Categoria: Artigos

Brazil has passed Law 13,709/18 on personal data protection.

It contains rules for both the public and private sectors regarding the collection, processing, treatment, and sharing of personal data.

However, recently, the President of the Republic indicated several vetoes to the bill passed by the National Congress. Among these vetoes: the creation of a regulatory agency for personal data protection (Articles 55 to 59), the rules of data sharing by the public sector and private companies (Articles 23, item II, 26, item II, paragraph 1, and Article 28), sanctions of complete or partial suspension of the operation of the database and suspension of the exercise of personal data processing activity, and partial or complete prohibition of exercising any activities related to data processing (article 52, items VII, VIII, and IX). We shall examine these vetoes further on in this text.

The law on the protection of personal data is adapted to the context of the evolution of the technologies based on digital platforms, big data, artificial intelligence, machine learning.

The legislative regulation of this matter is critical because corporate self-regulation is not enough to resolve the complex issues related to personal data protection.

As an illustration of the above, we have the scandal between Facebook and the company Cambridge Analityca regarding the improper collection of the data of millions of users of that social network, as well as third-party personal data.

In the United States, there was also news about a lawsuit against Google due to the illegal monitoring of millions of iPhone and Android users. According to such lawsuit, Google does not disable the user’s location history. This business practice violates the privacy laws of the State of California, according to the plaintiff. This is a typical case related to the protection of personal data and privacy.

Also, the media often reports on the invasion of personal databases and the leak of such data, under the responsibility of public authorities and private companies.

In Brazil, for example, a security breach was reported in the E-Health application of the Ministry of Health, with the exposure of the personal data of thousands of Brazilians that use the Unified Public Health System (“SUS”), with the display of the patient’s medical information, medication use history, and appointments in the public health service.

This theme is inserted in the context of the risks of cyber-attacks by hackers, with threats to personal data security and privacy. Therefore, the law is intended to prevent this kind of abuse against the rights to personal data protection.

Personal data is information on your private life (ID, image, location, and health, among others), financial life (existence of bank or credit cards debts, etc.), among other aspects.

Currently, personal databases are a source of economic value to private companies. For the public sector, they are essential to the implementation of public policy in several areas, such as public health.

According to the law mentioned above, in its Article 5, sensitive personal data are those related to ethnic or racial origin, religious beliefs, political opinions, affiliations to trade unions or religious organizations, health-related data, genetic or biometric data, sexual orientation.

The foundations of the Brazilian Data Protection Act are laid out in its Article 2: the respect to privacy, informative self-determination, the freedom of expression, information, communication, and opinion, the sanctity of privacy, honor, and image, economic and technological development and innovation, free enterprise, free competition, and consumer protection, human rights, the free development of personality, dignity, and the exercise of citizenship by individuals, among other things.

The law is applicable to personal data processing operations, regardless through what means, the country of the processor’s headquarters, or where the data is located, provided that the processing operation take place in Brazilian territory, the purpose of the data processing activity is the offering or provision of goods or services or the processing of data of individuals located in Brazilian territory, or the personal data being processed was collected in Brazilian territory (article 3, item II and III. Also, the personal data whose subject is in Brazilian territory at the time of their collection will be deemed as having been collected in Brazil (art. 3, paragraph 1).

This Personal Data Protection Act impacts several companies from industries such as telecommunications, internet applications, such as social networks, search engines, video sharing websites, financial institutions, e-payment companies, startups in the technologies and government sector (govtech), digital marketing companies, hospitals, among others.

For example, in the financial sector, there is a trend towards the opening of banking data (open banking) to increase competition in that sector. So, if the Brazilian Central Bank regulates the issue appropriately, the traditional banks will have to share the account-holders’ personal information with credit and financing companies, such as the startups known as fintechs.

In the business realm, the application of this law creates demands for the hiring of executive professionals for database management. It also creates a need for the creation of compliance rules with the companies and the respective bodies of enforcement.

This federal law also applies to the public sector, containing rules on the sharing of personal data in databases administered by government agencies. Example: the data from people registered in the public health system.

The law, however, does not apply to personal data processing performed by an individual for private and non-economic purposes, carried out exclusively for artistic and journalistic, or academic purposes, or held for the sole purpose of public safety, national defense, data security, criminal investigation and repression activities, article 4.

In the context of international regulation, Europe has the General Data Protection Regulation (GDPR). Each European country has an agency that regulates personal data protection.

There are questions as to the application of the European legislation. Online advertising companies that use personal data such as the location of the users of applications on mobile phones are concerned with the compliance rules to be adopted. On the other hand, media companies are seeking alternatives to address the dispute with technology companies, focused on digital advertising.

The United States, in its turn, does not have a general personal data protection law. There, the Federal Commerce Commission, the American regulatory agency responsible for enforcing loyal trade practices between businesses and consumers, regulates the issue of consumers’ personal data and applies sanctions against potential abuses committed against consumer rights. For example, the Federal Commerce Commission has entered into several settlements with Google and Facebook concerning consumer privacy protection.

The law referenced above holds the requirements for personal data processing, upon consent by the data subject. In other words, the permission of the owner of the personal data is a condition for its valid use, according to the law.

According to the law under examination, in its article 5, item X, personal data processing is the collection, production, reception, classification, use, access, reproduction, transmission, distribution, processing, filing, storage, elimination, information assessment or control, modification, communication, transfer, dissemination, or extraction of such data.

The principles of personal data processing activities laid down in Article 6 include: the purpose (identification of the legitimate and specific purpose informed to the owner), fitness (compatibility of the processing with the purposes informed to the subject), need (limiting the minimum processing required to achieve its purposes), free access (guarantees that the owners will have easy and free consults regarding the form and duration of the processing), data quality (assurance of precision, clarity, relevance, and updating of the data, as needed and to achieve the purpose of the processing), transparency (assurance of clear, precise, and accessible information to the owners on the performance of the processing, respecting business and industrial secrets”.

Personal data may be processed to comply with legal or regulatory obligations. For example, employees’ personal data, such as name, address, vacation periods, benefits, leaves, of mandatory registration before public authorities (known as e-social). Another example is the sharing of the personal data of users of telecommunications and internet services, between private companies and Anatel (the Brazilian Telecommunications Regulatory Agency) for the purpose of public policies on communications.

The public administration may also process personal data required to enforce public policies. Example: public taxation policies, by sharing the personal data of citizens for tax collection purposes.

Personal data processing is also allowed for credit protection. Example: the Brazilian Credit Protection System (Serasa and SPC), used in by the trade, industry, and service sectors.

Another permitted use is in the regular exercise of rights in lawsuits or administrative or arbitration proceedings. Given the current context of electronic proceedings, there is a demand for proper processing of personal data to protect rights before the Judiciary and/or the Public Administration.

Article 11 of the Law deals specifically with the processing of sensitive data.

For example, in this respect, the following rule is stated in Article 11, Paragraph 3: “The shared use or communication of sensitive personal data between controllers with the purpose of obtaining economic benefits may be subject to

prior authorization or regulation by national authorities, upon hearing the proper sectoral agencies.”

This legal provision may be applied, for example, by the Brazilian Agency of Supplementary Healthcare (“ANS”) to restrict the sharing of sensitive personal data, such as using personal data in medical records and clinical history that may be used by healthcare plans to check for pre-existing diseases.

The processing of the personal data of children and teenagers requires specific consent by one of their parents or legal guardians, as per Article 14, Paragraph 1. For example, children and teenagers will need one of their parent’s consent to have access to YouTube.

The data subject has the right to obtain confirmation of the existence of the processing of their data, access to their data, correction of incomplete, inaccurate and outdated data; and de-identification, blockage or erasure of unnecessary or excessive data, or of data processed in breach of the provisions of the law, portability of personal data to another product or service supplier, elimination of personal data treated with the data subject’s consent, as per article 9 of the law.

Regarding the processing of personal data by government, the law states that the shared use of personal data must be consistent with specific ends associated with the execution of public policies and duties by public bodies and entities, according to the personal data protection principles established in Article 6 of the law.

However, the government is forbidden from transferring personal data stored in databases under their management, or to which such entities may have access to private entities, except in those cases in which processing is outsourced to private entities, as per Article 6, Paragraph 1, item I. Sharing is also authorized in the case of legal provision and when the transfer of personal data is based on contracts, agreements or similar instruments.

But, according to the presidential veto, the cumulative requirement (legal and contractual provision) hinders Public Administration, because “several procedures related to the transfer of personal data are detailed in normative acts, such as the processing of the public servants’ payroll by private financial institutions, the collection of fees and taxes, and payment of social security benefits, among others”.

Also, in the event of public access to personal data, sharing is possible, within the limits of the law.

According to Law No. 13.709/18, in its article 5, item XVI, shared use of data is the disclosure, dissemination, international transfer, interconnection or shared processing of a database by public bodies or entities, when in fulfillment of their obligations, or among public agencies or entities and private entities, with specific authorization, for one or more classes of processing assigned by such public entities, or between private entities.

According to the presidential veto, the prohibition of sharing information identifying the personal data of the subject applying to have access to information hinders the functioning of the Public Administration.

The veto cites, as an example, the sharing of the Social Security database and the National Registry of Social Information. The veto claims the hindering of activities related to the administrative power of police, such as investigations within the National Financial System.

The disclosure and shared use of personal data between public entities and private entities require the data subject’s consent, except for the legal waivers of consent in the cases of shared data use, with extensive publicity, as per article 27 of the law.

However, according to the presidential veto, unrestricted communication or advertising of shared personal data use among government agencies can make hinder the regular exercise of some public actions of surveillance, control, and administrative police.

Under the law, the processing of personal data by notarial registry services must follow the rules applicable to the public sector. The bill also provides that these notarial and registry services must provide access the public administration with access to such data, by electronic means.

State-owned companies and quasi-public corporations which operate in a free competition environment will be bound by the same rules as those enjoyed by private entities. For example, public banks must follow the provisions of the law under examination.

There is a specific chapter on the international transfer of personal data, starting with Article 33. The international transfer of personal data will only be allowed to countries that afford a level of personal data protection equivalent to that of the law.

The international transfer is also allowed when the data controller offers sufficient guarantees of compliance with the general principles of protection and with the rights of the data subjects, presented on contractual clauses approved for a specific transfer. Likewise, when the international transfer of data is necessary for international judicial cooperation between public intelligence and investigation agencies, under international rules and laws. Or when the transfer of data is required for the protection of life or the physical safety of the data subject or a third party.

In the specific chapter on security and best practices for protecting data confidentiality, there is a provision on security incidents, in which case the data controller shall notify the competent public body within a reasonable term. If necessary, the relevant public body may order a broad disclosure of the fact in the media and/or measures to revert or mitigate the consequences of the damage.

There are also legal provisions on the liability and compensation for damages caused by personal data controllers and/or processors. The data controller and data processor are jointly and several liable for damages caused to the data subject and the cases of waiver of such legal liability, according to Article 42 of the law.

As for the supervision of the personal data processing activities, Article 52 provides several administrative sanctions to be imposed by the competent public body: warning, simple or daily fine up to 2% of the billing of the private legal entity, limited to BRL 50,000,000.00; publication of the violation after it has been adequately verified and confirmed; blockage of the personal data subject of the breach until its regularization; erasure of the personal data subject of the breach; total or partial suspension of operating databases, for a period not exceeding 6 months; suspension of personal data processing operations, for a period not exceeding 6 months; total or partial prohibition of data processing related activity.

The President of the Republic vetoed the sanctions of complete or partial suspension of the operation of the database, suspension of the exercise of personal data processing activity, and partial or complete prohibition of exercising any activities related to data processing.

According to the veto, these administrative penalties of suspension or prohibition of the operation/exercise of data processing activities can lead to “uncertainty for those responsible for this information, as well as make it impossible to use and process databases essential to various activities, such as those used by financial institutions, among others, which may jeopardize the stability of the National Financial System.”

The law creates the National Data Protection Authority, a federal agency bound to the Ministry of Justice.

There is undoubtedly a need for an independent regulatory agency specialized in personal data protection. The specialization of the matter requires the creation of a regulatory agency. By the way, this is the European model, where each country has a regulatory agency for personal data protection.

However, the President of the Republic vetoed this provision that creates the regulatory agency for personal data protection, on the grounds of formal unconstitutionality, given a flaw of initiative in the matter, which is reserved for the Head of the Executive Branch.

According to media reports, the President of the Republic will submit a new bill or even a provisional measure to create of the National Data Protection Agency.

Note that the lack of regulatory agency undermines the effectiveness of the law and its enforcement.

It is clear that the absence of an independent authority to supervise the law will leave personal data unprotected.

Also, the law provides for the Personal Data and Privacy Protection Council (Articles 58 and 69).

However, these legal provisions have been vetoed by the President of the Republic.

Finally, Law N. 13.709/18 alters the Internet Regulatory Framework in two aspects.

On the one hand, it provides for the right of permanent deletion of the personal data provided by users to a particular internet application at the end of the relationship between the parties, except when the law requires mandatory storage of records.

On the other hand, there is the right to permanent deletion of personal data that are excessive in relation to the purpose for which consent was given by the data subject, notwithstanding the legal caveats.

“Law N. 13.709/18 will come into force in 2020, 18 months after its official publication” (Article 65). Therefore, there is a reasonable time for adjustment to the legal regulations.

In conclusion, there are several challenges for the effectiveness of the Brazilian Personal Data Protection Act. Among them, the veto to the creation of the National Agency for Personal Data Protection. The international best practices, as set out in the European model, is in the sense of the existence of independent and efficient regulatory agencies, committed to public interest. Hence the urgency in solving this severe problem regarding the lack of a regulatory agency for Personal Data Protection.

Publicado no portal jurídico Migalhas Internacional em 03/09/2018.

Esta lei de proteção de dados pessoais impacta diversas empresas nos setores de telecomunicações, aplicações de internet, tais como redes sociais, mecanismos de busca, sites de compartilhamento de vídeos, instituições financeiras, empresas de pagamentos eletrônicos, startups no setor de governo e tecnologias (govtech), empresas de marketing digital, hospitais, dentre outros.

O Brasil aprovou lei 13.709/18 sobre a proteção de dados pessoais.

