Prévia do material em texto
DIREITO DIGITAL Pág. 1 de 59 Sumário PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS .......................................................................................................... 2 LEI GERAL DE PROTEÇÃO DE DADOS ......................................................................................................................... 19 A QUARTA REVOLUÇÃO INDUSTRIAL ........................................................................................................................ 51 Pág. 2 de 59 SUMÁRIO PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 1. Crimes virtuais PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 1. Crimes virtuais: a. Contexto do crime digital: Os benefícios da internet trouxeram novos riscos: • Acesso instantâneo a conteúdos e funcionalidades; • Realização de tarefas rotineiras; • Comércio eletrônico; • Exponencialização do uso na época da pandemia; • Migração do ambiente de trabalho para o remoto. Contudo, ditos benefícios trouxeram a estruturação de criminalidade especializada que ocorre pela rede mundial de computadores, em caráter transnacional. O caráter do crime é transnacional, pois os crimes podem ser realizados de vários países diferentes. b. Nomenclatura dos crimes digitais: • Crimes digitais: nomenclatura trazida pela doutrina. • Crimes virtuais: da Resolução CNJ nº 423/21 – incluiu o Direito Digital nos concursos da magistratura. • Crimes informáticos: é uma expressão utilizada por parte da doutrina. • Cibercrimes: • Crimes cibernéticos: expressão utilizada na Resolução CNJ nº 396/21 – institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário. c. Ambiente digital: é aquele constituído por meios informáticos. Com relação aos meios informáticos é importante mencionar que eles são constituídos por ativos de tecnologia da informação. Para a ABNT ativo é todo o elemento que tenha valor para uma pessoa ou organização. Já os ativos de tecnologia da informação são conceituados como é todo o elemento de valor relacionado ao sistema computacional: • Hardware; • Software; • Rede de comunicação; • Informação: as informações possuem os seguintes atributos: ✓ Confidencialidade; ✓ Integridade; ✓ Disponibilidade. d. Conceito de crimes digitais: Para o Profº Tarcísio Teixeira: “crime digital é aquele que se utiliza de meios informáticos (não apenas a internet) como instrumento de alcance do resultado pretendido, bem como aquele que é praticado contra os sistemas e meios informáticos.” Pág. 3 de 59 Já a Profª Carla Rodrigues de Araújo Castro conceitua crime de informática (crime digital): “aquele praticado contra o sistema de informática ou mediante uso deste”. Pela análise dos dois conceitos podemos extrair o seguinte: “crime digital é aquele praticado contra ativos de tecnologia da informação ou mediante uso deste”. e. Classificação de crimes digitais: Segundo Hervé Croze e Yves Bismuth, os crimes digitais são classificados da seguinte forma: i. Crime próprio: é aquele cuja conduta é dirigida contra o sistema de informática. Portanto: ✓ Os ativos de TI são o objeto do crime. ✓ Atos contra o computador. ✓ Atos contra os dados ou programas de computador. ✓ Atos contra a rede de comunicação de dados. ii. Crime impróprio: é aquele comum que utiliza o meio computacional como meio computacional como meio ou instrumento da prática de crime, embora possa ser praticado de outra forma. ✓ Os ativos de TI são o meio ou instrumento de crime. ✓ Crimes contra o patrimônio, contra a honra, os costumes, etc. Já para Marco Aurélio Rodrigues da Costa e Reginaldo Cesar Pinheiro, os crimes digitais são classificados como: iii. Crime puro: é aquele cuja conduta é direcionada ao aparato computacional: hardware, software, rede e informações. Nesse caso, o ativo de TI será o objeto do crime. iv. Crime misto: é aquele cujo uso dos ativos de TI é condição “sine qua non” da conduta, embora o bem jurídico visado seja diverso do informático. Aqui o ativo de TI é instrumento ou meio imprescindível da prática do crime. v. Crime comum: é aquele que utiliza os ativos de TI como meio de execução de crime já tipificado pela lei penal, não essencial à conduta. Nessa modalidade de crime o ativo de TI é instrumento ou meio opcional para a prática do delito. f. Crimes digitais no Código Penal: i. Crimes contra a vida: induzimento, instigação ou auxílio ao suicídio ou a automutilação. O crime em questão está disposto no art. 122 do CP: “Art. 122. Induzir ou instigar alguém a suicidar-se ou a praticar automutilação ou prestar-lhe auxílio material para que o faça: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos. § 1º Se da automutilação ou da tentativa de suicídio resulta lesão corporal de natureza grave ou gravíssima, nos termos dos §§ 1º e 2º do art. 129 deste Código: Pena - reclusão, de 1 (um) a 3 (três) anos. § 2º Se o suicídio se consuma ou se da automutilação resulta morte: Pena - reclusão, de 2 (dois) a 6 (seis) anos. § 3º A pena é duplicada: I - se o crime é praticado por motivo egoístico, torpe ou fútil; Pág. 4 de 59 II - se a vítima é menor ou tem diminuída, por qualquer causa, a capacidade de resistência. § 4º A pena é aumentada até o dobro se a conduta é realizada por meio da rede de computadores, de rede social ou transmitida em tempo real. § 5º Aumenta-se a pena em metade se o agente é líder ou coordenador de grupo ou de rede virtual. § 6º Se o crime de que trata o § 1º deste artigo resulta em lesão corporal de natureza gravíssima e é cometido contra menor de 14 (quatorze) anos ou contra quem, por enfermidade ou deficiência mental, não tem o necessário discernimento para a prática do ato, ou que, por qualquer outra causa, não pode oferecer resistência, responde o agente pelo crime descrito no § 2º do art. 129 deste Código. § 7º Se o crime de que trata o § 2º deste artigo é cometido contra menor de 14 (quatorze) anos ou contra quem não tem o necessário discernimento para a prática do ato, ou que, por qualquer outra causa, não pode oferecer resistência, responde o agente pelo crime de homicídio, nos termos do art. 121 deste Código.” Exemplo de crime de automutilação: crime da baleia azul. ii. Crimes contra a honra: são os crimes de calúnia, difamação, injúria serão majorados se forem cometidos ou divulgado na internet. É o que dispõe o art. 141, §2º do CP, haverá aumento de pena: “Art. 141 - As penas cominadas neste Capítulo aumentam-se de um terço, se qualquer dos crimes é cometido: § 2º Se o crime é cometido ou divulgado em quaisquer modalidades das redes sociais da rede mundial de computadores, aplica-se em triplo a pena.” Observação: para o STJ os crimes contra a honra praticados na internet serão crimes formais, ou seja, basta que o crime esteja disponível na internet. Nesse caso não há necessidade de que haja um resultado naturalístico. iii. Crimes contra a liberdade pessoal: aqui se enquadra o crime de stalking. Ele está previsto no art. 147-A do CP: “Art. 147-A. Perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade. Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa. § 1º A pena é aumentada de metade se o crime é cometido: I – contra criança, adolescente ou idoso; II – contra mulher por razões da condição de sexo feminino, nos termos do § 2º-A do art. 121 deste Código; III – mediante concurso de 2 (duas) ou mais pessoas ou com o emprego de arma. § 2º As penas deste artigo são aplicáveis sem prejuízo das correspondentes à violência. § 3º Somente se procede mediante representação.” Pág. 5 de 59 iv. Crimes contra o patrimônio: nessa modalidadede crimes temos: ✓ Furto: está previsto no § 4º-B do art. 155 do CP: “Art. 155. (...): § 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.” Observação: aqui as informações são qualificadas como coisa alheia móvel. ✓ Furto qualificado: está previsto no § 4º-C do art. 155 do CP: “Art. 155. (...): § 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância do resultado gravoso: I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de servidor mantido fora do território nacional; II – aumenta-se de 1/3 (um terço) ao dobro, se o crime é praticado contra idoso ou vulnerável.” ✓ Dano: esse crime está previsto no art. 163 do CP: “Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia: Pena - detenção, de um a seis meses, ou multa.” ✓ Dano qualificado: está previsto no parágrafo único do art. 163 do CP: “Art. 163. (...): Parágrafo único - Se o crime é cometido: I - com violência à pessoa ou grave ameaça; II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave III - contra o patrimônio da União, de Estado, do Distrito Federal, de Município ou de autarquia, fundação pública, empresa pública, sociedade de economia mista ou empresa concessionária de serviços públicos; IV - por motivo egoístico ou com prejuízo considerável para a vítima: Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência. Observação: um bit pode ser um bem tangível e, por essa razão, é considerado um bem material. Isso se dá, pois o bit representa o estado de magnetização de um anel memória, ou seja, ele é transistor. ✓ Estelionato: há a modalidade simples, aquela prevista no art. 171 do CP: Pág. 6 de 59 “Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento: Pena - reclusão, de um a cinco anos, e multa, de quinhentos mil réis a dez contos de réis.” ✓ Fraude eletrônica: é outra modalidade de estelionato e está prevista no parágrafo 2-A do art. 171 do CP: “Art. 171. (...): § 2º-A. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a fraude é cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo. § 2º-B. A pena prevista no § 2º-A deste artigo, considerada a relevância do resultado gravoso, aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de servidor mantido fora do território nacional.” Exemplos de crimes de estelionato: ➢ Fraude de antecipação de recursos (advanced fee fraud): nessa modalidade de estelionato o golpista procura induzir uma pessoa a fornecer informações confidenciais ou a realizar um pagamento adiantado, com a promessa de futuramente receber algum tipo de benefício. ➢ Golpe da noiva russa; ➢ Oferta de emprego, crédito fácil, doação de animais, loteria internacional; ➢ Nigerian 4-1-9 Scam (4-1-9 refere-se à Seção de estelionato no Código Penal Nigeriano). v. Crimes contra a dignidade sexual: ✓ Estupro: está previsto no art. 213 do CP: “Art. 213. Constranger alguém, mediante violência ou grave ameaça, a ter conjunção carnal ou a praticar ou permitir que com ele se pratique outro ato libidinoso: Pena - reclusão, de 6 (seis) a 10 (dez) anos.” Observação: é possível que ocorra o estupro virtual. Essa modalidade de crime se enquadra quando, fazendo uso de meio eletrônico, o agente pratica os verbos previstos no art. 213 do CP. ✓ Violência sexual mediante fraude: está previsto no art. 215 do CP: “Art. 215. Ter conjunção carnal ou praticar outro ato libidinoso com alguém, mediante fraude ou outro meio que impeça ou dificulte a livre manifestação de vontade da vítima:” Exemplo: golpista do Tinder. ✓ Importunação sexual: está previsto no art. 215-A do CP: “Art. 215-A. Praticar contra alguém e sem a sua anuência ato libidinoso com o objetivo de satisfazer a própria lascívia ou a de terceiro:” Pág. 7 de 59 ✓ Registro não autorizado da intimidade sexual: está previsto no art. 216-B do CP: “Art. 216-B. Produzir, fotografar, filmar ou registrar, por qualquer meio, conteúdo com cena de nudez ou ato sexual ou libidinoso de caráter íntimo e privado sem autorização dos participantes: Pena - detenção, de 6 (seis) meses a 1 (um) ano, e multa. Parágrafo único. Na mesma pena incorre quem realiza montagem em fotografia, vídeo, áudio ou qualquer outro registro com o fim de incluir pessoa em cena de nudez ou ato sexual ou libidinoso de caráter íntimo.” ✓ Divulgação de cena de estupro, cena de estupro de vulnerável ou cena de sexo ou pornografia: está previsto no art. 218-C do CP: “Art. 218-C. Oferecer, trocar, disponibilizar, transmitir, vender ou expor à venda, distribuir, publicar ou divulgar, por qualquer meio - inclusive por meio de comunicação de massa ou sistema de informática ou telemática -, fotografia, vídeo ou outro registro audiovisual que contenha cena de estupro ou de estupro de vulnerável ou que faça apologia ou induza a sua prática, ou, sem o consentimento da vítima, cena de sexo, nudez ou pornografia: Pena - reclusão, de 1 (um) a 5 (cinco) anos, se o fato não constitui crime mais grave. § 1º A pena é aumentada de 1/3 (um terço) a 2/3 (dois terços) se o crime é praticado por agente que mantém ou tenha mantido relação íntima de afeto com a vítima ou com o fim de vingança ou humilhação.” Exemplo: divulgação de vídeo recebido via Whatsapp. vi. Lei Carolina Dieckman (Lei nº 12.737/2012): acrescentou alguns crimes ao CP, tais como: ✓ Invasão de dispositivo informático: está previsto no art. 154-A do CP: “Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita: Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. § 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. § 2º Aumenta-se a pena de 1/3 (um terço) a 2/3 (dois terços) se da invasão resulta prejuízo econômico. § 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena – reclusão, de 2 (dois) a 5 (cinco) anos, e multa. Pág. 8 de 59 § 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. § 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra: I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.” ✓ Interrupção ou perturbação de serviços telegráficos, telefônicos, informático, telemático ou de informação de utilidade pública:está prevista no art. 266 do CP: “Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento: Pena - detenção, de um a três anos, e multa. § 1o Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. § 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” ✓ Falsificação de documento particular: está previsto no art. 298 do CP: Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro: Pena - reclusão, de um a cinco anos, e multa. ✓ Falsificação de cartão: está previsto no parágrafo único do art. 298 do CP: “Art. 298. (...): Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.” vii. Crimes do Estatuto da Criança e do Adolescente: estão previstos no art. 241-A do ECA: Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. § 1º Nas mesmas penas incorre quem: I – assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o caput deste artigo; II – assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de que trata o “caput” deste artigo. § 2º As condutas tipificadas nos incisos I e II do § 1 o deste artigo são puníveis quando o responsável legal pela prestação do serviço, Pág. 9 de 59 oficialmente notificado, deixa de desabilitar o acesso ao conteúdo ilícito de que trata o “caput” deste artigo.” Atenção: aos arts. 190-A, 190-C do ECA. viii. Crime de pirataria de software: aqui podemos destacar o art. 12 da Lei nº 9.609/2012 (Lei do Software). ix. Crimes digitais na Lei do Racismo (Lei nº 7.716/1989): aqui podemos destacar o art. 20 da lei. Atenção: ADO 26/DF e MI 4.733, pois em 13/06/2019 o STF decidiu criminalizar a homofobia como forma de racismo. Pág. 10 de 59 SUMÁRIO PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS (CONTINUAÇÃO) 2. Cibersegurança 3. Deepweb e Darkweb PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 2. Cibersegurança: a. Conceito de segurança da informação: está baseada nos 03 pilares da preservação da confidencialidade, integridade e disponibilidade da informação. i. Confidencialidade: é a propriedade que limita o acesso a informação tão somente às entidades, pessoas ou processos legítimos, ou seja, autorizados. ii. Integridade: é a propriedade que garante que a informação manipulada mantenha todas as características originais. iii. Disponibilidade: é a propriedade de estar acessível quando demandada por autoridade autorizada. b. Estratégia Nacional de Segurança Cibernética – E-Ciber: foi estabelecida pelo Governo Federal a partir do Decreto nº 10.222 de 05 de fevereiro de 2020. c. Política Nacional de Segurança da Informação - PNSI: também foi estabelecida pelo Governo Federal, mas a partir do Decreto 9.637 de 26 de dezembro de 2018. d. Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ): foi implementada a partir da Resolução nº 370/21. Os protocolos e manuais foram editados a partir da Portaria nº 162/21. 3. Deepweb e Darkweb: Inicialmente é importante esclarecer que elas não são a mesma coisa. a. Origem: ✓ Técnica de comunicação governamental anônima denominada “The Onion Routing” (Roteamento Cebola, pois a informação trafegada em encapsulada em diversas camadas). ✓ Criada por Michael G. Reed, Paul F. Syverson e David M. Goldschalag. ✓ Patenteada pela Marinha Norte-Americana (US Navy) em 1998. ✓ Segunda geração da ferramenta liberada para o uso não governamental. ✓ TOR (2006) – ONG TOR Project. b. Surface web (web da superfície): parcela visível, indexada e acessível pelos buscadores da rede, ou seja, são os sites indexados pelos mecanismos de busca. c. Deep web: mais de 90% da informação da Internet está na Deep web e não é acessível pela Surface Web através dos mecanismos de busca. Porém não significa que são áreas da Dark web – apenas são uma camada removida da Web pública e que não pode ser pesquisada pelos mecanismos de pesquisa. Na Deep web os sites e serviços não são indexados pelos mecanismos de busca e o conteúdo somente será acessível em área logada. Já que ela é protegida por senha e criptografia. Pág. 11 de 59 Tipo de conteúdo invisível Porque não invisíveis Páginas desconectadas Nenhum hiperlink para rastrear e localizar a página Páginas que consistem em PDF, Flash, executáveis ou arquivos comprimidos (.zip, .tar) Tecnicamente indexáveis, mas usualmente ignorados por políticas de exclusão ou motivos comerciais Conteúdo em base de dados relacionais Crawlers não podem preencher os campos necessários em formatos interativos Conteúdo de tempo real Dados efêmeros, quantidades enormes, informação rapidamente modificada Conteúdo gerado dinamicamente Conteúdos customizados são relevantes para a maioria das buscas; medo das “armadilhas dos spiders” Atenção: a Deep web não é ilegal, mas sim uma área restrita. Exemplo: área do aluno. d. Dark web: é um ambiente caracterizado pelo anonimato proveniente da rede TOR, pela qual é possível “camuflar” a localização do servidor e da origem da mensagem. Características: ✓ Criptografia – Rede Tor (possui diversas camadas de criptografia). ✓ Os sites não possuem indexação – fora da governança da ICAAN. No mais, a Dark web consiste em websites que usam a internet pública, mas requer um software específico para acessar e não é indexado por mecanismos de pesquisa para garantir anonimato. Mitos da Dark web: ➢ Dark web se destina unicamente a veicular conteúdo ilícito. ➢ Dark web é impossível de ser objeto de persecução criminal. Exemplo: caso Silk Road (foi um mercado operado através da Darknet que utilizava a rede TOR para assegurar o anonimato de compradores e vendedores no comércio de produtos ilícitos, particularmente drogas. O site foi lançado em 2011. Técnicas de infiltração de honeypot e infiltração policial. Pág. 12 de 59 SUMÁRIO PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS (CONTINUAÇÃO) 4. Provas digitais 5. Cadeia de custódia PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS 4. Provas digitais: Existem três novos aspectos da prova: i. Novo ambiente de coleta probatória: ➢ Dispositivos de armazenamento: ✓ Pen drive, ✓ HD, ✓ Disquetes, ✓ Cartões de memória, ✓ Celulares, tablets, computadores. ➢ Dispositivos de comunicação: ✓ Switches, ✓ Hubs, ✓ Roteadores. ➢ Tipos de dados a serem coletados: ✓ Dados de conteúdo, ✓ Dados de tráfego, ✓ Metadados: são os atributos de uma determinada informação. ➢ Localização dos dados: ✓ Armazenados ou arquivados, ✓ Em tempo real ou em trânsito. ii. Provas digitais e cadeia de custódia: ➢ Provas digitais: são informações de valor para um processo que estão armazenadas ou transmitidas de forma digital. ➢ Dados objetos: que consistem em objetos de valor para um processo, os quais estão associados a itens físicos. ➢ Itens físicos: que nada mais são as mídias físicas onde a informação digital é armazenada ou pelas quais é transmitida ou transferida. Exemplo: HD’s, pen-drives, celulares, etc. iii. Scientific Working Group on Digital Evidence: é um grupo composto por: Pág. 13 de 59 ➢ Conselho Executivo. ➢ Comitês permanentes (guias de boas práticas): para análise: ✓ Forense de áudios; ✓ Forense computacional; ✓ Forense em imagem; ✓ Forenseem fotografia; ✓ Padrões de qualidade; ✓ Forense em vídeo iv. Terminologia do Processo Penal: ➢ Corpo de delito: é a prova da existência do crime (materialidade do delito). O art. 158 do Código de Processo Penal estabelece que: “Art. 158. Quando a infração deixar vestígios, será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado.” Como ensina Rogério Lauria Tucci, o corpo de delito “corresponde ao conjunto de elementos físicos, materiais, contidos, explicitamente, na definição do crime, isto é, no modelo legal” (Do corpo de delito no direito processual penal brasileiro, p. 14). O exame do corpo de delito é a verificação da prova da existência do crime, feita por peritos, diretamente, ou por intermédio de outras evidências, quando os vestígios, ainda que materiais, desapareceram. Preferencialmente os peritos devem analisar o rastro/ vestígios deixados pessoalmente. Esse é o exame de corpo de delito direto. Em caráter excepcional, no entanto, admite-se que o façam por outros meios de prova em direito admitidos, tais como o exame da ficha clínica do hospital que atendeu a vítima, fotografias, filmes, atestados de outros médicos, entre outros. É o que se chama de exame de corpo de delito indireto. ➢ Vestígio: é o rastro, a pista ou o indício deixado por algo ou alguém. O tema é tratado no CPP, em seu art. 158-A, §3º: “Art. 158-A. (...): § 3º Vestígio é todo objeto ou material bruto, visível ou latente, constatado ou recolhido, que se relaciona à infração penal.” Há delitos que deixam sinais aparentes da sua prática, como ocorre com o homicídio, uma vez que se pode visualizar o cadáver. Outros delitos não os deixam, tal como ocorre com o crime de ameaça, quando feita oralmente. ✓ Materiais: são os vestígios que os sentidos acusam, ou seja, aqueles vistos a olho nú. Exemplos: a constatação do aborto pela visualização do feto expulso e morto. ✓ Imateriais: são aqueles que se perdem tão logo a conduta criminosa finde, pois não mais captáveis, nem