas associados à internet. 
· A neutralidade dos serviços de internet pauta-se na proibição de haver discriminação com base nos sujeitos ou no objeto/conteúdo de uso da rede.
· Por exemplo, no que tange à atuação da Inteligência Artificial, pode-se citar a ocasião na qual há o bloqueio de transações de cartão de crédito, por exemplo, em compras realizadas no exterior (Estados Unidos, China...). Assim, contata-se o proprietário para verificar se, de fato, aquela transação é válida. Isso ocorre porque a empresa é detentora do histórico de compras dos indivíduos. Se, a título exemplificativo, há o molde do histórico de compras de Marcus (gasolina, mercado, americanas, amazona, magazine, restaurantes – gastos no Brasil), pode ocorrer o bloqueio da transação de um material de construção de R$ 30.000,00 que ele adquiriu no Vietnã. Daí a necessidade de Marcus confirmar a transação para a confirmação da compra. 
· A IA também se encontra presente em serviços de streaming (Netflix, Amazon Prime, Sportify), uma vez que é traçado o perfil do consumidor para indicar filmes/séries/músicas (sugestões: “como você gostou de X, talvez se interesse por Y”). Às vezes é comum termos essa sensação de “espionagem”, principalmente, quando recebemos em nosso e-mails ou navegadores anúncios de coisas que estávamos procurando ou conversando com alguém a respeito; 
· Outro exemplo, cada vez mais comum, consiste no sistema de câmeras de reconhecimento facial. No último carnaval realizado na Bahia, antes do período pandêmico, o governo anunciou o sistema de câmeras de reconhecimento facial para identificar criminosos (e alguns foragidos foram, de fato, capturados). Entretanto, essa tecnologia também teve uma má repercussão em virtude da grande quantidade de falsos positivos. Portanto, uma vez que se encontra projetada para reconhecer um grupo determinado de pessoas (e pautada em uma visão de um sistema branco), essa IA precisa ser treinada (deep learning) para não oferecer riscos à população. 
· Além dos desafios regulatórios, outro tema essencial vinculado à tecnologia trata-se da governança algorítmica – responsabilidade interna da empresa que esteja construindo algum tipo de tecnologia, ou seja, antes de lançar a tecnologia no mercado é necessário checar e rechecar aquela programação, realizando testes com o fito de evitar lançar no mercado um instrumento que ofereça riscos à população.
· Com o Blockchain, não há mais a dependência do armazenamento de informações pessoais de forma centralizada, uma vez que há a descentralização dos dados e constitui-se uma tecnologia extremamente segura e imune a fraudes (justamente em virtude da criação dessa “rede”). O Blockchain também se encontra vinculado às criptomoedas (como as bitcoins). 
· O smartcontract feito para facilitar e reforçar a negociação ou desempenho de um contrato, proporcionando confiabilidade em transações online. Esse smartcontract, para algumas pessoas, aproxima as profissões do advogado e do programador – trata-se de um contrato que não depende das partes para se concretizar, dando mais segurança jurídica. 
· No que diz respeito aos direitos de autor e P2P, a ascensão do Torrent, por exemplo, torna-se uma grande ameaça. 
· Os liames éticos envolvendo a biotecnologia e a biossegurança serão, também, contempladas no curso, discutindo-se questões como as células-tronco, transgenia, clonagem, etc.
· Os veículos aéreos não tripulados (VANS/drones) são, também, alvo da disciplina, uma vez que existem limites para o uso desses no Brasil. 
INTRODUÇÃO À LGPD:
1. O controle de dados na contemporaneidade:
O FaceApp – que se popularizou recentemente por permitir a projeção dos usuários no futuro (versão idosa) – possuía uma grande quantidade de informações contidas nos celulares desses usuários (como fotos, por exemplo). O PROCOM-SP tentou aplicar uma multa nessa empresa, entretanto, esta não detinha patrimônio/sede no Brasil, multando-se a Apple e o Google por permitirem a instalação de um aplicativo que colocava em risco a privacidade e a segurança dos usuários. 
 
Muita gente faz, hoje em dia, uso das assistentes virtuais (como Siri, por exemplo) – IA de reconhecimento de voz e fala -, entretanto, esses recursos fornecem riscos à privacidade dos usuários visto que funcionam como microfones instalados no ambiente. 
O Google fatura, principalmente, através de anúncios direcionados a depender do perfil dos usuários e pode armazenar informações como áudios dos usuários e monitorar os locais mais visitados por eles. O Google, portanto, é uma grande empresa de publicidade (fim), sendo a tecnologia (meio) crucial para esse processo de enriquecimento. 
Hoje, usamos bastante as ferramentas do Google como Gmail, Google Maps, Google Street View, Google Drive, Google Meet, Google Chrome, Google Agenda, Google Docs – e, por conseguinte, assumimos o papel de produto e não de consumidor. Os consumidores são os anunciantes. Por isso se diz que “os dados são o novo petróleo”, em virtude, justamente dessa economia de dados e da ascensão de empresas de BigDatas (Facebook, Google, Apple...) 
Cambridge Analytica (escândalo): Essa empresa foi capaz de traçar o alinhamento político dos cidadãos e dados foram sendo utilizados para conseguir votos (e, inclusive, converter votos) nas eleições presidenciais dos Estados Unidos (inclusive através de fake news) que elegeram Donald Trump. Essa polêmica é retratada no documentário da Netflix denominado “Privacidade Hackeada”. 
 
OBS: O Google teve que borrar as imagens das pessoas que apareciam nas fotos coletadas pelo Google Street View (mesmo sem querer o Google adquiria dados dos usuários, uma vez que o objetivo era somente fotografar as localizações geográficas). 
Durante o período pandêmico, muitos governos passaram a armazenar mais dados dos usuários e, inclusive, de forma arbitrária já que alguns países obrigaram a população a manter ativo um aplicativo que monitorava, entre outras coisas, o local em que essas pessoas transitavam. Destarte, se João, por exemplo, teve contato com Mário que testou positivo para a covid-19, o aplicativo informava esse fato e sugeria o cumprimento da quarentena por parte de João. 
Não é somente o setor privado que armazena nossos dados, mas o setor público detém e utiliza bastante os nossos dados. O governo chinês, a título exemplificativo, está fazendo um experimento social de rankeamento dos cidadãos (se frequenta ou falta o trabalho, se está vacinado e vacinou seus filhos, se paga tributos) de acordo com asua performance social (os melhores cidadãos têm notas mais altas e, por conseguinte, gozam de determinadas prerrogativas – como férias maiores – que os de notas menores não gozam). Desse modo, é nítida a influência que o governo chinês possui em relação à vida dos cidadãos que lá habitam. 
Por isso, cada vez mais, se tem falado em tecnopolíticas. Vivemos, hoje, em um capitalismo de vigilância que é capaz de traçar o nosso perfil e prever os nossos interesses. Essa temática é mais abordada em três livros: The Black Box Society, Tecnopolíticas da Vigilância e The Glass Consumer. 
2. O surgimento da LGPD:
Até termos controle dos nossos dados – que vai muito além de assinar termos de políticas de privacidade de sites –, é necessário todo um aparato legal que nos proteja contra “o capitalismo de vigilância”. A partir da próxima aula, mergulharemos na dogmática da LGPD, em especial, nos princípios do tratamento de dados pessoais (Art. 6º da LGPD). 
Para a próxima aula: Assistir ao documentário “Privacidade Hackeada” e ler o Art. 6º da LGPD. 