O ato normativo contém regras para os setores público e privado, quanto à coleta, processamento, tratamento e compartilhamento de dados pessoais.

Mas, recentemente, o presidente da República, apontou diversos vetos ao projeto de lei aprovado pelo Congresso Nacional. Dentre estes vetos: a criação da agência reguladora de dados pessoais (arts. 55 a 59), as regras de compartilhamento de dados entre administração pública e empresas privadas (art. 23, inc. II, art. 26, inc. II, §1º e art. 28), sanções de suspensão parcial ou total do funcionamento de banco de dados e suspensão do exercício da atividade de tratamento de dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (art. 52, incs. VII, VIII e IX). Estes vetos serão analisados mais à frente neste texto.

A lei sobre proteção de dados pessoais está adaptada ao contexto da evolução das tecnologias, baseadas em plataformas digitais, big data, inteligência artificial, machine learning(aprendizagem de máquinas, mediante códigos).

Destaque-se que a regulação legislativa do tema é fundamental, pois a autorregulação empresarial é insuficiente para resolver as questões complexas, relacionadas à proteção de dados pessoais.

Vide, a título ilustrativo, o escândalo entre o Facebook e a empresa Cambridge Analityca em matéria de coleta indevida de milhões de dados pessoais de usuários da referida rede social, bem como dados pessoais de terceiros.

Nos Estados Unidos, houve também a notícia sobre ação de indenização de particular contra o Google pelo monitoramento ilegal de milhões de usuários de Iphone e Android. Segundo a ação judicial, o Google não desativa o histórico de localização do usuário. Esta prática comercial é contrária às leis de privacidade do Estado da California, conforme aponta o autor da ação. Este é um típico caso relacionado à proteção à privacidade e ao dado pessoal.

Também, a imprensa noticia, frequentemente, a invasão de banco de dados pessoais e o vazamento destes dados, sob responsabilidade do poder público e de empresas privadas.

No Brasil, por exemplo, foi noticiada falha de segurança no aplicativo E-Saúde, do Ministério da Saúde, com a exposição de dados pessoais de milhares brasileiros que utilizam o Sistema Único de Saúde, com a exibição de informações médicas do paciente, histórico de utilização de medicamentos e consultas na rede pública de saúde.

Este tema está inserido no contexto de riscos de ataques cibernéticos por hackers, com ameaças à segurança e privacidade dos dados pessoais. Portanto, a lei tem o propósito de evitar este tipo abuso contra os direitos à proteção dos dados pessoais.

Dados pessoais são informações sobre sua vida privada (identidade, imagem, localização, e saúde, entre outros), a vida financeira (existência de dívidas com bancos, cartões de crédito, Serasa, etc.), entre outros aspectos.

Atualmente, os bancos de dados pessoais são fonte de valor econômico para as empresas privadas. Para o setor público, é fundamental para a realização de políticas públicas, em diversas áreas, como, por exemplo, saúde pública.

Dados pessoais sensíveis, conforme a referida lei, em seu art. 5º, II, são aqueles relacionados à origem racial ou étnica, crenças religiosas, opiniões políticas, filiações a sindicatos ou organização religiosa, dados relativos à saúde, dados genéticos ou biométricos, orientação sexual.

Como fundamentos da lei brasileira de proteção de dados, em seu art. 2º: o respeito à privacidade, autodeterminação informativa, liberdade de expressão, de informação, de comunicação e de opinião, inviolabilidade da intimidade, da honra e da imagem, desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, entre outros.

A lei é aplicável às operações de tratamento de dados pessoais, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, os dados pessoais objeto do tratamento tenham sido coletados no território nacional (art. 3º, in. I, II e II). E, ainda, consideram-se coletados no território nacional os dados pessoais, cujo titular nele se encontre no momento da coleta (art. 3º, §1º).

Esta lei de proteção de dados pessoais impacta diversas empresas nos setores de telecomunicações, aplicações de internet, tais como redes sociais, mecanismos de busca, sites de compartilhamento de vídeos, instituições financeiras, empresas de pagamentos eletrônicos, startups no setor de governo e tecnologias (govtech), empresas de marketing digital, hospitais, dentre outros.

Por exemplo, no âmbito financeiro, há a tendência de abertura dos dados bancários (open banking) para facilitar a concorrência no setor. Assim, se devidamente regulada a questão pelo Banco Central, os bancos tradicionais deverão compartilhar dados pessoais dos correntistas com empresas de financiamento e de crédito, tais como as startups denominadas fintechs.

No âmbito empresarial, a aplicação da lei cria demandas para a contratação de profissionais executivos responsáveis pela gestão de banco de dados. Cria-se, também, a demanda pela criação de regras de compliance e respectivos órgãos de aplicação dentro do ambiente empresarial.

Também, esta lei federal é aplicável ao setor público, com a previsão de regras sobre o compartilhamento de dados pessoais, em banco de dados administrados por órgãos públicos. Exemplo: dados das pessoas cadastradas no sistema único de saúde.

A lei em análise, porém, não se aplica ao tratamento de dados pessoais: realizado por pessoa natural para fins exclusivamente particulares e não econômicos, realizado para fim exclusivamente jornalístico e artístico ou acadêmico, ou realizado para fins exclusivos de segurança pública, defesa nacional, segurança dos dados ou atividades de investigação e repressão de infrações penais, art. 4º.

No contexto da regulação internacional, na Europa, há o Regulamento Geral de Proteção de Dados Pessoais (GDPR). Em cada país europeu, há uma autoridade reguladora de proteção de dados pessoais.

Lá, há dúvidas quanto à aplicação da legislação europeia. Empresas de publicidade online, que utilizam dados pessoais como a localização dos usuários dos aplicativos em aparelhos celulares, estão preocupados a respeito das regras de compliance a serem adotadas. Por outro lado, as empresas de mídia estão buscando alternativas para enfrentar a disputa com as empresas de tecnologia, focadas em publicidade digital.

Diversamente, nos Estados Unidos, não há uma lei geral de proteção de dados pessoais. Lá a Federal Commerce Comission, a agência reguladora do comércio norte-americano encarregada de velar pelas práticas leais entre empresas e consumidores, regulamenta a questão dos dados pessoais dos consumidores, como aplica sanções contra eventuais abusos cometidos contra os direitos dos consumidores. Por exemplo, existem inúmeros acordos impostos pela Federal Commerce Commission, em matéria de proteção à privacidade dos consumidores, celebrados com o Google e o Facebook.

Há na lei acima referida a previsão dos requisitos para o tratamento dos dados pessoais, mediante o fornecimento de consentimento pelo titular. Ou seja, o consentimento do titular do dado pessoal é condição para a utilização válida, perante a lei.

Segundo a lei em análise em seu art. 5º, X, o tratamento de dado pessoal é a operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Dentre os princípios para as atividades de tratamento de dados pessoais, previstos no art. 6º: a finalidade (identificação do propósito legítimo e específico informado ao titular), adequação (compatibilidade do tratamento com as finalidades informadas ao titular), necessidade (limitação do tratamento mínimo necessário para a realização de suas finalidades, livre acesso (garantia aos titulares de consulta facilitada e gratuita sobre forma e duração do tratamento) qualidade dos dados (garantia de exatidão, clareza, relevância e atualização dos dados, conforme a necessidade e cumprimento da finalidade do tratamento), transparência (garantia aos titulares de informações claras, precisas e acessíveis sobre a realização do tratamento, observados os segredos comercial e industrial”.

É permitido o tratamento de dado pessoal para o cumprimento de obrigação legal ou regulatória pelo responsável. Por exemplo, dados pessoais de empregados, tais como nome, endereço, férias, salários, benefícios, licenças, para fins de cadastramento obrigatório perante às autoridades públicas (e-social). Outro exemplo, o compartilhamento de dados pessoais dos usuários dos serviços de telecomunicações e internet, entre as empresas privadas e a Anatel, para fins de política pública de comunicações.

Também, é autorizado o tratamento de dado pessoal pela administração pública na hipótese de uso compartilhado de dados necessários à execução de políticas públicas. Exemplo: a política pública de tributação, com o compartilhamento de dados pessoais dos cidadãos, para fins de arrecadação de impostos.

Igualmente, é autorizado o tratamento de dado pessoal para a proteção do crédito. Exemplo: o sistema nacional de proteção ao crédito (Serasa e SPC), utilizado no comércio, indústria e setor de serviços.

Outra hipótese é o tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Ora, no contexto de processos eletrônicos, há demanda pelo tratamento adequado de dados pessoais, para fins de proteção a direitos, perante o Poder Judiciário e/ou Administração Pública.

Há capítulo próprio sobre o tratamento de dados sensíveis, em seu art. 11.

Por exemplo, neste aspecto, há a previsão da seguinte regra legal, no art. 11, §3º: “A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou regulamentação por parte de autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências”.

Este dispositivo legal pode ser aplicado, por exemplo, pela Agência Nacional de Saúde Suplementar (ANS), para restringir o compartilhamento de dados pessoais sensíveis, tais como a utilização de dados pessoais, em prontuários médicos e históricos clínicos que poderiam ser utilizados por planos de saúde, para verificar doenças pré-existentes.

O tratamento de dados pessoais de crianças e adolescentes somente poderá ocorrer com o consentimento específico por um dos pais ou responsável legal, conforme art. 14, §1º. Por exemplo, o acesso de crianças e adolescentes à plataforma do Youtube dependerá do consentimento de um dos pais.

O titular dos dados pessoais tem direito diante do responsável pelo tratamento dos dados pessoais de confirmar a existência do tratamento, de acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, anonimização (não identificação do titular), bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei, portabilidade dos dados pessoais a outro fornecedor e de serviço ou produto, eliminação dos dados pessoais tratados com o consentimento do titular, conforme previsto no art. 9º da lei.

Sobre o tratamento de dados pessoais pelo poder público, há o seguinte dispositivo legal: o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta lei.

Mas é vedado ao Poder Público transferir para entidades privadas dados pessoais constantes de base de dados a que tenha acesso, exceto, na hipótese de delegação de função pública a particular é possível o compartilhamento de dados pessoais, conforme prevê art. 6º, §1º, I. Também, é autorizado o compartilhamento na hipótese de previsão legal e a transferência de dados pessoais estiver fundamentada em contratos, convênios ou instrumentos similares.

Mas, segundo o veto presidencial, a exigência cumulativa (previsão legal e contratual) inviabiliza o funcionamento da Administração pública, pois “diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições financeiras privadas, a arrecadação de taxas e tributos e o pagamento de benefícios previdenciários e sociais, dentre outros”.

Também, na hipótese de acesso público aos dados pessoais é possível o compartilhamento, dentro dos limites da lei.

Segundo a lei 13.709/18, em seu art. 5º, inc. XVI, o uso compartilhado de dados é comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bando de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Conforme, veto do presidente da República, a vedação do compartilhamento, sobre a identificação dos dados pessoais de requerente de acesso à informação, inviabiliza o funcionamento da Administração Pública.

O veto cita, como exemplo, o compartilhamento do banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais. O veto alega a inviabilização de atividades relacionadas ao poder de polícia administrativa, como, por exemplo, investigações no âmbito do Sistema Financeiro Nacional.

A comunicação e o uso compartilhado de dados pessoais entre pessoa de direito público e a pessoa de direito privado dependerá do consentimento do titular, com a exceção de dispensa do consentimento nas hipóteses legais, nos casos de uso compartilhado de dados, com ampla publicidade, conforme prevê o art. 27 da lei.

Porém, segundo o veto presidencial, a publicidade irrestrita da comunicação ou do uso compartilhado de dados pessoais entre órgãos públicos poderá inviabilizar o exercício regular de algumas ações públicas de fiscalização, controle e polícia administrativa”.

Nos termos da lei, o tratamento de dados pessoais pelo serviço notarial de registro deve seguir as regras aplicáveis ao setor público. Há, inclusive, a previsão de que estes serviços notariais e de registros devem fornecer o acesso aos dados para a administração pública, por meio eletrônico.

Empresas públicas e sociedade de economia mista que atuem em regime de concorrência devem seguir as regras aplicáveis às pessoas jurídicas de direito privado. Por exemplo, bancos públicos devem seguir as disposições desta lei em análise.

Há capítulo específico sobre a transferência internacional de dados pessoais, a partir do seu art. 33. É permitida a transferência internacional de dados pessoais para países ou organizações internacionais que possibilitem grau de proteção de dados pessoais adequado ao previsto na lei.

Também, é permitida a transferência internacional quando o responsável oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, conforme cláusulas contratuais específicas para a transferência. Igualmente, quando a transferência for necessária para cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, conforme o direito internacional. Quando a transferência for necessária para a proteção da vida ou integridade física do titular ou de terceiro.

No capítulo específico sobre segurança e boas práticas para proteção ao sigilo de dados, há a disposição sobre incidente de segurança, na hipótese na qual o responsável deverá comunicar ao órgão competente, em prazo razoável. Se necessário, o órgão competente poderá determinar ao responsável a ampla divulgação do fato em meios de comunicação e/ou medidas para reverter ou mitigar os efeitos do incidente.

Há, ainda, disposições legais sobre a responsabilidade e do ressarcimento de danos causados por controladores e/ou operadores de tratamento de dados pessoais. Há regras sobre a responsabilidade solidária entre o controlador e operador pelos danos causados ao titular do dado pessoal e as hipóteses de isenção da responsabilidade legal dos agentes de tratamento de dados pessoais, conforme art. 42.

Quanto à fiscalização das atividades de tratamento de dados pessoais, o art. 52 prevê diversas sanções administrativas em relação aos agentes de tratamento de dados: advertência, multa simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, limitada no total de R$ 50.000.000,00, publicização da infração após devidamente apurada e confirmada a sua ocorrência, o bloqueio de dados pessoais a que se refere a infração até a sua regularização, eliminação dos dados pessoais a que se refere a infração, suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, suspensão do exercício de atividade de tratamento de dados pessoais relativa à infração pelo período máximo de 6 meses, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O presidente da República vetou as sanções de suspensão parcial ou total do funcionamento do banco e de dados, bem como da sanção de suspensão do exercício de atividade de tratamento de dados pessoais e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Segundo o veto, estas sanções administrativas de suspensão ou proibição do funcionamento/exercício de atividade relacionada ao tratamento de dados podem ensejar “insegurança aos responsáveis por estas informações, bem como impossibilitar a utilização e tratamento de banco de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional”.

