CPDP LATAM 2024 | Direitos dos titulares em ação: Marketplaces e Plataformas

Boa tarde a todos vamos iniciar mais um painel da CPD pelatan 2024 eh esse painel vai falar sobre o direit titulares eh e tem como objetivo apresentar as pesquisas eh da casa duas pesquisas eh mas eu vou deixar em aberto pros pesquisadores apresentarem os seus projetos para compor a mesa eu queria chamar a professora éca baconi ela é advogada atua também como DPO as a service e como pesquisadora do do CTS Aqui da FGV direito Rio ela é doutorando em Direito da regulação pela FGV direito Rio e mestre em direito internacional público europeu pela Universidade

de Coimbra para compor a mesa Eu também gostaria de chamar os alunos Felipe Taves e Júlia Mendonça eh eles são alunos da graduação e participam do projeto de pesquisa com professor Nicolo gostaria de chamar também também o professor Rodrigo Gomes Ele é advogado membro titular do Conselho Municipal de Proteção de dados e privacidade do Rio de Janeiro presidente da Comissão de proteção de dados da OAB Rio de Janeiro membro da comissão de proteção de dados do Conselho Federal da OAB Doutor em Direito Civil pela werge e também pesquisador do CTS aqui da FGV direito Rio

como debatedores eu gostaria de convidar eh é o Luciano gandola ele é o data privacy desk manager do Mercado Livre convido também à mesa Giovana milanesi ela é advogada especialista em Proteção de dados pela Universidade de Lisboa pesquisadora também da casa do CTS eh pesquisadora do cdis idp e do Lia idp e também coordenadora Geral do do Observatório da lgpd e remotamente nós temos o professor Diego Machado ele é mestre e doutor em Direito Civil pela uerg foi fellow researcher no Center for Law technology and society da Universidade de Ottawa Ele é professor adjunto do

departamento de Direito da UFV pesquisador do cedis Idp e membro do vulnera scientific Network Boa tarde professor Diego bom bom com toda essa mesa de grandes especialistas sobre o assunto gostaria de eh abrir a a mesa e convidar a professora Érica e os alunos eh Felipe e Júlia para apresentarem o o seu projeto que Versa sobre eh a aplicabilidade da lei geral de proteção de dados em Marketplace vocês quer Boa tarde a todos e todas eh É uma honra comor mes ao lado dos ilustres colegas inclusive dos nossos colegas da graduação que participaram do projeto

não só uma honra mas sobretudo uma alegria ter a oportunidade de apresentar alguns dos resultados da pesquisa que nós estamos desenvolvendo eh dentro do contexto e-commerce sob a orientação a coordenação do professor nicolos inalis e também relacionado ao Núcleo de Estudos e-commerce unec Ah a fim de abranger dois aspectos principais que não são muito caros enquanto profissionais da privacidade da proteção de dados que é a transparência e o exercício de direito dos titulares eh a gente aqui não tem a pretensão de monopolizar eh o projeto então nós achamos interessante convidar os alunos que de fato

estiveram ali em frente capturando esses dados coletando todos esses dados diretamente com essas empresas e-commerce para apresentar os Nossos resultados então Júlia e Felipe por favor fique à vontade Eh por favor a gente tem uma apresentação eh os slides alguém pode por gentileza Já foi eh já foi enviada Boa tarde gente eu sou o Felipe eh fico muito feliz junto com a Julia de apresentar para vocês um pouco dos resultados desse projeto que a gente vem desenvolvendo e há um ano como é que Faz Ah aqui conforme a erca já introduziu a gente Analisa e

marketing plac que atão no Brasil a gente fez uma seleção de 100 marketplaces e e analisou coletamos informações entre ag do ano passado e agora o mês de Julho desse ano basicamente com relação a dois aspectos a gente avaliou as políticas de privacidade dessas plataformas para ver se elas se adecam a algum esquisito chaves da rgpd e também realizamos Cadastros e aí fizemos pedidos de acesso e de exclusão dos dados pessoais das contas que a gente cadastrou para ver se na prática eh esse atendimento ao exercício do direito titulares se dava de forma adequada a

gente eh analisou 92 empresas de médio ou grande porte e oito empresas de pequeno ou micro porte e essa diferenciação é importante porque essas empresas pequenas Ou micro não precisam ter um DPO desde que elas não exerçam Atividade de alto risco e que elas forneçam um canal alternativo de contato pros titulares exercerem os direitos e a gente percebe que realmente só quatro dessas oito micro Pequenas Empresas têm dpos mas é um sinal positivo que três delas mesmo não precisando forneça um e-mail de um DPO porque Como uma obrigação que não se aplica a elas é

positivo que ainda assim tenha o encarregado já em relação às médias e grandes empresas o sinal o dado é um Pouco mais negativo porque essas empresas têm não só que ter um DPO como disponibilizar na política a identidade do DPO e o canal de contato des DPO e apenas 27 das 92 empresas cumprem com essas duas obrigações então é um índice bem baixo principalmente considerando que essa é uma obrigação básica e que de certa forma é instrumental para exercício dos direitos titulares porque eles têm que saber quem é o encarregado e como se dirigir a

essa pessoa Responsável a gente vê que 91 das empresas eh identificam a identidade do controlador O que é um número alto mas deveria ser 100% porque também é uma questão bem básica e que 14 das 100 empresas não disponibilizam nenhum meio de contato eh aqui incluindo não só e-mail do zpo mas por exemplo uma interface Mesmo que não seja diretamente com o zpo por meio da qual o titular poderia exercer os direitos relacionados à privacidade e à proteção de dados Então por mais que seja um número baixo de novo aqui deveria ser zero porque é

uma questão básica e que é instrumental para exercício de todos os direitos dos titulares eh também divid agrupamos em algumas categorias e dividimos os tipos de dados que cada política diz coletar e os resultados não surpreendem as três principais categorias são bastante relacionadas à própria atividade dos marketplaces então dados cadastrais para fazer o cadastro dados de pagamento e Dados de navegação no Website é algo bem eh de acordo com o setor que a gente analisou e com relação ao compartilhamento de a rgpd determina que a política explicite informações sobre o uso compartilhado e as finalidades

e a gente vê que 77 das empresas de fato colocam as finalidades pro compartilhamento Mas como é uma obrigação explícita na lgpd 23 empresas estarem desacordo também é um número acima do que seria aceitável é Interessante que 73 empresas informem também a base legal que legitime esse compartilhamento porque a base legal não é explicitamente exigida pela lgpd então só aqui é mais uma questão de boa prática não deixa ser um dado positivo eh também quase todas as empresas 99 eh identificam ou nominalmente os terceiros com quem os dados são compartilhados então isso seria dizer Compartilhamos

com a empresa tal por exemplo ou a categoria dos terceiros isso seria dizer Compartilhamos com parceiros com eh parceiros comerciais ou com órgãos públicos somando esses dois dados 99 das empresas fornecem ou uma informação ou outra então isso é um dado positivo também porém apenas 16 das empresas informam as categorias de dados compar de dados aqui já é um índice bem mais baixo também verificamos que sete das 100 empresas não cumprem com a obrigação de identificar finalidades para as quais o tratamento de dados no geral ocorre e Entre aquelas que identificam 47 fazem de forma

específica ou seja dizendo essa finalidade é para esse tipo de dado e 46 fazem de modo genérico dizendo tratamos os dados para finalidade tal com relação à base legal de novo aqui não é uma questão de obrigação é mais uma questão de boa prática então não deixa de ser positivo que 30 que que 70 empresas façam alguma menção à Bases legais dessas metad fazem de forma específica dizendo por exemplo tratamos eh dados Para a finalidade tal com base base legal tal eh e 35 fazem de modo genérico porém 30 empresas não fazem qualquer menção às

Bases legais para as quais ocorre com base nas quais ocorre o tratamento também eh verificamos Quais são as finalidades mais recorrentes as categorias de finalidades mais recorrentes nas políticas de privacidade e aqui a gente percebe que a categoria mais recorrente é para utilização do serviço isso seria por exemplo Finalidade é realizar o cadastro na plataforma algo que é instrumental para que o serviço seja prestado e as outras finalidades mais prominentes também tem bastante a ver com as atividades dos marketplaces Então são ou questões que se fundamentam por exemplo no legítimo interesse como realizar um contato

promocional ou fazer melhoria nos serviços ou é algo que tem a ver com a atividade do Marketplace como fazer envios de produtos trocas eh ou então Proteger a plataforma né já que a interação acontece online ISO seria por exemplo proteção contra para crimes cibernéticos ou então o cumprimento de obrigações legais prevenções a fraudes e tal então não surpreendeu essas finalidades mais recorrentes nas políticas também avaliamos como acontece a menção aos legítimos interesses nessas políticas então a gente vê que apenas 45 das 100 empresas fazem alguma menção a legítimo interesse e que entre essas que Fazem

25 fazem de forma genérica ou seja podemos tratar os seus dados com base em legítimo interesse e 20 dão algum exemplo do que seria um legítimo interesse eh nesse tratamento passo agora paraa minha colega Júlia Olá boa tarde eu vou dar continuidade à apresentação eh a apresentação essa que foi feita também com a ajuda da nossa colega Isadora e da Maria Eduarda eh eu vou começar falando dos direitos titulares que estão Elencados a Artigo 18 da lgpd e em laranja são os é é o não Ou seja a ausência é dessa menção então a gente

tem que anonimização e bloqueio são os direitos menos mencionados nas políticas de diversidade e correção e eliminação são os mais mencionados seguindo a gente também analisou a transferência internacional de dados presente na lpd e a maior parte das empresas ela realiza e a grande maioria também menciona salvaguardas Necessárias embora algumas Não façam isso e a gente também entrou na questão da responsabilidade dos agentes de tratamento essa responsabil idade ela foi entendida como medidas adotadas para a proteção e segurança dos dados pessoais e a maioria das empresas elas eh falam sobre isso a gente também analisou

a responsabilidade no tangente como menção de forma implícita ou explícita de responsabilização ou não pelas empresas Eh pelas empresas no tangente a produção de dados pessoais e nisso a maioria delas menciona seguindo nesse caminho a gente analisou se esse formato se é abordado se era no formato de isenção Ou seja a empresa falando que ela não é responsável por isso ou se ela se responsabilizava por meio de contratos ou então de alguma salvaguardas para isso e a gente a gente percebeu que Eh a maioria das empresas possuem responsabilização a gente também viu a questão do

vazamento e na questão do vazamento somente Três empresas responsabilizavam Caso haja vazamento e todas as outras 17 elas dizem não ser responsáveis caso ocorra porque elas não podem garantir mas a grande maioria não diz nada sobre isso a gente também analizou rapidamente a questão de os operadores e a maioria das empresas ela não deixa Claro de Forma implícita ou ou explícita que se trata deção natural ou jurídica exercendo funções em nome do controlador isso é um pouco preocupante porque seria realmente importante mencionar esses operadores eh 21 empresas fazem distinção entre essas possibilidades de controladores e

operadores eh oferecendo a eles funções diferentes Então isso é uma coisa também que a gente não observou muito também sobre análise da Responsabilidade a gente procurou saber se tinha uma lista de operadores e o resultado foi esperado somente uma empresa tinha essa lista e sobre imão de crianças e adolescentes eh a gente percebeu que a maioria das políticas da cidade não trata sobre isso e aquelas que tratam elas falam mencionam menores de 12 anos menores de 16 e menores de 18 anos então não tem uma específica em relação a isso a gente também analisou cques

