1. 2010
1.1. Abertura
1.1.1. Luiz Costa (MPF)
1.1.1.1. Utilização massiva das tecnologias por todos os setores
1.1.1.2. Dados pessoais são violados com frequência e o Estado, que deveria guardar esses dados, é o primeiro à violá-los
1.1.1.3. Brasil precisa recuperar o atraso na proteção de dados
1.1.1.4. Objetivos do Seminário: identificar os desafios impostos pelas tecnologias; identificar caminhos possíveis que o Brasil pode percorrer na proteção dos valores de proteção de dados e privacidade.
1.1.2. Carlos Afonso (CGI.br)
1.1.2.1. 1867 - surgimento do telefone
1.1.2.2. expansão da Internet
1.1.2.2.1. protocolos ilegais (não o TCP/IP)
1.1.2.3. contraste: como as TICs vinham de cima para baixo x Internet vem da base.
1.1.2.3.1. Internet tem uma raiz na sociedade
1.1.2.4. CF determina que é inviolável o sigilo de correspondência - e e-mail é correspondência
1.1.2.4.1. criptografia é irrelevante perante a CF
1.1.2.5. criptografar a informação, digital ou não, parece ser o último recurso que um cidadão tem para assegurar seus direitos.
1.1.2.5.1. propostas sendo feitas nos EUA sobre quebra de criptografia é uma violação.
1.1.3. Marcel Leonardi (FGV/SP)
1.1.3.1. Bruce Schneier: "poluição" dos dados
1.1.3.2. Brasil não tem uma cultura de privacidade - a segurança deve ser pensada na concepção das plataformas
1.1.3.3. Falta o enforcement
1.2. Sessão 1: O direito à privacidade e proteção aos dados pessoais no Brasil
1.2.1. Moderador: Luiz Costa (MPF)
1.2.2. Omar Kaminski (IBDI)
1.2.2.1. representa a comunidade científica e tecnológica
1.2.2.2. Invasão da privacidade x evasão da privacidade
1.2.2.2.1. evasão: orkut, facebook. pessoas não se importam tanto com sua privacidade. Falta de conhecimento das pessoas.
1.2.2.3. Legislação
1.2.2.3.1. CF, art.5°
1.2.2.3.2. Lei Nº 9.296/96, de 1996
1.2.2.3.3. Lei N°8.078 de 1990, código do consumidor
1.2.2.3.4. Lei Nº 9.507, de 1997 - habeas data
1.2.2.3.5. Lei Nº 10.406, de 2002 - código civil
1.2.2.4. Jurisprudência
1.2.2.4.1. exemplos
1.2.2.4.2. resolução do CGI que já menciona o tempo de guarda dos dados - discussão posta no MCI
1.2.2.5. reconhecimento facial, discussão sobre utilização em aeroportos e outros locais. quais os limites disso?
1.2.2.6. Google Street View não sofreu represálias no Brasil, como em outros países
1.2.3. Marcel Leonardi (FGV/SP)
1.2.3.1. os custos de não estar nas redes sociais, a pessoa fica excluída de um comportamento social
1.2.3.2. a educação tem um papel fundamental no comportamento virtual
1.2.3.3. o STF utiliza entre si ligações criptografadas.
1.2.3.4. Cadastro Positivo
1.2.3.4.1. não pressupõe a extinção do cadastro negativo
1.2.3.4.2. se cria uma nova barreira de entrada. passa a ser uma restrição dupla
1.2.3.5. menciona a lei de retenção de dados da Argentina, que foi considerada inconstitucional
1.2.3.6. ideia de "dignidade da pessoa humana" - necessidade de trabalhar melhor os conceitos
1.2.3.6.1. esse termo só apareceu até então no AI-5
1.2.3.6.2. o conceito deve ser específico e deve ser posto em prática, não ser só um guarda-chuva para assegurar qualquer coisa
1.2.3.7. jurisprudência estrangeira - expectativa de privacidade
1.2.3.7.1. conceito criticado
1.2.3.7.2. quanto menos privacidade temos na prática, menos expectativa passamos a ter
1.2.4. Questões
1.2.4.1. Luiz Costa: que princípios poderíamos extrair para a proteção de dados no Brasil? quais seriam os desafios para o país?
1.2.4.1.1. Leonardi: finalidade para uso dos dados, confidencialidade, educação do usuário
1.2.4.1.2. Omar: aprofundar questões no âmbito legislativo. Não esperar que o governo faça porque infelizmente o próprio governo cometeu violações, há desconfianças.
1.2.4.2. Sobre o direito de se manifestar em público - o que pode ser dito e o que deveria ser proibido
1.2.4.2.1. Leonardi: regra da proporcionalidade vem sendo utilizada. EUA é um país excepcionalista nesse ponto. Ponderação de interesses, no Brasil tem preponderado a privacidade. A expressão pode ser refeita e a privacidade é algo bem mais difícil de se retomar.
1.2.4.3. Sobre o Wikileaks, como é vista a plataforma pela mesa?
1.2.4.3.1. Omar: necessidade de classificar o que são informações confidenciais e o que não são.
1.2.4.3.2. Leonardi: a divulgação deveria ter sido feita com mais responsabilidade, mas a ideia de transparência da plataforma é boa
1.2.4.4. Registro único de identidade civil - na Finlândia a população aderiu em 1%. Expectativa subjetiva da privacidade...
1.2.4.4.1. Leonardi: riscos de uma identidade única, que apesar de muito conveniente, pode ter falhas catastróficas pela concentração de dados.
1.2.4.4.2. Leonardi: deve haver um padrão mínimo legal sobre a expectativa de privacidade
1.2.4.4.3. Omar: lembra dos termos de uso e as críticas que vem sendo feitas ao Facebook
1.3. Sessão 2: Equilíbrio entre Segurança e Privacidade: os princípios de segurança e a proteção dos dados pessoais
1.3.1. Moderador: Hartmut Glaser (CGI.br)
1.3.2. Cristine Hoepers (CERT.br)
1.3.2.1. O que é segurança da informação?
1.3.2.1.1. pensar o conceito
1.3.2.2. Dificuldade de entender do usuário como se proteger, atualizar suas máquinas, etc.
1.3.2.3. Modelo clássico de segurança da informação - o cubo mágico
1.3.2.3.1. Estados da informação
1.3.2.3.2. Propriedades
1.3.2.3.3. Medidas de segurança
1.3.2.4. Muitas vulnerabilidades de software
1.3.2.5. Serviços online e gratuitos tem um preço
1.3.2.6. Pessoas não compreendem os riscos
1.3.2.7. Segurança x privacidade
1.3.2.7.1. Grande parte das contramedidas são tomadas sem considerar as questões de privacidade
1.3.2.7.2. Não é necessário comprometer a privacidade para ter mais segurança
1.3.2.7.3. O desconhecimento do problema e das soluções gera um embate que não deveria existir.
1.3.2.8. Educação é a chave, assim como a conscientização para a próx geração de engenheiros, etc. para mudar a indústria
1.3.2.8.1. A melhora não virá somente do uso de tecnologias ou da criação de leis, mas sim da compreensão dos problemas e da mudança em como as pessoas usam e desenvolvem a tecnologia.
1.3.3. Jorilson Rodrigues (Ministério da Justiça) [fala em qualidade pessoal e não expressa opiniões em nome do MJ]
1.3.3.1. Necessidade de identificar indivíduos para investigações criminais
1.3.3.2. Aumento de usuários da Internet globalmente
1.3.3.3. Questão da privacidade aparece na CF art. 5° - vida privada como inviolável
1.3.3.4. Identidade única - os dados ali presentes devem respeitar a privacidade.
1.3.3.4.1. como garantir essa proteção?
1.3.3.5. Privacidade é o direito de não ser monitorado, de não ser registrado, de não ser reconhecido
1.3.3.6. Ações coordenadas
1.3.3.6.1. assessoria do MJ, secretário nacional de justiça...
1.3.3.7. Aspectos técnicos
1.3.3.7.1. impressão digital para identificação
1.3.3.7.2. Captura não autorizada do vetor de minúcias
1.3.3.8. Processo de evolução a partir de diversos aspectos
1.3.3.9. Preenchimento de lacunas jurídicas, apenas quanto houver.
1.3.3.9.1. Direito a escolha pelo cidadão
1.3.4. Questões
1.3.4.1. IPv6 e direito a criptografia como possíveis recursos para segurança
1.3.4.1.1. Cristine: o IPv6 tem a habilidade de cifrar os dados (embora não obrigatório). Desafio é o armazenamento desses dados, porque o transporte é seguro mas e depois? Sistemas conversam entre si, que dificulta manter os dados cifrados. Principalmente em se pensar no uso de computadores públicos.
1.3.4.1.2. Jorilson: recursos hoje são bons para garantir um certo nível de segurança.
1.3.4.2. Sobre equilíbrio e o empregador rastrear e-mails do empregado no ambiente de trabalho
1.3.4.2.1. Jorilson: se a empresa pretende monitorar deve transparecer isso ao empregado. O que é exatamente monitorar? Precisa definir essa prática. Entende que no caso do Estado (opinião do palestrante), ele pode monitorar o e-mail (não se aplica a inviolabilidade de correspondências físicas)
1.3.4.3. Convenção 108, monitoração no ambiente de trabalho, na Bélgica a privacidade deve ser respeitada também fora de sua casa.
1.3.4.4. Direito da escolha e certificações das empresas
1.3.4.4.1. Jorilson: cultura interna das organizações -> garantia da privacidade -> escolha do grau de privacidade que cada indivíduo quer ter.
1.3.4.4.2. Cristine: certificação depende da legislação de cada país. Contratos de trabalho tem que deixar claros os mecanismos de monitoramento.
1.3.4.5. Deveria existir um organismo internacional para proteger a privacidade na Internet?
1.3.4.5.1. Cristine: não deveria existir tal órgão, é uma questão de discutir e não só proibir.
1.3.4.6. Que meios o Brasil tem para agir sobre empresas que usam e coletam dados de brasileiros?
1.3.4.6.1. Jorilson: dificuldade de troca de informações entre países, mas não vê necessidade de um órgão como esse. Resolve-se por mecanismos tradicionais, como acordos de cooperação.
1.3.4.7. Discurso jurídico é difícil para o cidadão comum, como trazer as preocupações para o usuário final?
1.3.4.7.1. Cristine: desafio maior é chegar em quem direciona o usuário final, quem orienta. Cartilhas como guia geral. Processo inverso: ter uma tecnologia mais simples para o usuário final. Educação é importante, mas a indústria deve pensar também na simplificação dos serviços pela limitação do usuário.
1.3.4.7.2. Jorilson: o Estado não deve ser tutor de todas as atividades. Problemas criados pela tecnologia devem ser resolvidos pela tecnologia. É o interesse do cidadão que o faz se aproximar da tecnologia.
1.4. Sessão 3: Segurança e Privacidade para o público infantil sob a perspectiva brasileira
1.4.1. Moderador: Neide M. C. Cardoso de Oliveira (MPF)
1.4.2. Erick Iriarte (LACTLD)
1.4.2.1. Que Internet queremos para que as crianças não tenham problemas?
1.4.2.2. Problemas
1.4.2.2.1. fragilidade no processo legislativo
1.4.2.2.2. fragilidade em aplicar legislações já existentes
1.4.2.3. os modelos de proteção europeus e canadenses estão baseados nas leis de proteção de dados pessoais
1.4.2.3.1. na América Latina poucos países têm lei, e ainda os que têm a aplicação é deficiente.
1.4.2.4. Assinar a Convenção de Budapeste pode ser uma saída, mas depende de cada país
1.4.2.5. Legislação de proteção de dados deve desenvolver a Internet em todos os âmbitos
1.4.2.5.1. gerar equilíbrio entre proteção dos dados, comércio eletrônico e combate ao cibercrime
1.4.2.6. Memorando de Montevideu - proteção de dados principalmente voltada a crianças e adolescentes
1.4.2.6.1. Estado deve gerar políticas
1.4.2.6.2. Um país não pode ignorar o que está sendo feito por seus vizinhos
1.4.2.6.3. Tem que se criar mecanismos para atender os menores
1.4.2.6.4. Recomendação à indústria
1.4.3. Thiago Tavares (SaferNet)
1.4.3.1. tendência do discurso público é dicotomizar, como privacidade x segurança
1.4.3.1.1. polarizando Direitos Humanos que devem ser respeitados em sua totalidade.
1.4.3.2. pornografia infantil é um dos poucos consensos existentes
1.4.3.2.1. Brasil ratifica protocolo da ONU e assina lei que criminaliza condutas relacionadas a pornografia infantil
1.4.3.3. CF determina que proteger a criança é um dever de todos, não somente do Estado
1.4.3.4. CPI no Senado Federal especializado nesses crimes cibernéticos
1.4.3.5. Não se deve renunciar direitos com base a uma promessa de segurança.
1.4.3.5.1. bloqueio de sites ultrapassa a pornografia infantil e países não democráticos bloqueiam manifestações políticas (uma agenda legítima de Direitos Humanos é usada para outros interesses)
1.4.3.6. Falta de legislações nacionais nessa temática
1.4.4. Amaro de Moraes e Silva Neto (academia)
1.4.4.1. Direitos são modificados ao longo do tempo
1.4.4.2. São necessários ajustes (e não um novo direito para a Internet)
1.4.4.3. Anonimato é autorizado pela CF
1.4.5. Questões
1.4.5.1. Qual seria o papel das escolas na educação para proteção das crianças e adolescentes?
1.4.5.1.1. Neide: negligência dos pais e falta de conhecimento sobre o assunto, a escola acaba sendo o melhor caminho, de alguma forma o assunto chegará em casa. A escola também fica aberta para promover reuniões com os pais sobre o assunto.
1.4.5.1.2. Thiago: necessidade de pensar políticas públicas para esse desafio. A escola tem um papel fundamental nesse processo, existe um gap gigantesco entre a geração dos nativos digitais e os adultos, professores. Como colocar esse tema dentro da sala de aula? Necessidade de envolvimento do Ministério da Educação e outras instâncias governamentais, para efetivar medidas de larga escala. Europa já tem uma política pública nesse sentido, pode ser uma boa referência.
1.4.5.2. A segurança deve ser tratada mais no aspecto tecnológico ou comportamental?
1.4.5.3. Qual o limite da privacidade para as crianças?
1.4.5.3.1. Erick: pais que monitoram as atividades dos filhos online, eles devem saber quais os limites e até que idade esse monitoramento é válido. Necessidade de educação e de sanções àqueles que não cumprem as regras.
1.4.5.4. Questões de sexualidade e afins variam culturalmente. Existe uma definição legal universal sobre pornografia infantil? É um objetivo ter essa definição?
1.4.5.4.1. Thiago: há no Brasil um conceito legal, inspirado no protocolo da Convenção da ONU sobre direitos das crianças e adolescentes.
1.4.5.5. Um marco regulatório seria bem vindo na definição de responsabilidades, em termos de violações de privacidade. Trabalhar estratégias de cooperação, Convenção de Palermo.
1.4.5.6. Qualquer movimentação do Estado vai realmente chegar nas pessoas que precisam de apoio para usar a Internet?
1.4.5.6.1. Amaro: sim. São questões de comportamento.
1.5. Sessão 4: Comércio Eletrônico: perspectivas do consumidor e do setor privado
1.5.1. Moderador: Professor Newton de Lucca (desembargador)
1.5.2. Leonardo Palhares (Camara E-Net, empresarial)
1.5.2.1. crescimento do comércio eletrônico no Brasil
1.5.2.1.1. fornecer a segurança necessária a esse mercado
1.5.2.1.2. enquadramento/contexto
1.5.2.2. problemas com vazamento de dados de consumidores
1.5.2.2.1. menção ao registro único de identidade
1.5.2.2.2. certificação digital como fator comum ao e-commerce e ao registro único
1.5.2.3. necessidade de disciplinar o uso de informação online e evitar abusos e problemas
1.5.2.3.1. exemplo do MCI
1.5.2.4. transações são online, mas resoluções ainda são físicas
1.5.2.4.1. prover mecanismos de soluções de controvérsias também online
1.5.3. Andrea Sanchez (Procon)
1.5.3.1. não há necessidade de regulação específica para o e-commerce.
1.5.3.2. reconhecimento da vulnerabilidade do consumidor potencializada pelo e-commerce, em reazão de idade, conhecimento, condição social, etc.
1.5.3.3. proteção contra métodos comerciais coercitivos e desleais
1.5.3.3.1. proteção contra a publicidade abusiva ou enganosa
1.5.3.4. proteção da privacidade e de seus dados pessoais
1.5.3.5. disponibilização de canal virtual pelo Procon para reclamações - é um desafio, por não terem dimensão desse universo
1.5.3.6. cartilhas de recomendações e informações para consumidores e fornecedores
1.5.3.7. consumidores sabem que seus dados formam bases? a grande maioria não sabe
1.5.3.7.1. não sabem sobre o uso das informações sem o consentimento
1.5.3.8. tratamento dos dados pessoais nas relações de consumo deve observar os princípios
1.5.3.8.1. finalidade
1.5.3.8.2. proporcionalidade
1.5.3.8.3. necessidade
1.5.3.8.4. qualidade (exatidão, clareza e atualização)
1.5.3.8.5. transparência (bancos de dados não podem ser criados sem o conhecimento dos consumidores)
1.5.3.8.6. livre acesso (possibilidade de retificação ou oposição ao tratamento)
1.5.3.8.7. segurança
1.5.3.9. MJ colocará em consulta pública uma proposta de marco regulatório para a proteção de dados pessoais no Brasil
1.5.3.9.1. LGPD
1.5.4. Luiz Costa (MPF/FCE)
1.5.4.1. não existe definições específicas sobre comércio eletrônico e dados pessoais
1.5.4.1.1. também não existem legislações específicas sobre esses dois itens
1.5.4.2. a regulação é feita de diversas maneiras, atos normativos, corregulação, autorregulação, etc.
1.5.4.2.1. portanto a falta de legislação não significa um vazio jurídico
1.5.4.3. a pessoa no centro da proteção. Princípios
1.5.4.3.1. lealdade
1.5.4.3.2. finalidade
1.5.4.3.3. consentimento prévio
1.5.4.4. direitos do consumidor
1.5.4.4.1. ter acesso à informação
1.5.4.4.2. o direito de retificar os dados
1.5.4.4.3. o direito de se opor ao tratamento
1.5.4.5. Fórum do Comércio Eletrônico em SP
1.5.4.5.1. carta de princípios
1.5.4.5.2. discussão com especialistas estrangeiros
1.5.4.5.3. proposta de corregulação
1.5.4.6. opção do opt-in
1.5.5. Questões
1.5.5.1. Luiz Costa: pede que Andrea Sanchez detalhe a ferramenta online do Procon para reclamações
1.5.5.1.1. Andrea: a ideia é ter o mesmo serviço que o presencial. Fazer a recepção da dúvida e encaminhá-la por e-mail às empresas previamente cadastradas. se a empresa se manifestar e a reclamação tiver sido solucionada, encerra a demanda. se não for solucionada, vira uma reclamação e vai para outro setor, notificando a empresa para que ela se manifeste formalmente. É um desafio pelo alto número de demandas.
1.5.5.2. O setor público, pela certificação eletrônica, cooptaria a responsabilidade de verificação de transações que seria da empresa?
1.5.5.2.1. Leonardo: o Registro único, com a certificação, seria uma garantia ao consumidor.
1.5.5.3. O que as empresas estão fazendo o end-point?
1.5.5.3.1. Leonardo: a empresa tem responsabilidade objetiva pelas transações, tem que oferecer serviços seguros. Ferramentas como outras empresas que compõem a cadeia do produto chegar até a casa do consumidor.
1.5.5.4. Será normal um aumento das reclamações devido aos sites de compras coletivas?
1.5.5.4.1. Andrea: perspectiva de que haja aumento de demanda. Num primeiro momento, as relações de consumo do e-commerce estão protegidas pelo CDC, responsabilidade tanto do site quanto da empresa que fornece o produto.
1.5.5.5. Padrão de cartões para proteger dados dos consumidores. Os custos de proteção é responsabilidade de quem? Lojistas ou bandeiras dos cartões?
1.5.5.5.1. Luiz: a discussão de quem paga a conta não é necessariamente de proteção de dados, não sabe se existe regulamentação para isso.
1.5.5.6. Prof. Newton de Lucca: phishing - o MPF tem essa preocupação? cogita-se ação em conjunto com a PF ou algo assim?
1.5.5.6.1. Luiz: o grupo dentro do MPF está em um momento de ampliar esses temas ligados a crimes cibernéticos, existe um planejamento para compreender melhor esse fenômeno.
1.5.5.7. Pensar em regulação e não em legislação - em que pé estaria essa discussão? Não vem já com atraso? Alguns sites de compras nem CNPJ tem, o consumidor fica muito exposto
1.5.5.7.1. Luiz: a legislação é uma das modalidades de regulação. O papel da corregulação é de reduzir espaços de conflito, mas há um limite. Debates em que as partes não acordam, são postos para discussão da sociedade. Deve existir um diálogo permamente, mas a ausência de uma legislação específica causa uma insegurança jurídica muito grande.
1.5.5.7.2. Prof. Newton de Lucca: adepto a existência de legislação. Brasil está atrasado, especialmente em relação aos vizinhos (Argentina, Uruguai).
1.5.5.8. Vários países na Am. Latina tem leis sobre comércio eletrônico, enquanto o Brasil não tem mas tem ações e resoluções que usam legislações de outros temas para resolver. Outros países parecem não utilizar suas legislações própias
1.5.5.8.1. Leonardo: na prática, em vários pontos o e-commerce sofre com analogias, com o comércio físico, que nem sempre correspondem as melhores soluções para os casos.
1.6. Roundtable 1: Privacidade e proteção de dados nos Estados Unidos da América, América Latina e Europa
1.6.1. Moderadores: Marcel Leonardi (FGV/SP) e e Luiz Costa (MPF)
1.6.2. Privacidade e proteção de dados a América Latina
1.6.2.1. Erick Iriarte (LACTLD)
1.6.2.1.1. Habeas data e proteção de dados na Am. Latina
1.6.2.1.2. países da região tem muito zelo com sua soberania nacional
1.6.2.1.3. Grupo de Trabajo Marco Legal
1.6.2.1.4. eLAC 2007 –Meta 25
1.6.2.1.5. eLAC 2010 -Meta 81
1.6.2.1.6. América central tem um caso distinto, pois vários países utilizam legislação baseada na dos países que eram suas metrópoles
1.6.2.1.7. Não há leis específicas, mas a proteção de dados aparece em outras leis (de telecomunicações, de habeas data, etc.)
1.6.3. Privacidade e proteção de dados nos Estados Unidos da América
1.6.3.1. Marcia Hoffmann (EFF)
1.6.3.1.1. panorama da lei de proteção de dados dos EUA
1.6.4. Questões
1.6.4.1. O tema exige cooperação entre os países, apesar de semelhanças e diferenças. Existe uma visão sobre a melhor forma de lidar com a necessidade de cooperação entre os países? Os EUA acabam instalando um patamar mínimo
1.6.4.1.1. Erick: pode ir pela autorregulação, pode ir por blocos como a APEC. Há ainda a opção de corregulação público-privada.
1.6.4.1.2. Marcia: cada vez fica mais claro que não adianta ter regulações diferentes, com o tempo caminharemos para abordagens globais. Mas temos que considerar os desafios de visões diferentes, culturas diferentes... Estado que estabelece uma lei que atinge um continente inteiro não é a melhor estratégia, isso é um problema complexo a ser resolvido no longo prazo
1.6.4.2. A questão aqui não é liberdade de expressão, mas sim quem é o dono dos dados pessoais. Na Europa, os indivíduos são donos de seus dados pessoais. Por que a EFF não coloca a questão de roubo e venda de dados pessoais na pauta? O Estado nem nenhuma empresa é dona dos meus dados pessoais.
1.6.4.2.1. Marcia: estou totalmente de acordo. Todos sabemos que as empresas têm muitos dados, e estamos vendo empresas que fazem contratos unilaterais (como o Facebook). Se vc violar os termos do Facebook, vc pode ser preso, é uma forma terrível, que estamos lutando nos tribunais para que não se transforme num modus operandi. Os tribunais estão sendo sensatos. O Facebook fez mudanças nos termos para responder aos usuários, que seriam os donos dos dados. Agora muitas redes sociais tomaram esse tipo de abordagem, para que os usuários tenham algum tipo de controle sobre seus dados.
1.6.4.3. Quais são as expectativas em relação ao desfecho do processo em relação ao ato de comunicações privadas, entre FBI e empresas lideradas pelo Google
1.6.4.3.1. Marcia: estão tentando atualizar a lei de privacidade eletrônica que nunca foi atualizada. Existem fortes propostas que serão analisadas pela administração Obama. A EFF vai participar ativamente e tentar ter um bom resultado
1.6.4.4. Problemas financeiros dificultam a aplicação da lei?
1.6.4.4.1. Erick: no Peru, bancos financiaram aplicação de leis, então buscam recursos além do Estado. Fundos de alianças públic-privadas, etc. É um problema relevante, mas não é o maior problema.
1.6.4.5. Um modelo de regulação estatal por meio de autoridade independente seria o mais indicado aos países da am. Latina?
1.6.4.5.1. Erick: cada país deve encontrar sua dinâmica, a que funciona melhor.
1.6.4.5.2. Marcel: o modelo brasileiro pode funcionar, temos exemplos de agências reguladoras que funcionaram bem e outras não. Depende muito mais de quem comanda a agência. Cada país deve achar melhor seu modelo, não pode haver uma legislação unilateral.
1.6.4.5.3. Erick: o pior modelo é aquele que depende de uma única pessoa ou instituição. A origem tem que vir de uma associação público-privada.
1.6.4.6. Após o 9/11 não houve um aumento da fiscalização sobre a privacidade dos americanos?
1.6.4.6.1. Marcia: o grande desenvolvimento pós 9/11 foi a facilitação da coleta de informação dentro e fora do território americano. O equilíbrio mudou e agora o governo está mais poderoso para vigiar e interceptar.
1.6.4.7. A divergência entre leis estaduais pode ser reflexo do alto número de crimes cibernéticos nos EUA e pode promover uma unificação dessas leis pelo governo federal?
1.6.4.7.1. Marcia: não acho que as diferentes leis sejam responsáveis pelo maior número de crimes cibernéticos nos EUA.
1.6.4.8. Qual a posição da mesa sobre a publicação do salários dos servidores em um portal público do governo do Paraná, confronto da privacidade com o princípio da publicidade e transparência
1.6.4.8.1. Marcel: deveria veicular os salários sem os nomes dos servidores. Dá pra ter transparência e privacidade ao mesmo tempo.
1.7. Roundtable 2: Privacidade e proteção de dados na Europa
1.7.1. Georges Chatillon (Paris 1 - Sorbonne)
1.7.1.1. Governo eletrônico: perspectivas do governo e do cidadão
1.7.1.1.1. profissionalização dos agentes públicos
1.7.1.1.2. governo francês tem desenvolvido uma relação com o cidadão
1.7.1.1.3. riscos e desafios
1.7.1.1.4. sem dados pessoais não há administração pública
1.7.1.1.5. o governo eletrônico impulsionou a legislação de proteção de dados
1.7.1.1.6. construir canais entre os serviços públicos também pode proteger os dados, se o tráfego for criptografado
1.7.1.1.7. conceito de dossiê online - algo como a identidade digital
1.7.1.1.8. dar mais serviços aos usuários por sistemas automatizados e seguros
1.7.1.1.9. conceito do cofre público
1.7.2. Jean-Marc Van Gyseghem (Universidade de Namur)
1.7.2.1. Convenção europeia de Direitos Humanos (ECHR)
1.7.2.1.1. art.8: respeito à privacidade
1.7.2.2. O que a lei deve abranger
1.7.2.2.1. conceito de necessidade
1.7.2.2.2. conceito de transparência
1.7.2.2.3. finalidade, direito à correção dos dados...
1.7.2.3. Convenção do Conselho da Europa
1.7.2.3.1. liberdades em geral, liberdades individuais
1.7.2.4. Chart de direitos fundamentais (Tratado de Lisboa)?
1.7.2.5. Diretivas, como a 95/46/CE; 2002/58 (e-privacy directive); 2004/24/EC
1.7.2.5.1. proteção=ter controle do uso dos dados
1.7.2.5.2. dados processados automaticamente e parcialmente processados automaticamente
1.7.2.5.3. não se aplica a interesses estatais relacionados a segurança
1.7.2.5.4. cada Estado membro deve aplicar suas provisões nacionais
1.7.2.6. dado pessoal: toda informação relacionada à uma pessoa identificada ou identificável
1.7.2.7. data subject: pessoal natural identificada ou identificável ligada ao dado pessoal
1.7.2.8. responsabilidade de tratamento, controlador dos dados
1.7.2.8.1. serviços de TI como processadores de dados
1.7.2.9. Principais princípios para o processamento de dados
1.7.2.9.1. justo, dentro da lei e legítimo
1.7.2.9.2. determinado
1.7.2.9.3. não excessivo
1.7.2.9.4. transparente
1.7.2.9.5. adequado
1.7.2.9.6. tempo de uso dos dados
1.7.2.9.7. finalidade e explícito
1.7.2.9.8. legitimidade, consentimento
1.7.2.9.9. proibição - com relação aos dados sensíveis, que possui exceções
1.7.2.10. direitos do sujeito de dados (data subject)
1.7.2.10.1. análise por humano, não máquina
1.7.2.11. obrigação dos controladores de dados
1.7.2.11.1. segurança, confidencialidade
1.7.2.11.2. processador dos dados deve prover garantias
1.7.2.12. nível de proteção adequado em países terceiros, para transferência internacional
1.7.2.13. autoridade supervisora deve ser independente
1.7.2.13.1. a decisão da autoridade pode estar sujeita à "judicial remedies"
1.7.2.14. art.29 data protection working party
1.7.2.14.1. contribui para a harmonização de aplicação da diretiva
1.7.3. Questões
1.7.3.1. Recompensa financeira para quem descodificou algo criptografado contribui para a proteção de dados?
1.7.3.1.1. Georges: é um caso penal
1.7.3.2. Como tratar a segurança dos dados na computação em nuvem?
1.7.3.2.1. Georges: é muito arriscado, como proteger os dados na nuvem? É melhor ter os dados no seu computador, não vê vantagens na nuvem
1.7.3.2.2. Jean-Marc: é possível proteger os dados na nuvem. A questão é a aplicabilidade da lei (e não a segurança) e se o usuário consegue mover uma ação contra a empresa proprietária da nuvem.
1.7.3.3. Conceito de workflow, como ele poderia contornar os dados que alimentam o Estado? Como poderia estabelecer uma relação mais rigorosa?
1.7.3.3.1. Georges: comparação com os papéis físicos. Fazer uso de criptografia
1.7.3.4. Exemplos de como o princípio da necessidade se traduz na prática
1.7.3.4.1. Jean-Marc: exemplos de controles biométricos desnecessários, causam controles maiores e mais invasivos que o necessário. Necessidade está ligada ao propósito e a adequação.
1.8. Roundtable 3: A proteção de dados na Sociedade da Informação
1.8.1. Moderador: Demi Getschko (CGI/NIC.br)
1.8.2. Carlos Affonso Pereira (FGV/Rio)
1.8.2.1. controvérsias da última década
1.8.2.1.1. modelos de negócios baseados em dados pessoais
1.8.2.1.2. combate ao spam
1.8.2.1.3. termos de uso de e-mail corporativo
1.8.2.1.4. redes sociais
1.8.2.1.5. violação do direito da personalidade
1.8.2.2. a experiência do MCI
1.8.2.2.1. marco regulatório que possa guiar o magistrado, estabelecer parâmetros
1.8.2.2.2. saber qual o melhor remédio jurídico aos danos causados na rede
1.8.2.2.3. lei azeredo - reação da sociedade civil
1.8.2.2.4. processo colaborativo
1.8.2.2.5. rompe com o modelo tradicional de audiência pública
1.8.2.2.6. 1)discussão sobre princípios gerais que guiam essa discussão sobre o MCI
1.8.2.2.7. 2)minuta do que seria o MCI
1.8.2.2.8. privacidade e dados pessoais e responsabilidade dos provedores de serviços como os temas mais polêmicos
1.8.2.2.9. lança as bases para um marco legal sobre a proteção dos dados pessoais em consonância com o desenvolvimento tecnológico
1.8.3. Danilo Doneda (FGV-Rio)
1.8.3.1. percepção de emergência do tema, onde a população passa a dar mais atenção pelo mal trato aos seus dados pessoais nas esferas pública e privada
1.8.3.2. Brasil está se isolando na Am. Latina por não ter uma legislação sobre dados pessoais
1.8.3.3. proteção de dados é uma maturação do tema da privacidade
1.8.3.4. Data Shadow
1.8.3.4.1. sombra de dados que acompanha toda pessoa. certa fragmentação da identidade
1.8.3.5. Corpo eletrônico
1.8.3.5.1. junção desses dados que estão presentes nas nuvens e vários armazenamentos digitais e que podem ser utilizados para moldar nossas vidas
1.8.3.5.2. habeas corpus
1.8.3.6. o paradigma desse tema mudou muito nos últimos anos
1.8.3.6.1. do segredo ao controle
1.8.3.6.2. liberdade individual
1.8.3.6.3. ferramenta para regular a exposição da informação pessoal
1.8.3.7. existe uma certa tradição jurídica ocidental em relação a proteção de dados, houve uma bifurcação
1.8.3.7.1. modelo europeu (sistemático, unitário)
1.8.3.7.2. modelo norteamericano (fragmentado)
1.8.3.8. Cenário no Brasil
1.8.3.8.1. não há uma legislação que tenha levado em conta os problemas específicos da sociedade da informação
1.8.3.8.2. falta uma cultura de privacidade
1.8.3.8.3. dados tem uma tendência a transnacionalidade, por isso não é conveniente um país ter normas muito diferentes de outro país com o qual ele se relaciona. normas muito diferentes elevam custos. Europa exige o mesmo nível de adequação.
1.8.3.8.4. anteprojeto de lei
1.8.4. Ivo Correa (Google Brasil)
1.8.4.1. Mercosul está prestes a editar uma diretiva sobre dados pessoais
1.8.4.2. Preâmbulo
1.8.4.2.1. a concorrência "a um clique a distância"
1.8.4.2.2. informação, valor, inovação
1.8.4.2.3. estamos apenas no início da Internet comercial
1.8.4.3. Princípios de privacidade do Google
1.8.4.3.1. 1)usar as informações para fornecer produtos e serviços relevantes aos nossos usuários
1.8.4.3.2. 2)desenvolver produtos que reflitam sólidos padrões e práticas relativos a privacidade
1.8.4.3.3. 3)tornar a coleta de informações pessoais transparente
1.8.4.3.4. como ser claro, direto e transparente nos termos de privacidade para com o usuário
1.8.4.3.5. 4)dar aos usuários a oportunidade de fazer escolhas significativas para proteger a própria privacidade
1.8.4.3.6. 5)ser um guardião responsável das informações que possuímos
1.8.4.4. Desafios no Brasil
1.8.4.4.1. contexto, história e cultura importam
1.8.4.4.2. educar e informar é preciso
1.8.4.4.3. equilíbrio e inovação
1.8.4.4.4. tendências: social, mobile, etc.
1.8.5. Carlos Afonso (RITS/NUPEF)
1.8.5.1. recentes denúncias de quebras de sigilo na Receita Federal
1.8.5.1.1. como é representado na mídia
1.8.5.1.2. vulnerabilidade parte de nós mesmos antes de chegar nos servidores
1.8.5.1.3. do lado dos servidores, as configurações feitas por humanos/funcionários
1.8.5.1.4. fluxos não criptografados
1.8.5.2. muitas vezes o enfoque é na segurança da integridade dos dados, e não na privacidade
1.8.6. Questões
1.8.6.1. MCI e retenção de dados
1.8.6.1.1. CAF: proposta da guarda dos dados por 6 meses enfrentou resistência por parte da sociedade civil. Comentários tendem a depositar no poder judiciário a expectativa de resolução. Art.20 com redação alterada a partir dos comentários recebidos, o que evidencia como o processo do MCI foi democrático.
1.8.6.1.2. Carlos Afonso: logs de naturezas diferentes (acesso, sessão, transações). uma vez que qualquer um desses logs seja exigido judicialmente, isso tem que ser feito com absoluta qualidade, esse aspecto não aparece no MCI.
1.8.6.1.3. Demi: discussão sobre onde começa e onde termina os dados pessoais. o log de acesso se refere a um atributo técnico, sem identificar o usuário. diferenciar dados pessoais e dados técnicos.
1.8.6.2. Google condenada por conteúdo ofensivo em blog, está correto?
1.8.6.2.1. CAF: o conteúdo ofensivo varia se for gerado por terceiro ou por ato próprio. Se o blogueiro cria conteúdo ofensivo, figura no pólo passivo. MCI: o provedor não responde por ato de terceiro, a ação indenizatória deve ser dirigida ao provedor somente se ele não retirou o conteúdo do ar sob ação judicial.
1.8.6.3. responsabilidade penal de quem cria e dissemina vírus
1.8.6.3.1. CAF: há vários PLs sobre isso. Pode haver legislação específica sobre isso que exige bastante debate. Primeiro direitos fundamentais (MCI) e depois questões criminais.
1.8.6.4. Google tem algum acordo com o governo brasileiro para facilitar fornecimento de informações ou só o faz a partir de ordens judiciais?
1.8.6.4.1. Ivo: Google tem parcerias que em geral dizem respeitos a entrega e integridade dos dados, mas a quebra de sigilo de comunicação depende de ordem judicial. Não há lei que especifique isso de forma clara, o que é um dos méritos do MCI.
1.8.6.5. ausência de criptografia se daria por conta de custos?
1.8.6.5.1. Carlos Afonso: não. Você pode garantir a criptografia apenas do seu e-mail, se você colocar toda a base criptografada em tempo real aí sim será mais difícil.
1.8.6.5.2. Demi: criptografia garante que os dados não sejam vulneráveis, se difere do certificado digital
1.8.6.6. os logs de acesso podem ser forjados pelo administrador?
1.8.6.6.1. Carlos Afonso: podem ser alterados, é outro problema sério que deve ser tratado se os logs forem usados em direito penal.
1.8.6.7. Importante estabelecer alguns valores para estabelecer um quadro mais bem definido quanto aos logs.
1.8.6.8. Não acho que deve haver um balanço entre inovação e privacidade, mas sim que devem caminhar juntos.
1.8.6.8.1. Ivo: concordo, utilizei a palavra equilíbrio mas não quero mitigar direitos. A palavra não é equilíbrio, mas abertura.
1.8.6.9. Qual é o modelo que na cultura brasileiro é mais factível? É necessário uma agência reguladora ou há outra sistemática que funciona no Brasil?
1.8.6.9.1. Danilo: a ideia do modelo não é tão clara, mas temos uma tradição ocidental. Há uma tendência de se seguir um rumo mais parecido com o europeu em termos de estrutura. A autoridade parece muito útil no Brasil, é necessário um organismo técnico, não apenas o judiciário.
1.8.6.10. Mapeamento genético, isso pode avançar os níveis de proteção de dados?
1.8.6.10.1. Danilo: informação genética entra na categoria de dados sensíveis. É possível sim que tenha avanços.
1.9. Encerramento
1.9.1. Luiz Costa (MPF)
1.9.1.1. fez um resumo dos temas tratados em cada painel
1.9.1.2. destaca a experiência inovadora do MCI
1.9.1.3. domínios de proteção de dados
1.9.1.3.1. liberdades individuais
1.9.1.3.2. proteção da criança e adolescente
1.9.1.3.3. ambiente de trabalho
1.9.1.4. desafios em aspectos econômicos, dentro e fora do país
1.9.1.5. desafios em aspectos regulatórios
1.9.1.5.1. princípio do CGI sobre governança democrática e colaborativa, uma linha que deve ser seguida
1.9.1.5.2. quem é que vai cuidar dos nossos dados pessoais? além da discussão teórica, não perder essa pergunta de vista
1.9.1.6. agradece a todos os envolvidos no Seminário
1.10. DADOS QUANTITATIVOS 2010
1.10.1. Total de 7 painéis: 4 sessões expositivas e 3 mesas-redondas, além de abertura e encerramento.
1.10.2. Participação dos stakeholders
1.10.2.1. 4 representantes governamentais (sendo que um deles participou em 5 mesas);
1.10.2.2. 2 representantes empresariais;
1.10.2.3. 8 representantes do terceiro setor (sendo que dois deles estiveram em duas mesas cada);
1.10.2.4. 7 representantes da academia (sendo um deles participou de três mesas).
2. 2011
2.1. Mesa de abertura
2.1.1. Carlos Afonso – 3° setor (CGI)
2.1.1.1. Esforço do CGI em criar um evento novo (Fórum de Internet no Brasil).
2.1.1.2. Reação ao WSIS e à criação do IGF – possibilidade de se fazer fóruns regionais (como o EURODIG)
2.1.1.3. Conflito entre cibersegurança e direitos (privacidade, proteção dos dados). Áustria conjunto de ações contra o Facebook por violação de privacidade; menção à leis de proteção de dados de países europeus. [reações]
2.1.1.4. Defesa da criança na Internet.
2.1.1.5. Direitos de defesa dos usuários.
2.1.1.6. Questionamento da liberdade de expressão.
2.1.2. Antonio Fonseca – MPF
2.1.2.1. Informação cada vez mais fundamental. Era do Estado-mercado.
2.1.2.2. Sentir (reage ao) o fato de o Brasil ainda não ter uma lei de proteção de dados. Existem alguns instrumentos como o CDC, mas é preciso uma autoridade que possa responder com rapidez a solução de problemas cotidianos envolvendo a proteção de dados. A sociedade brasileira precisa dessa proteção, pois quanto melhor a proteção, melhor a qualidade dos dados, portanto, necessidade de se ter uma regulação adequada.
2.1.3. Danilo Doneda – Ministério da Justiça
2.1.3.1. Identificação da demanda pelos setores de que há uma lacuna no ordenamento jurídico brasileiro sobre proteção de dados pessoais.
2.1.3.2. Dados podem definir liberdades pessoais – maturidade do tema crescente. Momento de renovação do marco regulatório brasileiro de informação (evento junto ao Fórum da Internet), MCI levado ao Congresso, reforma de lei de direitos autorais… novo patamar jurídico da informação sendo trabalhado pelo ordenamento brasileiro. Necessária uma modernização brasileira no ordenamento jurídico.
2.1.3.2.1. Identificação de um relativo atraso com relação a normas e princípios já internacionalmente aceitos.
2.1.3.3. Caracterizar proteção de dados como direito fundamental (baseado em eventos internacionais) – vedar utilizações abusivas, incertezas sobre o que pode e não pode ser feito com dados na zona cinzenta do ordenamento jurídico brasileiro. Mercado necessita de confiança, relações entre setores necessita de garantias ao cidadão e segurança ao Estado e ao mercado para uso legítimo de dados.
2.2. Palestra magna - Privacidade na Sociedade da Informação
2.2.1. Prof. Yves Poullet (CRID, Université de Namur)
2.2.1.1. Cenário tecnológico e atores [descrição]
2.2.1.1.1. multiplicação do dispositivo terminal (GPS, celular...)
2.2.1.1.2. web 2.0 – novas formas de coleta de dados
2.2.1.1.3. publicidade online – consentimento do usuário das redes sociais não é livre e bem informado!
2.2.1.1.4. Computação em nuvem
2.2.1.1.5. Técnicas de criação de perfil - marketing, avaliação de crédito, questões de segurança
2.2.1.1.6. Mineração de dados
2.2.1.1.7. Novos atores como guardiões
2.2.1.1.8. Ausência de « regulamentação » em relação a esses novos atores. Legislações de privacidade permanecem focadas em « controladores de dados » e não abordam a tecnologia em si. Onde estão os controladores das "tecnologias"(Produtores IT ou designers) regulamentados? Nova geração de legislação de proteção de dados
2.2.1.1.9. Três "gerações" de legislações de privacidade
2.2.1.2. Definição de dado pessoal - Um dado pessoal é um dado relacionado à uma pessoa que pode ser identificada ou é identificável nomeadamente por meio de um número de identificação.
2.2.1.2.1. 1a observação: A necessidade de distinção entre os diferentes tipos de dados pessoais
2.2.1.2.2. 2a observação: cookies, endereços IP ou números RFID são necessariamente dados pessoais?
2.2.1.2.3. 3a observação: há necessidade de regulamentação sobre criação de perfis mesmo quando não estão trabalhando com dados pessoais?
2.2.1.3. Direito a funcionalidades transparentes e proporcionais dos terminais.
2.2.1.3.1. Dados gerados, armazenados e transmitidos pelo terminal devem ser reduzidos ao que é tecnicamente necessário para a telecomunicação (minimização de dados) e devem ser transparentes (suppression of chattering)
2.2.1.3.2. Pontos de contato só poderão ser fornecidos pelo usuário e usos posteriores deste ponto de contato devem permanecer sob controle do usuário (direito de revogação).
2.2.1.3.3. O terminal pode não iniciar uma comunicação a menos que seja solicitado pelo usuário ou a menos que seja estritamente necessário para o bom funcionamento da rede de telecomunicação.
2.2.1.4. Novos princípios
2.2.1.4.1. Privacidade por design
2.2.1.4.2. Privacidade por padrão
2.2.1.4.3. Abordagem positiva: proteger a privacidade é uma vantagem
2.2.1.4.4. Ciclo de vida de proteção do começo ao fim
2.2.1.4.5. Visibilidade e transparência para o titular dos dados
2.2.1.5. Reafirmação dos valores éticos
2.2.1.5.1. Dignidade: não deve ser submetido continuamente a anúncios, à vigilância contínua, ou à qualquer manipulação.
2.2.1.5.2. Justiça social = não discriminação e solidariedade (Parlamento da UE: A Internet é definitivamente um serviço público correspondente a uma necessidade pública como a de séculos passados).
2.2.1.5.3. Autonomia: magistério individual e coletivo do meu ambiente informacional, incluindo o técnico (aviso: CONSENTIMENTO não é a panaceia). [Autonomia vai além do consentimento]
2.2.1.6. Necessidade de novas alianças – com leis ambientais, criminais e do consumidor!
2.2.1.7. Conclusões
2.2.1.7.1. Privacidade é um pré-requisito para todas as nossas liberdades (Direito à livre circulação, Direito de expressão, Direito de não discriminação, etc.)
2.2.1.7.2. Privacidade é uma condição para uma democracia participativa.
2.2.1.7.3. A defesa de privacidade necessita de uma ação coletiva e deliberação democrática: O que nós queremos como uma sociedade de Informação?
2.3. Painel 1 - Regulação e proteção no mundo globalizado
2.3.1. Harlan Yu – Princeton University e Ashkan Soltani (EUA) [academia]
2.3.1.1. 1.Rastreamento online na web – como os usuários são rastreados por terceiros 2.Rastreamento no celular – informações de localização 3.Segurança de dados e violação de notificações – California como 1° estado a ter uma regra sobre notificação de vazamento de dados. 4.Acesso do governo à informações pessoais (ECPA)
2.3.1.2. Beacon → request pra acesso de terceira parte → observador + identificador + atividade = perfil Cookies ID do celular Deep Packet Inspection – empresa chamada Phorm – ver tráfego não criptografado para criação de perfis comportamentais voltados ao marketing.
2.3.1.3. Conceito “notice/choice” → problemas de políticas de privacidade que os usuários não leem(vantagem para as empresas). Aviso aprimorado para anúncios (ícone de privacidade): o provedor do anúncio dirá qual tipo de dado está sendo coletado. Configurações de publicidade para os usuários – Google “preferências de anúncio” permite opt-out de algumas categorias de publicidade que você não quer receber.
2.3.1.4. Opt-out de direcionamento diferente de opt-out de rastreamento →consumidores devem estar cientes do rastreamento →opt-outs são frágeis →não há um mecanismo para opt out do rastreamento
2.3.1.5. O que os browsers estão fazendo – Firefox e Safari tendo algumas configurações de bloqueios por padrão, como cookies de terceiros Problema que os browsers recebem dos anúncios, não tem incentivos suficientes para bloquear esses mecanismos. Usuários precisam deletar cookies! Privacy “whac-a-mole” - você descobre como deletar um cookie, e mais cookies aparecem de outros modos.
