Sign up to save your podcasts
Or
Share Episódio #372 – Café Segurança Legal
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Episódio #372 – Café Segurança Legal
Neste episódio, Guilherme Goulart comenta os 6 anos da LGPD, o que mudou e o que ainda precisa melhorar. Você irá descobrir os desafios da lei, um caso europeu sobre acesso a logs e a polêmica saída do X do Brasil.
Guilherme Goulart aprofunda a discussão sobre o aniversário da LGPD, um marco na proteção de dados no Brasil. Ele analisa a evolução da conscientização e a atuação da ANPD, destacando a importância da segurança da informação e da gestão de incidentes de segurança. O episódio explora o papel da governança de dados e da conformidade para as empresas, ressaltando a privacidade como um direito fundamental dos titulares de dados. Abordando desde a necessidade de mais transparência até o risco de sanções, Goulart debate os desafios do direito digital frente às Big Techs, citando o Marco Civil da Internet. Assine nosso podcast, siga-nos nas redes e deixe sua avaliação para apoiar o Segurança Legal.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria
ShowNotes
análise da decisão proferida no AREsp n. 2.130.619/SP por Lucia Maria Teixeira Ferreira e Matheus Garcia
Foto do episódio
📝 Transcrição do Episódio
(00:00) Bem-vindos e bem-vindas ao Café Segurança Legal, Episódio 372, gravado em 23 de agosto de 2024. Eu sou o Guilherme Goulart e vou trazer para vocês algumas das notícias das últimas semanas, dessa vez sozinho, num café solo ou num mini café, já que o Vinícius teve uma pequena indisposição de saúde. Ele está bem, mas não estava pronto para fazer a gravação de hoje. Na semana passada, infelizmente, eu tive uma questão familiar que também me impediu de participar. Então, para não deixarmos duas semanas sem
(00:39) episódios, farei aqui um mini café com as minhas três notícias que eu já iria trazer, infelizmente sem a participação do Vinícius e, principalmente, sem a discussão, porque um dos temas que vou trazer era um tema sobre o qual provavelmente ficaríamos debatendo por bastante tempo, usando um tempo maior para discutir um pouco mais. Mas vamos assim mesmo, vamos seguir a rotina do podcast. Sempre lembrando que para nós este é um momento importante para você entrar
(01:13) em contato conosco e enviar críticas e sugestões. Para isso, é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, também pelo @segurancalegal no Twitter (ou X) e no Mastodon, no @[email protected]. Já pensou em apoiar o projeto Segurança Legal? Você pode fazer isso pelo site no apoia.
(01:38) se/segurancalegal, escolhendo uma das modalidades de apoio. Como recompensa, você terá o direito de participar do nosso grupo exclusivo de apoiadores no Telegram. Nós sempre comentamos que tivemos, recentemente, um problema com o PicPay, que deixou de nos prestar o serviço de apoio para projetos. Então, se você assinava pelo PicPay, pedimos que considere voltar, assinando pelo Apoia.se. Se você não apoia, embora haja muitas razões para isso, também exortamos que você considere colaborar
(02:11) com um projeto independente de produção de conteúdo que é o Segurança Legal. São 12 anos no ar, hoje fechando 372 episódios. Então, tem conteúdo para caramba para você escutar, se informar, estudar e ficar informado, no caso do Café, com as notícias. Vamos lá. Lembrando também que algumas das notícias que traremos aqui, sobretudo a primeira, que já antecipo que envolve a ANPD, está lá no blog da BrownPipe, que você consegue
(02:47) ver. Esse blog é atualizado semanalmente, então você vai ter ali as últimas notícias e as questões mais importantes. Algumas dessas notícias também vão para o nosso mailing da BrownPipe, então você pode também, aqui pelo blog, fazer a assinatura do mailing para receber no seu e-mail algumas dessas notícias mais importantes. Bom, então vamos à primeira notícia. Vocês já conseguiram ver aqui: a ANPD celebra os 6 anos da LGPD. Enfim, essa notícia é baseada em algumas questões publicadas pela ANPD, mas também acho que
(03:26) todos nós, enquanto sociedade, celebramos os seis anos dessa lei tão importante, essa lei que está no nosso dia a dia. A própria BrownPipe tem no seu DNA a proteção de dados e a segurança da informação, mas também a proteção de dados. Então, além de representar um dos temas, uma das áreas que nós trabalhamos na consultoria, nós, enquanto cidadãos aqui no Segurança Legal e enquanto titulares de dados pessoais, também nos sentimos felizes, enquanto pessoas físicas, de ter uma lei que nos protege.
(04:04) E também enquanto empresa e cidadãos, porque entendemos que houve uma evolução bastante grande com a aprovação da LGPD aqui no Brasil, por várias razões. Se formos pensar, o fato de não termos até então uma cultura de proteção de dados e até mesmo uma cultura mais forte de segurança da informação, a LGPD vem para trazer essa mudança de cultura. Esse é um dos elementos. Eu acho que já conseguimos ver, já conseguimos apontar nesses seis anos, que é um tempo considerável, algumas coisas que melhoraram e também
(04:46) trazer algumas indicações do que ainda precisa mudar. Acho que o primeiro ponto que mudou, que conseguimos verificar e perceber, é que sim, há uma consciência. Houve uma conscientização das empresas, embora ainda haja muitas que não se adequaram. Algumas começaram a adequação e estão em processo, outras sequer se deram o trabalho de iniciar esse projeto. Então, conseguimos identificar que o mercado reconhece, grandes players do mercado já reconhecem e atuam
(05:25) respeitando a lei, mas ainda notamos, sim, um desconhecimento. Quando eventualmente nós conversamos com técnicos da área, tanto de TI quanto de segurança da informação, ou quando conversamos sobre projetos e coisas do gênero, notamos um certo desconhecimento. Embora seja notável que houve uma evolução, obviamente, com uma lei publicada, ao mesmo tempo ainda há um desconhecimento relevante de muitas questões de proteção de dados em relação às pessoas mais técnicas.
(06:04) Uma outra questão que vale a pena mencionar é a atuação da própria ANPD. Logo depois da sanção da lei, tivemos a criação da ANPD. Hoje, a autoridade está estabelecida, é conhecida, recebe comunicações de incidentes, realiza procedimentos, criou e já publicou diversos documentos, seja os guias orientativos, suas resoluções, os estudos. Dá para destacar aqui o estudo do sandbox regulatório, o estudo sobre IA e sobre biometria. Mas também notamos, e essa é uma fala do próprio diretor-presidente recentemente,
(06:49) que a autoridade precisa de mais recursos. Essa é uma questão governamental, que envolve o papel do governo em promover um estado de coisas mais propício para que a ANPD, a nossa autoridade, consiga funcionar. Ele comentou, e eu trago aqui parte da sua fala: “Na área de fiscalização, a ANPD se destacou pela análise de mais de 500 incidentes de segurança, 3.
(07:25) 000 requerimentos de titulares de dados e a condução de oito processos sancionadores, resultando em 18 sanções, incluindo duas multas. A autarquia também analisou casos de grande relevância, como os microdados do Enem, do Censo Escolar, a alteração da política de privacidade do WhatsApp e o projeto Estádio Seguro, emitindo notas técnicas sobre esses temas”. Mais recentemente, noticiamos aqui no Segurança Legal, tivemos uma ampliação da transparência da ANPD. Hoje é possível fazer consultas públicas lá no SEI, que é o sistema eletrônico de informações da própria ANPD.