Preferenciais e c preferenciais a gente parou que eles estão presentes 56 das políticas e no caso de presença eles eram a finalidade discriminada em 47 dos casos sobre a transparência conforme o rgpd a gente também analisou rgpd diz que palavras devem ser evitadas usadas na política e a gente analisou que nas políticas eh brasileiras nas políticas de empresas a maior parte dessas palavras está presente e com uma média Alta e a segunda parte a gente basicamente colocou tudo que a gente perceu nas políticas em prática fazendo os pedidos de aquisição de acesso e exclusão para

falar disso a gente precisa falar um pouco da metodologia então a gente realizou a criação de contas no e-commerce e a gente fez interação com os Marketplace eh elas requisições elas foram feitas mediante um modelo quando não havia um formulário no site e transcorridos 15 dias ou seja O prazo legal sem uma resposta a gente realizava uma cobrança e o grupo de trabalho todo agiu como um consumidor normal Então como pessoas realmente alheias e Então esse é era o e-mail o modelo do e-mail que a gente tinha E aí no pedido de acesso a gente

verificou algumas coisas eh ressalta-se que em 24 empresas não houve qualquer tipo de verificação e em outras a verificação consistia em Confirmar o CPF eh teve uma empresa que exigiu que mandasse uma carta de próprio punho apesar de tinha mandado uma foto com com selfie com documento eh algumas empresas que pediam eh reconhecimento facial Esse reconhecimento deu erro eh uma empresa uma empresa que pediu o selfie com documento ela armazenou essa foto de selfie com documento nos dados que tinham Sem falar que isso ocorreria então se eu pedir lá dado de acesso essa foto minha

vai est lá agora eh e uma Empresa também foi um pouco preocupante porque ela pediu somente a confirmação do CPF e em troca eu recebi todo o meu histórico de compras na empresa sendo que o meu meu e-mail de solicitação era diferente do e-mail que eu tinha uma conta na empresa então eu fiquei inclusive um pouco preocupada porque tinha muitas informações armazenadas eh sobre o modo de requisição de acesso a maioria ela era por e-mail uma empresa ou e-mail era Inválido e o número não existia outras duas empresas o único contato possível foi por WhatsApp

que é extremamente inadequado e e sobre o laps temporal também a gente considerou o tempo decorrido entre primeiro contato e resposta final porém se a empresa exigisse algum documento da gente a gente paralisava esse tempo e voltava a contar a partir do momento que a gente mandava os documentos Eh 27 empresas nunca responderam 10 pararam de responder eh algumas dessas O encarregado falou que iia checar internamente e nunca mais respondeu eh 14 passaram dos 15 dias e também teve um caso específico que uma empresa ela demorou mais de 15 dias Demorou meses e quando eu

fui cobrar ela ela respondeu em menos de 48 horas então a impressão que eu tive foi que o meu e-mail caiu na ca de spam E aí quando eu fui cobrar elas viram que realmente tinha esse Pedido eh sobre o envio dos dados pelas plataformas eh a grande a maioria nunca enviou os dados ou nunca respondeu pra gente averiguar isso eh em dois Casos eles mandaram os dados mas a gente não conseguiu verificar por erro no acesso do link da plataforma então é um pouco preocupante sobre os pedidos de acesso a razão também eh de

não envio dos dados uma empresa ela recusou Abertamente enviar os dados sobre a justificativa que esse direito não constava na política de privacidade logo ela não tinha nenhuma obrigação de me enviar eh muitas empresas através dos próprios encarregados responderam com um link para política de privacidade ou explicações que não tinham relação nenhuma com o pedido uma empresa fez de maneira absurda a exclusão da conta outras 10 empresas afirmaram não haver Cadastro no site ou trató dos dados porém dessas 10 empresas quatro delas mandam e-mail de forma contínua então uma certa desorganização eh sobre como foi

dito o contato foi possível com 73 empresas em 27 A gente não consegiu contato a maioria por não responder o e-mail eh e passando e sobre a nossa experiência como usuário no final disso tudo a gente procurou saber assim como teria sido então se a empresa por Exemplo eh não cumpriu nenhum tipo não mandou nada ou não respondeu a gente viu isso como uma coisa meio ineficiente e complicada como precisa de melhoria se pelo menos mandou um dado no final ou então respondeu e rápido efic quando quando a gente realmente conseguia alguma coisa então através

desse gráfico a gente vê que apesar da Lei existir ela tem ainda tem muita as empresas tem muita coisa a melhorar e tem muitas eh coisas serem feitas eu vou passar a Palavra pro para ele concluir com os pedidos conclusão bom para fechar vamos apresentar os dados dos pedidos de exclusão e nesse caso os dados não são referentes às 100 empresas porque nós só conseguimos realizar os pedidos até agora para 50 empresas Então os dados estão em percentual na base de 100 mas em número absoluto é tudo metade do que tá nos gráficos e no

nosso relatório vão ter os dados para 100 empresas bom o moddo de Solicitação predominante foi por e-mail seguido por formulário e em algumas mandamos um e-mail e também preenchemos um formulário eh o lapso temporal a gente percebe que a maioria das que respondem respondem rápido então isso é um bom sinal mas a gente tem eh 30% das empresas que nunca responderam uma um pedido que deveria ser bem fácil de fazer que é só pagar a conta então isso é bem negativo eh e também a gigantesca a maioria das empresas não Verifica a Identidade Então isso

é um dado muito preocupante porque você exclui a sua conta sem ter nem que provar que você é a pessoa que é titular daqueles dados em % dos casos foi possível estabelecer contato com Marketplace nos casos em que não foi possível eh o motivo predominante é que não houve resposta então por exemplo isso aqui não é nem só que nós quando não houve resposta nesse caso é que nós mandamos um e-mail por exemplo e ninguém nunca nem pediu a Verificação da identidade é diferente de não conseguir concluir a solicitação eles nem retornaram informando que souberam

que nós Enos um pedido de exclusão em 46% dos casos houve a confirmação da exclusão tiveram alguns casos em que foi possível estabelecer um contato inicial e por exemplo retornaram pedindo eh a verificação da identidade mas depois pararam de de estabelecer o contato então não foi possível concluir essa exclusão mas em 66 62% dos casos em Que foi possível o contato nós obtivemos a confirmação de que os dados foram excluídos eh Se não houve Exclusão o motivo predominante foi que a conta não foi encada então esses casos que a Júlia falou em que nós fizemos

o cadastro algumas empresas inclusive mandam e-mails de contato promocional Mas eles informam que a conta não existe quando nós pedimos para eh excluídas mas em 35% dos casos em que foi possível o contato e que não houve exclusão foi essa razão Da conta não ter sido encontrada Apesar dela existir no cadastro eh encerramos aqui a apresentação Obrigado pela atenção e abrimos pergunta se houver algum eh Obrigada pela a pela apresentação do projeto Acho que até arrancar alguns sorrisos não sei se de de medo desespero ou se de fato foi engraçado mas eu só queria fazer

uma complementação breve antes de devolver a palavra eh nós vamos publicar Eh esses resultados e também a Tabela crua para que possa ser utilizada para as mais diversas formas acredito que a gente vá devolver agora vai vai enviar paraa coordenação agora a final do mês então Possivelmente até no máximo 15 de agosto a gente circule o material eh com todos esses dados e com algumas considerações obrigada é só pra gente organizar o painel a gente vai manter as perguntas pro final da apresentação dos eh demais presentes Da mesa eh queria agradecer pela apresentação e eu

confesso que eu fiquei um pouco chocada com alguns dos números também assim como eu imagino que algumas pessoas daqui também se sentiram um pouco chocados eh e demonstra que por mais que a Nosa lei geral de proteção ação de dados ela esteja em vigor eh há alguns anos muitas empresas ainda não aplicam ela da forma como deveria ser aplicado e dizendo isso eu abro eh a Palavra pro professor Rodrigo que vai apresentar o projeto data regulations do qual eu também faço parte eh e eu queria só fazer um disclaimer que a nossa pesquisa ela tá

ainda em um estágio embrionário a gente começou a um a menos mais tempo do que a pesquisa eh da professora Érica e que foi apresentada nesse momento né capada pelo professor Nicola então vou abrir a palavra pro professor Rodrigo também ten uma apresentação para esses depois do almoço dá uma preguiça né F lá sentado pessoal boa tarde a todos e a todas cumprimento a todas as pessoas aqui que me acompanham nesse painel É uma honra muito grande estar aqui cumprimento também agradeço a FGV na pessoa do Luca de Nicolo que tá aqui também nos assistindo

muito obrigado pelo convite pela oportunidade pela honra de estar aqui e vim na qualidade de pesquisador Do projeto data regulations apresentar como a Beatriz minha colega de data regulations já antecipou já deu spoiler em caráter absolutamente embrionário preliminar então ainda falta bastante coisa pra gente concluir mas para nossa não sei se Nossa surpresa né a gente já tem alguns resultados e a gente queria compartilhar com vocês e espero que todo mundo eh compartilhe enfim e e e e fique bastante atento como nós nós nós estamos também Cumprimentar os colegas do do nosso grupo de pesquisa