AULA 02 – PRINCÍPIOS E BASES LEGAIS DO TRATAMENTO DE DADOS PESSOAIS
1. Princípios do tratamento de dados pessoais (art. 6º da LGPD): 
· Finalidade: Todo tratamento de dados pessoais se vincula a uma finalidade e essa finalidade não pode ser modificada sem que seja comunicado previamente ao titular. Essa finalidade precisa ser legítima e específica, sendo livre a forma de comunicação ao titular. Por exemplo, uma padaria que deseja vender cestas natalinas aos seus clientes, necessita de informações pessoais destes – como o nome, endereço, e-mail e o número de celular – para viabilizar a entrega e a comunicação com os clientes (finalidade legítima e específica);
· Adequação: Princípio segundo o qual deve haver compatibilidade do tratamento com a finalidade informada ao titular – dialogando, nessa perspectiva, com o princípio da finalidade. Se a padaria, por exemplo, armazenou esses dados – como o número de telefone – para, posteriormente, ofertar outros produtos e anunciar produções, essa finalidade é distinta daquela declarada ao titular dos dados (viabilizar a entrega do produto solicitado), violando-se, por conseguinte, o princípio da adequação;
· Necessidade: Princípio segundo o qual o tratamento dos dados pessoais deve se restringir ao mínimo necessário para se alcançar uma determinada finalidade. Com base naquele exemplo citado da padaria, esta, para viabilizar a entrega, necessita de informações como o nome do cliente, o endereço, o número de telefone, o e-mail, o pedido e a forma de pagamento. Se a padaria realizar questionamentos como a renda mensal do cliente, o seu estado civil e a sua profissão - essas são informações desnecessárias para se alcançar a finalidade: a entrega do produto;
· Livre acesso: Nós, titulares dos dados pessoais, somos os verdadeiros donos dos dados. As empresas e os governos que detêm e utilizam os nossos dados são controladores dos nossos dados e, nós, enquanto titulares, temos o direito de saber como os nossos dados estão sendo utilizados, por quanto tempo, para qual finalidade, sob quais bases legais e quais tratamentos estão sendo realizados. Ademais, temos o direito de informação acerca dessas circunstâncias, direito este que é oponível ao controlador – podemos exercê-lo em face do controlador – e este procedimento de coleta de informações sobre os nossos dados precisa ser facilitado e gratuito (um livre acesso acerca dos nossos dados pessoais e como eles são utilizados). São vedadas, destarte, condutas que obstaculizem o acesso às informações, seja por elementos burocráticos ou de elevado custo; 
· Qualidade dos dados: Princípio segundo o qual os titulares têm o direito de que seus dados pessoais reflitam com clareza e exatidão a realidade. Através desse princípio, os titulares podem solicitar a atualização de dados antigos ou incorretos que eram mantidos por controladores. Essa atualização é importante para evitar prejuízos ao titular dos dados (como no caso do indivíduo que foi punido erroneamente no SPC SERASA);
· Transparência: Princípio segundo o qual é estabelecido que os controladores devem comunicar aos titulares de forma proativa, clara e precisa sobre quais são os tratamentos que eles realizam e quais são as finalidades associadas a esses tratamentos, bem como quais são os agentes de tratamento envolvidos nesse tratamento. Normalmente o princípio da transparência é atendido pelos controladores por meio da divulgação de um documento denominado política ou aviso de privacidade. Há um debate intenso na contemporaneidade acerca de qual deve ser o conteúdo mínimo dessas políticas de privacidade (vide, por exemplo, a precariedade da política de privacidade do aplicativo FaceApp – aquele que previa a forma idosa das pessoas); 
· Segurança: Os controladores devem adotar medidas administrativas para evitar incidentes de segurança (físicos ou virtuais) – como acessos não autorizados de dados pessoais, eliminação de dados, modificação de conteúdos nos bancos de dados, entre outras manifestações de falha de segurança. Por exemplo, se o banco Itaú sofrer um ataque e ocorrer a alteração ou eliminação de dados bancários dos clientes, o princípio da segurança impõe a necessidade de se tomarem medidas para evitar incidentes de segurança como esses. Algumas medidas de segurança podem ser das mais simples – como trancar armários – até as mais complexas – como um sistema que armazene o histórico de verificação de dados por funcionários, a proibição de Cntrl-C Cntrl-V e da ferramenta do PrtSc para copiar dados, etc;
· Prevenção: Princípio segundo o qual os controladores devem evitar causar danos aos titulares em razão do tratamento dos dados pessoais. Esse princípio foi violado no caso envolvendo a empresa Avon – a qual, em determinada ocasião, não tomou medidas de cautela e enquadrou uma vítima de fraude no SERASA espanhol, causando danos significativos ao titular (como a dificuldade em tomar empréstimos ou negociar com bancos); 
· Discriminação: Princípio segundo o qual proíbe a utilização de dados para fins discriminatórios ilícitos ou ilegítimos. Por exemplo, vamos supor que exista uma doença que determinados grupos étnicos tenham maior resistência, é plausível a coordenação de um programa de combate à doença incluindo apenas médicos pertencentes a esse grupo étnico. Esse princípio proíbe, por exemplo, as empresas de banda larga de discriminarem o uso da internet a depender da atividade exercida dentro do espaço (um indivíduo que está assistindo Netflix deve possuir a mesma qualidade da internet de um indivíduo que está estudando);
· Responsabilização e prestação de contas: Os agentes devem ter a condição de demonstrar, sempre que forem solicitados, que adotaram medidas em conformidade com a lei. Algumas medidas podem ser: a capacitação dos funcionários da empresa, a contratação de advogados para a verificação do processamento de dados, a produção de um documento denominado relatório de impacto, medidas para mitigar os eventuais riscos;
Os dados pessoais não precisam ser tratados somente com o consentimento do titular, existindo outras situações que podem legitimar o uso de dados por parte dos controladores. Os arts. 7º e 11 discorrem sobre as bases legais para tratamento. 
2. Bases legais para tratamento dos dados pessoais (art. 7º da LGPD): 
· Mediante o fornecimento de consentimento pelo titular: Existem novos requisitos para o consentimento que se tornou uma base legal residual – os controladores optam, nesse cenário, por outras bases legais e, somente se não conseguirem enquadrar as outras bases legais, buscarão o consentimento do titular; 
· Cumprimento de obrigação legal ou regulatória pelo controlador: O controlador precisa tratar, às vezes, o dado pessoal de alguma pessoa não porque ele queira (sem razão de interesse), mas porque se encontra obrigado por lei a fazer isso em virtude de lei. A título exemplificativo, pode-se citar a troca de produtos em uma loja, uma vez que os clientes precisam preencheruma ficha pois a legislação tributária exige a emissão de um documento denominado nota fiscal de troca para ajudar a combater a sonegação fiscal. 
Outro exemplo pode-se citar o pedido do CPF por uma loja para a concretização de uma compra (que pode ter interesse da empresa para monitorar o perfil dos clientes, mas, aqui na Bahia, comprar acima de R$ 500,00 gera a obrigação do fornecimento do CPF);
· Execução de políticas públicas pela Administração: Essa base legal é utilizada pelo governo para tratar os dados pessoais em razão dos serviços públicos do Estado. O alistamento militar, a retirada da CNH, a candidatura a eleições, cadastro no SUS são algumas situações que envolvem a coleta e tratamento de dados; 
· Execução de contratos (e procedimentos preliminares de contratos): Deriva de um negócio jurídico entre um controlador e um controlado. Por exemplo, a Faculdade Baiana de Direito precisa tratar dados pessoais, financeiros, pedagógicos dos seus alunos. 
A outro título exemplificativo, Marcus iniciou negociações com um contador, mas não chegou a contratá-lo com o intuito de auxiliá-lo na declaração do imposto de renda. Esse contador teve acesso aos dados de Marcus e emitiu opiniões sobre tais dados. Esse contador irá poder alegar a legitimidade do tratamento dos dados de Marcus mediante procedimentos preliminares de contrato; 
· Exercício regular de direitos em processo judicial, administrativo ou arbitral: Se há um litígio de uma pessoa contra outra, os sujeitos envolvidos nessa relação precisam dos dados do outro para o processo (no caso de uma batida entre veículos, por exemplo); 
· Proteção da vida ou da incolumidade física do titular ou de terceiro: Pode ser que o agente de tratamento presencie alguma situação que esteja colocando em risco a vida de alguém e é possível tratar os dados dessa pessoa para evitar a concretização do risco. Por exemplo, um palestrante na Faculdade Baiana de Direito passa mal e precisa de atendimento médico urgente. É necessário, portanto, pegar a carteira de identidade da pessoa para buscar o documento de identidade e saber quem é essa pessoa para solicitar contato médico. 
