Aula 20 - Procedimentos Judiciais Tutelas processuais na LGPD

Prévia do material em texto

MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
 
AULA 20 - PROCEDIMENTOS JUDICIAIS PARTE I 
 
1- Processo civil aplicado ao regime de proteção de dados 
pessoais 
 
- É importante reconhecermos a importância dos 
procedimentos judiciais no contexto da LGPD. 
 
- Reflexos em três grandes grupos: 
 
 - Demandas promovidas em relação aos direitos dos 
titulares de dados pessoais (individuais ou coletivas) 
 
 - Demandas promovidas na relação entre os agentes de 
tratamento. 
 
- Demandas promovidas para que o agente de tratamento 
demonstre sua diligência e compliance. 
 
- Necessidade de evoluirmos esses mecanismos a respeito da 
proteção de dados pessoais. 
 
- É preciso enxergar a resolução do conflito para além da 
jurisdição estatal. 
 
 - Dimensões do princípio constitucional do Acesso à 
Justiça: 
 
 - Primeira dimensão: assistência judiciária 
 - Segunda dimensão: direitos transindividuais 
 - Terceira dimensão: modelo multiportas 
 - Quarta dimensão: melhorar o acesso aos 
profissionais jurídicos 
 - Podemos falar em uma quinta dimensão? Proposta 
do uso das tecnologias da informação na otimização 
dos mecanismos. 
 
- Focos de aprimoramento: quais os focos que devem ser 
atacados para melhorar a resolução dos conflitos? 
 
 - Como melhor resolver os conflitos 
 - Contenção do conflito 
 - Prevenção de conflitos 
 - Desenvolvimento de Políticas Públicas 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
 
2- Demandas promovidas em relação aos direitos dos titulares 
de dados pessoais 
 
- Quais são os direitos dos titulares: art. 18, mas não só. 
Há um direito à conformidade legal à LGPD como um todo. 
 
- “Art. 18. O titular dos dados pessoais tem direito a obter do 
controlador, em relação aos dados do titular por ele tratados, 
a qualquer momento e mediante requisição: 
 
I - confirmação da existência de tratamento; 
 
II - acesso aos dados; 
 
III - correção de dados incompletos, inexatos ou 
desatualizados; 
 
IV - anonimização, bloqueio ou eliminação de dados 
desnecessários, excessivos ou tratados em desconformidade 
com o disposto nesta Lei; 
 
V - portabilidade dos dados a outro fornecedor de serviço ou 
produto, mediante requisição expressa, de acordo com a 
regulamentação da autoridade nacional, observados os 
segredos comercial e industrial; 
 
VI - eliminação dos dados pessoais tratados com o 
consentimento do titular, exceto nas hipóteses previstas no 
art. 16 desta Lei; 
 
VII - informação das entidades públicas e privadas com as 
quais o controlador realizou uso compartilhado de dados; 
 
VIII - informação sobre a possibilidade de não fornecer 
consentimento e sobre as consequências da negativa; 
 
IX - revogação do consentimento, nos termos do § 5º do art. 
8º desta Lei.” 
 
- Possibilidades de exercício dos direitos: os titulares 
podem exercer seus direitos mediante requisição direta em 
face do controlador (art. 18, caput), sendo muito importante a 
existência de um canal para tanto (ver item 6 abaixo), junto à 
ANPD (art. 18, §1º), pelos organismos de defesa do 
consumidor (se a relação de consumo estiver presente – art. 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
18, §8º) ou diretamente (de forma individual ou pelos 
mecanismos procedimentais de tutela coletiva – art. 22). Entre 
esses organismos estão, por exemplo, a Secretaria Nacional do 
Consumidor – SENACON e os PROCONs, bem como os órgãos 
do Ministério Público e da Defensoria Pública no âmbito de suas 
atuações. 
 
- PREVENÇÃO E CONTENÇÃO DO CONFLITO: 
 
Canal de atendimento aos direitos dos titulares 
como mecanismo de prevenção do conflito: 
 
 - Aviso de privacidade: é um dos principais 
documentos a ser elaborado pelo agente de tratamento e deve 
ser objeto de trabalho dedicado, cuidadoso e focado, 
especialmente, no equilíbrio entre ser completo e visualmente 
amigável ao público. Textos robustos e completos, mas que 
geram uma experiência de leitura ruim ou densa ao público não 
são adequados pois, como sabemos, não serão lidos. Por outro 
lado, avisos puramente visuais, mas que pecam pela 
transparência ou completude também não atendem à LGPD. Se 
o aviso de privacidade for incompleto, confuso, de difícil 
entendimento ou não convidativo ao público, acabará por ser 
um péssimo cartão de visitas sobre os tratamentos realizados. 
Por outro lado, se equilibrado, o documento representa um 
passo essencial de confiabilidade e de boa imagem das 
operações realizadas. 
 