2.3.1.6. Auto regulamentação da indústria não funciona tão bem. Ações judiciais privadas. FTC: Sessão 5 da Autoridade (setores específicos), há muitas brechas → “injustiça” requer prejuízo, o que é muito difícil de provar para o FTC; "fraude" é o que o FTC pode ir atrás das empresas, que dizem uma coisa mas fazem outra em relação aos consumidores. Problema que o FTC tem pouco staff e os processos levam muito tempo.
2.3.1.7. Consumidores estão mais preocupados com data brokers, repasse de dados para terceiros. Em 2011 tiveram 18 propostas legislativas no Congresso americano sobre o tema.
2.3.2. Marie Georges – Assessora do Conselho Europeu / Conseil of Europe expert
2.3.2.1. Princípios-chave
2.3.2.1.1. livre fluxo de dados
2.3.2.1.2. legítimo interesse
2.3.2.1.3. proporcionalidade
2.3.2.1.4. tempo limite dos dados
2.3.2.1.5. direito ao esquecimento
2.3.2.1.6. segurança
2.3.2.1.7. direitos individuais
2.3.2.2. Convenção 108 - modernização proteção a dados sensíveis conceito de jurisprudência: texto legal – corte europeia de direitos humanos
2.3.2.3. conceito de autoridade independente para aplicar os princípios poderes de aplicar sanções problema de ter as condições para exercer as atividades
2.3.2.4. privacy by design
2.3.2.5. uso de informações públicas não é legítimo interesse para a Europa, não podem ser usadas para qualquer interesse – foi recusado no Safe Harbour (acordo Europa-EUA)
2.3.2.6. responsabilidade daqueles que lidam com dados controladores e processadores de dados
2.3.2.7. notificação de vazamento – tem que fazer mais que apenas notificar, ajudar a sanar o problema, como resolver
2.3.2.8. necessidade de regulação global – a Convenção 108 poderia cumprir esse papel no momento, pois não há mais nada.
2.3.2.9. Monitoramento de casos nacionais, adaptações de como os princípios são aplicados. Consulta pública em nível global no início de 2011, também programada com o 1° draft em 2012
2.3.3. Fatima Cambronero – Ageia Densi [Argentina] – pesquisadora e advogada
2.3.3.1. Como é entendido o direito a proteção dos dados pessoais: autodeterminação informativa “Considerado um direito muito pessoal em grande parte dos países latino-americanos e vinculado à autodeterminação informativa”.
2.3.3.2. Constituição Argentina – art.43 – habeas data
2.3.3.3. Lei de 2000 – proteção de dados pessoais regulamenta o art. 43 da Constituição lei integral (contempla pessoas físicas e jurídicas) “A lei se aplica a todos os dados pessoais registrados em arquivos, registros, bancos de dados ou outros meios de processamento de dados, públicos ou privados.” Conceitos-chave: dados pessoais; dados sensíveis; arquivo, registro, base ou banco de dados; tratamento dos dados; titular dos dados; usuário de dados; dados informatizados; dissociação de dados
2.3.3.4. Autoridade de aplicação da lei: Direção Nacional de Proteção de Dados Pessoais (DNPDP) Diretor Nacional de Proteção de Dados 4 anos de mandato - Indicado pelo Poder Executivo Nacional Não é uma autoridade independente, porque depende do Poder Executivo.
2.3.3.5. Adequação à normativa europeia – Argentina 1° país na Am. Latina a fazer a adequação
2.3.3.5.1. A Argentina garante um nível adequado de proteção no que diz respeito ao tratamento de dados pessoais e sua livre circulação. Convite às autoridades argentinas para que tomem as medidas necessárias para resolver os pontos fracos dos instrumentos jurídicos em vigor: questões relacionadas com a autoridade policial, a competência do Art. 36 da LPDP, o convite às províncias para que criem suas próprias autoridades de fiscalização, ao nível da segurança dos dados pessoais e da transferência internacional de dados, tanto da Argentina para terceiros países, como destes para a Argentina.
2.3.3.6. Colômbia a caminho de aprovar sua lei; Equador também no processo de construir a lei Peru recentemente aprovada, mas ainda por regulamentar Uruguai já tem a lei e procura revisar para se adequar a normativa europeia Brasil trabalhando no PL de dados pessoais, já há menções na Constituição. Aberto a consulta pública em 2010
2.3.3.7. Falta uma uniformidade na região – adequação à normativa europeia como interesse comum.
2.3.3.8. Conclusões
2.3.3.8.1. necessidade de harmonização
2.3.3.8.2. necessidade de educação
2.3.3.8.3. mesmo nível de proteção de dados nos países da região
2.3.3.8.4. autoridade de controle independentes de poderes políticos
2.3.3.8.5. distinção de regulações de privacidade e proteção de dados
2.3.3.8.6. encorajar a contínua evolução de normas de proteção de dados a realidade atual
2.3.4. Questões
2.3.4.1. Bruno Magrani (FGV) – questão sobre transferência internacional de dados
2.3.4.1.1. Marie (Europa) – protection of similar effect (ao invés de equivalente), é um dos principais princípios para a transferência
2.3.4.1.2. Ashkan (EUA) – problema desafiador, ter accountability para quem recebe os dados. Restringir o uso de informações públicas, como fazer isso?
2.3.4.1.3. Marie (Europa) – o usuário faz uma reclamação, então ocorre uma investigação e uma sanção.
2.3.4.1.4. Harlan (EUA) – não há muito debate nos EUA sobre transferência internacional de dados, mas parece difícil determinar aspectos de privacidade para aplicação de regras comparáveis entre países, até mesmo difícil verificar quem está transferindo para quem.
2.3.4.1.5. Marie (Europa) – direito de obter seus dados deve ser exercido também pelas redes sociais, direito a portabilidade. A abordagem sobre liberdade de expressão é a mais difícil, variando entre países; definir limites para a liberdade de expressão, é uma questão que deveria ser vista pela UNESCO.
2.3.4.2. Moderadora – quais as possibilidades de regulação do Estado sobre as redes sociais, qual o interesse público
2.3.4.2.1. Marie (Europa) – necessidade de educação; redes sociais com privacy by default.
2.3.4.2.2. Fatima (Argentina) – necessidade de educação para os mais velhos, educar sobre o que podemos compartilhar.
2.4. Painel 2 - Desafios tecnológicos e legais
2.4.1. Painel majoritariamente composto pelo setor privado, com apenas um representante acadêmico e um da comunidade técnica.
2.4.2. José Roberto Amazonas, USP
2.4.3. Antonio Moreiras (NIC.br)
2.4.3.1. IPv6
2.4.3.2. Tecnologia NAT – inventada pelo esgotamento do IPv4 – quebra o modelo fim-a-fim, mas tem como contornar esse problema.
2.4.3.3. No IPv6, não há mais NAT, a comunicação fim-a-fim volta a acontecer, mas a gente passa a ter um endereço para cada usuário da Internet, o que facilita a identificação do usuário.
2.4.4. Marcel Leonardi (Google Brasil)
2.4.4.1. Valor dos dados agregados (big data) – resultados úteis para todos.
2.4.4.2. Comenta as críticas na Europa sobre o Street View – a cultura da privacidade na Europa, já que no Brasil não acontece essa preocupação.
2.4.4.3. Ferramentas que o Google disponibiliza a partir de dados agregados
2.4.4.3.1. Constatação de doenças e epidemias
2.4.4.3.2. Public Data Explorer – voltado a agências governamentais
2.4.4.3.3. Governança digital – perguntas para políticos através de um moderador físico
2.4.4.3.4. Tradução automática
2.4.4.4. Regulação deve levar em conta a importância dos dados agregados, pensar no aspecto macro. Importância do big data para estratégias comerciais e de políticas públicas.
2.4.4.5. Escolha consciente do usuário ao usar serviços gratuitos em troca dos dados e exposição para publicidade direcionada.
2.4.4.6. Problemas sociais contemporâneos podem ser solucionados por meio de inteligência de grandes quantidades de dados – observação de tendências e resultados obtidos.
2.4.5. Dave Russell, Canonical (Ubuntu)
2.4.5.1. Computação em nuvem – é uma camada abstrata. Infraestrutura de serviços em nuvem, plataformas e softwares.
2.4.5.2. Como saber se a nuvem pública é segura? Há também a “community cloud”, como de uma empresa ou de governo. A nuvem privada tem todos os benefícios da nuvem pública, mas com seu próprio data center, você decide os acessos e o fluxo de dados → esse será o principal meio de garantir proteção e privacidade.
2.4.5.3. Hybrid cloud (nuvem híbrida) = nuvem pública + nuvem privada. Pública para informação nas pontas (não retém dados), privada para guardar informações de uma org por exemplo (retém dados).
2.4.5.4. Open source (fonte aberta) e padrões abertos → importante para interoperabilidade. A própria Internet (DNS, TCP/IP) é exemplo de padrões abertos.
2.4.5.5. "Padrões abertos são importantes para ajudar a criar soluções interoperáveis e acessíveis para todos. Eles também promovem concorrência através da criação de condições técnicas equitativas para todos. Isso resulta em custos menores para empresas, e consequentemente, para o consumidor." Erkki Liikanen, Comissário da UE.
2.4.5.6. Além de interoperabilidade, é importante para transparência.
2.4.6. Adriano Brandão, Navegg
2.4.6.1. Usabilidade, viabilidade e privacidade
2.4.6.1.1. Equilíbrio entre
2.4.6.2. Transferência explícita: fornecimento de informações. Transferência implícita: comportamento do usuário
2.4.6.2.1. “Olho que tudo vê”: ISPs – veem tanto os dados explícitos quanto implícitos.
2.4.6.2.2. Cookie: memória compartilhada entre navegador e servidor, entre internauta e site.
2.4.6.2.3. Third-party: repasse de informações (CDN, Cloud Computing, Ad networks).
2.4.6.2.4. Internet é disruptiva, distribuída e descentralizada. Desintermediação cada vez maior (todos são produtores de conteúdo, empresas falam diretamente com consumidores).
2.4.6.3. Paradoxo da superdistribuição
2.4.6.3.1. – Produção de conteúdo ainda cara
2.4.6.3.2. – Preço da publicidade cada vez menor
2.4.6.3.3. – Margens cada vez mais estreitas
2.4.6.3.4. – Tecnologia como métrica implacável
2.4.6.4. Web de profissionais, viabilizada por uso intensivo de tecnologia
2.4.6.4.1. Segmentação
2.4.6.4.2. Retargeting
2.4.6.4.3. Recomendação
2.4.6.4.4. Criativos dinâmicos
2.4.6.5. Site de notícias “futurista" caso a regulação de proteção de dados da UE fosse posta em vigor integralmente. Questão sobre aceitar ou não uso de cookies. Cookie rejeitado = o site não pode ser acessado, pois o site depende de publicidade. Aceitar cookie parcial = site parcial. Cada área do site exige uma nova aceitação de cookie.
2.4.6.6. Discussão sobre o que é e o que não é dado pessoal – evitar criação de jardins murados, manter web aberta e inovadora.
2.4.7. Questões
2.4.7.1. Pergunta ao Google sobre acervo digital da bilbioteca brasileira e proteção de direitos autorais.
2.4.7.1.1. Resposta Marcel: Google Brasil já tem parcerias com editoras e autores locais. Proteção autoral é possível, assim como da privacidade de quem usa esses serviços. Os dados sobre as preferências pessoais não precisam ser compartilhados com terceiros.
2.4.7.2. Pergunta ao Google sobre direito ao esquecimento.
2.4.7.2.1. Resposta Marcel: “direito ao esquecimento” é um conceito europeu que tem sido ampliado. Google dashboard: você controlar suas informações, aqui o caso é simples. Como controlar o que os outros falam ao seu respeito? Problema de censura; remover da busca é solução paliativa (vai sair do índice, mas o conteúdo ainda estará lá). É um problema que depende de casos, pode atingir liberdade de expressão, etc.
2.4.7.3. José Roberto Amazonas, USP
2.4.7.3.1. conceito de “matar o chip” → equivalente ao “direito ao esquecimento”
2.4.7.3.2. opt-in: optar por participar
2.4.7.4. Adriano Brandão: defende a proteção de dados e os DH, mas sem alterar a Internet → usabilidade, ambiente sustentável que a Internet deve ser.
2.4.7.5. Luiz Costa (público) à Adriano Brandão: por que a defesa da proteção do usuário vem em prejuízo da estrutura da Internet? Quais são os dados que devem ser protegidos?
2.4.7.5.1. Brandão: dados pessoais são os que podem identificar uma pessoa, como IP, e-mail, nome, documento de identificação… diferente de dados agregados anônimos. Existe um limite entre a preocupação com a privacidade e tornar a utilização da Internet complexa (como o exemplo da legislação europeia de pedir autorização para publicidade para ver uma página).
2.4.7.6. Outra questão: cookies não são dados pessoais?
2.4.7.6.1. Brandão: não exatamente, pois o cookie é um meio de transportar uma informação, que pode violar a privacidade. Mas o cookie não traz um dado indentificável sobre a preferência do usuário.
2.4.7.7. Moreiras: problematiza o IP ser um dado pessoal; chegar em um meio termo com a questão das propagandas direcionadas.
2.4.7.7.1. Brandão: a Internet é feita pelo usuário, ele pode optar por desabilitar a publicidade, isso deve existir na Internet.
2.4.7.8. Luiz Costa à Dave Russell: desafios dos modelos de nuvem.
2.4.7.8.1. Russell: todas as nuvens tem as vantagens e desvantagens. Software é um serviço de nuvem que compartilha dados com uma org particular, mas há menos potencial segregação entre múltiplos usuários do que a nuvem de infraestrutura (diferentes máquinas).
2.4.7.8.2. Russell: somos um end-point, então temos responsabilidade de prover uma plataforma segura.
2.4.7.9. Marie retoma a discussão sobre o cookie ser um dado pessoal: informações de contato são dados pessoais.
2.4.7.9.1. Brandão: cookie não é um dado identificável. A publicidade lida com dados agregados.
2.4.7.10. Freitas (moderador): uma série de cookie, uma série de logs pode montar um perfil. Protocolos podem ser quebrados. Para Russell: como funciona no caso de um vazamento em uma nuvem privada?
2.4.7.10.1. Russell: a nuvem privada está sob seu controle, estaria tudo dentro de minha organização, os dados não sairiam da rede de minha org a não ser que eu liberasse. É sobre isolamento, conter dentro de suas próprias paredes e assegurar que somente a informação que você liberar será liberada.
2.5. Painel 3 - Identidade Digital e Liberdades Públicas
2.5.1. Painel composto somente por engenheiros/especialistas técnicos
2.5.2. Prof. Geraldo de Lino Campos (USP)
2.5.2.1. Existe uma ilusão de que temos uma certa segurança, quando na verdade isso não acontece.
2.5.2.2. Extensões que bloqueiam acesso a certos sites (doubleclick.net). Listar sites proibidos → a maior parte dos sites que usamos normalmente são “monitorados”.
2.5.2.3. Localização pelo celular, acesso extraoficial a essa informação.
2.5.2.4. Cadastros da Receita Federal, Telefônica...possuem todos os dados pessoais completo. Identidade permanentemente em risco.
2.5.2.5. Brasil e sua mentalidade burocrática ajuda a ter poucos casos de roubo de identidade.
2.5.2.6. Não adianta estabelecer legislação proibindo que divulgação de informações aconteça (Receita Federal, Telefônica): não são cumpridas porque segurança da informação custa caro e é melhor do ponto de vista gerencial pagar multa do que implantar em toda a empresa um sistema de segurança da informação.
2.5.2.7. Indenizações por danos morais no Brasil são pequenas, é mais econômico pagar do que investir em segurança.
2.5.2.8. Senhas são frágeis, senhas fortes as pessoas não lembram. Recomendação de trocar sempre a senha não resolve.
2.5.2.9. Certificados para sites dependem essencialmente de um processo de criptografia onde é gerado um par de senhas (senhas pública e privada) → usado em “sites seguros” [https??], mas o arquivo que contém as senhas válidas está desprotegido no seu computador. Certificados falsos.
2.5.2.10. Certificados digitais no fundo são apenas senhas e padecem dos mesmos defeitos.
2.5.2.11. Análise de precedentes de funcionários de organizações – pessoas podem violar fisicamente os sistemas.
2.5.2.12. Como garantir sua identidade? Identificação biométrica: passível de falsificação. RFID também não garante. Identificação por DNA também inseguro.
2.5.2.13. Sem garantir nossa identidade não há como afirmar nossa identidade.
2.5.3. Rick Lamb (DNSSEC – ICANN)
2.5.3.1. Por que precisamos de identidades digitais? Conveniência, assegurar transações online…
2.5.3.2. Temos e-mail, Facebook, tokens, passaporte…
2.5.3.3. Gostaríamos de ter nelas proteção à privacidade, segurança, interoperabilidade e fácil usabilidade.
2.5.3.3.1. Proteção à privacidade: coleta e distribuição de informação estritamente necessária, safeguard, accountability, tempo limite de uso da informação, oportunidade de acessar, corrigir e deletar, registros auditáveis, limitar a habilidade de construir um perfil comportamental
2.5.3.4. Seria muito útil ter uma única credencial/identidade digital para múltiplos serviços. Comparações:
2.5.3.4.1. Facebook e redes sociais: é uma identidade digital? É bem disseminada, mas confia em um e-mail externo, pouco nível de segurança a respeito de quem as pessoas realmente são e questões de privacidade controversas.
2.5.3.4.2. E-mail é a forma mais comum de identidade digital, mas também não garante a identidade do indivíduo, vários níveis de anonimato.
2.5.3.4.3. Nome de domínio: alguma privacidade, também não há como garantir totalmente a identidade. Preocupações envolvendo a base WHOIS, não é tão disseminado quanto e-mail.
2.5.3.4.4. Ipv6: escalável, identificável, traz questões de privacidade.
2.5.3.4.5. Número de telefone: garante a identidade (existe um contrato entre o usuário e a operadora), políticas de privacidade maduras, ENUM/e164.arpa: unifica PSTN e Internet, mapeia telefone em DNS, traduz números de telefone em e-mail, web, voip… não disseminado.
2.5.3.4.6. Certificado digital: fonte de confiança tradicional na Internet, garantia média a alta de identidade, funciona entre orgs (interoperável). Usabilidade difícil.
2.5.3.4.7. Celular: disseminado, seguro, operadora garante a identidade, é uma indústria regulada.
2.5.3.4.8. Tokens: garantia média a alta, fácil de provedores acrescentarem.
2.5.3.4.9. Smart Cards: segurança criptográfica, alta garantia (Estônia já usa), difícil de viabilizar (muitas máquinas não tem leitor de cartão).
2.5.3.4.10. RFID: transparência é a chave, design de segurança de baixo a médio.
2.5.3.5. Identidades digitais tem a habilidade de limitar informação e agregação de dados. Interoperabilidade: se pudemos realizar isso com cartões de banco e ATM no mundo, por que não aqui?? Interesse de governos em construir identidades digitais. Exemplo do OpenID.
2.5.3.6. DNS e DNSSEC
2.5.3.6.1. Alinhado com a estrutura da Internet.
2.5.3.6.2. Já usado entre organizações, entre sistemas, identidade global para nomes de domínio e endereços IP.
2.5.3.6.3. Com DNSSEC é agora uma base de dados global segura.
2.5.3.6.4. Global PKI.
2.5.3.6.5. Precisa de interoperabilidade inclusive entre federações – grupos trabalhando juntos. Deve ser fácil de usar e garantir as liberdades civis.
2.5.4. Jorge Stolfi (UNICAMP)
2.5.4.1. Privacidade é um direito civil fundamental. Espaço virtual ou físico onde a pessoa está protegida da curiosidade alheia. Instrumento para proteger outros direitos fundamentais, como liberdades de expressão, de pensamento, de comunicação, de associação…
2.5.4.2. Não se pode utilizar do direito à privacidade para atividades ilícitas.
2.5.4.3. Empresas de marketing como ameaça à privacidade.
2.5.4.4. Preocupação maior com violações cometidas por governos e outras entidades como partidos políticos e organizações políticas; assim como violações da indústria de propriedade intelectual.
2.5.4.4.1. Governos e entidades políticas: exemplo da ditadura brasileira. O governo quer descobrir e punir pessoas que criticam o governo e afins. Governo tem um controle muito forte sobre redes de comunicação e dados.
2.5.4.4.2. Copyright – indústria fundada em metáforas. Seu conceito mudou depois da Internet, o serviço de produzir cópias físicas se tornou inutilizável. Novo conceito é de propriedade intelectual = cada obra é propriedade de uma determinada empresa e cada uso da obra deve ser pago à empresa. Como impor esse conceito sobre a sociedade? Isso exige uma vigilância sobre transferência de arquivos – a indústria de copyright vai contra criptografia.
2.5.4.5. Tentar cobrar do governo e tentar conscientizar a população sobre a importância do direito à privacidade, que está acima dos interesses governamentais e da indústria de copyright.
2.5.4.6. Softwares abertos e interoperáveis também ajudam nesse sentido, fica mais difícil para qualquer entidade colocar no software mecanismos de violação à privacidade. Consequência da falta de interoperabilidade = concentração da população em um serviço só. Governo poderia tornar a interoperabilidade obrigatória.
2.5.4.7. Anonimato é uma saída possível também, deveria haver uma proteção legal ao anonimato (cobrar do governo), definir esferas onde o anonimato seria permitido. Brigar pelo direito de ter canais de comunicação privativos. Leis de copyright devem servir apenas a serviços comerciais (não serem aplicadas à esfera privada). Softwares, DRM são leis, mas não devem compartilhar informações privadas do usuário.
2.5.5. Questões
2.5.5.1. Prof. Geraldo: informações fragmentadas podem ter benefícios e malefícios. Soluções técnicas passam por defeitos e qualidades. É preciso fazer equilíbrio. O maior inimigo é o Estado, pois ele quer sempre o maior poder. Criptografia como solução mais importante, assim como utilização de softwares abertos (mais confiáveis).
2.5.5.2. Pergunta do público sobre previsão de não haver mais privacidade na Internet em 2020. Prof. Jorge: espera que a previsão não se concretize e que as pessoas se deem conta da importância da privacidade. Começo de percepção por um relativo “cansaço” com o Facebook e redes afins.
2.5.5.3. Prof. Geraldo: Estado não pode ser um guardião confiável.
2.6. Painel 4 - Novas tecnologias e aplicações na saúde
2.6.1. O painel é bastante multissetorial, com um representante de cada setor: sociedade civil, acadêmico e governamental.
2.6.2. Guilherme Varella (IDEC)
2.6.2.1. Ações do IDEC sobre melhor funcionamento da Internet no país junto a ANATEL.
2.6.2.2. Campanha do IDEC (que deu certo) para vetar alguns pontos do Cadastro Positivo (reação).
2.6.2.3. IDEC tem uma das cadeiras da Soc. Civil no CGI.
2.6.2.4. Não existe uma lei de proteção de dados no Brasil → cenário complicado.
2.6.2.5. MCI ainda não aprovado, empresas cometem abusos.
2.6.2.6. PL Azeredo: ameaçou o acesso aos conteúdos na Internet, ameaçou a privacidade dos usuários, coletaram assinaturas contra o PL.
2.6.2.7. Levantamento de que muitas provedoras de Internet ferem a privacidade nos contratos com o usuário → repasse de dados à terceiros, empresa se exime de responsabilidade quanto ao tratamento desses dados.
2.6.2.8. Oi e Telefônica em parceria com a Phorm para tratamento dos dados.
2.6.2.9. Dados sensíveis: são personalíssimos e exigem máxima proteção. Saúde entendida como um segmento só (sem público e privado; ou público e privado com garantias plenas aos consumidores). Dados médicos são considerados dados sensíveis. Proteção para evitar preconceito, vazamento, etc.
2.6.2.9.1. Proteção existe na CF, Código Penal, Código Civil.
2.6.2.9.2. Conselho Federal de Medicina tenta preservar a intimidade dos pacientes, com exceção de doenças com potencial epidêmico.
2.6.2.9.3. Proteção legal dos dados médicos - Diplomas Internacionais:
2.6.2.9.4. Resolução 153/2007 da ANS
2.6.2.10. Necessidade de uma autoridade garantidora para a proteção dos dados. A ANS seria competente para isso?
2.6.2.11. Como impedir que o gerenciamento dos dados seja feito por terceiros especializados?
2.6.2.12. Precedentes de algumas ações contra a ANS (Pernambuco, Rio)
2.6.2.13. Anonimato: Como SUS (com o sistema, com o prontuário unificado, DATA SUS) e as operadoras conseguem integrar as informações e dados pessoais sem afronta à intimidade dos usuários.
2.6.2.14. Mapeamento genético: como estão essa questão de possibilidade de antecipação do diagnóstico dos pacientes? As empresas não poderão usufruir indevidamente disso? O quanto é de interesse dos pacientes saber?
2.6.2.15. Princípios para o correto tratamento dos dados:
2.6.2.15.1. Finalidade;
2.6.2.15.2. Necessidade;
2.6.2.15.3. Proporcionalidade;
2.6.2.15.4. Acesso pleno dos titulares;
2.6.2.15.5. Qualidade dos dados;
2.6.2.15.6. Transparência;
2.6.2.15.7. Segurança;
2.6.2.15.8. Boa-fé objetiva;
2.6.2.15.9. Responsabilidade;
2.6.2.15.10. Prevenção.
2.6.3. Fernando Aith (USP)
2.6.3.1. Questão de saúde: informações que dizem respeito à nossa intimidade.
2.6.3.2. Informações sobre o indivíduo podem ser usadas de maneiras discriminatórias.
2.6.3.3. Sistemas de estatísticas (óbitos, nascimentos vivos, etc.) são coletados a partir de declarações preenchidas por médicos.
2.6.3.4. Doenças de notificação compulsória (ex.: dengue) – sempre que uma pessoa for diagnosticada o médico é obrigado a notificar para esse sistema específico, e esse sistema tem que identificar a pessoa (por prevenção de a doença ser transmissível e gerar uma quarentena para esse indivíduo). Ou seja, a informação é útil ao Estado mas pode prejudicar se a exposição for vazada (a pessoa será discriminada).
2.6.3.5. Cartão Nacional de Saúde: ideia que cada cidadão tenha (seguindo o n° do PIS), onde cada atendimento vai a um prontuário eletrônico.
2.6.3.5.1. Dois grandes desafios: 1) como controlar o uso desses sistemas? Trabalhar na educação de quem opera esses sistemas e incorporar ética no dia-a-dia profissional.
2.6.3.5.2. 2) responsabilizar efetivamente (especialmente agente público), como responsabilizar quem vaza essas informações? - definir o tamanho das responsabilidades e nível de punição na regulação. Não podemos limitar a informação para o interesse público. Criar instituições de controle que não sejam puramente estatais, necessidade de participação social, conselhos democráticos.
2.6.4. Jussara Rötzsch (Ministério da Saúde)
2.6.4.1. TICs para auxiliar tanto o sistema de saúde quanto o próprio paciente (evitando erros como desencontro de informações e informações falhas em papéis).
2.6.4.2. Regulações são falhas.
2.6.4.3. Modelo de prestação de serviços de saúde é fragmentado.
2.6.4.4. Existe uma concentração no mercado (aquisições).
2.6.4.5. Consumidor como fiscalizador, quem tem que fazer as exigências sobre como deve ser o serviço de saúde.
2.6.4.6. e-saúde (metáfora do banking): o usuário ser dono de suas informações.
2.6.4.7. Bioinformática (preocupações genéticas).
2.6.4.7.1. Registro Eletrônico de Saúde: comunicação de informações sobre eventos de saúde entre diferentes profissionais e organizações (atenção primária, especializada, laboratprios farmácias, fontes pagadoras).
2.6.4.7.2. Telemedicina como serviço que está crescendo – planos oferecendo consultas virtuais.
2.6.4.7.3. Sistema de suporte à decisão clínica – mineração de dados. Dados podem ser analisados para gerar alertas, lembretes e ajudar na decisão em tempo real.
2.6.4.7.4. Medicina Baseada em Evidência: Aplicação do método científico na prática médica; Checando se o diagnóstico e procedimentos estão alinhados com a evidência científica; Os dados são mantidos atualizados.
2.6.4.7.5. Portais de Informação centrada no paciente
2.6.4.7.6. Gestão de Conhecimento em Saúde
2.6.4.7.7. Equipes virtuais de saúde: colaboram ou trocam informação através de dispositivos móveis (para atenção integral)
2.6.4.8. Benefícios da e-Saúde: melhores decisões clínicas, acesso remoto aos dados, etc.
2.6.4.9. RES-AI
2.6.4.9.1. Dois tipos de registro
2.6.4.10. Registro controlado pelo paciente, que ele dê acesso aos profissionais de saúde – tendência mundial.
2.6.4.11. Por que a e-Saúde ainda não é realidade? Problemas complexos de regulação, dificuldade de abandonar registros em papel, guarda dos dados, regra de privacidade, custos de implantação desse sistema, resistência de profissionais de saúde, falta de padrões de interoperabilidade, potencial de erros e bugs, sistemas muitos dependentes.
2.6.4.12. Terceirização da transcrição e armazenamento de informações identificadas em saúde configura quebra do sigilo e da confidencialidade.
2.6.4.13. O governo é responsável por guardar as informações do cidadão?
2.6.4.14. Diferenciar segurança e privacidade.
2.6.5. Questões
2.6.5.1. Jussara Rötzsch: preocupação mundial sobre como o paciente dá o consentimento para compartilhar os dados com o profissional de saúde. Um ortopesdista poderia ver infos sobre a saúde mental, por exemplo? Países como a Austrália usam o opt-out, Brasil utilizaria (em teoria) o opt-in. Os médicos acham que eles teriam direito ao prontuário completo do paciente, mas não é o projeto brasileiro: o paciente determina quem tem acesso aos dados. No Brasil ainda não existe um bloqueio de parte do prontuário.
2.6.5.2. Guilherme Varella: deve-se recorrer à ANS, ela é a agência reguladora.
2.7. Painel 5 - Anteprojeto da Lei de Proteção de Dados
2.7.1. O painel é majoritariamente governamental, com apenas um representante acadêmico, embora dois palestrantes afirmem estarem falando em caráter pessoal e não institucional.
2.7.2. Danilo Doneda (Ministério da Justiça / Justice Ministry)
2.7.2.1. Anteprojeto de autoria de um grupo de pessoas - levado à consulta pública
2.7.2.2. Problema de proteção de dados se iniciou na proteção ao consumidor - exigência de padrões mais desenvolvidos no âmbito jurídico. Ex.: lei do cadastro positivo.
2.7.2.3. Histórico do anteprojeto: 2005 SGT13 Mercosul (GT sobre Comércio Eletrônico) - proposta argentina
2.7.2.4. Pilares do anteprojeto
2.7.2.4.1. Assegurar a liberdade do cidadão é o foco principal. Poder manter controle efetivo, ter decisões autônomas sobre seus dados pessoais é pressuposto na sociedade da informação.
2.7.2.4.2. Compensar a assimetria informacional causada pelo intenso uso de dados pessoais. (big data)
2.7.2.4.3. Favorecer o fluxo de dados pessoais entre entidades que respeitem as garantias do cidadãos sobre seus próprios dados.
2.7.2.5. Marco regulatório da Sociedade da Informação - vão modernizar o quadro jurídico brasileiro. Não é possível pensar um sem o outro.
2.7.2.5.1. Proteção de Dados Pessoais
2.7.2.5.2. Marco Civil da Internet
2.7.2.5.3. Lei de Acesso à Informação Pública
2.7.2.5.4. Lei de Direito de Autor
2.7.2.6. Mapa identificando quais países possuem leis de proteção de dados
2.7.2.6.1. Am. Latina como a nova fronteira da proteção de dados - vários países aprovando leis e Brasil em processo...
2.7.2.7. Renovação dos padrões de proteção de dados
2.7.2.7.1. Diretivas europeias (Privacy Directive e e-Privacy Directive)
2.7.2.7.2. Convenção n. 108 do Conselho da Europa
2.7.2.7.3. Linhas-guia da OCDE
2.7.2.7.4. Propositura de leis gerais e setoriais nos Estados Unidos
2.7.2.8. Temas em discussão
2.7.2.8.1. consentimento
2.7.2.8.2. transferência internacional
2.7.2.8.3. autoridade de garantia
2.7.2.8.4. minimização de dados
2.7.2.8.5. privacy by design
2.7.2.8.6. cloud computing (computação em nuvem)
2.7.3. Bruno Magrani (CTS/FGV-Rio)
2.7.3.1. Avisa que está falando em posição pessoal, nem do Ministério ou da FGV
2.7.3.2. Cloud computing
2.7.3.2.1. processamento dos dados é realizado em um servidor central em qualquer lugar do mundo
2.7.3.2.2. transferência internacional de dados
2.7.4. Luiz Costa (MPF)
2.7.4.1. Não fala pelo MPF, mas fala em caráter pessoal
2.7.4.1.1. mas o MPF apoia o anteprojeto e a promulgação da lei
2.7.4.2. Diretiva da UE está em revisão, Conselho da Europa também, discussões nos EUA... é um momento para debate, sem o Brasil estar em uma discussão datada.
2.7.4.2.1. o que é um dado pessoal? Pesquisa de 1997 usa 3 dados: gênero, CEP e data de nascimento - já conseguia identificar individualmente 87% da população dos EUA.
2.7.4.2.2. momento de reflexão para proteção de dados - não só pessoais. avançar no tema de proteção de dados de uma maneira mais ampla.
2.7.4.3. Momento de pensar em novos princípios que deem uma proteção efetiva à pessoa e aos dados.
2.7.4.3.1. pensar na proteção do perfil - algo construído a partir de técnicas, de identificar traços comuns (estatísticas).
2.7.4.4. Questão do consentimento
2.7.4.4.1. condições são muitas vezes injustas
2.7.4.4.2. dizer "não" te deixa excluído da sociedade da informação
2.7.4.4.3. como graduar o exercício desse consentimento - novos princípios, novos direitos
2.7.4.5. Relações assimétricas de poder na sociedade
2.7.4.5.1. preocupação com exceções no anteprojeto previstas em favor do Estado - precisam ser muito bem analisadas
2.7.4.6. Tutela administrativa
2.7.4.6.1. fundamental ter uma Autoridade forte e independente
2.7.5. Questões
2.7.5.1. Marcel Leonardi: sobre minimização de dados, qual é a definição de necessário dependendo da publicidade? Como restringir a contratação do usuário brasileiro de serviços no exterior?
2.7.5.1.1. Resposta Doneda: a proposta não é matar nenhum serviço, mas trabalhar uma cultura de que a informação pessoal é importante...o tratamento deve obedecer regras mínimas. O que deve ser legitimamente tratado e o que não deve ser tocado para que a pessoa mantenha alguma autonomia sobre sua própria vida.
2.7.5.1.2. Resposta Magrani: como permitir a transferência internacional (e não proibir a contratação dos serviços).
2.7.5.2. Sobre transferência de dados entre países: existe norma como ABNT que já tem aderência mundial que trata da segurança da informação.
2.7.5.3. Magali Pazzelo: como o anteprojeto trata do recolhimento de dados biométricos por agentes como pequenas empresas (academias que coletam as digitais por ex)
2.7.5.3.1. Resposta Doneda: o dado biométrico é um dado sensível. No Brasil há uma ideia de se ligar o dado biométrico com mais segurança, oposto a outros países onde o dado biométrico é visto com mais desconfiança. O anteprojeto prevê um tratamento maior a esse tipo de dado, tanto pelo setor privado quanto público.
2.7.5.4. Marie: cloud computing - se não há proteção de efeito similar, o serviço brasileiro pode pedir uma avaliação do serviço terceirizado que processa os dados. Alguns países determinam a localização dos dados. E sobre obter seus dados de volta, a legislação deve especificar a interoperabilidade dos dados. Portanto, há soluções no curto prazo, mas no longo prazo exige mais reflexões.
2.8. DADOS QUANTITATIVOS 2011
2.8.1. Total de 6 painéis: 5 painéis e 1 palestra-magna, além de abertura e encerramento.
2.8.2. Participação dos stakeholders
2.8.2.1. 6 representantes governamentais (sendo que dois deles participaram de duas mesas cada);
2.8.2.2. 3 representantes empresariais;
2.8.2.3. 7 representantes do terceiro setor;
2.8.2.4. 9 representantes da academia.
3. 2012
3.1. Abertura
3.1.1. Hartmut Glaser, CGI.br
3.1.1.1. fala brevemente das atividades do CGI
3.1.2. Demi Getschko, NIC.br
3.1.2.1. assunto da privacidade no momento certo, casando muito bem com o MCI
3.1.2.2. privacidade como dependente do contexto em que estamos
3.1.3. Marcel Leonardi, Google
3.1.3.1. situações onde as pessoas fornecem dados sem perceberem o futuro uso dos mesmos, criação de banco de dados, etc.
3.1.3.2. como fornecer um sistema equilibrado, que tenha um patamar mínimo de privacidade?
3.1.4. Luiz Costa, MPF
3.1.4.1. Seminários foi idealizado em 2010
3.1.4.2. Falando em caráter pessoal, elogia o modelo multissetorial do CGI
3.1.4.3. Relembra os temas discutidos nos anos anteriores
3.1.4.4. Brasil convidado pela Europa a tomar parte na Convenção 108, onde o Seminário foi citado como exemplo de um espaço de qualidade para disseminação do tema da privacidade e proteção dos dados pessoais.
3.2. Palestra Magna – Panorama regulatório da privacidade no Brasil
3.2.1. Luiz Costa, MPF
3.2.1.1. obrigações internacionais dos quais o Brasil faz parte, como a Convenção Interamericana de Direitos Humanos
3.2.1.1.1. status supra-legal
3.2.1.2. Constituição Federal, art.5
3.2.1.3. Privacidade é contextual
3.2.1.4. Código civil
3.2.1.5. CDC como ponto de virada na história legislativa brasileira
3.2.1.5.1. existem sistemas de informação que tratam dos dados, demandando uma proteção especial. Proteção de bases de dados (dados cadastrais)
3.2.1.6. Lei de proteção relativa ao crédito, 2011
3.2.1.6.1. veda o tratamento de dados sensíveis
3.2.1.6.2. propõe o princípio da finalidade
3.2.1.7. Lei de Acesso à Informação
3.2.1.7.1. direito de acesso x proteção da privacidade
3.2.1.8. juridicamente, consentimento é a expressão da vontade, pressupondo relações simétricas
3.2.1.8.1. será que essas relações legais no contexto da proteção de dados, são simétricas?
3.2.1.8.2. eu tenho condições de negociar esses termos?
3.2.1.9. falta conhecimento sobre o funcionamento dos sistemas - responsabilidade social
3.2.1.10. projetos no Brasil
3.2.1.10.1. MCI
3.2.1.10.2. anteprojeto de dados pessoais
3.2.1.10.3. se atentar a dicotomia público-privado
3.2.1.10.4. se atentar os princípios que vão regulamentar essas propostas
3.2.1.10.5. fluxo internacional de dados é um assunto fundamental
3.2.1.10.6. existência de uma autoridade de proteção
3.2.1.11. colocar em foco a proteção da pessoa
3.3. Palestra I - Direito é privacidade do consumidor
3.3.1. Luiz Costa, MPF (moderador)
3.3.2. Caitlin Fennessy, Departamento de Comércio dos EUA
3.3.2.1. relações comerciais Brasil-EUA
3.3.2.2. ambos países prezam pelo diálogo multissetorial
3.3.2.3. A configuração da privacidade nos EUA
3.3.2.3.1. há similaridades com o Brasil
3.3.2.3.2. Proteções de Privacidade Comercial
3.3.2.3.3. Proteções de Privacidade do Setor Público
3.3.2.4. Plano do governo Obama para proteção de dados
3.3.2.4.1. Divulgado em 23 de fevereiro de 2012
3.3.2.4.2. I.Uma Declaração dos Direitos de Privacidade do Consumidor
3.3.2.4.3. II.Um Processo Multistakeholder para Desenvolver Códigos de Conduta de Privacidade Aplicáveis
3.3.2.4.4. III.Com base no Conhecimento da FTC
3.3.2.4.5. IV.Promovendo Interoperabilidade Internacional
3.3.2.5. Benefícios
3.3.2.5.1. Pontualidade: Frequentemente desenvolvida mais rápida que a regulamentação governamental, fornecendo proteção primeiro.
3.3.2.5.2. Especialidade: Desenvolvimento pelos mais próximos às práticas de informação
3.3.2.5.3. Adaptabilidade: Permite a reação da indústria sobre mudanças tecnológicas
3.3.2.5.4. Amigável ao mercado: evita barreiras comerciais
3.3.2.5.5. Alcance: Pode expandir implementação das capacidades de autoridade
3.3.2.6. Desafios
3.3.2.6.1. Responsabilidade: desafio de garantir privacidade é aprimorado na prática, e não apenas em teoria
3.3.2.6.2. Participação: Apoio da indústria e aderência são vitais, mas podem ser difíceis de serem obtidos
3.3.2.6.3. Acordo: os interesses da indústria, do consumidor e do governo nem sempre estão alinhados
3.3.2.6.4. Legitimidade: percepção de que o interesse da indústia está ampliando o acesso aos dados
3.3.2.7. Diretrizes de Privacidade da OCDE
3.3.2.7.1. Estabelecimento de um conjunto de princípios sobre práticas de informação (FIPPs)
3.3.2.7.2. Reconhecimento precoce da necessidade de fluxo de dados transfronteiras para habilitar comércio internacional
3.3.2.8. Estrutura Safe Harbor (acordo bilteral)
3.3.2.8.1. Código de conduta feito para atender os requisitos da Diretiva de Proteção de Dados da UE
3.3.2.8.2. Participação voluntária de mais de 3.500 empresas
3.3.2.8.3. Implementada pela Comissão Federal de Comércio
3.3.2.9. Regras de Privacidade Transfronteiras da APEC (CBPRs) (acordo multilateral)
3.3.2.9.1. As 21 economias APEC possuem várias abordagens para proteger dados pessoais coletados em transações eletrônicas dentro de suas jurisdições
3.3.2.9.2. convida o Brasil a participar do próx encontro como observador
3.3.2.10. Implementação deveria ser exercida pelo setor público, mas o setor privado poderia intermediar alguns casos.
3.3.3. Pablo Palazzi, Argentina, advogado
3.3.3.1. Privacidade de dados na América Latina
3.3.3.1.1. da privaciade para a proteção de dados
3.3.3.1.2. 8 de 21 países com leis de proteção de dados ou regulações similares ao modelo europeu
3.3.3.2. Evolução da privacidade de dados e habeas data na América Latina
3.3.3.2.1. primeiro estágio (1988-1998): habeas data reconhecido como um direito fundamental
3.3.3.2.2. segundo estágio (1999-2011): leis de proteção de dados
3.3.3.2.3. terceiro estágio: harmonização regional? novo modelo de proteção de dados?
3.3.3.3. Liderança da UE na América Latina
3.3.3.3.1. adequação argentina
3.3.3.3.2. 1999 Chile - primeira lei na América Latina
3.3.3.3.3. diferente da Europa, não há autoridades independentes
3.3.3.4. Modelo UE x modelo EUA
3.3.3.4.1. civil law x common law
3.3.3.4.2. abordagem geral x abordagem setorial
3.3.3.4.3. direitos constitucionais: enforcement x govt and private parties
3.3.3.4.4. abordagem market driven x abordagem regulatória
3.3.3.4.5. influência no mercado digital
3.3.3.4.6. políticas de privacidade autoradas pelas empresas x políticas impostas pelo governo
3.3.3.5. Qual é a abordagem certa para a América Latina?
3.3.4. Questões
3.3.4.1. extensão do Ato Patriótico não contradiz com o modelo de privacidade do país?
3.3.4.1.1. Caitlin: a abordagem é bifurcada em modelo para o setor privado e modelo para o setor público. Mas há regras e passos que o governo deve seguir para acessar informações do setor privado. Há até similaridades com os processos feitos na UE.
3.4. ROUNDTABLE 1 - Economia Digital e Privacidade
3.4.1. Marcel Leonardi, Google (moderador)
3.4.1.1. privacidade como conceito amplo
3.4.1.2. será que as plataformas permitem os controles previstos em lei?
3.4.1.3. comenta sobre a unificação dos termos de privacidade do Google
3.4.1.3.1. muitos usuários descobriram com isso a existência de registros que podem ser excluídos
3.4.1.4. economia digital: usuário acostumou com serviços financeiramente gratuitos em troca de publicidade
3.4.2. Cassio Vecchiatti, FIESP
3.4.2.1. criar condições para que haja educação para o uso da Internet
3.4.2.2. misto de legislação específica, código de ética e manutenção da liberdade da Internet
3.4.2.3. defende discussões multissetoriais
3.4.3. Veridiana Alimonti, IDEC
3.4.3.1. como fica a defesa dos consumidores no mundo digital?
3.4.3.2. Redimensionamento do consumidor
3.4.3.2.1. antes era mais passiva, agora o consumidor fornece informações
3.4.3.3. já exisitiam uma série de problemas, como a falta de proteção especial aos dados sensíveis
3.4.3.4. ausência de lei de proteção de dados no Brasil, MCI não aprovado ainda
3.4.3.4.1. Empresas já cometem abusos com relação ao direito à privacidade e proteção dos dados
3.4.3.5. violações dos grandes provedores
3.4.3.5.1. contratos que infringem direito fundamental à privacidade e proteção de dados
3.4.3.5.2. repasse indevido de dados a terceiros (parceiros comerciais)
3.4.3.5.3. empresas que se eximem da responsabilidade de tratamento adequado dos dados
3.4.3.6. Phorm
3.4.3.6.1. software de monitoramento da navegação do usuário
3.4.3.6.2. tem acordos com Telefônica, Vivo e Oi
3.4.3.6.3. Resolução CGI 2012/008
3.4.3.7. direito a informação relevante para que o consumidor possa avaliar o serviço contratado
3.4.3.8. princípio da autodeterminação
3.4.3.8.1. o titular dos dados é a pessoa, não a empresa
3.4.3.8.2. pessoa deve ter o controle sobre seus dados
3.4.3.9. Art.7 do MCI
3.4.4. Luiz Fernando Martins Castro, IBDI
3.4.4.1. pode existir opacidade na web?
3.4.4.2. privacidade=autonomia e dignidade pessoal
3.4.4.2.1. democracia ocidental
3.4.4.3. privacidade não é um direito absoluto - convive com outros direitos
3.4.4.4. jurisprudência americana - teoria da terceira pessoa (USA x Miller)
3.4.4.4.1. o cidadão que divulga suas informações à terceiros, não pode ter expectativa razoável de privacidade
3.4.4.5. geração "nativos digitais"
3.4.4.5.1. primeira geração a enfrentar o efeito agregado dos dados, do mundo sem privacidade
3.4.4.6. Internet como ambiente de socialização
3.4.4.7. o que é privacidade na economia digital?
3.4.5. Laura Fragomeni, Mercado Livre
3.4.5.1. crescimento do mercado eletrônico no Brasil
3.4.5.2. O MercadoLivre é signatário do Programa de Privacidade TRUSTe ("TRUSTe Privacy Program")
3.4.5.3. TRUSTe é uma organização sem fins lucrativos que promove a aplicação de políticas relativas à informação justa e razoável
3.4.5.4. Através do TRUSTe Privacy Program, demonstra-se o compromisso com a proteção da privacidade dos utilizadores do MercadoLivre, a saber que suas práticas e políticas serão periodicamente revisadas por TRUSTe.
3.4.5.5. Privacidade como conceito subjetivo
3.4.5.5.1. cultura do brasileiro muito distinta da cultura europeia. Temos que descobrir o que funciona no Brasil
3.4.5.6. o que é considerado um dado pessoal?