(08:01) Então, você consegue ter acesso. E numa resposta da ANPD diante das últimas relações que teve com o Ministério Público, no sentido de que precisava de mais transparência, a autoridade, enquanto ente, está respondendo positivamente. Mas destacando, na palavra da própria presidência, que há necessidade de se investir mais na autoridade, não somente recursos financeiros, mas também recursos humanos. É necessário aumentar o número de pessoas atuando lá, sobretudo se comparado com
(08:38) outros países, onde você tem muito mais pessoas, e também se for comparar com outras autoridades e instituições públicas aqui no Brasil, veremos que a ANPD tem, sim, espaço para crescer. Bom, nessa comemoração de 6 anos, eu busquei também trazer algumas propostas do que precisa mudar na minha opinião. O que ainda é necessário mudar? Acho que o primeiro ponto diz respeito ao reconhecimento de que a proteção de
(09:16) dados é considerada um valor importante na sociedade. A proteção de dados é um valor importante tanto para as pessoas quanto para as organizações e empresas. E não é à toa que ela foi considerada na nossa Constituição como um direito fundamental. Isso não é pouco. Considerá-la como direito fundamental é o reconhecimento, pela via do direito, da importância da proteção de dados para a construção, inclusive, de uma sociedade justa. Se notarmos, cada vez mais nós temos
(09:51) as pessoas com seus dados sendo tratados nas mais variadas atividades. Seja por meio de novas tecnologias, por meio das tecnologias da informação, e as nossas relações sociais, das mais variadas possíveis, passam a ser intermediadas por essas tecnologias com o tratamento de dados pessoais. E se formos considerar também o poder dessas grandes empresas, das big techs, é algo absolutamente necessário. Eu acho que o reconhecimento da proteção de dados enquanto valor ético, um valor que deve
(10:30) ser caro para a sociedade, deve inspirar as empresas. Acho que esse é o primeiro ponto. É como pensar em regras sanitárias. Hoje, ninguém discute a necessidade de regras sanitárias para instituições que vendem alimentos, por exemplo. Me parece que ainda há a necessidade de se aumentar essa conscientização do valor e da importância da proteção de dados enquanto pressuposto ético para o mundo dos negócios. Acho que essa é uma mudança bem importante, porque notamos empresas que deliberadamente decidem deixar para lá ou ainda pagar
(11:09) para ver, ou esperar o momento de fazer a adequação. O momento já passou, a lei está fazendo seis anos, mas o momento é agora. É melhor que você faça o processo de adequação enquanto as coisas estão tranquilas do que pensar em fazer esse processo depois que houve um incidente, depois que o negócio foi comprometido ou até mesmo depois que se demonstre. Os incidentes têm essa capacidade também de demonstrar situações de desconformidade, seja de segurança da informação, mas também de proteção de dados. Falando em segurança, outra questão é justamente esta: a
(11:48) LGPD trouxe para o Brasil uma consolidação da segurança da informação enquanto dever de proteção, que já era reconhecido. Nós já poderíamos retirar esse dever de segurança da informação lá do princípio da boa-fé objetiva, pela via do Código de Defesa do Consumidor, mas também pelo grande princípio da boa-fé objetiva. O que a ANPD e a LGPD fizeram foi realmente instrumentalizar esse novo dever de segurança da informação. Ou seja, o dever de segurança da informação hoje é muito mais delimitado e esclarecido para que as empresas
(12:31) possam cumprir. Há regras já muito bem estabelecidas e definidas pela própria ANPD. Um dos guias, que é o guia para agentes de pequeno porte, tem lá questões relacionadas à segurança da informação. Nesse sentido, por incrível que pareça, ainda precisa mudar. A área de segurança da informação precisa levar a gestão de incidentes a sério. Ela já deveria fazer isso mesmo sem a LGPD. Mesmo empresas que não tratam dados pessoais devem levar a gestão de incidentes a
(13:05) sério. O que eu quero dizer é que, a partir de agora ou a partir da LGPD, nós temos essa necessidade de que segurança da informação e proteção de dados andem juntos. E uma dessas subáreas dentro da segurança da informação, sem dúvidas, é a gestão de incidentes. Isso faz também, que é um outro elemento de mudança e melhora que acredito que deva ocorrer, notar que estamos vivendo um novo cenário para a área de compliance. Ou seja, nós precisamos
(13:43) não somente aplicar normas — esse é um tema de conformidade de maneira geral —, mas também revisar as situações de aplicação. Por isso, o processo de implementação e de cumprimento da LGPD é um processo complexo e delicado. Não é algo que se termina, ou seja: “faço a adequação e nunca mais preciso fazer nada”. Não, é um processo contínuo, assim como o processo de segurança e o processo de qualidade. Não basta cumprir a lei, não basta aplicar
(14:20) a lei no caso concreto, mas ainda precisamos revisar a aplicação o tempo todo. Ou seja, eu preciso aplicar e ainda revisar se ela está sendo bem aplicada. E isso passa, em ambientes mais complexos — claro, na verdade existem muitas “LGPDs”. O que eu quero dizer é que, dependendo da área de negócio, e não somente de negócio, mas da área de atuação, eu posso estar falando tanto de uma grande big tech como, ao mesmo tempo, de um hospital, de um órgão público, do metrô. Ou seja, há muitas especificidades e
(14:55) peculiaridades do tratamento de dados pessoais a depender do contexto e da área de negócios. Mas, quando falamos em negócios mais complexos, submetidos a múltiplas regulações, como o setor bancário, por exemplo, o papel das auditorias internas e até mesmo externas se faz também necessário. Ou seja, se você acha que basta um processo inicial e que depois nunca mais vai fazer nada, não é assim. Há a necessidade de revisar, ou seja, de fazer um compliance no sentido de sempre verificar o cumprimento
(15:37) do que já foi feito. Se já temos a cultura em muitas empresas dessa revisão, dessa avaliação de auditorias, pentests e tudo mais na área de segurança da informação, ou seja, buscar avaliações externas, como as normas algumas vezes indicam, isso também deve começar a ser pensado para a área de proteção de dados pessoais. Um outro elemento que acredito que deva passar por uma melhoria, por incrível que pareça, é a própria
(16:18) especialização na compreensão da LGPD nos tribunais. É uma lei complexa, precisamos reconhecer. Estamos falando de regulações muito específicas, então é natural que o judiciário tenha uma certa dificuldade, às vezes, de lidar com essas questões. Acho que isso ocorre um pouco com a LGPD. O exemplo que se pode dar aqui é que muitas decisões — e fazemos um acompanhamento aqui também
(16:55) das decisões que envolvem segurança da informação e LGPD, questões envolvendo incidentes de dados pessoais — consideram que não há dano com o vazamento de somente dados pessoais, ou seja, de dados não sensíveis, pelo fato de os dados não serem sensíveis. É claro que há uma discussão. Uma das grandes discussões da LGPD é como verificar a ocorrência de dano pelo mau tratamento de dados pessoais ou por incidentes. Mas o que a LGPD não faz é dizer que só
(17:34) haverá dano quando os dados forem sensíveis. Não, eu posso também ter danos quando os dados forem somente pessoais. Me parece que temos visto uma certa incorreção na fundamentação. Alguns tribunais estão lidando com o tema dos danos no vazamento ou em caso de incidentes, quando esses dados são somente pessoais e não sensíveis, usando como fundamento o fato de os dados não serem sensíveis, e a lei não prevê essa diferenciação. Inclusive, até li
(18:13) um artigo ontem sobre isso, que depois colocarei no show notes, que falava justamente sobre essa falha na compreensão da lei. Então, acho que há uma necessidade de haver essa modificação, essa melhor interpretação e compreensão. Outra questão é a conscientização pública na proteção de dados enquanto direito. É necessário sensibilizar as pessoas sobre essa realidade. Há muitas pessoas ainda que não entendem ou não enxergam, até porque não foram adequadamente informadas sobre os seus direitos enquanto titulares.
(18:52) As pessoas devem se enxergar enquanto titulares de dados pessoais e enquanto titulares de direitos subjetivos, do ponto de vista que elas podem exigir das empresas, ou de quem trata os seus dados, todos os direitos que a lei entrega. E isso envolve, pessoal, até uma questão de educação. Nós sempre citamos o caso da cartilha feita pela Mauricio de Sousa Produções sobre proteção de dados, que é um material direcionado para crianças e pré-adolescentes.
(19:29) Isso está aí. Formar cidadãos envolve também conscientizá-los e informá-los acerca dos seus direitos básicos, dos seus direitos fundamentais. Acabei de dizer antes sobre a proteção de dados enquanto direito fundamental. Como ela é um valor caro para a sociedade, as pessoas devem ser ensinadas e conscientizadas acerca dos seus direitos. Acho que isso deve mudar. Uma das coisas que precisa mudar também é a compreensão das empresas.
(20:03) Comentei antes, mas acho que ainda precisa melhorar no seguinte sentido, e vou ser bem franco quanto a isso: as empresas precisam se adequar. Eu sei que é uma obviedade, a lei já tem seis anos, mas tem gente que está esperando demais. Isso pode ser muito prejudicial. Em que sentido? Dependendo do contexto em que você tomar essa decisão, pode ser tarde demais. A proteção de dados já é um requisito regulatório. As empresas, e muitas delas, estão subestimando essas adequações. E aí o
(20:39) problema é que isso, e sendo franco também — claro, você deve estar pensando: “ah, mas ele presta consultoria nessa área” —, mas eu vou dar apenas um argumento que desmonta um eventual viés aqui. É o seguinte: é mais caro fazer isso depois do incidente. Quanto mais tempo passar, mais caro pode ficar para você. Porque, a partir do momento em que você precisa fazer tudo premido por um incidente ou por um processo, pode ser mais caro, pode ser mais difícil, você pode perder mais. Então, eu uso apenas o elemento econômico para convencer
(21:17) as empresas disso. Não me parece que seja seguro apostar nessa circunstância de não realizar a adequação, até porque as empresas que não se adequarem não ficam somente à mercê de procedimentos realizados pela ANPD. Elas vão ficar à mercê de procedimentos realizados tanto pelo Ministério Público e pelos Procons, mas também pelos próprios clientes, pela via judicial. É frequente empresas conversarem conosco e dizerem que começou aquela pressão
(22:00) regulatória dos seus parceiros de negócio também. De repente, um belo dia, o seu parceiro de negócio te surpreende — o que não deveria ser uma surpresa — com a solicitação de demonstrações ou de evidências do cumprimento, e você não consegue fazer isso. Então, a depender do contexto, você pode perder muito mais se não se adequar ou se apostar em “pagar para ver”. Não é recomendado. O reforço da autoridade, a gente já comentou, é uma necessidade. E aí é uma questão
(22:31) governamental, uma situação institucional. O governo, ou os governos, devem se movimentar nesse sentido. Até porque, no fim das contas, um país com uma autoridade de proteção de dados forte é um país mais seguro para a realização de negócios. É um país que tem a sua credibilidade acerca dos negócios realizados aqui elevada. Ganha credibilidade. Então, é bastante importante também para a imagem do país, mas também para que se construa um cenário de realização de negócios de maneira mais segura. Ou seja,
(23:12) não somente pelas necessidades impostas por outras legislações de proteção de dados, como o GDPR, mas também no sentido de ser atrativo. Ter uma autoridade forte implica dizer que o ambiente de negócios brasileiro é um ambiente atrativo também nesse aspecto da proteção de dados. Tem uma questão também que ela é um pouco mais lateral, talvez, mas eu acho que a gente precisa também, e aí é uma questão governamental, que é o apoio para pequenas e médias empresas. E eu me refiro especificamente à questão da facilitação do pagamento. Seja
(23:54) pela via de créditos tributários, programas de financiamento de bancos públicos, mas o crédito tributário pode ser algo interessante. Ou seja, você abater dos seus impostos os gastos com a adequação à LGPD. Claro, tem as suas dificuldades para fazer isso, o governo vai ter que abrir mão de receitas e tudo mais. Mas talvez programas de financiamento possam ser necessários, porque isso é um custo. E, algumas vezes, a empresa deixa de se adequar por uma questão de custos também. Então, me parece importante seguir
(24:31) nesse sentido. A gente precisa ainda ampliar esse enforcement, que é a aplicação da lei por meio do Estado. Então, acho que todo o Estado — Judiciário, Procons, a ANPD, o próprio Ministério Público — deve ampliar esse enforcement da lei, porque atrasos ou inércias de todas as autoridades públicas presentes dentro do sistema de proteção de dados podem ter efeitos nefastos, muito ruins para o ambiente como um todo. Me parece que esse é um aspecto que nós temos que mudar ainda. Embora nós tenhamos movimentações de
(25:15) todos os órgãos envolvidos, acho que ainda há espaço para avançar nesse sentido. E, por fim — claro, dá para falar sobre várias coisas aqui que podem melhorar no ambiente de proteção de dados, já estou falando há 25 minutos —, mas como último elemento, eu diria que é o papel da proteção setorial. Eu comentei antes, “existem muitas LGPDs”. O que quero dizer é que nós temos peculiaridades específicas para cada
(25:54) área de negócio, para cada área de atuação. Como disse antes, posso estar falando de uma big tech, mas também de dentistas, médicos, advogados, profissionais liberais. Nesse sentido, acho que está faltando um pouco que as entidades de classe, as associações, os grupos de empresários comecem a se mexer também. É preciso que esses órgãos esclareçam a aplicação nos setores em que estão envolvidos, por meio de guias orientativos também. Claro que a ANPD tem essa atribuição, mas quando a gente
(26:31) pega, por exemplo, a CNT, é um exemplo muito relevante. Fizeram um guia, inclusive com a participação do nosso querido e saudoso amigo Danilo Doneda, sobre a aplicação da LGPD para o setor de transportes. Então, há essa necessidade de que as entidades que congregam grupos de profissionais também possam esclarecer aos profissionais. Seria muito legal se o Conselho de Medicina, Conselho de Odontologia, de Psicologia, de Arquitetura, e por aí vai,
(27:07) também apoiassem o cumprimento, esclarecendo melhor a aplicação da LGPD. Bom, a segunda notícia, essa foi longa. A terceira acho que vai ser também. Essa aqui vai ser um pouco mais rapidinha. A gente sempre traz aqui no blog da BrownPipe notícias da aplicação envolvendo proteção de dados fora do Brasil, sobretudo na Europa, que é um modelo que se assemelha ao nosso. E essa aqui foi muito interessante. O título é: “Órgão público dinamarquês deve fornecer logs de segurança de sistema”.
