Fizeram empréstimo em meu nome e fui vítima de fraude bancária! O que fazer para recuperar valores perdidos?

Guia atualizado para reduzir o risco de golpes e fraudes bancárias e como ser ressarcido pelos danos causados

O que são fraudes bancárias?

A fraude bancária caracteriza-se comumente pelo “furto de identidade” ou quando pessoas se passam por um correntista ou mesmo invadem suas contas e, neste ambiente, conseguem se valer de recursos disponíveis nos aplicativos online e netbanking, como compras, liberação de cartão de crédito, empréstimos e transferências.

No mundo online, o “modus operandi” dos fraudadores para tirar dinheiro ou contrair empréstimos em bancos online em nome da vítima pode variar. Desde engenharia social com ataques phishing, onde a vítima é manipulada a apresentar dados ou clicar em códigos maliciosos, ao uso indevido de dados pessoais vazados das plataformas ou comprados no mercado de dados pessoais e que abastece a criminalidade cibernética. No que diz respeito à engenharia social, criminosos se passam por funcionários de bancos, gerentes, procuradores e com estrutura profissional, conseguem obter os dados de autenticação necessários para consumar a fraude.

Números da fraude bancária

O terreno é cada vez mais fértil para fraudadores digitais, sobretudo diante do isolamento imposto pela Pandemia da COVID-19, onde muitos aderiram às fintechs, apps de pagamentos e bancos digitais, sem nenhuma agência. Destaque-se que os celulares já respondem por mais da metade das transações bancárias, já que, segundo dados da FEBRABAN os apps foram usados em 51% das transações em 2020. A mesma FEBRABAN informou que os golpes bancários pela Internet cresceram 80% durante a Pandemia. 6 em cada 10 pessoas foram vítimas de fraudes financeiras no Brasil, segundo relatório de 2019 da CNDL/SPC Brasil. Ainda, segundo a FEBRABAN, fraudes contra clientes de Bancos cresceram 165% em 2021.

As fraudes bancárias são uma antiga constatação, porém, o ambiente online e o uso de apps para quase todas das funções, substituindo os atos presenciais para, a exemplo, abertura de contas e contração de empréstimos, proporcionaram um aumento significativo das fraudes digitais. As fraudes, se valendo de dados pessoais e de login de vítimas, tem crescido em várias instituições, especialmente em bancos digitais e virtuais e nas chamadas “carteiras virtuais”. Soma-se a isso o vazamento de dados pessoais de grandes empresas, que abastecem a atuação de criminosos digitais e fraudadores, a despeito do país já contar com uma Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) que, em tese, reduziria o número de tratamentos irregulares de dados.

Golpes em bancos virtuais e carteiras digitais

Se antes o marginal precisava se dirigir a uma agência e se passar pela vítima, por meio de dados e documentos falsificados, hoje, pode requerer empréstimos online, desde que consiga algumas informações necessárias e em alguns casos as senhas ou a biometria das vítimas. Mas o pior, algumas plataformas sequer oferecem a segurança necessária para que contratações desta natureza ocorram, permitindo facilmente que bandidos, na posse de alguns dados, consigam requerer empréstimos e créditos, com facilidade peculiar.

Se antes a fraude se dava com falsificação de documentos e a assinatura em contratos, hoje, inicia-se com a captura dos dados pessoais da vítima na Internet e, a partir do combustível da fraude (dados), utilizam técnicas variadas para se autenticarem em nome desta nas plataformas, com criação de novas contas ou reset de senhas, permitindo assim acesso a fundos e ao dinheiro da vítima. Quando não se encontra nada na conta, o criminoso recorre ao módulo de empréstimos.

Se antigamente as assinaturas ou manifestações de vontade eram físicas, escritas em um papel, hoje são coletadas por meios eletrônicos, como assinaturas em códigos, pins, 2fa (two fator autentication), envio de um áudio com declaração de vontade, autenticação por reconhecimento facial ou biometria e até mesmo “vídeo contratos”, modalidade onde o contratante grava um vídeo declarando que entendeu e que concorda com os termos mencionados, já são realidade.

Porém, como visto, muitas plataformas usam senhas como “assinaturas” ou mesmo valem-se da biometria do dispositivo móvel cadastrada e assim, se os marginais têm acesso a tais informações, podem facilmente acessar tais contas e requerer empréstimos ou furtar os valores encontrados.

Ademais, infelizmente, para contratar empréstimos na modalidade consignada, muitas vezes sequer é necessário senha, mas tão somente o envio de informações como comprovante de renda, RG, CPF, comprovante de residência aos bancos correspondentes, dados hoje que são garimpados por criminosos ou vendidos em mercados clandestinos na rede.

Se a bancarização está online, o criminoso digital também está, e neste momento fazendo probing, testando apps, documentos requeridos e buscando formas de obter todos os dados para acesso às contas de clientes, quer para desfalcar os valores, quer para contratar empréstimos. Já existem casos, inclusive, em que o atacante, precisando da autenticação biométrica ou facial da vítima para pegar o empréstimo, inventa uma história se passando por funcionário do banco ou empresa de cartão e vai até a vítima, fisicamente, sob o álibi de que está “cancelando uma transação suspeita”, e em contato direto com a vitima, fotografa ou registra sua face, o que na verdade habilita a quadrilha a finalizar a contratação do empréstimo ou abertura de conta.

Em outros casos, até mais comuns, o bandido aborda a vítima no sentido de que uma tentativa de ativação de um telefone ou saque foi feita em sua conta e que para bloquear, ele precisará informar o número do seu token autenticador ou código que recebeu por SMS. O marginal, ao se passar como gerente do banco e informar alguns dados pessoais a vítima, acaba por ganhar a confiança da mesma, que fornece seu segundo fator de autenticação e em questão de minutos o empréstimo entra na conta e já é desviado para contas de laranjas.

Neste sentido, sempre alertamos que informação é a linha tênue que separa pessoas de engrossarem as filas de vitimas de crimes cibernéticos bancários. Para tanto, vale extrema atenção às medidas preventivas para reduzir drasticamente as chances de ser vitima de fraudes e golpes de apps e em bancos digitais.

Como se proteger

  1. Cuidado com simulações de créditos online. Os marginais usam os “falsos simuladores” para pegar seus dados pessoais e acessar o app para criar contas ou pedir empréstimos;
  2. Certifique-se que está acessando o site correto do banco ou prefira sempre logar-se no seu aplicativo, jamais acessando bancos de links ou pesquisa em buscadores;
  3. Não clique em links em mensagens que receber sobre seu banco ou qualquer confirmação ou validação;
  4. Não forneça dados pessoais, muito menos códigos que receber, em seu celular;
  5. Recebeu SMS de autenticação sem estar se autenticando? Pode ser uma tentativa do marginal, faça contato imediato com o banco e preserve o SMS;
  6. Se receber qualquer ligação pedindo para que confirme seus dados pessoais, senhas, códigos, mesmo que pareça algum funcionário do banco fazendo um “apelo de que sua conta está sendo invadida”, não passe nada, registre tudo e após faça contato com banco nos canais oficiais;
  7. Consulte sempre o serviço Registrato, do Banco Central do Brasil (https://www.bcb.gov.br/cidadaniafinanceira/registrato) para verificar se seus dados não estão sendo usados em outras instituições desconhecidas ou mesmo consulte o score do Serasa e avalie atividades anormais;
  8. Monitore e remova da internet dados pessoais que identificar, através de uma assessoria especializada em privacidade e dados pessoais ou advogado especialista em direito digital;
  9. Não pague “taxas iniciais” para contratação de empréstimo pessoal em bancos;
  10. Sempre verifique se as empresas de empréstimos são cadastradas no Banco Central.

Por outro lado, nem sempre é possível evitar ser vítima de uma fraude bancária, sobretudo porque muitas vezes, por mais que façamos o nosso dever em relação a proteção de dados pessoais e segurança da informação, a vulnerabilidade é no Banco ou App Digital, ou seja, este deu causa ou teve uma falha explorada. Consciente deste cenário, é importante saber como agir e o que fazer para recuperar o dinheiro.

O que fazer caso tenha sido vítima?

  1. Preserve todos os registros online da abordagem. Isso inclui mensagens, áudios, vídeos, e demais registros das interações com os criminosos;
  2. Imediatamente registre a ocorrência e faça contato com o Banco, notificando sobre o ocorrido, solicitando ao antifraude o bloqueio de valores e estorno; O banco irá instaurar um procedimento. Cuidado neste ponto, muitos bancos costumam fazer questões à vítima com o escopo de futuramente alegar que esta teve “culpa exclusiva” na fraude. Esteja assessorado por um advogado especializado em crimes virtuais;
  3. Do mesmo modo, notifique seu app ou instituição bancária, nos termos da LGPD (Lei 13.709/2018) para que informe quais dados foram usados indevidamente e quais ações tomadas pelo time de resposta a incidentes e demais informações sobre seus dados pessoais, usado para fins criminosos;
  4. Abra uma reclamação em sites especializados de reclamação contra consumidores e no próprio PROCON. Isso força as empresas a agilizarem a análise do seu caso;
  5. Procure um escritório de advocacia especializado em crimes cibernéticos ou direito bancário para ação contra o Banco/Instituição visando identificação dos responsáveis, nos termos do art. 15 da Lei 12.965/2014 (Marco Civil da Internet), solicitação das gravações ou logs das atividades de empréstimo e reparação pelos dados causados diante de falha de segurança nos procedimentos de checagem de autenticidade de quem solicitava empréstimo ou abria uma conta e nome da vítima;
  6. Aja rapidamente, pois cada minuto é decisivo para o sucesso na recuperação de valores eventualmente transferidos.

Direito a ser indenizado por fraude bancária

O titular de contas em bancos e carteiras digitais está protegido pelo Código de Defesa do Consumidor, Lei 8078/1990, e aquele que tem seus dados usados indevidamente para abertura de contas, solicitação de cartões e contratação de empréstimos é, geralmente, vítima de falha na prestação de serviços do Banco, que tinha dever de proteger seus sistemas e dados pessoais tratados e criar mecanismos para evitar atuação de fraudadores.

Nos termos da Lei Geral de Proteção de Dados (LGPD): “Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”

Em casos de empréstimos, ainda, é importante destacar que o consumidor não é obrigado a honrar com o mesmo, sobretudo diante da falha de segurança da instituição, por outro lado, se não tomar as medidas prévias ou judiciais, rapidamente, poderá ser obrigado a pagar.

Em inúmeros casos, o Judiciário já reconhece em processos judiciais o dever do banco em reparar e indenizar a vítima, bem como ordena que cessem a cobrança/desconto de valores a título de pagamento do empréstimo. O banco não pode remover a sua responsabilidade nestes casos. Aliás, súmula 479 do STJ, estabelece que “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”

Neste sentido, considerando que o banco não cumpriu com o dever de sigilo e proteção de dados, o consumidor tem direito a reparação por danos materiais e até morais, diante inclusive da intransigência em resolver a questão extrajudicialmente, devendo o banco ressarcir os valores desfalcados da conta do cliente ou resolvendo contrato de empréstimo que não foi feito pela vítima.

FRAUDE BANCÁRIA – Empréstimo de R$ 50.000,00 e saque de R$ 26.000,00 impugnados pelo correntista e que fogem ao seu perfil – Negócio firmado sem conferência dos seus dados pessoais, sem contrato assinado e por telefone do próprio banco – Ausência de cautela na celebração de tais negócios jurídicos – Decisão reformada em parte – Agravo de instrumento provido para confirmar a concessão de efeito ativo em sede recursal, suspendendo a cobrança de juros sobre os impugnados R$ 26.000,00 de cheque especial diante da caução em dinheiro efetivada, providenciando estorno em quinze dias, sob pena de multa diária de R$ 1.000,00 (mil reais), limitada a R$ 52.000,00.

(TJ-SP 22282226720178260000 SP 2228222-67.2017.8.26.0000, Relator: Mendes Pereira, Data de Julgamento: 19/02/2018, 15ª Câmara de Direito Privado, Data de Publicação: 19/02/2018)

Fonte: https://tj-sp.jusbrasil.com.br/jurisprudencia/547436518/22282226720178260000-sp-2228222-6720178260000

Do mesmo modo, se a partir da fraude, a vítima ainda tem seu nome inserido em SPC, Serasa ou serviços de proteção ao crédito, prejudicado seu score, tal postura pode ensejar a reparação por danos morais.

CIVIL. CONSUMIDOR. DANO MORAL. FRAUDE. CARTÃO DE CRÉDITO. INSCRIÇÃO INDEVIDA. SERASA. DANO MORAL. OCORRÊNCIA. 1. Restou comprovado nos autos que a inscrição do nome da autora em órgãos de proteção ao crédito decorreu de fraude efetuada por terceira pessoa que requereu cartão de crédito com os dados da apelante e efetuou várias compras sem pagar o referido cartão. 2. A reparação por dano moral decorre da simples inclusão indevida do nome do consumidor nos cadastros de inadimplentes, sendo presumido o dano. 3. Para o arbitramento do valor de indenização de danos morais, devem ser levados em consideração o grau de lesividade da conduta ofensiva e a capacidade econômica da parte pagadora, a fim de se fixar quantia razoável, que não resulte inexpressiva para o causador do dano. Manutenção do valor estipulado na sentença. 4. Recurso conhecido e desprovido.

(TJ-DF – APC: 20140111863715, Relator: MARIA DE LOURDES ABREU, Data de Julgamento: 08/07/2015, 5ª Turma Cível, Data de Publicação: Publicado no DJE : 21/08/2015 . Pág.: 201)

Fonte: https://tj-df.jusbrasil.com.br/jurisprudencia/222640528/apelacao-civel-apc-20140111863715

DIREITO DO CONSUMIDOR. APELAÇÃO CÍVEL. AÇÃO DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITO C/C INDENIZAÇÃO POR DANOS MORAIS. CONTRATO DE EMPRÉSTIMO CONSIGNADO. CONTRATO MEDIANTE FRAUDE. INSCRIÇÃO INDEVIDA NO SERASA. DANOS MORAIS CONFIGURADOS. SENTENÇA MANTIDA. 1. Em razão da negativa da contratação dos serviços bancários pela autora, o ônus da prova recai sobre o réu, nos termos do art. 373, II, do CPC. 2. Depreende-se dos autos que o réu, mesmo instado a comprovar a renovação do contrato questionado, deixou de colacioná-lo aos autos, sem se desincumbir do ônus que lhe cabia. 3. A responsabilidade civil do fornecedor de bens e serviços é objetiva e, sendo assim, sua caracterização prescinde da existência de conduta dolosa ou culposa. 4. A indevida inclusão do nome da autora em órgãos de proteção ao crédito configura ato ilícito e enseja injustos e imensuráveis constrangimentos que, por si só, configuram danos morais. 5. O valor da indenização por danos morais tem por função compensar o sofrimento suportado pela vítima e punir o causador do dano, coibindo novas condutas abusivas. 6. Apelação conhecida e não provida. Unânime.