Se um responsável quiser o histórico de frequência do aluno na Faculdade Baiana de Direito, essa somente pode fornecer esses dados mediante o consentimento do titular (inciso I); 
· Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária: Dados de prontuário médico não sensíveis (tratados no art. 11) tais como o nome do paciente, o seu número do cartão do SUS, os seus parentes mais próximos, etc; 
· Legítimo interesse do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais: Base legal mais enigmática da LGPD e que gera mais dificuldades na sua operacionalização em virtude dos seus conceitos extremamente vagos; 
· Proteção do crédito, inclusive quanto ao disposto na legislação pertinente: Presente, sobretudo, no que tange às transações bancárias; 
3. Bases legais para tratamento de dados sensíveis (art. 11): 
Art. 5º da LGPD - Para os fins desta Lei, considera-se:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
O art. 11 foi arrumado diferente do art. 7, uma vez que apresenta somente dois incisos, sendo o segundo composto por uma grande quantidade de alíneas. 
· Consentimento específico e destacado para finalidades específicas. 
· Sem consentimento, quando for indispensável, para: 
· Cumprimento de obrigação legal ou regulatória pelo controlador;
· Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
· Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
· Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; 
· Proteção da vida ou da incolumidade física do titular ou de terceiro;
· Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Por exemplo, aqui se enquadram as informações sobre comorbidades de determinados pacientes; 
· Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. O uso de dados biométricos a bancos, celulares, aplicações, tecnologia, acesso a caixa automático evidencia algumas situações que dialogam com essa alínea;
OBS: Os dados de crédito e o legítimo interesse (incisos do art. 7) não são incluídos nos dados sensíveis, mas se observa a inclusão de um tópico – a prevenção à fraude e à segurança do titular, nos processos de identificação de cadastro em sistemas eletrônicos. 
Para a próxima aula: Leitura do art. 5º da LGPD – que contém uma série de conceitos + pendência: critérios específicos do consentimento (art. 7º, I + art. 5º, XII). 
AULA 03 – CONTROLADOR X OPERADOR E RESPONSABILIDADE SOLIDÁRIA
1. Controlador x Operador: 
Art. 5º - LGPD: Para os fins desta Lei, considera-se:
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; 
A Faculdade Baiana de Direito é controladora dos dados pessoais dos seus alunos. Pode ser que a faculdade precise contratar um escritório de advocacia para defender a instituição em um processo movido por um ex-aluno. Destarte, a instituição precisa compartilhar alguns dados pessoais do aluno com o escritório de advocacia para que este venha a tratá-los conforme orientações da faculdade. Assim, o escritório de advocacia é o operador dos dados pessoais do aluno (titular) que estão controlados pela Faculdade Baiana de Direito (controlador). 
O controlador pode tratar os dados, mas, também, pode optar por contratar um operador para realizar o tratamento em seu lugar. Por exemplo, uma padaria precisa mover uma ação judicial contra um fornecedor de trigo que não entregou a quantia estabelecida e, nesse sentido, precisa contratar um escritório de advocacia (operador) para tratar os dados referentes ao caso. Caso o dono da padaria for um advogado, a própria padaria poderia realizar o tratamento dos dados espontaneamente, sem a necessidade de contratar um operador. 
A atribuição das notas dos alunos em provas e o registro de frequência via dados biométricos pela Faculdade Baiana de Direito ilustram a tese de que o próprio controlador pode tratar dados pessoais. O professor que atribui a nota não é operador. As pessoas que possuem vínculos funcionais com o controlador não podem ser considerados operadores pois os tratamentos praticados por essas pessoas são tratamentos do próprio controlador. 
Ante o exposto, vale ressaltar que os vínculos funcionais não se limitam aos vínculos empregatícios pautados na CLT (carteira assinada) – abrangendo estagiários, prestadores de serviço, etc... 
Os operadores são, portanto, aqueles que não têm vínculo funcional/permanente e relação de exclusividade com o controlador e vai, doravante, tratar os dados pessoais sob orientação deste. 
OBS: Não devemos associar as posições de controlador/operador às posições de contratante/contratado, sendo a classificação de controlador/operador pautada na análise do caso concreto. 
2.Análise de casos concretos: 
A) Uma empresa A contrata um consultor de marketing para que este, de forma autônoma, trace o perfil de clientes da empresa visando a impulsionar os seus anúncios.
 
Do ponto de vista da prestação de serviço, tem-se o contratante (a empresa) e o contratado (diretor de marketing). Do ponto de vista do tratamento de dados, tem-se o controlador (diretor de marketing – “DEIXE COMIGO”), mas não há um operador (pois a empresa não está recebendo instruções). 
OBS: Não se pode falar em controlador-operador, mas somente controlador (quando este detém e trata os dados de forma autônoma). 
B) Uma empresa B já tem consciência prévia de que o público de 60 anos ou mais adquire poucos dos seus produtos. Ela, então, para impulsionar as vendas para essa faixa etária, contrata um diretor de marketing para que este venha a executar aquilo que a empresa estabeleceu (OK!).
 
Do ponto de vista da prestação de serviço, tem-se o contratante (a empresa) e o contratado (diretor de marketing). Do ponto de vista do tratamento de dados, tem-se o controlador (empresa) e o operador (diretor de marketing). 
C) Supondo que uma empresa C contrate uma empresa de RH que irá auxiliá-la na identificação de perfis de liderança com o fito de encontrar, após sucessivas entrevistas, os três melhores candidatos para assumir o cargo de diretor de marketing da empresa C na América Latina. 
Há duas possibilidades para a obtenção de currículos: (I) o envio direto pelos titulares dos dados para a plataforma da empresa C ou (II) o envio direto pelos titulares dos dados para a empresa de headhunter. 
O controlador dos dados pessoais na hipótese I é a empresa C e, na hipótese II, é a empresa de headhunter (pois ela toma a decisão de alocar ou não o seu acervo para uma determina finalidade). 
Na hipótese I, o operador de dados pessoais é a empresa de headhunter e, na hipótese II, não há operador. 
D) Uma agência de viagens D recebe os dados pessoais de passageiros. Da quantia financeira recebida ($$$), a agência de viagens D fica com uma parte ($) e divide o restante entre uma companhia área ($) e um hotel ($). 
No caso anteriormente mencionado, existem três controladores (a agência de viagens, a companhia aérea e o hotel) pois tratam os dados de forma independente e não recebendo ordens entre si. 
E) Um professor é empregado de uma faculdade E. Essa faculdade resolve, espontaneamente, compartilhar os dados do professor com a receita federal. 
No cenário apresentado, a faculdade E é controladora dos dados do professor em virtude do vínculo empregatício. A receita se transforma em um novo contralador, surgindo, assim, uma nova cadeia de controladoria devido à “quebra do nexo de causalidade”. A receita atua de forma independente no tratamento de dados pessoais. 
F) Algumas cadeias de tratamento de dados são mais complexas e possuem mais agentes envolvidos – assemelhando-se a redes. 
O subprocessador é operador do operador, uma vez que, em determinadas ocasiões, o operador do controlador não é capaz de tratar os dados sozinho. Necessita-se, desse modo, de transparência – até para que o controlador avise ao titular dos dados. 
Supondo que uma empresa F de e-commerce contrate uma empresa de plataforma de serviços e esta resolve contratar uma empresa filiada da Amazon para salvar os dados na nuvem. Tem-se, nesse sentido, um subprocessador (a AWS IAS) pelo fato de ter sido contratada pela operadora (HEROKU PAAS). 
3. Art. 37 da LGPD: 
Art. 37 – LGPD: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. 
A lei não foi explícita acerca de quais informações os agentes de tratamento deveriam reunir para fazer o registro nem o prazo de atualização do inventário, mas podemos levar em consideração as boas práticas adotadas em vários países do mundo com relação à elaboração desses registros/inventários de tratamento de dados pessoais. 
Se um controlador quer fazer um registro de tratamento de dados pessoais que ele executa, ele pode levar em consideração os seguintes parâmetros: 
Identificar as portas de entrada e saída de dados dentro daquela instituição – dados de clientes via processos comerciais e dados de empregados via processos seletivos; quem são os titulares dos dados tratados; por quanto tempo os dados são tratados; quais as finalidades do tratamento dos dados (advocacia, por exemplo); e por quais bases legais (exercício legal de direito em processo, por exemplo) está sendo realizado o tratamento. 
O inventário, portanto, é um documento descritivo e dinâmico/atualizado (pelo menos anualmente). 