(27:46) Vou ler um pedacinho aqui: a autoridade de proteção de dados dinamarquesa recebeu uma reclamação de um titular de dados indicando que o Ministério do Interior e Saúde havia se recusado a dar-lhe acesso ao log de segurança do sistema de Registro Civil. O log continha informações sobre a data e hora das consultas, bem como o ID associado à pessoa natural que realizou a busca. O ministério envolvido alegou que essas informações estariam relacionadas à proteção da segurança nacional e investigação de infrações penais, e negou o acesso a esses dados ao titular.
(28:24) A DPA, ou autoridade de proteção dinamarquesa, lembrou que há alguns casos que já trataram sobre essas questões, mas basicamente a decisão foi no sentido de que as informações relativas às operações de consulta realizadas sobre os dados pessoais de um titular, e relativas às datas e finalidades dessas operações, constituem informações que essa pessoa tem o direito de obter nos termos do artigo 15 do GDPR. Pois bem, o que isso implica? Bom, isso aqui está relacionado ao próprio direito que a pessoa, o titular, tem de
(29:00) ter acesso aos seus dados pessoais. E essa é uma questão que pode, sim, envolver nuances. Você pode ter limites. A empresa pode ter certas circunstâncias em que determinadas informações não podem ser fornecidas, sobretudo por questões relacionadas a segredos industriais e comerciais. Mas é inegável que há esse direito, aquela ideia do princípio da transparência, e também o direito de acesso que a pessoa tem de ter acesso aos próprios dados. Claro que aqui
(29:34) foi uma questão um pouco mais complexa: o acesso a logs de consultas realizadas aos seus dados pessoais. E veja que ela pode ter esse interesse também para verificar se não estão havendo situações de violação dos seus dados ou até de consultas imotivadas. Essa poderia ser, inclusive, uma justificativa, embora ela não precise dar uma, para esse acesso. Mas uma coisa que eu noto, e temos notado aqui no Brasil — dia desses até tratamos uma questão dessa aqui que ocorreu com um
(30:11) cliente —, são essas situações em que, quando você pede para algumas empresas aqui no Brasil informações acerca dos logs de suas próprias operações, ou seja, das operações do titular, há uma tendência muito grande, eu diria uma resistência generalizada das empresas em fornecer essas informações. Elas se negam a fornecer os logs das próprias operações do titular. E isso pode ser importante, sobretudo em situações em que o titular tem uma suspeita ou sofreu
(30:48) alguma invasão. No caso que eu comentava, uma pessoa teve um sistema que ela utilizava invadido, e foram feitas operações naquele sistema que causavam alguns reflexos jurídicos importantes para ela. Ela queria obter mais informações sobre quem realizou aquele acesso. Veja, na sua conta. Ou seja, invadiram a conta e ele está buscando logs e registros de operações realizadas na sua própria conta. E o que aconteceu nesse caso, e acontece em outros também, é essa resistência em fornecer essas informações, a dificuldade
(31:24) das empresas em verem que as informações dos logs são dados pessoais. E aí o titular tem todos os direitos relacionados aos seus dados pessoais. O que acaba acontecendo, nesse caso que aconteceu, é que a empresa diz: “Olha, não vou dar. Você precisa de uma ação judicial para obter os próprios dados”. O que seria o direito de acesso aos logs das suas próprias operações ou das operações realizadas nas suas contas. O caminho ideal é que as empresas disponibilizem meios automatizados para que a
(31:56) própria pessoa tenha acesso a esses dados. Para dar um exemplo muito simples e comum, você consegue ver lá no Gmail as sessões que estão conectadas na sua conta, inclusive com os endereços IPs. E era isso que esse titular queria. Ele queria saber como a autenticação havia sido feita, porque era um sistema que permitia diversas autenticações diferentes, e isso também passava pela investigação que ele estava fazendo no incidente. Mas você conseguia ver o IP. “Ah, mas o criminoso pode usar uma VPN”. De fato, o
(32:25) criminoso pode usar uma VPN, mas também pode não ter usado. Enfim, esse é um problema para a investigação. Então, me parece que não faz muito sentido, como demonstrou a autoridade dinamarquesa — e é um caso que se aplicaria muito bem ao Brasil também —, bloquear esses acessos. Fica aqui, mais uma vez, a dica desse tipo de notícia que vocês vão encontrar lá no blog da BrownPipe, porque o que acaba acontecendo é que muitas dessas decisões europeias, por
(32:58) haver essa paridade ou semelhança das legislações (LGPD com GDPR), são aplicáveis. Elas podem servir como inspiração também para outras interpretações que nós fazemos da LGPD aqui no Brasil. Bom, o terceiro и último tema de hoje. E aí eu tô rindo porque ele é um tema mais delicado, que toca em questões políticas muito delicadas aqui no Brasil. Mas nós decidimos trazer esse tema aqui também porque é uma questão que eventualmente nós falamos. Quem nos escuta aqui sabe que, além da segurança da informação
(33:43) e da proteção de dados, nós gostamos de falar também sobre esses aspectos daquilo que se costuma chamar de “tecnologia e sociedade”, dos impactos da tecnologia nas relações sociais. Embora não sejamos sociólogos, nós gostamos de tratar sobre isso e achamos que são temas importantes, sobretudo quando envolvem grandes players, as grandes big techs. E quando essas plataformas passam a influenciar de maneira negativa, e parece que este
(34:21) é o caso, em assuntos internos e na própria organização social de um Estado. Então, a notícia é que o X, antigo Twitter, decide sair do Brasil. Esses movimentos vêm logo depois de conflitos entre o X e troca de acusações, ou melhor, acusações do próprio Musk contra o STF, numa linha de que haveria violações ao princípio da liberdade de expressão. E isso tem sido debatido por muitas pessoas, porque o Elon Musk tem uma
(35:04) visão muito mais americana, e mesmo dentro da visão americana, uma visão muito típica acerca do que é liberdade de expressão. Porque, pelo menos na visão europeia, na visão brasileira e na visão de grande parte dos países da América Latina, tem-se o entendimento de que a liberdade de expressão não é um direito de exercício absoluto. É um direito que, evidentemente, vai passar por limitações, sobretudo quando se trata da produção de discursos que ofendem outros direitos ou que implicam no cometimento
(35:48) de crimes. Então, diante desse embate de Musk com o STF, nós vemos o anúncio, num sábado, dia 17 de agosto, do encerramento das operações. A imprensa traz a informação de que a empresa X estaria ignorando ordens judiciais e fugindo de intimações, segundo a informação dada por João Brant, que é Secretário Nacional de Políticas Digitais da Secretaria de Comunicação Social da Presidência da República. Essa notícia, que veio da CNN, traz uma questão que é uma preocupação legítima, me parece: até que ponto a saída do X não dificultaria o
(36:34) cumprimento de decisões? Imaginando que, ao que tudo indica, é verdade que a empresa estaria voluntariamente se negando a cumprir ordens judiciais brasileiras, a saída do país poderia ter como motivação justamente deixar de cumprir certas ordens, porque nós vimos, e o próprio Musk comentou diversas vezes, que ele se opunha aos pedidos de controle de discursos dentro de sua rede social. Alguns poderiam dizer: “Ah, mas isso é uma violação à liberdade de expressão, é censura”. Mas, na verdade, nós temos isso proveniente de decisões
(37:15) judiciais. Ou seja, são questões tomadas em âmbito judicial. Claro, outras pessoas poderiam colocar em discussão o próprio sistema judicial brasileiro ou como os inquéritos do STF estão sendo conduzidos, se não estão demorando demais. Todas essas discussões são evidentemente possíveis и devem ser feitas. Agora, não parece que o caminho seja o descumprimento deliberado de ordens judiciais, se formos admitir um fluxo normal de
(37:53) resolução de problemas. Então, houve e há essa preocupação, uma tentativa de se blindar de ordens judiciais brasileiras. Só que temos que lembrar do nosso bom Marco Civil da Internet, lá no seu artigo 11, que obriga as empresas que prestam serviços aqui a cumprirem a lei brasileira. Então, pode dificultar o cumprimento das decisões, mas, ainda assim, isso pode ser quase como “cavar uma falta”, que Musk estaria tentando fazer, no sentido de, ao deixar de cumprir ordens,
(38:31) provocar aquelas tentativas que o nosso Judiciário já fez outras vezes de bloquear o acesso a sites via backbones ou via DNS. E a gente sabe como isso quebra um pouco aquela ideia da internet, ou seja, das possibilidades presentes na internet. Nem sempre esses bloqueios funcionam. Algumas pessoas conseguem acessar, outras vezes outros serviços são afetados. Então, isso pode causar outros problemas caso, de fato, o X passe a se negar a cumprir ordens judiciais, e
(39:13) a sua ausência no país motive juízes, não somente do STF, mas juízes do Brasil inteiro, a solicitar o bloqueio, como já aconteceu outras vezes com o WhatsApp e tudo mais. Eu acho que a discussão que se coloca aqui é: veja como as coisas são delicadas. Porque não me parece que esse seja um debate que não possa ser feito, qual seja: as redes sociais compõem um tipo de atividade que deve ser imune a eventuais controles judiciais do que acontece lá dentro? Na minha opinião,
(39:53) creio que é totalmente legítimo que discursos ilegais, discursos criminosos, possam ser controlados pelo Poder Judiciário. Para mim, isso é algo bastante óbvio, tanto que a Europa vai na mesma linha, assim como grande parte dos países do mundo. Então, essa compreensão da liberdade de expressão enquanto direito de exercício irrestrito não encontra eco no direito. E nós começamos a ver que essas coisas foram acontecendo não somente aqui no Brasil, mas em outros países do mundo. O comissário europeu para assuntos
(40:34) internos, por exemplo, trouxe a notícia, e eu estou com ela aqui, de que eles já haviam avisado o X para que cumpra as novas regras de moderação de conteúdo presentes na União Europeia, que envolvem o controle e a moderação de conteúdos ilegais e também a moderação de desinformação. Isso aqui é uma notícia da Euronews. Houve uma discussão porque esse comissário europeu faz esse alerta, ele conclama que haja o