(TJ-DF 07007511920208070019 DF 0700751-19.2020.8.07.0019, Relator: FÁTIMA RAFAEL, Data de Julgamento: 15/09/2021, 3ª Turma Cível, Data de Publicação: Publicado no DJE : 29/09/2021 . Pág.: Sem Página Cadastrada.)

Fonte: https://tj-df.jusbrasil.com.br/jurisprudencia/1290595279/7007511920208070019-df-0700751-1920208070019

Não demais destacar que em muitos casos de fraudes bancárias em bancos digitais, não se está diante de culpa exclusiva do correntista, mas vulnerabilidades da plataforma, apps ou de seus processos e até mesmo negligência de colaboradores, lembrando que cabe a inversão do “ônus da prova” nestes casos e o banco é que terá que provar que não concorreu ou deu causa a fraude. Conforme disposto no Código de Defesa do Consumidor:

Art. 6º São direitos básicos do consumidor:

VIII – a facilitação da defesa de seus direitos, inclusive com a inversão do ônus da prova, a seu favor, no processo civil, quando, a critério do juiz, for verossímil a alegação ou quando for ele hipossuficiente, segundo as regras ordinárias de experiências;

Conclusões

Ninguém está imune de ser vítima de fraudes bancárias. Por outro lado, a vítima, geralmente, tem direito a ser indenizada pelo banco, banco digital ou carteira virtual, quando comprovada a violação de segurança da informação, violação dos deveres e falha na autenticação ou tratamento irregular de dados pessoais.

Fique atento, procure ajuda de um advogado especializado em crimes virtuais o mais rápido possível e principalmente, após ser vítima de um golpe tentado ou consumado, mantenha-se atento a indícios de novos golpes, pois se seus dados foram usados para atividades bancárias ilegais, é provável que estejam integrando bases clandestinas e que novas tentativas possam ocorrer. Reforce a segurança de suas aplicações. Mantenha cópias do boletim de ocorrência da fraude sempre prontas para encaminhamento a instituições que eventualmente tenham liberado cartão ou crédito em seu nome.

Como visto, igualmente, o Judiciário já possui inúmeros julgados condenando instituições bancárias, apps de carteiras e bancos virtuais, diante de violações de segurança e dados pessoais que permitiram o acesso a fundos e a recursos de empréstimos.

José Antonio Milagre

Advogado especialista em Direito Digital e Fraudes Bancárias, Sócio do José Milagre & Associados. Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts. http://www.youtube.com/josemilagre



Metaversos e NFTS: Oportunidades, riscos e cuidados jurídicos

Compreendendo os metaversos

Reproduções de capas de discos inéditas, certificados, artes, fotos, vídeos de jogadas como uma enterrada de basquete, são alguns exemplos de ativos digitais que podem ser livremente compartilhados na Internet. E se pudéssemos vendê-los com um “certificado de originalidade” ou um conjunto de metadados conectados ao item e que se assemelha a um “autógrafo” e reconhecimento do autor, atleta, clube ou titular dos direitos autorais sobre aquele item?

Agora, e se este item ou ativo valorizasse com o tempo e seu comprador pudesse revendê-lo, trocando-os por criptomoedas ou tokens que podem, por sua vez, serem trocados por outros ativos fungíveis e até convertidos em moeda comum.

Ou ainda, se para cada venda o smart contract (contrato eletrônico que executa e registra as transações na blockchain) repassasse parte ao titular dos direitos autorais ou personagem representado no vídeo ou foto? O mercado dos Non Fungible Tokens tem aquecido e promete uma explosão de negócios. Por itens não fungíveis entenda aquele que não pode ser substituído por outro da mesma espécie. A exemplo, um item digital exclusivo feito um criptoartista é único e somente o “titular da NFT” é que tem o comprovante de propriedade do item digital, em grossa analogia, como se fosse a escritura de um imóvel.

Conforme define a Lei 10.406/2001:

Art. 85. São fungíveis os móveis que podem substituir-se por outros da mesma espécie, qualidade e quantidade.

Assim, colecionadores e interessados em projetos de tokenização podem comprar criptomoedas (tokens fungíveis) e a partir deles, trocar online por bens, ativos, NFTS e serviços.

E não é só! Agora imagine que artistas, clubes de futebol, game houses e empresas programassem softwares, games, mundos virtuais, o que vamos chamar de “metaversos” e nestes ambientes pessoas pudessem criar seus perfis, assim como uma rede social, e adquirir ativos intangíveis, itens, virtuais, pedaços de códigos com metadados e que também estão associados às NFTS, a partir da conexão de suas wallets (carteiras) e adição de fundos para a compra dos itens.

Com os metaversos, que transformam a internet em experiência imersiva, é possível que pessoas reais sejam representadas nestes mundos, e dada a natureza das NFTS, é possível criação de “itens únicos” por criadores, como réplicas de obras, terrenos, casas, arquitetura, veículos, dentre outros, em um negócio que vem se tornando absurdamente promissor, quer para programadores e criadores de itens, quer para negócios que exploram estas tecnologias e constroem projetos e metaversos.

 Clubes de futebol já comercializam os produtos únicos, assim como a gigante NBA, que já negocia NFTS das grandes jogadas dos atletas. Shows já são organizados, com a venda e ingressos ligados a NFTS e onde a representação “virtual” dos artistas, autorizada pelos mesmos, mobiliza centenas de pessoas nestes ambientes e mundos virtuais.

E o que fazer do mercado de “real state”? O mercado imobiliário já se aquece, e começamos a ter acesso às primeiras plataformas de “shares” de imóveis, a partir da emissão de NFTS, aqui, consideradas “títulos de propriedade”. Além disso, metaversos já são criados para vendas de “representações virtuais” ou de espaços, terrenos, o que vamos chamar de “lands”.

Oportunidades

Basta lembrar que a Tokens.com, empresa focada em NFTS de imóveis no metaverso, comprou 50% da Metaverse Group, considerada uma das primeiras imobiliários virtuais do mundo, por milhões. Muitos negócios estão querendo chegar primeiro e comprar terrenos em metaversos com grande potencial de crescimento.

O Descentraland, metaverso cuja cripto é a MANA, já atraiu uma série marcas de luxo, e também já negocia receita por publicidade. De outra ordem, empresas como Wave, já organizam shows nos metaversos, com modelo de negócios baseado em venda de itens virtuais, patrocínios e exposição de marcas.

De acordo com a Gray Scale, o mercado global de bens e serviços no metaverso em breve valerá US$ 1 trilhão. Mas ainda tem dúvidas sobre o que seja o metaverso? Imagine como um território digital, uma cidade virtual, 3D, assim como o conhecido Second Life, e onde avatares se relacionam, interagem, jogam. A tendência é que muitos escritórios virtuais surjam nos metaversos e isso gere receita real, com vendas, experiências, shows, grupos, networking.

Recentemente, foi noticiado um NFT de Iate Virtual para metaverso vendido por R$ 3,6 milhões no jogo The Sand Box, outro mundo que vem se destacando.

Natureza jurídica e direitos dos compradores

Todas estas tecnologias que prometem prover novas oportunidades, por outro lado, merecerem, análise cuidadosa de riscos e sobre os direitos ligados aos atores que participam do processo de tokenização. Não é preciso ser vidente para constarmos que muitos projetos surgirão com o único objetivo de pegar o dinheiro de pessoas e sumir. Já representamos investidores que confiarem em projetos inovadores e que com a velocidade em que angariaram fundos, desapareceram.

Logicamente, por trás destas maravilhas envolvendo gameficação, criação de metaversos e colecionáveis, existem uma série de questões regulatórias e jurídicas que não podem ser desconsideradas e que certamente podem representar grandes prejuízos para o bolso e reputação de negócios e projetos que nascem sem compliance e estrutura mínima.

Uma forma de provar a posse de um ativo digital no metaverso é o registro de onde ele se encontra. Neste sentido, juridicamente, se trata de um bem digital, representado por uma codificação. A mesma tecnologia para evitar-se double spending, que assegura as transações em bitcoins, também serve de base para assegurar as transferências de NFTS, comumente transacionadas na Blockchain Ethereum. De imediato, vale alertar que a princípio, comprar um NFT não significa que o comprador terá direitos de propriedade intelectual. Se você compra um quadro, você é dono do quadro e tem alguns direitos, mas não significa o direito de propriedade intelectual sobre o mesmo.

 Assim, a orientação fundamental é, antes de ingressar em qualquer projeto, analisar documentação, white paper, termos, auditorias feitas do código fonte e os contratos e termos de uso, para entender quais seus direitos e garantias e não pense que o silencio significa autorização para uso irrestrito do ativo.

A partir da compra das moedas dos metaversos pode-se adquirir as NFTS, que no caso, estão juridicamente ligadas a perspectiva de partes fracionadas ou propriedade de parte de um ativo, como no caso da compra de terrenos.  Ainda, uma oportunidade de uso das terras está ligada a locação dos espaços, mediante contratos entre proprietários e interessados. Cada pedaço de terra equivale a uma NFT.

Normalmente, os metaversos não transferem direitos intelectuais com o oferecimento de itens. Por outro lado, nada impede, por exemplo, que as NFTS também estejam ligadas cessão de partes de direitos, direito a royalties para compradores e licenciamento de direitos autorais.

Compliance de negócios de metaversos e projetos de tokenização

São inúmeras possibilidades jurídicas que podem ser inseridas no modelo de negócios de projetos de tokenização. Como visto, as NFTS em tese conferem o direito de propriedade sobre a própria NFT, algo único, e de impedir que outros informem que o possuem. Por outro lado, é importante observar as garantias que o metaverso oferece em relação a continuidade dos serviços e dos itens. O que seria se um metaverso sumisse ou criadores não honrassem o contrato? E se ele não for pra frente? Por isso mesmo, os colecionáveis, ficam registrados em um servidor IPFS, para evitar que o emitente removesse os ativos e quebrasse a confiança.

Neste contexto, quer para o criador, usuário, ou para empreendedores de projetos, o estabelecimento e conhecimento prévio de cláusulas que regem o metaverso é fundamental, e pode evitar muitos transtornos. Algumas cláusulas importantes e comuns nos metaversos e que devem ser observadas são:

a) Qual o software deve ser usado para desenvolvimento dos ativos e itens;

b) Os ativos e itens devem estar de acordo com as especificações de metadados; A exemplo, existem campos de metadados que definem quais os usos permitidos para o ativo e que devem ser cadastrados pelo criador;

c) Ativos “copias” ou “piratas” serão removidos e contas podem ser bloqueadas;

d) Ativos podem ser removidos se forem considerando ofensivos, ilegais;

e) Normalmente não se permite publicar o ativo em outro lugar;

d) Os criadores são responsáveis por cumprirem a lei, direitos autorais, regras tributárias;

f) Os usuários do metaverso não recebem uma licença ilimitada para uso do sistema, mas, por outro lado, são considerados donos dos ativos criados;

e) Usuários finais que compram os ativos possuem o NFT subjacente e comumente recebem o direito de vender, negociar, doar, dar, transferir ou de outra forma dispor do NFT como acharem adequado; desde que, no entanto, cada ativo seja tokenizado para que tenha escassez comprovável e prova de propriedade;

f) O criador do ativo continua com os direitos autorais, o que impede os compradores de usarem o ativo com fins comerciais, a exemplo, licenciamento em novos produtos;

g) O usuário não deve praticar condutas que afetem o sistema e é responsável em arcar com os riscos ligados a seus ativos e jogos;

h) O metaverso reserva-se no direito de remover ativos e jogos dos serviços, diante de violação e neste sentido, é preciso se investigar como ficarão os direitos dos adquirentes que compraram os ativos irregulares, como adquirentes de boa-fé;

i) Cláusula de isenção de responsabilidade da plataforma, em caso de litígios envolvendo direitos autorais, imagem, dentre outros. Esta cláusula, aliás, pode ser considerada nula pela Justiça, considerando que a plataforma deve adotar medidas cabíveis para reduzir a contrafação e uso indevido de conteúdo;

j) Cláusula de limitação de garantia “AS IS” e “AS AVAILABLE”, e ausência de garantia de operação dos serviços. Esta também é uma cláusula polêmica que pode ser anulada com base nos princípios ligados ao Código de Defesa do Consumidor (Lei 8078/1990);

k) Cláusula de encerramento dos serviços, onde, a qualquer momento, o metaverso informa que poderá interromper os serviços, proibir novos uploads e acesso aos serviços desde que mantenha a propriedade dos ativos e jogos. Questão que precisa ser de conhecimento prévio é qual a utilidade do ativo para seu dono, se o metaverso for descontinuado e quais os deveres da plataforma, neste sentido.

Perspectivas e desafios jurídicos

Como visto, a planejamento e análise de risco de projetos, bem como das garantias legais e direitos é fundamental, o que permitirá maior segurança na operação e compras de ativos de metaversos, com vistas a negócios como locação, construção de casas, realização de eventos, posse para valorização, dentre outros. Muitas questões ainda deverão ser enfrentadas, quando o assunto são NFTS e metaversos. Citamos algumas:

Mercados intermediários serão responsáveis por tokens fraudulentos?

Os NFTS poderão ser considerados criptomoedas para fins tributários? Deveríamos declarar ativos virtuais da mesma forma que se declara criptomoedas? Os metaversos se equiparam à Exchanges para fins legais?

Como agir se criarem avatares de pessoas, sem a autorização destas?

Como registrar a prova e obter registros de acesso à aplicação diante de crimes, golpes e fraudes praticados nas plataformas?

Como assegurar que proprietários de terrenos efetivamente recebam por tudo que ocorre nestes locais?

Como estruturar fundos de investimentos imobiliários focados no metaverso?

O que proceder se uma plataforma aceitou emissão de NFTS a partir de pessoas sem os direitos sobre o item representado?