3.4.5.7. usuários devem ter informações transparentes, claras e objetivas
3.4.5.8. Legislação – Criação de regras claras de responsabilidade no tratamento são imprescindíveis para garantir a proteção aos dados pessoais sem comprometer, por outro lado, a livre circulação de informações, o sigilo e a inovação tecnológica.
3.4.5.9. desafios do anteprojeto de dados pessoais
3.4.5.9.1. Não diferencia o tratamento de dados realizado pelo Poder Público do tratamento realizado pela iniciativa privada
3.4.5.9.2. Determina a necessidade de renovação do consentimento de uso do dado pessoal, mas não prevê tal periodicidade
3.4.5.9.3. Cria uma Autoridade de Garantia e o Conselho Nacional de Proteção de Dados Pessoais para a fiscalização e cumprimento da Lei para o tratamento de dados pessoais, o que coíbe a Autorregulamentação das empresas privadas/mercado.
3.4.6. Leonardo Palhares, Camara E-net
3.4.6.1. há movimentos estaduais que tentam legislar atividades comerciais
3.4.6.1.1. pensar em como a legislação deve ser feita para fomentar desenvolvimento das atividades
3.4.6.1.2. forte problema de legislar pelas exceções
3.4.6.2. uma lei de proteção de dados deve estabelecer regras gerais e praticáveis por todos
3.4.6.2.1. priorizar discussões principiológicas
3.4.6.3. necessidade de informações claras, objetivas, diretas
3.4.6.3.1. termos de uso hoje não são inteligíveis
3.4.6.4. pensar o desenvolvimento para que o usuário tenhas novas experiências, novos aprendizados
3.4.6.4.1. desenvolvimento da economia digital sustentável
3.4.6.4.2. geolocalização como novidade
3.4.6.5. consentimento/autorização bem dada, assim como a "desautorização" - ferramentas que simplifiquem isso
3.4.7. Questões
3.4.7.1. Veridiana: custo de fornecer informações claras é um custo necessário. Embora termos de adequar legislações ao nosso contexto, modelos estrangeiros trazem experiências interessantes. É importante que legislação estabeleça limites, assim como a educação do usuário
3.4.7.2. Leonardo: quando o CDC foi criado, o consumidor não conhecia seus direitos. Hoje o cenário é diferente. A criação de canais e a solidificação do consumerismo criaram a figura do novo consumidor, o consumidor da economia digital. O consumidor pode ser instruído para ter voz dentro das novas próprias tecnologias.
3.4.7.3. Laura: devemos sim estabelecer parâmetros mínimos, mas de nada adianta criar normas claras se não tivermos uma cultura, se não tivermos um trabalho efetivo de educação. Educação deve ser tanto do empresariado quanto do consumidor.
3.4.7.4. Cassio: autorregulação aceleraria processos para que o empresariado cumprisse as normas combinadas, já que leis acabam se tornando processos muito lentos.
3.4.7.5. Demi: associação de CPFs a nomes, oposto ao anonimato. Agregação de informações para determinar uma pessoa, identificá-la.
3.4.7.5.1. Luiz Fernando: há uma cultura brasileira de medo do uso do CPF, de alguém se passar por você e realizar operações, etc. No mundo como ele é, seria muito difícil educar, fazer códigos de conduta, etc. O problema dos governantes brasileiros não darem nenhum incentivo à educação.
3.4.7.6. Marcel: como o IDEC enxerga a questão da publicidade direcionada?
3.4.7.6.1. Veridiana: ainda sobre o CPF, questionar a importância desse dado para o serviço requisitado (finalidade). Sobre autorregulação, existem tópicos que ficam muito aquém do necessário no mercado. Sobre publicidade direcionada, o IDEC tem uma postura negativa quanto a essa prática, porque é uma prática ainda muito obscura, muitas pessoas ainda não sabem da existência disso, existe pouca informação sobre isso nos serviços gratuitamente utilizados.
3.4.7.7. Luiz Fernando: questionamento de deputado sobre as mudanças de políticas de privacidade do Google. Todas as circunstâncias que envolvam tratamento de dados deve ser explicitado ao usuário, na língua pátria. Não deve ser aceito que essa informação esteja disponível apenas em páginas secundárias. Deve existir um canal de fácil acesso onde o usuário pode ver, corrigir e excluir suas informações. Conceito de boa fé objetiva: "tem graça" o Google fornecer tantos serviços bons e não ganhar dinheiro com isso? O bom senso há de permear e geralmente o bom senso nasce do conflito.
3.4.7.7.1. Cassio: Google poderia esclarecer - ou o usuário aceita serviço pela publicidade ou ele é encaminhado à compra dos serviços do Google para ter privacidade.
3.4.7.8. Laura: exemplo da autorregulamentação do spam, que funciona. É um passo para se caminhar, já que envolveu o CGI e não apenas empresas privadas.
3.4.7.8.1. Luiz Fernando: mas quem fez a autorregulamentação foram as empresas mais desenvolvidas, que não precisam mais fazer spam.
3.4.7.9. Leonardo: recorda o Fórum do Comércio Eletrônico que reuniu diversos stakeholders, que concluiu que o diálogo é possível. A legislação tem que fixar os princípios, a interpretação vem da discussão.
3.4.7.9.1. Luiz Fernando: a autorregulação precisa de motivação das reclamações e dos problemas para acontecer, ela não parte da boa vontade dos homens.
3.4.7.9.2. Veridiana: por isso a Autoridade prevista no anteprojeto de dados pessoais é tão necessária.
3.5. Palestra II - Equilíbrio entre Acesso à Informação Pública e Privacidade
3.5.1. Carlinhos Cecconi, CGI.br (moderador)
3.5.2. Renato Capanema, CGU (governo)
3.5.2.1. Proteção de dados pessoais sob a perspectiva da LAI
3.5.2.1.1. conceito de informação pessoal
3.5.2.1.2. Lei Nº12.527/2011: Lei de Acesso à Informação
3.5.2.1.3. Informações públicas
3.5.2.1.4. Informações pessoais
3.5.2.1.5. Situações em que é possível o acesso a informações pessoais, independentemente do consentimento do titular:
3.5.2.1.6. É comum que após uma aprovação de lei de acesso à informação, países busquem uma normativa de dados pessoais, como foi o caso do México.
3.5.2.1.7. EUA: tende a prevalecer o princípio da publicidade quando a informação estiver relacionada com a fiscalização pública da atividade administrativa. Por isso, quando são feitas solicitações de informações relacionadas a empregados públicos, muitas vezes o princípio da proteção da intimidade e vida privada é mitigado
3.5.2.1.8. Conclusões
3.5.3. Vagner Diniz, W3C (terceiro setor)
3.5.3.1. dados abertos
3.5.3.2. LAI: sancionada em 2011, entra em vigor em 2012. Passou por debates com a sociedade civil.
3.5.3.2.1. até então, o cidadão tinha a possibilidade de obter a informação que o governo poderia atender ou não, dentro de qualquer prazo. Com a LAI isso acabou, porque o ente público passou a ser obrigado a atender o pedido do cidadão. A informação solicitada não pode ser negada, exceto em casos muito restritos.
3.5.3.2.2. Tem mudado a cultura dentro do governo federal, no sentido de que o interesse coletivo prepondera sobre o interesse particular
3.5.3.3. Recentemente o governo britânico também introduziu a questão de dados abertos na sua legislação. Mas a lei brasileira foi a primeira a obrigar órgãos públicos a publicar certas informações
3.5.3.3.1. a LAI ainda determina que as informações possam ser baixadas em formatos abertos, que não dependa de softwares específicos
3.5.3.4. Dados governamentais abertos é a disponibilização de informações governamentais representadas em formato aberto e acessível de tal modo que possam ser reutilizadas, misturadas com informações de outras fontes, gerando novos significados.
3.5.3.4.1. uma nova plataforma de e-governo
3.5.3.4.2. cidadão possa consumir esses dados de acordo com seus interesses
3.5.3.5. necessidade de desenvolver cada ator da cadeia de dados abertos
3.5.3.5.1. especialmente o que desenvolve o marco regulatório
3.5.3.5.2. ainda não começamos a falar de licença de dados
3.5.3.5.3. o anteprojeto de dados pessoais e o MCI já começam a cobrir esses tópicos - é preciso consciência e participação da sociedade civil
3.5.4. Cecile de Terwangne, FUNDP, Bélgica (academia) [registro em vídeo incompleto]
3.5.4.1. O exercício de direto ao acesso de documentos oficiais - promove a integridade, a eficiência e a responsabilização das autoridades públicas
3.5.4.1.1. permite o conhecimento do público
3.5.4.1.2. permite a participação do público
3.5.4.1.3. permite o controle do público
3.5.4.2. Convenção do Conselho da Europa sobre Acesso a Documentos Oficiais, 18 de junho de 2009
3.5.4.2.1. Ligação com liberdade de expressão
3.5.4.3. Publicidade é o princípio / segredo é a exceção
3.6. Palestra Magna II – Marco Civil da Internet
3.6.1. Moderador: Carlos Afonso (CGI.br)
3.6.2. Deputado Alessandro Molon (governo)
3.6.2.1. os acertos do MCI estão sendo entraves para sua aprovação
3.6.2.2. MCI nasceu em reação à projetos de lei que criminalizavam condutas na Internet
3.6.2.3. Pilares do MCI
3.6.2.3.1. proteção da privacidade
3.6.2.3.2. garantia da neutralidade da rede
3.6.2.3.3. fortalecimento da liberdade de expressão
3.6.2.4. expectativa de contribuir em nível mundial para os avanços da Internet
3.7. Palestra III - Política de privacidade nas redes sociais
3.7.1. Carlos Afonso, CGI.br (moderador)
3.7.1.1. o cenário da exposição voluntária de informações pessoais nas redes sociais
3.7.2. Marcel Leonardi, Google
3.7.2.1. Google usa informação para fornecer serviços e outras informações relevantes para o usuário
3.7.2.2. Exemplos de serviços de utilidade pública, como monitoramento de doenças, tradução, etc.
3.7.2.3. Google+
3.7.2.3.1. privacidade baseada em círculos, controles diferenciados de compartilhamento
3.7.2.4. Preocupação em desenvolver um produto respeitando regulações desde o início
3.7.2.5. Tornar a coleta de informações transparente
3.7.2.5.1. por isso o Google unificou os termos de serviço e informações do usuário
3.7.2.6. Alterações no YouTube
3.7.2.6.1. vídeos privado e não-listado
3.7.2.7. Relatórios de Transparência
3.7.2.7.1. requisições de fornecimento de dados e remoção de conteúdo
3.7.2.7.2. Respeito ao MCI (fornecer dados apenas mediante ação judicial)
3.7.2.8. Fornecer ao usuário escolhas significativas para proteção da privacidade
3.7.2.8.1. Painel de controle (dashboard)
3.7.2.9. Portabilidade dos dados
3.7.2.9.1. Google Takeout
3.7.2.10. Busca com SSL
3.7.2.10.1. criptografia
3.7.2.11. Verificação de 2 passos
3.7.2.12. Campanha de marketing para educação do usuário
3.7.3. Flavia Lefevre, Proteste
3.7.3.1. Estamos em um momento em que as pessoas querem se mostrar
3.7.3.2. Internet como espaço propício em promover mobilizações
3.7.3.3. Desafio: como regular esse espaço sem restringir os ganhos que a Internet dá?
3.7.3.4. Questão das infraestruturas de telecomunicações
3.7.3.4.1. o Estado não poderia privatizar as redes
3.7.3.4.2. o governo deve cumprir o que está na LGT: a infraestrutura pertence ao regime público, assim princípios do MCI e do anteprojeto de lei de proteção de dados poderão vigorar.
3.7.3.5. Preocupação com o futuro do MCI e do anteprojeto de proteção de dados
3.7.3.5.1. setores pressionarem para aprovação desses projetos
3.7.3.6. Momento de desconstrução grave referente à infraestrutura pública das redes
3.7.4. Miriam von Zuben, CERT.br
3.7.4.1. cartilha de segurança para redes sociais
3.7.4.2. dificuldade de determinar o que são características das redes sociais e o que são riscos
3.7.4.3. dificuldade de exclusão de informações e de controle sobre informações
3.7.4.4. privacidade deixou de ser algo individual
3.7.4.4.1. não adianta um usuário restringir se os amigos divulgam
3.7.4.5. mudanças de políticas de privacidade
3.7.4.5.1. sem aviso prévio
3.7.4.6. permissões concedidas a aplicações
3.7.4.6.1. podem se sobrepor a outras permissões
3.7.4.7. invasão de contas
3.7.4.8. criação de perfis falsos
3.7.4.9. phishing
3.7.4.9.1. spear phishing = códigos maliciosos mais específicos
3.7.4.10. necessidade de maior bom senso, cuidado com senhas, não postar imagens sem autorização, localização, etc.
3.7.5. João Paulo Pesce, DCC-UFMG
3.7.6. Questões
3.7.6.1. Como o judiciário vem se portando quanto a responsabilização dos provedores de serviço...como o Google vê essa questão?
3.7.6.1.1. Marcel: Brasil teve decretado o fim da lei de imprensa, desde então ficou um pouco de limbo jurídico. O MCI é um bom caminho por encaminhar o entendimento de que os intermediários não são diretamente responsáveis pelos conteúdos postados. É humanamente impossível as plataformas terem um tipo de controle editorial.
3.7.6.2. Quais dados ou como as corporações configuram a identidade do usuário?
3.7.6.2.1. Marcel: questão da escolha do usuário, do quanto ele disponibiliza na Internet estará atrelado à sua identidade.
3.8. ROUNDTABLE 2 - Novos instrumentos de proteção à privacidade
3.8.1. Raquel Gatto, NIC.br (moderador)
3.8.2. Alexandre Pacheco, FGV-SP
3.8.2.1. Tecnologias de rastreamento de dados
3.8.2.1.1. cookies, DPI, etc.
3.8.2.1.2. diferencial da publicidade online
3.8.2.1.3. o anteprojeto de proteção de dados tem uma visão única sobre essas tecnologias, quando na verdade é algo plural -> variedade de coleta de dados
3.8.2.2. Publicidade online
3.8.2.2.1. há uma relação de dependência entre a oferta de serviços e conteúdos na Internet e a publicidade online
3.8.2.2.2. Instrumentos de proteção de dados pessoais não podem ser orientados por uma lógica única, especialmente pela lógica de notificação e consentimento.
3.8.2.3. Configurações de navegação
3.8.2.3.1. usuário orientar o que ele quer e entender como sua informação está sendo apropriada
3.8.2.3.2. por formatos gráficos, programas indicam como as informações estão sendo compartilhadas (Mozilla)
3.8.2.3.3. Chrome: janela anônima
3.8.2.3.4. Safari: navegação privada
3.8.2.3.5. Firefox: private browsing
3.8.2.4. Privad
3.8.2.4.1. quais atores atuam na publicidade comportamental
3.8.2.4.2. Há uma mudança no momento da coleta e no tratamento da informação. Contudo, quem será o responsável pela filtragem? O Estado? Empresas? ONGs?
3.8.2.5. A proteção de dados pessoais na web deve caminhar para o aprimoramento de filtros tecnológicos que preservem a experiência de navegação do usuário
3.8.3. Vitor Hugo das Dores Freitas, OAB/SP
3.8.3.1. Apoio da comissão da OAB ao projeto do MCI
3.8.3.2. Privacidade
3.8.3.2.1. 1890
3.8.3.2.2. Direito subjetivo ou objetivo, a depender de definições de juristas
3.8.3.3. Dados
3.8.3.3.1. informações processadas e analisadas pelo homem, de forma eletrônica
3.8.3.3.2. dados pessoais = Diretiva Conselho da Europa - informação relativa a pessoa identificada ou identificável
3.8.3.3.3. dados sensíveis - correspondem à intimidade e precisam de autorização
3.8.3.3.4. dados não sensíveis - não precisam de autorização
3.8.3.3.5. proibidos
3.8.3.4. Legislação projetada
3.8.3.4.1. Câmara dos Deputados tem vários projetos
3.8.3.4.2. já havia projeto requisitando dados cadastrais de usuários da Internet, nos crimes cuja investigação estivesse a cargo da PF
3.8.3.4.3. Projetos sem discussão com a sociedade, como foi o MCI
3.8.4. Henrique Faulhaber, CGI.br
3.8.4.1. riscos de segurança para os negócios
3.8.4.1.1. computação em nuvem, por exemplo, não cresce tanto no Brasil como em outros países
3.8.4.1.2. falta de marco legal não traz segurança para as empresas
3.8.4.2. exemplo do SPAM: articulação com setores para soluções tecnológicas
3.8.5. Luiz Costa, MPF
3.8.5.1. princípio da autodeterminação informacional - reconhecido originalmente por um tribunal alemão
3.8.5.2. problemática do consentimento
3.8.6. Danilo Doneda, Ministério da Justiça
3.8.6.1. Seminários como ato de pioneirismo, que será lembrado quanto tivermos uma legislação de proteção de dados. Importância de instituições que constituem esse espaço.
3.8.6.2. Em 2010, não havia LAI por exemplo. Regulamentações não previam princípios...
3.8.6.3. Houve uma internalização de várias discussões na sociedade
3.8.6.3.1. De 2010 até aqui houve uma maturação dos temas.
3.8.6.3.2. Os problemas dos dados pessoais estão mais perceptíveis para o próprio cidadão.
3.8.6.4. Lei do Cadastro Positivo - contém princípios previstos para a LGPD
3.8.6.5. Via do controle é o meio-termo nesse cenário: o usuário pode determinar o que ele quer compartilhar e o que não quer
3.9. DADOS QUANTITATIVOS 2012
3.9.1. Total de 7 painéis: duas palestras magnas, três palestras e duas mesas-redondas, além dos painéis de abertura e encerramento
3.9.2. Participação dos stakeholders
3.9.2.1. 5 representantes governamentais (sendo que um deles participou de quatro mesas);
3.9.2.2. 4 representantes empresariais (sendo que um deles esteve presente em três mesas);
3.9.2.3. 12 representantes do terceiro setor (sendo que um deles participou de duas mesas);
3.9.2.4. e 4 representantes da academia.
4. 2013
4.1. Abertura
4.1.1. Demi Getschko (NIC.br)
4.1.2. Monica Guise Rosina (FGV/SP)
4.1.2.1. Lembra o caso Snowden e, assim, o evento se torna ainda mais oportuno. Abre espaço para temas que entram no radar da mídia, no radar mais amplo...
4.1.2.2. Urgência de votação do MCI
4.1.2.3. Reação internacional sobre o Brasil "querer tomar o controle da Internet"
4.1.3. Luiz Costa (MPF)
4.1.4. Valquíria Quixada (MPF)
4.1.4.1. proteger os dados mas, por outro lado, avançar na necessidade de quebra de dados para investigações
4.2. Roundtable I “Privacidade, proteção de dados pessoais e segurança -lições do caso Snowden”
4.2.1. Cristina De Luca (PUC-Rio, moderadora)
4.2.1.1. Muitos governos vem tentando controlar a Internet
4.2.1.1.1. Reação ao artigo americano sobre o Brasil querer controlar a Internet
4.2.1.2. A privacidade acabou?
4.2.1.3. Como, neste mundo digital, podemos assegurar a proteção do dado pessoal?
4.2.1.4. Que dados a ABIN poderia ter acesso requisitando dos provedores de serviço?
4.2.2. Silvio Meira (UFPE)
4.2.2.1. Contexto de construção de "internets" -> evolução de redes sociais, internet móvel, IoT...
4.2.2.2. TSE libera dados para a Serasa
4.2.2.2.1. órgãos não classificam e não protegem dados, que são liberados de forma qualquer, sem segurança
4.2.2.3. Envio de informações pra nuvem - tudo virou software
4.2.2.3.1. virtualização e coleta de dados cada vez mais massiva
4.2.2.4. ABIN pode requisitar dados à Locaweb, Terra, Folha... não é só a NSA o problema
4.2.3. Eduardo Neger (Abranet)
4.2.3.1. Internet antes era um nicho, mas agora tem atenção do público geral
4.2.3.2. Cadeia de valor da Internet (diferentes empresas)
4.2.3.3. Neutralidade de rede e diferenças entre Telecom e Internet
4.2.3.4. Princípios do MCI
4.2.3.4.1. art.12 o que pode e o que não pode ser guardado por cada setor/cada ator
4.2.3.4.2. importância das regras claras
4.2.4. Pablo Ortellado (USP, GPOPAI)
4.2.4.1. À luz do caso Snowden, pensar a proteção à privacidade no sentido político, como fundamento/direito político
4.2.4.2. Modelo da publicidade -> venda de dados dos usuários pelo ambiente gratuito da Internet
4.2.4.2.1. dados requisitados pelo poder político
4.2.4.2.2. o caso da NSA foi apenas uma confirmação de suspeitas, que permite um debate mais amplo sobre regulação internacional
4.2.4.3. Regulação no cenário nacional
4.2.4.3.1. fortalecer infraestrutura nacional, para dados não passarem em outros países
4.2.4.3.2. política industrial pro setor de comunicação digital
4.2.4.3.3. LGPD não regula o Estado
4.2.5. Debate/Questões
4.2.5.1. Cristina
4.2.5.1.1. Quais os riscos da Internet pós-Snowden, que parece ser mais regulada?
4.2.5.1.2. Soberania de dados - até que ponto podemos exigir que o dado esteja localizado no país?
4.2.5.2. Silvio
4.2.5.2.1. Privacidade como política é um posicionamento filosófico, pode regredir muito mais.
4.2.5.2.2. Questão de tempo de retenção dos dados
4.2.5.2.3. Em um oligopólio, haverá regulação
4.2.5.2.4. Assimetria de informação é natural, assim como o direito à privacidade
4.2.5.2.5. Política industrial do Brasil é binária, entre catatônica e catastrófica.
4.2.5.3. Pablo
4.2.5.3.1. Evolução dos direitos, ampliação de direitos
4.2.5.3.2. EUA fazem uso político dos dados das empresas, esse é o problema que precisa ser atacado, dependendo de uma governança global da Internet
4.2.5.3.3. Plataformas para campanhas políticas também estão concentradas em empresas americanas
4.2.5.3.4. Necessidade de estudar instrumentos para política industrial
4.2.5.3.5. Garantir a proteção na LGPD
4.2.5.4. Informação tende a ser livre. Se a informação dos governos começar a circular, vai ter uma certa quebra de privacidade, mas não será tão ruim assim. Vai mudar nosso mundo que tem valores bastante arcaicos.
4.2.5.4.1. Cristina: roubo de dados traria grandes problemas
4.2.5.4.2. Pablo: problema é a monitoração da informação que está circulando.
4.2.5.5. Falta de capacitação dos usuários, falta de educação... qual o papel da educação?
4.2.5.5.1. Eduardo: educação é fundamental. É preciso conhecer os limites e as opções dos serviços digitais, configurações de privacidade, etc.
4.2.5.5.2. Silvio: a tecnologia anda na frente dos usos. Não dá pra casar desenvolvimento tecnológico com educação. Serviços devem embutir uma indução de comportamento na tecnologia (ex.: só aceitar senhas fortes).
4.2.5.5.3. Cristina: o Estado também não tem que ser educado quanto as novas tecnologias?
4.2.5.5.4. Pablo: o Estado deve ser educado. Remediar ao fazer nossa política, diferenciar de outros países. Alternativa dos softwares livres, poderia ter incentivo governamental, apoiar alternativas não comerciais livres.
4.2.5.6. Cristina: empresa de segurança que abre mensagem criptografada
4.2.5.6.1. Silvio: será que a NSA quebrou códigos de criptografia? Deve ter um pouco de terror institucional. Devemos sim temer os governos. Criar uma agenda de como a cidadania se protege da vigilância da máquina pública. O Estado não pode ter mais informação do que precisa.
4.2.5.7. Silvio: qual a consequência da Internet pós-Snowden? Ameaça à balcanização da Internet. É importante argumentar contra isso, não só politicamente e filosoficamente, mas economicamente. Talvez não seja mais possível fechar a Internet, fragmentá-la
4.2.5.8. Cristina: criptografia nacional não seria uma solução?
4.2.5.9. Silvio: até que ponto os EUA ou qualquer outra nação não capturaram informações que outros governos pediram sobre si mesmos? É uma hipótese. Outro ponto é se não deveria ser feito uma atualização dos protocolos, redesenhar uma rede baseada em outros princípios. Cada cidadão deve ter o controle objetivo de seus dados.
4.3. Palestra Magna: Estado, segurança e privacidade
4.3.1. Franck Dumortier (Universidade de Namur)
4.3.1.1. ponto de vista europeu
4.3.1.2. Instrumento mais importante é a Conveção Europeia de Direitos Humanos ,dos 50s
4.3.1.2.1. reflete um certo grau de renúncia à soberania em favor dos Direitos Humanos em um contexto do pós-guerra
4.3.1.2.2. privacidade: direito de autodeterminação
4.3.1.2.3. segurança não é um direito, como a privacidade
4.3.1.2.4. art.5 direito à liberdade e segurança: ninguém deve ser privado de sua liberdade
4.3.1.3. Contém exceções por motivos de "segurança"
4.3.1.3.1. Diretiva 95/46/EC
4.3.1.3.2. Diretiva 2002/58/EC
4.3.1.4. Acontecimentos como o 9/11, as bombas em Madri em 2004, ataques em Londres em 2005, etc. mudaram a questão da "ameaça terrorista".
4.3.1.4.1. tecnologias de vigilância e uso de retenção de dados para "prevenção"
4.3.1.4.2. novos métodos acabam sendo institucionalizados
4.3.1.4.3. atores privados são mais requisitados para colaborar com autoridades
4.3.1.4.4. retenção de dados envolve um armazenamento não diferenciado de dados
4.3.1.5. Agora Estados "devem garantir" (não mais "podem") retenção de dados
4.3.1.5.1. a retenção também se aplica à infrações menores, não apenas grandes e sérios crimes
4.3.1.6. tecnologias de monitoramento - videosurveillance
4.3.1.6.1. linha tênue entre rastrear pessoas específicas e monitorar um lugar
4.3.1.7. DPA também não tem poderes de lhe informais quais dados seus estão retidos pela base da polícia belga
4.3.1.8. A noção de segurança parece ter adquirido um novo significado: a necessidade de evitar qualquer forma de risco.
4.3.1.8.1. o Estado inverteu suas prioridades e agora segurança está acima da privacidade
4.3.2. Luiz Costa (MPF)(moderador)
4.3.2.1. Conveção Americana de Direitos do Homem também prevem o direito à privacidade
4.3.2.2. Retenção de dados - artigos 14 e 15 do MCI (guarda de registros de conexão)
4.3.2.2.1. Na Bélgica é de 2 anos, se o MCI for aprovado como está será de 1 ano.
4.3.2.3. Investigação criminal e atividades de inteligência - existe uma parceria entre o Exército e o MJ na monitoração de redes sociais. É um campo nebuloso tanto na Europa quanto no Brasil
4.3.3. Questões
4.3.3.1. Luiz: que princípios e soluções para tratamento de dados? Deve haver separação entre investigação e inteligência?
4.3.3.1.1. Franck: não acho que deva haver uma distinção entre investigações e inteligência, mas cada um deve ficar em suas esferas de competências.
4.3.3.2. Luiz: desenvolver mais sobre videosurveillance e proteção de dados
4.3.3.2.1. Franck: tradicionalmente, se a polícia quer usar dados para rastrear alguém deve ter um mandado judicial. Para o setor privado, prevenir crimes e ameaças é a mesma coisa.
4.3.3.3. Por que então existe uma distinção entre as autoridades de lei e a inteligência?
4.3.3.3.1. Franck: há leis distintas para esses setores.
4.4. Roundtable II “A proteção de dados pessoais e a investigação criminal”
4.4.1. Cassio Vecchiatti (LACNIC) (moderador)
4.4.2. Antonio Moreiras (CEPTRO)
4.4.2.1. esgotamento do IPv4
4.4.2.2. transição com compartilhamento de endereços IPv4
4.4.2.3. assinantes compartilhando o mesmo IP, para identificar tem que guardar informaçõe extras, no caso a porta de origem
4.4.2.4. solução ideal é acelerar a implementação do IPv6
4.4.2.4.1. dificuldade em conseguir um cronograma de consenso
4.4.2.5. outra solução é realizar o registro das portas de origem, que não viola a privacidade do usuário.
4.4.3. Valdemar Latance Neto (DPF)
4.4.3.1. dificuldades da investigação criminal (inteligência policial)
4.4.3.2. inteligência estratégica x inteligência policial
4.4.3.3. operação durkheim
4.4.3.3.1. detetives particulares que fornecem informações pessoais de indivíduos
4.4.3.4. ordem judicial para pedir dados a empresas, que geralmente tem servidores fora do país
4.4.3.4.1. Google e Microsoft não cumpriam com ordens judiciais
4.4.3.5. enfatiza que a investigação policial é diferente do caso da NSA
4.4.4. Vitor Hugo Freitas (OAB)
4.4.4.1. caso Snowden como impulsionador da aprovação do MCI
4.4.4.2. Lei 12.850
4.4.4.2.1. sobre organizações criminosas, inclusive de caráter transnacional
4.4.4.2.2. retenção de dados por operadoras de telefonia móvel
4.4.4.3. legislação deve ser aplicada onde o serviço é prestado, não onde está o servidor da empresa
4.4.4.4. novo conceito de privacidade a partir do uso que é feito dos dados
4.4.5. Questões
4.4.5.1. Como fica a questão da criptografia?
4.4.5.1.1. Valdemar: é uma questão complicada, espero que o MCI possa elucidar acerca da entrega de chaves criptográficas
4.4.5.2. Existe algum avanço dos grandes players sobre o IPv6?
4.4.5.2.1. Antonio: me parece que não, é difícil entender porquê ainda não concluíram essa transição (como governos, bancos)
4.4.5.2.2. Vitor: é um problema cultural, nem o presidente criptografa o celular. Não existe uma prevenção do problema.
4.4.5.3. Existe uma gestão da PF após a coleta dos dados necessários para investigação?
4.4.5.3.1. Valdemar: é por analogia à lei de interceptação telefônica, que leva ao destruimento desse material. É encaminhado ao MP, advogado...ao fim do processo, a lei prevê que esse material seja destruído.
4.4.5.4. O que representa os meta-dados nas investigações? Vale mais que os dados?
4.4.5.4.1. Valdemar: varia muito conforme a investigação.
4.5. Roundtable III “Olhares sobre a proteção dos dados pessoais”
4.5.1. Geraldo Lino de Campos (ABPI) (moderador)
4.5.2. Paula Martins (Artigo 19)
4.5.2.1. foco na liberdade de expressão
4.5.2.2. tanto a privacidade quanto a liberdade de expressão são direitos fundamentais
4.5.2.3. liberdade de expressão - protegida por tratados de DH internacionais
4.5.2.3.1. direito de buscar, receber e difundir informações e ideias, independentemente de fronteiras e de plataforma
4.5.2.3.2. engloba o direito de acesso à informações públicas
4.5.2.4. privacidade protegida pelos tratados de DH
4.5.2.4.1. não há uma definição taxativa, varia de lugar e tempo (Corte Europeia de DH)
4.5.2.4.2. autodeterminação, instrumentalidade (realização dos demais direitos)
4.5.2.4.3. pré-condição para liberdade de expressão
4.5.2.5. difícil delimitar até onde vai a liberdade de expressão e onde começa a privacidade
4.5.2.5.1. acirramento das tensões com o desenvolvimento tecnológico
4.5.2.6. proteger a privacidade da esfera estatal
4.5.2.7. privacidade
4.5.2.7.1. física
4.5.2.7.2. territorial
4.5.2.7.3. informacional (proteção de dados)
4.5.2.7.4. comunicação (vigilantismo)
4.5.2.8. desafios de regulação pela natureza transnacional da Internet
4.5.2.8.1. limitações legítimas
4.5.2.9. UNESCO 2012: resumo de boas práticas, todos os Estados deveriam estabelecer regimes de proteção de dados, tanto para setor público quanto privado
4.5.2.10. recomendações relator especial da ONU para liberdade de expressão
4.5.2.10.1. não proibição de criptografia
4.5.3. Rogério Fialho Moreira (TRF5)
4.5.3.1. direito ao esquecimento
4.5.3.2. há um conjunto de apoio na doutrinação brasileira sobre o direito ao esquecimento
4.5.3.3. direito ao esquecimento busca dar respaldo à dignidade da pessoa humana
4.5.3.4. qual o limite da aplicação desse direito que visa resguardar a privacidade?
4.5.3.5. violaria princípios constitucionais de liberdade de expressão
4.5.3.6. ponderação de valores a depender do caso - assegurar privacidade ou liberdade de expressão
4.5.3.7. DPA espanhola tem o entendimento de proteção do direito ao esquecimento
4.5.3.8. como efetivar esse direito?
4.5.3.8.1. pela mídia tradicional, manda retirar a informação
4.5.3.8.2. pelo mundo digital é bem mais complexo, não tem como ter o controle da informação
4.5.4. Cristine Hoepers (CERT.br/NIC.br)
4.5.4.1. falta de conhecimento do usuário sobre o armazenamento de dados pelos serviços digitais (expressos nos termos de uso)
4.5.4.2. existe confusões de termos técnicos que podem ter signficados e interpretações diferentes
4.5.4.2.1. alguns atores se aproveitam dessa confusão para justificar mecanismos de controle
4.5.4.3. o problema não é a tecnologia, mas os abusos que são feitos dela
4.5.4.4. deixar políticas mais claras, definir o que será feito ou não, como os serviços atuam
4.5.4.5. importância de fóruns como esse para ampliação do diálogo e esclarecer o funcionamento e o entendimento das tecnologias e serviços digitais
4.5.5. Eduardo Wallier (CDCiber)
4.5.5.1. CDCiber - necessidade do Estado em organizar uma estratégia de defesa cibernética
4.5.5.2. é um órgão muito recente ainda, criado em 2012
4.5.5.3. é um centro de defesa (e não de segurança cibernética)
4.5.5.4. entendimento da dimensão cibernética como uma nova área de ação de guerra (além de territorial, marítima, aérea, etc.)
4.5.5.5. JMJ e Copa das Confederações como eventos onde já houve atuação do CDCiber
4.5.5.6. como a missão vai se perpetuar ao longo do tempo?
4.5.5.6.1. deve haver planejamento e conhecer o campo de atuação
4.5.5.7. necessidade de diálogo
4.5.5.7.1. até onde o governo pode ir?
4.5.5.7.2. tem de haver um equilíbrio
4.5.6. Questões
4.5.6.1. conflito entre uso de informações pelo Estado e roubo de informações pessoais que são vendidos por ex nas ruas de São Paulo
4.5.6.1.1. Paula: normas internacionais prevêm responsabilidades dos atores onde existe abuso da utilização dos dados, tanto da parte do setor privado quanto do setor público
4.5.6.1.2. Cristine: implementação de mecanismos de auditoria e controle. Necessidade de conscientizar organizações sobre quem tem acesso às informações. O caso Snowden mostra isso sobre a NSA. Não há investimento adequado em segurança, treinamento de pessoal.
4.5.6.2. com relação aos últimos grandes eventos ocorridos no Brasil, quais dados relevantes foram encontrados? Como o CDCiber atuaria em caso de um ataque cibernético?
4.5.6.2.1. Eduardo: trabalho em conjunto com MJ para aporte jurídico; houve compartilhamento efetivo de informações entre os órgãos. Nesse campo, não ocorre uma formalização de ataque cibernético (que seria uma declaração de guerra). Para reagir à um ataque, deve ser feita uma mobilização entre órgãos, não é possível o CDCiber responder sozinho. Descobrir a origem de um ataque é extremamente complicado.
4.5.6.3. em que medida, numa ação conjunta entre órgãos, como se separa um ataque externo e uma questão de segurança interna? fontes abertas das redes sociais, se puder elaborar mais sobre isso. Manual Tallin não estabelece espionagem como um ataque
4.5.6.3.1. Eduardo: identificação do problema e do responsável por tratar daquele problema. na antecipação do problema, entram as redes sociais: tendência de ações, levantamento prévio das possibilidades de ameaças (inteligência cibernética). A parte da espionagem é complicada e é algo que sempre existiu, depende muito do que é considerado espionagem. Saiu o documento de política de defesa cibernética, recomenda dar uma lida.
4.6. “Palestra Internacional”
4.6.1. Moderador: Luiz Costa (MPF)
4.6.2. Renata D’Avila (Global Voices)
4.6.2.1. preocupação com o tráfego na Am. Latina que passa pelos EUA
4.6.2.2. considera que as divulgações de Snowden eram, na verdade, informações públicas
4.6.2.3. chefes de Estado da Am. Latina utilizam softwares e serviços dos EUA
4.6.2.3.1. preocupação com a falta de cuidado e de conhecimento dos chefes de Estado
4.6.2.4. preocupação com sistemas de vigilância que monitoram a população - na região, temos democracias frágeis
4.6.2.5. dados biométricos utilizados para formação de bancos de dados que não sabemos a finalidade
4.6.2.6. tecnologia de espionagem antidemocrática "por concepção"
4.6.2.7. necessidade de maior entendimento por parte dos fiscalizadores
4.6.2.8. venda de tecnologias de vigilância de países democráticos para países menos democráticos ou autoritários, ex.: Itália vendendo para Síria.
4.6.2.9. Idealmente, a regulação da vigilância é a redução gradativa do uso desses mecanismos
4.6.2.10. Em uma visão mais realista
4.6.2.10.1. defender as poucas liberdades que nos restam
4.6.2.10.2. uso de criptografia
4.6.2.10.3. recuperar o controle de nossos equipamentos
4.6.2.10.4. exigir que políticos saibam como fiscalizar esses mecanismos
4.6.2.10.5. questionar
4.6.2.10.6. silêncio, cumplicidade e indiferença não são opções
4.6.3. Questões
4.6.3.1. eventuais respostas que possam ser consideradas bons exemplos na região latinoamericana
4.6.3.1.1. Renata: exemplo do México, onde ativistas e jornalistas ativaram um mecanismo que obriga o DPA a investigar o uso de mecanismos de vigilância, ativando também o Congresso mexicano que pediram explicações ao Executivo sobre esses usos.
4.6.3.2. em quais hipóteses excepcionais o Estado pode ingressar na esfera do indivíduo?
4.6.3.2.1. Renata: somente se o Estado seguir certos princípios de proteção aos DH, como proporcionalidade
4.6.3.3. qual a opinião sobre o Brasil trazer o tema da vigilância para a AG da ONU?
4.6.3.3.1. Renata: acredito que leis não resolverão isso sem uma solução tecnológica
4.7. Roundtable IV “Fluxo livre de dados e direitos fundamentais”
4.7.1. Antonio Tavares (moderador) (NIC.br)
4.7.1.1. destaca a importância do evento e do MCI - para que possamos escolher o que é a privacidade, como queremos o uso das tecnologias e serviços digitais
4.7.2. Veridiana Alimonti (Idec)
4.7.2.1. Consumidor passa a ser mais ativo pelo comércio e serviços online
4.7.2.2. proteção da liberdade de expressão, que tem uma conexão direta com a privacidade
4.7.2.2.1. relação que deve ser preservada, deve haver complementaridade entre esses direitos
4.7.2.3. princípio fundamental para tratamento de dados: deve haver o consentimento do usuário, livre, expresso e informado
4.7.2.3.1. a finalidade da coleta dos dados deve ser explícita
4.7.2.3.2. já consta no MCI
4.7.2.4. direito de oposição ao tratamento e coleta de dados
4.7.2.5. dados sensíveis - esses direitos devem mais ainda serem protegidos
4.7.2.6. pesquisa feita com algumas redes sociais, identifica que os termos de privacidade não possuem autorizações claras e expressas
4.7.2.7. convênio entre TSE e Serasa - acordo anulado, mas que viola o que está sendo apresentado aqui, em relação ao desconhecimento do que está sendo feito com os dados dos cidadãos.
4.7.2.8. documentário Freenet
4.7.3. Mariana Thibes (USP)
4.7.3.1. distinguir ameaças à que estamos sujeitos
4.7.3.2. vigilância governamental - é uma questão geopolítica complexa
4.7.3.2.1. Ato Patriótico - violações de privacidade ocorrem mesmo com resistência do povo estadunidense
4.7.3.3. questão econômica - Internet é uma plataforma de negócios
4.7.3.3.1. alto custo de ficar fora das redes
4.7.3.3.2. por outro lado, nossas informações pessoais são o motor dessas redes
4.7.3.4. temos de fazer resistência, para escolher o que vamos e não vamos expor
4.7.3.5. privacidade é um obstáculo para o desenvolvimento de negócios
4.7.4. Marco Gomes (ABRADI)
4.7.4.1. publicidade online
4.7.4.2. quanto melhor a publicidade, melhor será o conteúdo e mais gente será atraída para a rede
4.7.4.3. perfis individuais, mas não com dados pessoais identificáveis
4.7.4.3.1. são usadas informações públicas
4.7.4.4. importante que usuário tenha controle (opt-in, opt-out)
4.7.4.4.1. uso de navegador anônimo, tecnologia Tor, etc.
4.7.4.5. o padrão da publicidade online é informações não-identificáveis
4.7.4.5.1. perfis de comportamento, de uso e de consumo são usados
4.7.4.6. segmentação de anúncios não é necessariamente quebra de privacidade
4.7.4.7. não se pode restringir possibilidade de atuação por casos como o Snowden, que nada tem a ver com a publicidade online
4.7.4.8. defende o MCI
4.7.4.9. criar equilíbrio entre rastreamento de dados, perfil de consumo e publicidade. Rastreamento não pode ser utilizado aqui
4.7.5. Leonardo Palhares (Camara e-net)
4.7.5.1. o ambiente regulatório brasileiro está muito em atraso ainda em relação ao uso dos dados
4.7.5.1.1. até hoje dados e cadastros estão fundamentas na proteção ao crédito
4.7.5.1.2. cadastro fala da notificação do usuário, mas não do consentimento
4.7.5.2. anteprojeto de dados muito bem construído, mas que se desenvolve muito lentamente
4.7.5.3. não há especificação sobre a vinculação e a comercialização dos dados, na legislação brasileira
4.7.6. Questões
4.7.6.1. Antonio: resolução de 2009 do CGI e 1°princípio do decálogo
4.7.6.1.1. "O uso da Internet deve guiar-se pelos princípios de liberdade de expressão, de privacidade do indivíduo e de respeito aos direitos humanos, reconhecendo-os como fundamentais para a preservação de uma sociedade justa e democrática."
4.7.6.2. Veridiana: entende a posição dos pequenos empreendedores, ainda que as big tech são as que pautam as discussões. O problema é ter parâmetros definidos, por isso é preciso pressão para aprovação de legislação. A publicidade não pode se dar à revelia de direitos fundamentais já existentes. Estabelecer padrão a partir da regulação.
4.7.6.3. Marco: a publicidade online no Brasil ainda não é tão sofisticada tecnologicamente, como nos grandes players. Parâmetros muito restritos irão prejudicar os pequenos empreendedores e não os gigantes como Google e Facebook. Crítica à localização forçada de dados, como tem proposta no MCI, pois dados são copiados a todo momento.
4.7.6.4. Mariana: comenta sobre os serviços diferenciados oferecidos aos "melhores clientes". Práticas discrminatórias que criam um cenário de exclusão, parâmetros tem que proteger o cidadão também esse tipo de prática
4.7.6.5. Leonardo: no Brasil, geralmente as legislações surgem para resolver um problema, de uma situação de exceção. Exemplo do caso Carolina Dieckmann. As leis devem ser discutidas e debatidas, como o MCI, cujo atraso na aprovação causa preocupação.
4.7.6.6. Comentário do público sobre algumas vantagens de monitoramento, como no caso do pai que quer monitorar um filho pelo celular. Google glass como quebra de paradigma - privacidade quebrada em todos os sentidos, talvez leis não sejam suficientes para regulamentar tudo isso.
4.7.6.7. Qual a opinião da mesa sobre serviços que hoje são gratuitos, se fossem cobrados, seria uma alternativa de proteção à privacidade
4.7.6.7.1. Marco: existem modelos de negócio que suportam pagamentos, outros não, o Facebook por exemplo não teria 1bi de usuários se fosse pago. Obrigar a ter um modo pago seria restringir a liberdade do empreendedor.
4.7.6.7.2. Veridiana: o modelo de negócio baseado na coleta de dados para publicidade pode existir, mas tem que ter parâmetros e responsabilidades colocadas. Mesmo em serviços pagos dados ainda podem ser coletados.
4.7.6.8. Como podemos educar o usuário sobre a proteção, legislar sobre isso sem o conhecimento do usuário é adequado?
4.7.6.8.1. Leonardo: o consumidor realmente precisa entender o que está acontecendo: ter informação objetiva e clara.
4.8. Roundtable V “Bases de dados públicas e privadas: riscos potenciais à proteção da privacidade”
4.8.1. Ricardo Capucio (moderador) (ASSESPRO)
4.8.2. Carlos Afonso (NUPEF)
4.8.2.1. Brasil - criação de bases de dados de DNA
4.8.2.1.1. Decreto de maio de 2012, principalmente para ajudar investigações a solucionar crimes
4.8.2.1.2. suscetível a erros do judiciário
4.8.2.1.3. sistemas são vulneráveis
4.8.2.2. recorda vazamento de dados da Receita Federal
4.8.2.3. nunca houve estratégia de usar chaves criptográficas e afins
4.8.3. Jorilson Rodrigues (DPF/MJ)
4.8.3.1. privacidade - divulgação seletiva, poder de escolha
4.8.3.2. ocorre uma pulverização da privacidade
4.8.3.3. máxima do contexto mobilis
4.8.3.4. dados em bases diferentes devem ser tratados de modos diferentes?
4.8.4. Vitor Moraes de Andrade (ABEMD)
4.8.4.1. a liberdade tem que ser protagonista e não coadjuvante nesse processo
4.8.4.2. queremos regulamentar a sociedade ideal ou a sociedade que existe?
4.8.4.3. lei regulamenta muitos atores
4.8.4.4. opt in pode ser prejudicial - o novo empreendedor não pode divulgar seu produto, por exemplo
4.8.4.4.1. como encarar a liberdade em todos esses sentidos?
4.8.4.4.2. opt in valeria para alguns atores e não outros?
4.8.4.5. conceito genérico de dado pessoal
4.8.4.6. informação e liberdade de expressão como focos - com responsabilidade
4.8.4.7. propostas
4.8.4.7.1. liberdade como protagonista
4.8.4.7.2. estratégia para uma decisão informada e consciente (configuração de instrumentos de navegação)
4.8.4.7.3. estratégias regulatórias atualizadas (filtros tecnológicos para garantir a autonomia do consumidor)
4.8.5. Alexandre Pacheco (FGV/SP)
4.8.5.1. usuário como dono do dado pessoal
4.8.5.2. empresas e governos às vezes se comportam como se fossem os donos dos dados
4.8.5.2.1. governos não têm termos de uso
4.8.5.3. projeto de lei não se coloca na relação usuário-governo
4.8.5.4. filtros que impedem rastreamento na web, como o Disconnect
4.8.5.4.1. direito de ser deixado sozinho - que não passa por regulação
4.8.5.5. ex.: nota fiscal paulista, não há nenhum instrumento de proteção
4.8.5.6. caso TSE-Serasa - empresa alega que os dados são públicos
4.8.5.6.1. o que seriam dados públicos? acessível, disponível, autorizado?
4.8.5.7. Banco de dados genético
4.8.5.7.1. não deveria ser dado acessível? na lei, é tido como sigiloso
4.8.5.8. necessidade de debater regulação de bancos de dados públicos
4.8.6. Thiago Tavares (Safernet)
4.8.6.1. caso Snowden
4.8.6.1.1. até então, publicizados poucos documentos dos 50 mil obtidos por Snowden, ou seja, estamos vendo apenas a ponta do iceberg
4.8.6.1.2. iphone - coleta de biometria, rastreamento desde o dia que comprou o aparelho gravado em arquivo oculto para o conhecimento do usuário
4.8.6.2. prevalecimento da lei do mercado, a iniciativa privada tem grande liberdade
4.8.6.3. compartilhamento de informações de planos de saúde, farmácias
4.8.6.3.1. score de risco de cada cliente dos planos de saúde
4.8.6.4. temos leis esparsas, mas qual o aparato institucional que temos? quem faz o papel da agência de proteção de dados que não temos?