Algumas medidas podem auxiliar nessa busca do 
equilíbrio que pode sim ser considerada uma boa prática de 
privacidade, nos termos do art. 50. São elas: (i) a adoção de 
Visual Law como premissa de construção visual e amigável do 
documento (ver próximo item); (ii) a disposição do aviso em 
área da página de internet em lugar visível, de destaque e de 
mesma importância que as demais; (iii) difundir, pelas várias 
páginas e seções de internet utilizadas pelo controlador, links 
de acesso ao aviso de privacidade; (iv) mencioná-lo em seus 
demais documentos digitais, também com links de acesso (v.g. 
em assinaturas de e-mail, em contratos ou propostas digitais, 
em termos de consentimento, formulários, questionários, 
convites para eventos, etc.); (v) no aviso, introduzir layouts 
estruturados e links navegáveis entre suas seções ou camadas, 
permitindo que o titular navegue de forma fácil e rápida para 
as informações que lhe são de maior interesse; (vi) no aviso, 
dispor, quando pertinente, de perguntas e respostas; (vii) 
destacar no aviso o canal de atendimento ao titular; (viii) 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
utilizar das estratégias de marketing do controlador para 
potencializar a publicidade do documento, como, por exemplo, 
com publicações periódicas nas mídias sociais oficiais; (ix) 
utilizar de linguagem concisa, transparente, de fácil 
compreensão e em forma acessível; e (x) o acesso ao aviso 
deve ser rápido e livre de qualquer cobrança. 
 
- Legal Design e Visual Law: a ideia de Legal Design 
se traduz na aplicação de técnicas de design focadas no ser 
humano para o Direito, de modo a tornar os documentos e 
serviços jurídicos mais úteis, amigáveis e satisfatórios. É trazer 
o design, na sua melhor concepção contemporânea, para as 
atividades jurídicas. 
 
Como uma subárea, espécie ou manifestação da 
aplicação do design às atividades jurídicas (Legal Design), pode 
ser identificada o Visual Law. Ligado à comunicação jurídica, 
representa uma espécie de última fase de um processo de Legal 
Design com a utilização estratégica de elementos visuais 
(concebidos nas etapas anteriores de design e não a mera 
utilização de imagens e símbolos) para melhor compreensão 
dos documentos jurídicos, ou seja, dos documentos utilizados 
e presentes na realidade das atividades jurídicas como 
contratos, políticas, peças judiciais (petições, recursos, 
decisões judiciais, memoriais, etc.) e os documentos 
associados à privacidade. A ideia é tornar todos esses 
documentos mais claros e compreensíveis. 
 
Nessa perspectiva, considerando o perfil do princípio da 
transparência e das características necessárias do aviso de 
privacidade e demais documentos que atendam à LGPD 
(termos de consentimento, etc.) tem-se o Legal Design e o 
Visual Law como técnicas cada vez mais importantes para que 
as informações sobre o tratamento de dados pessoais sejam 
levadas da forma mais clara, compreensível, amigável e 
completa possível, focando na melhor experiência de 
entendimento do titular do dado pessoal. 
 
- Aviso de privacidade versus política de 
privacidade: Não raras vezes, há a confusão prática entre o 
aviso de privacidade e a política de privacidade (Privacy Policy). 
A política de privacidade, porém, é documento interno das 
empresas em relação à organização sobreo tratamento de 
dados pessoais. De todo modo, embora diferentes e o ideal seja 
a adoção do aviso de privacidade para o público geral, se o 
agente de privacidade atender completamente ao princípio da 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
transparência e ao que a LGPD prevê, ainda que sob a 
denominação do documento como política, não haverá 
desconformidade. 
 
- Canal de atendimento ao titular e a viabilização 
da requisição do titular (art. 18, §3º) ou Data Subject 
Access Requests - DSARs. O atendimento dos direitos dos 
titulares deve ser feito pela reunião de instrumentos pelo 
controlado com a consolidação de um aviso de privacidade (ver 
arts. 6º, VI, e 9º) de forma adequada, clara e ostensiva, com 
todas as informações pertinentes sobre o tratamento de dados 
e a estruturação de canais gratuitos (art. 18, §5º) de 
comunicação com o titular para que ele possa exercer seus 
direitos, em observância o aos arts. 18 a 21. Para tanto, alguns 
cuidados principais são importantes. 
 
