Proteção de dados

Prévia do material em texto

Sua Privacidade vale muito dinheiro!
Faça um teste: logado na sua conta do Google, vá em "Gerenciar sua conta do Google" e,
depois, em "Dados e personalização". Você terá dois painéis: “Controle de atividades” e
“Atividades e linha do tempo”. Neles, é possível consultar, detalhadamente, por você tem
andado – literalmente. Praticamente tudo que você faz no computador ou no celular está
ali.
Qual o interesse dessas empresas em coletar, manter e analisar essa quantidade
inimaginável de dados pessoais? De maneira geral, elas ofertam serviços de publicidade
personalizado e trançam perfis comportamentais para abordagens relevantes aos
usuários. Contudo, esse uso pode extrapolar os limites legais e éticos, alimentando um
mercado obscuro e indesejado de dados e perfis pessoais.
As informações pessoais se tornaram mais um produto comprado e 
vendido
Uma vida vigiada
Tecnologia e dispositivos que produzem ou armazenam dados de nossas atividades diárias:
1/6/14. Videovigilância: as imagens podem ser interceptadas.
2. Medidores de eletricidade e termostatos: fornecem informação sobre hábitos.
3/4. Televisores inteligentes e consoles de videogames: possuem câmeras e microfones.
5. Controles biométricos de entrada e saída.
7. Monitoramento remoto no trabalho: capturas de tela para medir a produtividade do trabalhador.
8. Bases de dados pessoais: podem conter dados fiscais e de saúde dos clientes.
9. Sensores de contagem de pessoas: monitoram o fluxo de compradores e os tempos de compra.
10. Cartões de fidelidade: em troca de descontos, criam perfis do comprador.
11. Ibeacons: enviam ofertas para celulares próximos.
12. Wifi gratuito: pode ser oferecido em troca do acesso ao perfil do Facebook.
13. Bilhetes de transportes públicos: cartões recarregáveis que produzem dados de deslocamentos.
14. Redes de bicicletas públicas: registro dos trajetos.
15. Carros: existem sistemas para ler as placas.
16. Telefonia móvel: permite geolocalizar.
17. Câmeras térmicas e sensores sonoros: medem o fluxo de pedestres e níveis de ruído.
18. Mobiliário urbano que detecta a presença de pedestres.
19. Sistemas de estacionamento: o pagamento com cartão de vagas azuis e verdes gera dados do usuário.
Todos nós ouvimos dizer alguma vez que quando um produto é aparentemente gratuito é
provável que na verdade estejamos pagando por ele com dados. Isso acontece com as
redes sociais, os cartões de fidelidade de lojas e supermercados ou com infinitos
aplicativos que oferecem serviços mais ou menos relevantes em troca, somente, dos
nossos dados pessoais.
Mas além de intuir que nós somos o produto, na realidade não sabemos o que é feito
exatamente com nossa informação, ou no que consiste e como funciona esse pagamento
com dados. Na verdade, não é uma questão simples e cada aplicativo tem seus próprios
procedimentos e lógicas. No caso da navegação na internet, por exemplo, as empresas e
prestadores de serviços nos oferecem de forma gratuita seus motores de busca, páginas
web e serviços associados para ler o jornal, consultar a previsão do tempo ou estar em
contato com outras pessoas através de redes sociais e fóruns. No entanto, cada vez que
entramos em uma web é baixada automaticamente uma série de microprogramas
conhecidos como cookies que conseguem informações sobre nossa atividade online e
enviam ao proprietário da página visitada, informações sobre nosso IP, MAC ou IMEI (o
número de registro do nosso dispositivo), o tempo e a forma que usamos num
determinado site ou outros sites que estejam abertos ao mesmo tempo, identifica se
somos visitantes regulares e que uso fazemos da página web, em que sequência, como
acessamos outros sites e assim por diante. Além disso, é comum que diferentes
empresas paguem ao site que visitamos para poder instalar seus próprios cookies, como
também é habitual que a empresa use os dados não somente para seus estudos internos,
mas que também os venda a terceiros.
Na verdade, cada vez que visitamos uma página com o computador, o celular ou o tablet,
recebemos dezenas de pedidos de instalação de cookies. Somos, portanto, o produto,
porque em troca da informação que obtemos fornecemos detalhes sobre nossa atividade
online e, frequentemente, dados pessoais como nome e localização, hábitos, cartão de
crédito, etc., sobre os quais não temos nenhuma maneira de controlar para onde eles vão.
