A recente decisão unânime da 3ª Turma do Superior Tribunal de Justiça (STJ) reafirma a responsabilidade das empresas pela proteção de dados pessoais, mesmo quando o vazamento ocorre devido a ataques hackers. O caso envolveu a Eletropaulo, cujo sistema foi invadido, resultando no comprometimento de informações pessoais de seus clientes. A questão central da decisão foi determinar se, diante da origem ilícita do vazamento, a empresa estaria isenta de responsabilidades previstas na Lei Geral de Proteção de Dados (LGPD).
O entendimento do STJ foi claro: o fato de o vazamento ter ocorrido por meio de atividade criminosa não exclui a obrigação da empresa de garantir a segurança dos dados que armazena. A decisão reforça que, de acordo com a LGPD, o agente de tratamento de dados — ou seja, a empresa responsável pelo manejo das informações — deve adotar medidas técnicas e administrativas adequadas para evitar incidentes de segurança.
O ponto central da decisão foi a análise dos artigos 19 e 43 da LGPD. O tribunal entendeu que, mesmo no caso de um ataque ilícito, o dever da empresa de adotar as medidas de segurança não é diluído. O artigo 19 da LGPD determina que a empresa deve agir com diligência na proteção dos dados, enquanto o artigo 43, que trata das hipóteses de exclusão de responsabilidade, não abrange situações em que a empresa não adotou as providências necessárias para resguardar as informações.
A decisão também reforçou que a EC 115/22, que introduziu um novo marco para os direitos da personalidade no Brasil, veio para fortalecer a ideia de que as empresas têm a responsabilidade de adotar padrões rigorosos de segurança. O tribunal sublinhou que a LGPD não trata apenas da coleta e uso dos dados, mas também da segurança das informações, impondo às empresas a obrigação de implementar boas práticas de governança e medidas de segurança adequadas.
Assim, o entendimento do STJ é um importante passo para reforçar a importância da segurança digital e da proteção dos dados pessoais, responsabilizando as empresas não apenas pela conformidade com as obrigações legais, mas também pela adoção de medidas proativas para evitar que os dados que administram sejam acessados de forma indevida. Este precedente se torna um marco relevante para a jurisprudência relacionada à proteção de dados no Brasil e destaca a necessidade de as organizações se prepararem adequadamente para enfrentar as ameaças digitais.
A crescente integração da inteligência artificial (IA) no cotidiano levanta questões fundamentais sobre os limites da responsabilidade das empresas que desenvolvem essas tecnologias, especialmente quando se trata de seu impacto emocional e psicológico sobre os usuários. Um caso recente nos Estados Unidos, envolvendo a morte de um jovem após interações com um chatbot, lança luz sobre a complexidade desses desafios, que, embora inéditos, podem se tornar cada vez mais comuns à medida que a IA se torna mais acessível.
A situação em questão envolve a alegação de que um chatbot criado por uma startup de IA foi um fator contribuidor para a morte de um adolescente, que teria se tornado emocionalmente dependente de um personagem interativo desenvolvido pela plataforma. As últimas mensagens trocadas entre o jovem e o bot indicariam uma forte conexão emocional, culminando em uma promessa do chatbot de “retornar” para o usuário, pouco antes de sua morte. Este episódio ilustra um fenômeno crescente de dependência emocional de tecnologias que simulam interações humanas, uma preocupação crescente entre especialistas em saúde mental e direito.
No contexto brasileiro, a falta de regulamentação específica para a inteligência artificial representa um obstáculo significativo à responsabilização das empresas por danos causados por essas tecnologias. Atualmente, no Brasil, não há um arcabouço legal que trate diretamente do uso de IA e suas implicações, como em casos onde sua interação com usuários resulta em danos emocionais graves. Embora existam projetos de lei em trâmite, ainda não há uma legislação consolidada que forneça um marco regulatório claro sobre o tema, o que dificulta a busca por responsabilidades legais em situações como a mencionada.