(41:27) cumprimento da lei na Europa. Inclusive, no final de 2023, já havia sido iniciada uma investigação contra o X, basicamente pela grande taxa de postagens de desinformação que se notava na plataforma. Mas vejam que essas obrigações não são tiradas de uma cartola. Elas são obrigações tiradas da legislação, que é o DSA, o Digital Services Act, que basicamente impõe a obrigação de moderação de conteúdos ilegais, ou de informações ou discursos que sejam
(42:12) incompatíveis com os termos e condições das próprias redes sociais. E essas regras, prevê o DSA, que é uma legislação bastante avançada, devem ainda ser ampliadas em situações muito específicas ou de grande risco para a sociedade, como eventos políticos ou questões sociais importantes, como as próprias eleições. Mas o que chama a atenção nisso tudo é a forma como o X, mas principalmente Musk, responde a esses pedidos — vejam, pedidos baseados na lei. Nesse caso aqui, ele responde ao
(42:54) Breton, Thierry Breton, ele é francês. Ele responde com um meme que basicamente está aqui na tela. Não vou ler em português, mas diz: “Take a big step back and literally fuck your own face”. Essa foi a resposta dele a uma carta publicada aqui, que vocês estão vendo, pelo Thierry Breton. Então, para mim, é bastante atípica essa forma de resolver esse tipo de problema e de se dirigir a uma autoridade dessa forma. Veja que aqui a gente já saiu do Brasil, estamos falando do
(43:35) cumprimento de regras de uma legislação avançada europeia, que visa justamente regular a problemática atual envolvendo desinformação e o papel das redes sociais no mundo atual, suas possibilidades e como elas influenciam o mundo inteiro. Aumentando esse coro, também tivemos este eurodeputado, o Sandro Gozi, me parece que também é francês, que teceu críticas ao Musk, dizendo que se o X não se adequar,
(44:22) ele pode ser fechado na Europa. Notem, aqui estamos falando de um eurodeputado, sim, mas ainda assim é um deputado, e sabemos que deputados têm suas visões específicas. Mas não podemos acusar esse eurodeputado de uma questão… e é um eurodeputado que é do mesmo partido do Macron. Então, não é exatamente uma pessoa que eventualmente não se alinharia com certas aspirações políticas do Elon Musk. E ainda em abril, o
(44:57) primeiro-ministro australiano também já tinha se manifestado no sentido de que ele seria um “milionário que acha que está acima da lei”. E isso eu acho que é esta notícia aqui. O primeiro-ministro australiano disse isso. Peço perdão, eu me equivoquei nas minhas notas, não foi o italiano, foi o australiano que fez essa observação. Mas foi no sentido de realizar o controle de um vídeo que na época ficou bastante conhecido, de um bispo sendo esfaqueado.
(45:49) Buscava-se o controle de um tipo de conteúdo que violaria as próprias políticas do X. Então, acho que dá para tentar fazer aqui uma última avaliação: vemos que Elon Musk atua com explícita motivação política. Ele tem os seus interesses políticos, que ficaram e estão bem claros.
(46:34) Nesse sentido, não podemos condená-lo. Ele é bem claro, é uma pessoa honesta nesse sentido. Ele é claro no que defende, ou são claros os seus posicionamentos políticos. Então, acho que devemos entender Elon Musk como uma pessoa que, de fato, tem seus interesses, e é importante que saibamos quais são eles. A questão é que as grandes plataformas têm os seus
(47:10) interesses também. E o problema é o alcance que essas redes têm, o poder que elas têm. Um poder que vem… porque as redes sociais mudaram muito. Quando a gente pensa no Orkut, uma rede social muito utilizada aqui no Brasil que os mais antigos vão lembrar, era muito diferente. Não se compara com as redes sociais de hoje. E talvez a grande diferença seja o feed, o feed infinito. É uma questão também que envolve os comportamentos de
(47:47) vício, mas também o controle do feed. Acho que esse é o grande elemento. A partir do momento em que as redes sociais passaram a moderar — e elas já moderam —, se fôssemos falar em liberdade de expressão, poderíamos até criticar as atividades de moderação e de seleção de conteúdos do feed que as redes sociais fazem por algoritmos. Poderíamos criticar pelo fato de não sabermos exatamente quais são os critérios utilizados dentro desses
(48:20) algoritmos e que, sim, eventualmente é possível até notar que os interesses dos mantenedores e das próprias empresas podem estar sendo favorecidos pela via das manipulações do próprio algoritmo. E isso seria, em última análise, também um problema para a liberdade de expressão. Esse é o ponto que acho que podemos trazer. Nós temos que reconhecer que os mantenedores, as grandes plataformas, têm os seus interesses. Lobbies têm sido feitos ao longo do tempo para defender
(48:53) esses interesses, e coisas muito ruins foram feitas deliberadamente. Depois se descobriu, o próprio caso Cambridge Analytica foi uma das situações terríveis, uma manipulação de pessoas. Então, a gente sabe do potencial das redes sociais de interferirem em situações domésticas, em eleições. O próprio Elon Musk fez movimentos também nesse sentido, até fez uma entrevista dias desses com o candidato americano Donald Trump.
(49:34) A gente sabe que esses interesses de interferir existem. Devemos perceber ou, pelo menos, olhar com essa noção. Você pode discordar de mim, isso é totalmente legítimo, mas acho que temos que ter a noção de que há interesses por trás dessas movimentações. E me preocupa o que parecem ser tentativas deliberadas, não somente no Brasil, mas de realizar a desestabilização de instituições, porque isso acaba envolvendo até uma questão de soberania dos países. Nós, enquanto
(50:15) pessoas comuns, evidentemente temos todo o direito de criticar este ou aquele país por esta ou aquela prática. O perigoso, me parece, é quando uma pessoa que é dona de uma rede social passa a utilizar aquela rede para influenciar com seus próprios interesses, inclusive geopolíticos, em assuntos domésticos com o poder que se tem. E esse é o ponto: o poder da plataforma é muito grande. Não é à toa que ele compra a plataforma. Então, eu
(50:59) acho que essa questão da organização e dos algoritmos é um problema que o mundo inteiro precisa resolver. Ou seja, os próprios impactos políticos, sociais, comportamentais e até psicológicos que as redes sociais, os algoritmos e os interesses dos donos dos algoritmos podem influenciar. Repito: por que, no final das contas, esse assunto está no Segurança Legal? Mesmo que seja um assunto
(51:41) carregado de aspectos políticos, nos quais não tendemos a entrar, acho que a questão aqui são esses elementos dos próprios algoritmos. E podemos falar isso de qualquer rede social e de qualquer grande plataforma. Ou seja, qual a extensão ou a liberdade que essas empresas têm de fazerem o que bem entenderem com seus algoritmos? Se é que devem ter essa liberdade — eu acredito que não. E também como essa saída poderia implicar na dificuldade de cumprimento de ordens judiciais, e como isso poderia,
(52:19) ao fim e ao cabo, piorar a qualidade da rede, deixar a rede mais insegura de maneira geral. Não somente trazendo potenciais danos para o Estado como um todo, mas também para pessoas específicas. Me parece que a sociedade perde nesse caso, perdem eventuais pessoas que podem sofrer ou ter conteúdos criminosos sendo publicados ali, que prejudicam a sua vida. E, eventualmente, pode ser que o Judiciário — e nem me refiro ao STF aqui, posso estar me referindo a uma questão muito mais cotidiana de uma
(52:56) pessoa que teve fotos íntimas vazadas, coisas desse gênero — poderia encontrar uma certa dificuldade de realizar controles nesse sentido com a saída do X do Brasil. Enfim, eu não consigo imaginar, por maiores que sejam as críticas que se possam fazer ao sistema judiciário brasileiro — e essas críticas são gigantescas, são muitas —, não consigo acreditar que podemos discutir isso, embora não seja bem um tema aqui do Segurança Legal, mas o que me parece é que não consigo imaginar
(53:35) que um empreendimento como uma rede social possa ser imune às leis de um país. Ou seja, buscar deliberadamente tomar medidas para descumprir leis de um país. Seriam essas as questões que eu gostaria de tratar acerca do caso Musk e da saída do X aqui do Brasil. Bom, estamos chegando aqui aos 55 minutos. Nós temos aquela tradicional… estou até me sentindo meio estranho sem o Vinícius aqui, que é o nosso Café Expresso e o nosso Café Frio.
(54:18) Fazer sozinho fica um pouco sem graça, porque em geral a graça é a gente não combinar e, na hora, meio que discutir qual o Café Expresso e o Café Frio de cada um. Mas como só tivemos três notícias, acho que fica fácil. O meu Café Expresso vai para a LGPD. Não é bem uma pessoa, mas para as circunstâncias, para o aniversário da LGPD e para todas as pessoas envolvidas, seja encarregados, pessoas que trabalham na área, que atuam nesse meio. Então, acho que tem muito a melhorar ainda, mas acho
(54:56) que temos o que comemorar também. E o Café Frio, sem dúvida, vai para o X, ou talvez para o Elon Musk, me parece. Porque eu conheço pessoas maravilhosas que trabalham no X, pessoas de altíssimo gabarito, de altíssima seriedade, ética e tudo mais. Então, acho importante dizer isso também. O X, ou o Twitter, é muito mais do que Elon Musk. Você tem milhares de pessoas trabalhando, com seus interesses, suas vidas, suas famílias, que eventualmente não estão muito conectadas com essas
(55:29) questões mais difíceis de lidar. Mas enfim, fica o Café Frio então para o Musk. E é isso, pessoal. Vou deixar um abraço para todos vocês, mas também para o Vinícius, desejando a pronta recuperação dele. Na próxima semana ele já deve estar conosco. Desejo também que vocês tenham gostado deste episódio e nos encontraremos no próximo episódio do Segurança Legal. Até a próxima.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio, Guilherme Goulart comenta os 6 anos da LGPD, o que mudou e o que ainda precisa melhorar. Você irá descobrir os desafios da lei, um caso europeu sobre acesso a logs e a polêmica saída do X do Brasil.