A lei cria a Autoridade Nacional de Proteção de Dados, sob o regime de autarquia federal, vinculada ao Ministério da Justiça.

Sem dúvida alguma, é fundamental uma agência reguladora autônoma especializada para regular o tema da proteção de dados pessoais. A especialização da matéria requer a criação da agência reguladora. A propósito, este é o modelo europeu, em cada país há uma agência reguladora de proteção de dados pessoais.

Porém, o presidente da República vetou este dispositivo que cria a agência reguladora de proteção de dados pessoais, sob o argumento de inconstitucionalidade formal, por vício de iniciativa nesta matéria reservada ao Chefe do Poder Executivo.

Segundo noticia a imprensa, o presidente da República encaminhará novo projeto de lei ou até mesmo medida provisória para a criação da agência nacional de proteção de dados.

Destaque-se que a falta de agência reguladora compromete a eficácia da execução da lei.

Sem dúvida alguma, a ausência de uma autoridade independente responsável pela fiscalização da lei é causa de desproteção aos dados pessoais.

Também, a lei prevê o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (art. 58 e 69).

Mas, estes dispositivos legais foram vetados pelo presidente da República.

Por último, a lei 13.709/18 modifica o Marco Civil da Internet, em dois aspectos.

De um lado, há a previsão do direito à exclusão definitiva dos dados pessoais, fornecidos pelos usuários a determinada aplicação de internet, ao final da relação entre as partes, excetuadas as hipóteses de guarda obrigatória de registros previstos na lei.

De outro lado, há o direito à exclusão definitiva de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, excetuadas as hipóteses previstas na lei.

A lei 13.709/18 entra em vigor 2020, dezoito meses após a sua publicação oficial (art. 65). Portanto, há prazo razoável para a adequação à normatividade legal.

A título de conclusão, a efetivação da lei brasileira de proteção de dados pessoais apresenta diversos desafios. Dentre eles, o veto à criação da agência nacional de proteção de dados pessoais. A melhor prática internacional, tal como previsto no modelo europeu, é no sentido da existência de agências reguladoras autônomas e eficientes, comprometidas com o interesse público. Daí a urgência na solução deste gravíssimo problema quanto à falta de agência reguladora para a proteção de dados pessoais.

Artigo publicado no portal jurídico Migalhas em 29/08/2018.

https://www.migalhas.com.br/dePeso/16,MI286453,21048-Lei+brasileira+de+protecao+de+dados+pessoais+analise+de+seu+impacto

The Supreme Court of the United States ruled, in June, in the case Carpenter v. the United States, by majority vote, that government entities must obtain a warrant to access the data/information on the location and movement of suspects of crimes in FBI investigations, on cellphone networks.

The ruling that accepted to try this case before the Supreme Court, in the Certiorari to the United States Court of Appeals for the Sixth Circuit, presented the following issue:

“Whether the warrantless seizure and search of historical cell phone records revealing the location and movements of the cell phone user over the course of 127 days is permitted by the Fourth Amendment.”

Judge Robert cast the winning opinion, which was followed by Ginsburg, Breyer, Sotomayor, and Kagan. Justices Kennedy, Thomas, Alito, and Gorsuch cast the dissenting and defeated opinions.

The Court’s decision mentioned the fact that in the United States there are 396 million cellphone services accounts, within a universe of 326 million people.

The discussion revolved around the interpretation of the Fourth Amendment of the U.S. Constitution.

The American constitutional debate consists of examining whether the search and seizure of data/information on the physical movement of an individual through cell phone networks, requested by the authorities, require a warrant or not.

The issue is whether a third party (in this case, the cell phone companies), has the right to oppose the search of personal data/information.

It also involves the expectation of privacy before third parties (cellphone companies).

The majority opinion pointed out that technological innovations allow for the mass surveillance of the population. Hence the risks of technologies concerning the expectations of privacy of citizens, in violation of the fourth amendment.

By majority vote, the Supreme Court of the United States ruled that there is the expectation of privacy before third parties, namely the cellphone companies.

The U.S. Government invoked the Third-party Doctrine. According to this doctrine, the person has reduced expectation of privacy when information is shared with third parties.

As mentioned, the core issue is the expectation of privacy regarding the historical records on the location of an individual, by the recording of the movement of the respective users by the cellphone companies.

The majority opinion of the Supreme Court presented important considerations. According to the decision:

“The case before us involves the Government’s acquisition of wireless carrier cell-site records revealing the location of Carpenter’s cell phone whenever it made or received calls. This sort of digital data – personal location information maintained by a third party – does not fit neatly under existing precedents. Instead, requests for cell-site records lie at the intersection of two line of cases, both of which inform our understanding of the privacy interests at stake”.

The decision of the Supreme Court of the United States continues:

“Significantly, the Court reserved the question whether ‘different constitutional principles may be applicable’ if ‘twenty-four hour surveillance of any citizen of this country (were) possible.”

The decision also provides considerations on the issue of monitoring via GPS devices installed in vehicles, informing the whereabouts of people.

In this line, the majority opinion of the Court reads:

“A person does not surrender all Fourth Amendment protection by venturing into the public sphere. To the contrary, ‘what (one) seeks to preserve as private, even in an area accessible to the public, may be constitutionally protected.

(…)

For that reason, ‘society’s expectation has been that law enforcement agents and others would not – and indeed, in the main, simply could not – secretly monitor and catalog every single movement of an individual’s car for a very long period.

Allowing government access to cell-site records contravenes that expectation. Although such records are generated for commercial purposes, that distinction does not negate Carpenter’s anticipation of privacy in his physical location over the course of 127 days provides an all-encompassing record of the holder’s whereabouts. As with GPS information, the time-stamped data provides an intimate window into a person’s life, revealing not only his particular movements, but through them is ‘familial, political, professional, religious, and sexual associations.’

(…)

Accordingly, when the government tracks the location of a cell phone, it achieves near-perfect surveillance, as if it had attached an ankle monitor to the phone’s user.”

(…)

Moreover, the retrospective quality of the data here gives police access to a category of information otherwise unknowable. In the past, attempts to reconstruct a person’s movements were limited by a dearth of records and the frailties of recollection. With access to CSLI, the Government can now travel back in time to retrace a person’s whereabouts, subject only to the retention policies of the wireless carriers, which currently maintain records for up to five years. Critically, because location information is continually logged for all the 400 million persons in the United States – not just those belonging to persons who might happen to come under investigation – this newfound tracking capacity runs against everyone”.

On the other hand, in the dissenting opinions, which were defeated, the Justices felt that cell phone companies have the right to the property of the users’ historical records.

According to Justice Kennedy’s opinion, the recordings obtained by the government belong to the cell phone companies. Still, according to him, the information on the movement history of the user’s mobile device is not private.

In his dissent, Justice Thomas claimed that the Telecommunications Act is insufficient, and does not grant to the plaintiff the right of ownership of the cell phone networks’ recordings.

Another dissenting opinion highlighted that the Fourth Amendment does not regulate all the methods through which the government can obtain evidence, for criminal investigation.

In sum, the core theme debated by the Supreme Court refers to the reasonable expectation of privacy concerning the data stored by third parties (cell phone companies).

The majority decision was based on a constitutional interpretation of the Fourth Amendment of the American Constitution concerning its purpose, extending the requirement for a warrant to obtain personal information, protecting the person’s expectation of privacy (information on the records of their personal location).

The dissenting opinion, which was defeated, was grounded on a more restrictive and literal interpretation of the Fourth Amendment.

Another issue discussed refers to the right of ownership of the data stored by the cell phone companies.

There are substantial interests at stake, such as the right to include, exclude, and control the use of personal data.

Thus, who owns the data stored through cell phone networks: the users or the phone companies?

According to one of the dissenting opinions, the Telecommunication Act refers solely to the user’s right to privacy of their confidential information concerning the phone company. Thus, the company has a duty to respect the right to privacy of the user’s personal information.

In his vote, Justice Thomas states that the American telephone law does not recognize the right of property of the users concerning the data stored by the telephone companies.

As for the discussion on the interpretation of the Stored Communications Act (the American law applicable to electronic communications), the investigative authority has to show that the information on the personal location obtained through cell phone networks is relevant to the ongoing investigation for it to be admitted as evidence in a criminal case. However, according to the winning decision, this statute is not the proper mechanism for obtaining access to the recordings of cell phones’ location history.

On the other hand, according to the dissenting opinion, the Stored Communication Act authorizes Courts to order that the recorded history be handed over, provided that the government show specific and substantiated facts that such evidence (the recordings) is relevant to the ongoing investigation.

This United States Supreme Court case is relevant from the point of view of the constitutional interpretation of the right to privacy, especially concerning the treatment of data collected, processed, and stored by private companies.

Note that the matter is broader than the case tried by the USA Supreme Court, which was related to the telephony industry (cell phone companies). The issue of the privacy of personal information also has repercussions on financial institutions, credit card companies, digital payment services, e-commerce, and others. Hence the relevance of the theme, with effects to millions of people.

Artigo publicado no portal jurídico Migalhas Internacional em 18/07/2018.

O tema da privacidade das informações pessoais repercute, também, sobre as instituições financeiras, administradoras de cartões de crédito, empresas de pagamentos digitais, empresas de comércio online, entre outras.

A Suprema Corte dos Estados Unidos decidiu, em junho, no caso Carpenter v. United States, por maioria de votos, pela necessidade de ordem judicial para que autoridades públicas obtenham dados/informações, a respeito da localização e movimentação de pessoas, suspeitas de prática de crimes, em investigação do FBI, através das redes de telefonia celular.¹

Na decisão que admitiu ao julgamento do caso, a Suprema Corte, no Certiorari to the United States Court of Appeals for the Sixth Circuit, apresentou a seguinte questão:

“Whether the warrantless seizure and search of historical cell phone records revealing the location and movements of a cell phone user over the course of 127 days is permitted by the Fourth Amendment”.

O Juiz Robert apresentou o voto vencedor, o qual foi seguido por Ginsburg, Breyer, Sotomayor e Kagan. Como votos divergentes e vencidos os Juízes Kennedy, Thomas, Alito e Gorsuch.

A decisão da Corte mencionou o fato de que nos Estados Unidos há 396 milhões de contas de serviços de telefonia celular, para um universo de 326 milhões de pessoas.

Em debate, a interpretação da Quarta Emenda da Constituição norte-americana, a qual determina ordem judicial para a realização de buscas e apreensões em pessoas, em casas, documentos.²

O debate constitucional norte-americano consiste em verificar se a busca e apreensão de dados/informações, requerida por autoridades, sobre a movimentação física de determinada pessoa, por intermédio das redes de telefonia celular, precisa de ordem judicial ou não.

Em foco, saber se há o direito de opor-se à busca de informações e/ou dados pessoais, por uma terceira parte (no caso, as companhias de telefonia celular).

Também, saber sobre a expectativa de privacidade diante de terceiras partes (as companhias de telefonia celular).

A decisão majoritária destacou que as inovações tecnológicas possibilitam a vigilância massiva da população. Daí os riscos das tecnologias em relação às expectativas de privacidade dos cidadãos, em ofensa à Quarta Emenda.

Por maioria de votos, a Suprema Corte dos Estados Unidos decidiu que há expectativa de privacidade diante de terceira partes, no caso as empresas de telefonia celular.

A doutrina da terceira parte foi invocada pelo governo norte-americano. Segundo esta doutrina, a pessoa tem reduzida expectativa de privacidade quando a informação é compartilhada com terceiros.

Como referido, a questão central à expectativa de privacidade diante da obtenção dos registros históricos sobre a localização de pessoa, mediante as gravações das movimentações dos respectivos usuários nas empresas de telefonia celular.

A decisão majoritária da Corte apresentou importantes considerações. Segundo a decisão:

“The case before us involves the Government’s acquision of wireless carrier cell-site records revealing the location of Carpenter’s cell phone whenever it made or received calls. This sort of digital data – personal location information maintained by a third party – does not fit neatly under existing precedents. Instead, requests for cell-site records lie at the intersection of two line of cases, both of which inform our understanding of the privacy interests at stake”.

E, continua a decisão da Suprema Corte dos Estados Unidos:

“Significantly, the Court reserved the question whether ‘different constitucional principles may be applicable’ if ‘twenty-for hour surveillance of any citizen of this country (were) possible”.

Prossegue, ainda, a decisão apresentando considerações sobre o problema do monitoramento por GPS, instalado em veículos, informando o paradeiro das pessoas.

Nesta linha de entendimento, a decisão majoritária da Corte:

“A person does not surrender all Fourth Amendment protection by venturing into the public sphere. To the contrary, ‘what (one) seeks to preserve as private, even in area accessible to the public, may be constitutionally protected.

(…)

For that reason, ‘society’s expectation has been that law enforcement agents and others would not – and indeed, in the main, simply could not – secretly monitor and catalogue every single movement of an individual’s car for a very long period.

Allowing government acess to cell-site records contravenes that expectation. Although such records are generated for commercial purposes, that distinction does not negate Carpenter’s anticipation of privacy in his physical location over the course of 127 days provides an all-encompassing record of the holder’s whereabouts. As with GPS information, the time-stamped data provides an intimate window into a person’s life, revealing not only his particular movements, but through them is ‘familial, political, professional, religious, and sexual associations’.

(…)

Accordingly, when the government tracks the location of a cell phone it achieves near perfect surveillance, as if it had attached an ankle monitor to the phone’s user”

(…)

Moreover, the retrospective quality of the data here gives police acess to a category of information otherwise unknowable. In the past, attempts to reconstruct a person’s movements were limited by a dearth of records and the frailties of recollection. Whith acess to CSLI, the Government can now travel back in time to retrace a person’s whereabouts, subject only to the retention polices of the wireless carriers, which currently maintain records for up to five years. Critically, because location information is continually logged for all the 400 million persons in the United States – not just those belonging to persons who might happen to come under investigation – this newfound tracking capacity runs against everyone”.

Por outro lado, nos votos divergentes, o quais restaram vencidos, os Juízes entenderam que as companhias de telefonia celular têm o direito de propriedade sobre as gravações dos registros históricos dos usuários.