A ANPD (Autoridade Nacional de Proteção de Dados) precisa definir quais são os componentes de um inventário de dados, levando-se em consideração as diferenças entre controladores e processadores que podem resultar numa documentação igualmente definida. 
A ANPD pode considerar eventual exceção a tal obrigação legal, considerando o porte de organização e se a sua atividade de tratamento de dados seria de alto risco. 
Na ausência de regulamentação da ANPD, uma opção é socorrer-se de boas práticas e exemplos de outras jurisdições como, por exemplo, da própria GDPR. 
4. Art. 38 da LGPD:
Art. 5, XVII – LGPD: relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; 
O RIPD é composto por um processo descritivo (mapeamento dos processos de tratamento de dados pessoais) e um processo crítico-interno (identificação dos riscos, das possíveis falhas de segurança, das medidas administrativas adotadas para proteger os dados, se no processo há bases legais inadequadas...). 
O RIPD é importante para evitar que danos aconteçam, possibilitando que muitas empresas percebam a necessidade de melhorar os mecanismos de proteção de dados. Ademais, mostra-se para a sociedade que há uma preocupação/responsabilidade do controlador que pode ser levada em consideração na hipótese de um incidente (como o vazamento de dados pessoais). A ANPD analisa o RIPD e, dessa forma, o controlador pode ser apenado com uma sanção mais branda (diminuição da culpabilidade). 
OBS: Apenado = punido; penalizado = ter pena de. 
Art. 38 – LGPD: A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. 
Muito se tem questionado o art. 38 da LGPD pelo fato deste expressar que somente os controladores devem elaborar relatórios de impacto. Desse modo, acaba sendo negligenciada a possibilidade dos operadores oferecem riscos à sociedade e, vale lembrar, que existem grandes operadores (AWS, por exemplo). 
A lei se refere, textualmente, apenas ao controlador (art. 5º, XVII e art. 36, caput – LGPD), mas interpretação sistemática permite que se estenda essa obrigação aos operadores, em relação aos dados sob responsabilidade de cada controlador.
 
A ANPD deve estabelecer: 
· Modelos e orientações sobre como fazer um relatório de impacto e tornar essas recomendações acessíveis em linguagem e custo;
· Orientações sobre o que é considerado risco ou um possível alto risco em operações de tratamento de dados; 
· As situações em que o relatório será recomendável (a lei já sinaliza pela sua necessidade nas atividades que envolvem o tratamento de dados sensíveis, bem como nas operações de tratamento de dados envolvendo legítimo interesse). 
5. Art. 39 da LGPD:
Art. 39 – LGPD: O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. 
Não exime o operador de adotar, independentemente das instruções do controlador, medidaspara conformidade com a legislação de proteção de dados (vide os princípios da segurança e proteção), bem como medidas técnicas e organizacionais de segurança referidas no art. 46 da LGPD. 
Possibilidade de responsabilização solidária do controlador por falhas do operador (art. 42 – LGPD), exceto quando demonstrado o descumprimento de instruções do controlador. 
O operador pode se recusar a fazer um tratamento ilícito e/ou danoso aos titulares mesmo que com ordens do controlador. O operador só deve acatar as instruções lícitas. No caso de dúvida acerca da licitude da instrução, o operador deve tomar a decisão de acatar ou não.
6. Art. 42 da LGPD: 
Art. 42 – LGPD: O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
Se o operador comete falhas no tratamento de dados pessoais ordenada pelo controlador, pode ser responsabilizado. A responsabilidade solidária do controlador pelos atos praticados pelo operador se encontra prevista no art. 42 da LGPD e consiste na possibilidade da vítima exigir a reparação dos danos causados de forma integral, tanto do operador quanto do controlador. 
Em síntese, essa solidariedade consiste na possibilidade da vítima cobrar tudo de um ou de outro. 
Por exemplo, Victor encomendou um bolo nas mãos de Marcos e Daniel, entretanto, este veio estragado. Como a responsabilidade não é solidária, cada um responderá 50%. Caso eles tivessem estabelecido um contrato de solidariedade, Victor podia cobrar o valor integral a um dos dois – Marcos ou Daniel (em síntese, entende-se que os dois são integralmente responsáveis pelo ato – constando-se expressamente e não havendo presunção). 
OBS: A responsabilidade solidária não se confunde com a responsabilidade subsidiária. 
A exceção prevista no inciso I do referido artigo se dá quando o operador agiu por conta própria, ou seja, o operador se comportou de uma forma que não foi instruída pelo controlador. Nesse caso, o controlador não responde e operador se equipara à posição de controlador. O controlador por equiparação é o operador que age em desconformidade com as instruções passadas pelo controlador e dessa forma, assume a responsabilidade de ser controlador para aquele tratamento – devendo responder sozinho aos danos causados aos titulares. 
7. Os DPA’s: 
· DPA’s (ATD’s em português - acordo de processamento de dados);
· Identifica quem é controlador e quem é operador;
· O controlador precisa formalizar as instruções que está adotando (medidas de segurança exigidas pelo controlador para o operador, dever de colaboração); 
AULA 04 – 
PARTE I: ATIVIDADE – ANÁLISE DE TRÊS POLÍTICAS DE PRIVACIDADE
	POLÍTICA DE PRIVACIDADE DAS AMERICANAS.COM: A MAIS SIMPLES E ACESSÍVEL AO PÚBLICO, ENTRETANTO, É TAMBÉM A MAIS OMISSA NO QUE TANGE À APRESENTAÇÃO DE INFORMAÇÕES – SOBRETUDO SOB QUAIS BASES LEGAIS OS DADOS SÃO TRATADOS. 
	Linguagem mais direta, objetiva e acessível ao público;
Apesar de mais curta, é omissa na exposição do tratamento de informações;
Discorre sobre conceitos importantes para facilitar a compreensão dos leitores da política de privacidade (lembra muito o art. 5 da LGPD); 
Preza pelos princípios consagrados na LGPD, sobretudo os princípios da finalidade, necessidade, segurança e transparência. Busca-se, destarte, esclarecer como a empresa coleta dados pessoais e a finalidade do uso dos dados, limitando-se ao mínimo necessário para o propósito almejado (preza pelo uso proporcional e não excessivo); 
Fala também de quais são as empresas parceiras das americanas que têm acesso aos dados tratados por ela e através das quais ela pode coletar dados. 
6. por quanto tempo armazenamos dados pessoais? Armazenamos as informações dos Clientes de acordo com as normas de prescrição do Direito brasileiro extremamente raso, uma vez que não especifica o prazo nem cita qual (is) norma(s) discorrem sobre tal tempo. Desse modo, a americanas.com não explicita quais são as bases legais utilizadas para o tratamento de dados (embora nem a LGPD nem a ANPD obriguem a indicação das bases legais, essa é uma prática de mercado). 
“Se você bloquear ou rejeitar nossos cookies, não poderá adicionar itens ao seu carrinho de compras, prosseguir para o checkout ou usar nossos produtos e serviços que exijam login.” (coerção – não há a opção de prosseguir em uma compra caso discorde da política de privacidade – neste caso, dos cookies dados colocados no computador ou em dispositivo para reconhecer o perfil do consumidor (as suas preferências, o que tem no carrinho, etc.) 
Atualizado recentemente: 26 de novembro de 2021; 
	POLÍTICA DE PRIVACIDADE DA L’OREAL BRASIL (português) – A MELHOR POLÍTICA DE PRIVACIDADE NO QUE TANGE À RIQUEZA DE DETALHES, ENTRETANTO, É MUITO EXTENSA E POUCO ACESSÍVEL À POPULAÇÃO (NÃO SOMENTE NO QUE DIZ RESPEITO ÀQUELAS COM BAIXO ÍNDICE DE ESCOLARIDADE). 
	Extremamente detalhista e contém alguns exemplos para facilitar a compreensão dos leitores; 
Por outro lado, totaliza 25 páginas – o que dificulta a leitura integral; 
Não esclarece conceitos como controlador, operador, etc – como visto nas políticas de privacidade das Americanas e da Agilize Contabilidade (linguagem mais voltada para operadores do Direito e de ciência da computação); 
Preocupação em assegurar princípios da LGPD (tais como a transparência, a segurança e a qualidade de dados): “Para mais informações sobre nossas práticas de privacidade, definimos abaixo quais os tipos de dados pessoais que podemos coletar ou armazenar sobre você, como podemos usá-los, com quem podemos compartilhá-los, como os protegemos e os mantemos seguros e seus direitos com relação aos seus dados pessoais.” 