Diante disso, o único recurso de autoproteção é não aceitar cookies e renunciar ao
serviço, ou exclui-los sistematicamente do nosso computador, algo tão enfadonho como
escassamente útil.
O Facebook, rede social utilizada por mais de um bilhão de pessoas por mês, dispõe dos
dados que o usuário deposita voluntariamente nele, mas também faz inferências com
base em nossas interações com pessoas e informações, compartilha-as com terceiros e
desenvolve um perfil único que permite determinar o que aparece no nosso mural, tanto
por parte de nossos amigos como de anunciantes. Todo “curtir” ou registro feito por meio
do Facebook gera informações que são analisadas e classificadas por algoritmos tanto
para nos conhecer em nível individual quanto como consumidores, para desenvolver
perfis sociais para agências de publicidade. O registro continua mesmo que tenhamos
fechado a página: a não ser que saiamos manualmente, os cookies do Facebook
continuam espionando tudo o que fazemos online.
Se, além disso, instalamos o Facebook nos nossos celulares junto com o seu aplicativo
de mensagens, o sistema pode ativar remotamente nossa câmera ou microfone, acessar
nossas fotos, mensagens e assim por diante de modo a continuar aperfeiçoando o nosso
perfil.
O exemplo de navegação na internet é o mais comum, mas já não é o único protagonista.
A mesma implantação de conexões não aparentes e de compra e venda de dados
também ocorre quando usamos um cartão de fidelidade de clientes, que relaciona o
nosso padrão de consumo com um nome, endereço, muitas vezes alguns dados
bancários e as respostas ao questionário que normalmente preenchemos ao solicitar esse
tipo de cartão.
Outra área em que a coleta de dados está se tornando cada vez mais importante é o
espaço público. Nosso descuidado passeio pelas ruas é cada vez menos anônimo e os
sensores que leem os identificadores únicos e a geolocalização dos nossos dispositivos,
as câmeras de imagem térmica e de videovigilância, redes sem fios, lâmpadas
inteligentes ou sensores de leitura automática de placas de automóveis nos incorporam
de forma rotineira a bases de dados públicos e privados que em algum lugar servem a
alguém para obter um lucro que não conhecemos nem controlamos.
O espaço doméstico é talvez aquele onde esse monitoramento dos nossos movimentos e
rotinas para elaborar padrões vendáveis aumenta de forma mais preocupante: todos os
eletrodomésticos inteligentes, do medidor de energia elétrica ao aparelho de televisão,
passando pela geladeira, constroem uma rede de extração de dados que quer aperfeiçoar
a imagem de quem somos, do que queremos e do que podemos querer. O desafio é ser
capaz de se antecipar às nossas necessidades para nos tentar a comprar produtos ou
serviços que ainda não sabemos que desejamos. Pagamos duas vezes: quando
adquirimos o eletrodoméstico ou pagamos a conta de luz, em dinheiro, e a cada vez que
proporcionamos informações, com dados pessoais.
Algumas empresas começaram a explorar a possibilidade de se tornarem data brokers
dos cidadãos, uma espécie de corretores de dados que gerenciariam nossa informação,
devolvendo-nos parte dos lucros gerados por ela. Que ninguém espere ficar rico: no
momento, as empresas que tentam abrir caminho nesse mundo obscuro não pagam mais
do que alguns euros por mês em troca de informações tão sensíveis como dados médicos
ou bancários. Por enquanto, o verdadeiro dinheiro não está na relação entre os cidadãos
e os serviços que coletam dados. A economia dosdados ainda é pouco mais do que uma
promessa, da qual até agora se beneficiam muito poucos atores (Facebook, Tuenti,
Google, Foursquare, YouTube, etc.), e mais pela febre de investimento do que pelos
resultados. Na aurora dessa promessa de negócio proliferam corretores de dados
dedicados ao cruzamento de diferentes bases para aumentar o preço de venda dos perfis
gerados a partir do cruzamento de informações de atividade online e offline: relatórios
médicos, por exemplo, podem adicionar muito valor a um histórico de busca na internet.
Para algumas pessoas, esse cenário não provoca nenhuma inquietude. Pagar com
informação própria também abre a porta para a promessa de serviços personalizados e
atenção individualizada. No entanto, os corretores de dados não se limitam a cruzar
detalhes do que compramos, com quem interagimos e do que gostamos. Esse comércio
inclui também, e cada vez mais, relatórios médicos, dados fiscais e de renda ou
bancários. O tipo de informação que pode determinar se nos concederão um crédito, se
nos oferecerão um plano de saúde mais ou menos caro ou se conseguiremos um
emprego. De repente, o preço pago com informações pessoais surge como algo
totalmente desproporcionado e incontrolável.