Com assegurar que os ativos não fungíveis sejam mantidos mesmos após eventual encerramento da plataforma ou como será a reparação dos titulares e compradores?

Como assegurar e planejar para que as transações imobiliárias virtuais, como compra de frações reais asseguradas por NFTS, reflitam os direitos no mundo real de forma segura?

Como coibir fraudes de itens virtuais de imóveis reais, sem autorização de seus proprietários?

Como estabelecer contratos efetivos para que participações individuais em obras coletivas tokenizadas sejam remuneradas?

Conclusões

Como visto, os metaversos estão crescendo absurdamente e inauguram uma nova era ligada a novos negócios digitais, com incríveis oportunidades. Do mesmo modo, inúmeros riscos também se intensificarão, além de inúmeras questões ligadas a direitos e autores, criadores e proprietários de itens.

Sem pretensão alguma de exaurir o tema, apresentamos apenas algumas das questões que surgirão e que demandarão a análise de advogados especializados em criptomoedas.

Aos que pretendem criar plataformas, o planejamento jurídico de metaversos é fundamental, e deve considerar legislação e cenário regulatório local, para segurança dos empreendedores e dos clientes. Definições importantes precisam ser registradas. A exemplo, a The Sand Box deixa claro que os designers continuam com 100% dos direitos autorais dos jogos que fazem e publicam no metaverso, desde que não violem normas autorais de terceiros. O mesmo metaverso define que a atividade de locação de terreno não transfere o “jogo” para o locador.

Para usuários destas plataformas e compradores de ativos, vale as orientações para análise do projeto, termos de uso e garantias, antes de qualquer aporte, bem como checar a empresa por trás dos games. Com os cuidados adequados, não restam dúvidas que inúmeras oportunidades rentáveis surgirão com a dupla metaverso e NFTS.

José Antonio Milagre

Advogado especialista em Direito Digital e Criptomoedas, Sócio do José Milagre & Associados. Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts. http://www.youtube.com/josemilagre



Criptomoedas bloqueadas, retidas em Wallets ou Plataformas Exchanges: Como o Advogado de Criptomoedas pode ajudar?

José Antonio Milagre
Emily Lucila de Oliveira

A popularização das criptomoedas tem chamado a atenção de milhares de pessoas, que começam neste mercado pelas mais diversas finalidades. De colecionáveis, nfts, à trades rápidos com tokens específicos e que valem centavos, passando também por aportes significativos em criptomoedas mais consolidadas como Bitcoin, Ethereum dentre outras.

O início no mercado ou para alguns, o “investimento” em cripto se dá com a criação de uma wallet, comumente sistema ou aplicação para custódia dos ativos, ou tecnicamente, das chaves destes ativos. Temos também as “hard wallets”, como o próprio nome diz, “hardwares”, dispositivos físicos que armazenam as chaves para acesso às criptomoedas.

No entanto, muitos investidores preferem as “Exchanges”, que disponibilizam uma “carteira” (embora afirmem que não são carteiras em seus termos de uso), permitindo a remessa de moeda fiduciária, a compra e até troca de criptomoedas. Ocorre que a ânsia em iniciar no mercado, aliada a desinformações propagadas nas redes sociais, tem proporcionado inúmeros casos de bloqueios, furtos e desvios de criptomoedas, muitas vezes armazenas em plataformas ilegais, não constituídas ou que desrespeitam a legislação local. Nestes casos, contar com apoio jurídico pode ser a única alternativa para reaver fundos e criptomoedas.

Quais os principais incidentes com criptomoedas e que demandam um advogado especializado?

Os principais incidentes com repercussões jurídicas hoje ligados às criptomoedas são:a) Problemas com acesso aos fundos: Inúmeros recursos de segurança usados para autenticar o usuário, muitas vezes regulatórios, como necessidade de atendimento às regras de KYC (Know your Customer) – normas para evitar lavagem de dinheiro – acabam por vezes a ensejar o não acesso aos valores do cliente. Por outro lado, muitas vezes ocorrem exigências abusivas, duplicadas e desnecessárias, ou mesmo problemas na plataforma com a autenticação, avaliações humanas errôneas, com o resultado danoso: O bloqueio ou confisco das criptomoedas. Judicialmente, estas plataformas já vêm sendo condenadas a liberarem os valores ou a indenizarem em quantia correspondente.

Ação de rescisão contratual c.c. restituição de valores e danos morais. Prestação de serviços de intermediação de investimentos em criptomoedas. Alegado descumprimento contratual, posto que o demandante está impedido de realizar os saques dos valores investidos. R. despacho de indeferiu a tutela de urgência. Agravo instrumental só do autor. Presentes os requisitos objetivos do art. 300 do CPC. Deferimento da medida para autorizar o bloqueio de ativos financeiros dos réus, observados os montantes tidos como investidos pelo demandante. Agravo do acionante provido.

(TJ-SP – AI: 20239013120218260000 SP 2023901-31.2021.8.26.0000, Relator: Campos Petroni, Data de Julgamento: 26/02/2021, 27ª Câmara de Direito Privado, Data de Publicação: 26/02/2021b) Morte do titular dos fundos: Existem clientes que jamais fizeram um planejamento sucessório ligado às criptos, com assessoria jurídica especializada. No entanto, a família sabe da existência da conta ou wallet em determinada corretora, e não faz sentido presentear as corretoras com as criptos de uma pessoa que não está mais na administração de seus bens e que trabalhou para tê-las. Alguns termos de uso de algumas plataformas são até abusivos neste sentido. Existem recursos jurídicos pouco aplicados que permitem que a família tenha acesso à carteira digital, alguns, até mesmo extrajudiciais. No julgamento da Apelação 1119688-66.2019.8.26.0100 o desembargador Francisco Casconi a possibilidade de contas ligadas a criptomoedas serem transferidas para herdeiros, vejamos:

“(…) em relação a páginas e contas protegidas por senha, deve-se verificar o caráter do conteúdo ali contido e a funcionalidade da aplicação. Tratando-se de aplicações com fundo estritamente patrimonial, como contas de instituições financeiras, ou ligadas a criptomoedas, por exemplo, a conta e a senha poderiam ser transferidas para os herdeiros. Contudo, em relação a aplicações de caráter pessoal e privado, como é o caso de perfis de redes sociais e dos aplicativos de conversas privadas, não se deve permitir, a princípio, o acesso dos familiares.” (LEAL, Livia Teixeira. Internet e morte do usuário: a necessária superação do paradigma da herança digital. Revista Brasileira de Direito Civil – RBDCilvil, Belo Horizonte, v. 16, p. 181-197, abr./jun. 2018.) (g.f)

(TJ-SP – AC: 11196886620198260100 SP 1119688-66.2019.8.26.0100, Relator: Francisco Casconi, Data de Julgamento: 09/03/2021, 31ª Câmara de Direito Privado, Data de Publicação: 11/03/2021)

c) Fraudes na própria Exchange: Infelizmente, alguns colaboradores mal-intencionados ou até mesmo de forma culposa acabam muitas vezes desviando ou permitindo que terceiros acessem fundos, ocasionando o desvio para outras wallets e a partir daí, a pulverização das criptomoedas, com técnicas de mixing para prejudicar a investigação. A justiça já aprecia processos indenizatórios diante de nítida conduta criminosa de colaboradores destas estruturas, vejamos:

RECURSO INOMINADO. AÇÃO DE INDENIZAÇÃO POR DANOS MATERIAIS. PRELIMINAR DE ILEGITIMIDADE PASSIVA AFASTADA. RELAÇÃO DE CONSUMO. INVERSÃO DO ÔNUS DA PROVA. ORDEM DE COMPRA DE ATIVOS VIRTUAIS. CRIPTOMOEDAS (BITCOINS). UTILIZAÇÃO INDEVIDA DE SENHA PESSOAL DA PARTE AUTORA. DEVER DE SEGURANÇA NÃO OBSERVADO. FALHA NA PRESTAÇÃO DOS SERVIÇOS. FRAGILIDADE DO SISTEMA. FRAUDE. PARTE RÉ QUE NÃO LOGROU ÊXITO EM COMPROVAR FATOS IMPEDITIVOS, EXTINTIVOS OU MODIFICATIVOS DO DIREITO DO AUTOR, NÃO SE DESINCUMBINDO DE SEU ÔNUS PROBATÓRIO, A TEOR DO CONTIDO NO ARTIGO 373, II DO CPC C/C ARTIGO 6º, VIII DO CDC. EXCLUDENTES DA RESPONSABILIDADE CIVIL NÃO COMPROVADAS. SENTENÇA MANTIDA. Recurso conhecido e desprovido. (TJPR – 3ª Turma Recursal – 0004472-15.2020.8.16.0069 – Cianorte – Rel.: JUÍZA DE DIREITO DA TURMA RECURSAL DOS JUÍZAADOS ESPECIAIS ADRIANA DE LOURDES SIMETTE – J. 11.06.2021)

(TJ-PR – RI: 00044721520208160069 Cianorte 0004472-15.2020.8.16.0069 (Acórdão), Relator: Adriana de Lourdes Simette, Data de Julgamento: 11/06/2021, 3ª Turma Recursal, Data de Publicação: 17/06/2021)

d) Fraude ligadas à autenticação: De outra ordem ainda, é muito comum que criminosos, a partir da montagem de documentos ou dados pessoais vazados e negociados na deep web (Daí a importância de controlar por onde dados pessoais circulam na Internet) obtenham êxito no “reset” de senhas e acesso às contas, roubando todas as criptos de clientes, onde já se fala até mesmo em “facial attack”, técnica para burlar mecanismos de autenticação baseados em selfies e fotos de rosto.

e) Bloqueios indevidos de criptomoedas sem avisos ou informações: Outro problema que tem gerado repercussão jurídica e muitos processos são os bloqueios que algumas Exchanges ou projetos fazem, sem qualquer sentido, motivo, justificativa, quando investidores tentam resgatar seus fundos, o que pode caracterizar um erro sistêmico, ou bloqueio intencional ou mesmo um indício de um golpe. O painel continua acessível, porém um “erro” ocorre quando da tentativa de se retirar o valor correspondente ou direcioná-lo a outra carteira. Infelizmente, tais manobras ocorrem muito, além de Exchanges, em “plataformas criminosas” que prometem rentabilidade e ganhos fora da realidade a investidores desavisados e que acreditam nos apelativos chamados, caindo no estelionato.

f) Quebra de plataformas de “investimentos”: E por falar nestes “projetos” de investimentos que surgem diariamente, grande parte dos processos judiciais hoje movimentados no Brasil estão ligados à pirâmides disfarçadas de corretores que captam uma quantia significativa de investidores, muitas vezes até mesmo anunciando massivamente seus serviços com “artistas reconhecidos” e que simplesmente desaparecem. Logo, os investidores precisam agir rapidamente, por meio de jurídico especializado, com vistas à investigação da estrutura societária e ações para bloqueio do patrimônio e bens para satisfação do crédito, no Brasil ou fora do País, ou mesmo penhora das criptos em endereços identificados e ligados às corretoras. Lembrando que a penhora de criptomoedas já foi determinada em inúmeros casos no país.

Agravo de instrumento – Execução de título extrajudicial – Decisão que indeferiu pedido de expedição de ofício visando à localização e penhora de criptomoedas em nome dos executados – Possibilidade – Tentativas frustradas de localização de bens e ativos financeiros em nome dos executados – Devedores que respondem com todos os seus bens para o cumprimento de suas obrigações – Art. 789 do CPC – Necessidade de intervenção do Poder Judiciário – Informação não acessível ao credor – Decisão reformada – Recurso provido.

(TJ-SP – AI: 22278663320218260000 SP 2227866-33.2021.8.26.0000, Relator: Irineu Fava, Data de Julgamento: 20/10/2021, 17ª Câmara de Direito Privado, Data de Publicação: 20/10/2021)

Justiça já diz o direito em centenas de casos no Brasil.

Uma pesquisa simples sobre o termo “criptomoedas” somente em segunda instância no Tribunal de Justiça de São Paulo já retornava, quando da redação deste artigo, 733 acórdãos, o que demonstra que muitos casos ligados aos incidentes com tokens já estão sendo apreciados no Judiciário. São milhares de casos em todo o Brasil. Graças à arquitetura da Blockchain, muitos golpistas se sentem tentados a aplicar fraudes, acreditando jamais poderem ser rastreados ou identificados. Esse cenário vem mudando com soluções de perícia e forense digital que hoje auxiliam governos, autoridades e órgãos públicos.

Além dos casos citados onde o advogado especialista em criptomoedas é fundamental, é importante destacar o crescimento de fraudes ligadas à ocultação de bens e patrimônio, onde se investe ou converte moedas fiduciárias em criptos para tirar o dinheiro ou patrimônio do radar de uma execução ou processo trabalhista, torando-os “inatingíveis”. Além de manobras já conhecidas como manobras contábeis, contratos de empréstimos de fachada, contratação de seguro de vida ou de previdência, alguns cônjuges ao término da relação, já usam as criptomoedas para fraudar os bens passiveis de partilha, considerando que “em tese” tais transações não são identificáveis facilmente, com o escopo de sonegar bens.

Com a perícia forense, é possível identificar estes bens de utilidade em um processo forense, requerendo-se a “pena de sonegados”. Do mesmo modo, na seara trabalhista, assim como antigamente o sócio repassava bens para nome de terceiros “laranjas”, agora, utiliza das criptomoedas para fraudar a execução. Nestes casos, medidas podem ser adotadas para “seguir o dinheiro” na Blockchain e demonstrar a fraude, com possibilidade de desconsideração da pessoa jurídica, com fundamento no art. 50 do Código Civil Brasileiro, além da possibilidade de aplicação do art. 179 do Código Penal Brasileiro, o crime de “fraude à execução”.

O que fazer e como agir caso tenha um problema ligado à criptomoedas?

Todos que detém criptos ou estão executando dívidas podem passar por estes problemas mencionados, categorias comuns no Judiciário. Além disso, aqueles que optam por manter suas criptos em Exchanges sem sucursal, filial ou sede no Brasil podem enfrentar ainda mais problemas e dificuldades maiores. Prefira Exchanges legalizadas no país para armazenar seus tokens e avalie se esta tem um programa de compliance com proteção de dados e segurança da informação ativo.