que estão aqui na plateia Muito obrigado pela presença bem Vamos ver se esse negócio vai funcionar porque comigo nunca funciona então eu não sei para onde apontar é então vocês estão me obrigando a ficar em pé né é o enforcement pessoal a nossa pesquisa como já Adiantamos o nome dela é data regulations e ela foca em plataformas digitais e plataformas de a generativa essas plataformas digitais basicamente seriam os aplicativos né as plataformas de mensageria e redes sociais mais utilizadas aqui no Brasil ã então e como já di dissemos ainda não conseguimos eh alcançar todas Então

os resultados apresentados aqui são absolutamente preliminares E ainda muito incipiente qual é o problema que a gente tem como principal questionamento a pergunta o problema da nossa pesquisa né e a gente pretende eh tentar responder isso com ela ao final é possível dizer que as plataformas analisadas T aplicado lgpd de maneira efetiva no cenário brasileiro Essa é a principal Esse é o principal problema que a gente se propõe a tentar responder a metodologia escolhida pelo nosso grupo Né pelo nosso grupo de pesquisa é esse palavrão que tá na na eu falei palavrão já tiraram já

estão me censurando esse palavrão que tá na apresentação de vocês chamado etnografia multissituada que eu confesso que eu absolutamente desconhecia isso eu tomei conhecimento eh com os nossos encontros né para esse essa nossa pesquisa e muito resumidamente eu tentei ensaiar algumas vezes não sei se eu vou conseguir porque Enfim tem tem diversos fatores perguntei até pros paraas viagens generativas o que seria isso para confirmar essas informações mas enfim muito resumidamente etnografia multissituada a gente poderia contextualizar como Aquela Pesquisa onde as pessoas que estão pesquisando que somos nós aqui né Eh Estão imersos muitas vezes envolvidos

com aquelas questões uma vez que todos nós né Beatriz somos profissionais e pesquisadores e também eh temos Produções acadêmicas nesse ramo de proteção de dados privacidade então eh a acaba que a nossa experiência e a ela influencia as nossas impressões pessoais e evidentemente vão influenciar a nossa pesquisa o resultado da o produto que vai sair daqui nessa pesquisa então muito muito muito resumidamente eu poderia ficar aqui o tempo todo da minha apresentação só falando dessa metodologia mas eu acho que aí vocês vão dormir com certeza a gente não vai ter Muita dúvida a a nossa

metodologia ela também em três fases a primeira fase é a que a gente se encontra agora que é justamente a fase de pesquisa a gente ainda tá numa fase incipiente de pesquisa mas já já produzimos uma pesquisa eh bem robusta essa segunda fase vai ser justamente o apanhado a catalogar organizar como os colegas aqui que nos que me antecederam fizeram de maneira brilhante já todo um apanhado com gráfico a gente se propõe a fazer Isso e a terceira fase é justamente a apresentação desse material e outra etapas também eventualmente até com os stakeholders envolvidos mas

que a gente vai evoluir no futuro ã também como objetivos a gente tem uma intenção de focar muito em transparência e em accountability né como explicabilidade prestação de contas que são inclusive princípios alguns deles princípios que estão presentes no artigo 6 da lgpd então Eh resultados pretend os né O que que a gente almeja alcançar eh verificar a eficiência da aplicação Como já disse da lgpd por essas plataformas digitais que são a gente tem toda uma metodologia de pesquisa para só focar nas que são mais utilizadas no Brasil e um relatório open source né aberto

ã com o propósito efetivamente de melhorar de de trazer luz pro problema Que a gente já tem a certeza absoluta é um problema aqui no Brasil e para tentar contribuir com regras de boas práticas de governança eh especificamente no setor na área de proteção de dados e privacidade então agora a gente vai começar a gente vai partir pr pra fase para mostrar para vocês alguns resultados preliminares que a gente aceit a gente já conseguiu aferir Então vou compartilhar alguns prints aqui de de de documentos que a gente viu muito Focado nas políticas de privacidade que

são os documentos que nós estamos com o nosso foco maior e já posso em nome do nosso grupo aqui porque isso é algo eh unânime Não há pelo menos até o momento divergência nessa avaliação eh o cenário não tá muito favorável a maioria ou a totalidade pelo menos dos documentos das políticas de privacidade que a gente verif ficou até agora tem graves e evidentes descumprimentos a lgpd de toda sorte que a gente ainda não Tem se catalogado ã muito Dark patterns né Muito design para evitar ou obstruir eventual exercício de direito ou questão de Transparência

eh muito pouca linguagem amigável quase n um tem vídeos elucidativos né aqueles vídeos mais simples para fazer um resumo Teve até um caso essa semana que foi compartilhado no nosso grupo do da Lego né que não é o objeto da nossa pesquisa mas a LEGO fez um um vídeo de Privacidade muito interessante inclusive para crianças voltados para criança e adolescente muito interessante ã isso a gente não não verificou nas plataformas verificamos um um outro visual vídeo mas muitas vezes em inglês não não não na língua portuguesa muita omissão com relação à questão de compartilhamento de

informação com parceiros comerciais com anunciantes com terceiros e um ponto também bastante complicado que é o DPO ou encarregado Como é a terminologia Eleita pela nossa lei inclusive ontem foi foi publicado aí o regulamento de encarregado que basicamente né disse o que já tava na lei no quesito por exemplo de eh publicação da identidade do controlador que já tá escrito no artigo 41 há alguns anos mas enfim tem várias outras questões que estão contemplados nesse regulamento mas essa questão de po Salvo engano me corrijam se eu tiver errado mas nenhuma plataforma T agora Pesquisada publicou

a identidade do seu encarregado no máximo tem lá os dados de contato mas nenhuma delas com publicação de identidade e aqui eu vou trazer alguns prints de documento públicos Inclusive tem a fonte foram checados ontem para não ter desatualização e o primeiro deles é a política de privacidade do Google que causou uma surpresa pra gente informando que existem mais de 2 milhões de sites aplicativos de terceiro Com compartilhamento de dados pessoais dos usuários outra outro ponto interessante é o item 1.9 que o título é é até cômico né porque outros Ou seja é igual aquela

Medida Provisória que prevê outras medidas né e trata de medida provisória trata de alíquota de imposto e no final fala de salário de professor universitário não tem nada a ver uma coisa com a outra então tem lá o outros e basicamente afirmando o seguinte Receberemos novos dados e criaremos novas maneiras de usar as suas informações quais dados são esses não sabemos quais são essas novas finalidades também não sabemos então denota ali uma uma questão de finalidade e outras questões mais bastante curiosas o outro outra questão também que chamou a nossa atenção foi do Snapchat que

eles estavam explicando sobre o my Ai que é um sistema de Inteligência Artificial criado Recentemente pelo Snapchat onde eles falam basicamente que você usa Por sua conta e risco porque é um sistema novo tá em constante evolução não acredita em nada que ele fala toma cuidado e o risco é seu pelo menos a minha leitura pessoal é mais ou menos nesse sentido Outro ponto também do Snapchat e aqui eu faço uma abertura para praticamente todas as outras que nós analisamos até agora as outras políticas é uma tradução quase Que literal de uma política escrita em

inglês e aqui o caso que mais chamou atenção que é o direito de objetar né provavelmente é right to Object mas no português pelo menos aqui para nós parece que tem um botão de eject né que você vai ser objetado da plataforma você aperta e é lançado na verdade seria um direito talvez de oposição algo nesse sentido mas vejam nós que somos profissionais do tema estranhamos esse Essas esse ter imagina pra pessoa que não é letrada em proteção de dados em privacidade que não tem um conhecimento técnico mais acurado certamente vai ler isso aí vai

desistir na hora falar objetar isso não tá falando a minha língua vou embora outro termo muito comum que a gente vê nas nas políticas de privacidade que são claramente traduzidas sem muito cuidado é a palavra processamento de dados E por que que nós falamos isso Porque a expressão correta de acordo com a nossa lei é tratamento de dados isso decorre porque a expressão em inglês é processing data processing processing activities quando você traduz literalmente o seu sistema de tradução automática vai muitas vezes colocar processamento e na nossa visão se houvesse pelo menos uma adaptação com

terminologia correta deveriam colocar atividade de tratamento de dados que inclusive tá definida artigo quto da Lgpd e aqui para fechar caminhar pra parte final da minha apresentação que é breve foi um um achado por acaso né a gente eh T Távamos numa reunião falando sobre a política do Quai E aí o o laser agora funcionou tem essa opção aqui de detalhes de compartilhamento de dados aí você clica nesse nesse nesse botão ops não acontece isso quando você clica no botão acontece isso aparece essa página que não diz muita coisa E Aí passaram o cursor ali

por não sei como que isso aconteceu por um acidente para selecionar esse texto e olha o que aparece copiaram e colaram um texto do YouTube api Services tá lá no Quai E você só consegue ver isso se você selecionar porque esse texto tá em fonte branca com fundo branco então pros pros olhos ele pro visual não aparece só aparece se for selecionado Então são questões que TM chamado a nossa atenção em alguns casos Un certo descuido em alguns casos pode se dizer até intencional não tô falando um caso específico aqui que foi apresentado mas tudo

isso para dizer que esse é o atual estágio da nossa pesquisa a gente espera concluir muito em breve e voltar numa próxima oportunidade para apresentar os resultados finais aqui com vocês Muito obrigado queria agradecer Professor Rodrigo eh realmente a durante a nossa pesquisa a Gente achou iniciou com muita fé de que estaria as políticas estariam eh o mais próximo do do do do que a a própria lgpd solicita né E no final a gente tá chegando num num resultado pelo menos preliminar muito mais distante do que a gente gostaria em questão de efetividade da lei

eu vim tumultuar um pouquinho não posso ficar do lado do moderador eh não é Porque eu achei interessante desse levantamento de dados que vocês comentaram inclusive Foi algo que a gente também observou e debateu a questão eh da identificação nominal do DPO E aí eu acho interessante trazer porque nós tivemos uma oportunidade no ano passado quando nós apresentamos os resultados provisórios da pesquisa no Núcleo de Estudos e-commerce no neec onde a gente reuniu eh tanto representantes do mercado quanto Autoridades e aqui claro eu a gente acaba vindo com uma regra no qual a gente não