Essa lacuna normativa torna ainda mais complexo o debate sobre a responsabilização das empresas de IA em casos de danos emocionais, especialmente quando esses danos levam a consequências trágicas, como a morte. A responsabilidade civil, nesse cenário, ainda não é amplamente definida, e o campo é considerado inédito no Judiciário brasileiro. A falta de precedentes para um caso como esse e a inexistência de normas claras criam um ambiente jurídico incerto, no qual seria difícil estabelecer uma conexão direta entre o uso da tecnologia e as consequências para o usuário.
Além disso, a Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, que regula o tratamento de dados, não abrange a regulamentação do desenvolvimento ou das interações promovidas por IA, como, por exemplo, o impacto psicológico que esses sistemas podem gerar. Embora a ANPD (Autoridade Nacional de Proteção de Dados) tenha o papel de fiscalizar a privacidade dos dados dos usuários, questões éticas e de segurança no uso da IA ainda não são devidamente regulamentadas. Isso implica que, em termos jurídicos, ainda há uma zona cinzenta que precisa ser explorada para garantir a segurança dos usuários, em especial no caso de crianças e adolescentes.
Com a proliferação de plataformas que utilizam IA, muitas das quais têm como público-alvo menores de idade, surge a necessidade urgente de uma regulamentação robusta que proteja os usuários dos potenciais danos psicológicos causados por interações com essas tecnologias. Um dos maiores desafios será encontrar o equilíbrio entre a inovação, que traz benefícios inegáveis, e a segurança, que é essencial para a preservação do bem-estar dos usuários, especialmente os mais vulneráveis.
Portanto, o caso nos Estados Unidos deve ser visto como um alerta para o Brasil e para o mundo. A regulamentação de tecnologias emergentes como a IA deve ser tratada com urgência, com o objetivo de estabelecer diretrizes claras sobre a responsabilidade das empresas que desenvolvem essas plataformas. Além disso, é imprescindível que o sistema jurídico se prepare para lidar com a nova realidade digital, garantindo que os direitos e a saúde dos usuários sejam protegidos adequadamente.
É evidente que, à medida que a IA avança, a sociedade precisa acompanhar e se adaptar às novas demandas legais, sociais e éticas que surgem. A regulação, longe de ser um obstáculo ao progresso tecnológico, deve ser vista como uma ferramenta essencial para assegurar que as inovações digitais possam ser utilizadas de maneira segura e responsável.
Nos últimos anos, a proteção de crianças e adolescentes no ambiente digital tem ganhado cada vez mais atenção, à medida que o uso da internet se torna parte fundamental da vida dos jovens. No Brasil, de acordo com a pesquisa TIC Kids Online 2023, 95% dos jovens entre 9 e 17 anos utilizam a internet regularmente, o que intensifica as preocupações sobre a segurança dessa faixa etária em um cenário digital repleto de riscos. Entre os temas mais sensíveis estão os casos de exploração comercial e a exposição a conteúdos impróprios, que frequentemente ganham repercussão na mídia.
Um exemplo recente é a denúncia feita pelo Instituto Alana contra o Instagram, operado pela Meta, junto ao Ministério Público de São Paulo. O caso, de junho deste ano, envolve influenciadores digitais mirins promovendo casas de apostas, incluindo cassinos online, como o “Fortune Tiger”, sem qualquer controle adequado. A Alana identificou cerca de 50 stories de perfis de crianças e adolescentes divulgando tais conteúdos. Embora tenha reportado a violação à plataforma, a resposta da Meta foi insatisfatória. Segundo a organização, o Instagram não dispõe de um mecanismo adequado para denúncias desse tipo de publicidade ilegal.
Além disso, o processo de denúncia teve que ser feito por meio de categorias que não refletem a gravidade do problema, como “Golpe ou Fraude”. A plataforma chegou a afirmar que os anúncios de cassinos não infringiam suas políticas, uma postura que levanta sérios questionamentos. As “Diretrizes de Comunidade” do Instagram exigem conformidade legal para a promoção de produtos regulamentados, como apostas e jogos de azar, os quais requerem, em teoria, aprovação expressa da plataforma. Dessa forma, dois cenários se apresentam: ou a Meta falhou em seguir suas próprias regras, ou permitiu conscientemente que influenciadores mirins fizessem publicidade de jogos de azar, em clara contrariedade às leis brasileiras.