Guilherme Goulart aprofunda a discussão sobre o aniversário da LGPD, um marco na proteção de dados no Brasil. Ele analisa a evolução da conscientização e a atuação da ANPD, destacando a importância da segurança da informação e da gestão de incidentes de segurança. O episódio explora o papel da governança de dados e da conformidade para as empresas, ressaltando a privacidade como um direito fundamental dos titulares de dados. Abordando desde a necessidade de mais transparência até o risco de sanções, Goulart debate os desafios do direito digital frente às Big Techs, citando o Marco Civil da Internet. Assine nosso podcast, siga-nos nas redes e deixe sua avaliação para apoiar o Segurança Legal.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria
ShowNotes
análise da decisão proferida no AREsp n. 2.130.619/SP por Lucia Maria Teixeira Ferreira e Matheus Garcia
Foto do episódio
📝 Transcrição do Episódio
(00:00) Bem-vindos e bem-vindas ao Café Segurança Legal, Episódio 372, gravado em 23 de agosto de 2024. Eu sou o Guilherme Goulart e vou trazer para vocês algumas das notícias das últimas semanas, dessa vez sozinho, num café solo ou num mini café, já que o Vinícius teve uma pequena indisposição de saúde. Ele está bem, mas não estava pronto para fazer a gravação de hoje. Na semana passada, infelizmente, eu tive uma questão familiar que também me impediu de participar. Então, para não deixarmos duas semanas sem
(00:39) episódios, farei aqui um mini café com as minhas três notícias que eu já iria trazer, infelizmente sem a participação do Vinícius e, principalmente, sem a discussão, porque um dos temas que vou trazer era um tema sobre o qual provavelmente ficaríamos debatendo por bastante tempo, usando um tempo maior para discutir um pouco mais. Mas vamos assim mesmo, vamos seguir a rotina do podcast. Sempre lembrando que para nós este é um momento importante para você entrar
(01:13) em contato conosco e enviar críticas e sugestões. Para isso, é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, também pelo @segurancalegal no Twitter (ou X) e no Mastodon, no @[email protected]. Já pensou em apoiar o projeto Segurança Legal? Você pode fazer isso pelo site no apoia.
(01:38) se/segurancalegal, escolhendo uma das modalidades de apoio. Como recompensa, você terá o direito de participar do nosso grupo exclusivo de apoiadores no Telegram. Nós sempre comentamos que tivemos, recentemente, um problema com o PicPay, que deixou de nos prestar o serviço de apoio para projetos. Então, se você assinava pelo PicPay, pedimos que considere voltar, assinando pelo Apoia.se. Se você não apoia, embora haja muitas razões para isso, também exortamos que você considere colaborar
(02:11) com um projeto independente de produção de conteúdo que é o Segurança Legal. São 12 anos no ar, hoje fechando 372 episódios. Então, tem conteúdo para caramba para você escutar, se informar, estudar e ficar informado, no caso do Café, com as notícias. Vamos lá. Lembrando também que algumas das notícias que traremos aqui, sobretudo a primeira, que já antecipo que envolve a ANPD, está lá no blog da BrownPipe, que você consegue
(02:47) ver. Esse blog é atualizado semanalmente, então você vai ter ali as últimas notícias e as questões mais importantes. Algumas dessas notícias também vão para o nosso mailing da BrownPipe, então você pode também, aqui pelo blog, fazer a assinatura do mailing para receber no seu e-mail algumas dessas notícias mais importantes. Bom, então vamos à primeira notícia. Vocês já conseguiram ver aqui: a ANPD celebra os 6 anos da LGPD. Enfim, essa notícia é baseada em algumas questões publicadas pela ANPD, mas também acho que
(03:26) todos nós, enquanto sociedade, celebramos os seis anos dessa lei tão importante, essa lei que está no nosso dia a dia. A própria BrownPipe tem no seu DNA a proteção de dados e a segurança da informação, mas também a proteção de dados. Então, além de representar um dos temas, uma das áreas que nós trabalhamos na consultoria, nós, enquanto cidadãos aqui no Segurança Legal e enquanto titulares de dados pessoais, também nos sentimos felizes, enquanto pessoas físicas, de ter uma lei que nos protege.
(04:04) E também enquanto empresa e cidadãos, porque entendemos que houve uma evolução bastante grande com a aprovação da LGPD aqui no Brasil, por várias razões. Se formos pensar, o fato de não termos até então uma cultura de proteção de dados e até mesmo uma cultura mais forte de segurança da informação, a LGPD vem para trazer essa mudança de cultura. Esse é um dos elementos. Eu acho que já conseguimos ver, já conseguimos apontar nesses seis anos, que é um tempo considerável, algumas coisas que melhoraram e também
(04:46) trazer algumas indicações do que ainda precisa mudar. Acho que o primeiro ponto que mudou, que conseguimos verificar e perceber, é que sim, há uma consciência. Houve uma conscientização das empresas, embora ainda haja muitas que não se adequaram. Algumas começaram a adequação e estão em processo, outras sequer se deram o trabalho de iniciar esse projeto. Então, conseguimos identificar que o mercado reconhece, grandes players do mercado já reconhecem e atuam
(05:25) respeitando a lei, mas ainda notamos, sim, um desconhecimento. Quando eventualmente nós conversamos com técnicos da área, tanto de TI quanto de segurança da informação, ou quando conversamos sobre projetos e coisas do gênero, notamos um certo desconhecimento. Embora seja notável que houve uma evolução, obviamente, com uma lei publicada, ao mesmo tempo ainda há um desconhecimento relevante de muitas questões de proteção de dados em relação às pessoas mais técnicas.
(06:04) Uma outra questão que vale a pena mencionar é a atuação da própria ANPD. Logo depois da sanção da lei, tivemos a criação da ANPD. Hoje, a autoridade está estabelecida, é conhecida, recebe comunicações de incidentes, realiza procedimentos, criou e já publicou diversos documentos, seja os guias orientativos, suas resoluções, os estudos. Dá para destacar aqui o estudo do sandbox regulatório, o estudo sobre IA e sobre biometria. Mas também notamos, e essa é uma fala do próprio diretor-presidente recentemente,
(06:49) que a autoridade precisa de mais recursos. Essa é uma questão governamental, que envolve o papel do governo em promover um estado de coisas mais propício para que a ANPD, a nossa autoridade, consiga funcionar. Ele comentou, e eu trago aqui parte da sua fala: “Na área de fiscalização, a ANPD se destacou pela análise de mais de 500 incidentes de segurança, 3.
(07:25) 000 requerimentos de titulares de dados e a condução de oito processos sancionadores, resultando em 18 sanções, incluindo duas multas. A autarquia também analisou casos de grande relevância, como os microdados do Enem, do Censo Escolar, a alteração da política de privacidade do WhatsApp e o projeto Estádio Seguro, emitindo notas técnicas sobre esses temas”. Mais recentemente, noticiamos aqui no Segurança Legal, tivemos uma ampliação da transparência da ANPD. Hoje é possível fazer consultas públicas lá no SEI, que é o sistema eletrônico de informações da própria ANPD.
(08:01) Então, você consegue ter acesso. E numa resposta da ANPD diante das últimas relações que teve com o Ministério Público, no sentido de que precisava de mais transparência, a autoridade, enquanto ente, está respondendo positivamente. Mas destacando, na palavra da própria presidência, que há necessidade de se investir mais na autoridade, não somente recursos financeiros, mas também recursos humanos. É necessário aumentar o número de pessoas atuando lá, sobretudo se comparado com
(08:38) outros países, onde você tem muito mais pessoas, e também se for comparar com outras autoridades e instituições públicas aqui no Brasil, veremos que a ANPD tem, sim, espaço para crescer. Bom, nessa comemoração de 6 anos, eu busquei também trazer algumas propostas do que precisa mudar na minha opinião. O que ainda é necessário mudar? Acho que o primeiro ponto diz respeito ao reconhecimento de que a proteção de
(09:16) dados é considerada um valor importante na sociedade. A proteção de dados é um valor importante tanto para as pessoas quanto para as organizações e empresas. E não é à toa que ela foi considerada na nossa Constituição como um direito fundamental. Isso não é pouco. Considerá-la como direito fundamental é o reconhecimento, pela via do direito, da importância da proteção de dados para a construção, inclusive, de uma sociedade justa. Se notarmos, cada vez mais nós temos
(09:51) as pessoas com seus dados sendo tratados nas mais variadas atividades. Seja por meio de novas tecnologias, por meio das tecnologias da informação, e as nossas relações sociais, das mais variadas possíveis, passam a ser intermediadas por essas tecnologias com o tratamento de dados pessoais. E se formos considerar também o poder dessas grandes empresas, das big techs, é algo absolutamente necessário. Eu acho que o reconhecimento da proteção de dados enquanto valor ético, um valor que deve
(10:30) ser caro para a sociedade, deve inspirar as empresas. Acho que esse é o primeiro ponto. É como pensar em regras sanitárias. Hoje, ninguém discute a necessidade de regras sanitárias para instituições que vendem alimentos, por exemplo. Me parece que ainda há a necessidade de se aumentar essa conscientização do valor e da importância da proteção de dados enquanto pressuposto ético para o mundo dos negócios. Acho que essa é uma mudança bem importante, porque notamos empresas que deliberadamente decidem deixar para lá ou ainda pagar
(11:09) para ver, ou esperar o momento de fazer a adequação. O momento já passou, a lei está fazendo seis anos, mas o momento é agora. É melhor que você faça o processo de adequação enquanto as coisas estão tranquilas do que pensar em fazer esse processo depois que houve um incidente, depois que o negócio foi comprometido ou até mesmo depois que se demonstre. Os incidentes têm essa capacidade também de demonstrar situações de desconformidade, seja de segurança da informação, mas também de proteção de dados. Falando em segurança, outra questão é justamente esta: a
(11:48) LGPD trouxe para o Brasil uma consolidação da segurança da informação enquanto dever de proteção, que já era reconhecido. Nós já poderíamos retirar esse dever de segurança da informação lá do princípio da boa-fé objetiva, pela via do Código de Defesa do Consumidor, mas também pelo grande princípio da boa-fé objetiva. O que a ANPD e a LGPD fizeram foi realmente instrumentalizar esse novo dever de segurança da informação. Ou seja, o dever de segurança da informação hoje é muito mais delimitado e esclarecido para que as empresas
(12:31) possam cumprir. Há regras já muito bem estabelecidas e definidas pela própria ANPD. Um dos guias, que é o guia para agentes de pequeno porte, tem lá questões relacionadas à segurança da informação. Nesse sentido, por incrível que pareça, ainda precisa mudar. A área de segurança da informação precisa levar a gestão de incidentes a sério. Ela já deveria fazer isso mesmo sem a LGPD. Mesmo empresas que não tratam dados pessoais devem levar a gestão de incidentes a