pode dizer quem estava presente mas quando surgiu esse resultado na oportunidade a gente também evidenciou e gerou um debate muito interessante no sentido de que eh em uma dessas empresas o dipo falou que houve um debate interno de retirada do da sua identificação pessoal porque ele passou a receber ameaças então eh acho que às vezes a gente se distancia enquanto a Gente tá dentro dos núcleos de compliance departamentos jurídicos e Enfim estamos lidando com dados de pessoas dados muito plurais e de pessoas plurais de diversos contextos e por vezes isso pode de fato expor o

profissional a risco então Eh acredito que esse seja um ponto bastante relevante debate de uma decisão bastante ponderada por parte da das empresas controladoras operadoras de dados de se vão ou não identificar nominalmente E Isso não seria só uma questão quando o DPO é uma pessoa física Porque mesmo quando ela é jurídica por vezes a gente coloca representada por então trazer esse cenário também pra gente refletir quando estivermos também no ambiente da prática né porque aqui muitos também além de acadêmicos também estão lidando com esses assuntos eh nas nas respectivas empresas então ponderar esses valores

né Será que nós estaríamos expondo os profissionais a risco Então Seria só esse complemento que eu acho que se a gente passasse pro pro restante do debate talvez a gente fosse perder o t em mim B foi uma ótima colocação eh mas agora com o regulamento do encarregado nós temos a eh tá expressamente prevista né que as informações pessoais desses encarregada eh precisam estar na disponíveis ao público né pros titulares de dados poderem exercer os seus direitos mas realmente é uma questão que Eh provavelmente vai ser bastante discutida no mercado e E aproveitando esse gancho

eu gostaria de passar a palavra para o Luciano que é do Mercado Livre que também vai dar uma perspectiva já de mercado e eh frente às pesquisas elaboradas eh dizer em curso né de elaboração e também tem apresentação Obrigado eh vou falar espanhol eu posso falar mais ou menos bem 2 minutos depois é mistura total Mientras acar presentación tiene con con lo es programa de priva merc per Voy salteando algunos slid para complementar ha ha ho adem agrade por ti los dat organizo volum Hao principes grupo determin es una impresionante OLV Fin también nosotros colab

futures Menso mostrar es ve alcan conir con todo lo que pide regula si en la implementación no está realizado de Una forma realmente el titular del dato lo pueda aprovechar lo pueda utilizar Así Más Que nada la present Voy ir esos puntos para para compartirles esto contexto todo lo que es Mercado Libre para entender tambi un el volumen estamos hablando de la necesidad de automatizar muchas respuest los eer dere Porque imposible una respu forma Man canti productos se venden diariamente que se transano tiene con parte fintec tambén nmeros ve grandes Y de es lo que

está claro que merado Libre me parece Hoy en Por sute organiz que busc no solamente es cumplir con regulo también algo usuario al titular del datle algunas seguridades algunas certezas le permitan interactuar Cómodamente Y con Mayor seguridad en las plataformas Hoy nos pasa a todos no que permanentemente vamos saltando de Una plataforma a otra Y si Uno pu hacer con tr estr cada paso que da está dejando SUS datos Y corriendo alg peligro Así Bueno eso Creo Hoy en organizes esa allo vari de dere sobreo LGP ha tomar Reg 18 Y por Loo tratamos deer

resos los diferentes tipos de derechos personas pod ejercer Y por Loo también tenemos flujos y tenemos armo un Camino reim es ejer dere se responde tem comab aidi ha sit peroo puea aquí dejo algunas solues que hemos trabaj en este último tiempo después compar presentación para Coni Pero directamente principio veo pue enla to de Acuerdo a la Norma Pero muchas veces el no es el esperado esta Era La anterior Landing de privacidad que tenía mercado en donde básicamente tratamos de que esté todo Y con algunos gráficos algunos dibujos Y con movimiento Y para tratar de

hacerlo como un amigable con títulos con tratando de que la Persona que buscando algun hace un tiempo empezamos a hacer Pesquisas empezamos preguntar los titulares de Los datos se sentían con esa l de privacidad realmente encontr que estab buscando pod calificar pod expar informar era lo no encontrado Y eso lo que no trajo a Lo cu va por dó va posicionando cursor Mouse paraentender si realmente lo que haciendo haciendo bien por Más Que Quiz Regulator estuviese correcto pasaba enid antes de esto incluso también tue mer libreo puede dere ACC yuta Y directamente va una Sec

desga ar un formato compatible parao loene con portabil Y empezamos A estud de la gente lo gente acced ese Arch arle transcurso del mismo dependiendo si situ excep LG en unía dosas un ejerci de derecho la personizado y los números eran como 10% Person ES Cuenta no ten ning sentio de esa forma ejer Deere acco Y vios posibilidad queo lo Pida inmediatamente aparec los datos para realmente pueda chequear buscar lo que realmente tenaa oid Bueno es Prim ejemplo noo pue resuelto pués Person UAP Person ha encontrado informao Buscar relev fue cuis recuero tambi primero pim

personi nosotros muchos los que trabajamos en ela de Protec de datos debre trabaj previamente en una aor protección de datos cas Argentina Y Entonces ese equilibri entre pono Lo Que supuestamente Hay que poner Pero de Una forma que realmente gente pueda termin si 30% antes terminar Sale de la pgina estend con objetiv Y vios eso de los puntos ahen el Tercer lugar Ah tien ENEN truc es Av por si encuentran error terc Punto que esis justamente gente dec personas dec no ha encontado estaba al final era ese 30% de personas que no llegaban a leerla

completa Y Entonces al mismo tiempo se se quejan con no ha encontr informa buo que cambiemos Implementos mejoras que busquemos la forma de dividirlo por secciones AC Voy mostrar en prtica se ve Hoy Ena en dondeo tiene Ahí las cuatro Sec un primer momento primera pantalla pue ver primer T puede ver las cuatro secciones Y después A medida que va entrando enada una de esas secci tiene lo del ladoo Y A dere tiene concretamente Por ejemplo que con con dat personal posibil administr oic gestion relativ a los Datos personalo tiene con con preferen tiene est

Switch pue modificando Y de esta manera hemos se sigue estudiando Y esto quiz no todas las organizes tienen la posibilidad de hacer mon gente deos tcnicos que midiendo perman est para para logr meor nuev a regulatorio impacto no Pero tiene con con esto Titular del dat la posibilidad de que se sienta cómodo Y que realment conib modic configur Y comoo tema tambe es important traer el tema de Los incidentes de privacidad y las notificaciones porque también es algo que a nosotros nos gusta medir Utilid es benefici para titular del dato Cuando Hay Un incidente de

priva tuvo un incidente de pra que se notific a los usuar tangencial no fue unati P en ries Pero igual seci notific Pese sepl requisit para notificar enra Regi empie a ha situaciones en donde por ejemplo el proyecto de reforma de Ley de argentinae estable Que Hay que notificar en todos los Y Entonces buo Un Poco para para después la polémica Y para para conversar es hasta qu Punto sio recibe notificaciones que veíamos antes no hasta pun si recio todos los una notif un incidente en donde lo que se filtró fue un correo electrónico hasta

qu pun recio la quinta notif en la sem le presto aten a ESA notif no yal fa puede Person cpl algunas reglas veces Que Hay tratar de ver Impacto y efecto tien los Titulares de Los datos realmente un beneficio o al final como pasaba con la polític Landing de priva 30% lo va estendo Y Entonces Cuando llega un incidente grave no se entera porque llegaron C que no eran tan relevantes trabo que han qu dispi en alg momento All de Parte regulatoria parte cumplimiento normativ se hag investiga que con con realmente esto no El Impacto

tiene titular del dat algunas Solues se pueden implementar cono avz Gracias Luciano Eu vou voltar pro português eh é interessante ver como as empresas também fazem a a a sua adequação né a lgpd eh até porque muitas muitas vezes a gente se questiona né Por que que aquela política teve aquele design eh qual foi o pensamento da empresa quando ela colocou aquele documento a público então é é muito importante para nós Pesquisadores vermos também o lado eh das empresas eh nessa construção desse documento que é que regra a o exercício dos titulares com isso eu

gostaria de passar a palavra pra Giovana para ela fazer a exposição dela tão me ouvindo ah Boa tarde pessoal bom meu nome é Giovana eu tô muito feliz de estar aqui com todos vocês pessoal que tá virtual também Bianca e Diego que são meus colegas de pesquisa lá no idp eh queria enfim cumprimentar todos Agradecer o professor Nicola pelo convite para est aqui eu sou também pesquisador aqui da FGV Rio e pesquisadora do cedis que é o centro de direito internet e Sociedade do idp Achei bem interessante todos os pontos que vocês trouxeram e tanto

o grupo de e-commerce eu acho que vocês mostram que existe quase um verdadeiro segundo os profissionais de marketing oceano azul de possíveis ações judiciais que podem surgir disso e esse é um pouco do ponto Que eu quero trazer e são vários gargalos né Acho que são quase como camadas de descumprimento que a gente consegue enxergar do ponto de vista das empresas e quando a gente olha pra Lei eh nós principalmente acadêmicos olhamos ali o artigo 9º 18 19 20 e a gente acha que é muito simples né mas quando a gente olha do ponto de

vista operacional para realmente operacionalizar uma política de privacidade um canal de comunicação às vezes é muito mais Complexo do que a gente imagina e hoje eu queria trazer acho que um outro lado desse desse tema um outra perspectiva né Vocês trazem um pouco aqui a visão das empresas eu queria trazer um pouco a visão do Poder Judiciário dos titulares eu lá no idp faço parte de um grupo de pesquisa chamado privacy Lab o privacy Lab tem um projeto chamado rgpd nos tribunais que é feito em parceria com juus Brasil ele é coordenado pelas professoras Laura

cherel a professora Bianca crê que também é professora aqui da casa e a professora Mônica fujimoto o Diego Machado que também tá aqui com a gente faz parte da Coordenação científica do projeto desde o início e eu enquanto pesquisador eu queria trazer alguns resultados aqui para vocês sobre a discussão de direitos dos titulares né E e aí eu queria começar explicando um pouco sobre a dimensão desse projeto a gente começou o projeto lá em 2022 né analisando toda a jurisprudência sobre a Lei geral de proteção de dados Desde quando ela entrou em vigor e a

