Baixe o app para aproveitar ainda mais
Prévia do material em texto
MAURÍCIO TAMER https://linktr.ee/mauriciotamer AULA 20 - PROCEDIMENTOS JUDICIAIS PARTE I 1- Processo civil aplicado ao regime de proteção de dados pessoais - É importante reconhecermos a importância dos procedimentos judiciais no contexto da LGPD. - Reflexos em três grandes grupos: - Demandas promovidas em relação aos direitos dos titulares de dados pessoais (individuais ou coletivas) - Demandas promovidas na relação entre os agentes de tratamento. - Demandas promovidas para que o agente de tratamento demonstre sua diligência e compliance. - Necessidade de evoluirmos esses mecanismos a respeito da proteção de dados pessoais. - É preciso enxergar a resolução do conflito para além da jurisdição estatal. - Dimensões do princípio constitucional do Acesso à Justiça: - Primeira dimensão: assistência judiciária - Segunda dimensão: direitos transindividuais - Terceira dimensão: modelo multiportas - Quarta dimensão: melhorar o acesso aos profissionais jurídicos - Podemos falar em uma quinta dimensão? Proposta do uso das tecnologias da informação na otimização dos mecanismos. - Focos de aprimoramento: quais os focos que devem ser atacados para melhorar a resolução dos conflitos? - Como melhor resolver os conflitos - Contenção do conflito - Prevenção de conflitos - Desenvolvimento de Políticas Públicas Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer 2- Demandas promovidas em relação aos direitos dos titulares de dados pessoais - Quais são os direitos dos titulares: art. 18, mas não só. Há um direito à conformidade legal à LGPD como um todo. - “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.” - Possibilidades de exercício dos direitos: os titulares podem exercer seus direitos mediante requisição direta em face do controlador (art. 18, caput), sendo muito importante a existência de um canal para tanto (ver item 6 abaixo), junto à ANPD (art. 18, §1º), pelos organismos de defesa do consumidor (se a relação de consumo estiver presente – art. Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer 18, §8º) ou diretamente (de forma individual ou pelos mecanismos procedimentais de tutela coletiva – art. 22). Entre esses organismos estão, por exemplo, a Secretaria Nacional do Consumidor – SENACON e os PROCONs, bem como os órgãos do Ministério Público e da Defensoria Pública no âmbito de suas atuações. - PREVENÇÃO E CONTENÇÃO DO CONFLITO: Canal de atendimento aos direitos dos titulares como mecanismo de prevenção do conflito: - Aviso de privacidade: é um dos principais documentos a ser elaborado pelo agente de tratamento e deve ser objeto de trabalho dedicado, cuidadoso e focado, especialmente, no equilíbrio entre ser completo e visualmente amigável ao público. Textos robustos e completos, mas que geram uma experiência de leitura ruim ou densa ao público não são adequados pois, como sabemos, não serão lidos. Por outro lado, avisos puramente visuais, mas que pecam pela transparência ou completude também não atendem à LGPD. Se o aviso de privacidade for incompleto, confuso, de difícil entendimento ou não convidativo ao público, acabará por ser um péssimo cartão de visitas sobre os tratamentos realizados. Por outro lado, se equilibrado, o documento representa um passo essencial de confiabilidade e de boa imagem das operações realizadas. Algumas medidas podem auxiliar nessa busca do equilíbrio que pode sim ser considerada uma boa prática de privacidade, nos termos do art. 50. São elas: (i) a adoção de Visual Law como premissa de construção visual e amigável do documento (ver próximo item); (ii) a disposição do aviso em área da página de internet em lugar visível, de destaque e de mesma importância que as demais; (iii) difundir, pelas várias páginas e seções de internet utilizadas pelo controlador, links de acesso ao aviso de privacidade; (iv) mencioná-lo em seus demais documentos digitais, também com links de acesso (v.g. em assinaturas de e-mail, em contratos ou propostas digitais, em termos de consentimento, formulários, questionários, convites para eventos, etc.); (v) no aviso, introduzir layouts estruturados e links navegáveis entre suas seções ou camadas, permitindo que o titular navegue de forma fácil e rápida para as informações que lhe são de maior interesse; (vi) no aviso, dispor, quando pertinente, de perguntas e respostas; (vii) destacar no aviso o canal de atendimento ao titular; (viii) Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer utilizar das estratégias de marketing do controlador para potencializar a publicidade do documento, como, por exemplo, com publicações periódicas nas mídias sociais oficiais; (ix) utilizar de linguagem concisa, transparente, de fácil compreensão e em forma acessível; e (x) o acesso ao aviso deve ser rápido e livre de qualquer cobrança. - Legal Design e Visual Law: a ideia de Legal Design se traduz na aplicação de técnicas de design focadas no ser humano para o Direito, de modo a tornar os documentos e serviços jurídicos mais úteis, amigáveis e satisfatórios. É trazer o design, na sua melhor concepção contemporânea, para as atividades jurídicas. Como uma subárea, espécie ou manifestação da aplicação do design às atividades jurídicas (Legal Design), pode