Diferentemente das americanas.com, discorre sobre as bases legais que permitem a coleta de dados sem consentimento do titular (melhoria dos produtos e serviços da empresa, prevenção de fraudes, proteção das ferramentas da empresa) 
“ente guardamos os seus dados pessoais pelo tempo que for necessário para atingir a finalidade para a qual os coletamos ou armazenamos, para atender às suas necessidades, ou para cumprir nossas obrigações legais ou regulatórias.” ponto melhor em comparação com às lojas americanas (discorre mais detalhadamente sobre o tempo utilizado dos dados); 
Tabela detalhada, para explicar pontos extremamente relevantes: quais os dados coletados, de que forma os dados são coletados, qual a finalidade do uso desses dados coletados, como eles são tratados e sob quais bases legais.
Poderia utilizar uma linguagem menos engessada e, portanto, mais acessível à população, transmitindo as informações de forma clara, direta e objetiva. 
Assim como nas americanas, há uma coerção para o uso de cookies (somente se pode acessar determinadas ferramentas, caso se aceite os cookies): “Muitos cookies são usados para melhorar a utilização e funcionalidade dos sites/apps, portanto, a desativação dos cookies pode impedi-lo de utilizar determinadas partes dos nossos sites/apps, conforme detalhado em nossa Tabela de Cookies.”  
Traz uma tabela bem detalhista e que esclarece os clientes acerca dos seus direitos e as consequências provenientes de tais escolhas – como o direito de desativar os cookies pode ocorrer o impedimento de utilizar determinadas partes dos sites/apps 
	POLÍTICA DE PRIVACIDADE DA AGILIZE CONTABILIDADE: UMA BOA POLÍTICA DE PRIVACIDADE, COM EXTENSÃO MÉDIA, MAIS COMPLETA EM RELAÇÃO ÀS LOJAS AMERICANAS, PORÉM MENOS DETALHISTA EM COMPARAÇÃO COM A L’OREAL BRASIL. 
	Disse explicitamente,diferentemente das outras duas empresas que se omitiram, que coleta a voz dos clientes;
 
Traz definições de forma bem organizada acerca de conceitos importantes (lembra o art. 5 da LGPD e a política de privacidade das americanas); 
Coerção explícita no que tange ao consentimento sobre a política de privacidade adotada: “Caso o Usuário ou o Cliente não concorde com esta Política de Privacidade, não deverá utilizar os serviços.” 
Admite a possibilidade de ser controladora em determinadas ocasiões e controladoras em outros momentos “Apesar de, na maioria dos casos, atuarmos como Operadora no tratamento dos dados pessoais, em algumas situações a Agilize atua como Controladora”; 
Lista os subprocessadores que podem ter acessos aos dados do titular;
Lista diversos direitos dos titulares de dados;
Demonstra expressamente – através de menção a artigos – o vínculo da política de privacidade com a LGPD; 
OBS: Algumas empresas têm inovado e criado políticas de privacidade no formato de vídeo com uma linguagem acessível com o fito de aproximar a linguagem dogmática do Direito dos titulares de dados. Entretanto, a parte majoritária tende a não abrir mão de documento formal e escrito pois este é, justamente, o que concede segurança jurídica a essas empresas. 
CONTINUAÇÃO DO CONTEÚDO... 
1. Responsabilidade solidária dos operadores: 
Tanto o controlador quanto o operador estão solidariamente responsabilizados pelos danos causados um pelo outro (art. 42 – LGPD) – de acordo com a regra geral, o controlador pode responder por erros do operador e vice-versa, isto é, o operador por erros do controlador. 
Essa solidariedade é interessante para um controlador (Faculdade Baiana de Direito, por exemplo) que apresente um patrimônio menor que o operador (Amazon, por exemplo). 
Art. 42 – LGPD: O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Observa-se que, no geral, o titular de dado que sofrer um dano pode, em virtude da responsabilidade solidária do controlador e do operador, exigir a reparação do dano de forma integral para qualquer um dos dois. 
Entretanto, o inciso I do referido artigo da LGPD nos mostra a existência de uma exceção para tal regra. Quando o operador não tiver seguido as instruções lícitas do controlador, ou seja, agiu por conta própria e gerou danos a algum titular, o operador responderá sozinho e é equiparado ao controlador. Destarte, o controlador por equiparação é o operador que age em desconformidade com as instruções passadas pelo controlador e dessa forma, assume a responsabilidade de ser controlador para aquele tratamento – devendo responder sozinho aos danos causados aos titulares.
Relembrando o caso da agência de viagens que compartilhava dados com o hotel e a companhia aérea. Pode ser que, durante esse compartilhamento ocorra um vazamento de dados pelo hotel ou pela companhia aérea e, como esses são solidariamente responsabilizados um pelos outros, a agência de viagens pode vir a responder, também, pelos danos causados ao titular.
 
O inciso II do art. 42 retrata a responsabilidade solidária entre controladores, inferindo-se uma correlação entre distintos controladores que armazenam e/ou tratam dados de determinadas pessoas.
Art. 43 – LGPD: Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
2. Portabilidade de dados: 
Art. 40 – LGPD: A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
 
A Anatel admitiu que o número de telefone é um dado pessoal e não “propriedade” das operadoras telefônicas.
Essa portabilidade se refere a todo e qualquer dado pessoal e não somente a dados telefônicos (dados telefônicos, dados bancários, dados de consumo de internet, dados contábeis, dados jurídicos...)
O Open banking (“sistema bancário aberto” em uma tradução para a língua portuguesa) admite que os titulares dos dados da conta são aos clientes e, portanto, não pertencem aos bancos. Quando ficar 100% concluído o Open banking vai ser possível a transferência de dados pessoais entre bancos e para outros tipos de empresa (como o GuiaBolso – aplicativo que auxilia na administração das finanças dos usuários). 
Interoperabilidade: Tecnologia comum que vai permitir que aquele dado seja acessado por qualquer remetente e qualquer destinatário do sistema financeiro (pode-se assim transferir dados entre bancos – como do Bradesco para o Itaú). 
A LGPD é uma lei genérica (geral) e que, desse modo, não se refere a setores específicos da sociedade. Existem normas setoriais que tratam especificamente da proteção de dados e que não necessariamente seguem a linguagem e os termos da LGPD (muito em virtude de serem anteriores à LGPD):
· Offline: Código de Defesa do Consumidor (CDC);
· Online: Marco Civil da Internet (MCI); 
· Seguros: Superintendência de seguros no Brasil (SUSEP); 
· Financeiro: Normas do Banco Central (LC 105/2001); 
· Educação: Normas do MEC (ECA, LDB, leis municipais e estaduais); 
· Crédito: Lei 12.414/11;
· Publicidade: CONAR;
· Saúde: CRM, MS e leis federais;
· Administração Pública; 
· E assim por diante; 
Para um aprofundamento na área de proteção de dados, é necessário compreender as peculiaridades do uso de dados pessoais em um determinado setor (como no âmbito da Saúde – normas de segurança de informações nesse âmbito, quais dados podem ser compartilhados ou não, por quanto tempo um hospital pode guardar os dados, como deve ser o descarte de dados, etc...). Desse modo, a LGPD apenas trata das normas gerais e não abrange os atos normativos setoriais.
3. O encarregado: 
Art. 5, VIII – LGPD: 
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
· Chamado em inglês de DPO (Data Protection Officer);
· Somente os controladores podem ter, a rigor da lei, um encarregado (art. 41, caput – LGPD) – mas tem se discutido se não valeria a pena, hoje em dia, estender essa regra para os operadores em virtude do volume de dados que alguns operadores possuem e dos iminentes riscos no tratamento desses dados; 
· Esse encarregado pode ser uma pessoa física ou jurídica. É muito comum que uma empresa contrate um escritório de advocacia para que este atue como o seu DPO;
· A LGPD não estipulou critérios para uma pessoa física ou jurídica ser indicada como encarregado pelo controlador. Entretanto, em termos práticos, o DPO deve conhecer as bases legais sobre o tratamento de dados e como os dados são tratados dentro daquela determinada organização;
· Controladores deverão fazer avaliações internas a respeito da necessidade ou não de nomear encarregado com base em tais regulamentos e documentar essa análise.