Segundo voto do Juiz Kennedy, as gravações obtidas pelo governo pertencem às empresas provedores de serviços de telefonia celular. E, ainda, segundo ele, a informação sobre a movimentação histórica do usuário do aparelho celular não é privada.

Ainda, conforme o voto divergente do Juiz Thomas, o Telecommunication Act é insuficiente, não conferindo ao autor o direito de propriedade sobre as gravações dos registros nas redes de telefonia celular.

Em outro voto vencido, destacou-se que a Quarta Emenda não regula todos os métodos, através dos quais o governo obtém provas, para fins de investigação criminal.

Em síntese, o tema central, debatido pela Suprema Corte dos Estados refere-se à expectativa razoável de privacidade quanto aos dados guardados por terceiras partes (companhias de telefonia celular).

A decisão majoritária baseou-se em interpretação constitucional finalística da Quarta Emenda da Constituição norte-americana, de modo a estender a garantia da ordem judicial para a obtenção de informação pessoal, em proteção à expectativa da pessoa quanto à sua privacidade (informação sobre os registros de sua localização pessoal).

Diversamente, a decisão divergente, a qual restou vencida, fundamentou-se em interpretação mais restritiva e literal da Quarta Emenda.

Outra questão debatida refere-se ao direito de propriedade sobre os dados armazenados pelas empresas provedores de telefonia celular.

Enfim, há interesses substanciais em jogo, tais como: o direito de incluir, excluir e controlar o uso de dados pessoais.

Assim, quem é o proprietário sobre os dados armazenados, através das redes de telefonia celular: os usuários ou as empresas de telefonia?

Segundo voto vencido, o Telecommunication Act refere-se apenas ao direito de privacidade do usuário sobre suas informações confidenciais diante da empresa de telefonia. Assim, a empresa tem o dever de respeitar o direito à privacidade das informações pessoais do usuário.

No voto do Juiz Thomas, não há no texto da lei de telecomunicações norte-americana o reconhecimento do direito de propriedade dos usuários em relação aos dados armazenados pelas companhias de telefonia.

Por sua vez, quanto ao debate em relação à interpretação do Stored Communications Act (lei norte-americana aplicável às comunicações eletrônicas), a autoridade de investigação tem que demonstrar, para obter a prova em processo criminal, que a informação sobre a localização pessoal, nas redes de telefonia celulares, é pertinente à investigação em curso. Mas, este dispositivo legal, segundo a decisão vencedora, não é mecanismo para obter o acesso ao histórico das gravações na localização dos aparelhos celulares.

Por outro lado, conforme a decisão vencida, o Stored Communication Act autoriza juiz a ordenar a entrega de informações relacionadas às gravações dos registros históricos, desde que o governo demonstre específicos e fundamentados fatos, no sentido que a prova (as gravações) é relevante para a investigação em curso.

Enfim, o caso debatido nos Estados Unidos é relevante na perspectiva da interpretação constitucional do direito à privacidade, especialmente em relação ao tratamento aos dados coletados, processados e armazenados por empresas privadas.

Destaque-se, para além deste caso julgado pela Suprema Corte dos Estados Unidos, relacionados ao setor das telecomunicações (empresas provedoras de telefonia celular), o tema da privacidade das informações pessoais repercute, também, sobre as instituições financeiras, administradoras de cartões de crédito, empresas de pagamentos digitais, empresas de comércio online, entre outras.³ Daí a relevância do tema, pois interessa a milhões de pessoas.

_____________

1 Em artigo publicado no Migalhas, em 22/8/17, intitulado Suprema Corte dos Estados Unidos: o debate sobre o direito à privacidade na era digital, abordei, o início do julgamento deste caso Carpenter v. United States.

2 Segundo o texto da Quarta Emenda da Constituição norte-americana: “ the right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures”.

3 A propósito, o Congresso norte-americano aprovou My Data Act (HR 2356), em 2017, para proteger os usuários dos serviços de internet por banda larga contra práticas comerciais desleais em relação à privacidade e segurança de dados pessoais.

Artigo publicado no portal jurídico Migalhas em 07/06/2018.

Aqui, também atua a empresa de tecnologia global de aplicações de internet provedores de mecanismos de busca. Assim, algumas questões sobre direitos à privacidade, bem como sobre interpretação da Constituição e da legislação federal brasileira, podem ser objeto de judicialização.

Recentemente, nos Estados Unidos, a Suprema Corte admitiu para julgamento o caso referente ao acordo judicial entre o Google e a partes privadas (Frank v. Gaos) quanto ao pagamento de indenização por violação aos direitos de privacidade, por mecanismos de busca da companhia.

Segundo os autores, o Google (por seus mecanismos de busca) permitiu que os nomes dos autores, bem como informações pessoais fossem associados a outros websites, nos resultados das pesquisas online.

Conforme a decisão do Nono Circuito da Justiça norte-americana, ao rejeitar o argumento dos autores, a doutrina do cy press, aplicável nos acordos é uma excepcional. Mas, é aplicável na hipótese de acordo quando não é possível a distribuição individualizada para as partes, porque a prova do dano é dificilmente realizável. Assim, a decisão do Novo Circuito apenas distribuiu parte da quantia total da indenização para os autores da ação, selecionou apenas 6 (seis) cy press beneficiários.

Em questão, o debate se terceiras partes (no caso Harvard Law School, Standford School, MacArthur Foundation e AARPP), que não participaram de ação coletiva, podem ser beneficiárias de quantias do fundo instituído, no acordo judicial entre as partes.

No Brasil, a empresa global de tecnologia também é provedora de mecanismos de buscas na plataforma internet. Daí a relevância da análise do tema, sob a jurisdição da Suprema Corte dos Estados Unidos, no âmbito do direito comparado.

Foi conhecido o writ of certiorari¹ apresentado perante a Corte de Apelações do Novo Circuito (Ninth Circuit) no caso Theodore H. Frank and Melissa Ann Holyoak v. Paloma Gaos e outros. O Google figura como amicus curiae.

Os autores da ação coletiva (class action) alegaram que o Google violou o Stored Communications Act, pois houve quebra de contrato e violação da boa fé, e injusto enriquecimento. Segundo eles, o Google forneceu indevidamente dados privados dos autores da ação para terceiros.

A Corte de Justiça do Nono Circuito aprovou o acordo de $8,5 (oito vírgula cinco) milhões de dólares de indenização entre as partes e o Google.

Os autores argumentam que a decisão da Corte de Apelações do Nono Circuito abusou de sua discricionariedade ao aprovar o acordo de indenização em $ 8.5 milhões baseado na doutrina do cy pres. Esta doutrina cy pres (tanto próximo possível ou tão perto como é possível) é originária da legislação aplicável aos fundos de filantropia, mas tem sido aplicado no âmbito dos acordos em ações coletivas, na busca da equidade na partilha de recursos.

Segundo os autores da ação, a quantia definida no acordo judicial, para terceiras partes (cy pres) beneficiaria entidades Harvard Law School, Stanford Law School, the MacArthur Foundation, e AARPP. Em outras palavras, terceiros que não integram a ação judicial, são beneficiários com quantias, a título de condenação por indenização por violação aos direitos à privacidade.

Também, alegam que a decisão viola a Rule 23 do Federal Rules of Civil Procedure, o qual trata das ações coletivas. Este dispositivo legal assegura que a condenação em ação coletiva deve ser justa, razoável e adequada².

O Center for Constitucional Jurisprudence, como amicus curiae, alega que a questão se refere à interpretação do Código Federal de Processo Civil dos Estados Unidos para saber que o acordo em ação coletiva pode beneficiar terceiras partes que não estão envolvidas no litígio.

Daí, segundo esta entidade, a decisão judicial na ação coletiva (class action) que determina compensação financeira para além dos integrantes da ação, para terceiras partes que não sofreram dano nenhum, poderia causar restrição indevida à liberdade de expressão daqueles que integram a ação coletiva, em violação à Primeira Emenda da Constituição dos Estados Unidos.

Em outras palavras, a destinação por decisão judicial, em ação coletiva, de fundos para terceiras partes configura o apoio a causas que não necessariamente representa os membros da classe que apresentou a ação.

Outra questão constitucional apresentada é saber se a decisão judicial que determina o benefício financeiro para terceiras partes representa violação da garantia do devido processo legal. Ou seja, outorga-se benefício para terceira parte que não participou da ação coletiva.

E, finalmente, outro tema constitucional é a competência jurisdicional das Cortes locais para aprovar acordos em ações coletivas. Argumenta-se que as Cortes locais não teriam competência para aprovar este tipo de acordo, muito menos para participar destes acordos entre partes privadas.

Em síntese, a questão apresentada perante a Suprema Corte dos Estados Unidos no caso Frank v. Gaos, em sua literalidade no idioma original é a seguinte:

“Federal Rule of Civil Procedure 23 (b) (3) permits representatives to maintain a class action where so doing ‘is superior to other available methods for fairly and efficiently adjudication the controversy”, in Rule 23 (e) (2) requires that a settlement that binds class members must be ‘fair, reasonable, and adequate”. In this case, the Ninth Circuit upheld approval of an $8,5 million settlement that disposed of absent class members’ claims while providing them zero monetary relief. Breaking whith decisions of the Third Circuit, Fifth Circuit, Seventh Circuit, and Eighth Circuit that require compensanting class members before putting class action proceeds to other uses, the Ninth Circuit held that the settlement’s award of all net proceeds to third-party organizations selected by the defendant and class counsel was a fair and adequate remedy under the trust-lay doctrine of cy pres. The question presented is:

Whether, or in what circumstances, a cy pres award of class action proceeds that provides no direct relief to class members suppots class certification and comports whith the requirement that a settlement binding class members must be ‘fair, reasonable, and adequate”.

Google, em sua petição como amicus curiae, alega que os autores descrevem o conflito de decisões entre as Cortes de Apelações que não existe.

O Google concordou em pagar $ 8,5 milhões dólares, a título de indenização por violação aos direitos de privacidade, mas a quantia deveria ser colocada em um fundo. Após o pagamento dos custos e da parte cabível aos autores da ação, a quantia remanescente (aproximadamente $ 5,3 milhões dólares) deveria ser distribuída proporcionalmente entre seis cy pres beneficiários, os quais deveriam aplicar a quantia em projetos dedicados as questões de privacidade na internet. Ao final, o Google requer que seja negado o writ of certiorari.

Em síntese, o tema apresentado perante a Suprema Corte dos Estados Unidos, sobre a questão da distribuição equitativa de recursos financeiros, mediante decisão judicial em ação coletiva que resultou em condenação por violação aos direitos de privacidade pelo Google, para terceiras partes, tem relevância para o Brasil.

Aqui, também atua a empresa de tecnologia global de aplicações de internet provedores de mecanismos de busca. Assim, algumas questões sobre direitos à privacidade, bem como sobre interpretação da Constituição e da legislação federal brasileira, podem ser objeto de judicialização.

__________

1 Petition for writ of certiorari é apresentado perante a Suprema Corte dos Estados Unidos, a qual decidirá se há razões relevantes (compelling reasons) para julgar o caso. O tema é disciplinado nas Rules of the Supreme Court of the United States. Segundo estas regras, meros erros de fato ou de direito não permitem o cabimento do writ of certiorari. Se a Suprema Corte decide por admitir o writ of certiorari, a Corte determina ordem à instância inferior para que os autos do processo sejam a ela encaminhados. Em síntese, o writ of certiorari está relacionado à competência discricionária da Suprema Corte dos Estados Unidos para julgar os casos que a ela submetidos.

2 Segundo o Federal Rule of Civil Procedures 23 (b): “the court finds that the questions of law or fact common to class members predominate over any questions affecting only individual members, and that a class action is superior to other available methods for fairly and efficiently adjudicating the controversy”. E, a Rule 23 (e) diz o seguinte: “If the proposal would bind clas members, the court may approve it only after a hearing and on finding that it is fair, reasonable, and adequate”.

Artigo publicado no portal jurídico Migalhas em 21/05/2018.

The case of the data leak of Facebook’s platform, in the episode with the company Cambridge Analytica, with global impact in several countries, including Brazil, poses interesting questions in the context of comparative law, from an economic (the company’s economic value), political (elections), and legal (applicable regulation) perspective, examined below.

From an economic perspective, there is the impact on Facebook’s market value, which lost billions of dollars (through the devaluation of their shares) due to the illegal capture of data from users and non-users of the internet application. This fact also reflects on their business model, as well as the privacy policy and the degree to which the platform is open to application developers (Apps). In other words, the access to personal data on the Facebook platform by third-party companies that collect data through internet applications.

In the electoral realm, the case is related to the influence of Facebook’s digital platform on the elections in several countries, especially in the United States. The core issue is the possibility of manipulating public opinion, as well as the electorate’s vote, through social media campaign’s, including by spreading fake news. Thus, the matter is directly related to the risks of democracy, through campaigns to mislead the public’s opinion, as well as taking the truth out of context.

From a legal perspective, the case has implications on the regulatory model most appropriate to internet applications, such as Facebook, which is controlled by a technology company. The discussion revolves around the extent of state regulation, along with self-regulatory measures by the internet application provider itself.

Another legal aspect relates to the domestic laws of each country, examined below. In particular, the sectoral regulatory model for internet applications, as well as self-regulatory measures.

Thus, it is important to consider the greater context of the current regulations around the world on the protection of personal data, as well as the right of access to personal information by national authorities and foreign governments, in the cases allowed by law.

In February 2018, the United States passed the Cloud Act, which holds rules for the use of data collected overseas.

The United Kingdom, in its turn, passed the Data Protection Bill in January past, which legislates on the protection of personal data, with rules on the international transfer of data to other countries, as well as rules on data access by intelligence services.

This upcoming May, in the European Union, the Regulation of the European Parliament and Council on the protection of people and treatment of personal data will come into effect.

In Brazil, the Public Prosecutor’s Office of the Federal District has opened an investigation to verify if the personal data of Brazilians was unduly captured in the Facebook and Cambridge Analytica episode.

Brazil, however, unlike other countries, does not have a specific law on the protection of personal data; there is not even an agency to regulate this matter.

