Sou uma empresa que não possuo contato com o consumidor final, por que me adequar à LGPD?

Há uma impressão geral entre as organizações de que somente empresas que lidam diretamente com o consumidor final devem se preocupar com a Lei Geral de Proteção de Dados. Já ouvimos de muitas empresas: meu negócio é B2B, preciso me adequar? 

A Lei não faz qualquer distinção entre os tipos de negócios e a origem dos dados pessoais. Por certo, toda empresa trata ao menos dados de seus empregados e/ou prestadores de serviço. 

Recentemente, foram publicadas algumas decisões da justiça do trabalho que demonstraram que o tratamento adequado de dados pessoais nas relações de trabalho é essencial. Houve uma condenação de uma empresa ao pagamento de danos morais porque esta utilizava o telefone pessoal da empregada como telefone oficial da loja. Em um outro caso, a justiça confirmou uma justa causa porque o empregado havia compartilhado dados pessoais com o seu email pessoal.

 

Sou uma empresa que não possuo contato com o consumidor final por que me adequar à LGPD

 

Sendo assim, é de suma importância que os princípios reguladores, previstos no artigo 6º da LGPD, tais como, finalidade, necessidade, segurança sejam atendidos no tratamento de dados pessoais, independente da relação que a empresa possua com o titular do dado. 

É importante também que a empresa treine seus funcionários para que eles entendam a importância da lei e que sigam procedimentos que garantam o seu cumprimento. 

Concluindo, não importa o ramo em que a empresa atua no mercado, a lei se aplica a qualquer agente que faça tratamento de dados pessoais. 

Advogada autora do comentário: Laila dos Reis Araújo

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

LGPD vai favorecer Inteligências Artificiais preconceituosas

A redação final da Lei Geral de Proteção de Dados e da lei que cria a Autoridade Nacional de Proteção de Dados retirou das pessoas uma das mais importantes ferramentas para a tutela individual contra a violação de garantias constitucionais de igualdade perante os diversos tipos de algoritmos com vieses discriminatórios, de tal sorte favorecendo cenários exponencialmente agravados pelos desdobramentos, avanços e ocultação sistemática (proposital ou por desenho) dos vieses discriminatórios nas ferramentas de inteligência artificial com aprendizado de máquina em redes neurais ou aprendizado profundo nas estruturas de tomada de decisão de segregação/segmentação de pessoas.

A inteligência artificial e seus potenciais usos já não habitam mais as páginas de Arthur C. Clarke e o imaginário juvenil, seus avanços e presença têm ganhado destaque por seus feitos e despertado preocupações por suas ações e perigos.

Uma destas preocupações, que inclusive foi um dos fatores que inicialmente promoveram este estudo, é a discussão presente em torno da tutela da propriedade intelectual aplicada à Inteligência Artificial (AI). A Organização Mundial de Propriedade Intelectual (WIPO) ainda está engatinhando no sentido de identificar os campos de atuação e as possibilidades de proteção por propriedade intelectual decorrentes do uso de AI. Ocorre que esta preocupação ainda está no campo da cogitação científica e sequer tornou-se relevante o suficiente para mover as delicadas engrenagens do equilíbrio do comércio internacional para que as disputas políticas por modelos regulatórios montem sua arena.

Não obstante a imaturidade das aplicações com uso de AI decorrentes de recente incremento na capacidade computacional em nuvem e a grande disponibilidade de dados, as mazelas, fragilidades e vulneração dos direitos civis é tema recorrente de estudo vez que a ciência de base das redes neurais[1] , desdobramentos do pecerptor de Rosenblatt[2], esteve livremente disponível à comunidade há dezenas de anos, apresentando inclusive,  no conceito de redes neurais, valores modulantes de peso.

Mantendo o complexo tão simples quanto possível, em uma rede neural os neurônios artificiais são treinados (com um grande conjunto de pares de dados base) para reconhecer e categorizar uma determinada informação dada. O treinamento com pares de dados permite à rede neural identificar por tentativa e erro os pesos de cada informação imputada para a determinação da categoria. Esta determinação do “peso” ou relevância de uma característica da informação inicial para a determinação do resultado verdadeiro é um valor obtido (mas não dado) a partir do conjunto de dados base, e fortemente influenciado pela abrangência e qualidade deles. Bancos de dados contaminados com vieses preconceituosos estruturais, conhecidos ou não, podem ter este tipo de preconceito aumentado se reconhecido pela rede neural como um fator com peso maior.