Ao aceitar nos transformar em produto, convém não esquecer que também aceitamos que
acabem nos afastando do jogo, escondidos ou ignorados porque o nosso perfil não
fornece a solvência, a saúde ou a obediência esperada.
Gemma Galdon Clavell, é doutora em políticas públicas e diretora de pesquisa da Eticas Research and Consulting.
Entenda o escândalo de uso político de dados que derrubou valor do
Facebook e o colocou na mira de autoridades
O Facebook sofreu um forte abalo no último sábado com a revelação de que as
informações de mais de 50 milhões de pessoas foram utilizadas sem o consentimento
delas pela empresa americana Cambridge Analytica para fazer propaganda política. 
A empresa teria tido acesso ao volume de dados ao lançar um aplicativo de teste
psicológico na rede social. Aqueles usuários do Facebook que participaram do teste
acabaram por entregar à Cambridge Analytica não apenas suas informações, mas os
dados referentes aos amigos do perfil. 
A denúncia, feita pelos jornais The New York Times e The Guardian, levantou dúvidas
sobre a transparência e o compromisso da empresa com a proteção de dados dos
usuários. 
O escândalo gerou nova onda negativa contra a empresa – já sob questionamento pela
proliferação de notícias falsas nas eleições americanas.
Na segunda-feira, dois dias após a publicação, o valor do Facebook encolheu US$ 35
bilhões (ou aproximadamente R$ 115,5 bilhões) na bolsa de valores de tecnologia dos
EUA.
A empresa também entrou na mira de autoridades nos Estados Unidos e no Reino Unido.
O deputado britânico Damian Collins convocou o CEO do Facebook, Mark Zuckerberg,
para depor diante de um comitê legislativo – ele tem até 26 de março para responder. As
autoridades também estão trabalhando para conseguir um mandado de busca e
apreensão para entrar na sede da Cambridge Analytica e recolher material que ajude a
elucidar o caso.
Nos EUA, a senadora Amy Klobuchar também tem feito pressão para que Zuckerberg
deponha ao senado para dar explicações 
Mas afinal, que vazamento foi esse? Como ele ajudou a fazer manipulação política e qual
a responsabilidade do Facebook? A BBC Brasil reuniu as informações mais cruciais para
você entender o escândalo e seus desdobramentos. 
Cambridge Analytica: que empresa é essa? 
A Cambridge Analytica é uma empresa de análise de dados que trabalhou com o time
responsável para campanha do republicano Donald Trump nas eleições de 2016, nos
Estados Unidos. 
Segundo o jornal The Guardian, na Europa a empresa foi contratada pelo grupo que
promovia o Brexit (a saída do Reino Unido da União Europeia). A Cambridge Analytica
nega e afirma que nunca trabalhou para a campanha do Brexit. 
A empresa é propriedade do bilionário do mercado financeiro Robert Mercer e era
presidida, à época, por Steve Bannon, então principal assessor de Trump. 
A Cambridge Analytica teria comprado acesso a informações pessoais de usuários do
Facebook e usado esses dados para criar um sistema que permitiu predizer e influenciar
as escolhas dos eleitores nas urnas, segundo a investigação dos jornais The Guardian e
The New York Times.
Na noite de segunda, a rede de TV britânica Channel 4 veiculou uma reportagem em que
o diretor-executivo da Cambridge Analytica, Alexander Nix, foi filmado conversando sobre
uso de suborno, ex-espiões e prostitutas para encurralar políticos. 
Um repórter se apresentou como potencial cliente e obteve as informações. A Cambridge
Analytica disse que o Channel 4 "interpretou errado" a conversa registrada pelas
câmeras.
Na noite desta terça-feira, porém, a Cambridge Analytica afirmou que Nix foi suspenso da
diretoria e que seus comentários, registrados pela reportagem do Channel 4, "não
representam os valores ou a operação da empresa".
Como os dados foram obtidos? 
Um ex-funcionário da empresa, Christopher Wylie, revelou ao Guardian que o esquema
começou em 2014, dois anos antes da eleição americana de 2016 e três anos antes do
Brexit. 
As informações dos usuários do Facebook foram coletadas por um aplicativo chamado
thisisyourdigitallife (essa é sua vida digital, em português), que pagou a centenas de
milhares de usuários pequenas quantias para que eles fizessem um teste de
personalidade e concordassem em ter seus dados coletados para uso acadêmico.