gente começou com 50 pesquisadores e hoje a gente já tem 150 pesquisadores né a gente começou analisando basicamente cerca de 500 documentos que hoje já se tornaram 7.500 documentos basicamente essa filtragem Inicial ela é toda feita por um sistema de Inteligência Artificial do Jus Brasil que seleciona essas decisões né por meio dos Diários oficiais diários de Justiça A partir de Termos como lgpd lei geral de proteção de dados lei 3709 de28 e depois eles passam toda essa base de documentos e aí sem fazer nenhum tipo de distinção Inicial entre acordão sentenças eh votos votos decisões

monocráticas e atos administrativos passam isso paraa equipe de pesquisadores do idp e são esses pesquisadores que durante um ano de pesquisa fazem toda a análise qualitativa dessas decisões e fazem a organização e catalogação eh desses Dados a gente tem uma uma metodologia de eh elencar essas decisões e separar elas em cinco categorias eh 0 1 2 3 quro CCO eh as decisões de nível zero são na verdade não são nem decisões elas são classificadas ali como Outros Atos que não decisões judiciais aquelas de nível 1 do e três eh São ali decisões que não TM

relação com a lgpd ou que só menciona lgpd sem nenhum tipo de aprofundamento eh ou só no relatório ou então na própria decisão e as decisões de níveis Quatro e cinco são as que a gente chama de relevantes que a gente usa realmente paraa análise qualitativa eh que são deis que ou tem um debate incidental da lei de proteção de dados ou então tem a lgpd como uma questão central dentro da decisão então assim pelos números a gente observa que existe uma judicialização crescente no Brasil acho que esse é um é um formato é um

modos operand realmente aqui para vários outros setores como o código o setor de De de consumerista etc mas quando a gente fala de decisões relevantes e o percentual ainda é muito pequeno comparado ao número de decisões então aqui eu tô falando que no ano passado né nesse último ciclo a gente analisou cerca de 7500 documentos mas só 15% desses documentos foram considerados decisões realmente relevantes Ou seja que tem um debate incidental ou um debate Central sobre a lei de proteção de dados então a gente ainda tem muitas Decisões e a maior parte delas são decisões

que só mencionam lgpd no relatório ou então que fazem uma menção falando que existe uma lei que proteg dados pessoais mas sem interpretar efetivamente essa lei Então existe aí eu vou concluir com isso mas existem algumas conclusões que a gente pode tirar disso e uma delas é que ainda não a gente ainda não tem uma interpretação extensiva realmente que é o que a gente precisa não só pelo Judiciário como Enfim por outras autoridades sobre a extensão da Lei quando a gente vai olhar pros capítulos da da rgpd o capítulo de direitos do titulares ele tá

no top qu ali de Capítulos mais mencionados então eh e aí isso é interessante porque a gente também teve uma crescente com relação ao capítulo direitos titulares no início a gente começou com cerca de 15 a 20 decisões e hoje a gente já passa de 50 isso pode parecer pouco mas eu tô falando de um universo de 1200 decisões Que mencionam de alguma forma esse tema e que podem também mencionar outros aqui então eu tô falando esse número isolado e com relação aos setores E aí trazendo a questão dos Marketplace lá a gente faz uma

uma categorização um pouco diferente da que vocês fizeram na pesquisa de vocês mas imag que os marketplaces entrariam ali na categoria de eh empresas de intermediação de negócios e de serviços e eles representam 4% da nossa base ali De dados de decisões relevantes o que realmente é um número talvez não tão expressivo apesar de tantos problemas que a gente enxerga né Eh a maior parte das decisões elas são muito relacionadas a instituições financeiras bancos administradores de cartão e também eh bancos de dados né então Serasa e outras instituições similares E aí o eu queria entrar

para fazer alguns comentários para vocês e de um capítulo que a gente escreveu a gente esse ano pela primeira Vez elaborou um relatório qualitativo e depois eu convido vocês a a consultarem o painel é só digitar painel pjus brasil.com.br esse capítulo inclusive foi escrito por uma das pesquisadoras que tá aqui que é Eduarda Costa eh que é o capítulo sobre direitos dos titulares e é muito interessante a gente Enxergar como existe existe uma percepção diferente sobre como esses direitos são aplicados na prática o que que o judiciário tem interpretado sobre os Limites de aplicação desses

direitos então quando a gente olha em termos de de de decrescentes né lá no topo o professor Diego vai falar um pouco mais sobre esse direito específico a gente tem o direito de revisão a decisões automatizadas e de informações sobre os critérios dessas decisões ele vai falar um pouco sobre isso mas esse direito ele aparece com cerca de 15% das decisões sobre direitos subs titulares Então agora eu tô olhando o universo um pouco Mais restrito e isso é um número expressivo porque quando a gente olha os outros direitos a gente já cai aí para um

percentual de 8 4 e 3% então eh ele vai destacar esse direito eu queria destacar outros três com vocês que é o direito de acesso o direito à eliminação e o direito à anonimização a gente tem inúmeras inúmeras decisões interessantes né pensando aí no universo de 1200 obviamente a gente vai ter muito muito Tema para debater mas eu queria trazer esses três direitos porque eu acho que eles eles foram muito relevantes E trouxeram decisões bem peculiares quando a gente foi analisar o direito de acesso por exemplo a gente identificou duas discussões centrais a primeira delas

é que os titulares eh em várias ações pediram para que as empresas fornecessem eh informações sobre Quais foram os dados ou os bancos de dados que foram utilizados para negar um crédito e vejam Que aqui eu não tô falando sobre revisar uma decisão automatizada eu não tô falando sobre fornecer informações sobre os critérios dessa decisão eu tô falando especificamente sobre fornecer informações sobre quais dados foram utilizados e aqui principalmente num contexto de imobiliárias né enquant a gente tá falando de um contrato de aluguel em que a pessoa tem que apresentar ali uma uma comprovação de

capacidade financeira para arcar com Aquele valor e o que o judiciário tem entendido é que a recusa dessas empresas e não fornecer essa informação ela seria justificada meramente pelo fato de se tratarem pelo que o judiciário entende de informações privadas e ele não explica por que ele entende que são privadas e em que sentido ele entende que são privadas E também porque in existiria a priori qualquer tipo de indicação de discriminação no caso Então esse é um pouco do entendimento ou seja Não tão pró titular por um outro lado a gente também tem muitos casos

de pedidos de acesso a dados relacionados à ações de exibição de documentos então quando o titular por exemplo quer que a empresa forneça algum documento sobre eh questões trabalhistas eh sobre documentos médicos E aí aqui a gente já tem uma outra interpretação que é mais pró titular de realmente garantir que esse titular tem acesso o que o judiciário chama de Informação dele então aqui sim eles reconhecem que esses dados são dos titulares eles têm que ter acesso inclusive nos casos em que o titular tentou entrar em contato com a empresa antes de ajuizar ação judicial

existe até mesmo uma aplicação de uma indenização por dano moral por conta dessa demora que o judiciário entende que gera uma angústia realmente nesse titular quando a gente vai pro direito a eliminação a gente tem um outro pro Cenário e esse cenário ele é muito característico porque acho que ele mostra um pouco da da da dificuldade que a gente tem de compreensão realmente dos dos limites da lei porque a maior parte das decisões que a gente identificou sobre sobre direito a eliminação são pedidos muito genéricos muito Gerais em que o titular simplesmente fundamenta que ele

não concorda com o tratamento e que ele não quer que aquele tratamento seja feito das informações deles e está Muito relacionado às hipóteses de score de crédito e também comercialização de dados só que hoje a gente já tem um judiciário que tem um um posicionamento eh majoritário né Eh entendendo que esses modelos de negócio eles são listos principalmente os tribunais do Sul então na em todos quase todos os casos o entendimento é de que eh esses esses dados eles não poderiam ser eliminados E aí a gente tem outras discussões como por exemplo eh confusões que

são feitas Entre o direito a eliminação de dados da lgpd com o direito à desindexação que não Tá previsto nenhuma lei mas é ali uma construção jurisprudencial e doutrinária e com o direito ao esquecimento que já foi reconhecido pelo STF como incompatível com a constituição então vejam que é um pouco difícil até pro titular desses dados para tentar compreender Quais são os limites de cada um desses direitos quando cada Direito pode ser exercido eh e e muitas vezes Principalmente em Juizado Especial Cívil a gente tem ações que misturam todos esses direitos no mesmo na mesma

bagagem e e acaba que o judiciário por talvez não está tá tão preparado para para decidir esses casos acaba bagunçando também na hora de proferir uma decisão que gera aí um um precedente e uma jurisprudência que depois vai ser um pouco difícil da gente tentar consertar e por fim eu queria trazer um um uma discussão também muito relevante sobre o Direito à anonimização eu não sei se vocês já ouviram falar sobre a discussão de listas sujas né Essa é uma discussão até um pouco mais antiga né ali de antiga sim né hoje em dia tudo

passa tão rápido mas ali de 2010 eh eh eram criadas Antes quando você acessava os processos trabalhistas você conseguia fazer uma pesquisa né dentro do do PJ dos sistemas por meio do nome da parte e essas esses essas pesquisas elas geravam listas com nome de Empregados que haviam Ajuizado ações contra seus ex empregadores ações trabalhistas e essas listas elas eram utilizadas em processos seletivos para evitar que essas pessoas conseguissem novas oportunidades de emprego né E isso gerou um problema tão grande o NJ chegou a a a publicar uma resolução sobre esse tema para que os

tribunais eles criassem meios né informatizados para impedir essa pesquisa pelo nome da parte só que o que a gente enxerga hoje é que isso ainda é Feito por meios que talvez a gente não saiba como os agregadores de dados essas plataformas agregadoras conseguem puxar e acaba acabam no final das contas perfilando isso né criando perfis ali a partir do nome que puxam todos esses dados e muitas ações elas são apresentadas na Justiça Trabalhista pedindo para que que esses dados eles sejam anonimizados ou seja os dados que são consultados ali pelo pje sejam anonimizados para que