(13:05) sério. O que eu quero dizer é que, a partir de agora ou a partir da LGPD, nós temos essa necessidade de que segurança da informação e proteção de dados andem juntos. E uma dessas subáreas dentro da segurança da informação, sem dúvidas, é a gestão de incidentes. Isso faz também, que é um outro elemento de mudança e melhora que acredito que deva ocorrer, notar que estamos vivendo um novo cenário para a área de compliance. Ou seja, nós precisamos
(13:43) não somente aplicar normas — esse é um tema de conformidade de maneira geral —, mas também revisar as situações de aplicação. Por isso, o processo de implementação e de cumprimento da LGPD é um processo complexo e delicado. Não é algo que se termina, ou seja: “faço a adequação e nunca mais preciso fazer nada”. Não, é um processo contínuo, assim como o processo de segurança e o processo de qualidade. Não basta cumprir a lei, não basta aplicar
(14:20) a lei no caso concreto, mas ainda precisamos revisar a aplicação o tempo todo. Ou seja, eu preciso aplicar e ainda revisar se ela está sendo bem aplicada. E isso passa, em ambientes mais complexos — claro, na verdade existem muitas “LGPDs”. O que eu quero dizer é que, dependendo da área de negócio, e não somente de negócio, mas da área de atuação, eu posso estar falando tanto de uma grande big tech como, ao mesmo tempo, de um hospital, de um órgão público, do metrô. Ou seja, há muitas especificidades e
(14:55) peculiaridades do tratamento de dados pessoais a depender do contexto e da área de negócios. Mas, quando falamos em negócios mais complexos, submetidos a múltiplas regulações, como o setor bancário, por exemplo, o papel das auditorias internas e até mesmo externas se faz também necessário. Ou seja, se você acha que basta um processo inicial e que depois nunca mais vai fazer nada, não é assim. Há a necessidade de revisar, ou seja, de fazer um compliance no sentido de sempre verificar o cumprimento
(15:37) do que já foi feito. Se já temos a cultura em muitas empresas dessa revisão, dessa avaliação de auditorias, pentests e tudo mais na área de segurança da informação, ou seja, buscar avaliações externas, como as normas algumas vezes indicam, isso também deve começar a ser pensado para a área de proteção de dados pessoais. Um outro elemento que acredito que deva passar por uma melhoria, por incrível que pareça, é a própria
(16:18) especialização na compreensão da LGPD nos tribunais. É uma lei complexa, precisamos reconhecer. Estamos falando de regulações muito específicas, então é natural que o judiciário tenha uma certa dificuldade, às vezes, de lidar com essas questões. Acho que isso ocorre um pouco com a LGPD. O exemplo que se pode dar aqui é que muitas decisões — e fazemos um acompanhamento aqui também
(16:55) das decisões que envolvem segurança da informação e LGPD, questões envolvendo incidentes de dados pessoais — consideram que não há dano com o vazamento de somente dados pessoais, ou seja, de dados não sensíveis, pelo fato de os dados não serem sensíveis. É claro que há uma discussão. Uma das grandes discussões da LGPD é como verificar a ocorrência de dano pelo mau tratamento de dados pessoais ou por incidentes. Mas o que a LGPD não faz é dizer que só
(17:34) haverá dano quando os dados forem sensíveis. Não, eu posso também ter danos quando os dados forem somente pessoais. Me parece que temos visto uma certa incorreção na fundamentação. Alguns tribunais estão lidando com o tema dos danos no vazamento ou em caso de incidentes, quando esses dados são somente pessoais e não sensíveis, usando como fundamento o fato de os dados não serem sensíveis, e a lei não prevê essa diferenciação. Inclusive, até li
(18:13) um artigo ontem sobre isso, que depois colocarei no show notes, que falava justamente sobre essa falha na compreensão da lei. Então, acho que há uma necessidade de haver essa modificação, essa melhor interpretação e compreensão. Outra questão é a conscientização pública na proteção de dados enquanto direito. É necessário sensibilizar as pessoas sobre essa realidade. Há muitas pessoas ainda que não entendem ou não enxergam, até porque não foram adequadamente informadas sobre os seus direitos enquanto titulares.
(18:52) As pessoas devem se enxergar enquanto titulares de dados pessoais e enquanto titulares de direitos subjetivos, do ponto de vista que elas podem exigir das empresas, ou de quem trata os seus dados, todos os direitos que a lei entrega. E isso envolve, pessoal, até uma questão de educação. Nós sempre citamos o caso da cartilha feita pela Mauricio de Sousa Produções sobre proteção de dados, que é um material direcionado para crianças e pré-adolescentes.
(19:29) Isso está aí. Formar cidadãos envolve também conscientizá-los e informá-los acerca dos seus direitos básicos, dos seus direitos fundamentais. Acabei de dizer antes sobre a proteção de dados enquanto direito fundamental. Como ela é um valor caro para a sociedade, as pessoas devem ser ensinadas e conscientizadas acerca dos seus direitos. Acho que isso deve mudar. Uma das coisas que precisa mudar também é a compreensão das empresas.
(20:03) Comentei antes, mas acho que ainda precisa melhorar no seguinte sentido, e vou ser bem franco quanto a isso: as empresas precisam se adequar. Eu sei que é uma obviedade, a lei já tem seis anos, mas tem gente que está esperando demais. Isso pode ser muito prejudicial. Em que sentido? Dependendo do contexto em que você tomar essa decisão, pode ser tarde demais. A proteção de dados já é um requisito regulatório. As empresas, e muitas delas, estão subestimando essas adequações. E aí o
(20:39) problema é que isso, e sendo franco também — claro, você deve estar pensando: “ah, mas ele presta consultoria nessa área” —, mas eu vou dar apenas um argumento que desmonta um eventual viés aqui. É o seguinte: é mais caro fazer isso depois do incidente. Quanto mais tempo passar, mais caro pode ficar para você. Porque, a partir do momento em que você precisa fazer tudo premido por um incidente ou por um processo, pode ser mais caro, pode ser mais difícil, você pode perder mais. Então, eu uso apenas o elemento econômico para convencer
(21:17) as empresas disso. Não me parece que seja seguro apostar nessa circunstância de não realizar a adequação, até porque as empresas que não se adequarem não ficam somente à mercê de procedimentos realizados pela ANPD. Elas vão ficar à mercê de procedimentos realizados tanto pelo Ministério Público e pelos Procons, mas também pelos próprios clientes, pela via judicial. É frequente empresas conversarem conosco e dizerem que começou aquela pressão
(22:00) regulatória dos seus parceiros de negócio também. De repente, um belo dia, o seu parceiro de negócio te surpreende — o que não deveria ser uma surpresa — com a solicitação de demonstrações ou de evidências do cumprimento, e você não consegue fazer isso. Então, a depender do contexto, você pode perder muito mais se não se adequar ou se apostar em “pagar para ver”. Não é recomendado. O reforço da autoridade, a gente já comentou, é uma necessidade. E aí é uma questão
(22:31) governamental, uma situação institucional. O governo, ou os governos, devem se movimentar nesse sentido. Até porque, no fim das contas, um país com uma autoridade de proteção de dados forte é um país mais seguro para a realização de negócios. É um país que tem a sua credibilidade acerca dos negócios realizados aqui elevada. Ganha credibilidade. Então, é bastante importante também para a imagem do país, mas também para que se construa um cenário de realização de negócios de maneira mais segura. Ou seja,
(23:12) não somente pelas necessidades impostas por outras legislações de proteção de dados, como o GDPR, mas também no sentido de ser atrativo. Ter uma autoridade forte implica dizer que o ambiente de negócios brasileiro é um ambiente atrativo também nesse aspecto da proteção de dados. Tem uma questão também que ela é um pouco mais lateral, talvez, mas eu acho que a gente precisa também, e aí é uma questão governamental, que é o apoio para pequenas e médias empresas. E eu me refiro especificamente à questão da facilitação do pagamento. Seja
(23:54) pela via de créditos tributários, programas de financiamento de bancos públicos, mas o crédito tributário pode ser algo interessante. Ou seja, você abater dos seus impostos os gastos com a adequação à LGPD. Claro, tem as suas dificuldades para fazer isso, o governo vai ter que abrir mão de receitas e tudo mais. Mas talvez programas de financiamento possam ser necessários, porque isso é um custo. E, algumas vezes, a empresa deixa de se adequar por uma questão de custos também. Então, me parece importante seguir
(24:31) nesse sentido. A gente precisa ainda ampliar esse enforcement, que é a aplicação da lei por meio do Estado. Então, acho que todo o Estado — Judiciário, Procons, a ANPD, o próprio Ministério Público — deve ampliar esse enforcement da lei, porque atrasos ou inércias de todas as autoridades públicas presentes dentro do sistema de proteção de dados podem ter efeitos nefastos, muito ruins para o ambiente como um todo. Me parece que esse é um aspecto que nós temos que mudar ainda. Embora nós tenhamos movimentações de
(25:15) todos os órgãos envolvidos, acho que ainda há espaço para avançar nesse sentido. E, por fim — claro, dá para falar sobre várias coisas aqui que podem melhorar no ambiente de proteção de dados, já estou falando há 25 minutos —, mas como último elemento, eu diria que é o papel da proteção setorial. Eu comentei antes, “existem muitas LGPDs”. O que quero dizer é que nós temos peculiaridades específicas para cada
(25:54) área de negócio, para cada área de atuação. Como disse antes, posso estar falando de uma big tech, mas também de dentistas, médicos, advogados, profissionais liberais. Nesse sentido, acho que está faltando um pouco que as entidades de classe, as associações, os grupos de empresários comecem a se mexer também. É preciso que esses órgãos esclareçam a aplicação nos setores em que estão envolvidos, por meio de guias orientativos também. Claro que a ANPD tem essa atribuição, mas quando a gente
(26:31) pega, por exemplo, a CNT, é um exemplo muito relevante. Fizeram um guia, inclusive com a participação do nosso querido e saudoso amigo Danilo Doneda, sobre a aplicação da LGPD para o setor de transportes. Então, há essa necessidade de que as entidades que congregam grupos de profissionais também possam esclarecer aos profissionais. Seria muito legal se o Conselho de Medicina, Conselho de Odontologia, de Psicologia, de Arquitetura, e por aí vai,
(27:07) também apoiassem o cumprimento, esclarecendo melhor a aplicação da LGPD. Bom, a segunda notícia, essa foi longa. A terceira acho que vai ser também. Essa aqui vai ser um pouco mais rapidinha. A gente sempre traz aqui no blog da BrownPipe notícias da aplicação envolvendo proteção de dados fora do Brasil, sobretudo na Europa, que é um modelo que se assemelha ao nosso. E essa aqui foi muito interessante. O título é: “Órgão público dinamarquês deve fornecer logs de segurança de sistema”.