O aplicativo foi desenvolvido por Aleksandr Kogan, pesquisador da Universidade de
Cambridge, no Reino Unido. Ele já tinha uma pesquisa sobre como deduzir a
personalidade e as inclinações políticas das pessoas a partir de seus perfis no Facebook.
A Cambridge Analytica – que não tem relação nenhuma com a Universidade de
Cambridge – teria comprado os dados coletados por ele
Além da óbvia questão de que muitos usuários não leem os longos termos e condições e
mal sabem que estão dando suas informações para os desenvolvedores desses testes, o
grande problema foi que o aplicativo também coletou as informações dos amigos de
Facebook das pessoas que fizeram o teste. Ou seja, se uma pessoa respondesse o quiz,
estaria entregando informações privadas não apenas do seu perfil, mas também dos seus
amigos. 
Quais dados foram coletados?
Os dados incluíam detalhes sobre a identidade das pessoas – como nome, profissão,
local de moradia – seus gostos e hábitos e sua rede de contatos. Os usuários do
aplicativo não faziam ideia de que isso tudo seria usado para ajudar a eleger Donald
Trump. 
O aplicativo se aproveitou de uma "brecha" nas normas do Facebook – à época, a política
da plataforma permitia à aplicativos externos a coleta de dados de amigos das pessoas,
mas dizia que eles deveriam ser usados apenas para melhorar a experiência do próprio
usuário no aplicativo. 
Era proibido que os dados fossem vendidos ou usados para propaganda – mas não havia
controle do Facebook sobre esse uso. 
Posteriormente à revelação do escândalo, alguns executivos da empresa reclamaram no
Twitter do uso da palavra "vazamento" no caso envolvendo a Cambridge Analytica, já que
na prática a plataforma não foi hackeada. A empresa não precisou "invadir" a rede social
para ter acesso às informações – conseguiu os dados de maneira legítima e, depois,
desrespeitou as regras do Facebook sobre como poderia usá-los.
De qualquer forma, milhões de informações de pessoas que não deram seu
consentimento acabaram sendo usadas para fins políticos. 
Para que os dados foram usados? 
Christopher Wylie afirma que, como 270 mil pessoas fizeram o teste de personalidade,
por meio do acesso à rede de amigos dessas pessoas, os dados de cerca de 50 milhões
de usuários foramcoletados, sem autorização. A maioria dos usuários seriam eleitores
norte-americanos.
De acordo com Wylie, os dados vendidos à Cambridge Analytica teriam sido usados para
catalogar o perfil das pessoas e, então, direcionar, de forma mais personalizada, materiais
pró-Trump e mensagens contrárias à adversária dele, a democrata Hillary Clinton. 
A base de dados coletada é uma ferramenta poderosa porque permite que as campanhas
identifiquem pessoas que estão em dúvida e direcionem a elas mensagens com maior
probabilidade de convencê-las.
"Fornecer a informação certa à pessoa certa, no momento certo é mais importante do que
nunca", afirma uma propaganda da Cambridge Analytica sobre marketing eleitoral. 
A empresa nega que tenha usado dados do Facebook como parte dos serviços que
forneceu à campanha de Donald Trump para a presidência. 
Quem é o informante? 
Christopher Wylie é um canadense, de 28 anos, especializado em análise de dados. Ele
trabalhou para a Cambridge Analytica para projetar e emplementar o plano de uso de
dados do Facebook. 
Ele mostou um dossiê cheio de evidências sobre o mau uso dos dados para o Guardian,
com e-mails, mensagens de voz, contratos e transferências bancárias que revelam a
coleta de dados dos usuários. As informações também foram passadas para autoridades
britânicas e americanas. 
A jornalista Carole Cadwalladr – que assina tanto a reportagem no jornal britânico quanto
a do New York Times – conversou com ele durante meses antes da publicação das
notícias. 
Ela descreveu que o próprio Wylie se enxerga como um "gay canadense e vegano que,
sabe-se lá como, acabou criando a ferramenta de guerra mental e psicológica de Steve
Bannon". Segundo a jornalista, no último ano ele tem tentado desfazer os eventos – a
vitória de Trump e o Brexit – que ajudou a concretizar com seu trabalho. 
Wylie saiu da empresa em 2015 junto com uma parte da equipe original, que estava
insatisfeita com as inclinações políticas dos donos da Cambridge Analytica. Ele foi fonte –
anônima – de mais de uma reportagem sobre manipulação na internet e resolveu vir à
público em fevereiro de 2018. Agora, corre o risco de ser processador por estar
quebrando cláusulas de confidencialidade de seu contrato com a empresa. 
Qual a reação do Facebook?