Caso enfrente situações ligadas a bloqueio indevido de criptomoedas é muito importante:

  1. a) Imediatamente registrar as mensagens ou telas, quantia em saldo e registrar vídeo datado contendo todas as tentativas de conversão ou retirada – ou mesmo através de ata notarial ou serviço com base na Blockchain;
  2. b) Abra e registre os chamados a respeito do tema via contatos oficiais da plataforma, desde o início registrando que a conduta é ilegal já que nenhuma informação foi apresentada;
  3. c) Notifique extrajudicialmente a empresa e sócios responsáveis pelo projeto a respeito do bloqueio, concedendo prazo para liberação. Esta notificação pode ser feita por um advogado especialista em criptomoedas;
  4. d) Registre um boletim de ocorrência, requerendo a instauração de inquérito policial.

Muitas situações, no entanto, sobretudo as envolvendo quebra de projeto ou furto das criptos por parte de sócios, só será resolvida judicialmente, razão pela qual é importante, com as provas devidamente registradas, a adoção das medidas periciais e jurídicas, com o escopo de desbloquear o tokens retidos, ou impedir que sejam transferidos, bem como adoção das medidas cabíveis ligadas a perdas e danos experimentados, a partir da indisponibilidade destes bens.

Em casos de manobras com o escopo de ocultar patrimônio, um escritório de advocacia especializado em criptomoedas deverá rapidamente, com auxílio do time de forensics, adotar medidas para rastrear e como isso propor o que de direito para bloqueio dos valores e posterior apresentação ou transferência para carteira a ser indicada pela vítima.

Velocidade, nestes casos, é fundamental, considerando que é comum que muitos lesados pelo mesmo projeto ou pessoas acionem ou busquem a justiça, e, logicamente, aqueles que chegam primeiro, via de regra, tendem a encontrar melhores condições patrimoniais para serem reparados e ressarcidos.

Conclusões

Como visto, a popularização das criptos tem significativamente aumentado o número de golpes e fraudes, sendo o advogado especializado em criptomoedas o profissional apto a buscar as melhores respostas jurídicas para as questões, quer identificando fundos, quer requerendo o que de direito para liberação dos mesmos. Do mesmo modo, ao contrário do que muitos pensam, em que pese oferecer um ambiente “pseudonimizado”, a Blockchain não é totalmente anônima, e inúmeras técnicas e ferramentas vem se desenvolvendo no escopo de identificar e “seguir o dinheiro” em tal ambiente. Agir rapidamente e amparado por jurídico especializado em criptomoedas, demonstra-se fundamental.

 

José Antonio Milagre

Advogado especialista em Direito Digital e Proteção de Dados, Sócio do José Milagre & Associados. Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts.

Emily Lucila de Oliveira

Consultora especializada em Privacidade e Proteção de Dados. Gerente de Direito Digital na José Milagre & Associados. Atuação em assessment e planos de adequação para empresas e órgãos públicos do Brasil, Vice-Diretora do IDCI – Instituto de Defesa do Cidadão na Internet, entidade focada na preservação dos direitos dos usuários de internet e titulares de dados pessoais.



Black Friday e LGPD: Como preparar o comércio para evitar grandes problemas, multas e penalidades?

José Antonio Milagre *

Pela primeira vez o Brasil terá uma Black Friday já com o processo de fiscalização e administrativo sancionador da Autoridade Nacional de Proteção de Dados em vigor, onde autos de infração poderão ser lavrados e empresas autuadas. Saiba como preparar sua loja para evitar perdas financeiras, danos à imagem e grandes problemas.

A Black Friday já é tradição anual no Brasil e com ela, anualmente, muitos problemas consumeristas são submetidos às plataformas de arbitragem e Poder Judiciário. Propaganda enganosa, maquiagem de preços, atrasos e demais violações ao Código de Defesa do Consumidor movimentam a Justiça. Nesta edição, no entanto, outro assunto relevante ganha espaço e merece total atenção: A proteção de dados pessoais de consumidores e titulares de dados.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) está em vigor desde setembro de 2020, sendo que desde agosto de 2021 as penalidades previstas no art. 52 da LGPD já podem ser aplicadas aos agentes que realizarem tratamentos irregulares de dados, com multas que podem chegar a R$ 50 milhões de reais.

No entanto, faltava ainda a regulamentação do processo de fiscalização e administrativo sancionador da ANPD, para que, eventualmente diante de um auto de infração e processo repressivo, garantindo-se a ampla defesa, lojas, e-commerces e agentes de tratamento pudessem ser responsabilizados, se constatadas violações.

Este regulamento chegou nas vésperas da Blackfriday de 29 de outubro de 2021. Desde então, a atenção máxima do lojista deve ser compreender como está sua conformidade com a LGPD, com o estabelecimento de uma governança de dados pessoais, envolvendo o uso de recursos e elementos para demonstrar que o agente de tratamento está em conformidade com a lei e melhores práticas de proteção de dados, respeitando os direitos dos titulares e princípios previstos no art. 6 da Lei Geral de Proteção de Dados.

Após um ano em vigor, a LGPD já embasava, em junho de 2021, mais de 1.000 sentenças na Justiça e mais de 600 decisões ligadas à temática, sendo São Paulo, Distrito Federal e o Paraná os Estados com maior concentração de processos. E este número só aumenta. Na mesma intensidade, os PROCONS dos Estados se estruturam para receber reclamações por violações de dados e fiscalizar empresas, que já começam a ser notificadas.

Em tempos de Blackfriday, ações de marketing que não considerem as melhores práticas de proteção de dados podem causar grandes transtornos para as empresas e lojistas, danos que podem ser irreparáveis para a marca da loja.

Os tratamentos de dados pessoais nas compras no e-commerce estão, via de regra (mas nem sempre), amparados pela premissa execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados, porém, para outras ações e usos dos referidos dados pessoais, faz-se primordial a transparência ao titular de dados, ou, de acordo com o contexto, pode ser necessário o consentimento do mesmo, livre, expresso, informado, inequívoco.

Deve-se destacar, ainda, o dever de segurança da informação de responsabilidade dos controladores e operadores de dados pessoais. Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Como medidas técnicas podemos citar testes de intrusão nos portais, criptografia, pseudonimização, controles de acesso, backups regulares, plano de recuperação de desastres, monitoramento de segurança e demais controles. Já como medidas organizativas é fundamental o treinamento e conscientização dos colaboradores e time de vendas para uso e manuseio adequado dos dados pessoais confiados, evitando-se incidentes com dados pessoais ligados à insiders ou pessoas com privilégios, confiança ou acesso a dados.

Em um cenário de aumento exponencial das compras online, sobretudo influenciadas pelo momento pandêmico atravessado e de vigência da LGPD e principalmente, em face da possibilidade de aplicações de sanções e autuações pela a ANPD e Procons, é importante que o comerciante esteja atento e preparado  para gerir adequadamente questões ligadas à segurança da informação e proteção de dados, que poderão crescer especialmente nesta edição. As lojas físicas ou virtuais devem disponibilizar, de forma transparente, ponto de contato para que o titular possa requerer informações sobre o tratamento de seus dados bem como exercer os direitos previstos no art. 18 da norma.  A ausência deste canal, por si só, é um indício de desconformidade e poderá gerar notificações e autuações.

Dentre as preocupações do e-commerce e comércio em geral, e que devem ser consideradas, sobretudo no período da BlackFriday, podemos citar:

  1. Uso indevido da identidade visual do e-commerce: Engana-se a empresa ou lojista que não tem responsabilidade alguma diante do uso indevido de sua identidade visual, como a criação de um “site falso”, por exemplo. Cabe a este desenvolver campanhas de conscientização, junto com o marketing, para evitar que criminosos usem sua identidade visual para fraudar, inclusive em redes sociais. A boa prática também recomendada monitorar o uso indevido da marca em redes sociais. Selos de certificação de autenticidade e conformidade do portal, como o Confiaweb, da CyberExperts, são ótimas alternativas.
  2. Uso indevido de dados pessoais para compras: Criminosos cibernéticos negociam selfies, documentos e dados pessoais para criação de cadastros em marketplaces e lojas, para fraudes ligadas a compra e vendas de produtos. Tenha um anti-fraude ativo e atuante na revisão de integridade dos dados pessoais usados, como por exemplo, tentativa de cadastros duplicados, informando sempre o titulares de dados.
  3. Cancelamentos “chargebacks” fraudulentos: A facilidade em obter cartões tem permitido que marginais compareçam, até mesmo fisicamente, em lojas, e passem o cartão, requerendo cancelamento tão logo a compra é entregue.
  4. Ataques ou códigos maliciosos: Os criminosos podem conseguir acesso à base de dados de clientes, compras, cartões e com isso lesar clientes e titulares de dados. Tem crescido também a invasão aos meios de pagamentos utilizados pelos lojistas e com isso, ocorrendo os cancelamentos das compras feitas.
  5. Autenticação fraca ou insegurança nas comunicações: Tem crescido no Judiciário processos favoráveis aos consumidores, quando é comprovado, por perícia técnica que o site não adotava autenticação forte com dois ou mais fatores, ou mesmo não  aplicava criptografia ponta a ponta nas comunicações com o cliente, ou, ainda, ao ser informado de um incidente com dados pessoais, nada fez.

Neste sentido, são preocupações que exigem um reforço analítico prévio e preparo dos recursos para a segurança da informação e dos dados pessoais tratados. Além do contexto de fraudes, é importante coordenar e revisar previamente as ações planejadas por marketing e outras ações pontuais para a temporada ou pré-temporada, que envolvam tratamento de dados pessoais.

É boa prática que um comitê interno esteja constituído e que os processos para validação das operações que envolvam novos tratamentos sejam considerados e executados. Caberá ao encarregado de proteção de dados (DPO) interagir com as áreas, buscando compreender atividades novas que precisam ter seus fluxos mapeados e com isso, adotadas medidas para reduzir, mitigar riscos, além da avaliação criteriosa da base legal adotada para os novos tratamentos de dados.

Landing pages ou hotsites, muito comuns neste período, e que busquem coletar dados além dos dados mínimos necessários para a compra, precisam contar com disposições transparentes sobre o uso dos dados, finalidade, compartilhamento, tempo de retenção e demais informações, sendo que, em determinadas situações, onde não for possível com clareza e segurança o enquadramento em outra base legal, o tratamento deverá, antes de iniciado, contar com mecanismo para registro do consentimento do titular, sendo que o ônus de provar o consentimento é do agente de tratamento de dados.  Vale também o alerta para o não envio de mensagens ou abordagens para contatos que jamais tiveram qualquer relação com o negócio, conduta que poderá caracterizar spam, tratamento irregular ou indício de base de dados comprada.

É preciso cuidado especial com os avisos de privacidade, políticas e termos do site, que deverão estar atualizados e contemplar também as ações que envolvam tratamento de dados pessoais específicos para a Blackfriday, do mesmo modo, contemplando a política de cookies, sendo que o portal ou site da loja deverá dispor de forma transparente de recurso que permita ao usuário selecionar quais pacotes de dados poderão ser registrados ou coletados, lembrando sempre que este só não terá opção diante dos cookies necessários, que são indispensáveis para o funcionamento seguro do site.  Para os demais, devem estar desativados por padrão, em prestígio da privacidade “by default”.

Importante mencionar que, dentre todos os direitos do titular de dados, previstos no art. 18 da LGPD, está o direito de “se opor” a um tratamento que foi realizado sem o consentimento do mesmo. Esta oposição poderá se dar, por exemplo, caso as informações prestadas pelo e-commerce apresentem uma atividade de tratamento de dados cuja base legal adotada foi o legitimo “interesse” e o titular discorde.

Deste modo, é muito importante que, previamente, todos os novos processos e operações de tratamento de dados pessoais estejam devidamente mapeadas, analisadas e as medidas para proteção dos dados adotadas e ativas, sem descartar, ainda, a necessidade da manutenção atualizada de documentos e registros que são evidências de que a loja estabeleceu e mantém um sistema de gestão de proteção de dados, informações estas que poderão ser solicitadas a qualquer momento pela ANPD ou órgãos de defesa do consumidor.

É fundamental manter os processos e workflows ativados, com recursos humanos preparados para que, partir do recebimento de requerimentos de titulares ou notificações e até mesmo intimações e autuações, a empresa saiba claramente como agir e qual processo seguir.

Por fim, um dos pontos mais importantes: A gestão e resposta a incidentes. Por mais que o empreendedor invista em segurança da informação, enfrentar um incidente que possa envolver dados pessoais é questão de tempo. Neste sentido, processos de resposta a incidentes de segurança da informação e recursos necessários precisam ser aplicados e preparados para, diante do comprometimento de dados pessoais, sejam adotadas as medidas amparadas por melhores práticas para redução do impacto e comunicação a titulares e ANPD.  Antecipação é fundamental, com preparo de equipes internas e consultorias externas para dar suporte a todos os processos, especialmente nesta fase, onde os criminosos digitais também se preparam para lucrar com golpes, fraudes e crimes cibernéticos, lesando milhares de pessoas.

Deste modo, o que não se espera de um comércio ou loja virtual à esta altura é que tenha que fazer, em tempos de Black Friday, uma “adequação de última hora”, mas na verdade, que considerando uma governança já em execução, atue para uma intensificação e revisão de todos os componentes do Sistema de Gestão de Proteção de Dados, com vistas a um período intenso de muitas compras, interações e compartilhamento de dados pessoais, o que somado ao crescimento do oportunismo, golpes e fraudes digitais, em alta no Brasil, pode gerar danos significativos a consumidores e ao varejo, com perdas financeiras e reputacionais irreparáveis. Se o seu negócio não iniciou um programa de governança para compliance com a LGPD, o risco é, evidentemente, ainda maior.

José Antonio Milagre, é Advogado especialista em Direito Digital e Proteção de Dados, Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts.

Advocacia José Milagre https://www.direitodigital.adv.br



LGPD: Entenda o Regulamento do Processo de Fiscalização e Administrativo da ANPD

Quais os deveres de agentes de tratamento de dados e como se dará a fiscalização e o processo administrativo diante de uma autuação por tratamento irregular de dados pessoais

José Antonio Milagre *No dia 29 de outubro de 2021 foi publicado no Diário Oficial da União a Resolução CD 01/2021, que aprova o regulamento do processo de fiscalização e processo administrativo sancionador no âmbito da Autoridade Nacional de Proteção de Dados, a ANPD.

Estabelece o documento os procedimentos inerentes à fiscalização que agentes de tratamento de dados poderão se submeter, bem como demais regras. A disposições da Lei 9.784/1999 aplicam-se subsidiariamente a este procedimento.