We will now examine the Facebook case (illegal collection of personal data), as well as it repercussion in different countries.

Artigo publicado no portal jurídico Migalhas Internacional em 11/04/2018.

Acesso ao artigo, clique aqui.

Na perspectiva econômica, há a repercussão sobre o valor de mercado do Facebook o que perdeu bilhões de dólares (ocorrendo a desvalorização de suas ações) em razão da captura ilegal dos dados dos usuários e não usuários da aplicação de internet.

O caso referente ao vazamento de dados da plataforma Facebook, no episódio com a companhia Cambridge Analytica, com impacto global em diversos países, inclusive no Brasil, apresenta interessantes questões no âmbito do direito comparado, na perspectiva econômica (valor econômico da empresa, política (eleições) e jurídica (regulação aplicável), a seguir a analisados.

Na perspectiva econômica, há a repercussão sobre o valor de mercado do Facebook o que perdeu bilhões de dólares (ocorrendo a desvalorização de suas ações) em razão da captura ilegal dos dados dos usuários e não usuários da aplicação de internet. Também, este fato repercute sobre seu modelo de negócios, bem como sobre a política de privacidade e o grau de abertura da plataforma para os desenvolvedores de aplicativos (Apps). Vale dizer, o acesso aos dados pessoais na plataforma do Faceboook por terceiros, empresas que coletam dados, mediante aplicações de internet.

No âmbito eleitoral política, o caso tem relação com a influência da plataforma digital Facebook sobre as eleições, em diversos países, em especial nos Estados Unidos. Em destaque, a possibilidade de manipulação da opinião pública, bem como dos votos dos eleitores, mediante campanhas nas redes sociais, inclusive com notícias falsas (fake news). Vale dizer, o tema está diretamente relacionado aos riscos da democracia, mediante campanhas de desinformação da opinião pública, bem como de desvirtuamento da verdade.

Por sua vez, na dimensão jurídica, o fato implica sobre o modelo de regulação adequado às aplicações de internet, como é o caso da plataforma digital do Facebook, controlado por uma empresa de tecnologia. Em debate, a medida da regulação estatal, juntamente com medidas de autorregulação pela própria empresa de aplicação de internet.

Outro aspecto jurídico, refere-se à legislação nacional de cada país, a seguir analisado. Em especial, o modelo de regulação setorial adotado às aplicações de internet, bem como as medidas de autorregulação.

Assim, é importante considerar o contexto maior de regulação atual do tema no âmbito internacional sobre a proteção de dados pessoais, bem como o direito de acesso às informações pessoais por autoridades nacionais e governos estrangeiros, em hipóteses previstas em lei.

Em fevereiro de 2018, os Estados Unidos aprovaram o Cloud Act, o que trata das regras sobre o uso de dados coletados em território estrangeiro.

Por sua vez, o Reino Unido aprovou, em janeiro deste ano, o Data Protection Bill, o qual trata da proteção de dados pessoais, com regras sobre a transferência de internacional de dados para terceiros países, bem como regras sobre acesso de dados pelos serviços de inteligência.

Na União Europeia, em maio, entra em vigor o Regulamento do Parlamento e Conselho Europeu sobre proteção das pessoas e tratamento de dados pessoais.

No Brasil, o Ministério Público do Distrito Federal abriu inquérito para apurar se dados pessoais de brasileiros foram indevidamente capturados no episódio Facebook e Cambridge Analytica.

Mas, o Brasil, diferentemente dos demais países, não possui legislação específica sobre proteção de dados pessoais, sequer há agência reguladora sobre o tema.

A seguir, a análise do caso do Facebook (coleta ilegal de dados pessoais), bem como sua repercussão em diferentes países.

1. Brasil

No Brasil o Ministério Público do Distrito Federal solicitou informações ao Facebook a respeito do vazamento dos dados dos usuários da rede social, bem como de seus respectivos amigos.¹

O fundamento do inquérito civil encontra-se nos direitos à intimidade, vida privada, honra e imagem das pessoas, bem como no Marco Civil da Internet, o qual proíbe o fornecimento a terceiros de dados pessoais sem o devido consentimento do usuário.

Também, alega-se que se trata de incidente de segurança, caracterizada como a quebra da segurança da plataforma que permite o acesso não autorizado a dados pessoais, transmitidos, armazenados e processados.

Conforme a Portaria do MP/DF, diante das suspeitas de que a Cambrige Analytica pode estar utilizando de modo ilegal dados pessoais de milhões de brasileiros, usuários do Facebook ou não, para fins de identificação de perfil político, religioso, racional, ou sexual, é que se determinou a abertura do inquérito civil.²

Destaque-se que no Brasil não há uma lei geral de proteção aos dados pessoais. Há, apenas, projetos de leis sobre o tema, ora em tramitação no Congresso Nacional.

No âmbito das eleições brasileiras neste ano, o Tribunal Superior Eleitoral está debatendo o tema da influência das plataformas digitais no processo eleitoral, bem como no funcionamento da democracia. Estudo da Fundação Getúlio Vargas, mencionado pelo TSE, apontou a utilização de robôs nas eleições de 2014, por três candidatos à Presidência da República.

Em debate, a questão das notícias falsas (fake news), a desinformação, bem como o financiamento das campanhas dos candidatos, através das plataformas tecnológicas.

A propósito, o TSE, por decisão de seu Presidente, intimará a empresa Cambridge Analytica a respeito de suas atividades no Brasil.³

O tema da plataforma digital, por redes sociais, é significativo na perspectiva da democracia, pois envolve bens essenciais, tais como: a liberdade de expressão, com a vedação à censura, o direito à informação, direito à vida privada e à privacidade e à intimidade, entre outros.

Para além da questão eleitoral, a propósito, recente decreto Federal 9.319/2018 estabeleceu o Sistema Nacional para Transformação Digital. Em destaque, o objetivo fundamental de alcançar a confiança no ambiente digital, mediante a proteção aos direitos e privacidade e a defesa e segurança no ambiente digital.

2. Estados Unidos da América

Nos EUA, a Federal Trade Comission abriu investigação para apurar a responsabilidade do Facebook diante da obtenção de dados dos usuários da rede social, bem como dos respectivos amigos e familiares, sem o respectivo consentimento, pela empresa Cambrige Analytica.

O fundamento para abertura desta investigação encontra-se no acordo entre a Federal Trade Comission e o Facebook a respeito das garantias de proteção às informações sobre os consumidores.⁴

Segundo declaração da Comissão de Proteção ao Consumidor da Agência de Comércio dos EUA:

“The FTC is firmly and fully commited to using all of its tools to protect the privacy of consumers. Foremost among these tools is enforcement action against companies that fail to honor their privacy promises, including to comply whith Privacy Shield, or tha engage in unfair acts that cause substantial injury to consumers in violantion of the FTC Act. Companies who have settled previsous FTC actions must also comply with FTC order provisions imposing privacy and data security requirements. Accordingly, the FTC takes very seriously recent press reports raising substancial concerns about the privacy practices of Facebook. Today, the FTC is confirming that it has an open non-public investigation into these practices”.

O Congresso norte-americano intimou o Presidente do Facebook Mark Zuckerberg a testemunhar sobre o fato. Para além da questão de proteção aos usuários da rede social, há a questão política, diante da influência no resultado das eleições norte-americanas de 2016, com a eleição do Presidente Trump.

Também, Advogados-Gerais de diversos estados norte-americanos requereram explicações ao Facebook sobre as práticas de controle aos dados pessoais dos usuários e não usuários. Em questão, o tema da proteção à privacidade dos consumidores, bem como a quebra da confiança em relação à expectativa de privacidade quanto aos dados pessoais.⁵ Eles questionam se o Facebook monitora as atividades dos desenvolvedores de aplicativos, bem como o tipo de dados por eles coletados, se o Facebook realiza auditorias para garantir que os desenvolver não utilizem indevidamente os dados pessoais dos usuários da rede social.

Em comunicado público, o Facebook afirmou que restringirá o acesso à plataforma para terceiros, no caso, as empresas de tecnologia desenvolvedoras de aplicativos que coletam dados pessoais. Também, comunicou que limitará as informações compartilhadas com as empresas investidoras do mercado de dados pessoais, especialmente daquelas que coleta e vende dados de consumidores para fins de publicidade dirigida.⁶

Em sua defesa, mediante press release, a empresa Cambrige Analytica afirma que obteve os dados, através de contrato com a companhia Global Science Research (GSR), conforme a legislação britânica (UK Data Protection Act).

Na perspectiva econômica, a imprensa noticia que o Facebook perdeu mais de 30 (trinta) bilhões de dólares em valor econômico (e respectivamente com a desvalorização de suas ações), com o episódio de coleta ilegal de dados pessoais.

Por outro lado, a título ilustrativo, os Estados Unidos aprovaram o Cloud Act, em janeiro de 2018, o qual trata das regras de esclarecimento sobre a utilização de dados coletados em territórios estrangeiros. Em destaque, as regras de guarda e apresentação do conteúdo das comunicações privadas, pelos provedores de serviços eletrônicos, bem como o acesso às informações pelos governos estrangeiros.

3. Reino Unido

A legislação britânica proíbe a venda ou uso de dados pessoais sem consentimento das pessoas, conforme o UK Data Protection Act. Em declaração, Diretora da Information Comssioner’s Office (ICO), autoridade responsável pela proteção de dados pessoais, no Reino Unido, declarou que está preparando relatório sobre a utilização de dados por terceiros, no caso da publicidade dirigida.⁷

O Parlamento Britânico convidou o Presidente do Facebook para explicar as relações com a companhia Cambridge Analytica.

A imprensa noticia que há a suspeita de que a operação realizada pela empresa Cambridge Analityca inclusive tenha influenciado o resultado do Brexit, saída do Reino Unido da União Europeia.

4. União Europeia

As autoridades da União Europeia declararam que irão investigar o fato da captura ilegal de dados pessoais na plataforma do Facebook. Em maio, entra em vigor o novo Regulamento Europeu 2016/679 de Proteção aos Dados Pessoais, General Data Protection Regulation. Este Regulamento Europeu contém regras de maior proteção ao direito à privacidade e a proteção aos dados pessoais, exigindo-se o consentimento específico e claro antes da coleta de dados, na hipótese de utilização destes dados pessoais por terceiros.⁸

Cumpre mencionar que a União Europeia possui Diretiva específica 2016/680, aprovada em 2016 pelo Parlamento e Conselho Europeu, de proteção de pessoas, bem com tratamento de dados pessoais, para fins de prevenção, investigação, detenção ou repressão de infrações penais ou execução de sanções penais.

Por sua vez, a União Europeia exige na transferência internacional de dados o mesmo nível de proteção aos dados pessoais quando transferidos para terceiros países. Segundo declaração do Presidente da European Data Protection Supervisor, Giovanni Buttareli:

“Why, therefore, does the EU address itself to questions of security and the surveillance activities of a third country such as the United States in the context of data protection? Because the very same data protection framework which states that personal data may not be transferred to a third contry unless certain safeguards apply (GDPR Article 44) also exempts (GDPR Articule 2 (2) (d) data processing by competente authorities in the Member States for purposes of law enforcement and preventing threats to public security”.

O Parlamento Europeu também convidou o Presidente do Facebook para explicar se os dados de milhões de usuários e não usuários foram coletados de forma indevida e utilizados para manipular o resultado das eleições.

Em debate, pelos eurodeputados a imposição de maiores garantias da privacidade nas comunicações eletrônicas, com limites mais rigorosos no processamento de dados, definindo-se que os mesmos somente podem ser utilizados na hipótese de consentimento, com a garantia de que os metadados (informações websites visitados e localização geográfica) sejam tratados de forma confidencial, vedando-se a transmissão para terceiros.

Cabe mencionar que cada país europeu possui autoridade regulatória de proteção aos dados pessoais.

A título ilustrativo, recentemente a Agência Espanhola de Proteção de Dados impôs multas ao WhatsApp e ao Facebook, cada um no valor de 300.000 (trezentos mil euros), devido a transferência ilegal de dados entre as duas companhias.

Também, cabe destacar a existência de Tratado entre a União Europeia e os Estados Unios que regulamenta a transferência intercontinental de dados (EU-US Privacy Shield), para fins de proteção à privacidade e a proteção dos dados pessoais. Segundo declaração da Comissão Europeia, este acordo protege o direito fundamental dos europeus quando seus dados pessoais são transferidos às companhias norte-americanas. E, ainda, segundo ele, as companhias norte-americanas que pretendam importar dados pessoais da Europa devem seguir obrigações mais robustas na maneira como os dados pessoais são processados, bem como os direitos individuais garantidos.

Conclusões

Enfim, a relevância do tema da coleta e utilização de dados pessoais pelas aplicações de internet (provedores e desenvolvedores de aplicativos), afeta o modelo de negócios das plataformas digitais, bem como de suas relações econômicas com os desenvolvedores de aplicativos.

Também demanda maior atenção do usuário das aplicações de internet sobre os termos de serviços, relacionados aos aplicativos, bem como serviços digitais, principalmente em garantia ao direito à fundamental à privacidade.

E, finalmente, é fundamental o conhecimento sobre a regulação setorial aplicável aos provedores de aplicações de internet e aos desenvolvedores de aplicativos, inclusive as medidas de autorregulação, bem como sobre a proteção de dados pessoais, em cada um dos países mencionados.

______________

1.Ver MP/DFT. Comissão de Proteção dos Dados Pessoais, 1ª Promotoria de Justiça de Defesa do Consumidor, Portaria n. 2/2018.

2. Ver MP/DFT, Comissão de Proteção dos Dados Pessoais, 1ª Promotoria de Justiça de Defesa do Consumidor, Portaria n. 2/2018.

3. Ver notícia site TSE.

4. Ver site da Federal Trade Comission.

5. Ver: Carta da National Association of Attorneys General de 26.3.2018.

6. Ver: Wall Street Journal, 29.3.2018.

7. A propósito, o UK Data Protection Act assegura o direito à informação, o direito de acesso à informação, o direito de retificar a informação, o direito a apagar a informação, o direito de restringir o processamento da informação, o direito de portabilidade da informação, o direito a não automatização em processos de decisão. Ver: site ICO, Preparing for the General Data Protection Regulation (GDPR).