4.8.6.4.1. há um vácuo não só legal, mas também institucional
4.8.7. Questões
4.8.7.1. Carlos Afonso: nós mesmos temos de nos organizar e atuar para nos defender quanto a essas práticas. mas a lei de dados pessoais precisa avançar, enquanto isso temos alguns instrumentos como o CDC. Pergunta: em que medida a ênfase na liberdade está em conflito com a indústria de propriedade intelectual?
4.8.7.1.1. Vitor: o discurso busca uma forma de harmonizar esses aspectos. queremos ao mesmo tempo a privacidade e benefícios dos produtos e serviços. necessidade de viabilizar instrumentos que garantam a autonomia do usuário, necessidade de todos os setores informarem, empoderar o cidadão, buscar consenso.
4.8.7.2. Hackers tem um papel muito importante no interesse público, em revelar vulnerabilidades de sites governamentais por exemplo
4.8.7.2.1. Alexandre: há muitos grupos de hackers com comportamentos diferentes na rede. a legislação brasileira não encara essa tipologia e não vislumbra um debate público sobre isso. Hoje a resposta seria classificá-lo como infrator.
4.8.7.2.2. Jorilson: se alguém descumpre o regramento legal, é infrator. demanda mais sensatez para averiguar o que as pessoas estão fazendo e suas intenções.
4.9. Roundtable VI “Perspectivas global e nacional sobre a proteção de dados pessoais”
4.9.1. Virgílio Almeida (MCT/CGI.BR) (moderador)
4.9.1.1. preocupação com IoT e junção dos ambientes físico e cibernético
4.9.1.1.1. dados que são gerados pelas pessoas no ambiente ciberfísico
4.9.1.1.2. como a legislação aborda esse tipo de proteção?
4.9.2. Danilo Doneda (MJ)
4.9.2.1. caso Snowden fez o nível da discussão se elevar e trouxe urgência para ter uma resposta de caráter normativo
4.9.2.2. vários países passaram a aprovar normativas de proteção de dados
4.9.2.2.1. pressões popular e comerciais
4.9.2.3. proteção da privacidade levou à proteção de dados pessoais (especifica o objeto da proteção)
4.9.2.3.1. controle de fluxo de informações pessoais a respeito de um cidadão
4.9.2.3.2. protege também a liberdade, a autonomia...
4.9.2.4. demandas comerciais
4.9.2.4.1. países que trocam fluxos de dados devem ter normativas equivalentes
4.9.2.4.2. quebra de barreira comercial
4.9.2.5. 102 países possuem leis de proteção de dados, 92 com autoridades de proteção de dados
4.9.2.6. até agora, CDC oferece um conjunto mínimo de garantias
4.9.2.6.1. porém o cidadão é mais que consumidor, assim a proteção de dados exige um locus específico
4.9.2.7. princípios
4.9.2.7.1. consentimento, finalidade, segurança, livre acesso, transparência ou publicidade
4.9.2.8. habeas data
4.9.2.8.1. liberdade do cidadão para com seus dados pessoais
4.9.2.9. responde sobre a atuação da lei em bases de dados públicas
4.9.2.9.1. a ideia do anteprojeto é que sua aplicação seja tanto ao setor público quanto ao setor privado (aplicação transversal)
4.9.2.9.2. exigirá uma curva de adaptação tanto ao setor público quanto privado
4.9.2.9.3. sem a unificação, a norma não seria compatível com padrões internacionais
4.9.3. Carlos Afonso (NUPEF/CGI.br)
4.9.3.1. desafios de espaços como o Facebook, onde ali ocorrem violações da privacidade
4.9.3.2. como fazer leis a prova de futuro?
4.9.3.2.1. quais as implicações para IoT?
4.9.4. Luiz Costa (MPF)
4.9.4.1. condicionantes dos temas
4.9.4.1.1. liberdade x propriedade
4.9.4.1.2. não podemos ignorar o aspecto patrimonial dos dados pessoais
4.9.4.2. observações conceituais
4.9.4.2.1. dado pessoal não é sinônimo de dado confidencial
4.9.4.2.2. meta-dado: um dado sobre o dado
4.9.4.3. legitimação
4.9.4.3.1. consentimento como legitimação
4.9.4.3.2. relações assimétricas de poder
4.9.4.4. eficácia
4.9.4.4.1. necessidade de autoridade independente é absoluta
4.9.4.5. privacidade como condição para exercício de liberdades
4.9.5. Demi Getschko (NIC.br)
4.9.5.1. IPv6 como exemplo de vantagens e desvantagens
4.9.5.2. direito ao esquecimento
4.9.5.2.1. preocupação de como aplicar isso em termos técnicos
4.9.5.3. o debate sobre a base WHOIS
4.9.5.4. como definir quais dados pessoais merecem proteção? alguns dados não seriam públicos, por ex nome?
4.9.6. Eduardo Parajo (ABRANET)
4.9.6.1. não dá para engessar a tecnologia
4.9.6.2. transparência para com o consumidor
4.9.6.3. exemplo do problema do spam, cuja medida multissetorial e de autorregulação foi bem sucedida
4.9.6.4. conceito do soft opt-in - relação comercial
4.9.6.5. MCI também como um processo construtivo, com a sociedade participativa
4.9.6.6. é o que o projeto de lei de dados pessoais busca: princípios, envolvimento dos setores, consenso com o mercado
4.9.6.7. que modelo seria o mais ideal para a Autoridade de Proteção de Dados? seria mais adequado uma entidade multissetorial?
4.9.6.7.1. a colaboração do CGI é um exemplo das tentativas de busca de equilíbrio
4.9.7. Debate
4.9.7.1. Danilo Doneda
4.9.7.1.1. direito ao esquecimento: possibilidade da pessoa controlar dados fornecidos à uma entidade privada é um exemplo de ponto contemplado na lei de proteção de dados. Mas o direito ao esquecimento é bastante complexa, depende de fatos relevantes para o interesse público, ou seja, a solução se dará por casos específicos
4.9.7.1.2. IoT: essa pauta com certeza virá quando tivermos uma lei de proteção de dados. mas isso evidencia que cada vez mais é menos relevante diferenciar dados na Internet e fora dela, eventualmente essas informações vão se cruzar.
4.9.7.1.3. Autoridade de Proteção de Dados: é um ponto bastante delicado, mas a visão do MJ é de que é imprescindível que exista esse órgão com autonomia, para ter poderes de fiscalizar órgão públicos e privados. A ideia da representatividade dos setores está na pauta e pode ser determinante para reforçar autonomia e legitimidade dessa Autoridade.
4.9.7.2. Luiz Costa: ideia de que o cidadão deveria conhecer o perfil montado a seu respeito, até para se desenvolver melhor. Sobre smart cities e IoT, os princípios da lei de proteção de dados já serão testados.
4.9.7.3. Demi: a NSA com tratamentos diferentes entre nacionais e não-nacionais. Existe essa distinção na lei de dados pessoais?
4.9.7.3.1. Danilo: a lei se aplica a tratamento de dados no Brasil. Um brasileiro e um estrangeiro terão o mesmo tratamento.
4.10. DADOS QUANTITATIVOS 2013
4.10.1. Total de 8 painéis: 6 mesas-redondas e 2 palestras, além de abertura e encerramento
4.10.2. Participação dos stakeholders
4.10.2.1. 7 representantes governamentais, sendo que um deles participou de quatro mesas;
4.10.2.2. 3 representantes empresariais;
4.10.2.3. 16 representantes do terceiro setor, tendo dois deles participado de duas mesas cada;
4.10.2.4. 7 representantes da academia.
5. 2014
5.1. Painel de abertura: O que são Dados Pessoais?
5.1.1. Demi Getschko (CGI.br/NIC.br)
5.1.1.1. esforço em conjunto com o MCI, recém-aprovado
5.1.2. Aureo Marcus Makiyama Lopes (MPF)
5.1.3. Raquel Gatto (ISOC)
5.1.3.1. foco em esclarecer conceitos, trazer modelos internacionais e quais seriam as expectativas nacionais
5.1.3.2. Seminário ganhou novo contexto a partir do caso Snowden
5.1.3.2.1. chamou a atenção para proteção de dados e ampliação do debate
5.1.3.3. pensar aspectos técnicos e políticas públicas
5.1.3.3.1. ex.: uso de criptografia
5.1.4. Danilo Doneda (Ministério da Justiça)
5.1.5. Alexandre Pacheco (FGV)
5.1.5.1. o que são dados pessoais?
5.1.5.1.1. qual a estratégia jurídica para proteção da privacidade?
5.1.5.2. informação pessoal x informação pessoal identificável
5.1.5.3. dado pessoal é aquele que identifica um indivíduo
5.1.5.4. a questão de contextualizar os dados
5.1.5.5. acordo de cooperação técnica TSE-Serasa
5.1.5.5.1. considerou-se que o TSE tinha o dever de sigilo dessas informações, o que desmontou o acordo
5.1.5.6. multa aplicada pelo DPDC-MJ: serviço navegador Oi-Velox (mapeamento de tráfego para publicidade direcionada)
5.1.5.6.1. omissão de informação ao consumidor
5.1.5.7. casos de agregação de dados, exemplo do Google Flu Trends
5.1.5.7.1. casos diferentes demandam proteções diferentes?
5.1.5.8. Desafios para a definição de dados pessoais
5.1.5.8.1. devemos criar um tratamento diferenciado entre dados pessoais e dados agregados anonimizáveis?
5.1.5.8.2. quais dados, por sua maior sensibilidade, merecem maior proteção e quais dados poder ser tidos como comuns?
5.1.5.8.3. qual a nossa estratégia para lidar com a identificação de usuários a partir de dados que não seriam associados diretamente a estes usuários?
5.1.5.8.4. como devemos estruturar a autorização do usuário, ou o que vem sendo chamado de consentimento para o uso de seus dados?
5.1.5.9. alguns autores defendem uma definição reducionista
5.1.5.9.1. dado pessoal é informação que pode ser associada diretamente a um indivíduo
5.1.5.9.2. há exclusões para informações públicas, agregadas e para fins de estatística
5.1.5.10. autores que defendem a abordagem expansionista
5.1.5.10.1. dado pessoal como toda informação associada diretamente (identificada) ou possível de ser associada (identificável)
5.1.5.10.2. lista de dados protegidos e conceitos abertos de identificação
5.1.5.11. abolicionista (Paul Ohm)
5.1.5.11.1. há um volume enorme de dados não identificados que permitem a identificação de usuários por sua combinação
5.1.5.11.2. ao invés de apostarmos no dado, deveríamos apostar em um modelo que valorize o contexto da navegação
5.1.5.12. Variáveis para a definição de dados pessoais:
5.1.5.12.1. contexto
5.1.5.12.2. sensibilidade
5.1.5.12.3. agregação
5.1.5.12.4. uso anonimizável
5.1.5.12.5. recombinação de dados (efeito mosaico)
5.2. Palestra: Aspectos Contextuais e desafios contemporâneos à proteção da privacidade e dos dados pessoais
5.2.1. José Luis Piñar Mañas (convidado internacional – Espanha, ex-direitor da agência espanhola de proteção de dados, professor Universidad CEU)
5.2.1.1. Princípios CGI-1. Liberdade, privacidade e Direitos Humanos
5.2.1.2. direito fundamental à proteção de dados
5.2.1.2.1. ter disponíveis os próprios dados
5.2.1.2.2. direito vinculado à dignidade da pessoa
5.2.1.2.3. direito irrenunciável
5.2.1.2.4. é mais amplo que direito à privacidade, pois protege também dados não íntimos
5.2.1.2.5. princípios
5.2.1.2.6. direitos (para ter controle sobre a informação)
5.2.1.3. Internet como cenário e viver na Internet
5.2.1.3.1. Web 1.0: informação
5.2.1.3.2. Web 2.0: informação e comunicação interativa
5.2.1.3.3. Web 3.0: informação, comunicação interativa e IoT
5.2.1.3.4. Livre desenvolvimento da personalidade
5.2.1.3.5. Internet como direito fundamental
5.2.1.3.6. evitar controle da Internet e diferenciação de acesso (Internet censitária)
5.2.1.3.7. tecnologias de vigilância
5.2.1.4. Desafios ao direito da proteção de dados
5.2.1.4.1. computação de nuvem, redes sociais, publicidade comportamental, propriedade intelectual, big data, IoT, smart cities, direito ao esquecimento
5.2.1.5. princípios
5.2.1.5.1. responsabilidade, privacidade por concepção, privacidade por padrão
5.2.1.6. determinação da lei aplicável
5.2.1.6.1. extraterritorialidade
5.2.1.7. marcos normativos seguem sendo essenciais
5.2.1.8. tensões: proteção de dados vs segurança, liberdade de expressão...
5.2.1.9. o grande desafio é o compromisso internacional, a ponderação entre interesses e direitos
5.2.2. Questões
5.2.2.1. sobre autoridade policial acessar dados do celular de suspeitos
5.2.2.1.1. José Luis: é um tema de equilíbrio de direitos, depende de cada caso ver qual direito prevalece
5.2.2.2. o que poderia ser feito a respeito de legisladores que não possuem conhecimento técnico suficiente para legislar nesse tema
5.2.2.2.1. José Luis: o legislador e o técnico devem dialogar em seus respectivos âmbitos (tanto para legislar quanto para desenvolver uma tecnologia).
5.2.2.2.2. Alexandre: a forma como o MCI foi redigido é uma referência importante, a ideia de representatividade
5.2.2.3. sobre o caso da Oi e monitoração de navegação e o MCI
5.2.2.3.1. Alexandre: o caso é anterior à aprovação do MCI, consistia na técnica de DPI (deep packet inspection).
5.2.2.3.2. Danilo Doneda: condição de vulnerabilidade exacerbada do consumidor.
5.2.2.3.3. Raquel: resolução 008/2012 relativo ao aplicativo Phorm
5.2.2.4. como os usuários conduzem seus próprios dados online
5.2.2.4.1. Alexandre: o contexto importa muito mais do que uma lista de definição de dados. Podemos ter espaços de regulação e de autorregulação conjuntos. Podem ter regras que orientem comportamentos, mas tem que ser um esforço comum e contínuo, que a legislação contribue.
5.2.2.4.2. José Luis: eu optaria por princípios gerais válidos para desenvolvimentos tecnológicos, também favorável à regulação com autorregulação.
5.2.2.5. dados de delinquentes que ficam retidos ao poder judiciário e à polícia; e locais de crimes que só são divulgados de maneira geral. tratando de segurança pública, os dados devem ser privilegiados apenas à algumas pessoas, como poder judiciário e polícia?
5.2.2.5.1. Alexandre: clareza do que pretendemos proteger, assim, possivelmente vale a proteção do infrator (a divulgação poderia causar uma reação pública desfavorável). mas é uma questão muito complexa.
5.2.2.5.2. José Luis: há muitos casos pontuais que devem ser pensados. Verificar princípios de finalidade, proporcionalidade...
5.3. Seminário I: O arcabouço legal de proteção à privacidade e aos dados pessoais no Brasil
5.3.1. Moderação: Eduardo Parajo (CGI.br)
5.3.2. Keynote 45 min.: Danilo Doneda (Ministério da Justiça)
5.3.2.1. Bobbio: direitos nascem quando são necessários
5.3.2.2. o que demanda regulamentação?
5.3.2.2.1. a não-regulação também pode ser uma demanda regulatória
5.3.2.2.2. privacidade é uma primeira demanda
5.3.2.2.3. outros valores e interesses também são demandas, como a igualdade, liberdade de escolha, liberdade em um sentido mais amplo (pode ser limitada em um tratamento abusivo de dados pessoais)
5.3.2.3. problema da assimetria informacional
5.3.2.3.1. a transparência deve ser diretamente proporcional ao poder
5.3.2.3.2. a privacidade deve ser inversamente proporcional ao poder
5.3.2.4. privacidade é diferente da proteção de dados pessoais
5.3.2.4.1. a proteção de dados pessoais tem como objetivo fornecer instrumentos ao cidadão para que ele tenha controle sobre seus dados
5.3.2.4.2. privacidade como liberdade negativa
5.3.2.5. Marco normativo de proteção de dados no Brasil
5.3.2.5.1. CF 1988
5.3.2.5.2. CDC 1990
5.3.2.5.3. Lei de Habeas Data 1997
5.3.2.5.4. LAI 2011
5.3.2.5.5. Lei do Cadastro Positivo 2011
5.3.2.5.6. MCI 2014
5.3.2.5.7. procurar harmonizar-se com padrões internacionais (existem padrões mínimos a serem seguidos)
5.3.2.5.8. necessidade de um órgão central para a lei
5.3.3. Comentarista da Academia: Carlos Affonso (ITS-Rio)
5.3.3.1. MCI vem suprir uma demanda de legislação que trabalhasse com privacidade e proteção de dados na Internet
5.3.3.2. art.43 do CDC - ideia do consentimento para criação de cadastro
5.3.3.2.1. coleta, armazenamento
5.3.3.2.2. CDC faltou com o tratamento dos dados, algo que o MCI vem complementar
5.3.3.3. Perigo da inclusão digital pelo mobile, onde mais se dá a coleta massiva de dados
5.3.4. Comentarista do setor empresarial: Carol Conway (ABRANET)
5.3.4.1. regulamentação de diferentes tipos de dados
5.3.4.2. consentimento não é regra de ouro, mas sim a transparência e a finalidade
5.3.4.3. autorregulação também pode contribuir ao PL de proteção de dados
5.3.4.4. fluxo de dados exige regulação para o usuário, como principal beneficiário
5.3.5. Questões/Debate
5.3.5.1. Danilo: o PL é fruto de um trabalho coletivo. Autorregulação sempre teve um papel de destaque.
5.3.5.1.1. Carol: informação como regra de ouro - usuário poder determinar o que ele quer. Consentimento utilizado quando necessário.
5.3.5.2. Setor privado contra o ente regulador do projeto, como avançar?
5.3.5.2.1. Danilo: exige mais debate da sociedade.
5.3.5.3. Discussões internacionais estão sendo consideradas?
5.3.5.3.1. Danilo: sim, UE, EUA, OCDE...
5.3.5.4. Parajo: qual a relação entre projetos que estão sendo encaminhados com a PL da proteção de dados?
5.3.5.4.1. Danilo: há vários pontos de convergência no PL, mas veremos como será encaminhado. Convergência pelo menos técnica.
5.3.5.5. Criação da Autoridade, como está essa questão e qual o estágio atual do PL da proteção de dados?
5.3.5.5.1. Danilo: o andamento depende de decisões do MJ para debate. A proposta é da Autoridade para supervisionar e aplicar a lei.
5.3.5.6. A indústria estará preparada para fazer ajustes, demandas da lei?
5.3.5.6.1. Danilo: a indústria se adapta, muitas já apoiam a legislação. A questão na verdade é se o Estado conseguirá se adaptar.
5.3.5.7. Como está sendo pensado o guarda-chuva normativo?
5.3.5.7.1. Danilo: um microssistema que vai dialogar com outros microssistemas, como o MCI dialoga com o CDC. Adaptações quando detectadas devem ser feitas, mas só a prática saberá dizer melhor.
5.3.5.8. CAF: relações de trabalho, existe algum dispositivo pensado sobre isso?
5.3.5.8.1. Parajo: algo sobre investigações criminais tb?
5.3.5.8.2. Danilo: em última análise, o direito do trabalho é um direito privado. São direitos de personalidade que podem trazer novas discussões específicas, mas é uma norma geral. A regulação setorial ou revisão futura pode aparecer posteriormente. O mesmo se aplica ao caso das investigações.
5.3.5.9. Carol: existe alguma proposta sobre a Autoridade ser multistakeholder?
5.3.5.9.1. Danilo: é uma possibilidade. Pode haver uma comissão de composição desse nível.
5.4. Seminário II: A operacionalização/aplicação da lei brasileira: imperativos legais em interface com imperativos tecnológicos
5.4.1. Moderação: Cristine Hoepers (CERT.br/NIC.br)
5.4.2. Keynote 45 min.: Carlos Affonso (ITS-Rio)
5.4.2.1. precedente argentino
5.4.2.1.1. Maradona contra provedores de pesquisa
5.4.2.1.2. Brasil tem o caso da Xuxa, onde o Google não foi responsabilizado por não filtrar esse resultado
5.4.2.1.3. Google não tem responsabilidade e dever de monitorar sua plataforma - decisão da corte argentina no caso Maria Belén, de Córdoba.
5.4.2.2. exclusão de dados no MCI
5.4.2.2.1. exclusão definitiva dos dados pessoais no encerramento de um serviço
5.4.2.2.2. não é um direito ao esquecimento, como vem sendo interpretado
5.4.2.3. consentimento - perfis sombrios
5.4.2.3.1. pessoas que aparecem em redes sociais através de terceiros, mas a pessoa não está naquela rede social.
5.4.2.3.2. movimento "eu-quantificado", app de saúde da Apple por exemplo
5.4.2.4. inviolabilidade do celular
5.4.2.4.1. celular como elemento principal de inclusão digital no Brasil
5.4.2.4.2. app Secret
5.4.2.5. retenção de dados
5.4.2.5.1. guarda de dados para provedores de aplicação e de conexão
5.4.2.6. IoT
5.4.2.6.1. sensores IPv6, dispositivos conectados
5.4.2.6.2. Google Glass
5.4.2.6.3. como operacionalizar o consentimento?
5.4.2.6.4. quem tem responsabilidade pelos danos ocorridos de IoT?
5.4.2.6.5. padrões
5.4.3. Jorílson Rodrigues (Polícia Federal)
5.4.3.1. aplicação imediata do MCI para investigações
5.4.3.2. temos que oferecer instrumentos compatíveis para atuação do poder público
5.4.4. Joana Varon (Oficina antivig)
5.4.4.1. reconhecimento facial evoluindo para identificar comportamentos
5.4.4.2. conflitos de jurisdição
5.4.4.3. Brasil está lidando com a questão da privacidade em vários fóruns internacionais (ONU, NETMundial, UNESCO, ITU...)
5.4.4.3.1. Direito à privacidade na era digital (ONU)
5.4.4.3.2. preocupações sobre segurança pública podem injustificar coletas de dados. É obrigação do Estado assegurar os Direitos Humanos
5.4.4.3.3. Fóruns técnicos como o IETF
5.4.5. Dennys Antonially (InternetLab-USP)
5.4.5.1. jurisdição e soberania
5.4.5.1.1. os dados precisam estar aqui? repercussões caso Snowden - isso não resolve o problema
5.4.5.1.2. art. 11 MCI - serviços ofertados no Brasil, aplica-se a lei brasileira
5.4.5.1.3. autoridades de proteção de dados formam cooperações em investigações
5.4.5.2. retenção de dados
5.4.6. Questões/Debate
5.4.6.1. Cristine: falta de conhecimento de quem desenvolve as tecnologias, sobre potenciais de prejuízo à privacidade
5.4.6.1.1. CAF: interpretações do MCI devem ser construídas junto da comunidade técnica
5.4.6.1.2. Dennys: a Autoridade poderia ter também um papel educacional, para que as preocupações de privacidade fossem consideradas quando as tecnologias fossem desenvolvidas
5.4.6.2. Existe uma previsão no MCI que exonere startups sobre guarda de logs, e as dificuldades para inovação?
5.4.6.2.1. CAF: start-up é uma boa amostra sobre dificuldades em regulamentar tecnologia. Diálogo importante entre seguranças jurídica e técnica. Art.15 cria alguns condicionantes, tira algumas circunstâncias dessa aplicação.
5.4.6.3. Regulação do MCI atrapalha as investigações criminais?
5.4.6.3.1. Jorilson: falta regulamentar os pontos que ainda não foram regulamentados. O MCI não limita essa atividade porque ele é geral, não é específico no tema criminal.
5.4.6.4. As empresas estão prontas para identificar conteúdos ilegais e o judiciário vai dar conta de tantos processos?
5.4.6.4.1. Jorilson: não há uma obrigação de empresas criarem mecanismos de controle, a Polícia trabalha com hashs públicos internacionalmente.
5.4.6.5. Qual a análise sobre o MCI lidar com big data e IoT?
5.4.6.5.1. CAF: problema da guarda de dados, que seria muito custosa. É algo que ainda é difícil marcar se teria excessão para IoT. Precisamos de leis específicas sobre IoT?
5.5. Painel: Reflexão sobre equilíbrio entre direitos fundamentais; inovação; capacitação e desenvolvimento tecnológico; e segurança pública
5.5.1. Moderação: Thiago Tavares (CGI.br)
5.5.2. Christine Runnegar (ISOC)
5.5.2.1. desafios: não há definições universais para privacidade e dados pessoais
5.5.2.2. definir dados sensíveis. localização é um dado sensível?
5.5.2.3. consentimento - problema da assimetria, escolhas binárias e o usuário nem sempre tem informações suficientes para fazer a escolha
5.5.2.4. big data: é preciso pensar em ética, em o que é legítimo e justo
5.5.2.5. importância do contexto
5.5.3. Bruna Castanheira (DireitoTech)
5.5.3.1. impressão 3D e propriedade intelectual
5.5.3.2. segurança pública e regulamentação de armas de plástico
5.5.3.3. impressão 3D com muitos benefícios e potenciais, mas também o receio de impressão de armamentos
5.5.3.4. autoridades monitorariam impressões que fazemos em casa?
5.5.4. Leonardo Palhares (Câmara eNet)
5.5.4.1. a legislação não pode prever as tecnologias. a proteção hoje foca no básico da proteção de dados
5.5.4.2. o legislador deve estabelecer princípios que perpassem as tecnologias
5.5.5. Rodrigo Azevedo (CCBC)
5.5.5.1. MCI estabelece princípios importantes, mas deve ser interpretado em conjunto com outras normas, já existentes e com as que virão futuramente.
5.5.5.2. Trade-off digital
5.5.5.2.1. solução está na lei ou no indivíduo? possibilidade do indivíduo delimitar sua privacidade
5.5.5.3. Privacidade x liberdade de expressão
5.5.5.3.1. art. 20 código civil
5.5.5.3.2. como vai dialogar com o projeto de dados pessoais?
5.5.5.4. Privacidade x segurança
5.5.5.4.1. anonimato digital
5.5.6. Maristela Basso (CEST USP)
5.5.6.1. dados pessoais ainda como um conceito muito recente, enquanto direito à privacidade é bem mais antigo (e mais amplo)
5.5.6.2. equilíbrio = superação do conflito
5.5.6.2.1. princípio da interpretação consistente e perspectiva evolutiva
5.5.6.2.2. fundamental atualização de conceitos
5.5.6.3. a questão agora não é ter mais leis, mas educar os aplicadores da lei
5.5.6.3.1. preparar juristas, advogados, cursos de direito; ensinar de forma preventiva
5.5.6.4. Convenção 108 ganhando novos membros
5.5.6.4.1. adotar medidas já existentes seria melhor do que criar novas leis
5.5.6.4.2. empresas transnacionais tem um custo de adaptação, assim menos leis é mais conveniente
5.5.6.5. Brasil já adere várias normas internacionais sobre Direitos Humanos
5.5.7. Questões
5.5.7.1. O problema parece ser muito mais a falta de informações e conhecimentos sobre a Internet, para aplicar as leis. Como poderiam então estabelecer responsabilidades?
5.5.7.1.1. Maristela: transparência (como princípio de governança corporativa). A empresa deve ser totalmente transparente com seu usuário, informando riscos, pedindo consentimento, etc.
5.5.7.2. Christine: digital literacy é de grande importância.
5.5.7.3. Bruna: quando falamos de uma lei de proteção de dados, precisamos prever uma autoridade que aplique a lei.
5.5.7.4. Maristela: preocupação com uma autoridade governamental para "vigiar" as leis sobre Internet
5.6. Seminário III: Riscos e perspectivas à proteção da privacidade e dos dados pessoais
5.6.1. Moderação: Vagner Diniz (W3C Brasil)
5.6.2. Keynote 45min: Wendy Seltzer (convidada internacional – EUA, W3C )
5.6.2.1. privacidade, tecnologia e feedback
5.6.2.2. esferas de contexto overlapping
5.6.2.2.1. governo como cidadãos, empresarial como consumidores, peers como amigos e colegas
5.6.2.2.2. isso complica as configurações de privacidade
5.6.2.3. regulação, autorregulação e metarregulação
5.6.2.3.1. várias forças de regulação, como leis, mercado, arquitetura, normas (Lessig)
5.6.2.4. aumento de preocupação com privacidade no Brasil no último ano
5.6.3. Marcelo Marinelli (advogado)
5.6.3.1. mudança de paradigma nos conflitos judiciários
5.6.3.1.1. antes eram relacionados com conteúdos estáticos da Internet
5.6.3.1.2. hoje está nas redes sociais, o usuário não é mais passivo na Internet
5.6.3.2. ameaças "verticais" dos provedores de conteúdo ao usuário
5.6.3.2.1. geolocalização
5.6.3.2.2. data mining
5.6.3.2.3. reconhecimento facial
5.6.3.3. decisões do judiciário
5.6.3.3.1. redes sociais não são responsáveis pela análise prévia do conteúdo
5.6.3.3.2. redes sociais podem ser responsabilizadas se não retirarem conteúdo após denúncia
5.6.3.4. uso de jovens nas redes sociais e muitos desconhecem configurações de privacidade
5.6.4. Laura Tresca (Artigo 19)
5.6.4.1. promoção de agenda internacional da privacidade após o caso Snowden
5.6.4.2. Brasil investe em vigilância com a Copa do Mundo
5.6.4.3. Brasil também atuou com vigilância nos protestos de 2013 (operação Mosaic) - utilização de tecnologias de monitoramento pelo exército
5.6.4.4. preocupação com movimentos sociais - não se pode institucionalizar políticas de vigilância
5.6.4.5. exceções da liberdade de expressão preocupam a Artigo 19
5.6.5. Erick Iriarte (convidado internacional – Peru, ISOC)
5.6.5.1. responsabilidade compartilhada
5.6.5.1.1. Estado deve educar
5.6.5.1.2. pais de crianças também devem educar
5.6.5.2. o tema de proteção de dados na América Latina é relativamente novo
5.6.5.2.1. há regulações setoriais, não há uma visão política mais ampla
5.6.5.2.2. tratados internacionais que contemplam negócios (não necessariamente para proteger dados pessoais dos cidadãos)
5.6.5.3. privacidade sendo usada para que políticos se protejam, protejam seus próprios interesses (como corrupção e violações de direitos) - mecanismo de revisionismo histórico
5.6.6. Adriano Cansian (UNESP)
5.6.6.1. o mercado molda as leis
5.6.6.2. o foco agora é de aplicativos preocupados com privacidade
5.6.6.2.1. roteador Tor por exemplo
5.6.6.3. Facebook anuncia que dará mais controle ao usuário, mas não mudará seu modelo de negócios
5.6.6.3.1. política escrita de maneira clara para o usuário
5.6.7. Pedro Ekman (Intervozes)
5.6.7.1. preocupação com futuras tecnologias "vestíveis" e interfaces biométricas
5.6.7.2. a discussão regulatória é decisiva
5.6.7.3. cada vez mais potencialidade de rastreamento da intimidade
5.6.7.4. ninguém garante que os dados retidos não serão acessados sem ordem judicial
5.6.7.4.1. MCI não resolve problemas de privacidade, mas é um início
5.6.8. Questões
5.6.8.1. como obter voluntariamente do usuário o feedback? não deveríamos falar de controle da informação pessoal? (junção de dados que sozinhos podem não significar nada)
5.6.8.1.1. Wendy: há alguns modos de consentimento para participar de pesquisas de feedback. usar mecanismos de priorizar contextos de informações pessoais.
5.6.8.2. não rastreamento pelo usuário é permitido pelo MCI?
5.6.8.3. art. 21 do MCI - qual a experiência no âmbito internacional?
5.6.8.4. sistema scoring para inadimplência, como respeitar privacidade e transparência?
5.6.8.5. Erick: não podemos aplicar modelos europeus nos contextos latinoamericanos. É um problema mais humano do que tecnológico. Fontes de informações públicas: algumas informações são necessárias para a vida em sociedade; usar técnicas de anonimização. Não se pode usar leis de proteção de dados para esconder informações públicas.
5.6.8.6. Adriano: conjunto de pessoas da Internet podem resolver os problemas, como no caso do Spam. Deve haver legislação aplicada de maneira forte.
5.6.8.7. Laura: discutir políticas de segurança nacional para evitar violações de direitos humanos. Necessidade de uma autoridade administrativa que faça o papel de arbitrar violações sobre dados pessoais.
5.6.8.8. Pedro: tem que separar serviços públicos de privados, tendo transparência em atividades públicas. No âmbito privado, não pode haver a guarda massiva de dados para vigilância.
5.6.8.9. Marcelo: problema da retenção de dados do MCI, que determina um rastreamento (art.15). Necessidade de especialização do judiciário.
5.6.8.9.1. Carlinhos Cecconi: os dados, pelo art.15, só podem ser acessados por ordem judicial.
5.6.8.9.2. Pablo Pallazi: precedente da Argentina, onde a guarda de dados por 10 anos foi considerada inconstitucional
5.6.8.10. Pedro: artigo 15 do MCI impede o uso do Tor, por exemplo.
5.6.8.11. Wendy: devemos proteger também tecnologias, como criptografia, uso do Tor...devemos ter mais incentivos do mercado também, não somente as leis.
5.7. Painel de encerramento: Perspectivas e desafios do direito ao esquecimento
5.7.1. Moderação: Flávia Lefèvre (CGI.br)
5.7.2. Keynote: Pablo Palazzi (convidado internacional – Argentina)
5.7.3. Diogo Machado Melo (IASP)
5.7.3.1. direito da personalidade, séc.XX - conceito desatualizado.
5.7.3.1.1. hoje esse direito tem que ser pensado vinculado à Internet.
5.7.3.2. difusão transnacional do problema da memória, do dado que se quer suprimir
5.7.3.2.1. divergências de interpretação mundo afora
5.7.3.3. problema da eficácia do direito ao esquecimento
5.7.3.3.1. eficácia da medida judicial
5.7.4. Mônica Rosina (FGV)
5.7.4.1. direito ao esquecimento também aplicável fora da Internet
5.7.4.2. aplicável em micro legislações ao redor do mundo, ele já é previsto, até então existente de forma pontual
5.7.4.3. decisão da corte europeia
5.7.4.3.1. específica sobre o buscador eletrônico
5.7.4.3.2. não seria um total esquecimento, a decisão só dificulta a localização da informação
5.7.4.3.3. porém, o buscador é a porta de entrada para muita coisa na Internet, então a decisão se torna limitadora do acesso
5.7.4.4. lições do MCI
5.7.4.4.1. retirada de conteúdo com ordem judicial
5.7.5. Marcel Leonardi (Google)
5.7.5.1. na prática, o que foi decidido é a desassociação do nome de uma pessoa com a informação.
5.7.5.2. a decisão da corte determinou a responsabilidade de ponderação para as empresas privadas, e não para o judiciário
5.7.5.3. art. 19 MCI - remoção mediante de ordem judicial
5.7.5.3.1. PL do Dep. Eduardo Cunha sobre remoção de links por qualquer "pessoa"
5.7.5.3.2. ordem judicial como regra geral, existem exceções (pornografia infantil, revenge porn, conteúdos ligados a direito autoral)
5.7.5.4. no molde como está no legislativo, seria um retrocesso ao país
5.7.6. José Luiz Piñar (acadêmico – Espanha)
5.7.6.1. é o direito de arrependimento, de supressão
5.7.6.2. poder de disposição dos próprios dados pessoais, de caráter pessoal
5.7.6.3. Rodotá: não estar condenado à memória permanente
5.7.6.4. tribunal analisa somente a posição do buscador (caso Espanha)
5.7.6.4.1. o buscador como responsável do tratamento, que deve atender os direitos do usuário
5.7.6.4.2. em nenhum caso pode prevalecer o interesse econômico do responsável
5.7.6.4.3. aplicação extraterriorial da Diretiva 95/46 e da lei orgânica de proteção de dados espanhola
5.7.6.4.4. interpretação constitucional da proteção de dados na Europa (Carta Europeia de Direitos Humanos, art.8)
5.7.6.4.5. essa sentença não pode responder a todos os casos de direito ao esquecimento
5.7.6.4.6. formulário de solicitação de retirada de resultados de busca do Google
5.7.6.4.7. se refere somente aos domínios de buscadores na Europa
5.7.6.5. direito ao livre desenvolvimento da personalidade
5.7.7. Kelli Angelini (NIC.br)
5.7.7.1. direito ao esquecimento está em foco pelo que temos hoje, mas existe antes da Internet
5.7.7.2. realmente precisamos de mais uma lei específica sobre isso?
5.7.8. Questões
5.7.8.1. Flávia: mini reforma eleitoral - deu direito à remoção de conteúdo que poderia ser de interesse público
5.7.8.2. Diego Canabarro: art.19 trata da responsabilização civil em quem não cumpre ordem judicial, não se trata diretamente de remoção de conteúdo. Há um espaço de manobra pra combater esse "mito" da remoção de conteúdo?
5.7.8.2.1. Marcel: a remoção forçada só pode existir sob ordem judicial, para evitar abusos.
5.7.8.3. Thiago Tavares: direito à desindexação, da forma como tem sido implementada, cria um conflito com a liberdade de expressão. Conteúdos removidos não podem ter importância histórica? Não poderia haver medidas de anonimização dos nomes, e o conteúdo permaneceria indexado? E não poderia existir, então, o direito a indexação? O direito de ter seu conteúdo indexado?
5.7.8.4. Questão sobre neutralidade dos intermediários
5.7.8.4.1. José Luiz: o buscador não é mais um mero intermediário, é um responsável pelo tratamento que deve tomar decisões
5.7.8.4.2. Marcel: Qualquer buscador totalmente neutro não seria muito útil, existem parâmetros para medir a relevância, personalização, etc.
5.7.8.5. Erick Iriarte: Onde está o Estado latinoamericano nas discussões sobre governança da Internet; como agregar direitos humanos dentro dessas discussões globais?
5.7.8.5.1. José Luiz e Marcel: melhor o Estado não se envolver na questão de controle dos buscadores
5.7.8.6. Marcel: Google se preocupou em arquivar, por exemplo, os conteúdos do orkut, para registro histórico. O buscador foi sendo aprimorado, e a competição prevalece.
5.7.8.7. Flávia: foi consenso da mesa que o direito a personalidade deve ser relativizado concernente ao interesse público.
5.8. Encerramento
5.8.1. Thiago Tavares (CGI.br)
5.8.1.1. 309 inscritos, 147 presentes, 30 palestrantes
5.8.2. Carlos Afonso (CGI.br)
5.8.3. Flávia Lefèvre (CGI.br)
5.8.4. Danilo Doneda (MJ)
5.8.5. Marcel Leonardi (FGV/Google)
5.8.6. Kelli Angelini (NIC.br)
5.8.7. Raquel Gatto (ISOC)
5.8.7.1. caso Snowden extremamente positivo para o debate, colocou a pauta na ordem do dia, chamou a atenção da população, o Seminário ganhou um novo contexto, uma nova abordagem
5.8.8. Carlos Cecconi (NIC.br)
5.9. DADOS QUANTITATIVOS 2014
5.9.1. Total de 6 painéis, além das cerimônias de abertura e encerramento
5.9.2. Participação dos stakeholders
5.9.2.1. Governo
5.9.2.1.1. Aureo Marcus Makiyama Lopes, MPF (2x)
5.9.2.1.2. Danilo Doneda, Ministério da Justiça (3x)
5.9.2.1.3. Jorílson Rodrigues, Polícia Federal
5.9.2.2. Empresarial
5.9.2.2.1. Carol Conway, ABRANET
5.9.2.2.2. Leonardo Palhares, Câmara eNet
5.9.2.2.3. Rodrigo Azevedo, CCBC
5.9.2.2.4. Marcel Leonardi, Google
5.9.2.3. Terceiro setor
5.9.2.3.1. Demi Getschko, CGI.br/NIC.br
5.9.2.3.2. Raquel Gatto, ISOC (2x)
5.9.2.3.3. Eduardo Parajo, CGI.br
5.9.2.3.4. Cristine Hoepers, CERT.br/NIC.br
5.9.2.3.5. Joana Varon, Oficina antivig
5.9.2.3.6. Thiago Tavares, CGI.br
5.9.2.3.7. Christine Runnegar, ISOC
5.9.2.3.8. Bruna Castanheira, DireitoTech
5.9.2.3.9. Vagner Diniz, W3C Brasil
5.9.2.3.10. Wendy Seltzer, EUA, W3C
5.9.2.3.11. Marcelo Marinelli, advogado
5.9.2.3.12. Laura Tresca, Artigo 19
5.9.2.3.13. Erick Iriarte, Peru, ISOC
5.9.2.3.14. Pedro Ekman, Intervozes
5.9.2.3.15. Pablo Palazzi, Argentina
5.9.2.3.16. Diogo Machado Melo, IASP
5.9.2.3.17. Kelli Angelini, NIC.br
5.9.2.4. Academia
5.9.2.4.1. Alexandre Pacheco, FGV (2x)
5.9.2.4.2. José Luis Piñar Mañas, Espanha - Universidad CEU (2x)
5.9.2.4.3. Carlos Affonso, ITS-Rio (2x)
5.9.2.4.4. Dennys Antonially, InternetLab-USP
5.9.2.4.5. Maristela Basso, CEST USP
5.9.2.4.6. Adriano Cansian, UNESP
5.9.2.4.7. Mônica Rosina, FGV
5.9.2.5. 3 representantes governamentais, sendo que um deles participa de duas mesas, e outro participa de três;
5.9.2.6. 4 representantes empresariais;
5.9.2.7. 17 representantes do terceiro setor, sendo que um deles participa de duas mesas;
5.9.2.8. 7 representantes da academia, sendo que três deles participam de duas mesas cada.
6. 2015
6.1. Abertura
6.1.1. Demi Getschko (NIC.br)
6.1.1.1. ameaças maiores pela IoT
6.1.2. Fernanda Teixeira Souza Domingos (MPF)
6.1.2.1. trabalho do MPF e os diferentes grupos dentro da organização para trabalharem juntos a partir do MCI
6.1.2.2. importância do Seminário em debater conceitos e chegar a conclusões que precisam subsidiar a lei de proteção de dados
6.1.2.3. lei precisa de regras claras e bem definidas, que traga princípios para não ficar obsoleta
6.1.2.4. conceito de dado pessoal (identificável ou identificada)
6.1.2.5. a importância da ordem judicial, como previsto no MCI
6.1.2.6. IoT - maior quantidade de dados
6.1.2.7. Autoridade - quem será o órgão regulador?
6.2. Sessão 1: Questões Conceituais Revisitadas: Dados Anônimos, Dados Pessoais, Dados Sensíveis
6.2.1. Moderação: Demi Getschko (NIC.br)
6.2.1.1. exemplo do site Tudo Sobre Todos
6.2.1.1.1. dados facilmente obtidos na Internet. Poderia agrupá-los e vendê-los?
6.2.1.1.2. bloqueio do site no Brasil mas os dados dos brasileiros continuam lá, é pior ainda
6.2.2. Alexandre Pacheco (FGV)
6.2.2.1. dados pessoais são aqueles capazes de identificar
6.2.2.2. dado sensível existe uma grande possibilidade de discriminação
6.2.2.3. dados pessoais podem se encontrar em situações de grande sensibilidade?
6.2.2.3.1. por exemplo, nomes podem indicar descendência afro
6.2.2.3.2. mais importante que categorizar o dado, é o uso desse dado
6.2.2.4. caso rede Ashley Madison
6.2.2.4.1. ataques e divulgações de informações
6.2.3. Guilherme Damásio Goulart (podcast 'Segurança Legal')
6.2.3.1. dados pessoais x dados sensíveis
6.2.3.2. a questão do contexto
6.2.3.2.1. exemplo do caso Ashley Madison: e-mails vazados indicam o contexto do envolvimento de alguém ligado ao site de traições
6.2.3.3. a questão da publicidade
6.2.3.3.1. empresas se defendem clamando que os dados são públicos
6.2.3.3.2. o dado público legitimado permite abusos
6.2.3.3.3. o que é informação pública/dado público? algo que pode ser utilizado de qualquer forma, sem algum tipo de controle
6.2.3.4. direito à identidade pessoal
6.2.3.4.1. controlar como os outros nos veem
6.2.3.4.2. direito ao esquecimento
6.2.4. Carlos Bruno Ferreira da Silva (MPF - DF)
6.2.4.1. relações de poder
6.2.4.1.1. relações de direitos fundamentais
6.2.4.2. direito europeu
6.2.4.2.1. autodeterminação informativa
6.2.4.3. site Tudo Sobre Todos
6.2.4.4. dado pessoal: fragmento de informação que identifica uma pessoa
6.2.4.5. MCI: lei geral de Internet no Brasil, mas não uma lei suficiente de proteção de dados no Brasil
6.2.4.6. dado anônimo: possibilidade de não se referir à uma pessoa
6.2.4.6.1. não seria transformado em um dado de poder (relação de poder)
6.2.4.7. consentimento tem que ser pensado junto à finalidade
6.2.4.7.1. formas de limitação
6.2.4.8. dado sensível - segunda geração de leis europeias
6.2.4.8.1. conceito não desnecessário, mas um tanto quanto obsoleto
6.2.5. Questões/Debates
6.2.5.1. Tudo Sobre Todos, Escavador... sites faziam um contexto a partir das buscas. Outras empresas também fornecem esses serviços, de modo pago, de forma "legítima". Até que pontos os dados da Receita estão sendo legítimos desse uso?
6.2.5.1.1. Carlos Bruno: o MPF está buscando cooperação com a Suécia para resolver a questão do site Tudo Sobre Todos. Não há proibição sobre agregação de dados públicos. Informações bancárias estão sob sigilo legal, então o site pode ser processado. Porém, está previsto casos de sites como o Serasa.
6.2.5.1.2. Guilherme: data brokers. Há serviços legitimamente oferecidos sobre isso.
6.2.5.1.3. Alexandre: os modos de pagamento do Tudo Sobre Todos mudaram repentinamente de cartões e paypal para bitcoin, o que leva à impressão de ser um negócio ilegal, mostra a necessidade de se esconder
6.2.5.2. E-commerce faz coleta de dados externamente para atrair consumidores, como o MPF lida com isso? 6 meses para guarda de dados é pouco, precisamos repensar essa questão
6.2.5.2.1. Guilherme: projeto sobre spam, haver necessidade de um relacionamento anterior ou consentimento
6.2.5.2.2. Carlos: MPF também gostaria de mais prazo para guarda de logs, mas há resistência da sociedade civil
6.2.5.3. Usos e finalidades positivas e negativas, são decisões unilaterais?
6.2.5.3.1. Guilherme: finalidades para o sujeito - anteprojeto de lei de proteção de dados, foco no sujeito dos dados
6.2.5.4. O conceito de dados anônimos - seria reversível. Quebrar dicotomia com dados pessoais e flexibilizar na lei para permitir inovações e uso em políticas públicas
6.2.5.4.1. Carlos: norma geral não significa limitações à direitos gerais. Há interesse público que justifica limitações
6.2.5.4.2. Alexandre: definir estratégias para o uso dos dados, uso que queremos
6.2.5.5. Penas sobre os EUA e o caso Snowden
6.2.5.5.1. Carlos: separação entre dado pessoal e interesse público, daria outro grande debate
6.3. Sessão 2: Seminário Internet das Coisas e privacidade
6.3.1. Moderação: Vagner Diniz (CEWEB.br)
6.3.2. Diana Tomimura (Ministério das Comunicações)
6.3.2.1. alta expectativa quanto as possibilidades da IoT
6.3.2.2. Câmara de Gestão M2M - acompanha e estimula o desenvolvimento de aplicações
6.3.2.2.1. verificar impactos de privacidade
6.3.2.2.2. diagnóstico de grupos temáticos
6.3.2.2.3. educação (contato com MEC)
6.3.2.2.4. objetivo de criar um plano nacional de IoT, que aborde questões como privacidade e interoperabilidade
6.3.2.3. tema da privacidade seguindo mais a linha da UE, baseada em direitos fundamentais
6.3.2.4. qual a necessidade de consentimento com equipamentos, como vestíveis? como é o tratamento dos dados sensíveis?