Dentre as atividades da fiscalização estão a) monitoramento, b) orientação e c) atuação preventiva e d) atuação repressiva. O artigo 4º. da norma estabelece o conceito de “agentes regulados”, que são agentes de tratamento e demais integrantes interessados no tratamento de dados pessoais, bem como o conceito de autuação e denúncia, sendo esta a comunicação feita à ANPD por qualquer pessoa natural ou jurídica de suposta infração, prevendo ainda as atividades ligadas à obstrução da atividade de fiscalização. O titular de dados também poderá peticionar à ANPD sobre uma solicitação apresentada ao controlador de dados e não solucionada.

No art. 5º. da resolução são apresentados os deveres dos agentes regulados, em processos de fiscalização, dentre eles, fornecimento de cópias de documentos físicos ou digitais, permitir acesso às instalações, equipamentos, facilidades e sistemas e outros recursos, permitir que a ANPD conheça sistemas de informação utilizados para tratamento de dados e informações. Agentes também deverão se submeter as auditorias realizadas ou determinadas pela ANPD e manter os documentos físicos ou digitais, os dados e as informações nos prazos estabelecidos na legislação ou regulamentação específica, bem como durante todo o prazo de tramite dos processos administrativos. Devem os agentes disponibilizar, sempre que requisitado, representante apto à suporte atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e atender demais aspectos.

O agente de tratamento de dados pessoais poderá acompanhar a auditoria da ANPD, ressalvados os casos em que a prévia notificação ou o acompanhamento presencial sejam incompatíveis com a natureza da apuração. Se o agente não cumprir os deveres previstos na resolução, diante de um processo fiscalizatório, poderá se caracterizar a denominada obstrução à atividade da fiscalização, com respectivas sanções.

Os prazos das comunicações em procedimentos administrativos serão contados em dias úteis e passarão a correr somente após a ciência oficial do agente de tratamento. Os dados que deverão constar de intimação são elencados no artigo 10 da norma, e a intimação poderá ser dar para que o intimado possa comparecer, fazer-se representar, manifestar-se ou apresentar defesa, dependendo do contexto. Os atos administrativos serão realizados preferencialmente por meio eletrônico. Os titulares de dados, aqueles que sem terem iniciado o processo, possuam direitos ou interesses que possam ser afetados pela decisão, as organizações e associações representativas, no que tange a interesses difusos e coletivos e as pessoas ou as associações legalmente constituídas quanto a direitos e interesses difusos são considerados interessados nos processos administrativos.

Dentre as atividades que envolvem o processo de fiscalização, como visto, encontra-se a atividade de monitoramento, que destina-se ao levantamento de informações e dados para subsidiar a tomada de decisões da ANPD. Por sua vez, a atividade de orientação é marcada por métodos que almejam conscientizar e educar os agentes de tratamentos e titulares de dados. A atividade preventiva, também prevista na resolução, consistirá em construções conjuntas de soluções e medidas para recondução do agente de tratamento à conformidade e a atividade repressiva, prevista no art. 15, parágrafo 4º, é marcada pela atuação coercitiva da ANPD, com foco na interrupção de situações de dano ou risco, à recondução da conformidade e, principalmente, punição dos responsáveis, com aplicação das penalidades do art. 52 da LGPD, por meio do processo administrativo sancionador.

A ANPD poderá atuar de ofício, em decorrência de programas periódicos de fiscalização ou de forma coordenada com órgãos e entidades públicas, ou ainda em cooperação com autoridades de proteção de dados pessoais de outros países.

Dentre as premissas da fiscalização, encontram-se a priorização da atuação baseada em evidências e riscos regulatórios, atuação de forma responsiva, com adoção de medidas proporcionais ao risco identificado e postura dos agentes regulados, estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo controlador.

Nos termos do artigo 24 da resolução, a ANPD estabelecerá e divulgará os meios para recebimento dos requerimentos, e a admissibilidade dos mesmos será realizada pela Coordenação-Geral de Fiscalização, que avaliará se os itens do art. 25 se fazem presentes, dentre eles, competência da ANPD para apreciar a matéria, legitimidade do Requerente, descrição correta do fato. Lembrando que denúncias anônimas poderão ser recebidas e processadas, se constatada verossimilhança das alegações.

Já no que tange à atividade de orientação, estas não constituirão sanção ao agente regulado, e o art. 29 prevê a adoção de medidas pela ANPD, como elaboração de guias, sugestões, ferramentas de autoavaliação, divulgação de regras de boas práticas, dentre outras, como recomendações de uso de padrões técnicos e programas de governança e privacidade. Na atividade preventiva, onde se visa a construção conjunta para recondução à conformidade, a ANPD poderá adotar medidas envolvendo divulgação de informações e dados setoriais, avisos, com descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providencias, solicitações de regularização, em prazo determinado ou mesmo determinar a elaboração de um plano de conformidade.

Importante mencionar que o plano de conformidade deverá conter, no mínimo, os itens previstos no art. 36, especialmente, ações previstas para reversão da situação identificada. O não cumprimento do plano de conformidade enseja a progressão da ANPD para atuação repressiva, onde punições poderão ser aplicadas, após processo administrativo com a garantia da ampla defesa.

Neste ambiente, no que tange à atividade repressiva, o processo, nos termos do art. 37, poderá iniciar de ofício, em decorrência de processo de monitoramento ou diante de requerimento em que a Coordenação Geral de Fiscalização deliberar pela abertura imediata do processo sancionador.

A norma prevê um procedimento preparatório, em seu artigo 40, com a possibilidade de averiguações preliminares, quando os indícios ainda não forem suficientes para instauração de processo administrativo, podendo, inclusive, tramitar em sigilo. Das análises preliminares poderá restar arquivamento ou instauração do processo administrativo sancionador. Durante o processo administrativo sancionador o agente de tratamento poderá, nos termos do artigo 43, apresentar termo de ajustamento de conduta, que se assinado e posteriormente cumprido, ensejará o arquivamento do processo administrativo.

Se instaurado, procedimento administrativo, a Coordenação-Geral de fiscalização intimará o agente de tratamento interessado para apresentar defesa no prazo máximo de 10 (dez) dias úteis, na forma indicada na intimação e o Autuado poderá juntar provas que julgar necessárias em sua defesa, podendo a ANPD admitir a participação de terceiro interessado.

O art. 51 da Resolução estabelece que os pedidos de produção de provas serão analisados pela Coordenação-Geral e poderão ser indeferidos. A prova pericial, também prevista na resolução, se deferida, terá os requisitos relevantes e os quesitos a serem respondidos pelo perito fixados pela Coordenação Geral de Fiscalização.

O exame técnico poderá ser feito por autoridade ou servidor da ANPD ou de qualquer órgão público ou por profissional objeto de Termo de Cooperação previamente celebrado ou por profissional contratado para tal fim, sendo permitido ao interessado a indicação de assistentes técnicos. Espera-se que a Autoridade Nacional regulamente o termo de cooperação entre peritos em informática e dados e o órgão, para atuações pontuais.

O perito em dados se evidenciará fundamental no procedimento administrativo, considerando que a prova de muitas questões técnicas ligadas a tratamentos irregulares de dados não pode, sempre, ser caracterizada com documentos ou “autodeclarações”.

Finalizada a instrução processual, caberá alegações finais pelo Autuado, no prazo de 10 dias úteis, se entre a defesa e a instrução forem produzidas provas novas. Superada esta etapa, e transcorrido o prazo da defesa, será elaborado relatório de instrução, que subsidiará a decisão de primeira instância, subindo o processo concluso à CGF, conforme artigo 54. Ao final, a CGF proferirá decisão de primeira instância, que deverá ser motivada, com a aplicação das sanções, quando cabíveis, observando-se os critérios do parágrafo. 1º. do art. 52 da LGPD, fixando prazo para cumprimento da sanção e caso não seja cumprido, poderá ocorrer processo de execução.

Desta decisão, caberá recurso administrativo ao Conselho Diretor da ANPD, no prazo de 10 dias da intimação, recurso este que deve ser endereçado ao CCF, sendo que este poderá manifestar pelo arquivamento ou não conhecimento do recurso, como por exemplo, recurso manejado fora do prazo. O CCF poderá também reconsiderar a decisão e caso não o faça, deverá submeter o recurso ao Conselho Relator, onde este será apreciado pelo relator, com voto dos demais membros, o que poderá se dar, primeiramente, pela admissibilidade ou não, e posteriormente, pelo provimento total ou parcial ou pelo indeferimento do recurso interposto.

A decisão se torna irrecorrível a partir de então na via administrativa, ressalvado, no entanto, que a qualquer momento poderá ocorrer a revisão de decisão que aplicou sansões, de oficio ou a requerimento da parte, desde que se comprove a existência de novos fatos ou circunstâncias relevantes que possam afastar a punição. A exemplo, um agente que não conseguiu provar que não deu causa ao vazamento de dados, mas que posteriormente, obtém novos dados resultantes de perícia particular e que indica responsabilidade de terceiros.

Em encerramento, transitado em julgado, a Coordenação-Geral de Fiscalizacão (CGF) acompanhará o cumprimento da decisão no prazo nesta fixado e se cumprida a decisão, os autos serão arquivados. Por outro lado, em se tratando de sanção pecuniária e não havendo o pagamento, o devedor será intimado da inscrição de seu nome no Cadastro Informativo de Créditos não quitados no Setor Público Federal (CADIN) bem como inscrição na dívida ativa, com processo encaminhado à Advocacia Geral da União para as providências cabíveis. O primeiro ciclo de monitoramento fiscalizatório terá início em janeiro de 2022 e poderá ocorrer a edição de novas portarias para complementar o regulamento, que como visto, define claramente as regras de fiscalização, como os agentes de tratamento devem cooperar e todas as etapas do processo administrativo, diante de atuações como começarão a ocorrer.

Acesse a resolução na íntegra em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpdn1-de-28-de-outubro-de-2021-355817513

José Antonio Milagre, é Advogado especialista em Direito Digital e Proteção de Dados, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivcyOffice, grupo de privacidade e proteção de dados da CyberExperts. http://www.privacyoffice.com.br

Advocacia José Milagre http://www.direitodigital.adv.br



Esclarecimentos sobre “os perigos” da MP de Bolsonaro que muda as regras de moderação de conteúdos em redes sociais

José Antonio Milagre *

A possível regulamentação das redes sociais com mais de 10 milhões de usuários já era ventilada da no cenário político brasileiro pelo Presidente Bolsonaro. Tal como nos Estados Unidos, onde Trump tentou intervir nas redes, o presidente Bolsonaro se demonstrava profundamente incomodado com as “remoções de postagens” ligadas às Big Techs que prestam serviços de redes sociais. Evidencia-se que o pano de fundo é político, bem como o medo destas redes influenciarem nas eleições que se avizinham. O Presidente claramente revida medidas ligadas ao inquérito das Fake News, com a suspensão de contas de apoiadores, além das intervenções do TSE que desmonetizou canais ligados a apoiadores do mesmo.

Às vésperas de 07 de setembro, foi editada a Medida Provisória 1068/2021, que trata da moderação das contas e conteúdos em redes sociais, e que, sob o manto da preservação da liberdade de expressão, da ampla defesa e do contraditório no ambiente das redes sociais, poderá favorecer ações de desinformação, que terão “mais tempo” para continuarem se consumando, diante da vedação da possibilidade de iniciativa direta das próprias redes em retirarem determinados conteúdos do ar e removerem perfis ofensivos.

Logicamente, advogados e especialistas em direito digital questionam a ausência de urgência ou relevância da MP e a regulamentação de um tema sensível por meio deste instrumento, porém, estas não são as únicas inconstitucionalidades ventiladas e existentes. Quais os perigos existentes na MP? É importante destacar, ainda, que dias atrás, Bolsonaro sancionou a Lei de Segurança Nacional, com quatro vetos, sendo um deles, o do dispositivo que criminalizava a comunicação mentirosa em massa.

Existiu um tempo em que as próprias redes sociais acreditavam que só poderiam remover um conteúdo com base em ordens judiciais. Elas chegavam a argumentar que “Não eram Juízas.” No entanto, a evolução mostrou que, dada a influência e o potencial danoso aos direitos e garantias fundamentais, precisariam estas, em casos específicos e caracterizadas infrações ou riscos, agir rapidamente, após superados procedimentos internos de análise de denúncias e investigações humanas ou automatizadas. Fake News que circularam durante a pandemia poderiam levar pessoas à tomada de decisões errôneas, que ameaçariam a vida e causariam danos. O Marco Civil da Internet, Lei 12965/2014, estabeleceu os fundamentos dos direitos dos usuários de internet e deveres aos provedores de aplicações.

Embora não seja um dever das redes sociais removerem conteúdos sem ordem judicial (com exceção do art. 21 do Marco Civil), é evidente que as redes passaram a se esforçar para que, em determinadas situações específicas, isto ocorresse, assumindo os riscos da remoção de eventuais conteúdos que fossem considerados, posteriormente, legítimos. As pressões de instituições e sociedade fizeram com que criassem mecanismos de checagem de fatos, que longe estão de serem perfeitos, mas que existem. Além disso, a autonomia destas empresas, assegurada no Brasil, também garante que estas organizem termos de uso e padrões de comunidades e ajam caso entendam, por revisão humana ou automatizada, que algum perfil ou publicação é potencialmente enganoso, criminoso, ou fere os padrões e regras estabelecidas pela plataforma.

Com a alteração trazida pela MP ao artigo 8-B do Marco Civil, a moderação ou remoção das contas em redes sociais só poderá ocorrer em casos de inadimplência do usuário (o que não faz sentido para as redes impactadas, entre aspas, “gratuitas”), perfis falsos, uso de BOTs, violações à propriedade intelectual, reiterada violação das regras de moderação, ou, fora estas hipóteses, somente com ordem judicial. Por sua vez, o novo artigo 8-C traz as hipóteses em que uma postagem poderá ser excluída, somente nos casos onde ocorrer “justa causa”, segundo o texto, quando ocorrer violação ao Estatuto da Criança e do Adolescente, em casos de nudez ou sexo, pedofilia, terrorismo, tráfico, incitação à violência, ensino à fabricação de drogas, ou incitação de atos de ameaça ou violência, inclusive por razões de discriminação ou preconceito de raça, cor, sexo, etnia, religião ou orientação sexual, ou incitação de violência contra a segurança pública.