Art. 41 – LGPD: O controlador deverá indicar encarregado pelo tratamentode dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
O DPO tem quatro principais atribuições: 
· Se relaciona diretamente com os titulares dos dados no exercício dos direitos;
· É uma espécie de “líder” dentro do controlador para garantir o cumprimento de normas de proteção de dados naquela organização (o DPO que elabora o relatório de impacto, explicita o inventário, realiza auditorias periódicas); 
· Se relaciona com outros DPO’s para contratualizar a relação de tratamento de dados ou discutir possibilidades jurídicas de compartilhar determinados dados; 
· Presta contas à ANPD (Autoridade Nacional de Proteção de Dados); 
Art. 41 – LGPD: 
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
4. Peculiaridades do encarregado: 
· É muito importante que não haja nenhum tipo de conflito de interesses, devendo o DPO exercer apenas a função de DPO para que ele fale com isenção sobre qualquer aspecto da empresa. Possa ser que caso ele seja simultaneamente, por exemplo, chefe de TI e DPO, ele não admita que houve um problema de TI. 
· Não é recomendável qualquer tipo de vínculo entre a remuneração e os resultados da empresa, bônus ou qualquer outra meta. Se o DPO receber uma quantia modificável, pode exercer mal o seu trabalho para beneficiar a empresa (omitir possíveis riscos, por exemplo). O DPO deve, portanto, possuir salário fixo; 
· Reporte direto à diretoria e presidência da empresa, com todos os recursos necessários para executar suas funções – visando à ampliação da autonomia profissional do DPO; 
	
AULA 05 – O TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES E OS DIREITOS DOS TITULARES
1. Tratamento de dados de crianças e adolescentes:
Art. 14 – LGPD: O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
Esse termo “em seu melhor interesse” é contemplado por outras normas – inclusive internacionais – que discorrem sobre crianças e adolescentes. 
Legislação pertinente: ECA e outras normas infralegais existentes. 
Crianças: Pessoas de 0 a 12 anos incompletos. 
Adolescente: A partir de 12 anos completos até 18 anos incompletos. 
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. 
A interpretação literal do primeiro parágrafo do art. 14 da LGPD culmina na concepção de que somente o tratamento de dados pessoais de crianças deve ser realizado com o consentimento específico dos responsáveis legais. 
A restrição do tratamento de dados pessoais de crianças a uma única base legal é prejudicial, pois, em determinadas ocasiões, o controlador necessita de tratar dados sem o consentimento dos pais/responsáveis legais. Por exemplo, uma criança que atua (ator/atriz) estabelece uma relação de trabalho com uma instituição. O controlador, às vezes, precisa tratar os dados da criança com base no estabelecido em contratos ou para se adequar a leis. 
Algumas escolas apresentam dados pessoais do aluno: desempenho pedagógico, frequência, histórico financeiro. Supondo que uma instituição de ensino precise compartilhar os dados dos alunos com a Secretaria de Educação do estado. Destarte, o consentimento dos pais não pode prejudicar (se tornar um empecilho a) uma política pública do governo. 
A interpretação plausível do art. 14 seria a seguinte: quando o consentimento for a base legal para o tratamento de determinados dados das crianças, esse consentimento deve ser dado pelos pais/responsáveis legais. 
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
A criança não tem discernimento e não consegue lidar com determinadas particularidades da vida adulta. Por exemplo, uma criança que coloca o cartão de crédito dos pais, sem o consentimento destes, para comprar itens em um jogo. Ela não o faz por maldade, mas pela falta de maturidade e experiência de vida (não consegue entender a seriedade inerente àquele cartão). Desse modo, o legislador foi muito feliz no parágrafo 4º do art. 14 da LGPD ao buscar concretizar o princípio da necessidade pelo fato de proibir a coleta de dados pessoais desnecessários à participação no jogo. Desse modo, por exemplo, não é necessário que o usuário insira o cartão de crédito/débito no jogo para participá-lo; somente caso queira realizar compras no aplicativo. 
Para solucionar o problema da autenticação (provar que foi o responsável legal que consentiu), ainda é inimaginável a adoção de medidas simples (como perguntas para testar a capacidade cognitiva da criança) ao invés de burocráticas. 
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. 
Não somente os pais/responsáveis legais são responsáveis pela transparência, mas as crianças (titulares), também. Deve-se utilizar, portanto, uma linguagem simples, clara e objetiva para mostrar às crianças o que será feito com os seus dados. 
Como o parágrafo 6º utiliza a expressa “referidas neste artigo”, inclui-se o caput e, por conseguinte, os adolescentes. Entretanto, a parte final se refere somente às crianças, levando-se em conta as características sensoriais e intelectuais desses indivíduos. 
2. O art. 18 da LGPD:
Art. 18 – LGPD: O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;     
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Vale relembrar o princípiodo livre acesso já estudado acerca da LGPD, o qual afirma que não devem existir medidas burocráticas que dificultem o acesso aos dados por parte do titular.
Marcus que não é mais cliente da Oi a uma década, caso desconfie que esta ainda continue armazenando seus dados, pode solicitar expressamente a confirmação da existência do tratamento e pode ter, inclusive, acesso a esses dados tratados. 
O inciso III do art. 18 apresenta vínculo com o princípio da qualidade dos dados, auxiliando, eventualmente, o titular a resolver problemas de ordem prática a partir da atualização dos seus dados. 
Os incisos IV e VI apontam para a eliminação dos dados, entretanto, caindo sobre questões distintas. No inciso IV, a eliminação está vinculada a dados desnecessários, excessivos ou tratados em desconformidade com a lei. 
Diante de conflitos em face de eventuais recusas do controlador, uma das saídas por parte do titular seria peticionar perante a autoridade nacional (ANPD) – conforme o disposto no parágrafo 1º do referido artigo. 
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional. 
A eliminação tratada no inciso VI não tem nada a ver com a necessidade/desnecessidade e/ou licitude/ilicitude. Uma das particularidades do consentimento é a prerrogativa do titular revogar o consentimento dado (conforme o inciso IX do art. 18) e que impacta, diretamente, o expresso no inciso VI – podendo o titular solicitar a eliminação dos dados tratados com o consentimento 
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Um aluno pode informar a uma escola da revogação do seu consentimento para o recebimento de propagandas de intercâmbio. Dessa forma, pode, também, solicitar a remoção dos dados no que tange aos parceiros dessa escola. 
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. 
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
A lei prevê, expressamente, que o titular seja informado expressamente pelo controlador a recusa do exercício de direito que trata o parágrafo 3º. 
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência
Essas razões mencionadas no inciso II do parágrafo quarto podem ser jurídicas (geralmente são) ou fáticas (“não posso remover dados sobre você porque não tenho dados sobre você” – questão de fato que pode ser apresentada pelo controlador). 
O inciso VII discorre sobre a possibilidade do controlador apresentar aos titulares informações compartilhadas com terceiros (inclusive com órgãos do governo). 
O inciso VIII gera a liberdade de recusa no que tange ao consentimento, ou seja, o consentimento precisa ser livre. A não atribuição do consentimento pode gerar algumas consequências – que devem ser explicitadas ao titular. Exemplo: Um curso de inglês coletou dados dos alunos para o ensino pedagógico e para o controle financeiro. Supondo que a base legal para legitimar isso teria sido o consentimento (e não o cumprimento de contrato), mas que impõe o consentimento para o ingresso do aluno em um serviço de intercâmbio parceiro do curso de inglês. Se A não consentiu com o tratamento daqueles dados, isso não o inviabiliza de frequentar as aulas, somente não poderá participar do intercâmbio. 
3. O art. 20 da LGPD: 
Art. 20 – LGPD: O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
O artigo anterior discorre sobre o tratamento automatizado.