essas pessoas Evitem prejuízos Principalmente quando a gente fala em assunto de emprego ou seja a gente tá falando que essas pessoas elas estão sofrendo prejuízos com perda de oportunidad sociais porque esses dados ali estão disponíveis publicamente nesses casos eh O que o judiciário tem entendido é que os tribunais Eles já seguem a resolução do CNJ E que tudo tá Conforme a lei que não tem muito como isso ser feito sem um pedido de segredo de Justiça então eles estão Diferenciando aqui um pedido de anonimização de um pedido de segredo de Justiça eu acho que assim

no fim das contas o que eu quis trazer um pouco aqui para vocês na minha fala breve que é muito complementar ao que vocês Já trouxeram é que a gente tá num cenário muito incerto né porque de um lado a gente vê e vários sites igual vocês mostraram que não estão aí preparados não estão adequados realmente a lei E aí quando o titular ele recorre ao poder Judiciário para tentar fazer o seu direito prevalecer né ser concretizado ele também muitas vezes não é protegido então ele fica num cenário de dupla desproteção né e isso é

um pouco problemático e e assim três conclusões que eu eu Tiraria disso E aí até um ponto eh essa incerteza e essa talvez falta de consenso e falta de interpretação técnica da Lei ela se expande para todos os outros artigos da lgpd então depois se vocês quiserem dar Uma olhada nesse relatório que a gente preparou eh pro pro painel do do LGP nos tribunais a gente Analisa ali vários outros temas como incident de segurança como responsabilidade civil princípios então Bases legais então vocês vão ver que os entendimentos eles muitas vezes acabam sendo até conflitantes né

e apresentam e existem decisões que são muito eh peculiares assim que apresentam visões até muito interessantes assim de de de gente chegar a pensar como é que Chegaram à aquela conclusão mas eu acho que em termos de para eu finalizar aqui minha minha minha participação né minha fala aqui para vocês acho que seriam três conclusões que eu Tiraria assim um pouco dessa pesquisa né acho que por um lado existe uma uma má compreensão uma incompreensão talvez do alcance desses direitos pelos próprios titulares e isso se dá muito pelo formato ali dos direitos isso vincula uma

outra conclusão que eu tiro que a lgpd ela é Um pouco escalonada assim então quando a gente olha pro direito à eliminação os titulares entendem que o direito a eliminação ele pode ser exercido a qualquer momento e em qualquer condição sem nenhum tipo de de de talvez de pré-requisito e o direito a eliminação ele Tá previsto na lgpd para quando Ou você tem um tratamento que é realizado em desconformidade ou quando você tem um tratamento que é realizado a partir do consentimento desde que você não tenha Uma hipótese de conservação dos dados do artigo 16

então uma coisa é a gente enquanto jurista entender isso outra coisa é você olhar ali para um titular uma pessoa Às vezes leiga e ela entender que existem várias condições para ela exercer aquele direito por um outro lado quando a gente olha realmente pro Judiciário a gente vê que existe uma falta de capacidade técnica de interpretar realmente os termos da Lei e isso gera um problema porque muitas Vezes o titular ele é quase revitimização e a a esposa do Danilo eh falou muito hoje de manhã o Danilo me falava muito isso quando eu eu pesquisava

junto com ele que a educação ela é muito a chave né então quando a gente fala de titulares educar e conscientizar esses titulares é muito importante para que eles entendam o que que eles podem exercer em que medida e até que ponto e pro outro lado o judiciário que também precisa dessa Capacitação Então é isso pessoal super Obrigada e devolvo a palavra Obrigado J pela sua exposição eh é realmente e vou acessar a pesquisa não não sabia que estava pública no lgpd eh pelg eu vou ter que pegar esse nome novamente no final da apresentação

vocês perceberam eh E com isso eu queria abrir a palavra para o professor Diego eh que está remotamente eu não sei também se Vai ter alguma Apresentação mas eh como Luca fala the flor eh bom obrigado Eh boa tarde né a todos e todos É uma pena não poder estar aí presencialmente mas eh Fico muito honrado com com o convite de poder participar eh desse dessa edição na quarta Edição do CPD pelatan e de modo que eu agradeço na pessoa da Bianca Cremer do Nicolo pela pelo convite e de compartilhar esse painel aí com com

assim algunas deação Com conhecidos Rodrigo foi colega do doutorado eh a a a Giovana também que a gente trabalhamos ali no cedis Enfim uma É uma honra bom eu eu vou procurar ser breve até pelo acho que que pelo tempo e aproveitando também né que a Giovana ela já trouxe aqui alguma série de eh já de uma contextualização né a respeito da da pesquisa da lgpd nos tribunais só antes disso um um breve também Disclaimer eh eu assim a minha fala ela é É que eu tô usando meu chapéu exclusivamente de acadêmico então sem nenhuma

outra não fala em nome ou representando nenhuma outra eh instituição as opiniões e enfim visões são exclusivamente minhas Ah bom então como a a giovanela adiantou a minha ideia queer falar especificamente sobre um dos direitos dos titulares que é o o direito na verdade de revisão né a a de uma decisão automatizada previsto no Artigo 20 da da da lgpd tentar então trazer aqui algumas considerações de um de uma forma talvez um pouco mais eh verticalizada e a justificativa disso acho que se se se encontra até mesmo na na própria fala da Giovana de que

eh dentro das decisões relevantes né que versam sobre os dispositivos do capítulo 3 da lgpd então que tratam sobre os direitos titulares é justamente o artigo 20 o caput até assim de forma mais específica o artigo mais mencionado Artigo mais citado portanto aí há assim a a uma já um um indício de que se trata de um direito importante e que tem merecido a atenção da do Poder Judiciário e um um uma um aspecto eh eh eh que é importante ressaltar at como a gente tá falando aqui a gente até então né a isso veio

na fala da Giovana falamos muito sobre o relatório mais recente da da do lgpd nos tribunais o painel lgpd nos tribunais eh uma das coisas um dos Achados dessa última edição então que vocês vão encontrar no relatório é que quando a gente olha pro objeto do processo que Versa sobre o artigo 20 eh se confirma a identificação de que eh e em maior medida essa essa discussão a respeito da aplicação do direito à revisão ela aparece em casos que versam sobre sistemas de decisão automatizadas aplicados ou utilizados por plataformas digitais especialmente eh eh são os

provedores de intermediação De transporte Uber vários casos envolvendo na Uber 99 mas também redes sociais então e eh acho que esse é um essa esse é um ponto né importante aqui para até paraas considerações eh que eu vou fazer então o contexto dessas desses casos normalmente Envolve o quê decisões de exclusão de de um usuário ou de um motorista eh da de uma plataforma né então há o o haveria o bloqueio a restrição de acesso ao perfil a conta e Em razão dessa eh eh dessa situação judicializa a questão e a a a LGP dela

se torna ali uma um dos argumentos enfim a a um dos fundamentos para para o exercício da eh do direito né fundamental de acesso à jurisdição ali da do titular de dados bom eh quando a gente olha para essas decisões E aí é uma eu junto com o o o Lucas Costa dos Anjos um colega a gente tem tá tem uma pesquisa em curso eh esperando futuramente publicá-la mas A gente tem então voltado aqui os nossos olhos e é para fazer uma análise Então já dessas decisões ou do documento de uma forma mais aprofundada para

buscar então estabelecer ou ou ou ou trazer algumas inferências eh sobre a aplicação do direito da revisão né de decisão automatizada aplicação portanto do artigo 20 pelo Judiciário brasileiro e trazer isso de uma forma eh comparada ao contexto ah do direito europeu mas especificamente Sobre o Brasil e com base partindo né da dessa pesquisa que foi feita H pelo cedis alguns quatro pontos aqui eu gostaria sim de destacar e são observações a respeito então de das decisões que a gente analisou h a aí fez a análise mesmo documental primeiro deles é que uma série de

casos muitos desses Casos eles são levados a a a justiça do trabalho e aqui Claro existe um pano uma matéria de fundo de discussão se há relação empregatícia ou Não entre o motorista e e a plataforma entre né o Uber 99 não é isso que claro que eh a gente vai discutir é especificamente eh eh eh qual é o entendimento e como aparece o direito de revisão o artigo 20 na fundamentação da Deão judicial e o que se percebe é que a eh tribunais e magistrados el T entendido que se conceder uma tutela jurisdicional ao

direito de revisão O titular de dados ele tem que eh observar e atender um ônus de provar a existência De uma decisão automatizada e também ele tem que comprovar ou trazer evidências de que ele formulou um pedido de revisão Então fez uma solicitação no pedido de revisão ao controlador isso não foi atendido né Eh então a a de certa forma é até aqui uma certa e eh semelhança com artigo 55j né aquele direito de petição Face a npd que o titular de dados tem tem que comprovar que ele procurou que ele provocou a a o

controlador anteriormente Eh bom aqui acho que a gente até poderia discutir em um outro momento se não parece mais uma questão processual de interesse de agir mas enfim é uma observação a a se considerar a o outro ponto segundo segundo ponto é que em várias dessas decisões mais uma vez Então envolvendo eh eh exclusão de motoristas de usuários de plataformas digitais há uma certa priorização a ou precedência dada à análise dos termos de uso da plataforma e da Conformidade que o comportamento do usuário ou do Motorista tem com esses termos de uso a análise e

ao escrutínio e de haver de se ver ali ou não um sistema de tratamento de dados pessoais ou de uma decisão de tratamento automatizada de dados pessoais ou se não totalmente automatizada se há aí uma decisão ou um sistema semiautomatizado né que tenha que tem ali uma relevância na uma intervenção um envolvimento humano relevante na tomada de decisão de Exclusão por exemplo daquela pessoa e e porque em várias dessas decisões percebe que há situações por exemplo em que a Ah se ignora a própria alegação a do artigo 20 ou se há aqui uma decisão automatizada

ou não merecedora de atendimento a esse direito de revisão porque houve violação aos termos de uso do do da plataforma ou então encontra-se decisões que fala o seguinte Olha a exclusão ah da do do principalmente aqui Dos Motorista né ela não foi unicamente baseada eh eh no tratamento automatizado de dados mas também em relação à violação dos termos de uso e o Curioso é que assim são dois dois aspectos que não tem nenhuma relação de prejudicialidade Entre esses temas é possível você analisar e averiguar investigar escrutinar se há ali de fato uma decisão automatizada ou