Já conteúdos que atentem contra a honra, imagem, proteção de dados pessoais e propriedade intelectual, podem (não devem) ser moderados, desde que ocorra o requerimento do ofendido, representante legal ou de herdeiros. Neste ponto, especificamente, nada muda, já que as redes sociais, salvo exceções, não removem potenciais ofensas à honra e imagem de modo extrajudicial, exigindo das vítimas a obtenção de uma ordem judicial válida, o que é extremamente cansativo e oneroso.

Na prática, é fato que as redes sociais pouco fazem para intervir extrajudicialmente em situações relatadas desta natureza, a despeito, inclusive, do que é previsto no artigo 21 do Marco Civil da Internet, que assegura às vítimas, notificarem diretamente as redes para indisponibilização de conteúdos ligados a imagens, de vídeos ou outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado, sem necessidade de ordem judicial.

As redes sociais vão continuar atuando, ao que parece, no melhor de dois mundos, quer em determinados momentos agindo extrajudicialmente e excluindo conteúdos, quer em outros, e muitas vezes sem critérios transparentes, resistindo até últimas instâncias em processos judiciais, litigando e defendendo a manutenção de conteúdos evidentemente violadores no ar. O que se tem agora, inclusive, á uma “permissão” para atuarem sem ordem judicial, diante de situações em que só agiam após intervenção de um juiz, dado o risco de tomarem decisões equivocadas.  O texto ainda prevê que as redes informem os usuários afetados sobre os motivos da moderação, com informações sobre prazos e canais para a contestação e revisão da decisão, o que na nossa visão, não pode ser considerado um ponto ruim.

O que a MP faz, e este ponto sim, é grave, é colocar todas estes potenciais delitos como questões “de justa causa”, onde permite-se a atuação e remoção sem ordem judicial (o que vimos, não significa que ocorrerá na prática), e não inserir, neste rol de “justa causa”, especificamente, a desinformação ou as “Fakenews”, como visto, combatida pelos recursos das plataformas. É nítido o escopo da MP: Impedir que conteúdos considerados falsos por “fact checks” das redes sejam removidos sem ordem judicial, ou mesmo que perfis associados sejam bloqueados. Em nosso sentir, é este o risco que deve ser usado como justificativa a todos que criticam o texto, além é claro, da não satisfação dos requisitos para expedição de Medida Provisória.

E o texto vai além, forçosamente e cirurgicamente, altera a Lei de Direitos Autorais, 9610/1998 e estabelece no artigo 109-B a possibilidade do titular de uma “postagem”, diga-se, autor da mesma, em requerer de órgão responsável (a ser indicado por regulamento), a aplicação de penalidade para a rede social que removeu conteúdo, incluindo, o restabelecimento do referido conteúdo. Assim, em breve, caso não seja freada no Congresso, a MP poderá ensejar a constituição de um órgão que punirá as redes sociais por intervenções em conteúdos e perfis, sem ordem judicial ou justa causa.

Em que pese ter-se emanado muita desinformação sobre a MP, com alegações de que trata-se de texto de que “privilegiará o crime cibernético” ou que “dificultará o combate a Bullying e assédio”, além de muitas opiniões não técnicas e carreadas por partidarismos e ideologias, é evidente que a forma adotada pelo Presidente Bolsonaro de longe não estampa uma “real preocupação com liberdade de expressão”, mas busca, assegurar a limitação das redes em usarem mecanismos para coibirem desinformações, que como visto, podem ser perigosas à pessoas e à nação, e vem em sentido contrário à um esforço global entre redes e autoridades para implementação de mecanismos para conter a onda perigosa de Fake News.

De se destacar que tramita no Congresso o Projeto de Lei 2.630/2020, que tratada as Fake News, em fase de audiências públicas e contribuições de diversas entidades, onde o debate está sendo desenvolvido com o tempo necessário e vários aspectos sendo considerados.

Na militância diária em questões ligadas à direito e tecnologia e redes sociais, podemos afirmar, erros existem e continuarão existindo, em ambos os extremos, quando a temática é moderação de contas e conteúdos. Continuaremos a ver conteúdos perigosos e criminosos, altamente denunciados, e sem qualquer mover dos responsáveis pelas redes sociais. Assim como também veremos erros cometidos ligados à exclusão não transparente de conteúdos legítimos que foram classificados como “ofensivos” ou “potencialmente enganosos”.  Também continuarão existindo abusos e desproporcionalidade, com a remoção de perfis inteiros por conta de uma única publicação.

É evidente, também, que as regras de remoção de conteúdos e termos de usos das redes socais precisam ser mais claros e objetivos e esforços devem ser construídos neste sentido, sobretudo, para que usuários estejam cientes e sejam notificados dos potenciais conteúdos considerados ofensivos, sendo oportunizada a defesa. Enquanto isso não ocorre, o Poder Judiciário permanece inafastável, inclusive, para restabelecimento de contas e conteúdos eventualmente “considerados” atentatórios pelas redes sociais. São inúmeros os julgados no País que condenaram as redes em restabelecerem postagens, perfis, contas, canais ou a indenizar pela insistente negativa em cumprir obrigações de fazer. A Justiça nunca se quedou inerte para equilibrar e analisar as relações digitais, quer para quem entende que foi vítima, quer para quem entende que foi censurado em um conteúdo publicado. O tema precisa ser debatido com profundidade e uma MP à toque de caixa nitidamente traz males maiores do que o pretenso “bem” que tenta assegurar.  É importante destacar a validade das Medias Provisórias e necessidade de apreciação pelo Congresso, onde certamente encontrará reações. Satisfazer interesses político-eleitorais, por meio de alterações bruscas de direitos e garantias legais, não pode ser prática consolidada no País.

Advogado especialista em Direito Digital, Mestre e Doutor pela UNESP, Presidente da Comissão de Direito Digital da Regional Vila Prudente da OAB/SP e Diretor do Instituto de Defesa do Cidadão na Internet – IDCI Brasil. www.direitodigital.adv.br



Assédio, violência psicológica e perseguição contra mulher na Internet. O que fazer e como denunciar?

O Assédio e a perseguição contra mulheres cresceram no Brasil, sobretudo em tempos de pandemia, isolamento social e maior interatividade online. Saiba o que fazer e como agir caso tenha sido vítima ou sofrendo com perseguição na Internet

Assédio em números

Uma Pesquisa da ONG Plan International envolvendo 500 brasileiras, constatou que 77% declararam terem sido assediadas em um ambiente virtual. Esse número é maior que a média global, que é de 58%. Quando falamos de importunação pelos meios digitais, a pesquisa revelou, que em 2020, 8 em cada 10 jovens brasileiras já sofreram o chamado “assédio on-line”.

Já um relatório de transparência do Linkedin, pasme, uma rede para fins profissionais, identificou que entre julho e dezembro de 2020, foram removidas do site mais de 157 mil postagens em âmbito mundial, contendo “assédio ou abuso”, o que engloba “palavras rudes” e insinuações sexuais. Uma pesquisa PUC-SP (Pontifícia Universidade Católica de São Paulo), revelou que as mulheres são mais assediadas moralmente do que os homens, onde 65% relatam atos violência psicológica, em face 29% dos homens.

Para a Organização Internacional do Trabalho (OIT), mais de 50% das trabalhadoras em todo o mundo já sofreram assédio sexual. Porém, somente 1% dos casos é denunciado. No Brasil o assédio, segundo a assediomoral.org, atinge 36% da população economicamente ativa. E os meios digitais podem ser usados para estas práticas.

Como identificar as abordagens

As abordagens são as mais diversas. Em redes profissionais, o contato pode parecer uma “chamada para uma parceria” ou alguém interessado no trabalho da pessoa. No início, a abordagem não demonstra nenhum excesso, até que se iniciam perguntas de cunho pessoal e insinuações, muitas vezes, persistentes.

Há também abordagens grosseiras, violentas, e nítidas insinuações sexuais, muitas vezes cometidas por meio de comunicadores instantâneos e redes sociais.

Como se proteger?

Ninguém deve ter sua liberdade digital cerceada, jamais. Infelizmente, não se pode garantir que pessoas estejam 100% protegidas contra estas abordagens ofensivas e muitas vezes criminosas. Porém, algumas orientações aumentam a proteção.

a) Avalie sempre quem você está aceitando para participar da sua rede de contatos evitando contato com pessoas sem foto, perfis recém criados, ou sem postagens e interatividade habitual;

b) Verifique também se existem amigos em comum;

c) Configure suas redes para não receber conteúdo ou mensagens de pessoas não adicionadas;

d)Caso perceba de imediato se tratar de uma abordagem indevida, assediadora, de cunho sexual ou que cause dano emocional, além de bloquear o perfil, também o denuncie, pois um perfil que recebe inúmeras denúncias pode ser banido das redes sociais.

Quais crimes podem ser praticados por assediadores?

De acordo com as posturas e contexto das investidas, as abordagens poderão caracterizar diversos crimes, como assédio sexual, assédio moral, stalking ou mesmo importunação sexual, além de crime contra a honra. Saiba diferenciar:

Assédio sexual é diferente de assédio moral?

O assédio sexual é considerado uma espécie agravada do assédio moral, e está ligado ao constrangimento de alguém, mediante palavras, gestos ou atos, com o fim de obter vantagem ou favorecimento sexual, onde o assediador vale-se de sua condição de superior hierárquico ou da ascendência inerente ao exercício de cargo, emprego ou função.

Existe uma finalidade de natureza sexual para os atos de perseguição e importunação. O crime está consumado ainda que ocorra uma única vez. É um crime que atenta contra a dignidade da pessoa humana e ataca o direito à segurança no trabalho e igualdade de oportunidades, muitas vezes danificando a saúde das pessoas. Está previsto no Código Penal Brasileiro:

Art. 216-A. Constranger alguém com o intuito de obter vantagem ou favorecimento sexual, prevalecendo-se o agente da sua condição de superior hierárquico ou ascendência inerentes ao exercício de emprego, cargo ou função

Pena – detenção, de 1 (um) a 2 (dois) anos.

Por sua vez, o assédio moral ainda não é tipificado como crime no Brasil. Entretanto, tramita no Congresso o PL 4742/2021, que tipificará o assédio moral com pena de detenção de três meses a um ano, além de multa.

No entanto, dependendo do contexto, o assédio moral pode caracterizar outros crimes, como crimes contra a honra, racismo, injuria racial. Segundo a Enciclopédia Jurídica da PUC “Assédio moral é toda conduta praticada pelo empregador, seja ele o chefe ou um superior hierárquico, ou pelos colegas de trabalho que vise a tornar o ambiente de trabalho insuportável, por meio de ações repetitivas que atinjam a moral, a dignidade e a autoestima do trabalhador, sem qualquer motivo que lhe dê causa, apenas com o intuito de fazê-lo pedir demissão, acarretando danos físicos, psicológicos e morais a esse trabalhador.”(PUC, 2020) [1]

No entanto, existe uma prática muito comum onde o agente não assedia ou ofende diretamente, mas com comentários “desconexos” ou ações “desconfortáveis”, persegue reiteradamente a vítima em redes sociais, subtraindo-lhe, aos poucos, sua liberdade.

Diferentemente das abordagens acima, existe um delito aparentemente menos “evidente” (aparentemente), e que até recentemente não era considerando um crime, mas meramente uma contravenção penal (Art. 65). Estamos falando do Stalking, a perseguição reiterada que muitas pessoas, especialmente mulheres, sofrem. Alguns exemplos comuns são constantes comentários com insinuações, envio de mensagens não solicitadas. Mesmo a vítima bloqueando os números ou contatos, o criminoso sempre dá um jeito de criar um contato ou adicioná-la através de outro número, enviando áudios, vídeos, comentando de forma descontrolada, insistente, cerceando sua liberdade e paz.

Recentemente, o Tribunal de Justiça de São Paulo informou que um homem foi condenado a indenizar uma mulher no valor de R$ 20 mil reais por danos morais, por assédio em redes sociais. No caso, a vítima informou que enviou seu contato ao Autor para fins profissionais, mas este, no entanto, utilizou o contato de forma indevida, propondo encontros íntimos e reiterados, que duraram 12 dias. Não bastasse, após a vítima não aceitar os contatos, este ainda enviou fotos dos órgãos sexuais. Este alegou engano em juízo, logicamente, tese não aceita pelo Juiz, considerando não existirem “provas do engano”. No caso, além de caracterizado o crime de stalking, recém trazido ao Código Penal Brasileiro, também poder-se-ia cogitar da aplicação do delito de “importunação sexual”, na medida em que para satisfazer sua própria lascívia (luxúria, libidinagem), o Autor enviou fotos íntimas à vítima. Tanto o stalking, quanto a importunação, estão previstos no Código Penal Brasileiro:

Art. 147-A.  Perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade.       Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa.

1º A pena é aumentada de metade se o crime é cometido:      

I – contra criança, adolescente ou idoso;
II – contra mulher por razões da condição de sexo feminino, nos termos do § 2º-A do art. 121 deste Código;
III – mediante concurso de 2 (duas) ou mais pessoas ou com o emprego de arma.       

2º  As penas deste artigo são aplicáveis sem prejuízo das correspondentes à violência.      

3º  Somente se procede mediante representação.   

Art. 215-A. Praticar contra alguém e sem a sua anuência ato libidinoso com o objetivo de satisfazer a própria lascívia ou a de terceiro:  (Incluído pela Lei nº 13.718, de 2018)

Pena – reclusão, de 1 (um) a 5 (cinco) anos, se o ato não constitui crime mais grave. (Incluído pela Lei nº 13.718, de 2018)

Não demais destacar, ainda, o novo delito de “violência psicológica contra a mulher”, trazido pela lei 14.188 (lei que cria o sinal vermelho) e que também se aplica a ações que causem dano emocional à mulher, praticados por meio da Internet e tecnologia da informação:

Art. 147-B.  Causar dano emocional à mulher que a prejudique e perturbe seu pleno desenvolvimento ou que vise a degradar ou a controlar suas ações, comportamentos, crenças e decisões, mediante ameaça, constrangimento, humilhação, manipulação, isolamento, chantagem, ridicularização, limitação do direito de ir e vir ou qualquer outro meio que cause prejuízo à sua saúde psicológica e autodeterminação:     (Incluído pela Lei nº 14.188, de 2021)

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.    (Incluído pela Lei nº 14.188, de 2021)

Lembrando que o art. 7 da Lei Maria da Penha (Lei 11.340/2006) também prevê a violência psicológica ou agressão emocional no âmbito doméstico ou familiar, de aplicação comum em casos de pornô de vingança, onde ex-conviventes publicam conteúdo íntimo produzido durante a relação, caracterizando, diante de tais atos, humilhação, desvalorização moral ou deboche público da mulher. Vale lembrar que desde 2018 o pornô de vingança é passível de punição no Brasil, nos termos do art. 216-B do Código Penal Brasileiro:

Art. 216-B.  Produzir, fotografar, filmar ou registrar, por qualquer meio, conteúdo com cena de nudez ou ato sexual ou libidinoso de caráter íntimo e privado sem autorização dos participantes:  (Incluído pela Lei nº 13.772, de 2018)

Pena – detenção, de 6 (seis) meses a 1 (um) ano, e multa.