Por exemplo, Marcus tentou comprar um produto no exterior e teve a compra recusada imediatamente por suposta tentativa fraudulenta. Esse “não” foi realizado por um programa de computador treinado para analisar padrões dos clientes e bloquear transações suspeitas. Ao ocorrer ao bloqueio, um atendente (pessoa física) entra em contato com Marcus para saber se foi ele que realizou a compra. Marcus afirma que sim, que foi ele que realizou a transação para adquirir um produto no Vietnã. 
A Amazon tem um tempo de resposta incrível que no que concerne ao tempo de aprovações pois apresenta um algoritmo que analisa a confiabilidade do cliente. Destarte, a Amazon envia o produto, às vezes, antes do “cliente confiável” efetuar o pagamento, analisando o benefício dele ficar satisfeito com a resposta da entrega e continuar comprando. 
O uso de IA, por exemplo, em processos seletivos, embora possa proporcionar celeridade, pode, às vezes, acabar colocando em risco o princípio da não discriminação no que tange ao tratamento de dados pessoais.
A lei, no seu art. 20, caput, é vaga pois não especifica quem realizaria essa “revisão”. Marcus Seixas compreende que o mais adequado seria uma revisão humana, ainda que esta se limitasse em identificar na máquina algum tipo de irregularidade e, por conseguinte, manter ou não o que a máquina realizou. 
O ferimento ao princípio da não discriminação pode proporcionar intervenção da ANPD.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
AULA 06 – MARCO CIVIL DA INTERNET (LEI Nº 12.965/14) 
1. Conceitos importantes:
Internet: Grande rede que conecta terminais entre si. 
Terminal: Qualquer dispositivo que pode se conectar à internet – televisores, celulares, videogames, tablets, fornos, cortinas, carros, lâmpadas, geladeiras, etc.
Roteador: Dispositivo que transforma sinal, sem fio, em internet. 
Provedores de conexão: Empresas contratadas para o fornecimento de internet – VIVO, TIM, Claro, Oi, etc. 
Protocolo de internet: É a tecnologia que permite que possamos acessar outros terminais e que possibilita ao navegador compreender qual terminar queremos acessar. Pode-se, assim, acessar diversos terminais simultaneamente sem comprometimento das funções. 
Todo terminal que se liga a internet apresenta um endereço de IP. O endereço de IP é um número grande que identifica uma rede ou um dispositivo. 
Os cientistas da internet inventaram o equivalente à agenda telefônica no nosso celular – o DNS. O protocolo DNS – Domain name system – converte nomes de domínio legíveis por humanos, direcionando, instantaneamente, a um endereço de IP. Exemplo: www.uol.com.br Endereço de IP: 200.221.2.45. 
A internet é descentralizada, consistindo em uma rede que conecta várias redes. 
O roteador se encontra ligado ao provedor de conexão. No provedor de conexão há cabeamentos que vão ligar a rede dos seus usuários com outras redes de usuários do mundo todo. Daí o significado da internet como “a rede de redes”. Utiliza-se, nesse processo, um provedor de infraestrutura denominado backbone. 
Largura da banda: Capacidade da banda de suportar informações (o cabo suporta um volume maior em comparação ao satélite). 
 
(Cabos submarinos, majoritariamente subsidiados pelainiciativa privada) 
O primeiro cabo foi instalado no Brasil em 1996 – Brazilian Festoon – cujo proprietário é a Embratel e extensão 2.552 km. 
O cabo submarino, após atravessar, encontra um servidor (como, por exemplo, o da Netflix). Esse servidor retribui e o sinal percorre o caminho de volta. Esse processo ocorre que quase instantaneamente. 
Quanto mais perto estiver o servidor do local que estivermos, mais rápido receberemos o sinal (em virtude da distância geográfica). Todavia, essa diferença temporal é praticamente imperceptível em razão da velocidade de transmissão dos dados. 
O VPN mascara o endereço de IP pois conduz a rede a outros caminhos antes que se chegue ao destino final. Por isso a velocidade cai (percorre um maior caminho) quando se utiliza VPN. O VPN pode ser uma ferramenta interessante, sobretudo para grandes empresas, com o intuito de se proteger contra hackers e criminosos cibernéticos.
O Tor é uma ferramenta utilizada para navegar na deep web. Do conteúdo disponível na internet, apenas uma minoria é alcançada pelos buscadores (“ponta do iceberg”) e, consequentemente por nós. O Tor é um dos navegadores especiais voltados para se alcançar a “outra porção iceberg”. Na deep web, algumas atividades ilícitas são propensas de acontecer (vide o caso Silk Road – espécie de “e-commerce do mal”, voltado para encomendar drogas, armas, sequestros, assassinatos e etc, por meio de transações por criptomoedas). É preciso saber o que se está fazendo ao utilizar o Tor (por isso não é aconselhado) para evitar deixar rastros para criminosos. 
2. O Marco Civil da Internet (Lei nº 12.965/14): 
A internet é uma rede de redes (rede universal), ou seja, a rede dos provedores de conexão que se ligam através dos backbones com o fito de permitir a transmissão de informações. 
Sendo a internet uma rede universal, é possível regular, pelo menos, o uso da internet no Brasil, bem como estabelecer direitos aos usuários de internet. É possível impor esses padrões normativos limitados geograficamente ao Brasil
· Promoção (art. 4º) 
· Do direito de acesso à internet a todos;
· Do acesso à informação, ao conhecimento e à participação na vida cultural e na condução dos assuntos públicos (título eleitor digital, carteira de motorista digital, carteira de trabalho digital, etc...) 
· Da inovação e do fomento à ampla difusão de novas tecnologias e modelos de uso e acesso;
· De adesão a padrões tecnológicos abertos que permitem a comunicação, a acessibilidade e a interoperabilidade entre aplicações e bases de dados;
· A livre iniciativa, a livre concorrência e a defesa do consumidor (a internet é um meio pelo qual grandes transações acontecem – vide os microempreendedores para além das BigTech); 
Apesar dos governos – como o brasileiro – executarem políticas públicas em prol de estender o acesso à internet às camadas menos favorecidas da sociedade (como o Internet Brasil – que pode entrar em vigência a qualquer momento – cuja finalidade é a disponibilização de chips de internet para estudantes de escolas públicas estaduais e municipais), o uso da internet ainda é extremamente restrito. Tal constatação gera debates acerca do “acesso universal” e gratuito, o que nenhum Estado concretizou até o momento (a criação de uma “internet nacional”). 
A digitalização dos assuntos públicos, apesar de contribuir bastante para facilitar a vida dos cidadãos – evitando grandes filas e deslocamentos contínuos -, somente pode ser pensada caso existisse um amplo acesso à internet e os cidadãos tivessem consciência de como usá-la. 
A tecnologia causa um choque no primeiro momento, mas depois se normaliza. O elevador, que hoje é naturalizado, já foi uma grande novidade. A sociedade precisa se adaptar às mudanças provenientes da incorporação das novas tecnologias (como, por exemplo, nas relações de trabalho – tende a crescer, cada vez mais, profissionais no setor de tecnologia). 
3. Princípios do uso da Internet (art. 3º): 
Antes mesmo da criação da LGPD já existia, no âmbito do Marco Civil da Internet, uma preocupação no que concerne ao tratamento dos dados pessoais (restritos ao ambiente da internet). 
· Garantia da liberdade de expressão, comunicação e manifestação de pensamento: Na Rússia, por exemplo, não se pode falar em tal garantia, uma vez que lá a internet é utilizada como um mecanismo de espionagem e repressão. Na China, há um bloqueio de diversos conteúdos para serem acessados no país, o que evidencia, por conseguinte, uma censura significativa. No Brasil, não há tal repressão, contudo, devemos nos responsabilizar pelas nossas manifestações de pensamento (injúrias, difamações, fake news...); 
· Princípio da proteção da privacidade;
· Princípio da proteção dos dados pessoais, na forma da lei; 
· Preservação e garantia da neutralidade da rede: A ideia de neutralidade é interessante, uma vez que corrobora a tese de que os usuários de internet não podem ser discriminados pelo acesso da internet. Por exemplo, um indivíduo que está assistindo a um filme deve apresentar a mesma conexão (sem melhora ou piora) de um indivíduo que está lendo notícias; 
· Preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo do uso de boas práticas;
· Responsabilização dos agentes de acordo com suas atividades, nos termos da lei;
· Preservação da natureza participativa da rede: Os agentes aqui referidos são os provedores e, também, os usuários da internet (visto que estes devem ser responsabilizados pelos seus atos, principalmente, no que se vincula a atos ilícitos). Hoje é possível responsabilizar pessoas pelos seus atos, inclusive, atos realizados sob anonimato (vide os conceitos de “registro de conexão” e “registro de acesso à aplicação de internet” – presentes no art. 5 no Marco Geral da Internet); 
· Liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nesta Lei;
· Esses princípios não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte; 
Para a próxima aula:
Ler os arts. 1º a 5º do Marco Civil da Internet (princípios do uso da internet no Brasil e conceitos jurídicos da tecnologia da internet) + art. 9º do Marco Civil da Internet (neutralidade da rede). 