O vazamento foi levado ao conhecimento do Facebook pela primeira vez há cerca de dois
anos, mas a empresa só suspendeu a Cambridge Analytica da plataforma na última sexta-
feira – depois que as reportagens procuraram a empresa para pedir uma resposta sobre o
caso. A rede social diz que o aplicativo usado para a coleta dos dados foi retirado do ar
em 2015. 
Inicialmente, a empresa não admitiu a falha e os advogados da rede social procuraram o
Guardian dizendo que o jornal fazia alegações "falsas e difamatórias". 
No mês passado, em uma outra investigação – desta vez, sobre notícias falsas – tanto a
rede social quanto o atual presidente da Cambridge Analytica, Alexander Nix, tinham
afirmado que a empresa não tinha nem usava informações privadas de usuários da rede. 
O Facebook, cujo modelo de negócio está baseado na coleta de dados, vem negando o
mau uso de informações do público em todas as investigações feitas sobre isso até hoje. 
Uma nota assinada pelo vice-presidente do Facebook, Paul Grewal, afirmou que a
empresa está "comprometida com o cumprimento de suas políticas e a proteção de
informações dos usuários". 
LEI GERAL DE PROTEÇÃO DE DADOS
A LGPD chegou e logo estará vigente. Na prática, (quase) ninguém escapa da busca pela
adequação.
Tendo como referência o Regulamento Geral sobre Proteção de Dados da União
Europeia, também conhecido como GDPR, a LGPD foi publicada no Diário Oficial de
15/08/2018, e já foi objeto de algumas alterações em razão da Medida Provisória
869/2018, convertida na Lei nº 13.853, de 08/07/2019, que ajustou alguns dispositivos e
criou a Autoridade Nacional de Proteção de Dados – ANPD, bem como de decisões do
Congresso Nacional, que acabou derrubando vetos do Presidente da República. 
A LGPD tem seu início de vigência previsto para 16/08/2020 (24 meses após a sua
publicação). A Lei busca equilibrar a relação entre titular do dado (pessoa natural a quem
o dado se refere) e controlador (pessoa natural ou jurídica a quem compete as decisões
referentes ao tratamento de dados pessoais).
Para entender a abrangência da lei, devemos observar os aspectos de territorialidade e
objetivo. Se o tratamento de dados pessoais visa ofertar bens ou serviços no território
nacional ou se a coleta dos dados ocorreu em território nacional, a LGPD é aplicada. Essa
regra vale para empresas públicas ou privadas, startups ou empresas tradicionais,
profissionais liberais, microempreendedores, grandes corporações, fintechs e bigtechs.
O que fica de fora? Tratamento de dados com fim exclusivamente particular e não
econômico, quando realizado por pessoa física (manter uma agenda de contatos no
celular, por exemplo). Também não se aplica a LGPD quando o tratamento ocorre
exclusivamente para atender fins jornalísticos, acadêmicos, artísticos, segurança pública,
defesa nacional, segurança do Estado, atividades de investigação e repressão de
infrações penais.
No nosso dia a dia, sem perceber, tratamos uma grande diversidade de dados pessoais.
São números de telefone, perfis em redes sociais, fotos, documentos e muitos outros
exemplos de coisas que guardamos, consultamos ou compartilhamos com frequência.
Mas como distinguir o que é um dado pessoal? Na visão da LGPD, um dado pessoal é
toda informação relacionada a pessoa natural identificada ou identificável.
E na prática, o que isso significa? Vamos separar os dois tipos de informações citadas
pela lei: informação de pessoa identificada e informação de pessoa identificável.
O primeiro caso é o mais simples. A informação, por si só, identifica um único indivíduo,
que é o titular – o dono – do dado pessoal. Número do CPF, número do passaporte,
número de telefone, endereço de e-mail e código MCI são exemplos de informações que
identificam uma pessoa física.
Para o segundo grupo, informação de pessoa identificável, é preciso mais cuidado pois é
necessário avaliar se uma combinação de variáveis identifica um indivíduo. O endereço
residencial (logradouro, número, bairro e cidade, por exemplo) pode identificar uma
pessoa, desde que ela more sozinha. Caso ela more com outras pessoas, se
combinarmos o primeiro nome ou o gênero ou a idade ao endereço, podemos identificar
um indivíduo. A profissão/ocupação, salvo poucas exceções, não identifica uma única
pessoa. Contudo, a ocupação combinada com o empregador aumenta muito a
possibilidade de identificar um indivíduo.