6.3.2.5. como tratar a responsabilidade dos intermediários (são vários)?
6.3.2.6. buscar um nível adequado de proteção ao cidadão, sem inibir negócios e inovação
6.3.3. Kelli Angelini (NIC.br)
6.3.3.1. questão de consentimento
6.3.3.1.1. o simples fato de visitar um site e ter cookies de rastreamento / para publicidade
6.3.3.2. exemplo de IoT: streetline - conecta o smartphone ao carro
6.3.3.2.1. interage com o usuário, colhe informações de horários, trajetos, etc.
6.3.3.2.2. como os dados serão tratados? por exemplo, seria muito interessante para seguradoras pelo perfil do motorista
6.3.3.3. ordenamento jurídico brasileiro: "colcha de retalhos"
6.3.3.3.1. CDC, MCI, CF, etc.
6.3.3.4. Proposta do regime híbrido
6.3.3.4.1. regulamentação estatal (leis)
6.3.3.4.2. autorregulação (códigos de conduta validados pela autoridade/órgão competente)
6.3.3.4.3. proteção via tecnologia (como criptografia)
6.3.3.4.4. mobilização da população para a proteção (educação e conscientização)
6.3.3.5. proteção da privacidade não é inimiga da inovação
6.3.4. Alexandre Atheniense (ESA-OABSP)
6.3.4.1. projeto de lei de dados pessoais mais voltado ao modelo europeu do que aos EUA
6.3.4.2. sistema que preze por segurança, privacidade e avanço tecnológico
6.3.4.3. IoT - estamos falando de sensores, não máquinas exatamente. Coletam informações, não as processam.
6.3.4.3.1. questão das responsabilidades
6.3.4.4. riscos
6.3.4.4.1. desconhecimento dos usuários sobre a coleta de dados
6.3.4.4.2. indivíduos podem ser monitorados, sem saber que terceiros terão acesso aos dados
6.3.4.5. segurança da informação deve seguir protocolos internacionais
6.3.4.6. expectativas
6.3.4.6.1. ampliar o debate legislativo sobre a proteção de dados pessoais e a regulamentação do MCI
6.3.4.6.2. ampliar a conscientização das pessoas sobre métodos de coleta, guarda, tratamento, consentimento, finalidade, compartilhamento e exclusão de dados pessoais
6.3.5. Adriano Cansian (UNESP)
6.3.5.1. IoT - termo aparece no ano 2000, mas o conceito de conexão entre coisas data da década de 1960 (Rand Corporation)
6.3.5.2. concorda com Kelli sobre a regulação sozinha não ser suficiente para sanar os problemas
6.3.5.2.1. deve haver mecanismos tecnológicos de segurança diretamente nos equipamentos
6.3.5.2.2. incentivos, persuasão (ter um mercado mais consciente, com a regulação que coloque isso nos eixos)
6.3.5.2.3. tecnologia + mercado + questão legal
6.3.6. Neide de Oliveira (MPF)
6.3.6.1. grupos especializados em crimes cibernéticos
6.3.6.2. preocupação com educação de jovens e crianças - oficinas e projeto voltados à educação digital
6.3.6.3. IoT: mundos físico e digital se tornando um só
6.3.6.4. falhas
6.3.6.4.1. autorizações insuficientes, falta de criptografia...
6.3.6.5. Lei Carolina Dieckmann
6.3.6.5.1. invasão de dispositivo informático ("hacking")
6.3.6.5.2. legislação deficiente
6.3.7. Questões/Debate
6.3.7.1. o quanto podemos escolher ter equipamentos IoT, escolher fugir de rastreamentos? tais mecanismos poderiam estar obrigados por lei
6.3.7.2. aplicativos que acessam outras ferramentas do celular, por exemplo. o que podemos fazer sobre o princípio da necessidade?
6.3.7.2.1. Neide: tentativa de fazer o projeto de educação digital se tornar política pública, junto ao MEC
6.3.7.3. transferência de dados internacional - dados coletados no Brasil, mas tratados em outro país - como pensar regulação nesse âmbito?
6.3.7.3.1. Alexandre: não há regulamentação no Brasil sobre transferência de dados internacional. MCI: dado coletado no Brasil, aplica-se a jurisdição brasileira (art.11). Isso será melhor detalhado na lei específica de proteção de dados.
6.3.7.3.2. Neide: se a empresa presta serviço no Brasil, deve-se aplicar a jurisdição nacional
6.3.7.4. Wagner: a engenharia desses aparelhos não suporta tanta exigência técnica
6.3.7.4.1. Alexandre: dados coletados poderiam ser anônimos
6.3.7.4.2. Diana: hoje em dias as pessoas já dão consentimento para diversas situação na Internet. O consentimento vai resolver a questão?
6.4. Sessão 3: Seminário Formas de consentimento e Proteção a direitos fundamentais de liberdade
6.4.1. Moderação: Flávia Lefèvre (CGI.br)
6.4.1.1. empresas criticam as propostas de consentimento
6.4.1.2. como o direito de consentimento se adequa aos princípios
6.4.2. Leonardo Palhares (Camara e-net)
6.4.2.1. CF - proteção à privacidade - base ao consentimento
6.4.2.2. tendência de legislar para resolver exceções
6.4.2.2.1. ex.: lei da entrega agendada no e-commerce
6.4.2.3. qual a função do legislador ao tratar de inovações tecnológicas?
6.4.2.4. modelo gratuito da Internet
6.4.2.4.1. consentimento - qual Internet vamos querer ter? a todo momento ficar consentindo com serviços?
6.4.2.5. todas as leis de proteção de dados prevêm a questão do consentimento
6.4.2.5.1. especificidade do consentimento no Brasil é a questão da exceção
6.4.2.6. consentimento deve ser inequívoco e bem informado
6.4.2.6.1. sem travar o desenvolvimento tecnológico
6.4.2.6.2. responsabilidade de definição e de casos pela Autoridade de Proteção de Dados
6.4.3. Marcel Leonardi (Google)
6.4.3.1. EUA: prevalece a liberdade contratual. FTC - práticas podem ser consideradas enganosas ou abusivas? a ideia do consentimento amplo, desde que demosntrável é válido
6.4.3.2. Europa: regra geral consentimento inequívoco (diretiva 45/96/EC)
6.4.3.2.1. consentimento expresso é exceção: válido para dados sensíveis, por exemplo
6.4.3.2.2. consentimento informado - quais as finalidades e o tratamento dos dados
6.4.3.3. fadiga do consentimento - se há muitos pedidos de consentimento
6.4.3.4. MCI: consentimento expresso
6.4.3.4.1. ausência de conceito de dados pessoais inviabiliza esse modelo de consentimento
6.4.3.5. anteprojeto de lei - há exceções sobre consentimento
6.4.3.5.1. não foi importado o conceito de legítimo interesse europeu
6.4.3.5.2. causaria entraves na experiência do usuário e inviabiliza a inovação
6.4.3.5.3. olhar para a reforma da Diretiva europeia
6.4.4. Bruno Bioni (USP)
6.4.4.1. OCDE 1980 - diretrizes. Consentimento como pilar regulatório e difusão de leis
6.4.4.2. descompasso entre arquitetura jurídica (80s) x arranjo social econômico (90s)
6.4.4.2.1. antigamente, preocupação maior com Estado e dados, mas hoje, empresas e modelo de negócios digitais
6.4.4.3. publicidade comportamental
6.4.4.3.1. fluidez dos dados pessoais
6.4.4.4. consentimento como "carta coringa regulatória"
6.4.4.5. pouca exigência do regulador sobre a forma de como o consentimento será dado
6.4.4.5.1. autorregulação e políticas de privacidade
6.4.4.5.2. fadiga do consentimento
6.4.4.6. custo social em estar nas redes, nesses serviços
6.4.4.6.1. opção do "take it or leave it"
6.4.4.6.2. falta poder de barganha ao usuário
6.4.4.6.3. relações assimétricas
6.4.4.7. restrições por contexto - "soluções" tecnológicas como saída para escolher o controle dos dados (aplicações, extensões de navegador)
6.4.4.7.1. privacy enhanced technologies
6.4.4.7.2. preferências de privacidade tem que ser executáveis - granularidade, práticas menos invasivas
6.4.4.7.3. Estado intervir para privacy by default e privacy by design
6.4.5. Carlos Bruno Ferreira da Silva (MPF - DF)
6.4.5.1. MCI - não fornecimento à terceiros, mediante consentimento livre, expresso e informado
6.4.5.2. contratos de adesão, modelo "tudo ou nada" - não funciona
6.4.5.3. é necessária uma agência de proteção de dados que garanta que o modelo de negócios não atinja os direitos fundamentais
6.4.5.4. mais que consentimento, o importante é ter informação, que o usuário saiba o que ocorrerá com seus dados, de preferência, podendo optar por modelos, que não seja o "tudo ou nada"
6.4.5.5. Diretiva Europeia de 1995: tem seus problemas, por isso passa por reformas, as soluções não são simples
6.4.5.6. exceções para o Estado na regulação alemã
6.4.5.6.1. não funciona isso no Brasil
6.4.6. Questões/Debate
6.4.6.1. Flávia: a que atribuem a demora do PL e quais os prejuízos entre a defasagem da lei e a realidade? como podemos evitar esse prejuízo? Que autoridade será essa, tão mencionada no PL?
6.4.6.1.1. Marcel: grande vacatios legis e o debate é demorado mas está progredindo. O prejuízo maior é o que será da lei sem uma Autoridade de garantia. Não podemos apressar a lei sem a clareza sobre a Autoridade.
6.4.6.1.2. Leonardo: o PL é fruto de muita discussão, exemplo de democracia online. Sem a Autoridade de garantia, prejudicaria muito a lei - quem seria o órgão regulador? Não pode ser apenas estatal, tem que ser uma agência específica para o tema e de composição multifacetada.
6.4.6.1.3. Carlos: questão econômica causa entraves no desenvolvimento da lei. depende de interesses econômicos, vontade governamental. Concorda que uma lei sem Autoridade seria muito prejudicial. Já é um problema no MCI, onde não se sabe quem aplica a lei. Órgão de garantia deveria ser multissetorial.
6.4.6.1.4. Bruno: conflito com modelos de negócios existentes, por isso a demora no PL. é prejudicial ao empreendedorismo e ao cidadão
6.4.6.2. Qual a solução efetiva para a intervenção do Estado?
6.4.6.2.1. Bruno: tornar executáveis novas formas de controle dos dados pessoais. imposição de norma ou de Autoridade de garantia. Essa Autoridade é o reconhecimento que o cidadão não tem força ou conhecimento para exercer seus direitos. Mas seus poderes devem ser explicitados, que gera incerteza. Estabelecimento de padrões de segurança exigem um modelo multissetorial. Não tem como ser a Autoridade ser totalmente multissetorial, mas deve haver diálogo.
6.4.6.3. A regulação traria benefícios tão claros, mas quem vai investir, "pagar a conta" da regulação?
6.4.6.4. Qual é o papel dos princípios do CGI para suplementar o debate?
6.4.6.4.1. Marcel: princípios 1, 5 e 10 já abrangem o tema. O aspecto da inovação que depende de exceções e torna mais complexo. O decálogo serve de inspiração, mas deve-se pensar também na inovação, independente do modelo de negócios
6.4.6.4.2. Leonardo: direciona as discussões
6.4.6.5. Como ligar consentimento ao legítimo interesse?
6.4.6.5.1. Bruno: modernização da diretiva europeia não é consensual - teste rígido sobre a exceção, para assegurar o interesse legítimo. Só qualificar consentimento não resolve.
6.5. Sessão 4: Seminário Privacidade, segurança, criptografia e identidade digital: questões e tendências contemporâneas
6.5.1. Moderação: Thiago Tavares (CGI.br)
6.5.1.1. novo contexto pós-Snowden, cresce a importância da criptografia
6.5.2. Renato Martini (CGI.br/Casa Civil)
6.5.2.1. qual a natureza do sigilo e qual seu alcance?
6.5.2.2. sigilo: anti-intuitivo
6.5.2.2.1. o modo de ser do homem é de comunicar e compartilhar
6.5.2.3. peopleware: focar no lado humano antes do lado técnico
6.5.2.4. contrário do compartilhamento: resultado de esforço metódico=retenção da informação
6.5.2.4.1. sigilo como retenção socialmente organizada da informação
6.5.2.5. tensão criativa: impulso de compartilhar e proteger dados sensíveis
6.5.3. Cláudio Machado (APAI-CRVS)
6.5.3.1. Identidade legal na Internet
6.5.3.1.1. ODS (ONU)
6.5.3.1.2. identificação = controle
6.5.3.1.3. identidade digital
6.5.3.1.4. falta abordagem holística ao problema
6.5.3.1.5. projetos como UOL Senha Única e Login Cidadão
6.5.3.1.6. a prestação de serviços por meios eletrônicos só será uma realidade no país quando tivermos meios seguros e inclusivos de identificar o cidadão/usuário
6.5.4. Cristine Hoepers (CERT.br)
6.5.4.1. privacidade e segurança não competem entre si
6.5.4.2. vazamentos de dados serão cada vez mais frequentes
6.5.4.2.1. criação de bancos de dados que não existiam antes, e informações que antes eram difusas
6.5.4.3. definir quais dados são essenciais para guardar
6.5.4.4. problemas de junção de bases de dados
6.5.4.4.1. exemplo: compra do Whatsapp pelo Facebook
6.5.4.5. implementação de criptografia gerando problemas
6.5.4.5.1. profissionais formados sem se preocupar com segurança dos sistemas
6.5.4.6. crise de confiança na infraestrutura de chaves-públicas
6.5.4.6.1. não há como garantir a segurança de autoridades no mundo todo (emissão de certificados digitais)
6.5.4.7. precisa pensar melhor as estruturas e ter softwares melhores desenvolvidos
6.5.5. Pedro Rezende (UNB)
6.5.5.1. privacidade=separabilidade de papéis sociais
6.5.5.1.1. capacidade de exercer os seus de forma autônoma ou livre
6.5.5.2. dado é uma relação entre registros
6.5.5.2.1. informação: transferido através da comunicação
6.5.5.2.2. confiança: dificuldade de rastrear origens do canal de comunicação
6.5.5.3. crise na utilidade da criptografia
6.5.5.3.1. problemas estruturais
6.5.5.4. cerco tecnológico e vigilantismo global
6.5.5.4.1. arquitetura de opressão
6.5.6. Questões/Debate
6.5.6.1. investimentos em educação e na qualidade do acesso são tão significativos quanto os investimentos em segurança, em criptografia. Não adianta investir em segurança se as pessoas não sabem se proteger.
6.5.6.1.1. Cristine: há uma relação clara entre grau de escolaridade e nível de segurança. Alfabetização digital alta traz maior segurança.
6.5.6.1.2. Pedro: o diagnóstico está correto, mas precisamos também de conscientização. É um problema cultural
6.5.6.2. Preocupação com a falsificação de certificados digitais
6.5.6.2.1. Cristine: o usuário precisaria saber diferenciar se o certificado está correto. há propostas de listar entidades certificadoras... o usuário fazer duas checagens diretamente com as instituições. Protocolos estão em discussão.
6.5.6.2.2. Renato: certificados automáticos nos navegadores, hoje pensa-se em um consórcio de empresas, mas que seria algo dos países do Norte, o que pode ser uma barreira de acesso.
6.6. Sessão 5: Painel Garantindo direitos na Internet: o Marco Civil brasileiro e a "Dichiarazione dei Diritti" italiana
6.6.1. Moderador: Carlinhos Cecconi (NIC.br)
6.6.2. Indutor: Omar Kaminski (Observatório do Marco Civil)
6.6.2.1. Seminário como principal fórum de discussão desse tema
6.6.2.2. privacidade como relação de poder
6.6.2.2.1. privacidade é um direito, previsto em pontos da CF, Código Civil
6.6.2.2.2. mencionado 4 vezes no MCI
6.6.2.3. dificuldade de entendimento do MCI por parte da população
6.6.2.3.1. críticas infundadas ao MCI
6.6.2.4. projetos de lei de regulamentação do MCI
6.6.2.5. necessidade de avaliar a eficácia do MCI
6.6.2.6. art.19 como o mais acionado na Justiça
6.6.2.6.1. Google e Facebook são os players que mais aparecem
6.6.2.7. art.5 - dados de conexão e de acesso a aplicações
6.6.2.7.1. polêmica sobre a porta de origem de conexão
6.6.2.8. Declaração Italiana
6.6.2.8.1. proteção ao anonimato (art.10)
6.6.2.8.2. declaração de direitos = direitos humanos
6.6.3. Luca Belli (CTS/FGV Rio)
6.6.3.1. iniciativa italiana surgiu em 2005
6.6.3.1.1. objetivo de definir princípios constitucionais, a fim de equilibrar direitos humanos e exigências de segurança, do mercado e direitos de propriedade intelectual
6.6.3.1.2. evitar que governos autoritários e grandes players da Internet transformem em uma ferramenta pelo controle de bilhões de indivíduos
6.6.3.2. Coalizão no IGF
6.6.3.2.1. cooperação com o Brasil no IGF 2007
6.6.3.3. Brasil ganha visibilidade internacional com o MCI e o NETMundial
6.6.3.3.1. Itália exerce presidência do Conselho Europeu
6.6.3.3.2. Itália faz consulta pública
6.6.3.4. Itália
6.6.3.4.1. declaração não é uma lei, como o MCI
6.6.3.4.2. caráter de soft law
6.6.3.4.3. problemas da Carta Magna
6.6.3.4.4. dimensão multissetorial
6.6.3.4.5. necessidade de uma discussão internacional e multissetorial
6.6.3.4.6. garantias de implementação da Declaração
6.6.3.4.7. art.2 direito de acesso
6.6.3.4.8. art.4 neutralidade da rede
6.6.3.4.9. art.10 proteção do anonimato
6.6.3.4.10. art.11 direito ao esquecimento
6.6.4. Diego Canabarro (NIC.br)
6.6.4.1. trabalhos preparatórios como guia para interpretação e implementação
6.6.4.1.1. MCI "da Internet", não das teles ou da propriedade intelectual
6.6.4.1.2. necessidade de preservar a arquitetura original da rede
6.6.4.1.3. Declaração de Princípios do CGI como comparativo à Declaração Italiana (e base ao MCI)
6.6.4.2. comparações
6.6.4.2.1. Declaração Italiana
6.6.4.2.2. MCI
6.6.4.2.3. direitos e garantias nas plataformas
6.6.4.3. sugestão de comparação do Decálogo do CGI com a Declaração Italiana
6.6.5. Questões/Debates
6.6.5.1. Qual a principal contribuição do MCI para a Declaração italiana?
6.6.5.1.1. Luca: MCI utilizado como melhores práticas e como aplicar pontos que já eram discutidos na Europa. Brasil como referência em processo participativo de elaboração.
6.6.5.2. Estabelecer marcos é garantir direitos de acesso à Internet? Temos dificuldades de estabelecer garantias de nossos exercícios por direito em rede?
6.6.5.2.1. Omar: de acordo com o princípio da Internet ser direito fundamental
6.6.5.2.2. Luca: Internet como condição para exercer direitos fundamentais, mas difícil implementar.
6.6.5.2.3. Diego: não é reconhecido ainda no direito internacional um país ter acesso às redes de telecomunicação de outro. Mais factível direito à Internet para exercer outros direitos, do que o direito de acesso em si.
6.6.5.3. A importância do Decálogo do CGI para regulamentar a Internet
6.6.5.3.1. Diego: princípios para serem adequados e colocados em prática na forma da lei
6.6.5.4. Direito à identidade recomendado pela declaração italiana
6.6.5.4.1. Luca: esse direito não é necessário onde já se tem uma proteção dos dados pessoais.
6.6.5.5. Até que ponto vamos considerar a falta de conhecimento do usuário para se exercer tudo isso?
6.6.5.5.1. Luca: legalmente, os usuários sabem pelos contratos de adesão. Como ninguém lê, há projetos voltados à regulamentação de uso da Internet sendo apresentados no IGF.
6.6.5.6. Muitos países não regulamentaram a guarda de logs porque o caso Snowden mostrou que eles não são necessários, eles interceptam os fluxos das informações -> discussão segurança x privacidade. Por isso deve haver diálogo e consenso intermediário.
6.6.5.6.1. Luca: a Europa considera não necessária a guarda excessiva de dados.
6.7. Sessão 6: Painel Reflexão geral sobre a responsabilidade dos agentes no tratamento aos dados pessoais
6.7.1. Moderador: Luiz Fernando Martins Castro (OAB/SP - Comissão de Informática Jurídica)
6.7.2. Dennys Antonialli (Internet Lab)
6.7.2.1. responsabilidade de agentes no PL de dados pessoais
6.7.2.1.1. art.35
6.7.2.1.2. controladores e processadores de dados
6.7.2.1.3. responsabilidade objetiva x responsabilidade subjetiva
6.7.2.1.4. Tudo Sobre Todos
6.7.2.1.5. App Lulu
6.7.2.1.6. não há uniformidade nas decisões
6.7.2.2. aplicação e fiscalização
6.7.2.2.1. art.11 MCI - pelo menos um dos terminais do Brasil, aplica-se a legislação brasileira
6.7.2.2.2. empresas que tem sede no Brasil tornam mais fácil a responsabilização
6.7.2.2.3. empresas sediadas fora do Brasil tornam a responsabilização mais difícil
6.7.2.2.4. o papel da Autoridade de garantia
6.7.3. Renato Leite Monteiro (Mackenzie)
6.7.3.1. empresas não tem obrigação de divulgar vazamentos de dados
6.7.3.1.1. proposta no PL
6.7.3.2. legislação nacional - proteção setorial
6.7.3.3. caso Phorm
6.7.3.3.1. parceria com a Oi - acesso irrestrito ao fluxo de navegação para publicidade direcionada
6.7.3.3.2. caso pré-MCI - foi aplicado do CDC e o Decálogo do CGI (violação do princípio da neutralidade)
6.7.3.3.3. faltou transparência para com o consumidor
6.7.3.4. caso Tudo Sobre Tudo
6.7.3.4.1. dados públicos de acesso irrestrito também tem direitos e garantias
6.7.3.4.2. condenou com multa (pequena) e retirada dos dados usados sem consentimento dos titulares
6.7.3.5. Lei do Cadastro Positivo
6.7.3.5.1. desrespeito aos limites legais (abuso) pode ensejar responsabilidade objetiva do fornecedor do serviço
6.7.3.5.2. princípios da finalidade e da proporcionalidade
6.7.3.6. Risk Based Approach - Europa
6.7.3.6.1. metodologia técnica - empresas categorizam dados em quanto sensíveis eles são - então têm-se sistemas diferenciados e atribuição de níveis de responsabilidade
6.7.3.6.2. países como a Alemanha são contra esse sistema
6.7.3.7. PL de dados pessoais coloca a responsabilidade subjetiva
6.7.3.7.1. o ideal seria retomar a responsabilidade objetiva e ser mais incisivo sobre responsabilidades do setor público
6.7.4. Danilo Doneda (MJ)
6.7.4.1. indenização não é a parte principal da resposta ao cidadão
6.7.4.1.1. objetivo de modificar condutas sobre dados pessoais
6.7.4.2. responsabilidade civil modificando condutas
6.7.4.2.1. efeito patrimonial
6.7.4.2.2. efeito moral
6.7.4.3. PL de dados pessoais
6.7.4.3.1. separação de responsabilidades pelos agentes
6.7.5. Questões/Debate
6.7.5.1. como garantir a proteção de dados que já existem livremente pela Internet? Por ex.: dados da junta comercial de SP, esses dados já estão disponibilizados, como protegê-los?
6.7.5.1.1. Danilo: é uma mentalidade que teremos que abandonar de certa forma. O Brasil está perdendo oportunidades comerciais não tendo proteção adequada aos dados. A tendência é que essa impotência seja diminuída, acerca de controle de seus dados. Não é porque o dado está disponível que ele pode ser usado para qualquer coisa. Dados públicos não podem ter qualquer finalidade.
6.7.5.1.2. Dennys: acesso à plataforma dos dados - construção de bancos de dados devem ter ferramentas para acesso legítimo. Mecanismos tecnológicos + cultura de proteção de dados.
6.7.5.2. qual é a extensão da eficácia de um princípio constitucional? Publicidade, transparência e uso indevido dos dados
6.7.5.2.1. Dennys: tem que avaliar questões de transparência, para estabelecer limites. Funcionário público por exemplo tem o dever de disponibilizar alguns dados, como salário. Precisa avaliar quais dados precisam ser publicizados.
6.7.5.2.2. Renato: analisar a proporção de cada direito a ser aplicado (privacidade e transparência)
6.8. Sessão 7: Debate público sobre Projetos de Lei e o APL sobre privacidade e proteção de dados
6.8.1. Moderador: Percival Henriques (CGI.br)
6.8.2. Veridiana Alimonti (Coletivo Intervozes)
6.8.2.1. ameaças de PLs no Congresso
6.8.2.1.1. PL com foco em crimes contra honra, atinge o MCI (art.19) - ameaça mais grave é sobre não ter mandando judicial para ter acesso à guarda de dados
6.8.2.1.2. PL de 2012 sobre tratamento de dados pessoais - permissividade completa. Não traz princípios, baixo nível de consentimento necessário e não atribui responsabilidades pelo tratamento
6.8.2.1.3. PL de 2014 do Senado sobre dados pessoais, mas não poderia criar uma Autoridade (deve partir do Executivo)
6.8.3. Fabricio Mota, assessor do senador Aloísio Nunes
6.8.3.1. estão recebendo contribuições apenas pelo setor afetado (privado)
6.8.3.1.1. pede maior contribuição de outros setores
6.8.3.1.2. Seminário está contribuindo para sugestões, mas pede que participantes dali enviem suas contribuições
6.8.3.2. evoluir na discussão sobre a Autoridade, é um debate também de cunho político e não só técnico
6.8.3.3. o projeto está se aprimorando na questão da transnacionalidade, de dados anonimizados
6.8.4. Renato Opice Blum (Insper)
6.8.4.1. poder computacional e acesso facilitado são os grandes pontos de destaque
6.8.4.1.1. complexidade maior com IoT
6.8.4.2. o que é dado pessoal e quais os limites de uso
6.8.4.2.1. receio de não ter mais como regular a coleta
6.8.4.3. atraso na regulamentação do MCI
6.8.4.4. necessidade de esclarecer termos de uso e investir em educação digital
6.8.4.4.1. hábitos de segurança básicos devem ser mudados
6.8.5. Cristiano Heckert (CGI.br)
6.8.5.1. como regular o tratamento dos dados, porque os dados já estão sendo coletados o tempo todo
6.8.5.2. atrair investimentos demanda segurança jurídica
6.8.5.3. busca da agenda de governo eletrônico que otimizem serviços
6.8.5.4. governo aberto = tornar o Estado mais transparente, órgãos precisam de balizamento sobre o que publicizar e o que deve ser mantido em sigilo
6.8.6. Danilo Doneda (MJ)
6.8.6.1. relembra o início da proposta pelo Mercosul em 2005, declaração do governo brasileiro com intenção de trabalhar com parâmetros comuns
6.8.6.1.1. consultas públicas em 2010 e 2015
6.8.6.1.2. até aqui, já há bem mais massa crítica sobre o tema
6.8.6.2. PL do executivo sendo o mais vistoso que temos até então
6.8.6.2.1. temas que mais ocupam as discussões
6.8.6.2.2. previsão do relatório de impacto da privacidade
6.8.6.2.3. exceções para segurança pública
6.8.7. Questões/Debate
6.8.7.1. o Minis. do Planejamento ou MJ fez alguma previsão de quando custaria a implementação da Autoridade? Há algum estudo de quanto o Brasil perde em investimentos por conta da proximidade de legislação, especialmente com a diretiva europeia?
6.8.7.1.1. Percival: uma estrutura mínima para a Autoridade seria suficiente
6.8.7.1.2. Cristiano: o MJ fez um cálculo a respeito da estrutura da Autoridade, que seria um custo bem menor em comparação ao que o Brasil está perdendo em investimentos.
6.8.7.1.3. Danilo: não há um dado preciso, mas há um estudo que coloca em milhões de dólares sobre os benefícios que o país ganharia.
6.8.7.2. o quanto é possível e eficaz a autorização para a coleta de dados? o quanto há necessidade dessa autorização, já que o brasileiro médio parece não se importar tanto com isso?
6.8.7.2.1. Veridiana: tem que ter o direito de consentir, e os objetivos da coleta devem ser informados.
6.9. Sessão 8: Conferência 20 anos do CGI.br: Princípio Ambiente Legal e Regulatório
6.9.1. Moderador: Thiago Tavares (CGI.br)
6.9.2. Raul Echeberría (ISOC)
6.9.2.1. Internet em camadas
6.9.2.1.1. hoje Internet além das infraestruturas de telecom (wifi)
6.9.2.2. objetivos em comum da América Latina
6.9.2.2.1. conectar os ainda não conectados
6.9.2.2.2. serviços de desenvolvimento humano
6.9.2.2.3. Internet como ferramenta de potencializar o exercício de direitos, especialmente Direitos Humanos
6.9.2.2.4. regulações devem contribuir para esses objetivos
6.9.2.3. infraestrutura é bastante regulada
6.9.2.4. camada de serviços da Internet (há autorregulação)
6.9.2.4.1. múltiplos atores
6.9.2.4.2. modelos participativos, consensos bottom-up, transparência como elemento fundamental
6.9.2.4.3. RIRs, IETF, ICANN
6.9.2.4.4. governança da Internet difere dos mecanismos de governança tradicional
6.9.2.4.5. transição da IANA
6.9.2.4.6. evoluções em mecanismos multistakeholder
6.9.2.5. camada econômica (e sociocultural)
6.9.2.5.1. ameças dos intermediários
6.9.2.5.2. estamos em direção à uma sociedade muito menos regulada
6.9.2.5.3. se regularmos, a quem estaremos respondendo?
6.9.2.5.4. grande tema de privacidade e proteção de dados nessa camada
6.9.2.5.5. regulações não podem impedir a inovação e a evolução da Internet
6.9.3. Alison Gillwald (Research ICT Africa)
6.9.3.1. governança operando em diferentes níveis
6.9.3.2. precisamos entender o contexto da governança global, porque temos uma economia global
6.9.3.3. nível nacional: Estados
6.9.3.3.1. valores, objetivos da política implementada por lei
6.9.3.3.2. múltiplos loci: governança econômica global; integração regional; processos de administração de justiça nacional; entrega local
6.9.3.3.3. características setoriais: papel do Estado diferente em relação aos meios de produção / entrega em cada setor
6.9.3.3.4. vários modos de regulamentação: OMC, NRAs, comissões de concorrência
6.9.3.3.5. incorporado em camadas mais antigas de governança: ITU, PTOs
6.9.3.3.6. dependente de instituições e práticas nacionais
6.9.3.3.7. alinhamento com as tendências globais dependentes da economia política nacional
6.9.3.4. Reforma da ITU - mesmo wifi é infraestrutura
6.9.3.5. neutralidade da rede e zero-rating: diferenciações em diferentes lugares
6.9.4. Questões/Debate
6.9.4.1. Thiago: acha viável uma mudança legal nos esquemas de vigilância dos EUA e qual seria os limites do direito internacional nessa seara?
6.9.4.1.1. Alison: importância do caso Snowden em mostrar esse cenário crítico, os direitos dos cidadãos não podem simplesmente ser confiscados. Há confusão entre segurança e vigilância e há venda de mecanismos de vigilância para outros países.
6.9.4.2. quais são as perspectivas de cooperação sul-sul nessas regulações?
6.9.4.2.1. Alison: IGF oferece algumas oportunidades pra isso, não temos ainda uma colaboração real, arranjos institucionais como o CGI são exemplos.
6.9.4.2.2. Raúl: cético quanto a cooperação sul-sul. geralmente há cooperação nos BRICS mas ainda é desigual. temos que aproveitar oportunidades de todas as partes do mundo
6.9.4.3. Thiago: há chances de regressos aos processos multistakeholder, como a revisão do processo WSIS?
6.9.4.3.1. Raúl: desenvolvimento em primeiro lugar nas discussões hoje, o que é bom. WSIS como oportunidade para focar em temas da agenda de governança da Internet, ainda faltam muitos temas para ter a renovação do WSIS e do IGF. a AG da ONU pode se desassociar do IGF, mas ele já existe em comunidades do mundo todo.
6.9.4.4. Regulamentação como universalização da Internet? O que é importante levar para a sociedade para que entendam a Internet como instrumento de mudança social?
6.9.4.4.1. Alison: é mais fácil mobilizar pessoas por legislações negativas, e não positivas. Usar exemplos como o Snowden é um jeito de chamar a atenção, mas é um grande desafio.
6.9.4.4.2. Raúl: na ISOC trabalhamos em projetos para criar esse impacto, de como a Internet ajuda as pessoas a mudarem suas vidas. Mas no fim, é uma escolha individual participar ou não. Estado poderia ajudar promovendo instâncias de participação, tendo também representação e accountability.
6.10. DADOS QUANTITATIVOS 2015
6.10.1. Total de 8 painéis, além da abertura.
6.10.2. Participação dos stakeholders
6.10.2.1. 6 representantes governamentais, sendo que 2 deles participaram de 2 mesas cada
6.10.2.2. 2 representantes empresariais
6.10.2.3. 20 representantes do terceiro setor, sendo que 2 deles participaram de 2 mesas cada
6.10.2.4. 7 representantes da academia
7. 2016
7.1. Abertura
7.1.1. Demi Gestchko (CGI.br)
7.1.2. Flávio Wagner (CGI.br)
7.1.2.1. construção de diálogo multissetorial
7.1.2.2. representa Maximiliano Martinhão
7.1.2.2.1. exemplo de preocupações com o Pokémon Go, repercussões de debate a partir do caso Snowden, tema chegou a ONU e aprovação da resolução Brasil-Alemanha (direito à privacidade na era digital). GDPR; Privacy Shield; MCI e projetos de lei
7.1.2.2.2. é preciso enforcement, autodeterminação do usuário...
7.1.3. José Elaeres Marques Teixeira (3ª CCR, PGR)
7.1.3.1. reações à IoT = grandes riscos de má utilização contra a própria sociedade
7.1.3.2. criptografia e outros temas devem ser amplamente debatidos com todos os setores.
7.1.3.3. Apoio e parabeniza o Seminário
7.1.4. Raquel Gatto (ISOC)
7.1.4.1. projetos tramitando no Congresso são alguns resultados já dos esforços no tema
7.1.4.2. reações à IoT, benefícios mas também ameaças
7.1.4.3. reestabelecer a confiança na Internet de forma colaborativa
7.1.4.3.1. dimensão do usuário - ferramentas de empoderamento e exercício de direitos
7.1.4.3.2. tecnologia - pensando em escopo de proteção aos usuários e com transparência
7.1.4.3.3. redes - garantir a permanência de conectividade das redes, a não-fragementação
7.1.4.3.4. ecossistema - governança e regulação
7.1.5. Luiz Costa (MPF/SP)
7.1.5.1. questão do consentimento
7.1.5.2. manter consciência de valores
7.1.6. Flávia Lefèvre (CGI.br)
7.1.6.1. termos de uso que ignoram legislação brasileira
7.1.6.2. debates de mais de 5 anos, com contribuições relevantes da sociedade civil
7.1.6.3. ameaça à biometria e serviços de saúde
7.1.6.3.1. decreto de compartilhamento de bases do governo federal
7.1.6.4. urgência de aprovação do PL de dados pessoais
7.2. Sessão 1: Seminário - Algoritmo, decisões automatizadas e privacidade: fragilização ou fortalecimento dos direitos fundamentais?
7.2.1. Moderador: Luiz Costa (MPF/SP)
7.2.1.1. precaução, transparência...
7.2.1.2. conselho da França falou em "direito dos algoritmos"
7.2.2. Alexandre Pacheco (FGV-SP)
7.2.2.1. algoritmo: sequência que descreve como resolver um problema ou realizar uma tarefa
7.2.2.1.1. presentes nos mais diversos serviços
7.2.2.2. é possível pensar em regulação envolvendo algoritmos?
7.2.2.2.1. pensar no campo da medicina e dados sensíveis
7.2.2.2.2. há escolhas, o algoritmo não é neutro
7.2.2.2.3. estabelecer uma governança
7.2.3. Marta Kanashiro (Lavits e LabJor/Unicamp)
7.2.3.1. modo de produção, modo de funcionamento de um sistema que temos hoje
7.2.3.1.1. dados como "novo petróleo"
7.2.3.1.2. capitalismo de vigilância (Zubboff)
7.2.3.1.3. inferências sobre funcionamento das redes sociais
7.2.4. Virgílio Almeida (UFMG e Berkman Center/ Harvard)
7.2.4.1. Algoritmos no Brasil
7.2.4.1.1. Facebook
7.2.4.1.2. Whatsapp
7.2.4.1.3. YouTube
7.2.4.2. processo crescente de digitização na sociedade, na economia
7.2.4.2.1. digitização=internet+dados+algoritmos
7.2.4.3. rótulos políticos do Facebook: te define como liberal ou conservador
7.2.4.4. algoritmos são opacos, podem ter um viés (não necessariamente negativo)
7.2.4.5. exemplo de maiores impactos, que mudam percepção da realidade, como o "street view" da Baidu que removeu prédios da China
7.2.4.6. efeitos de manipulação por máquinas de busca
7.2.4.6.1. grupos de pessoas mais velhas são mais vulneráveis à manipulação
7.2.4.6.2. estudos sobre possibilidades de alteração de resultados de eleições
7.2.4.7. Muito tem que ser pesquisado ainda sobre algoritmos, se existe viés e se é possível medí-lo
7.2.4.8. existem normas para auditar os algoritmos?
7.2.4.9. abordagem multissetorial e multidisciplinar para compreender
7.2.4.10. direito à explicação por decisões tomadas por algoritmos - Europa
7.2.5. Questões/Debate
7.2.5.1. como haveria transparência pelo aspecto técnico? a não ser que a própria empresa ou governo se dispusesse a mostrar o que fazem
7.2.5.1.1. Virgílio: é uma dificuldade prática. Definidos dados de entrada e saída dos algoritmos, a verificação seria dados->resposta. Auditoria do código é pouco viável.
7.2.5.2. o que pode ser feito para acabar com esse viés, vindo de coletas indiretas, de terceiros dos usuários?
7.2.5.2.1. Virgílio: algoritmos eram procedurais (passos estavam definidos), hoje eles dependem dos dados. É importante ter dados que não contenham polarizações
7.2.5.3. possibilidade de trazer a construção histórica de obrigatoriedade de fundamentação de decisões (juízes) para os engenheiros?
7.2.5.3.1. Virgílio: fairness by design (garantir que o código garante a ausência de injustiça)
7.2.5.3.2. Marta: há uma discussão interessante sobre o código aberto, para que as decisões sejam mais visíveis. Informações de entrada e saída pode minimamente situar o usuário, necessário para a educação do usuário
7.2.5.3.3. Alexandre: juízes, advogados teriam que estar mais capacitados para acompanhar processos de desenvolvimento, pois é uma responsabilidade jurídica, ter domínio de uma linguagem para criar um canal de comunicação com o engenheiro.
7.2.5.4. normativas de dados pessoais puxam um direito de oposição a coleta de dados, ainda é ponderável o direito de decisão sobre decisões automatizadas?
7.2.5.4.1. Alexandre: o quanto é essencial tal serviço para exercício de outros direitos, o que é um problema, pois se vc nega um primeiro acesso, vc negaria para outros.
7.2.5.4.2. Marta: direito de revisão deve existir, mas a saída do jogo tem essas consequências que o Alexandre pontuou. Apesar de que nunca estaria fora do jogo, existem dados em todo lugar, é melhor a ideia de revisão do que de oposição, essa saída é um pouco "fake"
7.2.5.4.3. Virgílio: direito ao esquecimento é outra maneira de olhar essa questão. há um conjunto de legislação que vai sendo o embrião da proteção do indívudo sobre esses processos
7.3. Sessão 2: Seminário - Economia do compartilhamento: qual o impacto da proteção dos dados pessoais nesse (novo) modelo de negócio?
7.3.1. Moderador: Thiago Tavares (CGI.br)
7.3.1.1. é mesmo economia do compartilhamento ou seria baseada em conexões?
7.3.1.2. ideia de que a Uber é a maior companhia de transporte privado do mundo, e não é dona de carros, por ex. Facebook é o maior veículo de mídia do mundo e não cria conteúdo.
7.3.2. Ana Carolina Pellegrini (Uber)
7.3.2.1. empresa de tecnologia (e não de transporte)
7.3.2.2. app de intermediação entre motorista e usuário
7.3.2.3. chegou ao Brasil em 2014, por ocasião da Copa do Mundo
7.3.2.4. CF e MCI: liberdade dos modelos de negócio estabelecidos pela Internet
7.3.2.5. Política de privacidade - direitos dos usuários
7.3.2.5.1. direito de saber quais dados a Uber coleta
7.3.2.5.2. direito de acesso a todos os dados coletados
7.3.2.5.3. direito de corrigir dados imprecisos/incorretos
7.3.2.5.4. direito de exclusão de dados que não são mais necessários para os propósitos coletados
7.3.2.6. políticas diferentes entre usuários e motoristas
7.3.2.7. somente dados de qualificação pessoal podem ser fornecidos sem ordem judicial
7.3.2.8. qual o limite do regulador ou do órgão público sobre um ente privado?
7.3.3. Bruno Lewicki (AirbnB)
7.3.3.1. atividade totalmente regular no Brasil (aluguel por temporada)
7.3.3.2. metodologias de consulta pública, construção plural de marcos normativos, são méritos brasileiros
7.3.3.3. importância de segurança jurídica para o setor privado
7.3.3.4. desafios de se estabelecer mecanismos de confiança na plataforma
7.3.3.4.1. sistema de reputação
7.3.3.4.2. obrigatoriedade das fotos
7.3.3.5. compartilhamento de dados com a administração pública: dados anonimizados
7.3.3.6. normativa de dados pessoais
7.3.3.6.1. principiológica e flexível
7.3.3.6.2. não deve ser excessivamente detalhada
7.3.3.6.3. possibilitar desenvolvimento tecnológico
7.3.3.6.4. claro em finalidades, pedidos judiciais, proporcionalidade e adequação
7.3.3.6.5. Autoridade de proteção de dados para melhorar a interlocução
7.3.3.6.6. evitar a banalização de medidas judiciais extremas de bloqueio
7.3.3.6.7. administração pública com tratamento semelhante ao do setor privado
7.3.3.6.8. normativas devem ser harmônicas
7.3.4. Rafael Zanatta (IDEC)
7.3.4.1. economias do compartilhamento (no plural)
7.3.4.2. peer platform market (conceito da OCDE para "economia do compartilhamento")
7.3.4.3. a visão "mainstream" de hoje pensa no consumo
7.3.4.4. Benkler: para ele, a sharing economy é wikipedia, open source... (2000s)
7.3.4.5. até 2008 se pensava nessa economia pelo viés de produção
7.3.4.6. após crise de 2008, o conceito muda, influenciado por empreendendorismo e economias digitais
7.3.4.6.1. mídia especializada, investidores e fundos de venture capital tiveram papel central na redefinição conceitual operada entre 2009 e 2012 nos EUA
7.3.4.7. críticas atuais
7.3.4.7.1. domínio das plataformas de "consumo" e ausência de foco nas economias colaborativas como um todo
7.3.4.7.2. falso discurso do "compartilhamento" por economias sob demanda, que agenciam prestadores de serviço
7.3.4.7.3. necessidade de discutir diferentes modos de troca e produção, bem como o caráter comunitário da plataforma
7.3.4.8. não há consenso sobre o uso do termo e há abordagens em disputa
7.3.4.9. sistemas de reputação online funcionam como "quase-regulação": como garantir a veracidade dessas informações?
7.3.4.10. mecanismos jurídicos já existentes já cobrem bastante resolução de problemas dessas plataformas (como o CDC)
7.3.4.11. pontos críticos (Europa)
7.3.4.11.1. os usuários geram informações e dados que se tornam o principal ativo da empresa que detém a plataforma, porém sem controle
7.3.4.11.2. portabilidade de "sistemas reputacionais" e verificação de tais sistemas (autenticação)
7.3.4.11.3. definição frágil das relações jurídicas que o usuário tem com a plataforma e o "provedor" (plataformas devem explicitar as obrigações e direitos)
7.3.4.11.4. aplicam-se os códigos de defesa de consumidores na relação entre usuários e plataformas
7.3.4.12. pontos da OCDE
7.3.4.12.1. essas plataformas de pares não podem se utilizar da não-responsabilidade civil de plataformas da Internet como Youtube, por exemplo
7.3.4.13. gargalos no Brasil
7.3.4.13.1. proteção de dados pessoais
7.3.4.13.2. transparência algorítmica
7.3.4.13.3. portabilidade reputacional (relacionada a discussão de anti-truste)
7.3.4.14. posições do IDEC
7.3.4.14.1. unificar liberdade de expressão com direito dos consumidores de fazer críticas online e avaliar serviços (Freedom of Review Act, EUA)
7.3.4.14.2. pensar em normas principiológicas de veracidade e autenticidade dos sistemas reputacionais, com previsão de punição em casos de fraudes
7.3.4.14.3. discutir a (in)viabilidade da portabilidade de reputações como medida de estímulo à competição e direito do usuário
7.3.4.14.4. firmar compreensão da aplicação de CDC na relação usuário-plataforma
7.3.5. Questões/Debates
7.3.5.1. Thiago: quantas solicitações a Uber já recebeu de autoridades para ter dados? É possível ter portabilidade de reputação na Uber e no Airbnb?
7.3.5.1.1. Ana: não tem esse número exato, mas algo em torno de 50 pedidos por mês, não somente law enforcement, mas também autoridades tributárias. Sobre migração reputacional, precisaria de consentimento expresso do usuário e informação sobre os impactos para o usuário, mas seria um problema assegurar a transferência desses dados
7.3.5.1.2. Bruno: relatórios sobre dados anonimizados e usos do airbnb no país. a portabilidade é um desafio complexo, tem o ponto do segredo de negócios.
7.3.5.2. Ana: sobre liberdade de expressão no mecanismos de avaliação, como seria a regulamentação sobre isso?
7.3.5.2.1. Rafael: empresas não podem ter cláusulas que impeçam críticas de usuários, discussão já avançada nos EUA, mas ainda muito nova no Brasil
7.3.5.3. Bruno: pluralidade de economias do compartilhamento, concorda com essa amplitude e distinções. E sobre o exercício do direito ao esquecimento nas reputações?
7.3.5.3.1. Rafael: não viu nenhuma discussão ainda sobre isso, talvez pode surgir nos próximos anos.
7.3.5.4. Termo "uberização", em que medidas essas plataformas vem para precarizar normas de trabalho?
7.3.5.4.1. Ana: a empresa não entende que isso aconteça, é uma oportunidade de geração de renda. O motorista que contrata a Uber, e não o inverso, a Uber não controla o tempo de trabalho do motorista.
7.3.5.4.2. Bruno: anfitriões também estão gerando renda do jeito que acharem melhor.
7.3.5.4.3. Rafael: é uma questão latente, bastante relevante que vem sendo muito discutida nos EUA
7.3.5.5. Compartilhamento de dados afim de planejamento urbano, protegendo os dados dos usuários
7.3.5.5.1. Bruno: existe esse compartilhamento de dados, sempre protegendo a privacidade dos usuários
7.3.5.6. Como o airbnb protege e usa dados dos usuários no Brasil?
7.3.5.6.1. Bruno: todos os dados são protegidos, de hóspedes e anfitriões. Foi o modelo oficial de hospedagem alternativa dos Jogos Olímpicos de 2016.