passíveis de registro pelos sentidos humanos. Pág. 14 de 59 Exemplos: a injúria verbal proferida. ➢ Indício: para Eugênio Pascelli e Douglas Fischer, indício não é vestígio, mas sim é o juízo, por meio do qual, a partir da comprovação efetiva de um fato ou de uma circunstância, se deduz a existência de outro (a) fato ou circunstância. O art. 239 do CPP, estabelece que: “Art. 239. Considera-se indício a circunstância conhecida e provada, que, tendo relação com o fato, autorize, por indução, concluir-se a existência de outra ou outras circunstâncias.” ➢ Evidência: é a qualidade ou caráter de evidente, atributo do que não dá margem à dúvida. A evidência foi inicialmente conceituada no direito anglo-saxônico onde é definida como: ✓ Evidence: prova, indício. ✓ Body of evidence: conjunto probatório. ✓ Circumstantial evidende: provas indiciárias. ✓ Striking piece of evidence: prova irrefutável. O art. 162 do CPP, estabelece que: “Art. 162. A autópsia será feita pelo menos seis horas depois do óbito, salvo se os peritos, pela evidência dos sinais de morte, julgarem que possa ser feita antes daquele prazo, o que declararão no auto.” A evidência também está prevista no inciso I do art. 621 do CPP: “Art. 621. A revisão dos processos findos será admitida: I- quando a sentença condenatória for contrária ao texto expresso da lei penal ou à evidência dos autos.” ➢ Prova: É o estabelecimento da verdade jurídica a respeito de um fato relevante. A finalidade da prova é convencer o juiz a respeito da verdade de um fato litigioso. Há, fundamentalmente, três sentidos para o tema prova: a. Ato de provar: é o processo pelo qual se verifica a exatidão ou a verdade do fato alegado pela parte no processo. Exemplo: fase probatória. b. Meio: trata-se do instrumento pelo qual se demonstra a verdade de algo. Exemplo: laudo pericial. c. Resultado da ação de provar: é o produto extraído da análise dos instrumentos de prova oferecidos, demonstrando a verdade de um fato. É a consequência jurídica do estabelecimento da certeza de um fato. 5. Cadeia de custódia: O conceito de cadeia de custódia está previsto no art. 158-A do CPP: Pág. 15 de 59 “Art. 158-A. Considera-se cadeia de custódia o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte. § 1º O início da cadeia de custódia dá-se com a preservação do local de crime ou com procedimentos policiais ou periciais nos quais seja detectada a existência de vestígio. § 2º O agente público que reconhecer um elemento como de potencial interesse para a produção da prova pericial fica responsável por sua preservação. § 3º Vestígio é todo objeto ou material bruto, visível ou latente, constatado ou recolhido, que se relaciona à infração penal.” E de acordo com o conceito disposto no art. 158-A do CPP, a cadeia de custódia começa com o reconhecimento da prova e termina com o seu descarte. Ou seja, a cadeia de custódia é uma documentação de todo o histórico de vida da prova. O art. 158-B traz a trajetória da cadeia de custódia: “Art. 158-B. A cadeia de custódia compreende o rastreamento do vestígio nas seguintes etapas: I - reconhecimento: ato de distinguir um elemento como de potencial interesse para a produção da prova pericial; II - isolamento: ato de evitar que se altere o estado das coisas, devendo isolar e preservar o ambiente imediato, mediato e relacionado aos vestígios e local de crime; III - fixação: descrição detalhada do vestígio conforme se encontra no local de crime ou no corpo de delito, e a sua posição na área de exames, podendo ser ilustrada por fotografias, filmagens ou croqui, sendo indispensável a sua descrição no laudo pericial produzido pelo perito responsável pelo atendimento; IV - coleta: ato de recolher o vestígio que será submetido à análise pericial, respeitando suas características e natureza; V - acondicionamento: procedimento por meio do qual cada vestígio coletado é embalado de forma individualizada, de acordo com suas características físicas, químicas e biológicas, para posterior análise, com anotação da data, hora e nome de quem realizou a coleta e o acondicionamento; VI - transporte: ato de transferir o vestígio de um local para o outro, utilizando as condições adequadas (embalagens, veículos, temperatura, entre outras), de modo a garantir a manutenção de suas características originais, bem como o controle de sua posse; VII - recebimento: ato formal de transferência da posse do vestígio, que deve ser documentado com, no mínimo, informações referentes ao número de procedimento e unidade de polícia judiciária relacionada, local de origem, nome de quem transportou o vestígio, código de rastreamento, natureza do exame, tipo do vestígio, protocolo, assinatura e identificação de quem o recebeu; VIII - processamento: exame pericial em si, manipulação do vestígio de acordo com a metodologia adequada às suas características biológicas, físicas e químicas, a fim de se obter o resultado desejado, que deverá ser formalizado em laudo produzido por perito; Pág. 16 de 59 IX - armazenamento: procedimento referente à guarda, em condições adequadas, do material a ser processado, guardado para realização de contraperícia, descartado ou transportado, com vinculação ao número do laudo correspondente; X - descarte: procedimento referente à liberação do vestígio, respeitando a legislação vigente e, quando pertinente, mediante autorização judicial.” Pág. 17 de 59 SUMÁRIO PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS (CONTINUAÇÃO) 6. Criptomoedas e lavagem de dinheiro PERSECUSSÃO PENAL E NOVAS TECNOLOGIAS6. Criptomoedas e lavagem de dinheiro: I. Criptoativos: São representações dos valores que só existem em registros digitais. Cumpre informar que a representação é feita entre indivíduos ou empresas e, portanto, não há a intermediação de instituições financeiras ou do Estado. Entre os criptoativos, podemos destacar: a. NFT (Non Fungible Tokens): É uma imagem, áudio ou mensagem que a partir da criptografia ou da especificação de um conteúdo torna-se único. E, por essa razão, possui um grande valor agregado. Esse NFT pode ser transacionado livremente. b. Stablecoins: É uma espécie de criptomoeda com lastro em ativo estável, ou seja, existem operações bancárias subjacentes que fundamentam essa criptomoeda. c. Web3: Controle de dados pessoais pelo seu titular. É importante destacar que, por meio dessa tecnologia, é possível transacionar dados ou conteúdo. Aqui há absoluto controle de que teve acesso a esses dados e, também, é possível saber o valor da transação. d. DeFi (Descentralized Finance): É uma réplica de serviços financeiros atuais, sem intermediários. Ou seja, ela é escriturada integralmente pelos meios digitais, independentemente de pessoas que façam a fiscalização, controle ou governança. Elas funcionam a partir de uma tecnologia de registro descentralizado ou DLT (Distributed Ledger Technology) = livro razão da contabilidade descentralizada. e. Blockchain: Na verdade, é um DLT (Distributed Ledger Technology), ou seja, livro razão da contabilidade descentralizada. O controle do conteúdo do Blockchain não é realizado por uma única pessoa, mas sim por todos aqueles que possuem interesse na participação da rede Blockchain. E, portanto, para que seja inserido um registro o DLT é necessário que sejam identificados todos os participantes da rede. Ele é o mais usado na operação de criptoativos. Pág. 18 de 59 II. Criptomoedas: É uma espécie de criptoativos, ou seja, é o dinheiro intangível. Atenção: em concursos costumam perguntar a distinção