O fato de uma mesma combinação de informações trazer a possibilidade de identificar um
indivíduo ou não, aumenta a complexidade para adequação à lei e é um grande desafio,
por exemplo, para a anonimização.
Agora, imagine uma informação que revela algo sobre a personalidade ou a intimidade de
alguém, como sua origem racial ou orientação sexual. Esses dados, quando vinculados a
uma pessoa, são chamados de dados pessoais sensíveis e precisam de um tratamento
cuidadoso.
De acordo com a lei, os dados pessoais sensíveis são: origem racial ou étnica; convicção
religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso,
filosófico ou político; dados referentes à saúde ou vida sexual; dado genético ou
biométrico.
O tratamento de dados pessoais sensíveis, quando comparado aos demais dados
pessoais, tem restrições. Além do consentimento específico do titular, considerando o
contexto do Banco, ele só pode ser usado para o cumprimento de obrigações legais,
execução de políticas públicas, em processos judiciais, administrativos ou arbitrais e para
segurança do titular nos processos de identificação e autenticação.Devemos permanecer atentos para não fazer uso de dados sensíveis fora das hipóteses
previstas para esse tratamento, especialmente nos processos que derivam perfis
pessoais e de propensão ao consumo.
Para a LGPD, o conceito de tratamento é bastante amplo e engloba todas as
possibilidades de manuseio de dados pessoais, independente do meio utilizado. Consultar
um cadastro, atualizar o endereço e cadastrar um número de telefone são exemplos
típicos. Digitalizar uma Carteira de Motorista, encaminhar um contrato de crédito para
registro em cartório, gerar uma lista de propensão de consumo e ofertar produtos para
nossos clientes são atividades que envolvem tratamento de dados.
Fique esperto: o simples fato de guardar dados pessoais em arquivos físicos ou manter
registros em bancos de dados ou documentos digitalizados caracteriza um tratamento.
Consultá-los? Outro tratamento.
Quem surgiu primeiro, o dado pessoal ou o tratamento? Sem dado pessoal não há
tratamento. Sem tratamento, os dados pessoais ainda existem. Não há dilema, certo?
As empresas têm algumas maneiras para chegar até os dados pessoais. A primeira
maneira é pela declaração do próprio titular que, para adquirir algum bem ou serviço,
informa os dados pessoais necessários para concretizar o negócio. Outra maneira de
obter dados pessoais é pela consulta em fontes públicas ou privadas, para complementar
ou validar informações (Governo Federal, Serasa ou Boa Vista, por exemplo). Além disso,
as empresas também podem determinar um dado pessoal a partir da associação direta de
outros dados pessoais pré-existentes. Podemos determinar a idade de uma pessoa
sabendo sua data de nascimento, por exemplo. Por fim, as empresas podem inferir um
perfil, uma característica ou um comportamento pessoal observando o histórico de dados
do titular. Nesse caso, de maneira geral, são inferências criadas a partir de modelos que
tratam um grande número de variáveis, incluindo muitos dados pessoais, para uma
finalidade específica.
E agora? Nesse último caso, o tratamento precede o dado pessoal? Acho que o dilema
está de volta.
Quando olhamos para quem oferta/comercializa produtos, bens ou serviços, seja numa
loja física ou na Internet, ninguém escapa da LGPD. Está no nome: a lei é geral. Isso
significa que ela traz deveres para todos os agentes que realizam tratamento de dados
pessoais, independente do setor da economia. 
Como base, para orientar todos aqueles regidos pela lei, o Art. 6º da LGPD declara 10
princípios que, necessariamente, precisam ser observados antes de realizar qualquer
tratamento de dados pessoais. 
Finalidade, Adequação e Necessidade: os três primeiros princípios têm uma relação muito
forte entre si. De acordo com eles, o tratamento pode ocorrer somente dentro de um
propósito específico, compatível com o que foi informado ao titular, utilizando apenas os
dados pessoais necessários para atingir o propósito declarado. 
Livre Acesso, Qualidade dos Dados e Transparência: os titulares têm direito de saber
quais dados pessoais são mantidos pelas empresas e como eles foram utilizados. Esses
dados precisam estar corretos, permitindo a atualização sempre que necessário. A
informação sobre os tratamentos realizados precisa ser clara e facilmente acessível. 
Segurança, Prevenção e Não Discriminação: os dados pessoais devem estar protegidos
de acessos indevidos e de alterações, destruição, perda ou compartilhamento ilícito ou
acidental. O tratamento de dados pessoais não pode gerar danos nem ocorrem para fins
discriminatórios ilícitos ou abusivos. 
