Aula sobre metaverso e proteção de dados - ASPI - Rafael Zanatta.pdf -

Please enable JavaScript to view the full PDF

Metaverso e proteção de dados pessoais Prof. Rafael A. F. Zanatta USP / Data Privacy Brasil zanatta@dataprivacybr.org Coordenação Acadêmica: Liliane Agostinho Leite Diretoria Cultural Apresentação Trajetória ● Mestre em Direito pela USP (2011-2014) ● Pesquisador da FGV (2012-2014) e do InternetLab (2014-2015) ● Mestre em Direito e Economia Política pela Universidade de Turim ● Líder do programa de direitos digitais do Idec (2015-2018) ● Doutorando pela USP com formação na Universidade de Amsterdam ● Diretor da Associação Data Privacy Brasil de Pesquisa ● Pesquisador (Research Fellow) da The New School (EUA) ● Membros da LAVITS e do IBERC Data Privacy Brasil Somos uma organização sem fins lucrativos dedicada à pesquisa e incidência com objetivo de reforçar a gramática dos direitos fundamentais em um cenário de datificação e novas tecnologias. O que fazemos? ● Pesquisas e notas técnicas ● Monitoramento: Observatório da Privacidade de Proteção de Dados ● Fomento do debate público: podcast Dadocracia, newsletter e lives ● Diálogo com os Poderes: amicus curiae e audiências públicas ● Conscientização e engajamento com jornalismo ● Construção de redes e ativismo qualificado pela pesquisa Conceitos jurídicos básicos Marco Civil da Internet (Lei 12.965/2014) ● internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes; ● aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; ● endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais; Conceitos jurídicos básicos Regras às aplicações de internet Marco Civil da Internet (Lei 12.965/2014) ● Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; Pontos de partida do MCI Aplicação do MCI para soluções de metaverso ● Cumprimento das regras sobre aplicações de Internet com relação à retenção de dados e princípios básicos de respeito à finalidade, transparência e boa-fé ● Nulidade de cláusulas contratuais que impliquem em (i) ofensa à inviolabilidade e ao sigilo das comunicações privadas, pela internet e (ii) não ofereçam como alternativa ao contratante a adoção do foro brasileiro para solução de controvérsias decorrentes de serviços prestados no Brasil ● O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento (Art. 15) Aplicação do MCI pelo STJ Decreto de regulação do MCI Debate constitucional do MCI A chegada da LGPD Linha do tempo da LGPD História da LGPD Conceitos jurídicos básicos Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) ● dado pessoal: informação relacionada a pessoa natural identificada ou identificável; ● dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; ● titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; ● controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; ● operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; Conceitos jurídicos básicos Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) ● encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); ● tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; ● anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; Princípios da LGPD Princípios da LGPD Estrutura básica da LGPD Elementos centrais ● Imposição de lógica ex ante: é dever do controlador identificar uma base legal para tratamento de dados pessoais conforme art. 7 e 11; ● Responsabilidade proativa: concepção de prevenção e conduta proativa em assumir compromissos de boa-fé, tratamento lícito e boas práticas; ● Aviso de Privacidade e respeito aos direitos dos titulares: obrigações previstas no art. 9 e compromisso com máximo de transparência, clareza e apresentação dos direitos aos titulares ● Responsabilidade civil pelos danos: capítulo específico sobre responsabilidade civil, regras de excludentes de responsabilidade, tratamento irregular de dados ● Obrigações de incidentes de segurança: capítulo específico sobre o que fazer em casos de incidentes, deveres de comunicação com ANPD e titulares Disseminação em 2020 Disseminação em 2020 O reforço do STF Decisão paradigmática do STF Acórdão da ADI 6.387 de 2020 ● Decorrências dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais. ● Na medida em que relacionados à identificação – efetiva ou potencial – de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena de lesão a esses direitos. O compartilhamento, com ente público, de dados pessoais custodiados por concessionária de serviço público há de assegurar mecanismos de proteção e segurança desses dados. Decisão paradigmática do STF Acórdão da ADI 6.387 de 2020 ● Mostra-se excessiva a conservação de dados pessoais coletados, pelo ente público, por trinta dias após a decretação do fim da situação de emergência de saúde pública, tempo manifestamente excedente ao estritamente necessário para o atendimento da sua finalidade declarada. ● Agrava a ausência de garantias de tratamento adequado e seguro dos dados compartilhados a circunstância de que, embora aprovada, ainda não vigora a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), definidora dos critérios para a responsabilização dos agentes por eventuais danos ocorridos em virtude do tratamento de dados pessoais. O fragilizado ambiente protetivo impõe cuidadoso escrutínio sobre medidas como a implementada na MP nº 954/2020. A Emenda Constitucional 115 A Emenda Constitucional 115 Como trabalhar? Dicas centrais ● Compreender papel e função da Autoridade Nacional de Proteção de Dados Pessoais ● Compreender que aplicações de Internet de metaverso já possuem um conjunto de obrigações jurídicas em proteção de dados pessoais conforme CDC, Marco Civil da Internet e LGPD ● Analisar como as regras de proteção de dados pessoais estão se harmonizando entre jurisdições, como General Data Protection Regulation e CCPA ● Assumir conduta proativa, nomear encarregado e identificar adequadamente as bases legais para tratamento de dados pessoais ● Cuidados com técnicas de anonimização e processos de reidentificação de titulares Para ler (livros essenciais) Obrigado! ● Material licenciado em Creative Commons CC-BY 4.0 ○ Você pode utilizar este material para fins não lucrativos, desde que citada a fonte ● Contatos ○ zanatta@dataprivacybr.org ○ @rafa_zanatta ● Mais informações sobre a LGPD e o Data Privacy em: ○ https://www.dataprivacybr.org/ ○ https://www.observatorioprivacidade.com.br/