ser identificada o Visual Law. Ligado à comunicação jurídica, representa uma espécie de última fase de um processo de Legal Design com a utilização estratégica de elementos visuais (concebidos nas etapas anteriores de design e não a mera utilização de imagens e símbolos) para melhor compreensão dos documentos jurídicos, ou seja, dos documentos utilizados e presentes na realidade das atividades jurídicas como contratos, políticas, peças judiciais (petições, recursos, decisões judiciais, memoriais, etc.) e os documentos associados à privacidade. A ideia é tornar todos esses documentos mais claros e compreensíveis. Nessa perspectiva, considerando o perfil do princípio da transparência e das características necessárias do aviso de privacidade e demais documentos que atendam à LGPD (termos de consentimento, etc.) tem-se o Legal Design e o Visual Law como técnicas cada vez mais importantes para que as informações sobre o tratamento de dados pessoais sejam levadas da forma mais clara, compreensível, amigável e completa possível, focando na melhor experiência de entendimento do titular do dado pessoal. - Aviso de privacidade versus política de privacidade: Não raras vezes, há a confusão prática entre o aviso de privacidade e a política de privacidade (Privacy Policy). A política de privacidade, porém, é documento interno das empresas em relação à organização sobreo tratamento de dados pessoais. De todo modo, embora diferentes e o ideal seja a adoção do aviso de privacidade para o público geral, se o agente de privacidade atender completamente ao princípio da Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer transparência e ao que a LGPD prevê, ainda que sob a denominação do documento como política, não haverá desconformidade. - Canal de atendimento ao titular e a viabilização da requisição do titular (art. 18, §3º) ou Data Subject Access Requests - DSARs. O atendimento dos direitos dos titulares deve ser feito pela reunião de instrumentos pelo controlado com a consolidação de um aviso de privacidade (ver arts. 6º, VI, e 9º) de forma adequada, clara e ostensiva, com todas as informações pertinentes sobre o tratamento de dados e a estruturação de canais gratuitos (art. 18, §5º) de comunicação com o titular para que ele possa exercer seus direitos, em observância o aos arts. 18 a 21. Para tanto, alguns cuidados principais são importantes. O primeiro cuidado é que o canal seja de fácil identificação pelo titular e esteja posicionado também de forma clara e ostensiva pelo agente de tratamento, em especial, em seu sítio eletrônico, inclusive podendo ser acessível por vários caminhos. Assim, por exemplo, não é suficiente a utilização, apenas, dos sistemas de atendimento ao consumidor – SAC, sem que fique claro ao consumidor que seus direitos enquanto titular. Igualmente, não é recomendável que o canal de atendimento fique escondido ou em posição de difícil acesso no site. O ideal é que o aviso de privacidade logo de início apresente o canal, junto com a identificação do Encarregado. O segundo cuidado é que esse canal permita a realização do requerimento expresso do titular (art. 18, §3º). A melhor prática recomenda, por exemplo, a existência de um formulário a ser preenchido pelo titular com os dados essenciais para sua identificação e no qual ele possa optar por qual ou quais direitos deseja exercer. Isso, inclusive, facilita a comunicação e permite uma resposta mais rápida e assertiva do agente de tratamento, viabilizando, inclusive, que ele possa fazer o controle de quais os direitos mais exercidos, até para poder evoluir seus canais de transparência e comunicação. O terceiro cuidado é que o agente de tratamento adote meios consistentes e seguros, de forma razoável e dentro do seu contexto de tratamento, para a confirmação da identidade do titular de dados se esse utiliza dos canais de atendimento (ver item 5 abaixo). Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer O quarto cuidado é que o fluxo interno de atendimento seja bem desenhado, com as áreas que serão demandadas para trazer a resposta em prazo razoável ao titular a ser definido em regulamento pela ANPD (art. 18, §5º) e atender ao que prevê o art. 19, conforme comentários que lhe serão pertinentes. O mais recomendável e esperado que a entrada e saída da comunicação seja feita pelo Encarregado e pela área que o apoie (art. 41, §2º, I). Inclusive, para fins de controle, proteção dos dados pessoais e a evitar respostas dissonantes é muito importante que esse canal seja de atendimento concentrado. Não é recomendável que o controlador, por exemplo e ainda que de boa-fé, responda titulares em situações iguais de formas diferentes, seja em relação ao prazo, seja em relação ao conteúdo. A uniformidade no trato da questão é fundamental. Inclusive, muitas organizações têm o costume de atender aos seus clientes pelo aplicativo WhatsApp onde a resposta sobre o tratamento deve ser evitada. O ideal é que o preposto da organização direcione a questão para o canal apropriado. Ainda importante, como quinto cuidado, é que o agente de tratamento garanta a segurança de todo o fluxo dessa comunicação, adotando canais e métodos seguros, bem como blindando todo o ciclo de vida da requisição até a resposta efetiva. - Confirmação