7.3.5.7. Ocorrem crimes em atividades da Uber e Airbnb?
7.3.5.7.1. Ana: há crimes, como fraude de cartões de créditos, etc.
7.3.5.7.2. Bruno: sim, mas não ocupa um tempo significativo da empresa. tem uma área de Trust and Safety na empresa para detectar esse tipo de problema
7.3.5.8. Aibnb atende a lei brasileira, mas sobre jurisdições e aplicação de usuários de outros países
7.3.5.8.1. Bruno: lei nacional se aplica; discussão prospectiva de um direito projetado, deve haver diálogo internacional
7.3.5.9. Portabilidade dos dados seria ok com confidencialidade, necessidade de consentimento, mas uber diferente de táxi, por exemplo
7.3.5.9.1. Ana: é imprescindível o consentimento, assim como ter uma campanha informativa. a portabilidade faz sentido para os mesmos setores da economia (segmentado)
7.3.5.10. O que o IDEC pensa sobre a ausência de CNH profissional, coloca em risco a integridade do serviço
7.3.5.10.1. Rafael: o IDEC não entrou nesse tema em específico, mas defendemos o uso do CDC para responsabilidades das plataformas
7.3.5.11. compartilhamento de dados entre órgãos da administração pública, o que a mesa pensa sobre isso?
7.3.5.11.1. Bruno: acompanhamos com atenção
7.3.5.11.2. Rafael: é extremamente preocupante, é um Estado vigilantista
7.3.5.12. qual a principal inovação tecnológica das empresas representadas na mesa?
7.3.5.12.1. Ana: a possibilidade de conexão de pessoas, multiplicação de oportunidades para as pessoas; o match do Uber Pool.
7.3.5.12.2. Bruno: Airbnb não se vê como uma empresa tecnológica, o que a empresa fez foi eliminar ineficiências e dar respostas a modelos que já existiam.
7.3.5.12.3. Rafael: são empresas baseadas em algoritmos, são máquinas de calculabilidade.
7.3.5.13. como é feita a análise do motorista se ele se torna criminoso após já ser aprovado no Uber?
7.3.5.13.1. Ana: checagem de antecedentes criminais é feita a cada 3 meses
7.4. Sessão 3: Seminário - Criptografia: Privacidade e segurança ou privacidade versus segurança?
7.4.1. Diretor Presidente: Demi Getschko (NIC.br)
7.4.1.1. falso dilema privacidade x segurança
7.4.2. Cristine Hoepers (CERT.br)
7.4.2.1. concorda que há um incômodo com o dilema comumente posto de privacidade x segurança
7.4.2.2. privacidade e segurança estão cada vez mais nas mãos de terceiros
7.4.2.3. IoT = tudo tem que estar conectado mesmo? porta de entrada para ter acesso a muitos outros dados
7.4.2.4. desenvolvedores cometem erros e dados são vazados - não tem como voltar atrás
7.4.2.4.1. segurança não é prioridade
7.4.2.4.2. impactos não são compreendidos
7.4.2.4.3. dados tem muito valor para o crime organizado
7.4.2.5. governo unindo bases de dados - centralizações facilitariam os crimes
7.4.2.6. segurança da informação tem várias dimensões
7.4.2.6.1. tem que ter políticas e procedimentos - aí entra regulação (não é só tecnologia)
7.4.2.7. Privacidade: habilidade e/ou direito de proteger suas informações pessoais, estende-se à habilidade e/ou direito de prevenir invasões do seu espaço pessoal
7.4.2.7.1. Confidencialidade: envolve a obrigação de proteger os segredos de outras pessoas ou organizações, se você souber deles
7.4.2.8. importância da criptografia
7.4.2.8.1. é uma tecnologia chave
7.4.2.9. medidas de controle não significa mais segurança
7.4.2.9.1. segurança é criptografia sem chave-mestra
7.4.2.9.2. Inglaterra discutindo uma legislação sobre backdoor
7.4.3. Jacqueline Abreu (InternetLab)
7.4.3.1. casos de conjuntura
7.4.3.1.1. bloqueios do whatsapp
7.4.3.1.2. Apple vs FBI
7.4.3.2. criptografia
7.4.3.2.1. excelente para proteção de informações do próprio Estado
7.4.3.2.2. péssima aos olhos do Estado sobre informações de outros Estados e indivíduos
7.4.3.3. Brasil muda padrão de criptografia após revelações da NSA
7.4.3.3.1. ABIN cria mecanismos de criptografia
7.4.3.4. criptografia não impede investigações criminais, há muitos dados a disposição da polícia e outros meios de investigação (infiltragem de agente, por exemplo)
7.4.3.4.1. reformular MLAT para não deixar essa insuficiência rebater nas críticas à criptografia
7.4.3.5. o perigo de se instalar backdoors
7.4.4. Bruno Magrani (Facebook)
7.4.4.1. dimensão do mercado
7.4.4.1.1. pessoas preferem ter criptografia para se protegerem de ataques maliciosos
7.4.4.1.2. ou seja, existe uma demanda de mercado por serviços criptografados
7.4.4.1.3. as empresas vão cada vez mais oferecer esse serviço
7.4.4.1.4. incentivos para que haja mais criptografia (e não menos)
7.4.4.2. cumprimento com a lei brasileira
7.4.4.2.1. não há proibição de criptografia na legislação
7.4.4.2.2. confusão dos debates entre uso da criptografia e legislação
7.4.4.3. debates vêm a tona por processos judiciais
7.4.4.3.1. as empresas não tem muitos mecanismos para se protegerem nesses processos
7.4.4.3.2. debates estão fechados
7.4.4.4. criptografia x eficácia dos mecanismos de investigação
7.4.4.4.1. esse dilema não é verdadeiro, há métodos alternativos de investigação
7.4.4.5. se o país bloquear a criptografia, muitas empresas repensariam seus negócios no país
7.4.4.6. é necessário um esclarecimento do judiciário ou do próprio CGI sobre uso e práticas da criptografia, que reforce sua legalidade no Brasil
7.4.5. Questões/Debates
7.4.5.1. Análises sobre bloqueios do whatsapp e princípio da inimputabilidade da rede
7.4.5.1.1. Bruno: de acordo. Não existe na legislação brasileira algo que proiba o uso de criptografia
7.4.5.1.2. Jacqueline: foi uma decisão extrema, mas podem existir casos onde o bloqueio seja pertinente (adequação da punição)
7.4.5.2. Existe uma falta de regulamentação sobre certificações de segurança?
7.4.5.2.1. Cristine: existem umas séries de certificações, mas uma coisa é ter certificação de base mínima, outra coisa é ter segurança. é um desafio grande, as tecnologias mudam, surgem novas vulnerabilidades e as certificações não acompanham
7.4.5.3. Demi: a origem do decálogo do CGI foi em cima do bloqueio do Youtube e espero o mesmo para o MCI. Existem aplicações diferentes e usos diferentes
7.4.5.4. se os dados são armazenados fora do país, não podemos presumir que a empresa quer violar as leis do país? e fica dependente do judiciário os bloqueios de aplicativos, dependente da interpretação?
7.4.5.4.1. Jacqueline: a questão é o tratamento dos dados, que deve respeitar princípios
7.4.5.5. a privacidade está morta, diante de tantos dados coletados?
7.4.5.5.1. Jacqueline: nos comportamos como se a privacidade estivesse morta, mas ainda há um valor muito forte dado para isso
7.4.5.6. Cristine: a única maneira de dar acesso a conteúdo criptografado é backdoor, que estaria então vulnerável a demais atores, não somente ao órgão específico para o qual o acesso foi concedido. A criptografia tem que ser forte e a mesma para todos, seja para transação bancária, seja para conversas de whatsapp.
7.4.5.7. Jacqueline: ANATEL tem em suas resoluções que telecoms tenham um mecanismo de quebra de sigilo, mas isso não se aplica à Internet
7.5. Sessão 4: Coquetel de debates: Iniciativas legislativas sobre proteção de dados pessoais
7.5.1. Moderador: Thiago Tavares (CGI.br)
7.5.1.1. Brasil está atrasado, especialmente em relação à Europa, nos marcos normativos sobre dados pessoais
7.5.2. Dep. Orlando Silva (Câmara dos Deputados)
7.5.2.1. importante conexão da Câmara com esse Seminário
7.5.2.2. ritmo acelerado, mas com prudência, para que a Câmara possa estar madura para os debates
7.5.2.3. ambiente atípico no Parlamento brasileiro no momento, mas há expectativa de avanço do projeto
7.5.2.4. expectativa de garantia de direitos e preservação da Internet
7.5.3. Luiz Fernando Martins Castro (CGI.br)
7.5.3.1. 2002 - debate sobre proteção de dados, panorama internacional e brasileiro
7.5.3.2. projetos trazem princípios europeus (transparência, finalidade)
7.5.3.3. atraso legislativo, tendo em vista que o uso dos dados já é feito
7.5.3.4. legítimo interesse na UE
7.5.3.5. Autoridade = autonomias política e financeira
7.5.3.6. parâmetros legais - princípios a serem observados
7.5.3.6.1. marco legal deveria se limitar a exigir
7.5.3.6.2. transparência na coleta e na extensão do tratamento
7.5.3.6.3. prazo para uso e armazenagem, possibilidade de retificação
7.5.3.6.4. lealdade quanto ao uso declarado, rastreabilidade
7.5.3.6.5. segurança dos dados, especialmente os sensíveis
7.5.3.6.6. vedação de obrigatoriedade para acesso ao serviço (pago ou não)
7.5.3.6.7. sobretudo a responsabilidade civil pelo prejuízos e excessos praticados
7.5.4. Danilo Doneda (UERJ)
7.5.4.1. 6 anos de tramitação do projeto e 6 anos do Seminário do CGI
7.5.4.1.1. importância do Seminário e aumento do público do evento, de todos os setores
7.5.4.2. proteção de dados pessoais porque permitem liberdades fundamentais
7.5.4.2.1. regras objetivas
7.5.4.3. lei deve ser unitária
7.5.4.3.1. submetida a todos os setores
7.5.4.3.2. traz uniformidade e segurança, muitos setores podem ganhar com a lei
7.5.4.4. é necessário almejar uma Autoridade de controle
7.5.4.4.1. modelo que já funciona em outros países
7.5.5. Fabricio Motta (Assessor Técnico do Senado Federal)
7.5.5.1. PLs do Senado e da Câmara
7.5.5.2. ano passado foi pedido maior participação de setores no projeto do Senado
7.5.5.3. contribuições vieram e os textos são convergentes, da Câmara e do Senado
7.5.5.3.1. diálogos sobre dados sensíveis, criação da Autoridade (o Senado não é favorável à Autoridade, embora tenha o reconhecimento de sua necessidade)
7.5.5.4. polêmica do "poder de polícia" do MCI - poder do judiciário ou do executivo?
7.5.5.4.1. preocupação de cuidado com as palavras no projeto de lei para não acontecer o mesmo problema do MCI
7.5.6. Florence Terada (Febraban)
7.5.6.1. reconhecimento das próprias instituições financeiras de que é necessário envolver nessa temática vários setores
7.5.6.2. Convenção 108 como documento base
7.5.6.2.1. temas que estão presentes desde a década de 1980; questão cultural
7.5.6.3. diretrizes da OCDE, outro documento da década de 1980 - institui a parte principiológica da proteção de dados
7.5.6.3.1. accountability, controlador de dados...
7.5.6.3.2. existem padrões mínimos
7.5.6.4. projeto do Executivo como o mais robusto, baseado nas diretrizes e bases da OCDE e da Europa
7.5.6.4.1. atualização europeia que entra em vigor em 2018
7.5.6.5. inovações
7.5.6.5.1. portabilidade
7.5.6.5.2. figura do encarregado (CPO)
7.5.6.6. necessidade de discutir sanções e efetividade
7.5.7. Bia Barbosa (Intervozes)
7.5.7.1. ambiente legislativo hoje é mais voltado à vigilância do que à proteção dos dados pessoais
7.5.7.1.1. projetos de lei sobre guarda de registros de conexão (via wi-fi); CPI dos crimes cibernéticos; decreto do compartilhamento de bases públicas
7.5.7.2. não entendimento dos parlamentares sobre o tema
7.5.7.3. premissas (o que deve ser dito aos parlamentares)
7.5.7.3.1. pensar a lei a partir de uma perspectiva de proteção de direitos fundamentais numa sociedade digitalizada
7.5.7.3.2. a proteção da privacidade é fundamental para garantir a liberdade de expressão
7.5.7.3.3. não defendemos que toda coleta, armazenamento e processamento de dados é má
7.5.7.3.4. mesmo a pessoa mais correta do mundo tem algo a manter privado
7.5.7.3.5. não existe dado 100% anônimo
7.5.7.3.6. não estamos na era pós-digitalização
7.5.8. Questões/Debate
7.5.8.1. Marcel Leonardi (Google): PL2514/2015 tem retenção de dados por 3 anos, obrigatoriedade de cadastro de CPF, é preciso atenção com esse PL. Questão: parece existir um contraponto entre o MCI e os PLs de dados pessoais - lei geral nova não revoga lei anterior, há algum movimento legislativo para que isso seja parcialmente resolvido?
7.5.8.1.1. Danilo: MCI teria um consentimento mais forte e específico (lei especial), teria um regime mais fechado regulando o setor mais inovador - reformular consentimento no projeto de proteção de dados - repensar harmonização dessas leis
7.5.8.1.2. Fabrício: essa discussão entrou no radar, é preciso que haja diálogo
7.5.8.1.3. Thiago: esse PL estava esquecido e de uma hora pra outra ele voltou a andar. Recursos do Fistel para guarda de logs
7.5.8.2. Sobre o Decreto de compartilhamento de dados na administração pública - como enxergam a dicotomia entre interesse público e proteção dos dados?
7.5.8.2.1. Danilo: Decreto se baseia na simplificação da burocracia pública. Por outro lado, qualquer iniciativa nesse sentido faz os dados circularem sem qualquer tipo de proteção, a sociedade tem que ter meios e ferramentas para controlar isso. Deixar claro vetores de tratamento, como a finalidade, o setor público deveria prestar contas
7.5.8.2.2. Beatriz: interesses público e privado devem convergir. O Decreto não estabelece deveres sobre o tratamento dos dados. O termo "privacidade" não aparece no decreto.
7.5.8.2.3. Thiago: perda de controle sobre o uso e acesso desses dados - relembra casos como o Tudo Sobre Todos, ou seja, instituições públicas não cumprem com requisitos de segurança
7.5.8.3. peculiaridades do sistema financeiro, não teria necessidade de refletí-los no texto do projeto? sanções com critérios subjetivos, como fica razoabilidade e proporcionalidade?
7.5.8.3.1. Danilo: perspectiva do sigilo a princípio não muda com a proteção de dados, e o sistema financeiro já está bem preparado para ingressar no ecossistema de proteção de dados. Subjetividade das sanções até hoje nunca impediu nenhum funcionamento, vamos confiar na ponderação dos juristas sobre isso.
7.5.8.3.2. Fabrício: usa-se parâmetros legislativos - não pode haver um critério raso, a ideia é deixar o critério claro sobre o desrespeito da lei
7.5.8.3.3. Florence: notas técnicas abarcando essas questões, já é um setor muito regulado. Publicização deveria ser a maior punição
7.6. Sessão 5: Seminário - Decreto Regulamentador do Marco Civil da Internet: qual o seu impacto regulatório para a proteção dos dados pessoais?
7.6.1. Moderador: Bruno Bioni (NIC.br)
7.6.2. Renato Leite Monteiro (Mackenzie)
7.6.2.1. sistema de proteção de dados setorial
7.6.2.1.1. CF, CDC, etc.
7.6.2.2. princípios expressamente positivados no Decreto
7.6.2.2.1. finalidade, necessidade e segurança
7.6.2.3. decreto inova porque traz conceito de dado pessoal
7.6.2.3.1. que possa ser identificável
7.6.2.3.2. identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa (IP considerado dado pessoal)
7.6.2.4. dados pessoais vs dados cadastrais
7.6.2.4.1. dado cadastral não deixa de ser dado pessoal
7.6.2.5. consentimento livre, informado e expresso
7.6.2.6. hipóteses para o término do tratamento dos dados
7.6.2.6.1. finalidade alcançada
7.6.2.6.2. fim do período
7.6.2.6.3. solicitação do titular
7.6.2.6.4. como ficam os tratamentos secundários? novas finalidades e interesses legítimos estariam vedados? ou necessitam novo consentimento expresso?
7.6.2.7. Privacy by Design - cabe ao CGI promover estudos e recomendar procedimentos
7.6.2.7.1. security by design: meios fortes de segurança
7.6.2.8. criptografia incentivada pelo decreto
7.6.2.8.1. encryption by design vem sendo feita no mercado, diferencial competitivo
7.6.2.8.2. limitação para fornecimento de informações
7.6.2.9. precisa da lei de proteção de dados para complementar essa regulamentação setorial
7.6.3. Alexandre Pacheco (FGV-SP)
7.6.3.1. ausência de regulamentação específica sobre o art.11, parágrafos 3 e 4 - guarda de registros - apresentar dados na forma da regulamentação
7.6.3.1.1. decreto não traz procedimentos; o problema da criptografia
7.6.3.1.2. essa ausência de tais procedimentos criaram um cenário em que o bloqueio de aplicações acontece de maneira precoce
7.6.3.2. será que cabe ao decreto definir o que é um tratamento de dados pessoais?
7.6.3.3. as decisões ficariam muito restritas setorialmente
7.6.3.4. problemas do Decreto
7.6.3.4.1. poderia ser uma oportunidade de discutir qual seriam os procedimentos; necessidade de criação de backdoor
7.6.3.4.2. o fornecimento de dados é a única estratégia possível, mesmo quando protegidos por criptografia?
7.6.3.4.3. o acesso a dados parece uma via de mão única - mecanismos que fragilizam criptografia
7.6.3.4.4. falta parâmetro para servir de guia-geral - ausência no Decreto tem a consequência do bloqueio
7.6.4. Carlos Affonso Souza (ITSRio)
7.6.4.1. construção e consultas
7.6.4.1.1. a quem interessa essa lei? quem foram os atores por trás da construção da lei?
7.6.4.1.2. construção da lei x lei posta
7.6.4.1.3. MCI não foi um processo perfeito
7.6.4.1.4. Decreto publicado na última semana do governo Dilma, passou por 4 consultas públicas
7.6.4.2. acesso a dados
7.6.4.2.1. dados cadastrais como sendo dados pessoais
7.6.4.3. bloqueio
7.6.4.3.1. associação entre MCI e bloqueio
7.6.4.3.2. art.12 suspensão baseada nas atividades referidas no art.11 e não do app como um todo
7.6.4.3.3. PLs que tentam impedir bloqueios de apps no Brasil
7.6.4.4. conflito de leis
7.6.4.4.1. qual a lei mais específica: proteção de dados ou MCI?
7.6.5. Flávia Lefèvre (CGI.br)
7.6.5.1. Decreto veio com determinados dispositivos para trazer mais segurança no tema de proteção de dados
7.6.5.2. art.13 incentiva criptografia, deve ser interpretado como a privacidade sendo pressuposto expresso
7.6.5.3. debates sobre competência da Anatel e atribuições de outros órgãos
7.6.5.3.1. caso Oi-Phorm
7.6.6. Questões/Debates
7.6.6.1. comentar os novos termos do whatsapp hoje, sobre compartilhamento de dados com o Facebook para publicidade
7.6.6.2. não há criptografia para demandas institucionais do Estado. qual o impacto da digitalização por parte do Estado num cenário imaturo de proteção de dados?
7.6.6.2.1. CAF: binômio empresa x Estado já está cansativo. Devemos discutir a interface desses dois mundos.
7.6.6.2.2. Flávia: cada vez mais temos prejuízos por não termos uma lei de proteção de dados
7.6.6.3. parágrafo 1° do art. 11 do Decreto abre espaço para os provedores não guardarem dados cadastrais?
7.6.6.3.1. Renato: em uma leitura literal, a empresa não fica obrigada a entregar, mas há casos que divergem
7.6.6.4. Bruno: seria o caso do Decreto ter criado a obrigatoriedade de transparência para as duas pontas?
7.6.6.4.1. CAF: algumas empresas publicam relatórios de remoção de conteúdo mas não sobre acesso a dados
7.6.6.4.2. Renato: a lei de proteção de dados poderia obrigar esse tipo de relatório
7.6.6.5. Bruno: procedimentalização do acesso a dados para investigações, qual seria o tipo de procedimento adequado?
7.6.6.5.1. Renato: o decreto é tímido quanto a isso
7.6.6.5.2. Flávia: temos respostas para bloqueios e estão no MCI, como a decisão do Supremo quanto ao bloqueio do whatsapp. As investigações podem pedir metadados via ordem judicial (que não são criptografados)
7.6.6.5.3. Alexandre: procedimentos mais detalhados trariam mais segurança aos atores. Critérios como casos de maior potencial agressivo, ter escalonamento de dados utilizados.
7.6.6.6. art.13 - definição do controle estrito do monitoramento para fim de responsabilização, provedores não brasileiros
7.6.6.6.1. Flávia: trabalho conjunto de órgãos de sanção e trabalho do CGI com resoluções para atuação desses órgãos
7.6.6.6.2. Renato: o que a Phorm fez, várias empresas no Brasil tentam fazer hoje. Art.14 do MCI - empresas coletam outros dados. Papel do Senacom com revelar as intenções por trás desse artigo.
7.6.6.6.3. CAF: atividade interna da empresa, inventário detalhado padroniza geração dos dados. urgência da lei de dados pessoais
7.6.6.7. desamparo do cidadão que é vítima de alguma fraude, o que acontece depois da brecha de segurança?
7.6.6.8. a entrega de uma base de dados sobre registro de duas pontas, quando cifradas pelas pontas, é suficiente para descumbir o provedor das obrigações de entrega de registros?
7.6.6.8.1. Renato: se os dados não estiverem dentro do formato de padrões de mercado, não dá pra fornecer
7.7. Sessão 6: Seminário - Big data, (novas) mídias e provedores de aplicações: novas interseções necessárias entre privacidade e liberdade de expressão?
7.7.1. Moderadora: Flávia Lefèvre (CGI.br)
7.7.2. Luca Belli (CTS/FGV)
7.7.2.1. Termos de uso e padrões internacionais de direitos humanos
7.7.2.2. termos de uso = "lei" da plataforma de aplicação transnacional
7.7.2.2.1. "soberania privada"
7.7.2.3. 2011 UN: responsabilidade corporativa + Estados devem proteger os direitos humanos de seus cidadãos
7.7.2.4. Plataforma: qualquer aplicação que permite aos usuários a busca, divulgação e recebimento de informações ou ideias nos termos do estabelecido em acordo contratual.
7.7.2.5. dificuldade na identificação dos contratos aplicáveis; linguagem difícil; dificuldade de informações sobre consentimento
7.7.2.6. não há notificação obrigatória sobre remoção de conteúdo
7.7.2.7. 66% das plataformas preveem o rastreamento das atividades dos usuários em outros sites e permitem que terceiros monitorem as atividades dos usuários
7.7.3. Vagner Diniz (CEWEB.br)
7.7.3.1. web de dados x mídia tradicional
7.7.3.2. web de dados = grande motor para big data
7.7.3.2.1. filtro bolha
7.7.3.2.2. valor de troca
7.7.3.2.3. liberdade de escolha
7.7.3.2.4. algoritmos não transparentes - pode ser discriminatório
7.7.3.3. considerar a transparência do algoritmo, que tem uma visão política expressa na programação.
7.7.3.4. pensar em liberdade de escolha - quanto vale nossos dados?
7.7.3.5. interesse coletivo deve prevalecer sobre o individual
7.7.4. Carol Conway (UOL)
7.7.4.1. big data e jornalismo
7.7.4.2. agora é a informação que vai atrás do consumidor
7.7.4.2.1. reivenção do jornalismo
7.7.4.3. o usuário também se torna criador de conteúdo
7.7.4.3.1. o leitor influencia a capa do jornal digital
7.7.4.4. credibilidade
7.7.4.4.1. relevância social, profissionalismo
7.7.4.5. jornalismo de dados e importância da LAI
7.7.4.6. datacracia: os dados pessoais coletados não podem ser utilizados para fins escusos
7.7.4.7. transparência: viabiliza autodeterminação
7.7.4.8. neutralidade
7.7.4.9. competição: inovação
7.7.5. Questões/Debate
7.7.5.1. Como a lei de dados pessoais teria um efeito prático? poderia furar o filtro bolha?
7.7.5.1.1. Carol: jornalistas não querem filtro bolha, é uma questão que precisa ser tecnologicamente debatida, a discussão da neutralidade.
7.7.5.1.2. Luca: mais que neutralidade, deveríamos falar de transparência. é a essência do modelo de negócios das plataformas (personalização) - falar de transparência dos algoritmos, tem que conhecer os critérios
7.7.5.1.3. Vagner: o filtro bolha tem aplicações interessantes, para atender o grau de interesse do usuário. O problema é em situações onde não é dada a liberdade de escolha. Não vê como a lei pode mexer com isso, é um mercado altamente competitivo. A legislação pode fortalecer a finalidade da coleta de dados.
7.7.5.2. CF e anonimato
7.7.5.2.1. Luca: é condição para a liberdade de expressão (relator da ONU).
7.7.5.3. Há nos termos de serviço alguma previsão sobre dar consentimento por maiores de idade?
7.7.5.3.1. Luca: geralmente requer uma autorização dos pais nos EUA para menores de 14 anos. No Brasil, o Pokémon Go por exemplo dá acesso a menores pelas contas dos pais.
7.7.5.4. Preocupação com legitimidade do algoritmo, como seria a escolha
7.7.5.4.1. Luca: iniciativas com termos de uso mais inteligíveis ao usuário. Nos algoritmos, não há transparência pois estão inclusos em segredos industriais. Engenharia reversa é uma iniciativa sobre isso, para dar transparência aos algoritmos.
7.7.5.5. bloqueadores de anúncio, já que a publicidade é a receita do modelo de negócios. o bloqueador de anúncio está matando a liberdade de expressão? pensando em sites jornalísticos, etc.
7.7.5.5.1. Carol: a receita de publicidade tem dois lados. tanto a receita de publicidade quanto de assinaturas não sustentam mais o jornalismo. o bloqueador de anúncio não é definidor, mas conta.
7.7.5.5.2. Luca: não acredita ser opções viáveis, não é ilegal fazer publicidade. o problema é o usuário ter consciência sobre os anúncios, sobre como são organizados
7.7.5.6. Facebook participando do processo político americano, com algoritmos e big data...
7.7.5.6.1. Carol: é uma boa pluralidade, mas a mídia não pode se pautar só nisso. neutralidade tem a ver com rede aberta
7.7.5.6.2. Luca: Facebook já teve papel ativo em eleições há alguns anos e a plataforma tem conhecimento das preferências políticas dos usuários. ele tem possibilidade de influenciar o voto. são considerações também nos temas de neutralidade da rede e zero rating
7.7.5.7. Vagner: transparência tem o compromisso com informação, com compreensão. não tem expectativa com transparência dos algoritmos, o papel maior é olhar o quanto a não-transparência fere direitos mais básicos, sendo a liberdade de escolha um deles.
7.8. Sessão 7: Seminário - Data mining e crédito: solução ao acesso a um crédito responsável e inclusivo?
7.8.1. Moderador: Cassio Vecchiatti (FIESP)
7.8.2. Laura Schertel Mendes (CEDIS/IDP)
7.8.2.1. alta assimetria de informações no mercado
7.8.2.2. condição: ter qualidade dos dados
7.8.2.2.1. conceito já presente na legislação internacional
7.8.2.2.2. correção, atualidade, não-excessivo
7.8.2.3. necessidade de garantir o tratamento adequado por toda a cadeia - sistema de governança. sistema de controle
7.8.2.4. julgamento sobre a legalidade do credit score
7.8.2.4.1. decisão relevante, coloca bases para construção desse sistema de governança
7.8.2.5. temos instrumentos importantes, como a lei do cadastro positivo e seu decreto, mas não são completos
7.8.2.5.1. regulariza banco de dados, mas não o tratamento
7.8.2.5.2. tem princípios modernos sobre proteção de dados pessoais
7.8.2.6. quais dados podem compor as análises de crédito?
7.8.2.6.1. quem pode usar essas informações?
7.8.2.7. sistema de reparação - mecanismo posterior insuficiente
7.8.2.7.1. é preciso prevenir danos - assim foram construídos mecanismos de proteção de dados americano e europeu
7.8.2.8. o que o sistema de governança adequado precisaria ter
7.8.2.8.1. correção dos dados, garantir que sejam atualizados
7.8.2.8.2. transparência para garantir os direitos do consumidor
7.8.2.8.3. saber quais dados, de fato, podem entrar nessa análise. Lei do Cadastro Positivo já proibe dados sensíveis
7.8.2.8.4. evitar a injustiça pela generalização
7.8.2.8.5. decisões automatizadas - em que medida são legítimas?
7.8.2.8.6. accountability dos métodos estatísticos
7.8.2.8.7. controle administrativo - autoridade administrativa, órgãos de defesa do consumidor enquanto não temos uma Autoridade de Proteção de Dados
7.8.3. Leonardo Bessa (MPFDT)
7.8.3.1. data mining é positivo para uma análise responsável
7.8.3.2. privacidade é um direito, não um dever
7.8.3.3. crédito responsável (novo termo)
7.8.3.3.1. aspecto social do crédito, necessário a população de baixa renda
7.8.3.4. consentimento informado no Cadastro Positivo
7.8.3.5. finalidade específica
7.8.3.6. boa fé objetiva = lealdade e transparência
7.8.3.7. compatibilizar data mining com esses princípios
7.8.3.7.1. lei do cadastro positivo diz que o consumidor vai ter acesso aos elementos da sua análise, mas não especifica quais...seriam apenas os principais elementos
7.8.4. Vanessa Butalla (Serasa)
7.8.4.1. base de dados - traça perfil de inadimplentes
7.8.4.1.1. análise de prevenção a fraudes
7.8.4.1.2. prevenção ao superendividamento
7.8.4.2. decisão do STJ foi muito importante para o mercado - definição de regras mais claras
7.8.4.3. trazer mais transparência para melhor entendimento do consumidor
7.8.4.4. score é construído historicamente - comportamento dos últimos anos estabelece uma média
7.8.4.4.1. perfil estatístico (não é individualizado)
7.8.4.4.2. é razoável ter a revisão por humanos
7.8.4.4.3. em geral o endereço é um dado do score, mas não é determinante na avaliação de crédito
7.8.5. Questões/Debates
7.8.5.1. Qual foi a vantagem do Cadastro Positivo para a população?
7.8.5.1.1. Leonardo: consentimento informado para inclusão ou exclusão. A ideia é olhar para o consumidor individualmente, que está tentando conseguir o crédito, para que ele não pague pela inadimplência dos outros
7.8.5.1.2. Vanessa: boa experiência internacional. ainda há poucas adesões.
7.8.5.1.3. Laura: apesar de falarmos em consentimento informado, tem se discutido muito se esse consentimento não é meramente aparente. (alta dependência). Refletir sobre o legítimo interesse - se traria mais confiança.
7.8.5.2. É legal a venda de dados de usuários sem a autorização destes?
7.8.5.2.1. Vanessa: dados de crédito é legítimo o repasse, porque tem um interesse público sobre o consumidor inadimplente (ninguém vai querer consentir com isso).
7.8.5.3. sistema de score e transparência algorítmica - não há como identificar essas lesões de um modo coletivo - é um direito individualizado, que prejudica a sociedade civil, o trabalho de ONGs, etc. Crítica ao modelo ex-post
7.8.5.3.1. Laura: controle coletivo seria o controle estatal - poderia requisitar o funcionamento do algoritmo. é um caminho importante de se pensar nas ações da soc. civil
7.8.5.3.2. Leonardo: o problema é a questão do segredo industrial. ação coletiva é um instrumento, mas tem esse obstáculo, de compatibilizar transparência, acesso e o segredo industrial
7.8.5.3.3. Vanessa: é um assunto complicado. existe um movimento da Serasa para tentar tornar essa informação mais próxima do consumidor
7.8.5.4. uso das redes sociais para montar o perfil, são critérios relevantes? pois são muito invasivos
7.8.5.4.1. Vanessa: esses dados são informações novas, que não tem muita confiabilidade, pode se prestar para marketing mas não há comprovação da utilidade para análise de risco de crédito
7.8.5.5. modelo ex-ante - consentimento prévio - como procuraria a transparência no ex-post? acontece uma certa distorção
7.8.5.5.1. Laura: é difícil não analisar esse método estatístico como um tratamento de dados pessoais, portanto, deveria se enquadrar em legítimo interesse justificado ou consentimento
7.8.5.5.2. Leonardo: informação negativa não depende de consentimento do consumidor. o cadastro positivo requer o consentimento prévio
7.8.5.5.3. Vanessa: score não é base de dados, é um serviço a partir de bases de dados.
7.9. Sessão 8: Seminário - Direito ao esquecimento: controvérsias técnicas e jurídicas
7.9.1. Moderadora: Mônica Steffen Guise Rosina (FGV/SP)
7.9.2. Julia Powles (Cambridge/UK)
7.9.2.1. assimetria entre grandes empresas e o cidadão
7.9.2.2. direito de controle da minha informação
7.9.2.3. o problema do interesse público
7.9.2.4. no Brasil, há direito a alguma retificação de dados
7.9.2.4.1. modestas correções de algoritmos
7.9.2.5. Google com cerca de 150 casos nos últimos anos na Europa
7.9.2.5.1. confiamos tanto no Google que acreditamos ser um registro público
7.9.2.5.2. Google se envolve bastante pois há peso financeiro nos casos
7.9.2.6. geralmente os casos mais aceitos envolvem informações sensíveis
7.9.2.7. conflito com liberdade de expressão
7.9.2.8. precisamos tentar assegurar privacidade e liberdade de expressão
7.9.2.9. o efeito Streisand se aplica à algumas pessoas, mas são poucas
7.9.3. Virgílio Almeida (UFMG e Berkman Center/ Harvard)
7.9.3.1. evolução do ciberespaço
7.9.3.1.1. infraestrutura
7.9.3.1.2. inovações tecnológicas
7.9.3.1.3. regulação e governança
7.9.3.2. legislação permite que o indivíduo se envolva diretamente na proteção de sua privacidade (do passado)
7.9.3.3. mostra os limites do direito privado internacional
7.9.3.4. estudo baseado em dados sobre o direito ao esquecimento
7.9.3.4.1. casos publicados pela mídia não-listados pelo Google
7.9.3.4.2. temas: agressões sexuais, assassinatos, corrupção...
7.9.3.4.3. busca de termos/nomes, por diferentes combinações, no google.uk para verificar o que não era encontrado
7.9.3.4.4. as pessoas passam a ser mais visíveis depois que requisitam ser menos visíveis? (efeito Streisand)
7.9.3.4.5. importância de se ter políticas baseadas em evidências
7.9.3.5. o ambiente regulatório do ciberespaço é um processo em construção, que precisa de evidências e de participação de todas as áreas do conhecimento
7.9.4. Marcel Leonardi (Google)
7.9.4.1. caso espanhol, o nome mais adequado seria desindexação (e não esquecimento)
7.9.4.2. diretiva europeia: direito autônomo e independente - mecanismos de pesquisa deveriam remover links
7.9.4.2.1. direito ao esquecimento na Europa é mais limitado do que se pensa
7.9.4.3. como fica o interesse público: decisão europeia diz que deve haver um teste de ponderação, mas pelos próprios buscadores de pesquisa (e não pelo judiciário)
7.9.4.3.1. pedidos são revistos manualmente, não há algoritmo para isso
7.9.4.4. no Brasil, ainda há grande discussão e tem vários pedidos de remoção de conteúdo/desindexação
7.9.4.4.1. STJ: provedores não podem ser obrigados a remoção
7.9.4.4.2. a desindexação não remove o conteúdo
7.9.4.5. PLs brasileiros pós decisão da corte europeia, a exemplo do PL de Eduardo Cunha - ameaças ao conteúdo da web e ao MCI
7.9.4.5.1. tomar cuidado para a exceção não virar regra
7.9.4.6. realidade brasileira muito específica, casos como da Comissão da Verdade...
7.9.5. Questões/Debate
7.9.5.1. por que tirar informações da Internet? isso não causaria problemas de impunidade?
7.9.5.1.1. Marcel: não pode ser regra, tem que ser exceção
7.9.5.2. quais critérios seriam relevantes na ponderação entre privacidade e liberdade de expressão?
7.9.5.2.1. Marcel: responsabilidade social das plataformas se aplicam aos grandes e aos pequenos. a decisão do STJ cabe ser debatida. Vai ter casos que a remoção do conteúdo em si seria praticamente impossível, pela viralização, etc.
7.9.5.3. é necessário uma proposta legislativa específica para isso ou dá pra tratar com as legislações já existentes?
7.9.5.4. sistema de relevância dos buscadores
7.9.5.4.1. consenso sobre importância de contextos e culturas nacionais
7.9.5.5. questão entre dados apagados e direito ao esquecimento
7.9.5.5.1. Marcel: MCI fala sobre dados fornecidos pelo usuário que podem ser excluídos (right to erasure), é diferente da desindexação/direito ao esquecimento
7.9.5.6. jurisdição de direito ao esquecimento e ações do Google na Europa
7.9.5.6.1. Julia: o problema da assimetria de informações e ter autoridades que garantissem as proteções adequadas, autoridades de proteção de dados
7.9.5.7. como fica o esquecimento em espaços não indexados? (deep web)
7.9.5.8. MCI exclusão de dados ser um direito ao esquecimento
7.10. DADOS QUANTITATIVOS 2016
7.10.1. Total de 8 sessões, além da abertura.
7.10.2. Participação dos stakeholders
7.10.2.1. Governo
7.10.2.1.1. José Elaeres Marques Teixeira, 3ª CCR, PGR
7.10.2.1.2. Luiz Costa, MPF/SP (2x)
7.10.2.1.3. Dep. Orlando Silva, Câmara dos Deputados
7.10.2.1.4. Fabricio Motta, Assessor Técnico do Senado Federal
7.10.2.1.5. Leonardo Bessa, MPFDT
7.10.2.2. Empresarial
7.10.2.2.1. Ana Carolina Pellegrini, Uber
7.10.2.2.2. Bruno Lewicki, AirbnB
7.10.2.2.3. Bruno Magrani, Facebook
7.10.2.2.4. Florence Terada, Febraban
7.10.2.2.5. Carol Conway, UOL
7.10.2.2.6. Cassio Vecchiatti, FIESP
7.10.2.2.7. Vanessa Butalla, Serasa
7.10.2.2.8. Marcel Leonardi, Google
7.10.2.3. Terceiro setor
7.10.2.3.1. Demi Gestchko, CGI.br (2x)
7.10.2.3.2. Flávio Wagner (CGI.br)
7.10.2.3.3. Flávia Lefèvre, CGI.br (3x)
7.10.2.3.4. Raquel Gatto, ISOC
7.10.2.3.5. Thiago Tavares, CGI.br (2x)
7.10.2.3.6. Rafael Zanatta, IDEC
7.10.2.3.7. Cristine Hoepers, CERT.br
7.10.2.3.8. Jacqueline Abreu, InternetLab
7.10.2.3.9. Luiz Fernando Martins Castro, CGI.br
7.10.2.3.10. Bia Barbosa, Intervozes
7.10.2.3.11. Bruno Bioni, NIC.br
7.10.2.3.12. Vagner Diniz, CEWEB.br
7.10.2.4. Academia
7.10.2.4.1. Alexandre Pacheco, FGV-SP (2x)
7.10.2.4.2. Marta Kanashiro, Lavits e LabJor/Unicamp
7.10.2.4.3. Virgílio Almeida, UFMG e Berkman Center/ Harvard
7.10.2.4.4. Danilo Doneda, UERJ
7.10.2.4.5. Renato Leite Monteiro, Mackenzie
7.10.2.4.6. Carlos Affonso Souza, ITSRio
7.10.2.4.7. Luca Belli, CTS/FGV
7.10.2.4.8. Laura Schertel Mendes, CEDIS/IDP
7.10.2.4.9. Mônica Steffen Guise Rosina, FGV/SP
7.10.2.4.10. Julia Powles, Cambridge/UK
7.10.2.4.11. Virgílio Almeida, UFMG e Berkman Center/ Harvard
7.10.2.5. 5 representantes governamentais, sendo que um deles esteve presente em duas mesas;
7.10.2.6. 8 representantes empresariais;
7.10.2.7. 12 representantes do terceiro setor, sendo que dois deles estiveram presentes em duas mesas cada, e um esteve presente em três mesas;
7.10.2.8. 11 representantes da academia, sendo que um deles esteve presente em duas mesas.
8. 2017
8.1. Abertura
8.1.1. Caroline D'Avo (NIC.br)
8.1.1.1. privacidade na Internet, ainda temos?
8.1.2. Maximiliano Martinhão (MCTIC e CGI.br)
8.1.2.1. dados como novo fator de produção
8.1.2.2. mais conexões de pessoais, dispositivos
8.1.2.2.1. plano nacional de IoT
8.1.2.3. valor central da privacidade
8.1.2.3.1. Brasil e Alemanha - resolução da ONU sobre mesmos direitos offline e online
8.1.2.4. urgência de aprovação da lei de proteção de dados
8.1.3. Alexandre Pacheco (GEPI-FGV Direito SP)
8.1.3.1. maior protagonismo dos algoritmos em relação aos últimos anos
8.1.3.2. ciclo de vida dos dados, coleta e uso de dados em IoT...
8.1.3.3. emergência da lei de proteção de dados
8.1.4. Luiz Costa (MPF/SP)
8.1.5. Raquel Gatto (ISOC)
8.1.5.1. a discussão de hoje não era tão óbvia no início do Seminários, em 2010, lá atrás nos preocupávamos mais em conceitualizações, modelos europeu e americano, MCI, etc.
8.1.5.1.1. hoje o Seminário já se aprofunda mais, temos um cenário pós-Snowden
8.1.5.2. qual é o futuro da Internet? o que precisamos fazer hoje para garantir a Internet que queremos? Com inovação, interoperabilidade, comunicação global?
8.1.5.2.1. lançamento de relatório global da Internet, da ISOC
8.1.5.3. reações de controle podem levar a fragmentação da Internet
8.1.5.3.1. trabalhar mais com prevenção do que com reação
8.2. Sessão 1: Keynote - Algoritmos e novas fronteiras para a proteção dos direitos humanos
8.2.1. Luiz Costa (MPF/SP)
8.2.1.1. fala em caráter de pesquisador
8.2.1.2. Um mundo de Inteligência Ambiente
8.2.1.2.1. rastreamento, algoritmos de identificação em redes sociais, big data, smart house
8.2.1.2.2. mundo de tecnologia "invisível"
8.2.1.3. governança algorítmica
8.2.1.3.1. data brokers, criação de perfis (não-automatizada e automatizada)
8.2.1.3.2. machine learning
8.2.1.3.3. individual e agregado
8.2.1.3.4. explicação da vigilância não é suficiente, academicamente nos estudos de "governança algorítmica"
8.2.1.4. direitos fundamentais em risco
8.2.1.4.1. aplicação em sistemas de saúde
8.2.1.4.2. governança algorítmica é apolítica
8.2.1.4.3. invisibilidade de injustiças estruturais
8.2.1.4.4. limites de legislações de proteção de dados
8.2.1.5. virtualidade, capabilities e perspectivas para o direito
8.2.1.5.1. crítica dos instrumentos de proteção de dados
8.2.1.5.2. oportunidades, processos e a lei
8.2.1.5.3. liberdade como prática
8.2.2. Questões/Debate
8.2.2.1. score chinês - big data e profiling. analogia com o sistema de crédito nacional
8.2.2.2. capacidade de auditabilidade do algoritmo - até que ponto em alguns casos isso é possível? direito a explicação, seria do ponto de vista jurídico, como articular isso tendo em vista o desafio de auditabilidade?
8.2.2.2.1. Luiz Costa: desafios de auditabilidade passam por propriedade intelectual e segredos industriais - fundamentar o acesso pelo princípio da transparência.
8.3. Sessão 2: Seminário Governança de Algoritmos e discriminação
8.3.1. Moderador: Thiago Tavares (CGI.br e SaferNet Brasil)
8.3.2. Rafael Evangelista (Labjor/Unicamp e LAVITS)
8.3.2.1. tecnologias não afetam igualmente a todos
8.3.2.1.1. foram construídas em contextos específicos
8.3.2.2. perpetuação de arranjos sociais
8.3.2.3. algoritmos como ferramenta de controle social
8.3.2.4. abre caminhos mas também fecha caminhos
8.3.2.5. sistemas são construídos a partir de processos sociais
8.3.2.5.1. tecnologia com suas percepções e lógicas, diferentes daquelas dos usuários, alvos dos algoritmos
8.3.2.6. Zubbof: capitalismo de vigilância
8.3.2.6.1. prever e modificar o comportamento humano, em benefício do mercado
8.3.2.6.2. privacidade se torna um artigo de luxo
8.3.2.7. impactos em populações marginalizadas
8.3.2.7.1. relações assimétricas
8.3.3. Marcio Moretto Ribeiro (GPoPAI-USP)
8.3.3.1. IA 70s - sistema simbólico, capaz de designar e manipular objetos e processos
8.3.3.2. IA 90s - a inteligência depende de perceber o mundo e atuar sobre o mundo
8.3.3.3. uso comercial recente da IA e assim necessidade regulatória
8.3.3.4. explainable artificial intelligence - como produzir IA que saiba explicar suas decisões
8.3.3.4.1. é um desafio hoje na área da computação
8.3.4. Vanessa Butalla (Serasa)
8.3.4.1. valor na análise e tratamento dos dados, e não valor no dado em si
8.3.4.2. interesse público x interesse privado
8.3.4.3. como proteger o interesse do cidadão?
8.3.4.3.1. clareza e transparência das informações que compõem o algoritmo
8.3.4.3.2. adequação e proporcionalidade
8.3.4.3.3. segurança da informação
8.3.4.3.4. controle e qualidade
8.3.5. Carlos Affonso Souza (ITSRio)
8.3.5.1. riscos de tratamentos de dados e seus efeitos nos algoritmos
8.3.5.1.1. impactos
8.3.5.2. governança de algoritmos
8.3.5.2.1. estamos cada vez exigindo mais dos algoritmos, fazendo perguntas que os humanos não sabem as respostas
8.3.5.3. o que queremos evitar
8.3.5.3.1. generalizações
8.3.5.3.2. opacidade
8.3.5.3.3. descriminação
8.3.5.4. para onde vamos
8.3.5.4.1. identificação do problema é um primeiro passo
8.3.5.4.2. opções internas ou externas ao processo de criação do algoritmo
8.3.6. Questões/Debate
8.3.6.1. Thiago: qual o nível de accountability dos testes de algoritmos?
8.3.6.1.1. Vanessa: os testes são todos internos, é informação estratégica e assim protegida por segredo industrial. mas o modelo depende dos dados, então as informações devem ser objetivas, conhecidas pelo cidadão.
8.3.6.2. se os dados já estão lá, disponíveis na Internet, como removê-los?
8.3.6.3. sobre a lei em tramitação, como ela pode nos proteger de descriminação, generalização, etc? vale a pena essa legislação?
8.3.6.3.1. CAF: nosso atraso legislativo pode não ser tão ruim, para absorver outras experiências. está claro o quanto o Brasil perde por não ter essa legislação.
8.3.6.4. como ter acesso aos dados para correção se o algoritmo é protegido por segredo industrial?
8.3.6.4.1. Vanessa: o direito ao acesso aos dados existe, os dados são informados para correção. os algoritmos em si devem ser protegidos, para além do segredo industrial, para evitar manipulação e garantir os resultados esperados.
8.3.6.4.2. Marcio: a ideia do algoritmo ser secreto para não ser manipulado é contraintuitivo.
8.3.6.5. responsabilidade na aplicação de algoritmo
8.3.6.5.1. CAF: cadeia de responsabilidade, mas resta saber a partir do impacto a responsabilidade específica
8.3.6.5.2. Rafael: ter mecanismos de cobrança pelas operações, para o usuário. seria importante ter maior diversidade dentro dessa cadeia de responsáveis.