Essa prática abusiva de publicidade digital feita por casas de apostas é apenas um exemplo de um problema mais amplo. Diversos estudos indicam que o ambiente digital apresenta sérios desafios para a saúde mental e o desenvolvimento social de crianças e adolescentes, como o excesso de tempo de tela, a hiperexposição nas redes e a substituição de experiências físicas por atividades online. Esses temas vêm sendo debatidos por especialistas de diversas áreas, incluindo psicologia, direito, e neurociência, o que mostra a complexidade da questão.
No Brasil, em resposta a esse cenário, o Conselho Nacional dos Direitos da Criança e do Adolescente (Conanda) aprovou, em maio deste ano, a Resolução 245, um marco para a proteção dos direitos de crianças e adolescentes na internet. Essa normativa estabelece princípios fundamentais para garantir a segurança desse público no ambiente digital, reforçando direitos como liberdade de expressão e privacidade, ao mesmo tempo em que prevê a criação de uma política nacional voltada à proteção dos mais jovens.
A responsabilidade das empresas de tecnologia, especialmente das big techs, ganha destaque na Resolução, que as obriga a adotar medidas concretas para mitigar e prevenir abusos que coloquem em risco os direitos de crianças e adolescentes. Como visto no caso da Meta, a negligência de grandes plataformas em cumprir a legislação vigente abre espaço para práticas ilícitas que exploram a vulnerabilidade dos mais novos.
A Resolução 245 também enfatiza a necessidade de uma readequação no modelo de negócios das empresas de tecnologia, que muitas vezes priorizam o lucro em detrimento do bem-estar dos jovens usuários. A implementação dessas diretrizes dependerá de esforços coordenados entre o governo, a sociedade civil e as empresas, para que a internet se torne um ambiente mais seguro e inclusivo para todos.
A base normativa trazida pela Resolução, aliada a políticas públicas eficazes, é fundamental para proteger não apenas o direito das crianças e adolescentes de estarem na internet, mas de estarem em um ambiente digital que respeite sua integridade e seu desenvolvimento. Afinal, a verdadeira proteção consiste em garantir um uso consciente e seguro da tecnologia, e não em afastar os jovens desse universo que já faz parte de suas vidas cotidianas.
A Lei Geral de Proteção de Dados (LGPD) trouxe consigo diversas mudanças que afetam diretamente os contratos empresariais. Com a implementação da LGPD, as empresas passaram a ter a responsabilidade de garantir a conformidade com os requisitos legais no que diz respeito ao tratamento de dados pessoais. Isso significa que os contratos relacionados a atividades que envolvem o tratamento de dados precisam estar em conformidade com as exigências da lei.
A conformidade com a LGPD não se restringe apenas às empresas em si, mas também aos contratos que refletem como os dados serão tratados. É fundamental que os contratos empresariais estejam em consonância com as disposições da lei, a fim de garantir a proteção adequada dos dados pessoais dos clientes e usuários.
Para compreender a importância da adaptação contratual à LGPD, é necessário ter um conhecimento básico dos principais conceitos abordados pela lei. É fundamental compreender o que são dados pessoais, dados pessoais sensíveis, titular dos dados e tratamento de dados. Esses conceitos servem como base para a elaboração de contratos que estejam alinhados com as exigências legais.
Além disso, é essencial compreender o papel dos agentes de tratamento de dados, que se dividem em controlador e operador. O controlador é responsável por tomar as decisões relacionadas ao tratamento de dados, determinando a finalidade e os meios desse tratamento. Já o operador recebe os dados do controlador e os trata de acordo com suas instruções.
Uma vez que esses conceitos são compreendidos, torna-se possível abordar a adequação da empresa à LGPD. Antes de adaptar os contratos, é necessário que as empresas ajustem suas práticas e diretrizes de acordo com a lei. Isso envolve mapear os dados, identificar quais informações são tratadas, quais processos e sistemas estão envolvidos, quem são os titulares dos dados e qual é a finalidade das operações realizadas.