entre moeda eletrônica e criptomoeda. Moeda eletrônica: é uma moeda real inserida em um sistema eletrônico (ex. saldo bancário em reais). Criptomoedas: também são chamadas de moedas digitais, criptografadas ou virtuais. As criptomoedas possuem as seguintes características: ➢ Não são emitidas por qualquer governo soberano ou autoridade central; ➢ Possuem denominação própria; ➢ São criptografadas. A criptografia é o que confere às criptomoedas o caráter idôneo, pois, a partir disso, o que estiver expresso nelas será imutável ou inalterável; ➢ Não representam uma moeda de curso oficial, tais como o real, o dólar, o euro, dentre outras. Isso se dá em razão da ausência de reconhecimento delas pelo Banco Central; ➢ Não estão autorizadas pelo Bacen; ➢ Seu emitente não é considerado uma instituição financeira; ➢ Sua circulação não é atividade bancária. É importante mencionar que embora não sejam moedas reais, as criptomoedas possuem um valor em si. Segundo Renata Barros Souto Maior Baião, o Bitcoin é uma riqueza fundada em criptografia, poder de processamento e código computacional que se comporta como uma forma de dinheiro eletrônico. O Bitcoin: ➢ Utiliza Sistema P2P que é a transação entre carteiras anônimas; ➢ Utiliza chaves de criptografia assimétricas (a mesma da certificação digital), ou seja, chaves públicas e privadas; ➢ É uma criptomoeda que consiste no primeiro sistema de pagamento on-line descentralizado do mundo; ➢ Tem por base um sistema de escrituração das operações chamadas blockchain; ➢ Baseado na premissa do Zero Trust, aqui a confiança algorítmica. Com relação às características do bitcoin, podemos destacar: ➢ Ele não possui garantia de conversibilidade em outra moeda; ➢ Não possui rastro e é extremamente volátil. ➢ Permite maior transparência nas operações financeiras; ➢ Impossibilidade de rastreamento da titularidade da origem e do destino das operações, salvo pela interação das exchanges (corretoras); ➢ A penhora de bitcoins é realizada a partir do envio de ofícios às corretoras, pois elas não são acessíveis pelo SisbaJud. Pág. 19 de 59 SUMÁRIO LEI GERAL DE PROTEÇÃO DE DADOS 1. A proteção da privacidade na CF/88 2. Modelos regulatórios 3. Da privacidade à proteção de dados pessoais (1890-2000) 4. Incidentes envolvendo dados pessoais e sua regulamentação (2013-2018) 5. Evolução da privacidade e da proteção de dados pessoais no Brasil 6. ADI 6.393/2020 7. Emenda Constitucional nº 115/2022, de 10/02/2022 8. A perspectiva favorável LEI GERAL DE PROTEÇÃO DE DADOS 1. A proteção da privacidade na CF/88: A CF/88 trata da proteção da privacidade em seu art. 5º, incisos X, XII (tratam da intimidade e do sigilo) e LXXII (traz o “habeas data” como uma forma de instrumentalização desses direitos). “Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; LXXII - conceder-se-á habeas data: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo.” 2. Modelos regulatórios a. Modelo compreensivo (modelo europeu): estabelece leis gerais de proteção de dados pessoais, aplicáveis tanto aos setores privados e públicos; b. Modelo setorial: tem por alvo setores específicos que demonstraram ser lesivos à privacidade do cidadão; c. Modelo de autorregulação: prevê o estabelecimento de condutas e fiscalização mútuas pelas empresas e indústrias, e; d. Modelo: de uso de tecnologias para a proteção da privacidade pelo próprio indivíduo, permite ao cidadão gerenciar a cessão e a distribuição de seus próprios dados pessoais. e. Modelo híbrido (norte-americano): esse modelo é formado a partir do modelo setorial e o de autorregulação. 3. Da privacidade à proteção de dados pessoais (1890-2000): a. Abordagem norte-americana: Pág. 20 de 59 • A primeira referência formal ao conceito de privacidade remonta ao ano de 1890, com o Warren & Brandeis – “The right to privacy”. E na sequência foram editadas diversas leis setoriais, tais como: Willian L. Prosser, Privacy Act (1974), HIPPA, COPPA, dentre outras. • No ano de 1998 foi editado o Safe Harbor Agreement (SHA), documento que estabeleceu padrão equânime de proteção de dados. b. Abordagem europeia: • Teve início somente em 1948 com a Declaração Universal dos Direitos Humanos, nesse documento a privacidade foi declarada como um direito fundamental. • Em 1950 a Convenção Europeia de Direitos Humanos, reconheceu o direito ao respeito à privacidade. • No ano de 1981 a Convenção 108 do Conselho da Europa (Convenção de Estrasburgo) conferiu tratamento automatizado aos dados pessoais. • Em 1983, por decisão do Tribunal Constitucional Alemão sobre a Lei do Censo de 1982, foi estabelecido o conceito de autodeterminação informativa. • No ano de 1995, foi editada a Diretiva 95/46, primeira Lei referencial de proteção de dados pessoais. • No ano de 2000 a Carta de Direitos Fundamentais da União Europeia estabeleceu a Proteção de Dados Pessoais como direito fundamental. 4. Incidentesenvolvendo dados pessoais e sua regulamentação (2013-2018): • Revelações de Edward Snowden (2013); • Abstenção dos EUA em participar do 36º ICDPP (reunião de cúpula realizada em 2014); • Em 2015 o Safe Harbor Agreement foi declarado inválido pelo Tribunal de Justiça Europeu. • Diante da invalidade do SHA, em 2016 foi editada a Privacy Shield (norma aplicável em solo norte- americano); • Em 2016 foi editado o GDRG (regulamento nº 16/679, norma aplicável em solo europeu); • Em 2018 sobreveio o escândalo do Cambrige Analytica; • Em 2018 foi editado o Regulamento nº 18/1725, EU Institutions (regula a proteção de dados pelo poder público em solo europeu). 5. Evolução da privacidade e da proteção de dados pessoais no Brasil: • Lei da Política Nacional de Informática – Lei nº 7.232/1984, ao instituir a Política Nacional de Informática previa que a manipulação de dados informáticos deveria preservar os dados pessoais; • A CF/88, em seu art. 5º, incisos X, XII e LXXII, trata da preservação da intimidade e do sigilo, bem como do “habeas data” como uma forma de instrumentalização desses direitos; • O CDC - Lei nº 8.078/1990, prevê normas a respeito de banco de dados de cadastro de inadimplentes; • Lei de Interceptação de Dados – Lei nº 9.296/1996, regulamento de forma excepcional a quebra do sigilo telefônico para garantir a persecução penal; • Lei do “Habeas Data” – Lei nº 9.507/1997, regulamentou o direito instrumental da garantia dos direitos da privacidade; • Lei do Cadastro Positivo – Lei nº 12.414/2011, tratou dos dados pessoais ao estabelecer que a criação de scores de crédito não viola a intimidade, vida privada e a privacidade, pois a manipulação de dados é meramente matemática; • Lei de Acesso à Informação - Lei nº 12.527/2011, impôs à Administração Pública Nacional o dever de transparência; • Lei Carolina Dieckman – Lei nº 12.737/2012, tratou dos crimes digitais que envolvem a privacidade como bem jurídico; Pág. 21 de 59 • Marco Civil da Internet – Lei nº 12.965/2014, norma que regulamentou a privacidade e proteção de dados, mas apenas nos meios digitais e no uso da Internet. Ficaram de fora do Marco Civil, os dados em meio físico, os dados digitais que estivessem fora da Internet, bem como uma norma regulamentadora voltada ao setor público. • Lei de Geral Proteção de Dados Pessoais – Lei 13.709/2018. 6. ADI 6.393/2020: • MP 954/2020: na pandemia da COVID 2019, a MP obrigava as empresas de telefonia a disponibilizarem ao IBGE dados pessoais (nome, números de telefone e endereços dos usuários) “com o objetivo de realizar entrevistas em caráter não presencial no âmbito de pesquisas domiciliares”. • Após diversas ADI’s discutindo o mesmo tema (6388, 6389, 6390, 6393), o STF reconheceu a proteção de dados e a autodeterminação informativa como direitos fundamentais autônomos. 