não sem eh excluir a análise da conformidade ou não cumprimento ou não ah dos termos de uso Daquela determinada plataforma terceiro aspecto esse agora eh específico sobre o parágrafo primeiro do artigo 20 né então o dispositivo que estabelece dever de que o de controlador ele fornecer informações melhor fornecer informações sobre critérios os procedimentos usados eh para tomar de decisão automatizada ele frequentemente é tratado nas decisões judiciais como um aspecto mais processual relacionado a produção de Prova e um cargo probatório de modo que também mais uma vez se encontra uma série de decisões que afastam a

aplicação do parágrafo primiro do artigo 20 dizendo que ou eh sustentando que seria desnecessário a produção de prova ou se eh eh eh exigir que o controlador forneça informações sobre os critérios de procedimentos adotados porque é desnecessário para a esclarecimento dos fatos para a a a comprovação dos fatos então parece portanto mais uma questão Relacionada a a direito probatório do que propriamente o direito material Quarto e último ponto que eu gostaria que destacar para vocês é que eh não existe muita clareza a respeito do que é ou do que em que consiste né o critério

o critérios e procedimentos eh usados para a a tomar de decisão ou para a decisão automatizada não e obviamente enfim a gente tá falando aqui de um de um conceito n indeterminado eh mas a partir dessas decisões Envolvendo esses casos de plataformas eh digitais parece que eh eh eh eh a partir da análise dessas decisões a gente tem identificado que termos de uso é considerado pelo Poder Judiciário então Eh órgãos do da Justiça do Trabalho justiça estadual termos de uso de plataforma digital são considerados aí critérios ou também há ali a a previsão de procedimentos

a serem adotados eh mas enfim não falta ainda eh eh mais clareza eh até para você pro intérprete eh e o O Poder Judiciário é um intérprete que deve sim trazer e eh critérios e parâmetros pra gente entender eh eh e compreender esses conceitos jurídicos determinados eh mas o um outro ponto também que falta clareza é quando qual é o momento que se deve fornecer essas essas informações e aqui explico porquê eh dois casos um caso envolvendo a eh exclusão de um motorista de um aplicativo decidida pelo Poder Judiciário outro caso por sua vez já

Envolve plataforma eh de rede social tá então ambos foram se discutiu a a exclusão e foi mencionado foi abordado ali o parágrafo eh levantado o parágrafo primeiro da artigo 20 como fundamento para se eh eh exigir do da plataforma o fornecimento de critérios e procedimentos que foram utilizados para tomar de decisão Em um caso o jize considerou que o fornecimento dos termos desde o princípio em que houve então a se iniciou a relação de um motorista com A plataforma digital já traz ali os critérios e procedimentos que ele deve levar em consideração para futuras decisões

a eh eh Inclusive a sua exclusão de uma plataforma já ou seja eh os esses critérios e procedimentos eles são fornecidos antes mesmo da decisão automatizada ser tomada só que em uma outra em outras decisões E aí ess uma uma decisão que envolve envolve o Facebook excl usão enfim de um de um Usuário eh o judiciário entendeu Trial jí de São Paulo entendeu que isso depois da tomada de decisão automatizada que houve a violação da lei geral de proteção de dados porque o parágrafo primeiro do artigo 20 não foi observado não foram fornecidos os critérios

e procedimentos eh eh eh adequados né a informações adequadas sobre critérios de procedimentos que fundamentaram aquela decisão Automatizada sabe enfim eh com isso o que eu quero ir caminhando pro final quero eh eh eh é dizer né e acho que confirmando muito do que a Geovana já falou é que eh mesmo tendo aqui uma uma um cenário pintando um cenário com as limitações que nós temos a gente tá falando aqui do Poder Judiciário né e e e os os demais colegas falaram todos sobre a uma perspectiva que envolve muito O titular junto a o frente

ao ao agente de tratamento mas é possível acho Que não seria enfundado uma afirmação de que eh o panorama sobre a prática jurídica do Direito de revisão ele carece ainda de uma série de parâmetros interpretativos n eh de fato o poder judiciário não não tem eh sido eh eh ou de desincumbido da sua atividade hermenêutica trazendo critérios relevantes ou realmente orientativas eh pra gente de modo geral Essas decisões elas não se debruçam sobre os pressupostos de aplicação do direito de revisão e do artigo 20 o que que é decisão não se discute o que que

é decisão quais e o que que devemos compreender por esse conceito também determinado eh O que que é uma decisão baseada em um tratamento exus baseado exclusivamente tratamento automatizado e qual que é a relevância da intervenção humana movimento humano na tomada de uma decisão enfim são pontos que são eh eh Desconsiderados ainda não foram tratados e né sei que temos outros atores aí envolvidos eh para outros intérpretes que TM a possibilidade de nos auxiliar nesse no fornecimento desses critérios a npd por exemplo mas acho que é um cenário que eh a gente pode eh eh

eh traçar a respeito do da prática desse direito muito importante aí no no na era da Inteligência Artificial e paro por aqui obrigado e ago as as perguntas Obrigada Diego eh eu acho que Com essas Exposições que nós tivemos hoje eh é possível ver que ainda Precisa realmente de uma maior estudo maior cuidado com a legislação tanto frente eh na frente das empresas quanto quando a gente Analisa eh O Poder Judiciário e também quando a gente fala em questão administrativa para autoridade com isso eu queria abrir para perguntas eh acho que também pelo decorrer do

tempo a gente vai abrir para duas perguntas eu Não sei se alguém eh bom primeiro eu queria dar os parabéns pela pesquisa né dizer e Reconhecer mais um um comentário né Eh como H as pesquisas aqui né GV que oic tem conduzido estão em linha só que talvez com perspectivas diferentes com algumas pesquisas que eu tenho conduzido no no instituto na na logaritm né ali a gente tem um projeto ainda não tá totalmente terminado eh eh que desenvolve uma Ferramenta para detectar cláusulas abusivas tanto em relação a aos termos de uso e abusos a direito

consumidor E também o cumprimento a a a lgpd né então achei muito interessante muitos dos aspectos das análises que vocês colocaram né Eh o universo de de de documentos que a gente usou para treinar ferramenta Tem algum overlap aí mas eu achei interessante eh todos os pontos que vocês eh eh utilizaram porque A gente poderia até tentar pensar em em em uma comparação rodar ferramenta nesses H documentos que vocês analisaram que vem em que medida que é é é ótimo tem um conjunto de expertos que já analisou a fundo vamos ver qual que é o

resultado da ferramenta e eventualmente voltar a retreinar a ferramenta com base em em alguns elementos que eu vi que vocês usaram eh que parecem mais sofisticados do que o os critérios que nós usamos para para Tagueamento né É só um um um um uma consideração para eh motivar uma uma cooperação pra gente tentar juntar esses dois resultados vou esperar a publicação e a gente volta a conversar boa tarde eh primeiramente Fiquei bastante impressionada com os números da pesquisa eh gostaria até de fazer um um convite a todos para dar uma olhadinha no aviso de privacidade

da Oi eu sou especialista e eu tive um trabalho assim bastante longo Intenso de tentar promover um aviso de privacidade que considerasse eh uma linguagem acessível que disponibilizasse as informações em camadas Inclusive a gente consultou o aviso do Mercado Livre aí como como benchmark eh mas eu tenho uma pergunta especificamente em relação ao ponto de compartilhamento eh de dados com terceiros né né Eh a gente tem uma dificuldade aí olhando pro lado operacional das empresas de operacionalizar aquela ideia de uma Informação muito específica de indicar o nome da empresa por diversos fatores né seja em

razão da volatilidade dos contratos o volume de parceiros enfim empresas relacionadas na cadeia de de serviço eh até mesmo em razão da utilidade né porque a gente coloca uma informação no site daqui a pouco a gente tem que atualizar às vezes a gente tem cláusulas de confidencialidade que até impedem né a exposição do nome da empresa além de questões concorrenciais Então queria saber na opinião de vocês quando avaliam esse ponto de compartilhamento até que medida é necessário trazer essa informação eh a gente adotou no caso da Oi a ideia de trazer a categoria E as

finalidades né dos parceiros mas isso a gente observou já que alguns institutos de pesquisa querem um pouco mais de informação e a gente fica ali com essas dificuldades então que queria saber a opinião de vocês tem mais uma pergunta ali embaixo Vamos só juntar aqui a gente consegue eh Boa tarde eu gostaria de primeiro agradecer a exposição de vocês pesquisas muito interessantes eu tenho uma pergunta bastante pontual É no sentido de que se o parágrafo primeiro do artigo 20 se vocês consideram que se trata de um direito à explicação eh se sim ou não por

e se do ponto de vista do titular né seja trabalhador seja consumidor enfim do da pessoa natural se esse direito à revisão e se esse direito Muito entre aspas do meu ponto de vista pelo menos explicação é suficiente para atingir o objetivo do que ele necessita para compreender o resultado dessa decisão Obrigado certo aqui para fazer uma última pergunta muito pont eh Principalmente para o Diego eh mas também toca no que aana estava falando sobre a judicialização é um aspecto que a gente levantou Universo de e-commerce a gente Focou s num número mais enchuto de

empresas que tinam judiação sobre lgpd no e-commerce E aí o o problema muitas vezes é o titular não tem como ter acesso a evidências né e tem um uma simetria informacional no artigo 42 da lgpd tem a possibilidade para o juiz invertir o ônus da prova não que não levantamente agen F na maioria dos casos a inversa da prova era feta por que se eram tratadas Como disputas consumeristas na nas quais tem essa inversão de fato da prova então quera saber nesse caso dos Uber istas dos motoristas da Uber né Eh não seria um consumidor

a Rigor Então eu queria saber se nos casos tem ess essa inversão doos da prova como é a experiência de vocês em em eh nesse aspecto né ver se tem inversão do alunos da prova conforme artigo 42 da gpd obrigado eh não só complementando eh dentro desse Recorte da pesquisa que o professor nic acabou de mencionar a a gente tinha levantado até Março eh a quantidade de 580 processos dos quais dessas plataformas a gente também havia incluído Como e-commerce nessa contextualização a Uber né E nem todas as vezes esse envasamento do ônus da prova ele