A discriminação latu sensu pode ser entendida como o atributo entre duas classes que provoca uma mudança de comportamento com relação à estas classes – ou seja o fator discriminatório – que eventualmente pode estar ancorado em gênero, origem, classe social, alinhamento político, crença religiosa, raízes culturais, entre outros tantos fatores que não podem servir de base para uma mudança de tratamento perante os direitos humanos e constitucionais brasileiros.

Nas redes neurais profundas, esse problema pode ser incrivelmente mais desafiador, considerando que nelas podem ser utilizadas centenas de camadas ocultas cada uma com milhões de neurônios artificiais. Estas redes neurais profundas são especialmente eficientes em problemas complexos como reconhecimento de fala e imagens, mas são uma verdadeira caixa-preta no quesito de identificar fatores discriminatórios e os pesos, é tecnicamente impossível enxergar a utilização de fatores discriminatórios de gênero e etnia olhando apenas para a rede neural profunda.

Como a injusta discriminação em redes neurais profundas tem sido enfrentada por pesquisadores e times de desenvolvimento em todo o mundo, alguns fatores contraintuitivos foram identificados.

Por exemplo, mecanismos de tomada de decisão de entrega de publicidade online operaram com viés de gênero para mulheres, mesmo quando a ferramenta era programada para não fazer diferença por sexo; e, até mesmo quando a ferramenta não possuía a informação de gênero ela fazia esta discriminação[3].   

A questão de reforço discriminatório da AI também tem sido estudada do ponto de vista dos dados utilizados no treinamento tendo sido identificado que conjuntos maiores de dados não conduzem a melhores resultados e muitas vezes aprofundam os vieses discriminatórios.

Exemplos que beiram o absurdo são cotidianamente levantados por especialistas e na imprensa aberta, como por exemplo no caso abaixo em que um escore de risco de reincidência criminal divulgado pela ProPublica[4] – que chocaria até Cesare Lombroso – não explicita porque a mulher negra possui um alto índice enquanto um assaltante armado e reincidente tem baixo risco.

inteligencias artificiaisOs algoritmos de reconhecimento de face, por exemplo, parecem ter uma dificuldade muito maior com faces de mulheres negras, como trazido por Joy Buolamwini em um artigo na revista Time[5] no qual algoritmos de dois gigantes mundiais são incapazes de reconhecer as duas mulheres negras mais importantes dos EUA:

inteligencias artificiaisinteligenciais artificiaisEste pode parecer ser um problema restrito às sociedades ocidentais desenvolvidas, porém mesmo o Brasil também deverá sofrer nos próximos anos dos efeitos das decisões injustamente tomadas por AIs. Fruto principalmente das atuais políticas públicas de uso e proteção de bancos de dados, dispositivos legais que atendem um forte interesse de uma parcela do mercado fragilizaram ainda mais a posição do cidadão brasileiro com relação às suas informações de utilidade financeira e creditícia, a Lei do Cadastro Positivo e A Lei Geral de Proteção de Dados.

A Lei Complementar 166/2019, altera as regras do Cadastro Positivo com o discurso de “permitir que cada brasileiro tenha uma nota de crédito (escore), definida de acordo com o pagamento de suas contas, como empréstimos bancários, cartão de crédito e de serviços públicos de fornecimento de água, luz e telefone. Terá escore mais alto o bom pagador, que arca com seus compromissos em dia. Essa reputação será considerada pelas instituições financeiras na hora de conceder crédito ao consumidor.[6]”  

Mesmo que se pudesse ver com bons olhos a criação de um banco de dados com as informações creditícias de todos os cidadãos brasileiros, a submissão à um algoritmo de escore já implica que todas as pessoas físicas ao tomar crédito estarão sujeitas aos vieses de preconceito reforçado de que já tratamos.