O primeiro cuidado é que o canal seja de fácil 
identificação pelo titular e esteja posicionado também de forma 
clara e ostensiva pelo agente de tratamento, em especial, em 
seu sítio eletrônico, inclusive podendo ser acessível por vários 
caminhos. Assim, por exemplo, não é suficiente a utilização, 
apenas, dos sistemas de atendimento ao consumidor – SAC, 
sem que fique claro ao consumidor que seus direitos enquanto 
titular. Igualmente, não é recomendável que o canal de 
atendimento fique escondido ou em posição de difícil acesso no 
site. O ideal é que o aviso de privacidade logo de início 
apresente o canal, junto com a identificação do Encarregado. 
 
O segundo cuidado é que esse canal permita a realização 
do requerimento expresso do titular (art. 18, §3º). A melhor 
prática recomenda, por exemplo, a existência de um formulário 
a ser preenchido pelo titular com os dados essenciais para sua 
identificação e no qual ele possa optar por qual ou quais direitos 
deseja exercer. Isso, inclusive, facilita a comunicação e permite 
uma resposta mais rápida e assertiva do agente de tratamento, 
viabilizando, inclusive, que ele possa fazer o controle de quais 
os direitos mais exercidos, até para poder evoluir seus canais 
de transparência e comunicação. 
 
O terceiro cuidado é que o agente de tratamento adote 
meios consistentes e seguros, de forma razoável e dentro do 
seu contexto de tratamento, para a confirmação da identidade 
do titular de dados se esse utiliza dos canais de atendimento 
(ver item 5 abaixo). 
 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
O quarto cuidado é que o fluxo interno de atendimento 
seja bem desenhado, com as áreas que serão demandadas 
para trazer a resposta em prazo razoável ao titular a ser 
definido em regulamento pela ANPD (art. 18, §5º) e atender ao 
que prevê o art. 19, conforme comentários que lhe serão 
pertinentes. O mais recomendável e esperado que a entrada e 
saída da comunicação seja feita pelo Encarregado e pela área 
que o apoie (art. 41, §2º, I). Inclusive, para fins de controle, 
proteção dos dados pessoais e a evitar respostas dissonantes 
é muito importante que esse canal seja de atendimento 
concentrado. Não é recomendável que o controlador, por 
exemplo e ainda que de boa-fé, responda titulares em 
situações iguais de formas diferentes, seja em relação ao 
prazo, seja em relação ao conteúdo. A uniformidade no trato 
da questão é fundamental. Inclusive, muitas organizações têm 
o costume de atender aos seus clientes pelo aplicativo 
WhatsApp onde a resposta sobre o tratamento deve ser 
evitada. O ideal é que o preposto da organização direcione a 
questão para o canal apropriado. 
 
Ainda importante, como quinto cuidado, é que o agente 
de tratamento garanta a segurança de todo o fluxo dessa 
comunicação, adotando canais e métodos seguros, bem como 
blindando todo o ciclo de vida da requisição até a resposta 
efetiva. 
 
- Confirmação de identidade. A confirmação da 
identidade do titular na solicitação por seus direitos é 
imprescindível. Quer dizer, deve o agente de tratamento adotar 
ou empregar métodos prévios de filtros para confirmar que 
quem deseja exercer o direito do art. 18, é de fato e de direito 
quem pode exercê-lo. É previsão expressa do GDPR, por 
exemplo. O descontrole nessa confirmação pode resultar no 
descumprimento da LGPD e expor o agente de tratamento aos 
riscos disso inerentes, como, por exemplo, com (i) o 
fornecimento dos dados pessoais a terceiros em quebra da 
confidencialidade; (ii) a eliminação de dados sem o pedido 
expresso do titular verdadeiro, prejudicando-o; (iii) a 
revogação falsa do consentimento, se esse for a base legal 
adotada; etc 
 
 - Algumas medidas devem ser evitadas. Uma 
medida que poderia parecer a mais óbvia a ser feita 
pelo agente é o pedido pela apresentação de algum 
documento de identidade (RG, CPF, CNH, OAB, 
passaporte, certidão de nascimento, etc.). Pedidos 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
dessa natureza devem ser evitados porque são 
normalmente desproporcionais ao tratamento dos 
dados (com a apresentação de imagens com dados 
biométricos, por exemplo) e nem sempre relevantes. 
Além disso, ao contrário do que pode parecer, nem 
sempre são métodos efetivos e seguros. A 
desproporcionalidade está no aumento do risco ao 
titular sem a assertividade de sua autenticidade. Outra 
medida a ser evitada é a utilização pura e simples de 
autenticação em ambientes online a partir de 
informações que se relacionam com o titular por um 
longo período (como números que o identificam nos 
serviços governamentais, v.g. CPF, etc.). 
Identificadores dessa natureza, justamente pelo longo 
período que permanecem na identificação do titular, 
podem estar na posse de terceiros mal-intencionados. 
 