7. Emenda Constitucional nº 115/2022, de 10/02/2022: ampliou as garantias da PEC original: • A Emenda Constitucional nº 115 de 10/02/2022, acrescentou ao rol do art. 5º o direito fundamental autônomo à proteção de dados pessoais. “Art. 5º: (...) LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.” • Atribuiu à União competência material exclusiva. “Art. 21. Compete à União: XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei.” • Atribuiu à União competência legislativa privativa: “Art. 22. Compete privativamente à União legislar sobre: XXX - proteção e tratamento de dados pessoais.” 8. A perspectiva favorável: Como direito fundamental, a proteção dos dados pessoais torna-se cláusula pétrea. É importante mencionar que a proteção dos dados pessoais está prevista na CF/88 no art. 5º, LXXIX, cuja leitura deve ser combinada com o art. 60, § 4º, IV da CF/88: “Art. 5º. (...): LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais. § 1º As normas definidoras dos direitos e garantias fundamentais têm aplicação imediata. § 2º Os direitos e garantias expressos nesta Constituição não excluem outros decorrentes do regime e dos princípios por ela adotados, ou dos tratados internacionais em que a República Federativa do Brasil seja parte. § 3º Os tratados e convenções internacionais sobre direitos humanos que forem aprovados, em cada Casa do Congresso Nacional, em dois turnos, por três quintos dos votos dos respectivos membros, serão equivalentes às emendas constitucionais. Pág. 22 de 59 § 4º O Brasil se submete à jurisdição de Tribunal Penal Internacional a cuja criação tenha manifestado adesão.” “Art. 60. A Constituição poderá ser emendada mediante proposta: § 4º Não será objeto de deliberação a proposta de emenda tendente a abolir: IV - os direitos e garantias individuais.” Portanto, a proteção dos dados pessoais é um direito: ➢ Irrenunciável; ➢ Inalienável e, ➢ Inviolável. Portanto: ➢ Passa a ser um dever do Estado (União) (art. 21, XXVI da CF/88): ➢ Prestigia a segurança jurídica, evitando a fragmentação regulatória ao atribuir à união a competência privativa para legislar sobre a proteção de dados pessoais (art. 22, XXX CF/88). ➢ Cumpre exigência da OCDE para que o Brasil ingresse como membro efetivo. ➢ Fortalece a importância do cumprimento da LGPD pelos entes públicos e atores privados. ➢ Valoriza a atuação da ANPD como órgão federal centralizador da governança de dados. ➢ Traz benefícios à ordem econômica, por tonar o Brasil pais em conformidade. Pág. 23 de 59 SUMÁRIO LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 9. Análise da Lei nº 13.709/2018 LEI GERAL DE PROTEÇÃO DE DADOS: 9. Análise da Lei nº 13.709/2018: i. Escopo material da Lei nº 13.709/2018: O art. 1º da LGPD dispõe sobre: ➢ Tratamento de dados pessoais; ➢ No meio físico ou digita; ➢ Esse tratamento é realizado por pessoa natural ou por pessoa jurídica de direito público ou privado; ➢ Com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural ii. Fundamentos da Lei nº 13.709/2018: Estão elencados no art. 2º: “Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.” A pessoa natural tem o direito de saber como os seus dados são tratados e, inclusive, pode limitá-los. iii. Escopo territorial da Lei nº 13.709/2018: De acordo com o art. 3º, a Lei nº 13.709/2018 aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados. Mas para que ela seja aplicada é necessário que: ➢ a operação de tratamento seja realizada no Brasil; ➢ a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ➢ os dados pessoais, objeto do tratamento, tenham sido coletados no Brasil. É importante destacar que serão considerados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. Pág. 24 de 59 Aos dados em trânsito (aqueles que apenas passam pelo Brasil) não serão tratados pela LGPD. iv. Quando a LGPD não será aplicada?: As exceções da aplicabilidade da Leinº 13.709/2018 estão previstas no art. 4º: “Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. § 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei. § 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo. § 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. § 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.” v. Definições legais: As definições legais estão elencadas no art. 5º da Lei nº 13.709/2018. Sendo assim, seguem abaixo os seguintes conceitos: a. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável. b. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Pág. 25 de 59 Atenção: esse rol é taxativo. Portanto, tudo o que não estiver elencado no conceito de dados sensíveis não será denominado assim. Logo, dados bancários não são considerados dados sensíveis. c. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Atenção: o dado anonimizado não será pessoal, pois não é identificável. *Dado pseudonimizado: é o dado tratado que, uma vez tratado, perde a possibilidade de associação, direita ou indireta, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro (art. 13, §4º). Esse dados perde a qualidade de dados pessoal, mas a medida que ele passa a ser identificado, voltará a ser um dado pessoal. d. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. e. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Atenção 01: a pessoa falecida não é titular de dado pessoal, pois ao morrer ela não é mais uma pessoa natural. Portanto, os dados dela não são passíveis de proteção pela LGPD. Atenção 02: a pessoa jurídica não é titular de dado pessoal, pois ela não é pessoa natural. Atenção 03: ao preencher cadastros as pessoas naturais não estão automaticamente cedendo os seus dados, mas apenas permitindo que eles sejam tratados. É o que prevê o art. 17 da Lei nº 13.709/2018. f. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Atenção: o controlador toma as decisões relativas ao tratamento dos dados da pessoa natural. g. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Atenção: o operador realiza o tratamento dos dados pessoais em nome do controlador. h. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). As atividades do encarregado estão elencadas no art. 41 da Lei nº 13.709/2018. i. Agentes de tratamento: o controlador e o operador. j. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Atenção: o rol estabelecido no art. 5º, X da Lei é exemplificativo. Pág. 26 de 59 k. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. l. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. m. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. n. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. o. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. p. Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. q. Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Atenção: esse relatório será elaborado pelo controlador. r. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Atenção: o pesquisador enquanto pessoa física não pode ter acesso direito aos dados, mas o órgão de pesquisa sim. s. Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. As sanções administrativas estão elencadas no art. 52 da Lei. Pág. 27 de 59 SUMÁRIO LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 10. Princípios norteadores do tratamento de dados pessoais LEI GERAL DE PROTEÇÃO DE DADOS: 10. Princípios norteadores do tratamento de dados pessoais: a. Introdução: Os princípios são uma dascondições de legitimidade para o tratamento dos dados pessoais. De acordo com a Teoria da Convergência, “é possível falar em um regime jurídico de proteção de dados pessoais, com princípios e direitos comuns em todos o mundo”. É importante pontuar que a partir da: • “Fair information principles”, na década de 70, tivemos: ✓ O Relatório “Registros, Computadores e Direitos do Cidadão”, elaborado pelo Departamento de Saúde, Educação e Bem Estar dos EUA. Aqui foram elencados 05 princípios; ✓ O Relatório sobre riscos de tratamento por organizações privadas, elaborado na década de 70 pelo Comitê da Privacidade, sob coordenação de Kenneth Younger (Grã-Bretanha). Aqui foram elencados 10 princípios; • Fair information principles”, após a década de 70, tivemos: ✓ Convenção 108 do Conselho da Europa, de 1981 (Convenção de Estocolmo); ✓ Guidelines da OCDE, de 1980 (revista em 2013); ✓ Standards Internacionais sobre Proteção de Dados Pessoais. A 31ª Conferência Internacional de Autoridades de Proteção de Dados Pessoais – ICDPPC, realizada em Madri no ano de 2009, previu, dentre outras coisas: o Disposições gerais; o Princípios básicos para o tratamento de dados pessoais; o Legitimação para o processamento; o Direitos dos interessados (titular); o Segurança; o Supervisão. ✓ A Diretiva 95/46 e o GDPR, também trataram e reproduziram os mesmos princípios que são consenso no mundo pela Teoria da Convergência. ✓ A Argentina, Uruguai e Chile já tinham normas de proteção de dados prevendo os mesmos princípios que são consenso no mundo pela Teoria da Convergência. vi. Regras de concretização dos princípios: Podemos destacar que: • Nos termos do art. 4º da LGPD, as atividades estatais elencadas no referido artigo não são submetidas à LGPD. Mas à elas serão aplicados os princípios gerais de proteção: Pág. 28 de 59 “Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; § 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.” • Nos termos do art. 7º da LGPD, ao tratamento de dados pessoais devem ser consideradas as seguintes premissas: ✓ O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização; ✓ É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na LGPD; ✓ A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na LGPD, especialmente da observância dos princípios gerais e da garantia dos direitos do titular; ✓ O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º do artigo 7º da LGPD poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD. Atenção ao tema 1.141 do STF. b. Princípios norteadores da atividade de tratamento de dados: Com relação aos princípios da LGPD, é importante destacar que: ✓ eles são de observância incondicional (mesmo nos casos de exceção – art. 4º, § 1º da LGPD) e cumulativa (não eletiva); ✓ são filtros de proporcionalidade ou razoabilidade no Relatório de Impacto à Proteção de Dados e no Relatório de Impacto ao Legítimo Interesse; ✓ eles são fatores indicativos do nível de proteção do país estrangeiro quando estamos diante de transferência internacional de dados (art. 34, inciso III da LGPD). São princípios da LGPD: i. Princípio da boa-fé objetiva: está previsto no “caput” do art. 6º da LGPD e pode ser entendido como um princípio geral. ii. Princípio da finalidade: preconiza que a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Portanto, nos termos do art. 15 da LGPD, o término do tratamento dos dados pessoais ocorrerá nas seguintes hipóteses: “Art. 15. (...): Pág. 29 de 59 I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; II - fim do período de tratamento; III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.” É importante pontuar que os dados não podem ser coletados com finalidade genérica e ao completar a finalidade da coleta de dados, os dados deverão ser eliminados. Atenção ao disposto no art. 16 da LGPD: “Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.” iii. Princípio da adequação: a adequação é a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Sendo assim, o titular dos dados deve saber o que será feito com as suas informações e o que a destinação dos dados coletados deve respeitar a justa expectativa do titular dos dados no contexto específico do tratamento. iv. Princípio da necessidade: estabelece uma limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Ou seja, se há necessidade de coleta de dados, que eles sejam coletados o mínimo possível para o alcance de suas finalidades. v. Princípio do livre acesso: é uma garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. vi. Princípio da qualidade de dados: é uma garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. vii. Princípio da transparência: é uma garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. viii. Princípio da segurança: prevê a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Pág. 30 de 59 ix. Princípio da prevenção: determina a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, tem por objetivo evitar que o próprio agente de tratamento cause danos ao titular dos dados. x. Princípio da não discriminação: prevê a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. xi. Princípio da responsabilizaçãoe prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Pág. 31 de 59 SUMÁRIO LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 11. Bases legais de tratamento de dados pessoais LEI GERAL DE PROTEÇÃO DE DADOS: 11. Bases legais de tratamento de dados pessoais: São condições de legitimidade para o tratamento legal e legítimo de dados pessoais, ou seja, as bases legais podem ser entendidas como requisitos para o tratamento dos dados. E, para maior compreensão do tema, é importante que seja feito um comparativo entre as bases legais para o tratamento dos dados pessoais (previstas no art. 7º da LGPD) e o tratamento dos dados pessoais sensíveis (previstas no art. 11 da LGPD): Tratamento dos Dados Pessoais Tratamento dos Dados Pessoais Sensíveis Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; e) proteção da vida ou da incolumidade física do titular ou de terceiro; Pág. 32 de 59 VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Algumas observações quanto a essa comparação devem ser tecidas: ✓ O consentimento para a realização de tratamento de dados pessoais sensíveis será mais solene. ✓ Não será possível utilização da mesma base legal do legítimo interesse e da proteção de crédito para o tratamento de dados sensíveis. Da mesma forma que a prevenção à fraude e à segurança do titular não pode ser base legal para o tratamento de dados pessoais. Outrossim, com relação às bases legais de tratamento (requisitos para tratamento), destacaremos que: • Elas foram um rol taxativo (números clausus); • Não há prevalência entre elas (nem mesmo o consentimento que possui uma posição de destaque, mas que não se sobrepõe); • Todo e qualquer tratamento de dados pessoais e dados sensíveis deve ter base legal (aquelas previstas nos artigos 7º e 11, respectivamente). Atenção: pode haver tratamento de dados sem base legal, mas dito tratamento será ilegal. • O Poder Público é o único que possui base legal própria (art. 7º, III c/c art. 23, ambos da LGPD). No mais, com relação às bases legais de tratamento, será dado destaque ao: a. Consentimento: que, nos termos do art. 5º, XII, pode ser entendido como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. • O consentimento para o compartilhamento de dados pessoais é autônomo e específico em relação ao fornecimento para o tratamento (art. 7º, § 5º da LGPD). Ou seja, se os dados forem compartilhados, há