Responsabilização e prestação de contas: todos os responsáveis pelo tratamento de
dados pessoais devem demonstrar e evidenciar que adotam medidas eficazes para
cumprir as normas de proteção desses dados. 
Mas o que é uma hipótese de tratamento? 
A LGPD determina que o tratamento de dados pessoais só pode ocorrer quando
atendemos requisitos que estão descritos na lei. De maneira prática, cada conjunto de
dados pessoais combinada com a respectiva finalidade do tratamento pode ocorrer desde
que seja para: 
• cumprir uma obrigação legal ou regulatória; ou 
• executar políticas públicas previstas em lei; ou 
• realizar estudos por órgãos de pesquisa; ou 
• execução de contratos, incluindo os procedimentos preliminares à formalização;
ou 
• exercer os direitos da empresa em processos judiciais, administrativos ou arbitrais;
ou 
• proteção da vida ou da integridade física do titular; ou 
• procedimentos de saúde realizado por profissionais da área; ou 
• ações de proteção ao crédito; ou 
• prevenção à fraude e à segurança do titular, nos processos de identificação e
autenticação dos titulares em sistemas eletrônicos; ou 
• atender os legítimos interesses da empresa, desde que mantidos os direitos e
liberdades fundamentais do titular; ou 
• desde que haja o consentimento livre, específico e destacado do titular para aquela
finalidade descrita. 
Contudo, não basta identificar se o tratamento está apoiado em uma das hipóteses acima.
É necessário registrar esse vínculo e dar transparência ao titular, demonstrando isso
sempre que ele solicitar. 
a LGPD não pretende restringir o avanço das atividades comerciais nem o uso de
ferramentas e técnicas inovadoras para apoiar, promover e desenvolver negócios. 
É nesse contexto que uma empresa pode tratar dados pessoais a partir do seu legítimo
interesse. Entretanto, atuar a partir do seu legítimo interesse traz uma série de obrigações
às empresas: 
• A lei reforça, explicitamente, os princípios da necessidade e da transparência,
quando a empresa deve utilizar somente os dados pessoais estritamente
necessários para atingir o objetivo pretendido e deve adotar medidas para garantir
que o titular tenha acesso claro e facilitado aos tratamentos realizados,
respectivamente; 
• Respeitar as expectativas do titular; 
• Providenciar, para cada finalidade apoiada pela hipótese do legítimo interesse, um
relatório de impacto à proteção de dados pessoais, que poderá ser requisitado pela
Autoridade Nacional de Proteção de Dados (ANPD). 
Por conta dessas obrigações, o uso dessa hipótese de tratamento precisa ser bem
fundamentado e documentado pela área responsável pela privacidade e proteção de
dados, sempre apoiada pela área gestora da atividade. 
Conectividade
  As questões relativas à privacidade e proteção de dados pessoais ainda são pouco 
discutidas na sociedade brasileira. No entanto, o avanço da internet e da conectividade 
acabou trazendo essas questões para o centro do debate, resultando na promulgação da 
Lei Geral de Proteção de Dados – LGPD e na definição da necessidade de um arcabouço
legal sobre o assunto (exemplo: Proposta de Emenda Constitucional 17/2019, que inclui a
proteção de dados pessoais como um direito fundamental do cidadão. 
  Além disso, o aumento no volume de dados gerados, tendo como principal vetor o
crescimento de dispositivos conectados, passou a exigir dos agentes de tratamento a
adoção de cuidados e medidas adicionais de segurança. Com isso, observa-se que não
se trata de uma questão local, essa é uma preocupação mundial, que será agravada
ainda mais com a implantação da Internet das Coisas e da Tecnologia 5G. Apenas 60
segundos são suficientes para circular um volume gigantesco de dados, vídeos,
mensagens, fotos e informação no planeta, conforme comparativo dos anos 2018 e 2019: 
A PROTEÇÃO DE DADOS NOS TEMPOS DE COVID-19
Um único assunto tem dominado o noticiário, os grupos de WhatsApp e as conversas em
família. Está clara a gravidade do problema e sua extensão. Parte do que é amplamente
publicado são informações sobre pessoas com suspeita da doença, também as
confirmadas, internadas e falecidas. Além disso, há muita informação sendo produzida e
compartilhada no âmbito científico, entre médicose pesquisadores das mais diferentes
especialidades ao redor do mundo.
De maneira geral, excluindo situações específicas e restritas, essas informações são
tratadas sem identificar a quem elas se referem. Sabemos, por exemplo, que o 1º caso
confirmado no Brasil foi em 26/02, homem, 61 anos, morador da cidade de São Paulo,
vindo da Itália. Não é necessário saber sua identidade. Todo cidadão tem direito à sua
privacidade.