(27:46) Vou ler um pedacinho aqui: a autoridade de proteção de dados dinamarquesa recebeu uma reclamação de um titular de dados indicando que o Ministério do Interior e Saúde havia se recusado a dar-lhe acesso ao log de segurança do sistema de Registro Civil. O log continha informações sobre a data e hora das consultas, bem como o ID associado à pessoa natural que realizou a busca. O ministério envolvido alegou que essas informações estariam relacionadas à proteção da segurança nacional e investigação de infrações penais, e negou o acesso a esses dados ao titular.
(28:24) A DPA, ou autoridade de proteção dinamarquesa, lembrou que há alguns casos que já trataram sobre essas questões, mas basicamente a decisão foi no sentido de que as informações relativas às operações de consulta realizadas sobre os dados pessoais de um titular, e relativas às datas e finalidades dessas operações, constituem informações que essa pessoa tem o direito de obter nos termos do artigo 15 do GDPR. Pois bem, o que isso implica? Bom, isso aqui está relacionado ao próprio direito que a pessoa, o titular, tem de
(29:00) ter acesso aos seus dados pessoais. E essa é uma questão que pode, sim, envolver nuances. Você pode ter limites. A empresa pode ter certas circunstâncias em que determinadas informações não podem ser fornecidas, sobretudo por questões relacionadas a segredos industriais e comerciais. Mas é inegável que há esse direito, aquela ideia do princípio da transparência, e também o direito de acesso que a pessoa tem de ter acesso aos próprios dados. Claro que aqui
(29:34) foi uma questão um pouco mais complexa: o acesso a logs de consultas realizadas aos seus dados pessoais. E veja que ela pode ter esse interesse também para verificar se não estão havendo situações de violação dos seus dados ou até de consultas imotivadas. Essa poderia ser, inclusive, uma justificativa, embora ela não precise dar uma, para esse acesso. Mas uma coisa que eu noto, e temos notado aqui no Brasil — dia desses até tratamos uma questão dessa aqui que ocorreu com um
(30:11) cliente —, são essas situações em que, quando você pede para algumas empresas aqui no Brasil informações acerca dos logs de suas próprias operações, ou seja, das operações do titular, há uma tendência muito grande, eu diria uma resistência generalizada das empresas em fornecer essas informações. Elas se negam a fornecer os logs das próprias operações do titular. E isso pode ser importante, sobretudo em situações em que o titular tem uma suspeita ou sofreu
(30:48) alguma invasão. No caso que eu comentava, uma pessoa teve um sistema que ela utilizava invadido, e foram feitas operações naquele sistema que causavam alguns reflexos jurídicos importantes para ela. Ela queria obter mais informações sobre quem realizou aquele acesso. Veja, na sua conta. Ou seja, invadiram a conta e ele está buscando logs e registros de operações realizadas na sua própria conta. E o que aconteceu nesse caso, e acontece em outros também, é essa resistência em fornecer essas informações, a dificuldade
(31:24) das empresas em verem que as informações dos logs são dados pessoais. E aí o titular tem todos os direitos relacionados aos seus dados pessoais. O que acaba acontecendo, nesse caso que aconteceu, é que a empresa diz: “Olha, não vou dar. Você precisa de uma ação judicial para obter os próprios dados”. O que seria o direito de acesso aos logs das suas próprias operações ou das operações realizadas nas suas contas. O caminho ideal é que as empresas disponibilizem meios automatizados para que a
(31:56) própria pessoa tenha acesso a esses dados. Para dar um exemplo muito simples e comum, você consegue ver lá no Gmail as sessões que estão conectadas na sua conta, inclusive com os endereços IPs. E era isso que esse titular queria. Ele queria saber como a autenticação havia sido feita, porque era um sistema que permitia diversas autenticações diferentes, e isso também passava pela investigação que ele estava fazendo no incidente. Mas você conseguia ver o IP. “Ah, mas o criminoso pode usar uma VPN”. De fato, o
(32:25) criminoso pode usar uma VPN, mas também pode não ter usado. Enfim, esse é um problema para a investigação. Então, me parece que não faz muito sentido, como demonstrou a autoridade dinamarquesa — e é um caso que se aplicaria muito bem ao Brasil também —, bloquear esses acessos. Fica aqui, mais uma vez, a dica desse tipo de notícia que vocês vão encontrar lá no blog da BrownPipe, porque o que acaba acontecendo é que muitas dessas decisões europeias, por
(32:58) haver essa paridade ou semelhança das legislações (LGPD com GDPR), são aplicáveis. Elas podem servir como inspiração também para outras interpretações que nós fazemos da LGPD aqui no Brasil. Bom, o terceiro и último tema de hoje. E aí eu tô rindo porque ele é um tema mais delicado, que toca em questões políticas muito delicadas aqui no Brasil. Mas nós decidimos trazer esse tema aqui também porque é uma questão que eventualmente nós falamos. Quem nos escuta aqui sabe que, além da segurança da informação
(33:43) e da proteção de dados, nós gostamos de falar também sobre esses aspectos daquilo que se costuma chamar de “tecnologia e sociedade”, dos impactos da tecnologia nas relações sociais. Embora não sejamos sociólogos, nós gostamos de tratar sobre isso e achamos que são temas importantes, sobretudo quando envolvem grandes players, as grandes big techs. E quando essas plataformas passam a influenciar de maneira negativa, e parece que este
(34:21) é o caso, em assuntos internos e na própria organização social de um Estado. Então, a notícia é que o X, antigo Twitter, decide sair do Brasil. Esses movimentos vêm logo depois de conflitos entre o X e troca de acusações, ou melhor, acusações do próprio Musk contra o STF, numa linha de que haveria violações ao princípio da liberdade de expressão. E isso tem sido debatido por muitas pessoas, porque o Elon Musk tem uma
(35:04) visão muito mais americana, e mesmo dentro da visão americana, uma visão muito típica acerca do que é liberdade de expressão. Porque, pelo menos na visão europeia, na visão brasileira e na visão de grande parte dos países da América Latina, tem-se o entendimento de que a liberdade de expressão não é um direito de exercício absoluto. É um direito que, evidentemente, vai passar por limitações, sobretudo quando se trata da produção de discursos que ofendem outros direitos ou que implicam no cometimento
(35:48) de crimes. Então, diante desse embate de Musk com o STF, nós vemos o anúncio, num sábado, dia 17 de agosto, do encerramento das operações. A imprensa traz a informação de que a empresa X estaria ignorando ordens judiciais e fugindo de intimações, segundo a informação dada por João Brant, que é Secretário Nacional de Políticas Digitais da Secretaria de Comunicação Social da Presidência da República. Essa notícia, que veio da CNN, traz uma questão que é uma preocupação legítima, me parece: até que ponto a saída do X não dificultaria o
(36:34) cumprimento de decisões? Imaginando que, ao que tudo indica, é verdade que a empresa estaria voluntariamente se negando a cumprir ordens judiciais brasileiras, a saída do país poderia ter como motivação justamente deixar de cumprir certas ordens, porque nós vimos, e o próprio Musk comentou diversas vezes, que ele se opunha aos pedidos de controle de discursos dentro de sua rede social. Alguns poderiam dizer: “Ah, mas isso é uma violação à liberdade de expressão, é censura”. Mas, na verdade, nós temos isso proveniente de decisões
(37:15) judiciais. Ou seja, são questões tomadas em âmbito judicial. Claro, outras pessoas poderiam colocar em discussão o próprio sistema judicial brasileiro ou como os inquéritos do STF estão sendo conduzidos, se não estão demorando demais. Todas essas discussões são evidentemente possíveis и devem ser feitas. Agora, não parece que o caminho seja o descumprimento deliberado de ordens judiciais, se formos admitir um fluxo normal de
(37:53) resolução de problemas. Então, houve e há essa preocupação, uma tentativa de se blindar de ordens judiciais brasileiras. Só que temos que lembrar do nosso bom Marco Civil da Internet, lá no seu artigo 11, que obriga as empresas que prestam serviços aqui a cumprirem a lei brasileira. Então, pode dificultar o cumprimento das decisões, mas, ainda assim, isso pode ser quase como “cavar uma falta”, que Musk estaria tentando fazer, no sentido de, ao deixar de cumprir ordens,
(38:31) provocar aquelas tentativas que o nosso Judiciário já fez outras vezes de bloquear o acesso a sites via backbones ou via DNS. E a gente sabe como isso quebra um pouco aquela ideia da internet, ou seja, das possibilidades presentes na internet. Nem sempre esses bloqueios funcionam. Algumas pessoas conseguem acessar, outras vezes outros serviços são afetados. Então, isso pode causar outros problemas caso, de fato, o X passe a se negar a cumprir ordens judiciais, e
(39:13) a sua ausência no país motive juízes, não somente do STF, mas juízes do Brasil inteiro, a solicitar o bloqueio, como já aconteceu outras vezes com o WhatsApp e tudo mais. Eu acho que a discussão que se coloca aqui é: veja como as coisas são delicadas. Porque não me parece que esse seja um debate que não possa ser feito, qual seja: as redes sociais compõem um tipo de atividade que deve ser imune a eventuais controles judiciais do que acontece lá dentro? Na minha opinião,
(39:53) creio que é totalmente legítimo que discursos ilegais, discursos criminosos, possam ser controlados pelo Poder Judiciário. Para mim, isso é algo bastante óbvio, tanto que a Europa vai na mesma linha, assim como grande parte dos países do mundo. Então, essa compreensão da liberdade de expressão enquanto direito de exercício irrestrito não encontra eco no direito. E nós começamos a ver que essas coisas foram acontecendo não somente aqui no Brasil, mas em outros países do mundo. O comissário europeu para assuntos
(40:34) internos, por exemplo, trouxe a notícia, e eu estou com ela aqui, de que eles já haviam avisado o X para que cumpra as novas regras de moderação de conteúdo presentes na União Europeia, que envolvem o controle e a moderação de conteúdos ilegais e também a moderação de desinformação. Isso aqui é uma notícia da Euronews. Houve uma discussão porque esse comissário europeu faz esse alerta, ele conclama que haja o