A diferença no caso nacional é a de que o cidadão atingido por estes injustos fatores discriminatórios não terá condições fundamentais de autodefesa, nesse caso a revisão humana. 

Os exemplos trazidos à ágora por pesquisadores e especialistas, em sua maioria, poderiam ser sensivelmente reduzidos caso sofressem revisão humana por pessoa qualificada.   

O problema é que a Lei 13.853 de 2019 ao alterar a redação do art. 20 da Lei 13.709 de 2018 (Lei Geral de Proteção de Dados), excluiu a necessidade de pessoa natural na revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais incluindo os de crédito.

Na prática, o cidadão ao requerer a revisão de seu escore de crédito será automaticamente submetido ao mesmo algoritmo sujeito a falhas, recebendo o mesmo resultado e criando o impedimento de que se levantem casos onde o crédito é negado ao cidadão porque seu patronímico é comum entre os vulgares, ou reside em área sujeita à favelização ou simplesmente por sua origem étnica. A resposta sempre será:

Dave, this conversation can serve no purpose anymore. Goodbye.

[1] Rosenblatt, F. (1962) Principles of Neurodynamics Perceptrons and the Theory of Brain Mechanisms. Spartan Books, Washington DC.

[2] Marvin Minsky and Seymour Papert,  Perceptrons. An Introduction to Computational Geometry. M.I.T. Press, Cambridge, Mass., 1969.

[3] Amit Datta, Michael Carl Tschantz, and Anupam Datta, Automated Experiments on Ad Privacy Settings, Proceedings on Privacy Enhancing Technologies 2015; 2015 (1):92–112.

[4] https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing?source=post_page

[5] https://time.com/5520558/artificial-intelli https://time.com/5520558/artificial-intelligence-racial-gender-bias/ gence-racial-gender-bias/ 

[6] https://www.bcb.gov.br/detalhenoticia/336/noticia

 

Advogado Autor do Comentário: Luiz Henrique Rodrigues de Souza

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

 

Como o GDPR afeta o cotidiano dos brasileiros?

Na data de 25 de maio de 2018 a União Europeia promulgou o GDPR (General Data Protection Regulation) que criou um novo regime de proteção de dados e privacidade, especialmente depois de diversos escândalos mundiais de vazamento de dados, como o caso da Cambridge Analytica e denúncias de uso de fake news para influenciar na eleição americana.

Enfim, tudo isso parece muito distante da realidade dos brasileiros e descolado do nosso ambiente de preocupações, no entanto, isso não é verdade por uma série de fatores e motivos.

O primeiro motivo é bem simples, se você utiliza algum serviço online deve ter recebido em um curto espaço de tempo uma enxurrada de e-mails de alteração de termos de uso e política de privacidade, ou seja, a forma como você interage com esses serviços mudou bastante, mesmo que não tenha percebido. Porém, isso tudo isso parece distante, quais são os efeitos para você como prestador de serviço e como profissional?

O GDPR impacta diretamente as relações de serviço e comerciais entre empresas, por meio de um mecanismo bastante inteligente. O Direito, de modo geral, é restrito ao território, ou seja, uma lei de um país só pode ser aplicada em seu território, se você está fora dessa área não poderá ser penalizado, o que chamamos de “princípio da territorialidade”.

No entanto, o problema aqui é que bastaria às empresas sair do território da União Europeia para fugir da aplicação da lei, o que esvaziaria seu propósito. Diante desse cenário o GDPR foi construído para ser aplicado na cadeia como um todo, da seguinte forma, imagine que uma empresa europeia contrate uma empresa brasileira e essa empresa brasileira viole o GDPR, caso isso acontece a autoridade europeia não irá multar e penalizar a empresa brasileira (por estrar fora de seu território), mas irá penalizar a empresa europeia pela violação promovida por empresa que contratou, pois como contratante possui a obrigação de garantir que toda a cadeia que possuí acesso aos dados cumpra com o GDPR.