necessidade de se buscar um novo consentimento específico do titular dos dados; • O consentimento pode ser fornecido por escrito ou por outro meio que comprove a inequívoca manifestação de vontade (art. 8º da LGPD); • O consentimento colhido por escrito deve constar em cláusula destacada das demais (§ 1º do art. 8º da LGPD); • O ônus da prova de conformidade do consentimento será do controlador (§ 2º do art. 8º da LGPD); • O consentimento genérico ou colhido mediante vício de consentimento não terá valor (parágrafos 3º e 4º do art. 8º da LGPD); Pág. 33 de 59 • O consentimento pode ser revogado a qualquer momento, mediante a realização de procedimento gratuito e facilitado (§ 5º do art. 8º da LGPD). Caso seja alterada a finalidade específica, a forma e a duração do tratamento, a identificação do controlador, ou as informações sobre o uso compartilhado, o titular deve ser avisado, podendo revogar o consentimento; • O consentimento também é uma das hipóteses de para a transferência internacional de dados. Portanto, Para os dados pessoais (art. 5º, XII da LGPD), o consentimento será: Mas para os dados sensíveis (art. 11, I da LGPD), o consentimento será: Livre Livre Informado Informado Inequívoco Inequívoco Específico Destacado No mais, vale mencionar que o consentimento além de livre, informado e inequívoco, também deve ser destacado e específico para: ✓ O tratamento de dados sensíveis (art. 11, I da LGPD); ✓ O tratamento de dados de crianças e adolescentes (art. 14, § 1º da LGPD); ✓ A transferência internacional de dados (art. 33, VIII da LGPD). b. Legítimo interesse: Com relação ao legítimo interesse é necessário mencionar que ele NÃO é base legal para o tratamento de dados sensíveis ou de crianças e adolescentes. No mais, o art. 10º da LGPD, estabelece que: “Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamentenecessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver Pág. 34 de 59 como fundamento seu interesse legítimo, observados os segredos comercial e industrial.” Sendo assim, de acordo com o disposto no artigo supramencionado, não podemos utilizar a base legal do legítimo interesse para, de antemão, se autorizar o tratamento de dados em situações hipotéticas. Logo, ele somente será cabível em situações concretas. Pág. 35 de 59 SUMÁRIO LEI GERAL DE PROTEÇÃO DE DADOS (CONTINUAÇÃO) 12. Direitos do titular LEI GERAL DE PROTEÇÃO DE DADOS: 12. Direitos do titular: a. Direito à titularidade dos dados pessoais: Dito direito é um dos mais importante e está elencado no art. 17 da LGPD: “Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.” Portanto, o art. 17 prevê: ✓ A impossibilidade de desvinculação do dado pessoal de seu titular; ✓ A atribuição de um status especial a esse direito. Ou seja, há a vinculação da titularidade dos dados pessoais aos direitos fundamentais da liberdade, da intimidade e da privacidade; ✓ Restrições e exceções de caráter legal, quando diz “nos termos desta Lei”, pois estabelece que a titularidade poderá ser conformada de acordo com as leis que sucederão. b. Premissas do exercício dos direitos do titular: Estão elencadas no art. 18, § 4º da LGPD: “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: § 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá: I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.” c. Direitos em espécie: • Confirmação da existência de tratamento: esse é um dos mais importantes e está previsto no art. 18, I da LGPD. Sua importância está no fato de que ele é um pressuposto dos demais direitos, pois antes do exercício de outros direito é necessário que se tenha conhecimento se o controlador possui algum dado pessoal sob o seu controle. Esse direito possui relação com o princípio da transparência, previsto no art. 6º, IV da LGPD. Ainda com relação a esse direito é importante mencionar que, de acordo com o art. 9º da LGPD, o titular deve ser informado da utilização de seus dados no início do tratamento, independentemente de requisição; Pág. 36 de 59 • Acesso aos dados: pressupõe o conhecimento prévio ou anterior confirmação de tratamento dos dados. No art. 15 do GDPR, contemplam-se, também, os acessos: ✓ Às finalidades; ✓ Categorias; ✓ Destinatários; ✓ Prazos de conservação; ✓ Origem de dados; ✓ Existência de decisões automatizadas. • Correção de dados incompletos, inexatos ou desatualizados: essa é a versão brasileira do direito à retificação que está previsto no art. 16 do GDPR. Esse direito possui relação com o princípio da qualidade de dados, pois, de acordo com a Guidelines da OCDE, os dados precisam ser precisos, completos e atualizados. • Anonimização de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD: Quanto a esse tema, vale pontuar que: ✓ A anonimização faz o dado perder a qualidade de dado pessoal; ✓ Se o dado é anonimizado, mas for utilizado para a formação de perfil comportamental de pessoa identificada ele voltará a ser dado pessoal; ✓ A anonimização é um direito relativos, pois ela será realizada sempre que possível. ✓ Na LGPD, deve ser irreversível considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de tratamento (art. 5º, III da LGPD); ✓ Se puder ser revertido, vira dado pseudonimizado (art. 13, § 4º da LGPD). • Bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD: No GPDR bloqueio corresponde ao direito de limitação do tratamento, ou seja, é uma suspensão temporária de qualquer operação de tratamento (art. 5º, XIII da LGPD). Por outro lado, a eliminação é o apagamento, inclusive de backups. Vale mencionar que o ônus de comprovação da eliminação dos dados é do controlador. • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial: permite que os dados sejam retirados de um provedor para ser tratado por outro provedor de serviços. A portabilidade tem por objetivo evitar o aprisionamento tecnológico (vendor lock-in). Vale mencionar que ela também é uma obrigação do controlador de manter os dados em formato estruturado e interoperável, operáveis por API (ap´plication programmin interface). Outrossim, nos termos do art. 18, § 4º da LGPD, se o dado for anonimizado ele não será portável, pois ele deixará de ser um dado pessoal. • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD: Pág. 37 de 59 “Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.” • Obter informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados: O uso compartilhado de dados está previsto no art. 5º, XVI: “Art. 5º (..): XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;” É a expressão da autodeterminação informativa e no conceito geral de informação e acesso. • O titular tem o direito à informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: Esse direito assegura ao titular: ✓ A possibilidade de saber que poderá não fornecer o consentimento; ✓ Saber quais seriam as consequências da negativa a esse consentimento. Esse direito à informação deve ser anterior à coleta de dados pessoais. E caso isso não ocorra, deve ser ratificada em termos claros. • Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD: De acordo com o disposto no art. 5º, XII da LGPD, o consentimento é a manifestação livre, informada, inequívoca, destacada e específica. Portanto, a revogação do consentimento produzirá efeitos “ex tunc” (art. 8º, § 5º da LGPD). Sendo assim os atos anteriores à revogação serão ratificados e os subsequentes dependerão de nova base legal. • Direito de petição: está previsto nos parágrafos do art. 18 da LGPD. Esse direito de petição pode ser direcionado: ✓ Ao agente de tratamento, controlador e