Parágrafo único.  Na mesma pena incorre quem realiza montagem em fotografia, vídeo, áudio ou qualquer outro registro com o fim de incluir pessoa em cena de nudez ou ato sexual ou libidinoso de caráter íntimo.   (Incluído pela Lei nº 13.772, de 2018)

Portanto, tão importante quanto conhecer quais os crimes previstos no ordenamento jurídico para condutas ligadas a assédio, perseguição e violência digital contra mulher, é saber o que fazer e como agir caso tenha sido vítima ou esteja experimentando uma destas situações tão maléficas à dignidade da pessoa humana.

O que fazer caso tenha sido vítima?

Muitas vezes a falsa sensação de impunidade ou medo de exposição faz com que pessoas aceitem sofrer violência e assédio digital. Caso tenha passado por qualquer constrangimento, tenha em mente as seguintes posturas:

a) Denuncie à rede social ou aplicativo. É possível também utilizar o dique 180 – Central de atendimento à mulher e formalizar sua denúncia;

b) Bloqueie a pessoa para cessar as ofensas, no entanto, não apague as abordagens, pois são provas do assédio ou dos demais crimes; Faça prova de que as abordagens são reiteradas e constantes;

c) Colete todas as informações possíveis sobre a pessoa, perfil, avatar, contato, registre tudo adequadamente. Seja rápida, pois na Internet, as informações podem ser excluídas;

d) Procure uma delegacia especializada, delegacia da mulher ou a delegacia de polícia para registrar a ocorrência e dar início à investigação, com futura representação pelos crimes;

e) Em casos de perfis anônimos, agir rápido para apurar a autoria e responsabilização dos atacantes, por meio de um advogado especialista em crimes cibernéticos; Um perito digital pode ser útil no auxílio à preservação das provas. Os criminosos, como visto, podem responder criminal e também no aspecto cível, sendo condenados à reparar a vítima.

Conclusões

Conhecer os direitos e as práticas que constituem violência é fundamental para que, diante de episódios, as vítimas saibam agir adequadamente. O empoderamento passa pelo conhecimento do que constitui ofensa e quais crimes podem ser praticados, bem como em saber claramente o que fazer e como agir diante do assédio ou perseguição online. O Instituto de Defesa do Cidadão na Internet – IDCIBrasil (https://www.facebook.com/idcibrasil/), presta apoio técnico, procedimental e emocional as vítimas de crimes cibernéticos e atua por meio de voluntários, em pesquisas, ações junto a entidades governamentais e campanhas de conscientização. Conheça também a cartilha do Senado Federal sobre o tema [2] a página para denunciar e buscar ajuda a vítimas de violência contra mulheres [3].

REFERÊNCIAS

[1] https://enciclopediajuridica.pucsp.br/verbete/337/edicao-1/assedio-moral

[2] https://www12.senado.leg.br/institucional/procuradoria/proc-publicacoes/cartilha-assedio-moral-e-sexual

[3] https://www.gov.br/pt-br/servicos/denunciar-e-buscar-ajuda-a-vitimas-de-violencia-contra-mulheres



A prova técnica pericial na conformidade e em litígios envolvendo a LGPD e a violação à dados pessoais

Diante da possibilidade da inversão do ônus da prova em favor do titular de dados, como agentes de tratamento poderão fazer prova de conformidade, ou mesmo de que não deram causa a eventos ou incidentes ligados à dados pessoais, evitando-se responsabilizações e penalidades?

José Antonio Milagre*

A multas e sanções da Lei Geral de Proteção de Dados (LGPD) já poderão ser aplicadas a partir de agosto de 2021. A LGPD estabelece que o Juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa. De fato, a produção da prova envolvendo tratamento irregular de dados pessoais, no ambiente tecnológico, possui uma série de peculiaridades.

É inegável que atribuir ao titular de dados o ônus técnico de provar o tratamento indevido de dados pessoais ou a insegurança da informação de controladores e operadores é tarefa deveras custosa, considerando sua hipossuficiência, bem como assimetria informacional existente, razão pela qual quis o legislador prever a possibilidade da denominada “inversão do ônus da prova”, já consagrada no Código de Defesa do Consumidor. É cediço que a demonstração de falha no sistema cabe a quem tem melhores condições [1].

Além disso, quando versamos da hipótese de tratamento com base no “consentimento” (uma das premissas para tratamento de dados pessoais) é previsão legal que cabe ao controlador o ônus de provar que o consentimento foi obtido em conformidade com o disposto na lei, ou seja, se o titular nega ter consentido, caberá àquele a responsabilidade de apresentar evidências desta conduta.

Muitos agentes de tratamento indagam qual a melhor forma de demonstrar que as atividades de tratamento de dados pessoais na empresa adotam, de fato, controles e medidas de segurança da informação para proteção dos dados pessoais. Como provar que as ações técnicas e organizativas estão ativas e não passam de autodeclarações? Como ir além de uma “autodeclaração” e gerar evidências independentes, provas da adoção de um Sistema de Gestão da Privacidade da Informação? Ou como avaliar robustez de controles para assegurar que eram efetivos, considerando o estado da técnica atual?

É notório que a Segurança da Informação tem sua atuação na proteção dos atributos de segurança, confidencialidade, disponibilidade e integridade a informação. Não se pode cogitar em privacidade sem segurança da informação. Tanto é verdade que um dos princípios ligados às atividades de tratamento de dados pessoais, trazidos na LGPD, é o princípio da segurança, pelo qual, devem os agentes de tratamento utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A declaração de aplicabilidade, principal ligação entre avaliação de riscos e implementação da segurança da informação, prática que revela os controles eleitos como necessários para organização e como serão implementados, é uma importante atividade no processo de adequação e deve ser conduzida com muita cautela, para se evitar, em um futuro, seja considerado que a empresa não adotou controles que seriam evidentemente necessários, de acordo com suas atividades desenvolvidas.

A legislação pátria de proteção de dados é clara ao prever que o tratamento irregular de dados pessoais não é só aquele que não observa a legislação (aspecto jurídico), mas também aquele que não “fornece a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, dentre elas, o modo pelo qual é realizado, o resultado e os riscos que razoavelmente dele se esperam, bem como as técnicas de tratamento de dados pessoais disponíveis à época em que foram realizados” (aspecto técnico).

Algumas inferências são possíveis: a) É preciso alinhar o modo pelo qual os dados pessoais são tratados, com o uso de melhores e reconhecidas práticas de segurança da informação disponíveis; b) É preciso identificar e analisar os riscos que determinadas atividades de tratamento de dados possuem; c) É preciso certificar que as técnicas usadas para tratamento de dados pessoais estão paripassu com técnicas seguras e disponíveis à época do tratamento.

A exemplo, tem-se tornado comum, judicialmente, processos movidos por pessoas contra plataformas, por invasões feitas a partir do acesso ligado a um único fator de autenticação. As teses, são as que disponibilizar um serviço onde se autentica com apenas um fator, em teoria, não é postura alinhada com técnicas já disponíveis e mais seguras, como por exemplo, o uso de uma biometria ou validação adicional por um token ou dispositivo, autenticação duplo fator.

Neste sentido, já se decidiu que a não comprovação de instruções enviadas ao usuário do sistema, sobre utilização certificação digital ou duplo fator de autenticação, para conferir maior segurança nas operações, evidenciam falha interna de segurança na empresa [2].

Conquanto não existam critérios rígidos para se avaliar o que é “melhor técnica”, é neste ambiente que a perícia forense digital poderá ter atuação fundamental, tanto em processos judiciais e até mesmo em processos administrativos da Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos. A prova pode ser a pericial, ligada a um exame, ou até mesmo a prova técnica simplificada, envolvendo casos de menor complexidade, onde o especialista, analisando o contexto, profere seu parecer, sendo ouvido na própria audiência de instrução, com a garantia da participação dos assistentes técnicos, dispensando-se, nesta hipótese, um laudo.

Oportuno mencionar que, de acordo com a LGPD, responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que deixa de adotar as medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. A Autoridade Nacional de Proteção de Dados Pessoais, inclusive, já recebeu contribuições para regulamentar o processo de notificação de incidentes envolvendo dados pessoais.

A resposta a incidentes adequada necessariamente passa pela perícia técnica. Explica-se. Como provar, em um processo administrativo ou judicial relativo a suposto tratamento irregular, que a empresa efetivamente adotava as medidas de segurança e satisfazia, a exemplo, o disposto na LGPD ou no futuro regulamento de “padrões técnicos mínimos de segurança”? Como demonstrar, por exemplo, as medidas que foram adotadas para reter ou mitigar os efeitos do prejuízo ligado a incidentes de segurança envolvendo dados pessoais, para fins de atenuar a aplicação de sanções e multas?

Não é demais destacar que no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos dos serviços, para terceiros não autorizados a acessá-los. Além disso, poderá a própria ANPD determinar medidas para reverter ou mitigar os riscos e os efeitos do incidente, como, por exemplo, determinar a condução de uma perícia ou auditoria, para que se possa levantar elementos e evidências sobre o ocorrido, gerando, inclusive, maior transparência aos titulares envolvidos.

Neste contexto, a perícia técnica em processos, litígios e autuações ligadas a vazamento de dados pessoais ou supostos tratamentos irregulares revela-se fundamental, como garantia independente de que o agente de tratamento cumpriu suas obrigações, quer preventiva, quer reativamente. A perícia digital pode ser útil em inúmeras fases ou acontecimentos ligados à temática, incluindo, mas não se limitando a:

  1. a) Divergências sobre a coleta do consentimento: Demonstrar que os registros do sistema informático que gravam o consentimento não foram alterados e que os dados correspondem a uma atividade de aceitação, íntegra, perfazendo os requisitos do consentimento;
  2. b) Comprovação de deveres ligados a proteção de dados: A exemplo, documentar processos de exclusão definitiva de dados, transferência de dados, ou acompanhar procedimentos desta natureza, ressalvados os segredos do negócio;
  3. c) Identificar a robustez de controles e a validade das técnicas de segurança utilizadas: Avaliação da integridade de logs, controles de acesso, práticas de backup, criptografia e procedimentos de anonimização, dentre outros; Importante destacar que a perícia pode auxiliar a empresa a comprovar que os controles estavam ativos, evitando-se responsabilização judicial por controles falhos ou irregulares. A exemplo, já se decidiu que a utilização de criminosos, por “logins inativos há mais de um ano” (Falha no controle de acesso) para acesso a site e roubo de dados, é considerada violação dos protocolos de segurança do site, sendo cabível dano moral e material [3]. Por outro lado, a vítima que demora cinco dias para comunicar o incidente de furto de aparelho de celular com realização de transações bancárias, a partir dos dados e informações obtidas, não faz jus à restituição de valores e indenização por danos [4].
  4. d) Identificar quem deu causa a um incidente e o modus operandi: Nem sempre os incidentes serão causados pelo controlador, mas poderemos ter responsabilidade exclusiva do titular o ou mesmo falha ou exploração de vulnerabilidades em controladores conjuntos, operadores, dentre outros; A perícia pode ajudar a esclarecer como foi explorado o sistema comprometido e se algum agente de tratamento violou instruções lícitas do controlador ou obrigações contratuais e legais. De outra ordem, pode ainda esclarecer a culpa exclusiva do titular de dados ou de terceiros;
  5. e) Investigação cibernética: Contribuir com o controlador ou demais agentes no apoio a titulares que tiveram dados vazados e na investigação da materialidade e autoria de delitos cibernéticos, possibilitando a estes as medidas jurídicas cabíveis, demonstrando ainda evidencias que a empresa adotou medidas para minimizar os prejuízos, identificar e responsabilizar os ofensores, evitando responsabilizações, inclusive, judiciais. Neste cenário, a justiça já entendeu que serviço online que não checa a ocorrência comunicada e adota medidas rápidas para bloquear o uso indevido e reduzir o prejuízo tem falha no sistema de segurança [5].
  6. f) Prova técnica simplificada: Atuar em nomeações por autoridades de controle e judiciais, no esclarecimento técnico de questões controvertidas ligadas a privacidade e dados pessoais, que não demandem um exame em si, mas um parecer técnico.

Os regulamentos de proteção de dados comumente estabelecem direitos e deveres e quais as medidas devem ser implementadas para a demonstração de aderência. Já o “como fazer” vem estampado em frameworks e melhores práticas, incluindo normas internacionais, como a recém editada ISO 27701[6] que atualiza controles ligados a segurança da informação com a ótica de proteção de dados pessoais (ou privacidade da informação) e traz controles específicos para controladores e operadores de dados pessoais.

Trata-se de boas práticas reconhecidas internacionalmente e que auxiliam na aproximação entre o real estado técnico dos agentes de tratamento e dispositivos e deveres legais e de compliance. A norma aborda, inclusive, a relevância da perícia, especificamente, nos controles de resposta a incidentes, onde prevê a importância do processo de coleta de evidências. Acresça-se ainda a importância de se observar normas ligadas ao processo forense, como a ISO 27037[7], que estabelece diretrizes para identificação, coleta, aquisição e preservação de evidência digital.

De fato, compreender o que ocorreu com um sistema comprometido que tratava dados pessoais, modus operandi e possíveis responsáveis, além de elucidar a questão, cooperando para o esclarecimento e aprimoramento da segurança da informação e correção das vulnerabilidades encontradas, é tarefa essencial da perícia técnica, que certamente será demandada nos impasses ligados a dados pessoais.