8. Ver Jornal Oficial da União Europeia.

Artigo publicado em 05/04/2018 no portal jurídico Migalhas. Para consulta, clique aqui.

Os municípios brasileiros têm editados leis municipais no sentido de determinar a instalação de redes subterrâneas de cabos de energia elétrica, telefonia e internet.

1 Apresentação.

Nas cidades, as redes de telecomunicações e internet são essenciais às pessoas naturais e pessoas jurídicas. Sem adequada infraestrutura de rede de comunicação, há sérios obstáculos ao efetivo acesso aos serviços de telefonia, dados e internet, bem como à qualidade dos serviços. Dependendo do tipo de rede instalada a qualidade do serviço é diferente.

Por exemplo, se a rede for com cabos de fibra ótica há uma velocidade maior no tráfego de dados, diferentemente da fiação de cobre tradicional. As infraestruturas de rede de telecomunicações e internet são essenciais à prestação dos respectivos serviços de telefonia fixa, móvel e internet. A economia digital depende, fundamentalmente, da qualidade de rede de telecomunicações e internet, bem como a competividade internacional do Brasil diante deste fator importante de produção e circulação de bens. Segundo Yochai Benkler: “The technical conditions of communication and information processing are enabling the emergence of new social and economic practices of information and knowledge production”¹.

Os municípios brasileiros têm editados leis municipais no sentido de determinar a instalação de redes subterrâneas de cabos de energia elétrica, telefonia e internet, em substituição às redes aéreas, sob o fundamento de sua competência para legislar sobre o uso e ocupação do solo urbano, bem como urbanismo.

Estas leis municipais têm forte impacto sobre as empresas de infraestruturas de rede (postes, cabos, fios e fibra ótica, antenas), bem como prestadores de serviços, nos setores de internet, telecomunicações, TV por assinatura e distribuidoras de energia elétrica.

Mas, em 2015, foi aprovada a lei federal 13.116/15 com as normas gerais para implantação, instalação e compartilhamento das infraestruturas de redes de telecomunicações. O propósito legal é viabilizar os investimentos na construção de redes de telecomunicações, para o desenvolvimento econômico social do Brasil.

O legislador federal foi sensível à demanda por infraestruturas de rede de telecomunicações e internet, no sentido de promover a inclusão digital, daí a adoção pelo legislador federal de regras uniformes para todo o território nacional. Há, ainda, diversas normas gerais que devem ser aplicáveis no âmbito dos municípios, especialmente aquelas que tratam do procedimento administrativo simplificado quanto ao licenciamento das instalações de redes de telecomunicações.

Este tema da constitucionalidade da legislação estadual e municipal que determina o cabeamento da rede subterrânea de telefonia e energia elétrica, está em análise no Supremo Tribunal Federal.

1) Regulação Federal dos serviços de telecomunicações, internet e energia elétrica: presença do interesse federal

13. a) Lei federal 13.116/15 sobre as normas gerais para implantação e compartilhamento da infraestrutura de telecomunicações

Nos termos da lei 13.116/15, adota-se como pressuposto a competência exclusiva da União para regular e fiscalizar aspectos técnicos das redes e serviços de telecomunicações. Eis o teor da regra legal:

“Art. 4º. A aplicação das disposições desta Lei rege-se pelos seguintes pressupostos:

II – a regulamentação e a fiscalização de aspectos técnicos das redes e dos serviços de telecomunicações é de competência exclusiva da União, sendo vedado aos Estados, aos Municípios e ao Distrito Federal impor condicionamentos que possam afetar a seleção de tecnologia, a topologia das redes e qualidade dos serviços prestados”.

Vale dizer, diante da prevalência da competência federal exclusiva sobre o tema dos aspectos técnicos das redes e serviços de telecomunicações, há a proibição aos estados e municípios de impor condições relacionadas à escolha de tecnologias, topologias das redes e qualidade dos serviços ofertados aos usuários. Ora, a princípio, imposição em lei municipal da rede subterrânea é uma questão técnica e afeta a topologia da rede de telecomunicações, daí o potencial conflito entre a lei municipal e a lei federal.

E, ainda, conforme a Lei das Infraestruturas de Redes de Telecomunicações:

“VII – aos entes federados compete promover a conciliação entre as normas ambientais, de ordenamento territorial e de telecomunicações”.

Diante desta norma geral, exige-se adaptação da legislação municipal às normas gerais da lei federal. Neste aspecto, é necessário revolver o conflito entre lei federal e a lei municipal, na perspectiva do exame da constitucionalidade, sobre o tema da infraestrutura de rede de telecomunicações e internet e os limites à competência legislativa municipal.

Outra regra legal interessante diz respeito a vedação à imposição de contraprestação em razão do direito de passagem em vias públicas, em faixas de domínio e em outros bens públicos de uso comum do povo². Mas, por outro lado, a lei permite a cobrança de custos necessários à instalação, à operação, à manutenção e à remoção de infraestrutura e equipamentos, pela entidade interessada³.

1. b) Da garantia à livre iniciativa no âmbito do provimento de infraestruturas de redes de telecomunicações

Na CF, no capítulo da Ordem Econômica, a garantia da livre iniciativa protege o modelo de negócios de infraestrutura de redes de internet, por fibra ótica, em postes ou não, cabos ou fios.

Neste sentido, os municípios, no exercício da competência para legislar sobre interesse local, uso e ocupação do solo urbano, bem como urbanismo, por óbvio devem respeitar o núcleo fundamental da garantia constitucional à livre iniciativa no setor de infraestruturas de redes de telecomunicações e internet.

Daí porque eventuais excessos legislativos municipais, na regulação da infraestrutura de rede de telecomunicações e internet, podem ser impugnados perante o Poder Judiciário.

A Lei das Infraestruturas de Telecomunicações (lei 13.116/15) dispõe que o licenciamento para a instalação de infraestrutura e redes de telecomunicações em área urbana deve obedecer os seguintes princípios: razoabilidade, proporcionalidade, eficiência e celeridade, integração e complementaridade entre as atividades de instalação de infraestrutura de suporte e de urbanização, redução do impacto paisagístico da infraestrutura de telecomunicações, sempre que tecnicamente possível e economicamente viável.

E, ainda, a referida lei 13.116/15 dispõe que as licenças necessárias para instalação de infraestrutura de suporte em área urbana serão expedidas mediante procedimento simplificado, sem prejuízo da manifestação dos diversos órgãos competentes no decorrer da tramitação do processo administrativo.

E, por fim, outro dispositivo legal dispõe que os órgãos competentes não podem impor condições ou vedações que impeçam a prestação de serviços de telecomunicações de interesse coletivo, nos termos da legislação vigente.

E, ainda, eventuais condições impostas pelas autoridades competentes na instalação de infraestrutura de suporte não podem provocar condições não isonômicas de competição e de prestação de serviços de telecomunicações. Em outras palavras, o poder público municipal não pode promover tratamentos discriminatórios entre os provedores de infraestruturas de suporte às redes de telecomunicações.

1. c) Do direito de acesso às infraestruturas de redes de telecomunicações, naLei Geral de Telecomunicações

Segundo a Lei Geral de Telecomunicações, ao tratar das redes de telecomunicações:

“Art. 145. A implantação e o funcionamento de redes de telecomunicações destinadas a dar suporte à prestação de serviços de interesse coletivo, no regime público ou privado, observarão o disposto neste Título”.

Vale dizer, tanto os serviços de telefonia fixa quanto o de telefonia móvel, submetem-se à Lei Geral de Telecomunicações.

Ou seja, a Lei Geral de Telecomunicações contém as normas básicas sobre a implantação das redes de telecomunicações. Posteriormente, esta lei foi modificada pela lei 13.116/15 que trata especificamente das normas gerais sobre as infraestruturas de telecomunicações.

Ademais, a Lei Geral de Telecomunicações estabelece o seguinte:

“Art. 146. As redes serão organizadas como vias integradas de livre circulação, nos termos seguintes:

I – é obrigatória a interconexão entre as redes, na forma da regulamentação;

II – deverá ser assegurada a operação integrada das redes, em âmbito nacional e internacional;

III – o direito de propriedade sobre as redes é condicionado pelo dever de cumprimento de sua função social”.

Ora, a Lei Geral de Telecomunicações reconhece o direito de propriedade sobre as redes de telecomunicações, porém condicionado à função social. Neste sentido, o proprietário da infraestrutura da rede de suporte à rede de telecomunicações (cabos, postes, fibras óticas) tem o direito de utilizar de sua propriedade privada, evidentemente, respeitados os contornos da legislação municipal, desde que não se invada a questão técnica da topologia da rede. Em outras palavras, compete ao proprietário da rede definir a sua topologia, bem como as suas condições técnicas.

A empresa que explora o modelo de negócios de infraestrutura de rede de telecomunicação (postes, cabos, fibras óticas, antenas, torres de telefonia, etc) há de ter a segurança jurídica quanto à interpretação da legislação brasileira para realizar investimentos e ofertar os serviços aos respectivos usuários.

1. d) Interesse local dos municípios na ordenação das cidades e a vinculação às normas gerais sobre as infraestruturas de redes de telecomunicações.

Os municípios detém a competência legislativa para tratar de interesse local, bem como do uso e ocupação do solo urbano.

Mas, eles não detêm a competência legislativa para legislar sobre as instalações de telecomunicações, internet e/ou energia elétrica.

Tanto a CF quanto a legislação federal estabelecem limites à competência municipal quando há interesse federal sobre a infraestrutura de rede de telecomunicações e internet: redes aéreas ou subterrâneas.

Neste aspecto, a legislação municipal há de respeitar os princípios constitucionais da proporcionalidade e razoabilidade. Deste modo, não é admissível interpretar a legislação municipal no sentido de negar o direito ao licenciamento das redes de cabos aéreas, bem como de inviabilizar o modelo de negócios fundado em redes de cabos terrestres.

É necessário compatibilizar, no planejamento urbano, a coexistência da rede de cabos aéreas com a rede de cabos subterrâneas. É necessário a razoável e adequada motivação quanto à negação do direito à instalação rede de cabos, instalados em postes, seguindo-se a adequada fundamentação legal. Em outras palavras, o titular da rede de telecomunicações e internet detém a prerrogativa de definir a arquitetura de sua rede, conforme os princípios da eficiência, razoabilidade, proporcionalidade, economicidade, entre outros. O poder público não pode, simplesmente, limitar-se à negativa do pedido de licença de instalação de rede.

Afinal, o interesse local do município deve ser compatibilizado com o interesse nacional na instalação de redes de telecomunicações, internet e energia elétrica.

2. O tema das infraestruturas de rede de telecomunicações e energia elétrica no Supremo Tribunal Federal
3. a)ADI 4925/SP, Rel. Min. Teori Zavascki: a inconstitucionalidade da lei do estado de São Paulo sobre remoção gratuita de postes pelas empresas distribuidoras de energia elétrica

Na ADI 4925, Rel. o saudoso Min. Teori Zavascki, debate-se a questão da constitucionalidade da lei estadual 12.635/07 de São Paulo que determina a obrigatoriedade da remoção gratuita de postes pelas concessionárias de distribuição de energia elétrica, em relação aos proprietários de terrenos adjacentes. Discutiu-se sobre a competência legislativa privativa da União para legislar sobre energia (art. 22, IV) e para explorar, diretamente ou mediante autorização, concessão, permissão ou serviços e instalações de energia elétrica (art. 21, XII, letra b). Ao final, a ação direta de inconstitucionalidade foi julgada procedente para determinar a inconstitucionalidade do art. 2º da lei 12.635/07 do estado de São Paulo, com fundamento na competência privativa da União para legislar sobre o tema.

Conforme ementa da decisão final do STF: “As competências para legislar sobre energia elétrica e para definir os termos da exploração do serviço do seu fornecimento, inclusive sob o regime de concessão, cabem privativamente à União, nos termos do art. 21, XII, letra b, 22, IV e 175 da Constituição. Precedentes”.

E, segundo ainda, a decisão: “Ao criar, para as empresas que exploram o serviço de energia elétrica no estado de São Paulo, obrigação significativamente onerosa, a ser prestada em hipóteses de conteúdo vago (‘que estejam causando transtornos ou impedimentos’) para o proveito de interesses individuais dos proprietários de terrenos, o art. 2º da lei estadual 12.635/07 imiscuiu-se indevidamente nos termos da relação contratual estabelecida entre o poder federal e as concessionárias”.

Em síntese, prevaleceu o interesse federal quanto à regulação da matéria da infraestrutura de rede de energia elétrica, com a declaração da inconstitucionalidade da lei estadual.

1. b)ADPF 133, Rel. Min. Luis Fux, Redes de cabos subterrâneas – lei municipal de Paranaguá/PR –

Na ADPF 133, Rel. Min. Luiz Fux, proposta pela Associação Brasileira de Distribuidores de Energia Elétrica, discute-se a compatibilidade da lei municipal de Paranaguá que determina a instalação de redes de cabos subterrâneas, especialmente nas áreas históricas da cidade, com a CF. Em debate, a questão constitucional da competência legislativa privativa da União para legislar sobre instalações de energia elétrica, com a vedação à atuação legislativa municipal.

Em parecer, o MP opinou no sentido da extinção da ação por ausência de legitimidade da Associação Brasileira de Distribuidoras de Energia Elétrica para propor a ADPF.

E, no mérito, segundo o parecer: “No presente caso, todavia, nem sequer faz menção à prestação de serviços por parte das empresas a que se refere; busca, apenas, preservar os interesses específicos e peculiares daquele município, nos estritos limites do art. 30 da Constituição da República”.

Por sua vez, a Advocacia Geral da União manifesta-se no sentido da inconstitucionalidade formal da lei 2.709/06 do município de Paranaguá – PR, diante da competência privativa da União para legislar sobre energia elétrica e telecomunicações.

Enfim, o tema é controvertido (instalação obrigatória da rede de cabos subterrâneos), daí a necessidade de ponderação adequada entre os bens constitucionais em conflito, especialmente das competências federativas entre a União e o Município.