Esse processo de omitir informações que identifiquem um indivíduo é conhecido por
anonimização. Isso é muito comum no desenho de perfil de um público específico.
Vejamos um exemplo prático: um estudo divulgado pelo Ministério da Saúde, em
27/03/2020, informa a existência de 3.417 infectados e 92 óbitos. Das vítimas, 89%
tinham acima de 60 anos, 35% eram mulheres. Informa, ainda, que 149 estão internados
sob observação e 186 estão em Unidades de Terapia Intensiva (UTI).
Esses estudos, além de informar a população, são essenciais para a definição de
estratégias de contenção e tratamento da doença e, ao mesmo tempo, preservam a
privacidade das pessoas afetadas. 
Nesse contexto, a LGPD é empecilho para a utilização de dados que identificam o
indivíduo?
Não. Pelo contrário, é a partir dela que a utilização destes dados pode ter legitimidade e
que os respectivos limites e procedimentos específicos são tornados claros. O tratamento
de dados pessoais deve respeitar direitos e garantias individuais, princípios e regras
aplicáveis, a utilização dos dados pessoais deve ocorrer somente para a estrita finalidade
de conter a emergência, deve-se buscar a minimização de riscos através da utilização de
um conjunto mínimo de dados, aplicar a anonimização e pseudonimização sempre que
possível e o emprego das medidas de segurança necessárias.
As condições atípicas continuam. Medidas de isolamento social estão vigentes. Nesse
contexto, uma iniciativa de monitoramento ganha destaque em diversos países, incluindo
o Brasil: uso de geolocalização das pessoas para identificar aglomerações.
Alguns governos, em parcerias com empresas privadas, estão coletando informações dos
dispositivos móveis, principalmente smartphones, para acompanhar o deslocamento das
pessoas ao longo do tempo. Em princípio, essa é ação legítima, mas que carece de
cuidados e medidas protetivas, especialmente aquelas já definidas pela LGPD.
Reproduzimos, abaixo, partes de uma reportagem que resume a situação:
As operadoras de telecomunicação repassarão informações sobre a circulação de
pessoas para que o governo faça avaliações e desenvolva estratégias de prevenção e
combate à epidemia do novo coronavírus. A parceria vai durar o período da calamidade
pública da covid-19 e envolve as empresas Vivo, Claro, Oi, Tim e Algar.
“O que nós estamos disponibilizando para o governo é este dado estatístico agregado.
Não vamos falar em número de linha nem em nome da pessoa. Em tal dia estavam
conectadas tantas linhas em tal antena. Isso é um mapa. Olha por cima do país e
enxerga como se dá a concentração de pessoas, deslocamento delas por meio deste
mecanismo estatístico”, disse Marcos Ferrari, presidente executivo do Sinditelebrasil.
Os dados serão consolidados no fim do dia e repassados a um servidor da empresa
estadunidense Microsoft, de onde poderão ser acessados pelo governo. Assim, o “mapa”
mostrará a situação sempre do dia anterior. As cinco operadoras possuem uma grande
base de dados, somando 214 milhões de chips (embora vários clientes tenham mais de
um chip).
Na avaliação do conselheiro do Laboratório de Políticas Públicas e Internet da
Universidade de Brasília (Lapin) Thiago Moraes, é importante que o governo se certifique
que os dados disponibilizados na “nuvem” da Microsoft não sejam usados para outras
finalidades. Mesmo não estando em vigor a Lei Geral de Proteção de Dados, ele defende
que seus princípios e diretrizes sejam respeitados.
Thiago Moraes também destaca “que o tratamento seja limitado ao mínimo necessário, e
se evite o uso excessivo dos dados. Isto significa, entre outras coisas, que uma vez
superada a crise, os dados coletados devem ser eliminados. É importante também que
tão logo uma política pública seja definida, sua finalidade seja transparecida à população”
A coordenadora do Coletivo Intervozes Marina Pita defende que “deveria haver mais
detalhes inclusive em relação aos procedimentos de anonimização e agregação utilizados
porque há vários exemplos de reidentificação de dados anonimizados. Um sistema como
esse não pode perdurar e deveria haver formas de auditar e fiscalizar o seu uso”.
	As informações pessoais se tornaram mais um produto comprado e vendido
	Uma vida vigiada
	Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades
	Cambridge Analytica: que empresa é essa?
	Como os dados foram obtidos?
	Quem é o informante?
	Qual a reação do Facebook?