8.4. Sessão 3: Seminário Proteção de dados pessoais como elemento de inovação e competitividade: os desafios da construção de uma “Agenda Digital” para o Brasil
8.4.1. Moderador: Henrique Faulhaber (CGI.br e TI Rio)
8.4.1.1. atraso do Brasil com a regulação de dados pessoais
8.4.2. Miriam Wimmer (MCTIC)
8.4.2.1. tecnologias digitais são catalisadoras do desenvolvimento econômico de um país
8.4.2.1.1. e a construção de estratégias digitais é prioridade nos mais importantes fóruns internacionais
8.4.2.2. estratégia brasileira para a transformação digital
8.4.2.2.1. transformações no governo e na economia
8.4.2.2.2. confiança e segurança
8.4.2.2.3. orientar todos os setores
8.4.2.2.4. necessidade de legislação e da Autoridade
8.4.2.2.5. consulta pública
8.4.3. Elias Abdala Neto (Microsoft)
8.4.3.1. transferência internacional de dados
8.4.3.1.1. a legislação local que não considera essa regulação está fadada ao fim
8.4.3.2. economia digital vai ser toda a economia de alguma forma
8.4.3.3. lei de proteção de dados como habilitadora desse cenário
8.4.3.3.1. consenso que o país deve ter essa lei
8.4.3.3.2. não é somente uma lei consumerista
8.4.3.3.3. Brasil inserido num ambiente competitivo
8.4.3.4. IoT
8.4.3.4.1. plano nacional
8.4.3.4.2. achar equilíbrio entre proteção de direitos e inovação
8.4.4. Bruno Bioni (NIC.br)
8.4.4.1. fala como acadêmico, não como do NIC
8.4.4.2. primeira geração de leis setoriais
8.4.4.3. pensar em leis gerais - novas gerações de leis - OCDE
8.4.4.3.1. direitos e deveres dos atores da economia baseada em dados
8.4.4.4. tratamento transversal dos dados - segurança jurídica
8.4.4.5. também havia um medo de travar a economia com o CDC, é o mesmo caso de agora com a lei de proteção de dados
8.4.4.6. oportunidades do Brasil como um ator inovador - racionalidade premial
8.4.4.6.1. enforcement ex post (racionalidade punitiva)
8.4.4.6.2. estimular relatórios de impacto à privacidade
8.4.5. Marina Barros (CTS-FGV Direito Rio)
8.4.5.1. inovação em um ambiente de colaboração
8.4.5.2. visão multidisciplinar para determinar práticas entre atores
8.4.5.3. relevância de práticas como privacy by design
8.4.5.4. estruturas de colaboração entre atores, visando o bom uso dos dados para a sociedade
8.4.5.5. orientar gestores de bases de dados sobre riscos e benefícios
8.4.5.6. possibilidades de uso pelo gestor local, hoje com baixa capacidade institucional
8.4.5.7. investimento no cidadão - data literacy, educação para os dados
8.4.6. Questões/Debate
8.4.6.1. qual seria o papel do Estado e do judiciário no ambiente de corregulação?
8.4.6.1.1. Bruno: Estado verificar quais atores institucionais poderiam motivar essas boas práticas, privilegiando integrantes do mercado que tivessem a preocupação com os dados pessoais; do Judiciário seria ter a Autoridade como órgão regulador central, como instrumento para destravar a corregulação
8.4.6.2. externalidades - como a internalização das externalidades pode funcionar na legislação de dados? existe um precedente internacional?
8.4.6.2.1. Bruno: precisamos ver o que deu errado anteriormente para desenvolver agora - ver menções ao relatório de impacto na PL
8.4.6.3. empresas que tratam dados de terceiros, como a lei pode fazer o enforcement e como fica algoritmos não discriminatórios
8.4.6.3.1. Elias: lei de proteção de dados não resolve a discriminação dos algoritmos, isso depende muito de movimentos das empresas
8.5. Sessão 4: Seminário Órgãos reguladores, fiscalização e aplicação das leis de proteção de dados pessoais: um panorama a partir da experiência estrangeira
8.5.1. Moderador: Luiz Fernando Martins Castro (CGI.br)
8.5.1.1. o papel da Autoridade, para dar efetividade a lei
8.5.2. Julio Alejandro Téllez Valdés (UNAM) - México
8.5.2.1. resolução de problemas comuns entre os países
8.5.2.2. interesse por parte do governo brasileiro em proteger os dados pessoais
8.5.2.3. México: agência reguladora autônoma
8.5.2.3.1. Instituto Nacional de acesso e proteção de dados (INAI)
8.5.2.3.2. 2002 - lei de acesso à informação
8.5.2.3.3. coordenar sistema de transparência
8.5.2.3.4. lei de arquivos públicos
8.5.2.3.5. lei de arquivos privados
8.5.2.4. México: 2010 - lei federal de proteção de dados pessoais
8.5.2.4.1. lei válida onde estão os servidores
8.5.2.4.2. sensibilizar jovens para que eles tenham consciência sobre o uso indevido de dados pessoais
8.5.2.4.3. problema de roubo de identidade
8.5.3. Ismini Rigopoulou (CNIL) - França
8.5.3.1. CNIL = autoridade de proteção de dados francesa
8.5.3.1.1. estabelecido em 1978
8.5.3.1.2. é uma autoridade independente
8.5.3.1.3. desenvolvimento de um "selo" de privacidade, que as empresas podem ter pelo CNIL, para estabelecer confiança para o usuário
8.5.3.1.4. ajudam empresas a desenvolver e implantar mecanismos de privacy by design
8.5.3.2. GDPR - mudanças em como os países europeus trabalham entre suas autoridades
8.5.3.2.1. novos direitos como portabilidade
8.5.3.2.2. aumentam multas de sanções
8.5.3.2.3. harmonizar interpretações dos DPAs
8.5.3.2.4. caráter extraterritorial
8.5.3.3. possuem poderes de investigação
8.5.3.4. o corpo que faz investigações é separado da DPA
8.5.4. Jessica Matus (Datos Protegidos) - Chile
8.5.4.1. Chile foi o primeiro país na região a indicar uma norma de proteção de dados, mas sem uma Autoridade
8.5.4.2. Autoridade como eficácia da lei
8.5.4.2.1. como deve ser a Autoridade
8.5.4.3. nível de adequação internacional - Argentina, Uruguai, Colômbia
8.5.4.4. bases europeias para as proteções latinoamericanas
8.5.4.5. consenso entre setores não pode se esquecer dos direitos das pessoas
8.5.5. Comentarista: Danilo Doneda (UERJ)
8.5.5.1. Brasil não tem em sua cultura problemas como os expostos de roubo de identidade, aqui se fala mais em comercialização de dados, o que parece não ter tanta implicação, mas tem
8.5.5.2. DPA - falta provisão legal
8.5.5.2.1. órgão de natureza pública para cobrir a vulnerabilidade do cidadão
8.5.5.2.2. tem que ter vetor de independência
8.5.5.2.3. o interesse maior não é o equilíbrio do mercado, mas sim fornecer instrumentos de controles dos dados dos cidadãos
8.5.5.2.4. projetos de lei não criam a DPA, mas o projeto do governo federal menciona "órgão de controle"
8.5.6. Questões/Debate
8.5.6.1. vazamento Equifax como exemplo, no Brasil não vemos informações sobre brechas de segurança
8.5.6.1.1. Danilo: não há obrigações de notifcações sobre isso, falta institucionalização nesse tema e uma sistematização maior.
8.5.6.2. a França já está apta a cumprir com a GDPR?
8.5.6.2.1. Ismini: sim, o CNIL já tem um arsenal de ferramentas para que as empresas entrem em conformidade com a GDPR e estamos publicando diretrizes sobre portabilidade, entre outros.
8.5.6.3. dificuldade em superar a independência dos poderes seria entrave para a criação da Autoridade? E como lidar com a deep web e nossos dados lá?
8.5.6.3.1. Danilo: realmente o problema da divisão de poderes, a experiência da LAI nos mostra a pulverização de centros decisórios em determinadas instâncias e esferas de poder causa insegurança e confusão no cidadão. Deveria ter harmonização entre essas esferas. Sobre a deep web, existe hoje no Brasil uma certa banalização sobre acesso a informação, temos que melhorar práticas de segurança da informação.
8.5.6.3.2. Julio: o problema da deep web é o problema da cibersegurança. é importante fortalecer a cibersegurança e acordos internacionais de combate na América, não basta a convenção de Budapeste.
8.6. Coquetel de debates: Debate sobre os Projetos de Lei de Proteção de Dados Pessoais
8.6.1. Moderadora: Flávia Lefèvre (CGI.br e Proteste)
8.6.1.1. projeto 4060/2012; PL 330/2020 e PL originado do anteprojeto 5276
8.6.2. Laura Schertel Mendes (CEDIS/IDP)
8.6.2.1. o que uma lei geral de proteção de dados precisa trazer
8.6.2.1.1. necessidade de trazer limites específicos
8.6.2.1.2. autorregulação regulada - Alemanha
8.6.2.1.3. precisa abranger todos os setores
8.6.2.1.4. precisa de um conceito de "dado pessoal" abrangente
8.6.2.1.5. voltada para a pessoa natural, a pessoa jurídica já tem outros mecanismos de proteção
8.6.2.1.6. legítimo interesse - uma das hipóteses de tratamento, junto de consentimento e execução contratual
8.6.2.1.7. Autoridade com autonomias financeira, administrativa e normativa
8.6.2.2. contexto brasileiro de economia digital, há tratamento de dados diariamente. como solucionar problemas?
8.6.2.3. múltipla constelação de interesses
8.6.2.3.1. maior desafio da lei
8.6.2.4. ordem de comunicação e informação, e não uma questão de propriedade (quem tem o dado)
8.6.3. Arthur Rollo (SENACON)
8.6.3.1. fácil disponibilização de dados pessoais no cotidiano
8.6.3.1.1. biometria em prédios, CPFs em farmácias...
8.6.3.1.2. planos de saúde e dados sensíveis
8.6.3.2. vazamentos de dados de e-commerce
8.6.3.3. necessidade de ambientes seguros para o tratamento dos dados
8.6.3.4. fundamental responsabilidade dos agentes, mas como saber de onde o dado partiu?
8.6.3.5. necessidade da Autoridade e cumprimento de princípios, como da transparência
8.6.4. Marcel Leonardi (Google)
8.6.4.1. vários setores ainda não perceberam que precisam e serão impactos pela lei
8.6.4.1.1. o projeto deve ser aplicado a todos os setores
8.6.4.2. as grandes multinacionais do setor da Internet já estão adaptadas, até pela experiência europeia
8.6.4.3. consentimento inequívoco (Europa) - a demonstração do consentimento
8.6.4.3.1. MCI adota o consentimento expresso
8.6.4.4. interesse legítimo - sempre há riscos na justificativa e documentação do tratamento
8.6.4.4.1. marketing direto pode ser considerado legítimo interesse
8.6.4.5. transferência internacional de dados
8.6.4.5.1. o modelo europeu da adequação talvez não seja o mais adequado - lista de 11 países. a existência da Autoridade é requisito para estar nessa lista, detalhe que devemos nos atentar
8.6.5. Rafael Zanatta (IDEC)
8.6.5.1. conceito de dado pessoal - pessoa natural identificável
8.6.5.2. dados sensíveis devem incluir etnia, religião, informações biométricas e de saúde
8.6.5.3. se recursos técnicos recuperarem dados anonimizados, eles voltam a ser dados pessoais
8.6.5.4. dados não podem ser usados para discriminação
8.6.5.5. explicitar finalidade de coleta e tratamento
8.6.5.6. Autoridade de caráter técnico, capacidade de monitoração, autonomia
8.6.5.7. legítimo interesse e importância do contexto, obrigação de testes de proporcionalidade
8.6.5.7.1. Autoridade deve exigir um teste de proporcionalidade (metodologias e documentos já construídos) e mitigação de riscos, quando utilizado o "legítimo interesse" para o tratamento que faz sentido
8.6.5.8. princípio de minimização
8.6.5.9. direito a portabilidade dos dados pessoais
8.6.5.10. responsabilidade civil deve ser objetiva e solidária
8.6.5.11. controladores devem embutir a concepção de privacy by design
8.6.5.12. avaliações de impacto obrigatórias para tratamentos de alto risco para o cidadão; a identificação de tais atividades seria feita a partir de corregulação
8.6.5.12.1. Europa: "risquificação"
8.6.5.12.2. EUA: legislação de carros autônomos como exemplo de proteções ex-ante
8.6.6. Orlando Silva (Deputado Federal PCdoB/SP)
8.6.6.1. 2016 instalou uma comissão especial
8.6.6.2. já foram realizados muitos debates produtivos, sobre consentimento, transferência internacional de dados, legítimo interesse, Autoridade, entre outras questões
8.6.6.3. houve um seminário internacional, coletando outras experiências e de agentes relevantes
8.6.6.4. o PL 5276 passou a ser o eixo estruturante - diálogo entre câmara e senado
8.6.6.5. preocupação de ter uma lei flexível, mas não genérica, que dê margens para constetações polêmicas e inseguranças jurídicas
8.6.6.5.1. produzir uma justa medida que garanta inovação, seja principiológica e que assegure a proteção e segurança devidas
8.6.6.6. sobre a Autoridade
8.6.6.6.1. hipóteses de ser fragmentada, o que o Deputado se mostra contra
8.6.6.6.2. ter autonomia, o que pressupõe uma regra de financiamento
8.6.6.6.3. preocupação de ter um caráter técnico
8.6.6.6.4. a partir da iniciativa do governo, a construção dessa Autoridade - deve haver diálogo
8.6.6.6.5. é o que dará eficácia à lei
8.6.7. Questões/Debate
8.6.7.1. O projeto não traz nenhuma hipótese de exclusão de responsabilidade
8.6.7.1.1. Arthur: não vejo como ter culpa exclusiva de consumidor
8.6.7.1.2. Marcel: a tutela e os danos são muito complexos, difíceis de aferir
8.6.7.2. lei que regula coleta compulsória de DNA para fins criminais, não dialoga com a proteção de dados. a lei poderia ser utilizada nesse campo, a Autoridade poderia atuar sobre isso?
8.6.7.2.1. Orlando: seria desejável que a Autoridade tivesse essa capacidade, mas é um tema complexo e ainda aberto
8.6.7.3. como fazer a lei "pegar" dentro de empresas de segurança da informação?
8.6.7.3.1. Arthur: tem que ter uma forma de prestigiar as empresas que cumpram, que avisem sobre vazamentos de dados por exemplo.
8.6.7.4. Rafael: a pauta da Autoridade é uma pauta da sociedade, é um aspecto extremamente importante. Pensar também numa estratégia de transição no período de vacatio legis.
8.7. Sessão 5: Seminário Internet das Coisas e Cidades Inteligentes: eficiência da gestão pública vis-à-vis proteção das garantias constitucionais
8.7.1. Moderador: Rony Vainzof (FeComercio)
8.7.1.1. princípio da autodeterminação informativa - base alemã
8.7.1.2. tratamento de dados em gestão de cidades
8.7.1.3. plano nacional de IoT, capitaneado pelo BNDES
8.7.1.4. problemas: privacidade, segurança, ambiente regulatório relacionado a IoT
8.7.2. Andriei Gutierrez (IBM Brasil)
8.7.2.1. como computação cognitiva pode auxiliar governos - gerar insights, tendências a partir de data mining
8.7.2.2. foco em soluções, não em dados
8.7.2.2.1. dados e políticas públicas
8.7.2.3. B2B
8.7.2.4. exemplo da Estônia
8.7.2.4.1. ID Card; Mobile ID; Smart ID
8.7.2.4.2. unificação de bases em blockchain
8.7.2.4.3. pessoas são "donas" de seus dados
8.7.2.4.4. arquitetura
8.7.3. Jacqueline de Souza Abreu (InternetLab)
8.7.3.1. IoT, big data e cloud computing = smart cities
8.7.3.1.1. dados usados para uma gestão mais eficiente das cidades
8.7.3.2. riscos à proteção de dados e privacidade
8.7.3.2.1. Constituição - tem uma noção de privacidade do espaço privado - cidades são espaços públicos
8.7.3.2.2. desafios operacionais
8.7.3.2.3. o que seria dado pessoal, endereço de celular iOS por exemplo, seria considerado?
8.7.3.2.4. quando é dispensável o consentimento? como interpretar execução de políticas públicas?
8.7.3.2.5. Ex.: privatização de dados do Bilhete Único em São Paulo
8.7.3.3. como lidar? privilegiando privacy by design
8.7.3.3.1. ser transparente e gerar confiança
8.7.3.3.2. não obrigar cidadãos a trocar privacidade por oportunidade
8.7.4. Fernanda Campagnucci (SME-PMSP)
8.7.4.1. coleta de dados pelo Estado, buscando regulação, mas há também o Estado comprando dados de data brokers
8.7.4.2. impactos de algoritmos que são opacos
8.7.4.3. usos em saúde e educação - os dados e a eficiência de agregação desses dados poderiam trazer benefícios
8.7.4.4. dificuldade de atingir uma participação social no desenvolvimento de políticas
8.7.4.4.1. alternativa de fazer consultas públicas anônimas - a identificação é um custo para o processo
8.7.4.5. custos adicionais e riscos adicionais em operações sem privacy by default
8.7.4.6. cidade inteligente não está somente a serviço do cidadão, é preferível o conceito de governo aberto, que traz princípios como accountability
8.7.4.6.1. traz os mesmos benefícios, mas indissociável do modo como se faz, com códigos abertos, transparência
8.7.4.7. avançar em governo aberto e proteger a privacidade dos cidadãos
8.7.5. Gustavo Mascarenhas (IBCCrim)
8.7.5.1. conceito de privacy by design, ainda não sabemos como aplicá-lo
8.7.5.2. viés discriminatório de algoritmos e proteção de propriedade intelectual - são preocupações para as cidades inteligentes
8.7.5.3. entender o quanto o Estado está afetando determinadas populações para atingir objetivos de cidades inteligentes
8.7.5.4. o cidadão deveria ter acesso para participar dessa gestão pública - o que demanda uma lei de proteção de dados
8.7.6. Questões/Debate
8.7.6.1. Se puder dar um panorama do tema de privatização do bilhete único
8.7.6.2. Governança de TI no setor público - como a IBM ajuda nesse tema em cidades inteligentes?
8.7.6.2.1. Andriei: são passos que vamos aprendendo junto dos governos, são trabalhos de parcerias, que estão se desenvolvendo bem com municípios, mas ainda temos muito pela frente nesse campo
8.7.6.3. como coadunar regras para transporte privado, acesso aos dados e lei de proteção de dados
8.7.6.3.1. Jacqueline: a prefeitura solicitar o compartilhamento de dados parece estar de acordo com execução de políticas públicas, desde que os dados não sejam excessivos. a coleta é legitimada nos limites da execução da política pública
8.8. Sessão 6: Seminário Segurança Pública e mineração de dados: o panorama da questão no Brasil
8.8.1. Moderador: Marcos Dantas (CGI.br e UFRJ)
8.8.2. José Guerrero (FullFace Biometric Solutions)
8.8.2.1. tratamento de dados com base em crimes cometidos - não há uma base compartilhada entre órgãos de segurança pública, algo a ser resolvido
8.8.2.1.1. ter análises probabilísticas melhores
8.8.2.2. tendência de crescimento da violência
8.8.2.2.1. faltam algumas estatísticas sobre alguns tipos de crimes
8.8.2.3. unificação das bases poderia facilitar a identificação de padrões
8.8.2.3.1. treinamento em cima dessas informações
8.8.2.3.2. redes neurais e IA
8.8.2.3.3. fazer previsão de níveis de crimes
8.8.2.4. limites da impessoalidade dos dados
8.8.2.4.1. nesse caso, haveria alta personalização para haver eficiência
8.8.3. Felipe Modesto (PRODAM)
8.8.3.1. trabalho com dados da prefeitura
8.8.3.2. algoritmos vão se moldando ao comportamento da sociedade
8.8.3.3. cruzamentos simples e diretos podem determinar insights para desenvolvimento social
8.8.3.3.1. cruzamentos dependem de regulações jurídicas, de ofícios...
8.8.4. Taysa Schiocchet (UFPR)
8.8.4.1. há um gap entre os campos da segurança pública e da proteção de dados
8.8.4.2. criação de bancos de perfis genéticos para fins de persecução criminal
8.8.4.2.1. DNA pode ser comparado a impressão digital?
8.8.4.2.2. DNA não é apenas identificação, tem carga probatória
8.8.4.2.3. teria que ter as salvaguardas necessárias previstas em lei
8.8.4.3. repercussão geral no STF
8.8.4.3.1. amicus curie - defesa da sensibilidade dos dados pessoais
8.8.4.3.2. vulnerabilidade de suspeitos e já presidiários - o consentimento cai por terra
8.8.4.4. flexibilização/suspensão de direitos
8.8.4.4.1. justificada, proporcional e controlada (exemplos internacionais)
8.8.4.4.2. juiz avaliar a suspensão de direitos fundamentais
8.8.4.5. análise do perfil genético
8.8.4.5.1. ter instrumentos concretos e expressos de controle e responsabilização do laboratório
8.8.4.5.2. anonimização dos dados
8.8.5. Camila Marques (ARTIGO 19)
8.8.5.1. caso Escher
8.8.5.1.1. violações ao direito à privacidade
8.8.5.2. 2013, 2014: monitoração, vigilância, evento da Copa do Mundo por exemplo
8.8.5.2.1. aprovação da lei do terrorismo
8.8.5.3. monitoração pela ABIN de redes sociais e até do whatsapp
8.8.5.4. manifestantes denunciados por associação criminosa, a partir de agentes infiltrados
8.8.5.5. falta de transparência sobre ações de vigilantismo
8.8.5.6. banco de dados secreto sobre manifestantes do governo de SP
8.8.6. Questões/Debate
8.8.6.1. causas da criminalidade e ações locais, como ocorre o cruzamento desses dados? e como a corrupção pode impedir determinadas ações?
8.8.6.1.1. Camila: parece que temos que dar um passo atrás e ver a disponibilidade dos governos e da sociedade em pensar esse tipo de política. dificuldades de transparência, mas também de controle social
8.8.6.1.2. Taysa: temos benefícios potenciais e riscos reais quanto as causas da criminalidade e usos do DNA
8.8.6.2. haveria regulação sobre os dados no Brasil no período eleitoral?
8.8.6.3. José: necessidade de movimento da sociedade para pedir a unificação das bases e retornos para a própria sociedade
8.9. Sessão 7: A proteção da privacidade e dos dados pessoais na área da saúde
8.9.1. Moderadora: Tanara Lauschner (CGI.br e UFAM)
8.9.2. Claudio Machado (Ministério da Saúde)
8.9.2.1. utilização de dados da saúde exige ética e trabalho multissetorial
8.9.2.2. estratégia e-Saúde do Ministério da Saúde (digiSUS)
8.9.2.2.1. elaboração de um marco legal de e-Saúde
8.9.2.2.2. proteção de dados pessoais é vital
8.9.2.2.3. plataforma já é uma realidade em algumas localidades
8.9.2.2.4. app cartão saúde
8.9.2.2.5. cuidados com a governança dos dados
8.9.2.3. iniciativas em proteção de dados
8.9.2.3.1. dados abertos - disponibilização em sites de dados não sensíveis e que não permitem a identificação do cidadão
8.9.2.3.2. dados individualizados
8.9.2.3.3. norma para utilização do prontuário eletrônico no SUS (RES)
8.9.2.3.4. necessidade de melhorar políticas públicas
8.9.3. Marina Pita (Intervozes)
8.9.3.1. falar sobre privacidade na saúde pode sensibilizar mais as pessoas para o tema, para a importância da proteção dos dados
8.9.3.2. brasileiro mais disposto a ceder dados em troca de serviços gratuitos
8.9.3.3. registros de pacientes fornecidos para grandes empresas sem nenhum tipo de consentimento - caso Google
8.9.3.4. apps de planos de saúde e coleta de localização - como se aplica na relação com o consumidor? pode causar discriminação?
8.9.3.5. temos segurança jurídica para avançar em questões de saúde? não, porque não temos uma lei de proteção de dados
8.9.3.6. como os benefícios obtidos por meio de algoritmos e IA chegarão até a população?
8.9.4. Ricardo Santoro (Hospital Israelita Albert Einstein)
8.9.4.1. segurança cibernética no hospital Albert Einstein
8.9.4.1.1. vulnerabilidades como o Wannacry
8.9.4.1.2. expectativa de que esse tipo de vulnerabilidade será menor nos próximos anos
8.9.4.1.3. engenharia clínica - faltam atualizações necessárias, é vulnerabilidade para ataques
8.9.4.1.4. desconhecimento do usuário e iniciativas educativas
8.9.4.1.5. processos de anonimização podem ser revertidos - trabalho em algoritmo que possa desidentificar o paciente mas manter seu acompanhamento
8.9.4.2. desafios
8.9.4.2.1. disponibilidade dos dados no momento necessário e para os profissionais adequados
8.9.4.2.2. certificação digital - logística 24/7
8.9.4.2.3. não utilizam dados na nuvem
8.9.4.2.4. interoperabilidade
8.9.5. Alexandre Pacheco (GEPI-FGV Direito SP)
8.9.5.1. pesquisa a partir de apps que monitoram dados glicêmicos, análise e intercorrências cardíacas - potencial de uso dos dados associado a IoT
8.9.5.2. portal telemedicina
8.9.5.2.1. transferência de exames, laudos...
8.9.5.2.2. algoritmos de aprendizagem - produção automatizada de laudos
8.9.5.3. manipulação dos dados não passava por cuidados jurídicos
8.9.5.3.1. uso de serviços de cloud terceirizados
8.9.5.4. técnicas de anonimização não eram de desidentificação completa
8.9.5.4.1. qual é o efetivo consentimento do paciente?
8.9.5.5. princípios de finalidade e de necessidade - precisa de mais flexibilidade do que no PL, pela dificuldade de antecipação de cenários futuros
8.9.5.5.1. PL 5276 é o mais adequado,com algumas ressalvas
8.9.5.5.2. o regime de exceções não é suficiente claro, podendo gerar futuras disputas jurídicas na definição de termos como "tutela de saúde, proteção a vida e interesse legítimo" e novas inseguranças jurídicas para área
8.9.6. Questões/Debate
8.9.6.1. que tipo de medida o Hospital toma para controlar a divulgação de dados sensíveis na rede?
8.9.6.1.1. Ricardo: muitos médicos gostam do whatsapp e tecnicamente falando há pouco que podemos fazer sobre isso. Investimos em educação, conscientização e punição de profissionais que acessam prontuários nos quais não estavam envolvidos.
8.9.6.1.2. Marina: qual a responsabilidade do hospital no final do dia, que não pôde conscientizar seus funcionários? a privacidade deve ser assegurada, trabalhando com padrões de procedimentos.
8.9.6.2. guarda de certificado digital na nuvem, qual o posicionamento do Min. da Saúde?
8.9.6.2.1. Cláudio: tem sido discutido.
8.9.6.3. o quanto estamos olhando para infraestrutura crítica do país e como podemos avançar olhando para segurança?
8.9.6.3.1. Cláudio: sim, precisamos de uma infraestrutura que dê conta e é um desafio para o Brasil, em regiões mais distantes
8.9.6.4. necessidade de esses temas serem tratados pelo aspecto regulatório de um modo multissetorial
8.9.6.4.1. Ricardo: deve ter uma política abrangente.
8.9.6.4.2. Marina: existe potencial de fala e de construção cultural pela indústria. é fundamental poder ter essa conversa em paridade, para usuários exigir políticas e dialogar com o poder público
8.9.6.4.3. Cláudio: o multissetorialismo enriquece as políticas, o trabalho do CGI é exemplo e muito importante. Voltar as políticas para a dimensão social, compartilhando com outros setores para ter um cuidado integral na saúde
8.9.6.5. qual o nível de discrepância que atores internacionais tem com o Brasil nesse tema de proteção de dados na saúde?
8.9.6.5.1. Alexandre: na Europa já há uma medida de práticas e sistema de segurança baseado em certificações externas. No Brasil, há preocupações que extravasam pela falta de uma lei de proteção de dados. Na Europa há o DPA e DPOs, o que falta no Brasil.
8.9.6.6. de quem é a responsabilidade por erro em laudo no portal telemedicina?
8.9.6.6.1. Alexandre: se o laudo é assinado por um médico, a responsabilidade é dele. os dados são guardados para fins de medida de precisão, comparando a automação com o médico
8.10. Sessão 8: Seminário Criptografia: decifrando a relação entre matemática, direito, privacidade e segurança da informação
8.10.1. Moderadora: Jamila Venturini (NIC.br)
8.10.2. Mônica Steffen Guise Rosina (Facebook)
8.10.2.1. Facebook Inc. e Facebook Irlanda - controladores
8.10.2.1.1. Facebook Brasil não opera plataformas do Facebook e não possui infraestrutura, servidores
8.10.2.1.2. records.com - facebook.com/records - portal que facilita comunicação entre autoridades e Facebook, para requisição de dados
8.10.2.2. criptografia como padrão de segurança pelo decreto do MCI
8.10.2.2.1. reconhecido pela ONU e outros órgãos internacionais
8.10.2.2.2. protege privacidade e liberdade de expressão
8.10.2.3. em trânsito - protege acesso de terceiros no envio das mensagens; ponta-a-ponta - apenas as pontas tem acesso as mensagens
8.10.2.4. parceria com Safernet para treinamentos e iniciativas educacionais
8.10.2.5. responsabilidade do Facebook em proteger sua comunidade, criptografia é uma ferramenta crítica nesse contexto
8.10.3. Fabricio Patury (MPBA)
8.10.3.1. enfrentamento de ilícitos cibernéticos e educação para acompanhar a inclusão digital
8.10.3.2. quebras de sigilo
8.10.3.2.1. no Brasil, há muitas escutas telefônicas ilegais - há muitas vulnerabilidades
8.10.3.2.2. criptografia constitucional e necessária
8.10.3.2.3. backdoor também como vulnerabilidade - devemos proteger a criptografia
8.10.3.2.4. fazer outras formas de investigação
8.10.3.3. exigência do MLAT
8.10.3.3.1. empresas precisam atender a legislação brasileira
8.10.4. Lucas Teixeira (Coding Rights)
8.10.4.1. criptografia de chave pública/privada - inovação de 2 segredos
8.10.4.2. Snowden popularizou a criptografia
8.10.4.2.1. reconhecimento da ONU para liberdade de expressão
8.10.4.2.2. muitos aplicativos implementaram
8.10.4.3. a mítica "chave dourada"
8.10.4.3.1. no fundo é um backdoor
8.10.4.4. governos e autoridades usando malware para adentrar espaços criptografados
8.10.5. Renato Leite Monteiro (Mackenzie)
8.10.5.1. Contexto
8.10.5.1.1. caso Snowden trouxe um sentimento geral de desconfiança
8.10.5.1.2. não existe a dicotomia privacidade v segurança
8.10.5.2. criptografia: muito além da privacidade
8.10.5.2.1. garante liberdade de expressão e livre acesso à informação
8.10.5.2.2. manutenção da ordem econômica e possibilidades de inovação
8.10.5.3. MCI incentivo a criptografia
8.10.5.3.1. art.13 decreto
8.10.5.3.2. contraponto: dados devem ser fornecidos em formato interoperável para cumprimento de ordens judiciais
8.10.5.3.3. ao utilizar criptografia, os provedores de conexão e aplicação estão, na verdade, cumprindo o disposto no art. 10 e 11 no decreto que os regulamenta
8.10.5.3.4. dificuldade de juristas em compreender aspectos técnicos
8.10.6. Questões/Debate
8.10.6.1. Store Communications Act - impossibilidade jurídica das empresas em fornecer conteúdo, e como o Facebook trabalha com o MLAT e como podemos melhorá-lo?
8.10.6.1.1. Fabrício: essa lei veda a interceptação imediata. A legislação brasileira deve ser respeitada.
8.10.6.1.2. Mônica: a lei coloca algumas barreiras, mas o Facebook sempre trabalha com as ordens judiciais brasileiras, porém não fornecendo conteúdo. O MLAT é um tratado internacional e bastante reconehcido no Brasil como um instrumento legal e adequado. Entendemos que ele não é tão eficiente e rápido como poderia ser, mas está fora da alçada da empresa e colaboramos como podemos.
8.10.6.1.3. Renato: essa lei permite o compartilhamento de metadados.
8.10.6.2. nos enfrentamentos do MP, já apareceram transações de criptomoedas? o apoio a criptografia permanece nesse caso?
8.10.6.2.1. Fabrício: a criptografia é válida sim, existem meios alternativos de investigação
8.10.6.3. balanço sobre a audiência do STF de criptografia e whatsapp
8.10.6.3.1. Lucas: houve um debate técnico bem sofisticado e um consenso que backdoors só trariam mais problemas.
8.10.6.3.2. Fabrício: existem duas posições antagônicas muitos fortes, mas acredito em um consenso. A derrubada do app é errada, mas é preciso mais discussões claras. As atuações devem estar dentro do Estado democrático de direito.
8.10.6.3.3. Mônica: foi uma grande oportunidade para as empresas exporem o funcionamento de seus serviços, colocar o debate técnico de modo didático.
8.10.6.3.4. Renato: foi um debate muito rico e necessário, acredito que o bloqueio é entendido como uma medida desproporcional
8.11. DADOS QUANTITATIVOS 2017
8.11.1. Total de 9 painéis, mais a sessão de abertura.
8.11.2. Participação dos stakeholders
8.11.2.1. Governo
8.11.2.1.1. Luiz Costa, MPF/SP (2x)
8.11.2.1.2. Miriam Wimmer, MCTIC
8.11.2.1.3. Ismini Rigopoulou, CNIL, França
8.11.2.1.4. Arthur Rollo, SENACON
8.11.2.1.5. Orlando Silva, Deputado Federal PCdoB/SP
8.11.2.1.6. Fernanda Campagnucci, SME-PMSP
8.11.2.1.7. Felipe Modesto, PRODAM
8.11.2.1.8. Claudio Machado, Ministério da Saúde
8.11.2.1.9. Fabricio Patury, MPBA
8.11.2.2. Empresarial
8.11.2.2.1. Vanessa Butalla, Serasa
8.11.2.2.2. Elias Abdala Neto, Microsoft
8.11.2.2.3. Marcel Leonardi, Google
8.11.2.2.4. Rony Vainzof, FeComercio
8.11.2.2.5. Andriei Gutierrez, IBM Brasil
8.11.2.2.6. José Guerrero,FullFace Biometric Solutions
8.11.2.2.7. Ricardo Santoro, Hospital Israelita Albert Einstein
8.11.2.2.8. Mônica Steffen Guise Rosina, Facebook
8.11.2.3. Terceiro setor
8.11.2.3.1. Caroline D'Avo, NIC.br
8.11.2.3.2. Maximiliano Martinhão, MCTIC e CGI.br
8.11.2.3.3. Raquel Gatto, ISOC
8.11.2.3.4. Thiago Tavares, CGI.br e SaferNet Brasil
8.11.2.3.5. Carlos Affonso Souza, ITSRio
8.11.2.3.6. Henrique Faulhaber, CGI.br e TI Rio
8.11.2.3.7. Luiz Fernando Martins Castro, CGI.br
8.11.2.3.8. Jessica Matus, Datos Protegidos, Chile
8.11.2.3.9. Flávia Lefèvre, CGI.br e Proteste
8.11.2.3.10. Rafael Zanatta, IDEC
8.11.2.3.11. Jacqueline de Souza Abreu, InternetLab
8.11.2.3.12. Marcos Dantas, CGI.br
8.11.2.3.13. Camila Marques, ARTIGO 19
8.11.2.3.14. Tanara Lauschner, CGI.br
8.11.2.3.15. Marina Pita, Intervozes
8.11.2.3.16. Jamila Venturini, NIC.br
8.11.2.3.17. Lucas Teixeira, Coding Rights
8.11.2.4. Academia
8.11.2.4.1. Alexandre Pacheco, GEPI-FGV Direito SP (2x)
8.11.2.4.2. Marcio Moretto Ribeiro, GPoPAI-USP
8.11.2.4.3. Rafael Evangelista, Labjor/Unicamp e LAVITS
8.11.2.4.4. Bruno Bioni, NIC.br (fala como pesquisador)
8.11.2.4.5. Marina Barros, CTS-FGV Direito Rio
8.11.2.4.6. Julio Alejandro Téllez Valdés, UNAM, México
8.11.2.4.7. Danilo Doneda, UERJ
8.11.2.4.8. Laura Schertel Mendes, CEDIS/IDP
8.11.2.4.9. Gustavo Mascarenhas, IBCCrim
8.11.2.4.10. Taysa Schiocchet, UFPR
8.11.2.4.11. Renato Leite Monteiro, Mackenzie
8.11.2.5. 9 representantes governamentais, sendo que um deles esteve presente em dois painéis.
8.11.2.6. 8 representantes empresariais.
8.11.2.7. 17 representantes do terceiro setor.
8.11.2.8. 11 representantes da academia, sendo que um deles participou de dois painéis.
9. 2018
9.1. Abertura
9.1.1. Demi Getschko (NIC.br)
9.1.1.1. importância do modelo multissetorial
9.1.2. Luiz Costa (MPF/SP)
9.1.2.1. tradições de modelos de EUA e Europa e o relativo atraso do Brasil
9.1.2.2. princípios, salvaguardas e autoridade garantidora como pilares do nosso sistema de proteção de dados
9.1.3. Marina Feferbaum (CEPI-FGV Direito SP)
9.1.3.1. Seminário cresceu e se tornou uma referência para a comunidade ali presente
9.1.4. Raquel Gatto (ISOC)
9.1.4.1. No início, havia necessidade de levantar modelos de proteção de dados e hoje temos a lei aprovada, aguardando sanção
9.1.4.1.1. dados como alimento para novos processos de inovação e crescimento econômico - como colocar a proteção do indivíduo de volta nesse processo
9.1.5. Orlando Silva (Deputado Federal PCdoB/SP)
9.1.5.1. agradece o CGI pelo papel de interlocutor para a aprovação da lei
9.1.5.2. todos os setores econômicos foram convidados a participar do debate
9.1.5.2.1. texto construído a muitas mãos, processo muito colaborativo
9.2. Keynote 1: GDPR (General Data Protection Regulation)
9.2.1. Moderador: Diego Canabarro (NIC.br)
9.2.1.1. arcabouço da UE de proteção de dados bastante disseminado por outros países
9.2.1.2. impactos da GDPR para comércio internacional
9.2.2. Bruno Gencarelli (DG Justiça e Consumidores da União Europeia)
9.2.2.1. casos como o Facebook-Cambridge Analytica como um lembrete da importância de proteger a privacidade e a democracia - há muito em jogo
9.2.2.2. É muito promissor que Brasil e UE estejam convergindo respostas
9.2.2.3. Pilares da moderna proteção de dados
9.2.2.3.1. necessidade de legislação compreensiva, ao invés de leis setoriais
9.2.2.3.2. necessidade de consentimento - tem que haver uma base legal para o tratamento de dados
9.2.2.3.3. indivíduos devem ser bem informados
9.2.2.3.4. accountability
9.2.2.3.5. dependência da Autoridade para supervisão e cumprimento das regras
9.2.2.4. Brasil está considerando ser observador da Convenção 108 - existe essa expectativa
9.2.2.4.1. é um dos parceiros mais importantes da Europa - expectativa de facilitação de fluxo de dados e comércio
9.2.3. Questões/Debate
9.2.3.1. Diego: convergência normativa Brasil-UE retoma os princípios da WSIS, que influenciou o decálogo do CGI
9.2.3.2. Como fica a condição do Brasil em relação ao framework para transferência de dados com a UE?
9.2.3.2.1. Bruno: a legislação brasileira parece muito interessante, há vários pontos de convergência que seriam a base para a adequação de fluxo de dados. A Autoridade independente é essencial para criar essa convergência e queremos focar em nosso trabalho com o Brasil, é um país prioritário.
9.2.3.3. Desafio de treinamento de equipes - como estruturar um currículo que atenda a legislação?
9.2.3.3.1. Bruno: o que vimos com a adoação da GDPR é que o nível de entendimento depende muito de cada empresa, do setor, depende de uma cultura de proteção de dados (é um papel da Autoridade) - as Autoridades na Europa fizeram linhas de telefone a disposição para tirar dúvidas. São necessários check-ups porque muitas empresas coletam mais dados que o necessário
9.2.3.4. O que é considerado pela Europa na análise da Autoridade brasileira para ter a adequação?
9.2.3.4.1. Bruno: deve haver fiscalização efetiva
9.2.3.5. Quais os principais pontos do processo de adaptação à lei?
9.2.3.5.1. Bruno: incluir setores público e privado, introdução de certificados e outras ferramentas, portabilidade
9.2.3.6. Como fica quando aplicado outro critério como quando de norma da empresa?
9.2.3.6.1. Bruno: se o tratamento é realizado na UE, então está submetido à GDPR, esse é o escopo da regulação.
9.2.3.7. O Brasil não ter Autoridade impediria o fluxo com a UE?
9.2.3.7.1. Bruno: não, há diferentes ferramentas de transferências de dados. Mas com ela, o Brasil é assimilado a um país membro da UE, é uma grande vantagem de redução de custos para empresas de pequeno e médio porte
9.3. Painel 1: General Data Protection Regulation e Convenção 108: primeiras impressões e expectativas sobre o processo de modernização das normas de proteção de dados pessoais
9.3.1. Moderador: Thiago Jardim (MRE)
9.3.2. Bojana Bellamy (Centre for Information Policy Leadership)
9.3.2.1. parabeniza o modo com a lei foi concebida no Brasil, privilegiando o modelo multissetorial
9.3.2.2. elementos da GDPR para a LGPD
9.3.2.2.1. Accountability
9.3.2.3. risk based approach
9.3.2.3.1. compliance
9.3.2.4. indivíduos empoderados não só pelos direitos, mas pela transparência
9.3.2.5. lei única na Europa
9.3.2.6. promoção de uma boa governança de dados
9.3.2.7. o papel da Autoridade
9.3.2.7.1. ter uma expertise confiável, para que permita o uso responsável dos dados
9.3.2.7.2. convergências entre DPAs
9.3.2.7.3. leadership
9.3.2.7.4. police officer
9.3.2.7.5. complaint handler
9.3.2.7.6. authoriser
9.3.2.7.7. resultados de uma DPA
9.3.3. Danilo Doneda (UERJ)
9.3.3.1. Convenção 108 - 1980; 2018 foi feita sua atualização (Conselho da Europa com foco em DH)
9.3.3.2. Diretiva 95/46/CE - 1995; 2018 reformulação=GDPR (União Europeia)
9.3.3.3. incertezas quanto a sanção da lei integral
9.3.3.4. Histórico LGPD
9.3.3.4.1. 2005 - discussão MERCOSUL
9.3.3.4.2. 2010 - documento que não virou lei no MERCOSUL
9.3.3.4.3. 2010 - MJ elabora anteprojeto de lei
9.3.3.4.4. 2011-2014 - avança legislação setorial
9.3.3.4.5. 2015 - nova versão do anteprojeto de lei submetida a debate público
9.3.3.4.6. 2016 - enviada ao parlamento, pelo governo, como PL 5276/2016
9.3.3.4.7. 2018 - aprovação unânime na Câmara e Senado
9.3.3.5. LGPD
9.3.3.5.1. alinhamento inicial com a Convenção 108
9.3.3.5.2. unificação da matéria/convergência de leis contribui para facilitação dos fluxos de dados
9.3.3.5.3. o Brasil é um país próximo da Europa culturalmente em termos jurídicos
9.3.3.5.4. definições
9.3.3.5.5. setor público
9.3.3.5.6. sanções - várias possibilidade
9.3.3.5.7. enforcement
9.3.4. Laura Juanes (Facebook)
9.3.4.1. proteções existem por perspectivas culturais e experiências
9.3.4.1.1. há uma mudança de tendências, privacidade passa a ser enquadrada em leis
9.3.4.1.2. drivers são diferentes: segurança, proteção de inovação, etc.
9.3.4.1.3. GDPR é um elemento comum nas discussões
9.3.4.2. Privacidade na Europa
9.3.4.2.1. mito 1: privacidade sempre prevalece
9.3.4.2.2. mito 2: tudo é pessoal
9.3.4.2.3. mito 3: é tudo sobre consenso
9.3.4.2.4. mito 4: joint and several liability is the default
9.3.4.2.5. mito 5: dados só podem ser exportados para países "adequados"
9.3.4.3. Atualização de privacidade global do Facebook
9.3.4.3.1. "configurações" mais fáceis de encontrar e usar
9.3.4.3.2. menu de "atalhos de privacidade" redesenhado
9.3.4.3.3. baixe suas informações
9.3.4.3.4. acesse suas informações
9.3.5. Sophie Kwasny (Council of Europe)
9.3.5.1. COE diferente da UE
9.3.5.2. Convenção 108
9.3.5.2.1. única - não há nenhum outro instrumento internacional juridicamente vinculativo
9.3.5.2.2. aberta - qualquer país do mundo com uma legislação de proteção de dados em conformidade pode solicitar convite para aderir
9.3.5.2.3. influente em princípios de proteção de dados, adotados em todas as regiões do mundo.
9.3.5.2.4. modernização 2011-2018
9.3.5.2.5. aplicável aos setores público e privado
9.3.5.2.6. dados sensíveis
9.3.5.2.7. accountability = demonstrar processos
9.3.5.2.8. cooperação entre DPAs
9.3.5.2.9. espera que o Brasil se junte ao Comitê como observador
9.3.6. Questões/Debate
9.3.6.1. padrões de interoperabilidade
9.3.6.1.1. Laura: o Facebook tem visto os desafios de tornar a portabilidade eficaz e de modo seguro
9.3.6.1.2. Bojana: acredito que é um direito do consumidor, mas não aplicável a tudo. Podemos ter portabilidade em bancos, telefonia...Os sistemas são difíceis, estamos em estágios iniciais mas é algo a ser feito
9.3.6.1.3. Danilo: é um ponto muito necessário. Não se trata propriamente de privacidade, mas sim dos dados pessoais. É uma discussão inicial não só aqui mas como em muitos países. Deve haver incentivos com uma base legal mínima para que isso seja concreto.
9.3.6.1.4. Sophie: isso não está na atualização da Convenção 108, mas está na GDPR em um nível mais regional. Estamos trabalhando em documentos setoriais, como da saúde, e então temos discussões sobre portabilidade e interoperabilidade.
9.3.6.2. que debates e desafios ocorrem sobre a composição dos DPAs?
9.3.6.2.1. Bojana: há várias abordagens diferentes, alguns tem conselhos, e conselhos específicos como para IA; acredito que precisa de um mix de conhecimentos, não ter só advogados. Vemos cooperação de DPAs com outros reguladores, o que é muito importante
9.3.6.2.2. Sophie: é preciso haver imparcialidade, independência, sancionamento, poderes de investigação, papel de consultor em termos de legislação. São critérios fundamentais, o DPA precisa ter recursos humanos, todas as condições para exercer a implementação desse sistema
9.4. Painel 2: Cooperação internacional e acesso transfronteiriço a dados para investigações criminais
9.4.1. Moderador: Thiago Tavares (CGI.br)
9.4.2. Letícia Zereu Batistela (Assespro)
9.4.2.1. ato normativo de 1997, usado nas promoções e requisições de provas, além de realização de diligências sobre pessoas, bens e haveres situados fora do Brasil, tanto para investigação criminal quanto para instrução penal em curso no país
9.4.2.2. decisões judiciais que se escoram na violação ao princípio da soberania nacional brasileira
9.4.2.3. O que a ASSESPRO quer com a ação
9.4.2.3.1. o reconhecimento da constitucionalidade dos artigos (a) 237, II, do CPC/2015 e (b) 780 e 783 do CPP, que tratam das cartas rogatórias ativas.