1. a)Ação Cautelar 3420/RJ, Redes de cabos de energia elétrica subterrâneos – lei municipal do Rio de Janeiro –

Na Ação Cautelar 3420/RJ, Rel. Min. Cármen Lúcia, que analisa a constitucionalidade da lei municipal do Rio de Janeiro que impôs a eliminação do cabeamento aéreo, com a implantação de rede de cabos subterrânea. Segundo a decisão da Min. Relatora, a lei municipal interfere no equilíbrio econômico e financeiro do contrato administrativo entre a União e a concessionária do serviço público de distribuição de energia elétrica, em ofensa ao art. 37, inc. XXI, da CF. A cautelar foi adotada para atribuir eficácia suspensiva a recurso extraordinário, interposto pela empresa distribuidora de energia elétrica. Neste sentido, foram suspensos os efeitos do acórdão recorrido que reconheceu a validade da lei municipal do Rio de Janeiro.

Em síntese, o tema das infraestruturas de redes de internet, telecomunicações e energia elétrica, alvo de leis municipais que determinam a instalação de redes subterrâneas, apresenta diversas questões constitucionais. Requer, também, a necessária interpretação adequada da lei federal 13.116/15 que aprova as normas gerais sobre implantação, instalação e compartilhamento de infraestruturas de redes de telecomunicações e internet.

Neste aspecto, é fundamental conciliar o desenvolvimento urbano das cidades (com considerações sobre a estética urbana e ambiente) com o desenvolvimento econômico-social do País. Neste sentido, é importante que os entes federativos estejam comprometidos com o propósito de ampliar o provimento adequado de infraestruturas de redes de telecomunicações e internet para os brasileiros, bem com o acesso aos serviços de telefonia, dados, internet, por banda larga, e TV por assinatura.

_________________

1 Benckler, Yochai. The Wealth of Networks. How social production transforms markets and freedom. Yale University Press, 2006, p. 33.

2 Lei n. 13.116/2014, art. 12.

3 Lei n. 13.116/2015, art. 12, §1º.

Artigo publicado no portal jurídico Migalhas em 16/03/2018.

http://www.migalhas.com.br/dePeso/16,MI276361,91041-Regulacao+Federal+Infraestruturas+de+Redes+de+Telecomunicacoes

 

O presente artigo tem como a análise de direito comparado entre a jurisdição no Brasil e nos Estados Unidos em dois casos relevantes diante de seu impacto sobre as empresas de tecnologia e aplicações de internet.

Por um lado, no Brasil, as empresas de tecnologia que atuam no Brasil, provedores de aplicações de internet (exemplo: Google, Facebook, Youtube, etc), com sede no exterior, que enfrentam problemas quanto à interpretação da legislação brasileira, especialmente quanto ao procedimento de cumprimento de ordens judiciais que ordenam a apresentação do conteúdo das comunicações privadas armazenadas em seus servidores.

Por outro lado, nos Estados Unidos, as empresas de tecnologia norte-americanas também enfrentam problemas, por exemplo, quanto à requisição de conteúdo de emails aos provedores destes serviços, sendo o conteúdo das comunicações privadas, armazenadas em servidores/datacenters, localizados no exterior.

No Brasil, temos a ADC 51/17 , perante o Supremo Tribunal Federal, cujo objeto é a análise da constitucionalidade do decreto 3.810/01, que promulga o Tratado de Mútua Assistência Judiciária (Mutual Legal Assistance Treaty), entre Brasil e Estados Unidos, a seguir analisado.

De outro lado, nos Estados Unidos, o caso United States versus Microsoft, perante a Suprema Corte dos Estados. Em debate, o tema se o provedor de serviços de email, o qual tem o controle dos dados pessoais, tem a obrigação legal de divulgar o conteúdo da comunicação eletrônica, ainda que o material esteja armazenados em servidores/datacenters, localizados no exterior.

A Federação das Associações das Empresas de Tecnologia da Informação (Assespro Nacional), na ADC 51/17, requer a declaração de constitucionalidade do decreto Federal 3.810/01. Este decreto promulgou o Acordo Judiciário-Penal entre o Brasil e os Estados Unidos da América, denominado Tratado de Mútua Assistência Judiciária (Mutual Legal Assistance Treaty). Segundo este ato normativo, o processo de colaboração entre autoridades brasileiras e norte-americanas, em matéria de investigação, inquérito, ação penal, prevenção de delitos, demanda a expedição de carta rogatória entre os países.

Segundo a associação das empresas de tecnologia autora da ação direta de constitucionalidade, muitos tribunais brasileiros não estão aplicando o referido decreto. Daí a apresentação da ação direta de constitucionalidade como instrumento jurídico para requerer a constitucionalidade do referido decreto e, consequentemente, a sua aplicação prática pelos tribunais brasileiros. O referido decreto somente poderia deixar de ser aplicado se houvesse a declaração de sua inconstitucionalidade, o que não foi declarado pelos tribunais brasileiros.

Na prática, empresas de tecnologia, sediadas nos EUA, que prestam serviços de aplicações de internet (exemplo: serviços de email, redes sociais, publicidade digital etc.), no Brasil, estão sendo obrigadas judicialmente a apresentar conteúdo de comunicações privadas entre usuários das aplicações de internet. Na hipótese de descumprimento às ordens judiciais, as empresas provedoras de aplicações de internet são responsabilizadas civilmente, mediante a imposição de multas gravíssimas, e criminalmente seus executivos respondem pelo crime de desobediência à ordem da Justiça.

Argumenta-se que os provedores de aplicações de internet, estabelecidos nos Estados Unidos, submetem-se à lei norte-americana. Neste aspecto, a lei norte-americana impõe limites restritos à entrega pelo provedor de aplicações de internet do conteúdo das comunicações privadas dos usuários (por exemplo: conteúdo de emails).

Assim, a argumentação na ADC 51 é no sentido de que a não aplicação do decreto 3.810/01 pelos tribunais é ofensiva aos princípios constitucionais da soberania, sigilo das comunicações privadas, devido processo legal, igualdade e livre iniciativa.

Argui-se, também, que o Marco Civil da Internet não exclui a aplicação de tratados internacionais nos quais o Brasil seja parte.¹ E, no caso em análise, o Tratado de Mútua Assistência Judiciária, na forma do decreto 3.810/01 é classificado como lei em sentido formal, uma vez que foi recepcionado pela ordem jurídica brasileira.

A empresa Facebook ingressou no feito na condição de amicus curiae, na ADC 51.² Alega que suas atividades encontram-se sob o Electronic Communications Privacy Act. Esta lei norte-americana estabelece o regime de proibição da divulgação do conteúdo das comunicações privadas, armazenadas pelos provedores de serviços de comunicação eletrônica, excetuadas as exceções previstas na própria lei.

Segundo a empresa Facebook Brasil, ela não tem o controle gerencial sobre os dados da empresa Facebook Inc, sediada nos Estados Unidos. Apenas nas hipóteses de emergência (risco de morte e/ou de grave ferimento físico a pessoa), o Facebook Brasil tem fornecido voluntariamente dados às autoridades brasileiras. Assim, o Facebook Inc. encontra-se sujeito à legislação norte-americana, por estar sediada nos Estados Unidos.

Além disso, afirma que o conteúdo das comunicações privadas não pode ser fornecido às autoridades brasileiras diretamente, salvo na hipótese de mandado judicial expedido por tribunal norte-americano. Segundo a empresa, a lei norte-americana não permite que os provedores de aplicações à internet forneçam conteúdo de comunicações privadas diretamente sob ordem judicial brasileira, caso contrário podem ser responsabilizados pelo descumprimento da lei norte-americana.³

Também, resta saber se é possível a extensão da aplicação da lei brasileira, bem como da jurisdição brasileira, sobre empresas sediadas no exterior e, respectivamente, diante da soberania de Estado estrangeiro.

Em síntese, este caso retratado na ADC 51 é interessante na medida em que trata dos princípios constitucionais da soberania, independência entre os Estados, cooperação internacional, princípio da territorialidade da jurisdição, devido processo legal, bem como os direitos à comunicação e à privacidade das comunicações.

Por outro lado, nos Estados Unidos da América, há perante a Suprema Corte norte-americana o caso United States v. Microsoft Corporation.⁴ Este caso refere-se à hipótese de o governo norte-americano poder, mediante ordem judicial, obter o conteúdo das comunicações privadas armazenadas (exemplo: emails) em computadores/servidores/datacenters situados fora do país.

O caso originário refere-se à investigação do crime de tráfego de drogas, mediante a requisição do governo de ordem para que a Microsoft divulgasse informações de email. A Microsoft recusou-se a entregar o conteúdo do email, sob a alegação de que houve a mudança do local do armazenamento dos emails, para a Irlanda, não sendo admissível a aplicação extraterritorial do Stored Communication Act, lei norte-americana que trata das comunicações eletrônicas.

A propósito, no texto original da petição da Microsoft, sobre a questão apresentada perante a Suprema Corte dos Estados Unidos é a seguinte: “Whether a United States provider of email services must comply with a probable-cause based warrant issued under 18 U.S.C 2703 by making disclosure in the United States of electronic communications within that provider’s control, even if the provider has decided to store that material abroad”. Segundo o governo norte-americano, com fundamento no 18 US.C 2703 é possível que as autoridades norte-americanas requisitem aos provedores de serviços de comunicação eletrônica da divulgação do conteúdos das comunicações, armazenadas nos servidores/datacenters.⁵

Diferentemente, a Microsoft alega que a lei norte-americana sobre as comunicações eletrônicas é aplicável tão-somente aos atos praticados dentro do território norte-americano. Argumenta-se que o foco da lei norte-americana (Stored Communication Act) é a proteção da segurança das comunicações privadas, daí a confiança dos usuários que os provedores das comunicações eletrônicas armazenem, de modo seguro, o conteúdo das comunicações em servidores eletrônicos. Alega, também, que é provedora dos serviços como MSN, Hotmail e Outlook e armazena milhares de emails dos usuários, em datacenters localizados em mais de 40 (quarenta) países.

Segundo a Microsoft, o Congresso norte-americano não sinalizou no sentido de que o Stored Communications Act deveria ser aplicado extraterritorialmente. Neste sentido, uma ordem de cópia e importação das comunicações armazenadas em território estrangeiro é uma aplicação ilegal e extraterritorial do Stored Communications Act.

Conforme ainda a Microsoft, o Stored Communication Act abrange tão-somente as comunicações armazenadas nos Estados Unidos, pois seu foco é a proteção das comunicações eletrônicas armazenadas e não a divulgação das comunicações privadas. Deste modo, a interpretação da lei que prioriza a divulgação das comunicações eletrônicas é contrária à intenção originária do legislador norte-americano.

Como conclusão final da petição da Microsoft: “For now, the presumption against extraterritoriality limits the SCA, and the warrant issued under it, to communications stored on U.S. soil”. E, ainda, o Congresso norte-americano pode atualizar o Stored Comunication Act, considerando o conflito entre a aplicação da lei e as relações internacionais com outros países, a privacidade dos cidadãos e a competitividade da indústria tecnológica.

A União Europeia, o Reino Unido, Nova Zelândia e Irlanda, solicitaram a participação no caso United States x Microsoft, mediante petição como amicus curiae.

Assim, a título ilustrativo, a União Europeia alega que é apropriada a consideração das leis internas da Comunidade Europeia em relação à proteção de dados pessoais, especialmente em relação aos dados armazenados em seu território. A regulação europeia contém regras específicas sobre a transferência de dados pessoais entre os países, especialmente em relação aos países não europeus.

Neste caso United States v. Microsoft Corporation, perante a Suprema Corte dos Estados Unidos, o InternetLab do Brasil, organização não-governamental, vinculada à Fundação Getúlio Vargas, apresentou petição na condição de amicus curiae.⁶

Alega o InternetLab que o Brasil é um dos maiores mercados da internet. Empresas de tecnologias norte-americanas como Facebook, Youtube, Google e Microsoft possuem milhões de usuários no Brasil. Afirma, ainda, que aplicação da lei brasileira é rigorosa em relação aos provedores de aplicações de internet, a despeito da lei norte-americana das comunicações eletrônicas que proíbe a entrega dos conteúdos das comunicações privadas pelos provedores de comunicações eletrônicas.

Segundo, ainda, alega-se que o Tratado Internacional de Mútua Assistência Judiciária entre Brasil e Estados Unidos, na forma do decreto 3.810/11, a melhor alternativa jurídica para resolver o conflito entre as leis e as jurisdições brasileira e a norte-americana, bem como para aplicar a leis mais adequada ao caso, respeitando-se a soberania de cada país, o devido processo legal e a privacidade dos usuários das aplicações de internet.

Também, argumenta que o Marco Civil da Internet impede a divulgação do conteúdo das comunicações privadas, garantindo-se o direito à privacidade dos usuários das aplicações de internet. Deste modo, as empresas de tecnologia norte-americanas não podem ser obrigadas a fornecer diretamente o conteúdo das comunicações privadas, sem ordem judicial de uma autoridade norte-americana.⁷ Conforme a petição, o Marco Civil da Internet possui proteção semelhante àquela do Stored Communication Act dos Estados Unidos.

E, ainda, alega-se que na hipótese de a lei norte-americana Stored Communications Act (SCA) submete-se ao conflito entre duas jurisdições, então a ordem judicial tem aplicação extraterritorial.

Daí a apresentação pelo InternetLab, em sua petição como amicus curiae, da seguinte questão à Suprema Corte dos Estados Unidos: “Whether a United States provider of email services must comply with a probable-cause-based warrant issued under 18 U.S.C § 2703 by making disclosure in the United States of electronic communications whithin that provider’s control, even if the provider has decided to store that material abroad”.

Em outras palavras, a questão apresentada perante a Suprema Corte dos Estados Unidos consiste em saber se uma empresa norte-americana está sujeita à lei brasileira, em relação às comunicações eletrônicas e, simultaneamente, está sujeita ao Stored Communication Act. Nesta hipótese, na aplicação de duas leis sobre as comunicações eletrônicas, coloca a empresa provedora de aplicação de internet numa situação de conflito diante de obrigações diferentes em cada jurisdição: a norte-americana e a brasileira. Daí a necessidade de uma solução, em favor da segurança jurídica na aplicação do direito, diante do conflito de leis e de jurisdições internacionais, no âmbito da internet.