(41:27) cumprimento da lei na Europa. Inclusive, no final de 2023, já havia sido iniciada uma investigação contra o X, basicamente pela grande taxa de postagens de desinformação que se notava na plataforma. Mas vejam que essas obrigações não são tiradas de uma cartola. Elas são obrigações tiradas da legislação, que é o DSA, o Digital Services Act, que basicamente impõe a obrigação de moderação de conteúdos ilegais, ou de informações ou discursos que sejam
(42:12) incompatíveis com os termos e condições das próprias redes sociais. E essas regras, prevê o DSA, que é uma legislação bastante avançada, devem ainda ser ampliadas em situações muito específicas ou de grande risco para a sociedade, como eventos políticos ou questões sociais importantes, como as próprias eleições. Mas o que chama a atenção nisso tudo é a forma como o X, mas principalmente Musk, responde a esses pedidos — vejam, pedidos baseados na lei. Nesse caso aqui, ele responde ao
(42:54) Breton, Thierry Breton, ele é francês. Ele responde com um meme que basicamente está aqui na tela. Não vou ler em português, mas diz: “Take a big step back and literally fuck your own face”. Essa foi a resposta dele a uma carta publicada aqui, que vocês estão vendo, pelo Thierry Breton. Então, para mim, é bastante atípica essa forma de resolver esse tipo de problema e de se dirigir a uma autoridade dessa forma. Veja que aqui a gente já saiu do Brasil, estamos falando do
(43:35) cumprimento de regras de uma legislação avançada europeia, que visa justamente regular a problemática atual envolvendo desinformação e o papel das redes sociais no mundo atual, suas possibilidades e como elas influenciam o mundo inteiro. Aumentando esse coro, também tivemos este eurodeputado, o Sandro Gozi, me parece que também é francês, que teceu críticas ao Musk, dizendo que se o X não se adequar,
(44:22) ele pode ser fechado na Europa. Notem, aqui estamos falando de um eurodeputado, sim, mas ainda assim é um deputado, e sabemos que deputados têm suas visões específicas. Mas não podemos acusar esse eurodeputado de uma questão… e é um eurodeputado que é do mesmo partido do Macron. Então, não é exatamente uma pessoa que eventualmente não se alinharia com certas aspirações políticas do Elon Musk. E ainda em abril, o
(44:57) primeiro-ministro australiano também já tinha se manifestado no sentido de que ele seria um “milionário que acha que está acima da lei”. E isso eu acho que é esta notícia aqui. O primeiro-ministro australiano disse isso. Peço perdão, eu me equivoquei nas minhas notas, não foi o italiano, foi o australiano que fez essa observação. Mas foi no sentido de realizar o controle de um vídeo que na época ficou bastante conhecido, de um bispo sendo esfaqueado.
(45:49) Buscava-se o controle de um tipo de conteúdo que violaria as próprias políticas do X. Então, acho que dá para tentar fazer aqui uma última avaliação: vemos que Elon Musk atua com explícita motivação política. Ele tem os seus interesses políticos, que ficaram e estão bem claros.
(46:34) Nesse sentido, não podemos condená-lo. Ele é bem claro, é uma pessoa honesta nesse sentido. Ele é claro no que defende, ou são claros os seus posicionamentos políticos. Então, acho que devemos entender Elon Musk como uma pessoa que, de fato, tem seus interesses, e é importante que saibamos quais são eles. A questão é que as grandes plataformas têm os seus
(47:10) interesses também. E o problema é o alcance que essas redes têm, o poder que elas têm. Um poder que vem… porque as redes sociais mudaram muito. Quando a gente pensa no Orkut, uma rede social muito utilizada aqui no Brasil que os mais antigos vão lembrar, era muito diferente. Não se compara com as redes sociais de hoje. E talvez a grande diferença seja o feed, o feed infinito. É uma questão também que envolve os comportamentos de
(47:47) vício, mas também o controle do feed. Acho que esse é o grande elemento. A partir do momento em que as redes sociais passaram a moderar — e elas já moderam —, se fôssemos falar em liberdade de expressão, poderíamos até criticar as atividades de moderação e de seleção de conteúdos do feed que as redes sociais fazem por algoritmos. Poderíamos criticar pelo fato de não sabermos exatamente quais são os critérios utilizados dentro desses
(48:20) algoritmos e que, sim, eventualmente é possível até notar que os interesses dos mantenedores e das próprias empresas podem estar sendo favorecidos pela via das manipulações do próprio algoritmo. E isso seria, em última análise, também um problema para a liberdade de expressão. Esse é o ponto que acho que podemos trazer. Nós temos que reconhecer que os mantenedores, as grandes plataformas, têm os seus interesses. Lobbies têm sido feitos ao longo do tempo para defender
(48:53) esses interesses, e coisas muito ruins foram feitas deliberadamente. Depois se descobriu, o próprio caso Cambridge Analytica foi uma das situações terríveis, uma manipulação de pessoas. Então, a gente sabe do potencial das redes sociais de interferirem em situações domésticas, em eleições. O próprio Elon Musk fez movimentos também nesse sentido, até fez uma entrevista dias desses com o candidato americano Donald Trump.
(49:34) A gente sabe que esses interesses de interferir existem. Devemos perceber ou, pelo menos, olhar com essa noção. Você pode discordar de mim, isso é totalmente legítimo, mas acho que temos que ter a noção de que há interesses por trás dessas movimentações. E me preocupa o que parecem ser tentativas deliberadas, não somente no Brasil, mas de realizar a desestabilização de instituições, porque isso acaba envolvendo até uma questão de soberania dos países. Nós, enquanto
(50:15) pessoas comuns, evidentemente temos todo o direito de criticar este ou aquele país por esta ou aquela prática. O perigoso, me parece, é quando uma pessoa que é dona de uma rede social passa a utilizar aquela rede para influenciar com seus próprios interesses, inclusive geopolíticos, em assuntos domésticos com o poder que se tem. E esse é o ponto: o poder da plataforma é muito grande. Não é à toa que ele compra a plataforma. Então, eu
(50:59) acho que essa questão da organização e dos algoritmos é um problema que o mundo inteiro precisa resolver. Ou seja, os próprios impactos políticos, sociais, comportamentais e até psicológicos que as redes sociais, os algoritmos e os interesses dos donos dos algoritmos podem influenciar. Repito: por que, no final das contas, esse assunto está no Segurança Legal? Mesmo que seja um assunto
(51:41) carregado de aspectos políticos, nos quais não tendemos a entrar, acho que a questão aqui são esses elementos dos próprios algoritmos. E podemos falar isso de qualquer rede social e de qualquer grande plataforma. Ou seja, qual a extensão ou a liberdade que essas empresas têm de fazerem o que bem entenderem com seus algoritmos? Se é que devem ter essa liberdade — eu acredito que não. E também como essa saída poderia implicar na dificuldade de cumprimento de ordens judiciais, e como isso poderia,
(52:19) ao fim e ao cabo, piorar a qualidade da rede, deixar a rede mais insegura de maneira geral. Não somente trazendo potenciais danos para o Estado como um todo, mas também para pessoas específicas. Me parece que a sociedade perde nesse caso, perdem eventuais pessoas que podem sofrer ou ter conteúdos criminosos sendo publicados ali, que prejudicam a sua vida. E, eventualmente, pode ser que o Judiciário — e nem me refiro ao STF aqui, posso estar me referindo a uma questão muito mais cotidiana de uma
(52:56) pessoa que teve fotos íntimas vazadas, coisas desse gênero — poderia encontrar uma certa dificuldade de realizar controles nesse sentido com a saída do X do Brasil. Enfim, eu não consigo imaginar, por maiores que sejam as críticas que se possam fazer ao sistema judiciário brasileiro — e essas críticas são gigantescas, são muitas —, não consigo acreditar que podemos discutir isso, embora não seja bem um tema aqui do Segurança Legal, mas o que me parece é que não consigo imaginar
(53:35) que um empreendimento como uma rede social possa ser imune às leis de um país. Ou seja, buscar deliberadamente tomar medidas para descumprir leis de um país. Seriam essas as questões que eu gostaria de tratar acerca do caso Musk e da saída do X aqui do Brasil. Bom, estamos chegando aqui aos 55 minutos. Nós temos aquela tradicional… estou até me sentindo meio estranho sem o Vinícius aqui, que é o nosso Café Expresso e o nosso Café Frio.
(54:18) Fazer sozinho fica um pouco sem graça, porque em geral a graça é a gente não combinar e, na hora, meio que discutir qual o Café Expresso e o Café Frio de cada um. Mas como só tivemos três notícias, acho que fica fácil. O meu Café Expresso vai para a LGPD. Não é bem uma pessoa, mas para as circunstâncias, para o aniversário da LGPD e para todas as pessoas envolvidas, seja encarregados, pessoas que trabalham na área, que atuam nesse meio. Então, acho que tem muito a melhorar ainda, mas acho
(54:56) que temos o que comemorar também. E o Café Frio, sem dúvida, vai para o X, ou talvez para o Elon Musk, me parece. Porque eu conheço pessoas maravilhosas que trabalham no X, pessoas de altíssimo gabarito, de altíssima seriedade, ética e tudo mais. Então, acho importante dizer isso também. O X, ou o Twitter, é muito mais do que Elon Musk. Você tem milhares de pessoas trabalhando, com seus interesses, suas vidas, suas famílias, que eventualmente não estão muito conectadas com essas
(55:29) questões mais difíceis de lidar. Mas enfim, fica o Café Frio então para o Musk. E é isso, pessoal. Vou deixar um abraço para todos vocês, mas também para o Vinícius, desejando a pronta recuperação dele. Na próxima semana ele já deve estar conosco. Desejo também que vocês tenham gostado deste episódio e nos encontraremos no próximo episódio do Segurança Legal. Até a próxima.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
121 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
1 Listeners