 Ao proceder dessa forma a União Europeia garante que o GDPR será cumprido, mesmo fora de seu território, ou seja, de certa forma o GDPR se tornou uma legislação “mundial”, pois todo aquele que possui acesso a dados de cidadãos, empresas e/ou governos europeus está sujeito a ele, por exemplo, subsidiárias de multinacionais europeias, prestadores de serviços diversos (agências de marketing, etc…) estão todos os sujeitos à essa legislação. Por outro lado, é utilizado o poder econômico das empresas europeias para que esta “incentivem” seus prestadores de serviços e fornecedores a se adequarem à GDPR.

Em síntese, mesmo que aparentemente invisível o GDPR impacta diretamente a vida da maioria dos brasileiros, isso sem contar com um “detalhe”, que poucos meses depois da aprovação do GDPR foi criada legislação brasileira bastante similar (a LGPD) ao regramento europeu.

Os próximos anos serão de acomodação e fiscalização crescente no setor, de certa forma só agora o público e as legislações perceberam a relevância de temas como proteção de dados, segurança da informação e privacidade.

Dito tudo isso, a legislação brasileira (LGPD) entrará em vigor em fevereiro de 2020, e a maioria das empresas ainda não está ciente desse fato e pouco preparada para se adequar, expondo-se assim a riscos e multas financeiras rigorosos em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.

Advogado Autor do Comentário: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

LGPD e a segurança da informação

LGPD e a segurança da informação

O tema de segurança da informação é algo que sempre foi bastante restrito à esfera técnica, sendo um universo dominado pelos profissionais de TI e a infinidade de termos como hackerscrackersscript kidswhite e black hat, etc… Enfim, é possível ter a impressão de a segurança da informação é um assunto obscuro e só relevante para os profissionais diretamente envolvidos no assunto. Nesse sentido seria uma espécie de “guerra secreta” entre profissionais de segurança e hackers (e todas suas variantes) na qual os “civis” teriam pouco ou nenhum interferência e/ou interesse no assunto.

No entanto a situação não é essa, muito pelo contrário, com o aumento exponencial de utilização de dados, inteligência de mercado (e todas as tendências e usos de big data) a quantidade de dados aumento bastante, bem como a sua difusão. Os dados deixaram de ser restritos à grandes empresas (e seus servidores e mainframes) para se tornar algo relativamente comum e “espalhada por aí”. E, consequentemente, o mau uso de dados, vazamentos e toda sorte de uso indevido se tornou algo comum e divulgado na mídia.

Em síntese, de um assunto obscuro e “secreto” a segurança da informação passou a dominar a mídia, incluindo casos de grande repercussão (como a interferência em eleições nos EUA e no Brexit).

Diante desse cenário é compreensível a movimentação de grupos organizados para uma regulação e punição de condutas indevidas, e o Brasil seguiu essa tendência mundial ao criar o Marco Civil da Internet, que trazia várias previsões e diretrizes sobre o uso da internet.

Contudo, o principal ponto falho (e bastante criticado) do Marco Civil era a ausência de disposições específicas sobre a segurança da informação e proteção de privacidade, pois embora existisse um padrão de “boas práticas” do mercado inexistia qualquer obrigação legal específica de segurança da informação e, sem esse tipo de obrigação, não é possível se falar em proteção da privacidade. De fato, sem a segurança da informação não é possível que exista privacidade, se a informação está guardada indevidamente o que impediria qualquer um de violá-la e, posteriormente, utilizá-la como bem entendesse? Aliás, sem a obrigação de segurança seria até conveniente para as empresas que suas informações fossem “roubadas” por terceiros para que estes fizessem outros usos que a empresa não poderia realizar.

A LGDP (Lei Geral de Proteção de Dados Pessoais) foi criada exatamente com a intenção de proteger os dados individuais, com um foco grande em privacidade, contudo, um ponto normalmente ignorado é que a LGDP também disciplinou a questão de segurança da informação, tornando-a uma obrigação específica, proteger os dados que armazena (coleta) não é mais apenas um meio de proteger seus clientes, mas uma obrigação específica, que possui uma finalidade em si mesma.