Como conclusão final da petição: “This Court should affirm the judgment of the Second Circuit of Appeals and hold that the warrant issued to Microsoft in this matter was an improper extraterritorial application of 18 U.S.C §2703 (b) (1) (A)”.

Vale dizer, o caso é significativo na medida em que a decisão da Suprema Corte dos Estados Unidos pode repercutir no Brasil, especificamente sobre as empresas de tecnologias provedoras de aplicações de internet que atuam no território nacional, ainda que sediadas no exterior.

A propósito, o Brasil, no âmbito da cooperação internacional entre jurisdições em caso relevante sobre aplicações de internet, também deveria participar do caso United States x Microsoft, perante a Suprema Corte dos EUA, como amicus curiae, tal como fizeram a União Europeia, Irlanda, Nova Zelândia, diante da possível repercussão da decisão da Suprema Corte norte-americana sobre a interpretação de sua lei com impacto sobre as empresas de tecnologia que atuam no cenário global.

Esta participação do Brasil, como Estado soberano, perante a Suprema Corte dos Estados Unidos poderia contribuir com o debate do relevante tema sobre o conflito internacional entre a aplicações de leis diferentes, sobre os provedores de aplicações de internet que atuam no cenário global, especialmente para delimitar o tema da aplicação extraterritorial da lei norte-americana sobre comunicações eletrônicas armazenadas em servidores/datacenters, ainda que situados no exterior em países estrangeiros.

__________

1 Lei 12.965/14, art. 3º, parágrafo único.

2 Ver STF, ADC 51, Requerente: Federação das Associações das Empresas Brasileiras de Tecnologia da Informação.

3 É o que dispõe o U.S. Stored Communications Act (SCA), o qual proíbe os provedores de serviços de comunicação eletrônica, submetidos à jurisdição norte-americana, de divulgar a comunicação dos respectivos usuários, excetuadas as exceções legais.

4 Supreme Court of the United States. United States of America v. Microsoft Corporation. On writ of certiorari to the second circuit Court of Appeals. Brief of InternetLab Law and Technology Center as amicus curiae in support of respondent.

5 Ver: 18 U.S. Code § 2703 – Required disclosure of customer communications or records. A governmental entity require the disclosure by a provider of electronic communication service of the contents of a wire or electronic communication, that is in electronic storage in an electronic communications system for on hundred and eighty days or less, only pursuant to a warrant issued using the procedures described in the Federal Rules of Criminal Procedure (or, in the case of a State Court), issued using State warrant procedures) by a court of competente jurisdiction. A governmental entity may require the disclosure by a provider of electronic communicatios services of the contents of a wire or electronic communication that has been in a electronic storage in an electronic communications sytem for more on hundred and eighty days by the means available under susection (b) of this section”.

6 Ver: Supreme Court of the United States. United States of America v. Microsoft Corporation. On writ of certiorari to the second circuit Court of Appeals. Brief of InternetLab Law and Technology Center as amicus curiae in support of respondent.

7 Sobre este aspecto da legislação norte-americana das comunicações eletrônicas, o Google foi condenado ao pagamento de multa no valor de R$ 8.5 milhões de dólares em uma ação coletiva promovida por usuários, segundo o argumento de que o provedor violou os direitos à privacidade dos usuários, diante de terceiros.

Artigo publicado no Portal Jurídico Migalhas em 02/02/2018.

http://www.migalhas.com.br/dePeso/16,MI273473,51045-Brasil+e+Estados+Unidos+a+jurisdicao+e+aplicacao+das+leis+nacionais

This article presents a comparative analysis between jurisdiction in Brazil and in the USA in two relevant cases given their impact on internet application and technology companies.

On one hand, in Brazil, the technology companies that provide internet application services (such as Google, Facebook, Youtube, etc.) and have headquarters abroad, face issues regarding the interpretation of the Brazilian laws, especially as to the compliance with court orders to submit the contents of private communications stored in their servers.

On the other hand, in the USA, North American technology companies also face issues such as the requisitioning of email content from these service providers, whereas the content of the private communications are stored in servers abroad.

In Brazil, a Direct Motion of Unconstitutionality was filed before the Brazilian Supreme Court under number 51/2017, for the constitutional review of Decree No. 3810/2001 that enacted the Mutual Legal Assistance Treaty between Brazil and the United States, examined below.

In the USA, there is the case United States versus Microsoft, in progress before the USA Supreme Court. The case debates whether email services providers, which have the control over their users personal data, have the legal obligation to disclose the content of electronic communication, even if the material is stored in servers located outside of the USA.

The Federation of the Associations of Information Technology Companies (“ASSESPRO NACIONAL”) filed a declaratory motion of constitutionality (Adcon No. 51/2017 to have Federal Decree No. 3.810/2001 declared constitutional. This Federal Decree enacted the Mutual Legal Assistance Treaty in Criminal Procedures between Brazil and the United States of America.  Under this legal statute, a letter of request must be issued in cooperation processes between Brazilian and USA authorities in matters of criminal investigation, prosecution, and crime prevention.

According to the technology company association that filed the motion, many Brazilian courts are not applying the said Decree. That is why the Association filed the direct motion of constitutionality, as it is the proper legal instrument to review the constitutionality of the decree and, thus, its practical application by the Brazilian Courts. The only case in which the Decree should not apply is if it is found to be unconstitutional, which has not yet been declared by the Brazilian courts.

What is happening is that the technology companies with headquarters in the USA that provide internet application services (such as email, social media, digital advertising, etc.) in Brazil are being mandated by the courts to submit the contents of private communications between their users. If they fail to comply with such court orders, the internet application providers are held civilly liable, with the application of severe fines, and criminally liable for the crime of contempt of court.

They argue that internet application providers headquartered in the United States are subject to the laws of that country. In this regard, the laws of the USA impose strict limits to the delivery by internet application providers of the contents of private communications between their users (such as emails).

The argument presented in the case ADCON No. 51 is that, by failing to apply Decree No. 3810/2001, the Brazilian courts are violating the constitutional principles of sovereignty, confidentiality of private communication, the due process of law, equality, and free enterprise.

The Plaintiff also claims that the Brazilian Internet Regulatory Framework does not exclude the application of international treaties to which Brazil is party to. In the present case, the Mutual Legal Assistance Treaty, in the form of Decree No. 3810/2001, is deemed to be a formal law, as it has been received by the Brazilian legal system.

Facebook joined the action as amicus curiae (ADCON No. 51).  It claims that its activities are subject to the Electronic Communications Privacy Act.  This North American law forbids the disclosure of the content of private communications stored by the electronic communications services providers, notwithstanding the exceptions set in the law itself.

According to the company Facebook Brasil, it does not have managerial control over the data of the company Facebook Inc., based in the United States. Facebook Brasil only voluntarily provides information to Brazilian authorities in case of emergency (risk of death and/or severe bodily harm to a person). Therefore, Facebook Inc. is governed by the United States laws, as is headquartered in that country.

It also claims that the contents of private communications cannot be directly provided to Brazilian authorities, except with a court warrant issued by a U.S Court. According to the company, U.S law does not allow internet application providers to disclose the content of private communications directly due to a Brazilian court order, otherwise the company may be held liable for violation of the U.S law.

Another question is if it is possible to extend the application of Brazilian laws and the Brazilian jurisdiction to companies with headquarters abroad and, respectively, given the sovereignty of the foreign State.

In sum, the case portrayed in ADCON No. 51 is interesting as it deals with the constitutional principles of sovereignty, independence of States, international cooperation, principle of territoriality of jurisdiction, due process of law, and the rights to communication and to privacy of communication.

As for the United States of America, the case of United States V. Microsoft Corporation  is in progress before the American Supreme Court. This case regards the possibility of the United States government obtaining, through court orders, the contents of private communications, such as emails, stored in computers/servers/datacenters located outside of that country.

The original case refers to a drug-trafficking criminal investigation, in which the Government requested an order for Microsoft to disclose email information. Microsoft refused to deliver the content of the email, claiming that it changed the email storage location to Ireland, and that the Stored Communications Act cannot be applied outside of U.S territory.

Here is an excerpt from the original brief filed by Microsoft before the U.S Supreme Court: “Whether a United States provider of email services must comply with a probable-cause based warrant issued under 18 U.S.C 2703 by making disclosure in the United States of electronic communications within that provider’s control, even if the provider has decided to store that material abroad”. According to the U.S government, grounded on 18 US.C 2703, authorities from that county may require electronic communication providers to disclose the content of communications.

In contrast, Microsoft claims that the American law on electronic communications is applicable only to acts committed within U.S territory. It argues that the Stored Communication Act focuses on protecting the safety of private communications, hence the trust that users have that the electronic communications providers safely store the content of their communications in electronic servers.  It also claims that it offers services such as MSN, Hotmail, and Outlook, storing thousands of user emails in data centers located in over 40 countries.

According to Microsoft, the U.S. Congress did not signal that the Stored Communications Act should be applied outside of U.S territory. Thus, a order to copy and import communications stored in foreign territory is an illegal and extraterritorial application of the Stored Communications Act.

Also, according to Microsoft, the Stored Communications Act comprehends solely communications stored in the United States, as the focus of the statute is to protect electronic communications stored and avoid the disclosure of private communications. So, the focus on the disclosure of electronic communications is contrary to the original intent of the American legislators.

The conclusion: “For now, the presumption against extraterritoriality limits the SCA, and the warrant issued under it, to communications stored on U.S. soil”. Moreover, the U.S Congress may update the Stored Communications Act, considering the conflict between the application of the law and international relations with other countries, the privacy of citizens, and the competitiveness of the technological industry.

The European Union, the United Kingdom, New Zealand and Ireland have requested participation in the case United States x Microsoft by filing an amicus curiae brief.

So, as an illustration of the above, the European Union claims that the proper procedure would be to consider the internal laws of the European Community in relation to the protection of personal data, especially in relation to data stored in its territory. The European regulation contains specific rules on the transfer of personal data between countries, especially in relation to non-European countries.

The Brazilian NGO InternetLab, connected to Fundação Getúlio Vargas, filed a petition as amicus curiae in the United States v. Microsoft Corporation case . It claims that Brazil is one of the largest internet markets. U.S. technology companies such as Facebook, Youtube, Google, and Microsoft have millions of users in Brazil. It also claims that the Brazilian laws related to internet application providers is strictly enforced, despite the American electronic communications law that forbids the delivery of private communications content by electronic communications providers.

The NGO also alleged that the Mutual Legal Assistance Treaty between Brazil and the United States, in the form of Decree No. 3810/2011, is the best legal alternative to solve the conflict between the Brazilian and American laws and jurisdictions, and to apply the laws most appropriate to the case, respecting the sovereignty of each country, the due process of law, and the privacy of the users of internet applications.

Another argument presented by InternetLab is that the Internet Regulatory Framework prevents the disclosure of private communications, guaranteeing the users’ right to privacy. Thus, U.S technology companies cannot be forced to directly provide the contents of private communications without a court order from a U.S court.  The brief claims that the Brazilian Internet Regulatory Framework offers protection similar to the one purported by the United States Stored Communication Act.

Further, it claims that in the case of the Stored Communications Act (SCA), there is a conflict between two jurisdictions, so the court order has extraterritorial application.

Hence the question posed by InternetLab to the United States Supreme Court, as amicus curiae: “Whether a United States provider of email services must comply with a probable-cause-based warrant issued under 18 U.S.C § 2703 by making disclosure in the United States of electronic communications within that provider’s control, even if the provider has decided to store that material abroad”.

In this case, the application of two laws on electronic communications puts the internet application provider in a situation of conflict in light of different obligations in each jurisdiction: the United States and Brazil. Hence the need for a solution that grants legal certainty in the application of the law, given the conflict between international laws and jurisdictions, within the realm of the internet.

The conclusion: “This Court should affirm the judgment of the Second Circuit of Appeals and hold that the warrant issued to Microsoft in this matter was an improper extraterritorial application of 18 U.S.C §2703 (b) (1) (A)”.

It must be said that the importance of this case lies in the fact that the ruling by the United States Supreme Court may have repercussions in Brazil, specifically on internet application providers that operate herein, even if headquartered abroad.

It is our opinion that Brazil, within the realm of international cooperation between jurisdictions in a case relevant to internet applications, should also participate in the United States x Microsoft soft case as amicus curiae, such as the European Union, Ireland, and New Zealand have done, given the possible repercussion of the ruling of the United States Supreme Court on the interpretation of its law that will impact technology companies that operate globally.

_____________

1 See STF (Brazilian Supreme Court), case Adcon 51, Plaintiff: Federação das Associações das Empresas Brasileiras de Tecnologia da Informação.

2 This is provided in the U.S Stored Communications Act (“SCA”), which forbids electronic communication providers operating under USA jurisdiction to disclose the communications of their respective users, notwithstanding the legal exceptions.

3 Supreme Court of the United States. United States of America v. Microsoft Corporation. On writ of certiorari to the second circuit Court of Appeals. Brief of InternetLab Law and Technology Center as amicus curiae in support of respondent.

4 See: 18 U.S. Code § 2703 – Required disclosure of customer communications or records. A governmental entity may require the disclosure by a provider of electronic communication service of the contents of a wire or electronic communication, that is in electronic storage in an electronic communications system for on hundred and eighty days or less, only pursuant to a warrant issued using the procedures described in the Federal Rules of Criminal Procedure (or, in the case of a State Court), issued using State warrant procedures) by a court of competent jurisdiction. A governmental entity may require the disclosure by a provider of electronic communications services of the contents of a wire or electronic communication that has been in a electronic storage in an electronic communications system for more on hundred and eighty days by the means available under subsection (b) of this section”.

5 Supreme Court of the United States. United States of America v. Microsoft Corporation. On writ of certiorari to the second circuit Court of Appeals. Brief of InternetLab Law and Technology Center as amicus curiae in support of respondent.

6 Under this aspect of the U.S electronic communications statute, Google was sentenced to pay a fine of USD 8,5 million in a class action filed by users, under the argument that the provider violated the users’ right to privacy, before third parties.

Publicado no Portal Jurídico Migalhas em 02/02/2018

http://www.migalhas.com/HotTopics/63,MI273592,61044-Brazil+and+the+United+States+of+America+Jurisdiction+and+the