de identidade. A confirmação da identidade do titular na solicitação por seus direitos é imprescindível. Quer dizer, deve o agente de tratamento adotar ou empregar métodos prévios de filtros para confirmar que quem deseja exercer o direito do art. 18, é de fato e de direito quem pode exercê-lo. É previsão expressa do GDPR, por exemplo. O descontrole nessa confirmação pode resultar no descumprimento da LGPD e expor o agente de tratamento aos riscos disso inerentes, como, por exemplo, com (i) o fornecimento dos dados pessoais a terceiros em quebra da confidencialidade; (ii) a eliminação de dados sem o pedido expresso do titular verdadeiro, prejudicando-o; (iii) a revogação falsa do consentimento, se esse for a base legal adotada; etc - Algumas medidas devem ser evitadas. Uma medida que poderia parecer a mais óbvia a ser feita pelo agente é o pedido pela apresentação de algum documento de identidade (RG, CPF, CNH, OAB, passaporte, certidão de nascimento, etc.). Pedidos Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer dessa natureza devem ser evitados porque são normalmente desproporcionais ao tratamento dos dados (com a apresentação de imagens com dados biométricos, por exemplo) e nem sempre relevantes. Além disso, ao contrário do que pode parecer, nem sempre são métodos efetivos e seguros. A desproporcionalidade está no aumento do risco ao titular sem a assertividade de sua autenticidade. Outra medida a ser evitada é a utilização pura e simples de autenticação em ambientes online a partir de informações que se relacionam com o titular por um longo período (como números que o identificam nos serviços governamentais, v.g. CPF, etc.). Identificadores dessa natureza, justamente pelo longo período que permanecem na identificação do titular, podem estar na posse de terceiros mal-intencionados. - Alguns exemplos do que pode ser feito: (i) se a contratação do serviço com o controlador foi feita por e-mail ou número de telefone (verbal ou aplicativo), esses mesmos dados podem ser utilizados para confirmação; (ii) se o ambiente do agente de tratamento exige a inserção de credenciais de acesso (login e senha), o mais adequado é a requisição também seja feita nesse ambiente controlado após a inserção de tais informações e que servirão para confirmar a autenticidade, com o cuidado, claro, de que tais informações devem ser atualizadas sempre que comprometidas em eventual incidente de segurança de dados pessoais (ex. criação de um portal de privacidade controlado, protegido e isolado); (iii) a adoção de autenticação de dois fatores sempre que pertinente (recurso que acrescentam uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação, como com o recebimento de código por telefone); (iv) utilizar de questões que precisem ser respondidas pelo requerente sobre dados que o agente já possui; e (v) em casos em que os serviços se valem de dados biométricos, esses podem ser utilizados para essa finalidade, sem acréscimo de dados nos bancos do agentes, mas apenas o cruzamento confirmativo. - Prazo da resposta. Variável – art. 19. Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer - Necessidade de adequação contratual com o operador. - INTERESSE PROCESSUAL DO TITULAR DE DADO PESSOAL - Binômio necessidade e utilidade (art. 17, CPC). - Possibilidade concreta e comprovada de se fazer valer dos direitos subjetivos. - Prévia requisição extrajudicial (art. 18): é necessária? - LEGITIMIDADE Legitimidade ativa: - Próprio titular do dado - Titular do dado representado por pai ou responsável - Pai ou responsável em si - Tutela coletiva: - Tipos de direitos transindividuais: direitos difusos, coletivos strictosensu ou individuais homogêneos - Legitimados da Lei da Ação Civil Pública (art. 5º): - Ministério Público - Defensoria Pública - Associação (requisitos): constituição e pertinência temática. Legitimidade passiva: - Agentes de tratamento. Responsabilidade solidária. - ATUAÇÃO DO MINISTÉRIO PÚBLICO - Procedimentos: notícia de fato, procedimento preparatório e inquéritos civis - Termo de Ajustamento de Conduta – TAC - AÇÕES - Ação de obrigação de fazer e não fazer: correção dos rumos do tratamento de dados pessoais - Ação de reparação de dano. - Dano in re ipsa (STJ, REsp nº 1.758.799/MG, 3ª Turma, Rel. Min. Nancy Andrigui, j. 19.11.2019, DJe 19.11.2019) - Frequência do uso das tutelas antecipadas Clara Amédée Péret Motta - 14413498631 MAURÍCIO TAMER https://linktr.ee/mauriciotamer - PROCEDIMENTO ADMINISTRATIVO DA ANPD - Proposta: https://www.gov.br/anpd/pt- br/assuntos/noticias/anpd-abre-consulta-publica-sobre- norma-de-fiscalizacao 3- Demandas entre os agentes de tratamento - Importância da adequação contratual - Ações de Busca e Apreensão: situação extrema em caso de incidente de segurança ou para exercício da boa prática de auditoria do operador. - Responsabilização em direito de regresso (responsabilidade extracontratual). - Responsabilização contratual. - Importância do sigilo das demandas - Arbitragem ganha novo papel. Câmaras estão preparadas? 4- Demandas dos agentes de tratamento em compliance - Providências de investigação - Ações de obrigação de fazer do Marco Civil da Internet: - Ações de responsabilização Clara Amédée Péret Motta - 14413498631
Compartilhar