LGPD e a segurança da informação

Por exemplo, o artigo 6 da LGDP, que estabelece os princípios básicos da utilização e tratamento de dados prevê a segurança de dados como um de seus pilares, da seguinte forma:

“ VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Além disso, não se trata apenas de um princípio, mas de uma obrigação (prevista no artigo 46) e, ainda mais, um dos elementos que será considerado pela Autoridade Nacional de Proteção de Dados em caso de sanção administrativa, que calculará eventual pena com base em diversos fatores, entre eles, a adoção de mecanismos de segurança de informação (artigo 52, inciso VIII):

“VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;”

Em síntese, o tema de segurança de dados se tornou um objeto regulado pela LGDP, tornando-se assim uma obrigação jurídica própria, em relação a qual são associadas multas e penalidades específicas em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.

Advogado Autor do Comentário: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

O que muda com a Lei de Proteção de Dados?

A aprovação da Lei de Proteção de Dados (Lei 13.709/2018) é um marco importante para a proteção da privacidade no Brasil, contudo, a complexidade da lei e de sua implementação levantam diversas dúvidas, tanto no público consumidor quanto em relação às empresas que precisam se adequar à nova legislação.

O principal ponto de mudança imposto pela nova lei é a necessidade de comunicar e informar quais os dados que serão coletados, como será o uso e sua análise (tratamento) e, por último, para qual finalidade os dados são coletados (fins comerciais, publicitários, etc…).

A dificuldade em realizar essa abertura é que certos segredos de negócio podem ser atingidos (divulgados) por meio da comunicação ao usuário, o que pode impactar negativamente diversas empresas. Por outro lado, do ponto de vista do usuário, existe a dúvida de como avaliar se os seus dados estão sendo realmente utilizados para as finalidades apresentadas e no limite da forma descrita inicialmente pela empresa.

A próxima etapa da implementação da legislação dependerá da adesão do mercado e da fiscalização desta pelo Estado e pelos usuários, o que é, aliás, outro ponto de conflito, especialmente considerando que a criação de autoridade fiscalizadora foi vetada quando da sanção da lei, o que cria uma série de dúvidas em relação a como a legislação de proteção de dados será implementada e, acima de tudo, fiscalizada.

Advogado Autor do Comentário: Luciano Del Monaco
Manchete: Saiba o que muda com a Lei Geral de Proteção de Dados Pessoais
Fonte: https://www1.folha.uol.com.br/mercado/2018/08/saiba-o-que-muda-com-a-lei-geral-de-protecao-de-dados-pessoais.shtml

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

Onda de alterações de Política de Privacidade após o escândalo do Facebook… E o que isso significa para o usuário?

1-pesquisador-que-criou-o-aplicativo-que-coletou-os-dados-dos-usuarios-do-facebook-diz-que-cambridge-analytica-assegurou-que-o-trabalho-nao-tinha-nada-de-ilegal

O escândalo que envolveu o Facebook, referente ao uso indevido de dados de usuários por diversas empresas (como a extinta Cambridge Analytica), motivou não só a convocação de seu CEO, Mark Zuckerberg, e as alterações legislativas europeias, mas como também uma onda de alterações de Política de Privacidade, diversas mídias sociais (como o Twitter) e lojas virtuais (Steam) introduziram diversas mudanças em suas políticas de privacidade.

Em síntese, é bastante provável que você já tenha recebido uma verdadeira avalanche de e-mails nesse sentido, e principal pergunta é saber o que efetivamente isso significa para o usuário. A começar pelo óbvio, o uso indevido de dados era prática “comum” e o escândalo do Facebook é só a ponta do iceberg, porém, o mais preocupante é o fato de que os “ajustes” foram realizado tão rapidamente, o que indica uma ciência das empresas entre o que deveriam fazer e o que estavam, efetivamente, fazendo com os dados dos usuários.

O principal resultado de todo esse caso, do ponto de vista do usuário, é que o uso de dados é ainda extremamente opaco e pouco transparente e que só se tornará mais transparente por meio de políticas públicas e ações governamentais que pressionem o setor privado à seguir nesse sentido.

Advogado Autor do Comentário: Luciano Del Monaco Fonte: https://g1.globo.com/economia/tecnologia/noticia/facebook-altera-politica-de-dados-para-exibir-o-que-coleta-de-celulares-e-abranger-instagram-e-messenger.ghtml Manchete: Facebook altera política de dados para exibir o que coleta de celulares e abranger Instagram e Messenger   “Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.” “If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”