Para compreender como adequar o contrato à LGPD, é importante ter um conhecimento dos conceitos fundamentais estabelecidos pela lei. Isso ocorre porque o contrato deve refletir a realidade da negociação e cumprir as exigências legais relacionadas à proteção de dados. A seguir, abordaremos alguns desses conceitos essenciais:
Informações pessoais: referem-se a dados como RG, CPF, endereço IP e perfis em redes sociais.
Dados pessoais sensíveis: envolvem informações de natureza racial, religiosa, biométrica e política, que requerem uma proteção especial devido à sua sensibilidade.
Titular dos dados: trata-se da pessoa física a quem os dados pessoais e sensíveis se referem, ou seja, o indivíduo sobre o qual essas informações estão relacionadas.
Tratamento de dados: engloba qualquer atividade que envolva o uso ou manipulação dos dados pessoais dos titulares, como coleta, armazenamento, análise e compartilhamento.
O agente de tratamento é aquele que lida de alguma forma com os dados e pode ser dividido em dois tipos: controlador e operador. Vamos entender a diferença entre eles:
– Controlador: é responsável pelas decisões relacionadas ao tratamento de dados. Ele determina a finalidade e os meios do tratamento dos dados.
– Operador: recebe os dados do controlador e os trata.
A principal diferença entre o controlador e o operador é que o controlador toma as decisões e determina a finalidade do tratamento dos dados. Lembre-se dessa informação, pois voltaremos a ela mais adiante!
Agora que definimos esses conceitos, podemos abordar a parte de adequação da empresa à LGPD. Antes de adequar o contrato, é necessário adequar o negócio, a empresa e as diretrizes da lei. A LGPD é baseada em princípios que visam garantir os direitos dos titulares, como o princípio da finalidade, que estabelece que o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Portanto, o primeiro passo para se adequar à lei é mapear os dados. O mapeamento de dados deve responder a perguntas como: quais dados são tratados, quais processos e sistemas estão envolvidos, quais partes estão envolvidas, quem são os titulares dos dados, quais operações estão sendo realizadas e qual é a finalidade dessas operações. Isso envolve uma análise dos processos, finalidades e um inventário de dados. Esse mapeamento deve ser realizado em todos os setores que lidam com o tratamento de dados antes de prosseguir para a próxima etapa. Embora não seja um processo simples, nosso foco neste artigo é a adequação contratual, então vamos para a próxima etapa.
Em seguida, é necessário realizar uma análise de riscos e um plano de ação. Isso envolve corrigir as falhas identificadas no mapeamento e criar medidas para cumprir a lei. Em seguida, passamos para a fase de implementação, que inclui a adequação contratual. Embora essa fase exija a implementação de políticas de privacidade e segurança, vamos nos concentrar na adequação contratual.
Como adequar o contrato à LGPD? Durante a fase de implementação, é necessário adequar o contrato, conforme mencionado anteriormente. Um dos pontos mais importantes dessa adequação legal ao contrato são as definições de controlador e operador. O controlador tem maior responsabilidade, pois toma as decisões relacionadas à finalidade do tratamento. No entanto, nem sempre é fácil determinar quem é o operador e quem é o controlador em negociações empresariais envolvendo duas ou mais pessoas jurídicas. Portanto, é importante entender que o operador, mesmo que tome certas decisões, não é considerado controlador, pois ele atua como um executor, não essencialmente definindo a finalidade do tratamento dos dados. Isso é especialmente importante para evitar conflitos futuros, pois estamos lidando com uma lei que impõe penalidades significativas. Além do esclarecimento dos papéis das partes envolvidas no contrato, também é necessário incluir cláusulas que abordem o tratamento realizado, os dados tratados, a finalidade do tratamento, o cumprimento dos direitos dos titulares, as situações em que é permitido o compartilhamento de dados, as medidas de gestão de riscos em caso de descumprimento e as penalidades em caso de descumprimento. Essas cláusulas podem ser inseridas como anexos ou no corpo do contrato.
Caso estejamos lidando com uma relação contratual já existente, é necessário revisar esses contratos. A lei não se aplica apenas aos negócios realizados após a promulgação da lei, mas também aos contratos existentes, mesmo que tenham sido celebrados antes da LGPD entrar em vigor. A revisão desses contratos envolve uma reformulação contratual por meio de um aditivo ou de um novo instrumento contratual.