 - Alguns exemplos do que pode ser feito: (i) se a 
contratação do serviço com o controlador foi feita por 
e-mail ou número de telefone (verbal ou aplicativo), 
esses mesmos dados podem ser utilizados para 
confirmação; (ii) se o ambiente do agente de 
tratamento exige a inserção de credenciais de acesso 
(login e senha), o mais adequado é a requisição 
também seja feita nesse ambiente controlado após a 
inserção de tais informações e que servirão para 
confirmar a autenticidade, com o cuidado, claro, de que 
tais informações devem ser atualizadas sempre que 
comprometidas em eventual incidente de segurança de 
dados pessoais (ex. criação de um portal de 
privacidade controlado, protegido e isolado); (iii) a 
adoção de autenticação de dois fatores sempre que 
pertinente (recurso que acrescentam uma camada 
adicional de segurança para o processo de login da 
conta, exigindo que o usuário forneça duas formas de 
autenticação, como com o recebimento de código por 
telefone); (iv) utilizar de questões que precisem ser 
respondidas pelo requerente sobre dados que o agente 
já possui; e (v) em casos em que os serviços se valem 
de dados biométricos, esses podem ser utilizados para 
essa finalidade, sem acréscimo de dados nos bancos do 
agentes, mas apenas o cruzamento confirmativo. 
 
 - Prazo da resposta. Variável – art. 19. 
 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
- Necessidade de adequação contratual com o 
operador. 
 
- INTERESSE PROCESSUAL DO TITULAR DE DADO 
PESSOAL 
 
- Binômio necessidade e utilidade (art. 17, CPC). 
- Possibilidade concreta e comprovada de se fazer valer dos 
direitos subjetivos. 
- Prévia requisição extrajudicial (art. 18): é necessária? 
 
- LEGITIMIDADE 
 
Legitimidade ativa: 
- Próprio titular do dado 
- Titular do dado representado por pai ou responsável 
- Pai ou responsável em si 
- Tutela coletiva: 
 - Tipos de direitos transindividuais: direitos 
difusos, coletivos strictosensu ou individuais 
homogêneos 
- Legitimados da Lei da Ação Civil Pública (art. 5º): 
 - Ministério Público 
 - Defensoria Pública 
 - Associação (requisitos): constituição e pertinência 
temática. 
 
Legitimidade passiva: 
- Agentes de tratamento. Responsabilidade solidária. 
 
 
- ATUAÇÃO DO MINISTÉRIO PÚBLICO 
 
 - Procedimentos: notícia de fato, procedimento 
preparatório e inquéritos civis 
 - Termo de Ajustamento de Conduta – TAC 
 
- AÇÕES 
 
- Ação de obrigação de fazer e não fazer: correção dos 
rumos do tratamento de dados pessoais 
- Ação de reparação de dano. 
 - Dano in re ipsa (STJ, REsp nº 1.758.799/MG, 3ª 
Turma, Rel. Min. Nancy Andrigui, j. 19.11.2019, 
DJe 19.11.2019) 
- Frequência do uso das tutelas antecipadas 
Clara Amédée Péret Motta - 14413498631
 
 
MAURÍCIO TAMER 
https://linktr.ee/mauriciotamer 
 
 
 
- PROCEDIMENTO ADMINISTRATIVO DA ANPD 
 
 - Proposta: https://www.gov.br/anpd/pt-
br/assuntos/noticias/anpd-abre-consulta-publica-sobre-
norma-de-fiscalizacao 
 
3- Demandas entre os agentes de tratamento 
 
- Importância da adequação contratual 
 
- Ações de Busca e Apreensão: situação extrema em caso de 
incidente de segurança ou para exercício da boa prática de 
auditoria do operador. 
 
- Responsabilização em direito de regresso (responsabilidade 
extracontratual). 
 
- Responsabilização contratual. 
 
- Importância do sigilo das demandas 
 
- Arbitragem ganha novo papel. Câmaras estão preparadas? 
 
 
4- Demandas dos agentes de tratamento em compliance 
 
- Providências de investigação 
 
- Ações de obrigação de fazer do Marco Civil da Internet: 
 
- Ações de responsabilização 
 
 
Clara Amédée Péret Motta - 14413498631