AULA 07 – DIREITOS DO USUÁRIO DA INTERNET
1. Direitos do usuário da internet (art. 7º): 
· Inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
· Inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
· Inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
A tecnologia de criptografia de ponta a ponta utilizada pelo WhatsApp possibilita que somente o remetente e o destinatário tenham acesso às informações da conversa criptografada (daí a expressão “de ponta a ponta”: remetente destinatário). O Telegram, diferentemente do WhatsApp, tem criptografia “ponta-Telegram-ponta” (remetente Telegram destinatário). 
O Telegram guarda e acessa as informações dos usuários e, por conta disso, o WhatsApp é um veículo de comunicação mais seguro. O WhatsApp tem diretores no Brasil, o que possibilitou ao STF constrangê-lo, através da imposição de multas, a cumprir uma decisão judicial com o intuito de impedir a disseminação de fake news em grupos do aplicativo. 
Para se derrubar um usuário da rede, bloqueia-se o acesso de tal usuário ao provedor. 
· Não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização (reafirmação das disposições do Código de Defesa do Consumidor); 
· Manutenção da qualidade contratada da conexão à internet;
Sem ofender a neutralidade da rede, o provedor de conexão pode discriminar baseado na velocidade contratada por duas principais razões: (I) a decisão é unilateral do consumidor; (II)trata-se de uma discriminação agnóstica, ou seja, não é uma discriminação pautada no conteúdo ou na origem, mas uma discriminação que se aplica a toda e qualquer atividade realizada pelo indivíduo. É vedada, portanto, a um indivíduo A que contratou um determinado serviço com o provedor X, ter uma diferente velocidade para acessar o site B em comparação ao momento em que ele acessa o site C.
· Informações claras e completas constantes dos contratos de proteção de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;
· Não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; 
· Informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet. Esse direito se vincula mais aos provedores. 
· Consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais. 
Antes da LGPD, o Brasil viva a utopia de que o consentimento era a única base legal que justificasse o tratamento de dados pessoais dos usuários. A LGPD passou a admitir diversas bases legais para além do consentimento. A LGPD, mais especificamente através dos seus arts. 7 e 11, revogou, tacitamente, esse inciso do Marco Civil da Internet. 
· Exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação da internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstos nesta Lei e na que dispõe sobre a proteção de dados pessoais;
O direito de exclusão de dados é trazido pela LGPD, mas não consiste em um direito absoluto, uma vez que o pedido de exclusão só pode ser feito em determinadas hipóteses. O controlador precisa armazenar dados para, por exemplo, se proteger contra futuras ações judiciais. Esse inciso do Marco Civil da Internet faz parecer que a exclusão de dados corresponde a um direito absoluto. Torna-se, desse modo, nítido um choque entre o Marco Civil da Internet e a LGPD, podendo se interpretar a partir da supremacia da LGPD, ou em conjunto com a LGPD ou, ainda, compreender uma revogação tácita desse inciso do MCI pela LGPD. 
· Publicidade e clareza de eventuais políticas de uso dos provedores de conexão à Internet e de aplicações de internet;
· Acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei;
O direito de acessibilidade, lamentavelmente, não tem eficácia social. Poucos sites (inclusive governamentais) têm investido para pessoas com deficiência visual, auditiva, física... Como cada vez mais, serviços saem do meio físico para o âmbito digital, é necessário se pensar na acessibilidade via internet com o fito de evitar a exclusão de determinados grupos no exercício da cidadania. Esse debate é negligenciado atualmente, necessitando, urgentemente, de mudanças. 
· Aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.
2. Neutralidade da rede (art. 9º):
“A regra geral, que sempre foi clara e valeu nos correios e na telefonia, vale também para a internet: além de não se esperar interferência de intermediários, (...) encaminhar pacotes de dados na direção do destinatário, até a entrega final.” 
Argumentos:
	FAVORÁVEIS
	CONTRÁRIOS
	Liberdade individual: Preserva a liberdade de expressão e de aceso à informação porque proíbe a discriminação de conteúdos;
Isonomia de oferta: Impede que os provedores de conexão modifiquem a velocidade de acesso ou cobrem taxas mais altas para acessar certos conteúdos;
Concorrência: Assegura que startups e grandes corporações concorram em condições de igualdade na oferta de aplicações de internet (tendo em vista a disparidade existente entre empresas de grande, médio e pequeno porte); 
	Ações necessárias: Torna difícil tomar ações necessárias, como filtrar informações para prevenir ataques de denial of service (“negação de serviço”) evitar a disseminação de vírus e filtrar spam. 
Denial of service (exemplo): Um grupo de más pessoas, insatisfeito com o Enem, deseja derrubar o site do Inep e, para isso, infecta diversos computadores com um vírus que entrarão simultaneamente no site do Inep em um espaço curto de tempo. Isso vai sobrecarregar o servidor e tornar indisponível aquele serviço público; 
Expansão da rede: Desestimula a expansão da disponibilidade da rede, que aumenta exponencialmente o custo de operação dos provedores (para, justamente, manter essa neutralidade);
Neutralidade enviesada: Grandes empresas prevalecem sobre startups por meio de servidores de alta qualidade e serviços de alta largura de banda 
Esse debate de ser favorável ou contrário, de acordo com Marcus Seixas, se encontra relacionado à visão de mundo de cada um no que tange à atuação do Estado (mais liberal ou mais conservadora). 
Tendo em vista a elevada demanda dos usuários na contemporaneidade infere-se a importância da neutralidade da rede. 
A internet não neutra, nas mãos erradas, pode provocar graves consequências. Imaginemos um partido radical que assuma o poder e resolva criar a “internet do partido”, proibindo a entrada dos usuários nos sites da oposição. Não dá, né? 
3. Observações: 
Quem deve respeitar: O responsável pela transmissão, comutação ou roteamento;
O que é devido: Tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação; 
Discriminação: Somente poderá decorrer de requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações ou priorização de serviços de emergência*;
Para discriminar: Abster-se de causar dano aos usuários e agir com proporcionalidade;
*Se forem essenciais e indispensáveis à prestação adequada do serviço ou na priorização de serviços de emergência. Por exemplo, quando ocorreu o rompimento da barragem em Brumadinho, o tráfego de dados também foi prejudicado. Ao mesmo tempo que se tinha que permitir as pessoas de se comunicarem, era necessário possibilitar a comunicação entre profissionais de emergência. Os provedores, portanto, autorizados para tal, “violaram” o princípio da neutralidade. Por exemplo, um indivíduo que estava assistindo a um filme teve sua velocidade reduzida em comparação à internet de um profissional de saúde que precisava prestar socorro a uma família; 
Existia no senso comum, a perspectiva de que os atos ilícitos praticados na internet não eram puníveis pelo Estado. Entretanto, hoje, a visão predominante já é bem diferente.
 
4. Registro de conexão: 
Art. 5º, VI – MCI: registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados; 
Art. 13 – MCI: Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. 
Geralmente, o administrator de sistema autônomo é o provedor de conexão, é ele que nos conecta e nos dá o número de IP. 
Muitas vezes, esse administrador de sistema autônomo pode não ser o provedor. Um aeroporto contrata um bloco de endereços de IP. Um indivíduo, para ter acesso à internet no aeroporto, precisa efetuar um cadastro. Caso um ato ilícito seja cometido por esse indivíduo, o aeroporto pode identificar, através dos dados