vinha envasado também na eh na lgpd por isso né a pergunta mas enfim não foi direcionada a mim só para trazer um pouquinho mais de informação em Relação a esses dados mas em relação à pergunta de o que que seria né transparência quando a gente fala eh dos terceiros né dos parceiros comerciais e de fato não existe ainda uma uma uma orientação tão precisa eu acredito E aí assim não não é uma opinião só minha é uma é algo que a gente discutiu dentro no âmbito do nosso projeto porque com uma das empresas nós tivemos

uma situação eh na qual quando Nós fizemos o cadastro na na empresa imediatamente a gente também estava cadastrado numa terceira que era um meio de pagamento e essa informação não estava publicizada na política de privacidade e enfim gerou um um estranhamento e quando nós questionamos essa empresa eh nós não obtivemos uma resposta objetiva então não não que necessariamente responda a sua pergunta e do lado das empresas eu entendo também às vezes a gente tenta fazer o mais Transparente possível mas na hora que a gente sobe né a os gestores não não não viabilizam não permitem

que a gente seja tão transparente por questões negociais pelos ND etc Então me parece razoável que essa transparência mais completa né talvez nominal né que ela se faça pelo menos naquelas que estão atreladas a um cadastramento né que seja diretamente vinculada à prestação do serviço que assim pela na execução do contrato né a gente tem uma linha de atividades e e Tratamentos de dados então eu me parece que seria apropriado ali ter um Cuidado um pouquinho maior se eventualmente nós nos depararmos como você trouxe uma preocupação enquanto profissional do mercado Então me pare caso eventualmente

a gente se depare com a o a gestão inviabilizando obstaculizando essa publicidade Vale conversar em que medida se eventualmente O titular entrar em contato que a gente poderia trazer essa Informação e aí me parece que que sendo um âmbito um pouco menor seria justo daí entrar com nominalmente com com com essa empresa se não houver o NDA assinado e se tiver também essa justificativa me parece plausível caso isso seja judicializado ou seja levado até um uma um eventual questionamento administrativo acho que seria uma justificativa aceitável a ser articulada não sei se o Rodrigo que tá

também querendo responder não sei se ele Concorda mas eu essa a essa é uma pergunta extremamente complexa porque ela ela entra nos meandros do limite da Transparência né dos contornos e limites e espectro de abrangência do que é transparência até que ponto você precisa ser transparente e tem inclusive aquela questão do paradoxo da Transparência da da n Bal que fala que Olha se você não dá muita informação você acaba omitindo sendo opaco Se você dá informação demais Ninguém vai ler o que é quase que a prática hoje que as muitos dos termos de uso políticas

e avisos são extremamente longos Ah não há pelo menos na minha Ótica na minha visão obrigação legal expressa na lgpd nesse sentido de você informar o nome o CNPJ o CPF do agente de tratamento que você compartilha mas me parece que o mínimo para garantir uma transparência mínima é você informar que tipo de compartilhamento E Qual é o destinatário no sentido de ramo por exemplo de atuação Então vou comp compartilhar os seus dados com o meio de pagamento para processar os seus pagamentos vou compartilhar com os meus parceiros de marketing para fazer determinado tipo x

y z de marketing agora realmente d o CNPJ ou identificar a gente cai até numa num potencial conflito com um segredo Industrial comercial segredo de negócio porque muitas vezes a gente sabe que o os Parceiros comerciais são a chave do do do do do avanço concorrencial comercial daquele Player do mercado então ele não vai querer revelar Qual é o fornecedor de um produto super específico que só ele tem um contrato de exclusividade ele não quer dar essa esse caminho pro pro concorrente então tem que se avaliar isso também porque nenhum direito é absoluto a proteção

de dados não é absoluta tem que ser ponderado e o legítimo interesse tá aí pra gente ver Que o até um terceiro pode se sobrepor os interesses individuais de caráter fundamental de um ou mais titulares então então assim essa pergunta Na minha opinião é é muito boa muito difícil de responder mas eu acho que o caminho mínimo é você informar com base nas finalidades com que tipo de parceiros comerciais você vai compartilhar aqueles dados pessoais Mas isso é uma opinião pessoal minha não tô falando aqui pelo pelo nosso grupo até porque essa matéria Ainda não

tá finalizada na nossa pesquisa é eu vou me aproveitar da minha posição de de de moderadora do painel e vou fazer só mais um complemento com que o Rodrigo falou sobre esse ponto de compartilhamento eh eu concordo que é uma uma pergunta extremamente difícil de responder porque realmente tá nesse liame entre dever de transparência e talvez um um dever de informação eh mal aplicado a depender da quantidade de informação que é posta a público eh Só que analisando algumas políticas de privacidade que a gente percebe também é que muitas vezes eles colocam pro titular de

dados Ass seguinte informação estou compartilhando seus dados com meus parceiros comerciais se você quiser eh exercer algum direito de titular com esses parceiros comerciais você tem que analisar a política de privacidade deles só que a partir do momento que existe essa afirmação sem a nomeação de quem são esses parceiros comerciais a gente Chega numa situação extremamente de descumprimento da lei porque você não dá não confere ao titular de dados a possibilidade de exercer os seus direitos Então nesse momento quando a empresa Toma essa política de indicar que para exercício de direitos de titulares com esses

parceiros comerciais O titular vai ter que entrar em contato com esse parceiro comercial aqui eu acho que é completamente importante e necessário eh identificar quem são esses Parceiros comerciais aqui não haveria dúvida para esse para essa listagem dos parceiros só esse ponto que eu queria adicionar então vou abrir pro Diego pro só a gente Diego só a gente passar a palavra para você que eu acho que o Diego vai ter as melhores e maiores respostas pra pergunta de vocês dois Eu queria fazer um ele sinalizou ali Ah cara eu queria só fazer um comentário pontual

sobre a sua pergunta Professor porque eh eu fiquei Responsável por analisar todas as decisões sobre incidente de segurança né e um dos pontos que que a gente conseguiu identificar foi que por um incidente de segurança ser considerado indenizável seguindo muito a linha da decisão do STJ do início de 2023 eh se entendeu que o titular teria que provar que realmente Ocorreu algum dano né e esse é um entendimento que a gente identificou que já começou a ser aplicado nos tribunais de justiça então Assim não existe uma análise pelo menos ISO não identificou com relação aos

direitos dos titulares mas existe uma discussão sobre os da prova com relação a incidente de segurança aplicando a decisão do STJ aí nos tribunais de justiça Diego vai lá eh bom eh vou duas perguntas né Eh primeiro sobre direito a a à explicação eh acho que E aí vou acho que vou começar de trá paraa frente ele perguntou assim ah se se realmente eh O Que a O titular de dados quer é a uma explicação a respeito do da decisão que foi tomada decisão automatizada acho que o o problema aqui ó a questão que é

a gente quer garantir é compreensibilidade ou explicabilidade a forma como isso vai se dar certamente não vai ser eh eh assim explicar os detalhes os mínimos detalhes técnicos como o sistema chegou num determinado resultado da determinada decisão eh eh aqui eu acho que a ideia de compreensibilidade e de Explicabilidade ela eh eh eu acho que dialoga também com um outro aspecto que é explicabilidade compreensibilidade para até mesmo exercer outros direitos assim qual sentido tem você tem um direito à revisão se você sequer entende o que que a decisão o porque aquela decisão Quais s as

razões daquela decisão automatizada h de modo que e eh então assim eu acho que isso isso dialoga bastante também ou a função do que está previsto no artigo 20 parágrafo primeiro ela a meu ver Tem uma função muito semelhante com o próprio direito de acesso um direito que ele serve como uma p de entrada com ponto de partida ou ter o mesmo pressuposto para você exercer outros direitos e dos titulares exercer outras situações né subjetivas então a meu ver existe sim um um direito à explicação mas é aqui entra um outro ponto eh eh que

eu acho que a doutrina no Brasil você tem autores que vão Defender um direito autônomo à explicação baseado no no parágrafo primeiro do artigo eh 20 e é aqui que então um um direito que se exerce após não é expost a a a a a a decisão E aí que eu vou colocar algo que eu defendi na Minha tese de doutorado a meu ver não existe a necessidade de gente compreender um direito autônomo a explicação mas e é um direito de acesso que se desdobra também aqui na na na explicação porque ele serve ele tem

essa Função de de ser também um uma eh como que um ponto de partida ou porta de entrada um pressuposto para você poder também eh exercer outros direitos e tanto é que se você pegar o artigo 19 inciso 2 você tem ali uma linguagem jurídica semelhante ao artigo 20 para primeiro uso de critério está lá igualmente previsto eh o termo eh legal eh e e aí Aqui um último observação sobre isso eh eh eh que é assim existe Também a limitação eh em relação a diversificação o próprio estado da arte assim se uma coisa é

você buscar exercer uma ou buscar né uma explicação após uma decisão se o sistema ele é uma decisão que baseado numa árvore de decisão que é é é é baseado em regras o sistema baseado em regras simples você conseguir uma um explicação as razões um determinado resultado agora se é uma rede neural a assim o estado da arte é é é bem diferente o a Possibilidade ou a a impossibilidade de você ter uma explicação né exata ali sobre a a razão pela qual uma causa que chegou a determinado resultado eh sobre E aí sobre a

a pergunta do Nicolo em relação ao ônus da prova eu acho uma é um aspecto muito interessante que a lgpd traz na verdade que é do processo civil como um todo e me parece a a minha percepção hoje é que é um tanto ignorada nessas decisões do Judiciário você não precisa ter a previsão da lgpd para Inverter Anas da prova isso é direito processual assim eh eh eh eh básico mesmo né direito probatório eh e de fato existe essa simetria de eh informacional e quem tem melhores condições para enfim explicar ou esclarecer os fatos vai

ser o controlador então eh eh de fato acho que uma falta de conhecimento ou de compreensão por parte T vez do do Judiciário eh eh sobre essa essa assimetria existente e sim é Simplesmente nesse caso se a gente pensar na discussão direito probatório seria sim você poderia resolver né Eh a partir direito processual Obrigada Diego É acho que com isso nós encerramos esse painel eh eu queria agradecer mais uma vez a presença de todos também agradecer eh pelas brilhantes falas que tivemos hoje aqui a genteo que é é isso gente obrigada m