Além disso, é importante notar o papel da perícia no processo administrativo, para fins de possível exclusão da responsabilidade dos agentes de tratamento, quando por meio dela, possa-se provar que os dados vazados não partiram da empresa, que a empresa não realizava o tratamento a ela atribuído ou ainda que o dano foi decorrente de culpa exclusiva do titular de dados e terceiros. Assim, agentes de tratamento envolvidos em processos judiciais ou administrativos de órgãos de defesa do consumidor e proteção de dados, precisam estar amparados por assistente técnico, para produção correta e adequada de provas relevantes para formação do seu contraditório, evitando-se, por intermédio do devido processo legal, penalidades onerosas e outras sanções que possam até mesmo inviabilizar a atividade do agente de tratamento.

Por fim, impossível não notar o papel fundamental do assistente e da perícia forense digital também no contexto ligado à aplicação e gradação das penalidades, já que as sanções previstas na LGPD deverão considerar diversos critérios, dentre eles, uma importante atenuante pode ser a cooperação do infrator, onde por exemplo, apresenta informações claras no reporte do incidente, que podem se basear em uma investigação preliminar computacional, comprovando ainda a adoção de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, o que sem dúvida envolve o estabelecimento, em um processo resposta a incidentes com dados pessoais, de procedimentos para coleta, preservação e análise de evidências, com o devido reporte e parecer técnico, o que se dará, evidentemente, por meio da prova técnica pericial produzida pelo agente de tratamento envolvido.

Como visto, em um cenário de inversão de ônus de prova e severas sanções por tratamentos irregulares de dados, cabe às empresas e agentes de tratamento se precaverem, não só gerando evidências independentes de conformidade, aplicação de controles de segurança da informação e registros das manifestações de titulares de dados, mas também avaliando periodicamente seus sistemas por consultorias independentes e externas e principalmente, contando com a perícia e auditoria técnica no suporte e assistência em autuações, litígios, controvérsias, processos administrativos, indenizatórios, ou reparatórios, relacionados a possíveis incidentes ou usos irregulares dedados pessoais. Estabelecer, criar e gerir um sistema de gestão de proteção de dados com um processo de resposta a incidentes que contemple a perícia forense digital demonstra-se, pelos fundamentos apresentados, inegavelmente a melhor das práticas.

NOTAS

[1] TJRJ, 2018, Apl. 02417697420158190001

[2] TJSC, Apelação Cível 49235320168240038, Processo 00049235320168240038

[3] TJPR, 2018, Processo 00057547720158160194

[4] TJSE, 2019, Apelação Cível 36072120188250001

[5] TJSP, 2020, Recurso Inominado 10058267420208260006-sp-1005826-7420208260006

[6] https://www.iso.org/standard/71670.html

[7] https://www.abntcatalogo.com.br/norma.aspx?ID=307273

Sobre o Autor: José Antonio Milagre é Diretor da CyberExperts, Perito Forense em Informática. Pós-Graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela UNESP. Diretor do Instituto de Defesa do Cidadão na Internet (IDCI Brasil), coautor de dois livros pela Editora Saraiva (Marco Civil da Internet: Comentários a Lei 12.975/2014 e Manual de Crimes Informáticos). [email protected]



7 erros de quem começou a pensar em LGPD somente agora

A LGPD (13.709/2018) já é uma realidade e o anúncio do início da possibilidade de punições serem aplicadas por parte da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) fez com que muitas empresas passassem a pensar em um projeto de adequação somente agora. Outras, porém, iniciaram e desencadearam uma “série” de ações impensadas, que podem expor ainda mais a organização. Identificamos 7 erros comuns de quem começou a pensar em LGPD somente agora. Confira:

1) Tentar validar operações com dados pessoais apressadamente, tomando decisões equivocadas: É neste momento que a empresa, sem uma análise detalhada das bases legais para tratamento e maturidade mínima, tenta interagir com o titular buscando validar operações irregulares rapidamente, o que pode representar riscos ainda maiores. E-mails, sms, tentativas de “obtenção do consentimento forçado” podem ser fatais e complicar ainda mais a empresa.

2) Utilizar Política e avisos de Privacidade copiados ou genéricos: O não planejamento do programa de adequação leva agentes de tratamento a copiarem, ou publicarem políticas ou avisos de privacidade “paliativos”, genéricas, pouco claras, que de longe não refletem as operações e usos de dados da empresa. Risco iminente.

3) Divulgar internamente deveres aos colaboradores ou fazê-los assinar a Política de Proteção de Dados e outros documentos sem tê-los preparado para a adequação e para compreenderem o programa de proteção de dados: A Diretoria ou RH convoca os colaboradores e os fazem assinar diversos termos, documentos, políticas, sem qualquer ação prévia, conscientização, aculturamento, treinamento ou mesmo informações sobre o estabelecimento do programa de proteção de dados, o comitê constituído e quem é o encarregado de proteção de dados.

4) A organização tentar redigir documentos sem conhecer os processos e operações onde ocorre o tratamento de dados pessoais: A empresa começa a pensar em LGPD agora e inicia redação de documentos sem conhecer de fato as operações de tratamento que realiza, expondo-se ainda mais com a publicação de documentação que não reflete a sua realidade.

5) Criar o canal de contato para requerimentos dos titulares sem o processo claro ligado ao atendimento: É indispensável que o canal seja estabelecido, mas o que fazer quando um requerimento chega? Tempo de retorno? Como as áreas serão informadas? Quem é responsável pelo atendimento ligado a dados pessoais? Essa ausência de processos claros pode comprometer a empresa.

6) Assinar sem analisar os aditivos que chegam de fornecedores ou clientes: Os fornecedores ou clientes já podem estar avançados e no aspecto jurídico encaminhar aditivos com cláusulas ligadas à proteção de dados. As empresas que não analisam os contratos podem estar se expondo ainda mais ou se comprometendo de forma desproporcional

7) Fazer propaganda do que efetivamente não possui: Enviar inúmeros comunicados aos titulares de dados no escopo de tentar passar “conformidade”, sem que as estruturas internas estejam criadas e um sistema de gestão da proteção de dados esteja estabelecido. A empresa inicia uma série de “ações de comunicação para passar segurança ao cliente”, porém internamente sequer finalizou o mapeamento ou inventário de dados, identificou gaps ou tem um plano de ação definido, estando fragilizada em processos ligados a proteção de dados.

E o erro dos erros: “Achar que adequação à LGPD se faz em 30 dias”! Projetos sérios, que consideram todas as etapas de um Sistema de Gestão da Proteção de Dados, não se encerram da noite para o dia! Cuidado com quem escolhe para adequar seu negócio. Esta é apenas uma lista exemplificativa de erros que empresas cometem por pensarem apressadamente e somente agora na questão da LGPD. Conhece mais erros? Conte para nós?

Prepare seu negócio com o PrivacyOffice (www.privacyoffice.com.br) da CyberExperts® Implemente um programa de adequação, utilize os serviços de DPO como serviço, ou audite a conformidade e a maturidade dos seu sistema de gestão da privacidade da informação. Fale conosco.



Blockchain e a tokenização de imóveis no Brasil: Aspectos jurídicos e desafios regulatórios

A Blockchain vem servindo de infraestrutura não apenas para transações em criptomoedas e mais recentemente para tokens intangíveis, mas sua mescla com o mercado imobiliário vem proporcionando a criação de inúmeros negócios e startups focadas nas tokenização de imóveis ou da exploração dos mesmos. A tokenização de imóveis vem se aquecendo em todo o mundo e apresenta-se com muitas oportunidades para investidores verem prosperar seu capital, bem como vem permitindo que pessoas até então impossibilitadas de fazer grandes e burocráticos investimentos possam investir em frações imobiliárias.

A tokenização consiste na atividade de se converter moeda fiduciária ou criptomoedas em “tokens” também representados nas wallets e que permitem a securitização de um imóvel, ou seja, a divisão do mesmo em frações que podem ser “vendidas” aos investidores, o que o mercado vem denominando de “security tokens” (Embora no Brasil possam ser considerados non-security tokens, considerando ausência de regulamentação da modalidade). Tokens são possíveis graças à tecnologia blockchain e os smart contracts e sua função é mais do que apenas servir como um valor monetário.

Assim, o titular ou proprietário de um token tem nele a garantia da imutabilidade, indelebilidade e gravação no “livro razão”,  a Blockchain, do código que representa direitos sobre determinado imóvel, podendo revender o referido token. As vendas podem se dar peer-to-peer, mas também nas denominadas Exchanges. A  “tokenized ownership” já é uma realidade em inúmeros países, graças a iniciativas pioneiras que vem se desenvolvendo na área com importante planejamento jurídico neste ambiente de economia compartilhada.

A tokenização se dá, via de regra, na rede Ethereum e segue o padrão ERC-20. Assim, uma administradora de patrimônio ou proprietário, ao decidir tokenizar seu imóvel, irá emitir os tokens que representam frações da propriedade, comumente e de forma lógica, mantendo a propriedade da maioria dos tokens. Estes tokens são únicos. A venda inicial dos tokens é denominada de Security Token Offer (STO) que difere-se dos chamados ICOS (Initial Coin Offer) pois estes não estão ligados a prova de propriedade, mas simplesmente a um valor emitido pela plataforma, comumente associados a “utilities tokens”.

Após a tokenização, que deverá considerar o cenário jurídico do local do imóvel, ocorre a oferta, que poderá se dar via marketplaces intermediários ou mesmo via levantamento de fundos. Assim, tal como imóveis são listados hoje em sites de imobiliárias, já estão surgindo Exchanges e negócios digitais especializados na compra de shares de imóveis. Para constituir uma Alternative Trade System (ATS) é, do mesmo modo, fundamental a avaliação do cenário regulatório local, planejamento jurídico e obtenção de autorizações para listar os referidos tokens. Para startups sem as licenças, uma alternativa jurídica viável é a operação através de instituições com autorizações para negociação dos referidos tokens.

Uma manobra muito comum que vem sendo feita em localidades onde imóveis não podem ser diretamente tokenizados, é a utilização de entidades legalizadas em localidades onde não se proíbe a tokenização. A exemplo, nos Estados Unidos, é comum que as plataformas de tokenização de imóveis tenham por trás uma Limited Liability Corporation (LLC), e diante da impossibilidade de tokenização direta de um imóvel, cada imóvel é comprado por uma empresa que por sua vez é tokenizada e anuncia os imóveis para vendas. Muitos negócios inclusive, nos Estados Unidos, são criados sem o registro de aprovação da Comissão de Valores Mobiliários dos EUA e do Securities Act, com fundamento em exceções previstas na norma, como a de títulos vendidos por meio de investimentos privados e restritos e não “negociados publicamente”, o que vem gerando discussões acerca da temática, já que os marketplaces expõem os referidos imóveis para que interessados comprem frações.

Os benefícios da tokenização de imóveis são inúmeros e vão desde a atuação desburocratizada à instantaneidade no trade dos shares, onde o proprietário pode, em questão de minutos, vender sua fração, sem qualquer complicação e com custo abaixo do tradicional. De acordo com o previsto no smart contract, o comprador perceberá periodicamente os proventos da exploração do imóvel. Para proprietários, é considerada uma excelente forma de levantamento de capital sem recorrer a empréstimos burocráticos e juros altos.  Outra questão importante é que como os tokens estão lastreados em imóveis reais, correm menos riscos do que as criptomoedas e ICOS, sujeitas a extrema volatilidade.

Algumas marketplaces já permitem a emissão de tokens de imóveis, bem como a compra de frações em questão de minutos, com liquidez e transparência. A facilidade de comprar uma fração de um imóvel assim como se compra uma fração de uma nova empresa, por meio de “stock tokens” promete transformar o mercado imobiliário global. A tecnologia avança e o cenário regulatório continua ultrapassado.

A regulamentação ligada à tokenização, no entanto, não uníssona, varia de região, razão pela qual é importante a análise jurídica especializada e prévia acerca do landscape, pois em algumas localidades, podem ocorrer vedações e as taxações podem onerar sobremaneira a tokenização e impedir o negócio. Políticas dos serviços também precisam ser claras sobre a localização dos investidores e possíveis restrições de investimento para determinados países de origem, considerando o cenário anti-lavagem de dinheiro, o KYC (know your customer), a clarificação do ativo subjacente “financeiro” e outros itens que precisam ser verificados.

Parte dos países classificam os securities tokens como sujeitos aos reguladores de valores mobiliários, porém as exceções são específicas para cada regulamento. A avaliação, no entanto, dependerá muito do formato do contrato e modelo do negócio adotado. O planejamento jurídico demonstra-se fundamental para redução de riscos graves que inviabilizem negócios e prejudiquem investidores.  A mesma atenção deve ser dada ao aspecto tributário e compliance.  Existem países que dão tratamento diversos para criptoativos, outros, que consideram todos os ativos como criptomoedas e outros, ainda, com cenário incerto. Em países com normas que inadmitem a propriedade digital, o fisco poderá considerar a questão como renda, ligadas a ganhos de capital, aplicações com ganhos e perdas.

No Brasil, negócios visionários estão em fase de preparação, o que envolve inúmeros aspectos como compreender as limitações legais, a distinção entre propriedade do imóvel (e suas formalidades previstas no Código Civil) e do token, os ajustes adequados na programação dos smarts contracts, os direitos e obrigações dos compradores, autorizações necessárias, análise tributária e demais itens jurídicos fundamentais para operação alicerçada e segura no mercado de tokenização.

Aspectos fiscais, imobiliários e ligados a valores mobiliários devem ser considerados na estruturação jurídica de negócios envolvendo security tokens.

Inúmeros modelos de negócios podem se dar com a tokenização, incluindo, mas não se limitando a a) a propriedade do token, onde ocorre o fracionamento de direitos, b) a participação de pessoas jurídicas na propriedade, c) a garantia de divida por meio da propriedade ou o d) direito de rendimento da exploração econômica da propriedade, que permanece na propriedade de uma pessoa jurídica.

Seja para um agente imobiliário, investidor, seja para um proprietário ou administrador patrimonial que deseje realizar a oferta tokenizada de imóveis, é fundamental o planejamento jurídico e a adoção de estratégias avançadas e inovadoras para proteção dos negócios e setup de fundos ou estruturas confiáveis.  A tecnologia está disponível e o desenvolvimento do ecossistema caminhando rapidamente, eliminado custos e intermediários. Muitas oportunidades estão por vir com os ativos digitais ligados a imóveis, para quem ousar dar os primeiros passos.

José Antonio Milagre. Advogado especialista em Direito Digital e Criptomoedas. Mestre e Doutor pela UNESP. E-mail: [email protected]