9.4.2.3.2. necessidade de cooperação internacional das autoridades estrangeiras para a prática de atos fora do território brasileiro
9.4.2.3.3. após a lei 11.419/2006, a carta rogatória comporta expedição por meio digital ou eletrônico
9.4.2.4. a não-aplicação do MLAT por tribunais brasileiros
9.4.2.4.1. os provedores de aplicativos de Internet só devem respeito ao regime normativo a que estão territorialmente submetidos
9.4.2.4.2. o fornecimento de tais dados, pelos provedores de aplicação, diretamente às autoridades brasileiras pode constituir ilícito nos países em que os provedores estão legalmente localizados
9.4.2.5. querem equidade de sigilo bancário e sigilo comunicação
9.4.2.5.1. a Constituição deu aos dados de comunicação privada grande segurança jurídica, em comparação com os reservados aos dados bancários (tratamentos distintos)
9.4.2.6. o que apoiamos
9.4.2.6.1. a obtenção de dados públicos
9.4.2.6.2. a possibilidade de imposição de restrições, pela autoridade estrangeira, ao compartilhamento dos dados entregues para outras autoridades ou em outras investigações
9.4.2.6.3. a obtenção de dados cadastrais e registros de acesso de usuários de serviços de provedoras de aplicativos de internet estabelecidas fora do Brasil, mediante requisição judicial
9.4.3. Vladimir Aras (MPF)
9.4.3.1. interesse pela cooperação ativa
9.4.3.1.1. captura de foragidos
9.4.3.1.2. obtenção de provas (documentais, orais, digitais, etc.)
9.4.3.1.3. recuperação de ativos
9.4.3.1.4. execução de sentenças
9.4.3.1.5. comunicação processual
9.4.3.2. obtenção de provas (documentais, orais, digitais, etc.)
9.4.3.2.1. necessidade (ou não) de MLAR (request, pedido de acesso a provas)
9.4.3.3. Cooperações possíveis com base na convenção de Palermo, tratados bilaterais e multilaterais
9.4.3.3.1. Brasil coopera sem tratado, mediante promessa de reciprocidade
9.4.3.3.2. Brasil não é signatário da Convenção de Budapeste
9.4.3.4. lei de proteção de dados pode favorecer o Brasil nesses processos
9.4.3.4.1. Eurojust e Europol
9.4.3.5. Cloud Act (EUA)
9.4.3.6. EP.O. União Europeia
9.4.4. Daniel Ackerman (DOJ-USA)
9.4.4.1. Cloud Act - dados localizados no exterior devem ser fornecidos. Para tanto, os países precisam ter competência jurisdicional sobre a empresa e uma aproximação de leis/marcos jurídicos de proteção de dados e cibercrimes.
9.4.4.1.1. o Brasil poderia aproveitar muito desse acordo bilateral, porque há muitas empresas americanas aqui
9.4.4.1.2. o primeiro acordo deve ser com o UK
9.4.4.1.3. é uma atualização legislativa dos EUA
9.4.5. André Veras Guimarães (COCIT/MRE)
9.4.5.1. fala em posição pessoal
9.4.5.2. quais são os interesses nacionais em mecanismos internacionais?
9.4.5.3. Convenção de Budapeste: há áreas do Brasil a favor e há quem é contra
9.4.5.4. o papel do Itamaraty é de negociador - depende de consensos da sociedade
9.4.6. Luíza Couto Chaves Brandão (IRIS - UFMG)
9.4.6.1. MCI não exatamente como fundamento legal para cooperação transnacional, mas menciona a observância dos tratados
9.4.6.2. Problemas dos pedidos
9.4.6.2.1. tempo e eficiência dos atuais mecanismos
9.4.6.2.2. sede da empresa como critério para a execução de decisões
9.4.7. Questões/Debate
9.4.7.1. Cloud Act demanda uma qualificação para ter reciprocidade? O MCI permite ignornarmos o MLAT e aplicar o art.11?
9.4.7.1.1. André: em algum momento, teremos que pensar sobre cooperação e jurisdições para manter a Internet global
9.4.7.1.2. Daniel: os países precisam ter competência jurisdicional sobre a empresa e uma aproximação de leis/marcos jurídicos de proteção de dados e cibercrimes.
9.4.7.1.3. Luiza: o MCI trata de lei aplicável, que é uma outra dimensão. Para execução o MCI se remete ao tratado do MLAT.
9.4.7.2. Como as empresas estão se adaptando com as novas leis de proteção de dados, seria o caso de ter uma ISO para proteção de dados?
9.4.7.2.1. Letícia: muitas empresas ainda estão buscando se capacitar e se adequar
9.4.7.3. Vladimir: é um falso problema, pois temos jurisdição e legislação
9.5. Painel 3: O papel do setor privado na proteção à privacidade e aos dados pessoais
9.5.1. Moderador: Sérgio Amadeu (CGI.br)
9.5.2. Dirceu Gardel (ANBC)
9.5.2.1. congrega empresas que administram cadastros positivo e negativo
9.5.2.2. essas empresas tem investido muito em segurança
9.5.2.3. CDC artigo 43, 4
9.5.2.4. informações não só cadastrais, mas também de hábitos de consumo
9.5.2.5. forte expectativa para a sanção da lei, para que as operações tenham mais segurança
9.5.2.5.1. fomento de boas práticas
9.5.2.5.2. controle de consulentes, de modo a garantir que as informações somente sejam compartilhadas com pessoas que detenham legítimo interesse
9.5.3. Enylson Camolesi (Telefônica)
9.5.3.1. privacidade como centro das políticas da empresa
9.5.3.1.1. portal "dialogando", iniciativas educativas sobre uso responsável da tecnologia
9.5.3.1.2. política de transparência para com os clientes
9.5.3.2. centro de privacidade
9.5.3.2.1. visa trazer informações para o usuário
9.5.3.3. reconhecimento das práticas por outras associações, como o InternetLab
9.5.3.4. manifesto digital
9.5.3.4.1. para fomentar uma digitalização centrada nas pessoas
9.5.3.4.2. cooperação público-privada
9.5.3.4.3. nova ética de dados
9.5.3.4.4. transparência e escolha
9.5.3.4.5. garantia a segurança
9.5.4. Marcel Leonardi (Google)
9.5.4.1. há um receio de que o texto da lei não seja sancionado integralmente
9.5.4.2. empresas precisam se reorganizar e repensar suas atividades
9.5.4.2.1. ex.: privacy by design
9.5.4.2.2. quais bases legais fundamentam o tratamento dos dados
9.5.4.2.3. é um trabalho de longo prazo
9.5.4.2.4. se torna um diferencial competitivo - cultura de privacidade crescendo no Brasil
9.5.4.3. nossa lei caminha para uma adequação com o padrão europeu e outras iniciativas internacionais, como a lei californiana
9.5.5. Marcelo Sousa (Abradi)
9.5.5.1. lei é necessária
9.5.5.1.1. respeito ao consumidor
9.5.5.1.2. segurança jurídica para as empresas
9.5.5.2. empresas precisam encarar como um investimento necessário que trará vantagem competitiva
9.5.5.2.1. incentivo para um marketing mais eficiente
9.5.5.3. apoio à LGPD, com preocupações importantes
9.5.5.3.1. dosimetria
9.5.5.3.2. superpoderes da ANPD
9.5.5.3.3. alguns pontos genéricos
9.5.5.4. papel dos agenets digitais: boas práticas e transparência
9.5.5.4.1. devem ser consultores dos clientes
9.5.6. Fernanda Bruno (Lavits-UFRJ)
9.5.6.1. o setor privado detém um volume de dados que antes era reservado a outros setores da sociedade
9.5.6.2. importância dos elementos de consentimento e legítimo interesse
9.5.6.3. importância da Autoridade para lidar com alta velocidade de mudanças, com transformações
9.5.6.3.1. por exemplo, lidar com dados comportamentais que influenciam escolhas e opiniões
9.5.6.3.2. desafio de efeitos coletivos e responsabilidades que ultrapassam as fronteiras dessas proteções
9.5.6.3.3. previsão de um conselho multissetorial é fundamental
9.5.7. Francisco Carvalho de Brito Cruz (InternetLab)
9.5.7.1. projeto "Quem Defende seus Dados?"
9.5.7.1.1. tem algo a mais do que cumprir a lei
9.5.7.1.2. construção de uma cultura de privacidade, para chamar a atenção do consumidor
9.5.7.1.3. inspirado em projeto da EFF
9.5.7.1.4. avaliado comprometimento público com obediência à lei
9.5.7.1.5. adoção de práticas e posturas pró-usuário
9.5.7.1.6. transparência sobre as práticas e políticas
9.5.7.1.7. exerce um constrangimento positivo sobre os atores
9.5.8. Otávio Caixeta (MCTIC)
9.5.8.1. ter medidas de responsabilidade corporativa
9.5.8.1.1. encontrar equilíbrio que permita inovação mas não penalize cidadãos e usuários
9.5.8.2. as medidas expostas pela mesa são bastante satisfatórias, respeitando o princípio de accountability
9.5.8.3. falta ainda alguma eficácia, no setor dos bureaus de crédito
9.5.8.3.1. dificuldade de entender como a privacidade pode ser um diferencial competitivo para os bureaus
9.5.8.3.2. critérios e informações não tão claras sobre crédito negado, por exemplo
9.5.9. Questões/Debate
9.5.9.1. bases de dados que já existem hoje, especialmente sobre marketing e profiling, o que acontece com elas com a lei?
9.5.9.1.1. Marcelo: essas bases tendem a diminuir, pelo consentimento dos usuários, e a qualidade dos dados tende a aumentar. Tivemos o exemplo da GDPR, onde muitos serviços pediram novas autorizações
9.5.9.1.2. Marcel: o tratamento acontece com uma base já existente, mesmo que a coleta já ocorreu. Deve haver a adequação, novos pedidos de consentimento é uma possível saída.
9.5.9.1.3. Francisco: é uma conversa sobre compromissos que o setor privado pode fazer, que vão além da lei. temos que aproveitar esse momento para levar ao público, na construção de uma cultura de privacidade.
9.5.9.2. como a LGPD dialoga com o CDC e o MCI?
9.5.9.2.1. Marcel: CDC é mais compatível com a LGPD, mas ainda vai depender de muita doutrina e jurisprudência para deliberar isso
9.5.9.2.2. Dirceu: a questão com o MCI vai gerar mais discussão, quanto as outras legislações parece já estar mais adequado. Sobre o comentário do MCTIC, há a responsabilidade do consulente, do uso que ele faz com a informação fornecida pelo bureau.
9.5.9.2.3. Enylson: a lei parece perfeitamente adaptável, as leis poderão conviver entre si.
9.5.9.2.4. Sérgio: o MCI tem um dispositivo muito importante sobre o provedor de conexão não poder monitorar a navegação do usuário, assim ele está sendo ampliado com a LGPD
9.5.9.2.5. Otávio: espera-se que a LGPD faça uma harmonização com o cenário jurídico internacional e atue sobre setores omissos. O MCI já tinha feito avanços e isso terá que ser testado no judiciário.
9.5.9.3. Sérgio: coleta de biometria (dado sensível) - por que essa febre de coleta de biometria?
9.5.9.3.1. Dirceu: dado biométrico deve ser para uso de autenticação e validação das pessoas, importante para prevenção a fraude
9.5.9.3.2. Francisco: as pessoas estão muito a vontade e acostumadas a ceder dados
9.5.9.4. Sérgio: sistema preditivo como o Mosaic da Serasa, como esse poder é visto?
9.5.9.4.1. Dirceu: o score é uma ferramenta estatśitica de predição, é um score pertencente ao grupo que o indivíduo se encaixa
9.5.9.5. Sérgio: sistemas algorítmicos opacos
9.5.9.5.1. Marcelo: temos que trazer transparência e clareza sobre algoritmos, há problemas como sensibilização de dados pela coleta de dados não sensíveis
9.5.9.5.2. Marcel: o FTC tentou exigir a abertura de algoritmos, chegando a conclusão de ter direito a uma revisão humana de decisões automatizadas, isso se tornou mais importante do que descobrir o código do algoritmo.
9.5.9.5.3. Enylson: criar uma cultura de dados que venha com uma cultura de privacidade é o maior desafio, toda a discussão está em torno disso.
9.6. Coquetel de Debates sobre a Conjuntura Brasileira: Modelos Regulatórios para a aplicação e fiscalização de leis de proteção de dados pessoais.
9.6.1. Presidente de Mesa: Flávia Lefèvre (CGI.br)
9.6.2. Moderador: Danilo Doneda (UERJ)
9.6.3. Ana Paula Bialer (Brasscom)
9.6.3.1. cada vez mais a economia dos dados precisa de segurança jurídica
9.6.3.2. vemos muito positivamente a aprovação da LGPD, mas o que nos preocupa uma possível sanção parcial
9.6.3.2.1. "fatiamento" da lei por setores, pois se aplica a todos de maneira equânime
9.6.3.2.2. preocupação com a Autoridade, que precisa estabelecer uma padronização, diretrizes e como excessos deverão ser reprimidos, sem ela teríamos uma pulverização da lei, com realidades e aplicações diferentes
9.6.3.2.3. discussão do público x privado - a lei é geral e se aplica a todos, o poder do Estado não está prejudicado com a lei
9.6.4. Rafael Zanatta (Idec)
9.6.4.1. problema de uso dos dados, o Cadastro Positivo e a atenção que o caso da Cambridge Analytica trouxe para a Câmara e o Senado brasileiros.
9.6.4.2. Autoridade
9.6.4.2.1. convergência de modelos regulatórios na América Latina
9.6.4.2.2. pretendemos retomar a discussão sobre o Cadastro Positivo
9.6.5. Bojana Bellamy (Centre for Information Policy Leadership)
9.6.5.1. o Brasil chegando "atrasado" pode adaptar experiências já aplicadas no mundo
9.6.5.2. o projeto da lei é muito bom, equilibra direitos com inovação e tecnologia
9.6.5.2.1. garantir que os dados fluam e sejam utilizados de modo responsáveis
9.6.5.2.2. exemplo de Cingapura
9.6.5.3. não é so compliance, essas práticas são necessárias
9.6.5.3.1. gostaria de ver uma mudança do setor público, isso seria uma mudança importante para o Brasil
9.6.5.4. é necessário ter engajamento construtivo entre reguladores e regulados
9.6.6. Thiago Camargo (SEPOD/MCTIC)
9.6.6.1. parecer de veto a Autoridade
9.6.6.1.1. para essa criação, que não exista vacatio legis, que seja criada imediatamente
9.6.6.1.2. que seja uma Autoridade multissetorial
9.6.6.2. auditoria em bancos de dados sem ordem judicial, o governo não deveria ter esse poder
9.6.6.2.1. esse ponto não é negociável, é uma brecha
9.6.6.3. a data da sanção pode ser alterada ainda
9.6.7. Laura Schertel Mendes (UnB e CEDIS/IDP)
9.6.7.1. a aprovação dessa lei é um grande avanço para nossa sociedade
9.6.7.1.1. uma lei que não seja sancionada integralmente, não concretizaria esse avanço
9.6.7.2. Autoridade
9.6.7.2.1. ter poder sancionatório
9.6.7.2.2. ter expertise
9.6.7.2.3. precisa ser independente
9.6.7.2.4. lembra que é requisito para entrar na OCDE
9.6.8. Bruno Gencarelli (DG Justiça e Consumidores da União Europeia)
9.6.8.1. o Brasil está no caminho de convergência da lei com a Europa e com a sociedade dos dados
9.6.8.2. é preciso evitar a fragmentação da regulação, o que é um ponto positivo da lei brasileira
9.6.8.3. temos consentimento e outras ferramentas legais
9.6.8.4. a criação da Autoridade independente é extremamente importante, para ser um ponto acessível de contato
9.6.8.4.1. criação de Autoridades independentes de maneira local, atendendo requisitos domésticos, e facilitando os fluxos de dados
9.6.8.5. Brasil como prioridade para ter o nível de adequação
9.6.8.5.1. trocas UE-Brasil
9.6.9. Vinicius Marques de Carvalho (USP)
9.6.9.1. Autoridade - modelo baseado em um conselho consultivo e um conselho diretor, como de autarquias em regime especial
9.6.9.1.1. potenciais positivos
9.6.10. Andriei Gutierrez (IBM Brasil)
9.6.10.1. é a construção de uma nova sociedade digital, onde é importante que tenha confiança
9.6.10.1.1. saber as regras passa por todos os setores, para que o cidadão sinta confiança
9.6.10.1.2. foi bem interpretado na estratégia digital brasileira
9.6.10.1.3. integralidade da lei - resultado de muito diálogo e concessões
9.6.10.1.4. quais serão as condições de aplicação dessa lei? debate democrático deve ser o principal ponto de referência
9.6.11. Sophie Kwasny (Council of Europe)
9.6.11.1. ter a participação dos atores nacionais (e não internacionais) na discussão sobre a Autoridade
9.6.11.2. a Autoridade é necessária para o Brasil aderir a Convenção 108 e fica o convite para o país ser observador
9.6.12. Bia Barbosa (Intervozes)
9.6.12.1. o Intervozes nunca duvidou da importância da lei em termos de direitos e liberdades. O debate não é só um debate econômico, é sobre um equilíbrio entre esse ecossitema e os direitos dos cidadãos
9.6.12.1.1. a sociedade civil não concordou com as exceções de segurança pública, então foi um processo desafiador e de negociações.
9.6.12.1.2. a continuação desse processo precisa passar pelo debate democrático
9.6.13. Henrique Faulhaber (CGI.br)
9.6.13.1. fala em caráter pessoal
9.6.13.2. fizemos um forte avanço nesses noves anos, mas o debate continua
9.6.13.2.1. por exemplo, a situação de pequenas empresas e aumento de custos
9.6.13.2.2. poderia ser uma oportunidade para pequenas empresas crescerem
9.6.13.3. concordo que a Autoridade deveria ser criada em um período menor que os 18 meses
9.6.14. Carlos Affonso Souza (ITS Rio)
9.6.14.1. discussão sobre como as multas serão desempenhadas
9.6.14.1.1. o MCI já traz um dispositivo importante sobre isso, artigos 11 e 12 e que sancionam a forma pela qual pode ocorrer um tratamento indevido
9.6.14.2. a dinâmica entre o MCI e a LGPD será construída, como a questão do consentimento
9.6.14.2.1. qual seria o critério de especificidade entre essas leis? uma específica de dados e outra específica sobre Internet
9.6.15. Questões/Debate
9.6.15.1. quais outros pontos estariam passíveis de veto?
9.6.15.1.1. Thiago: há questionamentos dentro do governo sobre compartilhamento de dados entre setor público e privado e consequências em programas sociais; há muita discussão sobre a criação da Autoridade; a competência de órgãos do consumidor.
9.6.15.2. Bojana: as Autoridades tem o direito de auditoria para investigações, não acho que seja um problema se traçado de maneira adequada. Há várias diretrizes para a própria Autoridade como para empresas, que não precisam divulgar todos os seus dados. A Cambridge Analytica por exemplo fechou, mudou de nome, o que é chocante. Por isso é preciso dar poder aos DPAs. E existem graduações de sanções.
9.6.15.3. Bruno: o DPA tem o controle de julgar, ter um poder efetivo e independência. As sanções precisam estar baseadas em evidências, nesse caso são coisas tangíveis. As Autoridades adotam diretrizes para cooperação e sanções impostas. Se a Autoridade realmente for independente, não haveria problema em inspecionar as bases de dados.
9.6.15.4. Thiago: mesmo formato de agências como a ANATEL, então funcionaria do mesmo modo. Não poderia dar tanto poder ao governo, a institucionalidade do Brasil é diferente. É preciso cobrar accountability do governo. Que fiscal vai garantir que o governo pare de funcionar? É preciso uma composição multissetorial.
9.6.15.5. Vinícius: existem algumas características que podem determinar comportamentos, positivos ou não. Agências de regulação setorial serão sempre mais capturadas, por terem interesses concentrados. A ANPD teria posição parecida com o CADE, mais transversal, tendo papel de estabelecer diretrizes e com um poder sancionatório. É preciso discutir uma agenda de negociação com o setor privado. Criação de incentivos para empresas que apresentem seus problemas. Ter autonomia ajudaria na confiabilidade
9.6.15.5.1. Bojana: concordo totalmente, é o engajamento construtivo. Exemplo do sandbox regulatório.
9.6.15.5.2. Thiago: o sandbox regulatório é um desafio no Brasil.
9.6.15.6. Laura: o modelo não é perfeito, mas é o que conseguimos alcançar até aqui. Me parece mais relevante ter uma Autoridade centralizada do que descentralizada, pois temos muitos atores trabalhando nesse tema, para trazer confiança, credibilidade para dialogar com todos.
9.6.15.7. A criação da Autoridade seria ou não constitucional? E precisa ser implementada urgentemente?
9.6.15.7.1. Thiago: existe uma análise sobre ser ou não constitucional. Baseado nisso, no mérito seria mais adequado a Autoridade entrar em vigor imediatamente. Ainda depende muito da indicação presidencial para direção da Autoridade de mandato fixo.
9.6.15.8. Flávia: uma possível MP não parece coerente, tendo em vista que o governo participou dos debates e o projeto saiu de dentro do próprio governo, do MJ. A questão de auditoria, ainda terá decreto de regulamentação, haverá procedimentos e regras.
9.6.15.9. CAF: o quanto relevante foi a figura da autoridade japonesa no acordo com a UE?
9.6.15.10. Zanatta: governo e Autoridade não são a mesma coisa. O direito de auditoria se aplica a efeitos discriminatórios.
9.6.15.10.1. Thiago: mas são nomeados pelo governo, então na prática essa diferenciação não existe.
9.6.15.11. Andrei: a IBM já está analisando se a empresa respeita a lei, mesmo antes do sancionamento. Não ter a Autoridade causa insegurança jurídica.
9.7. Keynote 2: Ética dos dados para uma inteligência artificial a serviço da sociedade
9.7.1. Moderadora: Tanara Lauschner (CGI.br)
9.7.2. Ricardo Abramovay (IEE-USP)
9.7.2.1. Ética dos dados como tema importante na geopolítica contemporânea
9.7.2.2. papel da IA em nossa vida cotidiana
9.7.2.2.1. falar de IA é falar de dados pessoais
9.7.2.3. livre-concorrência como um valor em jogo
9.7.2.3.1. modo como os dados são tratados hoje é uma barreira de entrada
9.7.2.3.2. concentração dos dados
9.7.2.4. lei de proteção de dados ajudaria o empreendedorismo
9.7.2.5. democracia
9.7.2.5.1. hoje há uma nova geração de direitos humanos
9.7.2.6. Internet como o mais importante bem público inventado
9.7.2.7. Dados precisam circular para fomentar inovação, IA
9.7.2.7.1. Internet aberta e protegida ao mesmo tempo, é o que queremos
9.7.2.7.2. dados são uma riqueza da humanidade
9.7.2.8. Brasil carece de uma estratégia para IA
9.7.2.8.1. ter uma agência e uma lei de proteção de dados
9.7.2.9. ética - finalidades da ação humana
9.7.2.9.1. discutir socialmente o propósito da coleta dos dados
9.7.2.9.2. não queremos uma sociedade de vigilância
9.7.2.9.3. necessidade de investimentos governamentais em C&T
9.7.2.9.4. autoridades precisam de aprendizagem coletiva, inspiração no modelo do CGI
9.7.3. Questões/Debate
9.7.3.1. Estamos no caminho certo para diminuir a concentração dos dados?
9.7.3.1.1. Ricardo: o que temos é uma tensão, mas temos que ter uma integração entre ética dos dados e segurança. Soluções emergentes são resultado das diferentes forças da sociedade; o ambiente de regulação dos dados parece ser o caminho certo, para que nos tornemos sujeitos dos dados.
9.7.3.2. Como vê a capacidade de uma Autoridade no Brasil?
9.7.3.2.1. Ricardo: ela deve criar um ambiente institucional que encaminhe os atores em uma direção.
9.7.3.3. O direito vai bastar para controle da IA?
9.7.3.3.1. Ricardo: formação humanística é um caminho fundamental, junção de ciências e humanas como um desafio.
9.7.3.4. Como fica o controle e o interesse público com os segredos industriais dos algoritmos?
9.7.3.4.1. Ricardo: por isso precisamos de uma lei e autoridade, para uma construção multissetorial.
9.8. Painel 4: Perfis comportamentais: as possibilidades e os limites do tratamento de dados para fins de estratificação, segmentação e categorização
9.8.1. Moderador: Otavio Luiz Rodrigues Junior (CGI.br)
9.8.2. Joyce Souza (UFABC)
9.8.2.1. dados pessoais na área da saúde
9.8.2.2. caso de estudo em São Caetano do Sul
9.8.2.2.1. instituições públicas e privadas coletando informações
9.8.2.2.2. contratação de empresas terceirizadas
9.8.2.2.3. soluções
9.8.2.2.4. vigilância e controle dos dados
9.8.2.3. necessidade de uma Autoridade com composição multissetorial
9.8.3. Mário Viola (CNseg)
9.8.3.1. falando na qualidade de consultor
9.8.3.2. generalização, estratificação, segmentação e categorização
9.8.3.2.1. boa parte das decisões tomadas por agentes econômicos (e por indivíduos) se baseia em generalizações (que levam a estratificações, segmentações e categorizações)
9.8.3.2.2. perfil de risco: feito com base em comportamentos anteriores de outras pessoas que tenham características semelhantes (idade, gênero, localização)
9.8.3.3. assimetria de informação
9.8.3.3.1. a reunião de informações (e sua classificação em distintos grupos) é necessária para prevenir assimetria de informações entre clientes e seguradoras (mas é uma via de mão dupla)
9.8.3.4. limites atuais (CDC, Lei do Cadastro Positivo, MCI)
9.8.3.4.1. O STJ decidiu que "na avaliação do risco de crédito, devem ser respeitados os limites estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da máxima transparência nas relações negociais, conforme previsão do CDC e da Lei 12.414/2011"
9.8.3.4.2. Art.7 do MCI
9.8.3.5. GDPR
9.8.3.5.1. traz a definição de perfis
9.8.3.6. PLC 53 de 2018
9.8.3.6.1. princípio da não discriminação
9.8.3.6.2. direito de revisão
9.8.4. Veridiana Alimonti (EFF)
9.8.4.1. sistemas de rastreamento implementados pela indústria de publicidade online
9.8.4.1.1. cookies
9.8.4.1.2. retargeting
9.8.4.1.3. risco de discriminação nas ofertas, conteúdos pagos em geral e outras áreas, como crédito
9.8.4.1.4. transparência e consenso explícito e informado (com alternativas efetivas) são fundamentais
9.8.4.1.5. e-privacy directive
9.8.4.1.6. privacy badger - identifica rastreadores e bloqueia domínios
9.8.5. Ricardo Morishita Wada (Consultor Independente)
9.8.5.1. análise na perspectiva da proteção do consumidor
9.8.5.2. proteção de dados = proteção da pessoa = direitos da personalidade
9.8.5.3. desenvolvimento tecnológico deve trazer "embutido" a preservação da privacidade
9.8.5.4. superação da dicotomia dados pessoais x dados anônimos
9.8.5.4.1. o dado anônimo pode ser resgatado
9.8.5.5. art.4 do CDC - proteção da pessoa
9.8.5.6. necessidade de consentimento - manifestação livre, informada e inequívoca para uma finalidade determinada
9.8.5.6.1. previsto no art.46 do CDC
9.8.5.6.2. ter conhecimento prévio e a compreensão do sentido e do alcance
9.8.5.7. importância da sanção da LGPD que prevê os casos de legítimo interesse
9.8.5.7.1. fundamental que assegure transparência sobre o que se denomina legítimo interesse
9.8.5.7.2. accountability e auditoria dos dados pelas autoridades de proteção de dados e órgão de defesa do consumidor
9.8.5.8. fundamental que o consentimento seja granular
9.8.5.8.1. prática do "take-it or leave-it" é abusiva
9.8.5.9. desafio dos preços dinâmicos, considerando o perfil de compra dos consumidores
9.8.6. Questões/Debate
9.8.6.1. GDPR e direito a explicação, existe nessa lei e na LGPD e quais os limites dessa explicação?
9.8.6.1.1. Mário: explicação como entendimento da lógica do sistema, mas há diversos fatores e também o papel de corrigir as informações
9.8.6.2. LGPD previsão de dados anonimizados quando utilizados para fins de perfis, são considerados dados pessoais, podemos interpretar como individualizada?
9.8.6.2.1. Veridiana: o perfil comportamental leva a conclusões que direcionam conteúdos e decisões, não é possível que esse perfil não seja protegido pela lei.
9.8.6.3. É possível maior transparência com a coleta de dados das farmácias e elas estão prontas para a lei?
9.8.6.3.1. Joyce: sim, é possível ter mais transparência a partir dos questionamentos e trabalhos que fazemos. Sobre seguros, os valores se tornam mecanismos de exclusão (apps em troca de descontos, por ex)
9.8.6.4. práticas de cookies-drop, há medidas de combate, iniciativas públicas para auditoria?
9.8.6.4.1. Veridiana: não fizemos um estudo específico sobre isso, mas vemos a necessidade de que se exiga transparência nessas técnicas.
9.8.6.5. discriminação de preços online seria sanado com a LGPD?
9.8.6.5.1. Ricardo: deve ser assegurado transparência e informação. o que não pode é acontecer de modo oculto.
9.8.6.6. avaliação de risco individualizado, o seguro ficaria discriminatório?
9.8.6.6.1. Mário: há esse desafio, com as novas tecnologias, mas há diferentes modelos de seguro. a sociedade vai ter que decidir até que ponto e em que setores queremos esses modelos
9.9. Painel 5: Vazamentos de dados e informações sigilosas: da prevenção à reparação de danos à privacidade
9.9.1. Moderadora: Lucimara Desiderá (CERT.br)
9.9.2. Joana Varon (Coding Rights)
9.9.2.1. só existe privacidade se houver segurança com os dados pessoais
9.9.2.2. aumento dos vazamentos de dados globalmente, ao longo do tempo
9.9.2.3. projeto chupa dados
9.9.2.4. segurança de dados
9.9.2.4.1. minimizar quantidade de dados e de pessoas que acessam
9.9.2.4.2. dificultar o acesso (senhas, criptografia, autenticações)
9.9.2.4.3. compartimentalizar informações
9.9.2.5. boas práticas de governança
9.9.2.5.1. natureza do tratamento
9.9.2.5.2. escopo
9.9.2.5.3. finalidade
9.9.2.5.4. probabilidade e gravidade dos riscos
9.9.2.5.5. benefícios decorrentes do tratamento para se reverter ou mitigar os efeitos do incidente
9.9.2.6. incidentes no Brasil, exemplo Banco Inter
9.9.2.6.1. boas práticas não estão em vigor
9.9.2.7. Facebook multado pelo UK no caso Cambridge Analytica - falta de transparência da plataforma
9.9.2.7.1. foi vazamento ou de venda dos dados? compartilhamento indevido de dados
9.9.2.7.2. apuração do MP com a Cambridge Analytica
9.9.2.8. sanções administrativas da lei
9.9.2.8.1. aplicação balanceada
9.9.2.9. a lei como incentivo a cultura da privacidade
9.9.3. Laura Schertel Mendes (UnB e CEDIS/IDP)
9.9.3.1. vários casos no Brasil: Uber, Banco Inter, Netshoes...
9.9.3.2. riscos
9.9.3.2.1. roubo de identidade
9.9.3.2.2. danos morais
9.9.3.3. autodeterminação, controle = apenas quando se pressupõe a segurança do serviço contratado
9.9.3.4. garantir segurança dos sistemas em primeiro lugar
9.9.3.5. LGPD
9.9.3.5.1. obrigação geral de todos os setores adotarem medidas de segurança no tratamento de dados pessoais
9.9.3.5.2. obrigação do aviso para não haver ocultação de práticas
9.9.3.6. a segurança da informação pensada desde o início
9.9.3.6.1. privacy by design
9.9.3.6.2. na LGPD, art.49, 51 (embora não de maneira expressa)
9.9.3.7. desafios
9.9.3.7.1. como a Autoridade pode estabelecer padrões de modo efetivo, como as medidas podem ser atuais e abranger diferentes atores/setores?
9.9.3.7.2. implementar o privacy by design
9.9.3.7.3. como incentivar a indústria a adotar tais padrões técnicos?
9.9.4. Nelson Novaes Neto (C6 Bank)
9.9.4.1. banco comercial
9.9.4.2. ataques estão se tornando mais sofisticados
9.9.4.3. Brasil como referência de segurança cibernética no sistema financeiro
9.9.4.3.1. chip no cartão
9.9.4.4. Não existe 100% de segurança, mas podemos medir e aumentar seguranças, com rápida detecção e resposta
9.9.4.5. correção de vulnerabilidades
9.9.4.5.1. atualização de sistemas
9.9.4.6. segurança desde a concepção/privacy by design
9.9.4.7. troca de informações e melhores práticas, mesmo entre concorrentes
9.9.4.8. evolução regulatória (Bacen 4658, GDPR...)
9.9.4.9. o risco da cultura, consciência das pessoas
9.9.5. Questões/Debate
9.9.5.1. a experiência da UE
9.9.5.1.1. Nelson: temos uma oportunidade de criar uma evolução de algo que já existe
9.9.5.1.2. Laura: a ideia da LGPD é de estabelecer padrões minímos
9.9.5.2. informação ao consumidor, notificação já não existe?
9.9.5.2.1. Laura: sim, tem como defender isso pelo CDC, mas a LGPD traz os conceitos de informação pessoal, etc. e se aplica em situações mais amplas
9.9.5.2.2. Joana: ter uma lei que possa ser aplicada em vários setores e trazer essa interpretação para todos
9.9.5.3. multa diária da LGPD referente ao lucro da empresa
9.9.5.3.1. Laura: remete ao limite total de 50 milhões, talvez tenha outras interpretações
9.10. Painel 6: Revisitando a relação entre privacidade, proteção de dados pessoais e tecnologia: Privacidade por concepção (by design) e por padrão (by default)
9.10.1. Moderadora: Paula Soprana (Jornalista Especializada em Tecnologia)
9.10.2. Gustavo Gus (Tor Project)
9.10.2.1. necessidade do Tor por ameaças de vigilância, não só do Estado
9.10.2.2. é um software livre e uma rede aberta
9.10.2.2.1. oculta sua localização e anonimiza sua conexão
9.10.2.2.2. cada servidor da rede Tor tem uma camada de criptografia
9.10.2.3. perspectiva
9.10.2.3.1. educar sobre os benefícios e disseminar o Tor para mais defensores de direitos humanos, com foco no Sul global
9.10.2.3.2. melhorar a experiência do usuário das nossas ferramentas, principalmente o Navegador Tor, sem coletar dados privados
9.10.2.3.3. desmistificar a "dark web"
9.10.2.3.4. maior diversidade de sistemas operacionais dos servidores e de sistemas autônomos
9.10.3. Nathalie Gazzaneo (Facebook Brasil)
9.10.3.1. experiência do TTC Labs
9.10.3.1.1. regras -> design
9.10.3.1.2. artigos com insights
9.10.3.1.3. repositório de ferramentas com atividades guiadas
9.10.3.2. o que significa na prática, para o Facebook
9.10.3.2.1. linguagem clara e simples
9.10.3.2.2. camadas de informações
9.10.3.2.3. permitir que as pessoas exerçam suas escolhas enquanto seguem um fluxo de informações
9.10.3.2.4. tudo num só lugar (configurações de privacidade atualizadas)
9.10.4. André Tomiatto (Prefeitura de São Paulo)
9.10.4.1. política de transparência e dados abertos
9.10.4.1.1. melhoria do serviço público pela colaboração
9.10.4.1.2. vitrine de APIs públicas
9.10.4.2. consulta pública e processo eletrônico
9.10.4.2.1. mudança de cultura dentro da administração pública
9.10.4.3. data center e nuvem
9.10.4.3.1. plano estratégico de TIC
9.10.4.3.2. critério de soberania de dados para contratação de data center e nuvem
9.10.4.3.3. desafio: acompanhar novas demandas e tecnologias com regulamentações específicas
9.10.4.4. programa de cidade inteligente
9.10.4.4.1. estar preparado para lidar com o enorme volume de dados gerados
9.10.4.4.2. articulação dos diversos atores envolvidos de forma sustentável
9.10.4.4.3. legislações de processos de inovação e uso de dados devem acompanhar o processo de transformação digital
9.10.5. Bruno Bioni (USP e NIC.br)
9.10.5.1. fala em capacidade pessoal (academia)
9.10.5.2. 2000s
9.10.5.2.1. reforço aos limites do "legalismo"
9.10.5.2.2. leis positivam privacy by design
9.10.5.2.3. literatura crítica sobre privacy by deisgn
9.10.5.3. novo cenário
9.10.5.3.1. saindo de um modelo de comando e controle
9.10.5.3.2. definições contextuais do dado pessoal
9.10.5.3.3. bases legais
9.10.5.4. "riscos criados pelo uso do processamento eletrônico de dados (...) tomar precauções organizacionais" decisão corte alemã 1983
9.10.6. Questões/Debate
9.10.6.1. MCI e obrigação da guarda dos meta-dados, como isso funciona com o Tor? É possível chegar na identificação do usuário?
9.10.6.1.1. Gustavo: apenas o nó de saída teria a informação do IP. Por design não há essa informação, a privacidade é mantida.
9.10.6.2. Reconhecimento facial do Facebook, está de acordo com a futura LGPD?
9.10.6.2.1. Nathalie: esse reconhecimento é opcional na plataforma e funciona até como um mecanismo de segurança. A ferramenta está em compliance com a GDPR
9.10.6.3. propriedade intelectual envolvendo bases de dados em aquisições de empresas
9.10.6.3.1. Bruno: os termos de uso já dariam consentimento para isso. o problema é se a compra da base for por uma empresa com finalidade distinta, vai depender de análise.
9.10.6.4. sobre investigações de ilícitos na rede Tor
9.10.6.4.1. Gustavo: nunca hospedar um nó de saída na sua casa. Há poucos casos desse tipo de conduta. Precisamos educar as autoridades sobre essa tecnologia que protege a privacidade por padrão. O operador do relay não é responsável
9.10.6.5. tem dados sensíveis nos APIs da prefeitura - há discussão sobre segurança desses dados?
9.10.6.5.1. André: existem legislações sobre tratamento desse tipo de dado, muitos não estão disponíveis nas APIs.
9.10.6.6. como unir ideias diferentes de designers e juristas para cada empresa diferente? o modelo jurídico brasileiro também não tem tradição de negociação e cooperação, como seria com a Autoridade?
9.10.6.6.1. Nathalie: o TTC Labs é voltado para startups e pequenas e médias empresas. Existem recursos abertos para que essa rede possa estimular essas práticas. Sobre a Autoridade, existem uma série de incentivos para que esse diálogo aconteça
9.10.6.6.2. Bruno: podemos olhar também para o CDC onde entidades dialogam com o Senacon. A LGPD segue uma racionalidade histórica.
9.11. DADOS QUANTITATIVOS 2018
9.11.1. Total de 7 painéis, além da sessão de abertura.
9.11.2. Participação dos stakeholders
9.11.2.1. Governo
9.11.2.1.1. Luiz Costa, MPF/SP
9.11.2.1.2. Orlando Silva, Deputado Federal PCdoB/SP
9.11.2.1.3. Bruno Gencarelli, DG Justiça e Consumidores da União Europeia (2x)
9.11.2.1.4. Thiago Jardim, MRE
9.11.2.1.5. Sophie Kwasny, Council of Europe (2x)
9.11.2.1.6. Vladimir Aras, MPF
9.11.2.1.7. Daniel Ackerman, DOJ-USA
9.11.2.1.8. André Veras Guimarães, COCIT/MRE
9.11.2.1.9. Otávio Caixeta, MCTIC
9.11.2.1.10. Thiago Camargo, SEPOD/MCTIC
9.11.2.1.11. André Tomiatto, Prefeitura de São Paulo
9.11.2.2. Empresarial
9.11.2.2.1. Laura Juanes, Facebook
9.11.2.2.2. Letícia Zereu Batistela, Assespro
9.11.2.2.3. Dirceu Gardel, ANBC
9.11.2.2.4. Enylson Camolesi, Telefônica
9.11.2.2.5. Marcel Leonardi, Google
9.11.2.2.6. Marcelo Sousa, Abradi
9.11.2.2.7. Ana Paula Bialer, Brasscom
9.11.2.2.8. Andriei Gutierrez, IBM Brasil
9.11.2.2.9. Nelson Novaes Neto, C6 Bank
9.11.2.2.10. Nathalie Gazzaneo, Facebook Brasil
9.11.2.3. Terceiro setor
9.11.2.3.1. Demi Getschko, NIC.br
9.11.2.3.2. Raquel Gatto, ISOC
9.11.2.3.3. Diego Canabarro, NIC.br
9.11.2.3.4. Bojana Bellamy, Centre for Information Policy Leadership (2x)
9.11.2.3.5. Thiago Tavares, CGI.br
9.11.2.3.6. Sérgio Amadeu, CGI.br
9.11.2.3.7. Francisco Carvalho de Brito Cruz, InternetLab
9.11.2.3.8. Flávia Lefèvre, CGI.br
9.11.2.3.9. Bia Barbosa, Intervozes
9.11.2.3.10. Carlos Affonso Souza, ITS Rio
9.11.2.3.11. Henrique Faulhaber, CGI.br
9.11.2.3.12. Rafael Zanatta, Idec
9.11.2.3.13. Tanara Lauschner, CGI.br
9.11.2.3.14. Otavio Luiz Rodrigues Junior, CGI.br
9.11.2.3.15. Mário Viola, CNseg
9.11.2.3.16. Ricardo Morishita Wada, Consultor Independente
9.11.2.3.17. Veridiana Alimonti, EFF
9.11.2.3.18. Lucimara Desiderá, CERT.br
9.11.2.3.19. Joana Varon, Coding Rights
9.11.2.3.20. Paula Soprana, Jornalista Especializada em Tecnologia
9.11.2.3.21. Gustavo Gus, Tor Project
9.11.2.4. Academia
9.11.2.4.1. Marina Feferbaum, CEPI-FGV Direito SP
9.11.2.4.2. Danilo Doneda, UERJ (2x)
9.11.2.4.3. Luíza Couto Chaves Brandão, IRIS - UFMG
9.11.2.4.4. Fernanda Bruno, Lavits-UFRJ
9.11.2.4.5. Laura Schertel Mendes, UnB e CEDIS/IDP (2x)
9.11.2.4.6. Vinicius Marques de Carvalho, USP
9.11.2.4.7. Ricardo Abramovay, IEE-USP
9.11.2.4.8. Joyce Souza, UFABC
9.11.2.4.9. Bruno Bioni, USP e NIC.br
9.11.2.5. 11 representantes governamentais, sendo que dois estavam presentes em duas mesas cada.
9.11.2.6. 10 representantes empresariais.
9.11.2.7. 21 representantes do terceiro setor, sendo que um deles estava presente em duas mesas.
9.11.2.8. 9 representantes da academia, sendo que dois estavam presentes em duas mesas cada.
10. 2019
10.1. Mesa de Abertura
10.1.1. Hartmut Richard Glaser (NIC.br - Diretor)
10.1.2. Demi Getschko (NIC.br)
10.1.2.1. crescimento do evento, aumento de público presencial e online
10.1.2.2. importância da adequação de todos para a LGPD
10.1.3. Marina Feferbaum (CEPI/FGV-SP)
10.1.3.1. pautas são transversais
10.1.4. Flávio Rech Wagner (ISOC Brasil)
10.1.4.1. dados como maior bem da economia
10.1.4.2. necessidade de consolidar normas e práticas
10.1.4.3. privacidade está sob constante pressão de atores da sociedade
10.1.4.4. princípios como privacy by design
10.1.5. Luiz Costa (MPF/SP)
10.1.5.1. o evento promove o avanço da proteção de dados no Brasil
10.1.5.2. princípios, responsabilidades e autoridade independente (3 eixos da lei)
10.2. Keynote 1 - Repensando as fundações da proteção de dados pessoais em uma sociedade globalizada movida a dados
10.2.1. Moderador: Luiz Costa (MPF/SP)
10.2.2. Keynote: Orla Lynskey (LSE Law Department)
10.2.2.1. princípios estão sob forte pressão
10.2.2.2. mudança interna nas leis: por ênfase nos controladores dos dados e no enforcement da lei
10.2.2.3. olhar para aquisições anti-truste, competição
10.2.2.4. Brasil se alinha nos regimes baseados em direitos (GDPR, Convenção 108, African Union Convention)
10.2.2.4.1. sistema de checks and balances
10.2.2.4.2. direitos aos indivíduos e obrigações aos controladores
10.2.2.4.3. direito fundamental a proteção de dados e autodeterminação informativa
10.2.2.4.4. Art.8 EU Charter: protection of personal data
10.2.2.4.5. compliance tem que estar no controle de uma autoridade independente
10.2.2.5. "dark patterns" dificultando que os indivíduos exerçam seus direitos
10.2.2.6. paywall do Washington Post: acesso gratuito em troca de cookies
10.2.2.6.1. "tracking walls"
10.2.2.7. recalibrando a proteção de dados
10.2.2.7.1. tira a ênfase do indivíduo
10.2.2.7.2. enforcement mais forte (problema na Europa)
10.2.2.7.3. ter escopo mais restrito
10.2.2.7.4. responsabilidade de todos: operadores de fan pages no Facebook, por exemplo. precisa de melhor definição sobre os controladores dos dados
10.2.2.7.5. focar na competição dos mercados digitais
10.2.3. Questões/Debate
10.2.3.1. Luiz Costa: elaborar mais nas intesecções entre proteção de dados e propriedade intelectual, na questão de aquisição de empresas
10.2.3.1.1. Orla: ainda há dúvidas sobre isso na prática. no contexto de aquisições, se há uma posição de monopólio há mais obrigações, é uma posição de poder no mercado. advogados de competição ainda estão divididos em como classificar alguns problemas, se como de competição ou de proteção de dados. temos dois frameworks que podem ser aplicados.
10.2.3.2. como funcionário público, o que significa a lei? quem será o responsável pelos dados?
10.2.3.2.1. Orla: precisamos saber qual o propósito dessa coleta de dados pelo Estado, quais as bases legais. também os impactos, quais as salvaguardas...
10.2.3.3. como lidar com a autodeterminação e o histórico da Europa nas proteções de direitos fundamentais
10.2.3.3.1. Orla: isso foi introduzido com base no mercado, para os dados terem fluxo livre, em 1995. Agora dado virou uma commoditie.
10.2.3.4. meta-regulação coloca ênfase no controlador, dá para encontrar um balanço na assimetria de poder?
10.2.3.4.1. Orla: é algo muito difícil, temos princípios novos no framework europeu, vamos ter que ver na prática com o tempo. não é algo apenas tecnológico a se resolver, mas também organizacional.
10.3. Painel 1 - Bases legais para o tratamento de dados pessoais e instrumento de um processo de conformidade à LGPD
10.3.1. Moderadora: Flávia Lefèvre (CGI.br)
10.3.2. Painelista: Marília Monteiro (Nubank)
10.3.2.1. proteção dos dados no Nubank
10.3.2.1.1. listagem de processos, mapeamento de bases legais
10.3.2.1.2. consentimento como "mais uma base" e não a principal para o tratamento dos dados
10.3.3. Painelista: Laura Schertel Mendes (UnB)
10.3.3.1. consentimento traz paradoxos
10.3.3.1.1. autodeterminação informativa
10.3.3.1.2. burocratização excessiva dos processos?
10.3.3.1.3. o mero consentimento é uma ficção?
10.3.3.1.4. o consentimento não regula o fluxo informacional
10.3.3.2. privacidade contextual
10.3.3.2.1. como o dado coletado será usado? ultrapassa o consentimento
10.3.3.3. debate alemão: separar dados de informação
10.3.3.3.1. como a informação vai ser utilizada, o usuário não tem controle sobre isso
10.3.3.4. limitação inerente ao fluxo informacional
10.3.3.5. temos uma dependência desses serviços, então precisamos de confiança
10.3.3.5.1. evolução do debate sobre autodeterminação informativa
10.3.3.6. tendência a materialização da proteção de dados
10.3.3.6.1. controle, termos de uso a partir de parâmetros objetivos
10.3.3.6.2. não é apenas o consentimento contratual, mas sim que ele esteja expresso na arquitetura da Internet. "proteção pelo sistema" e ideia de "autoproteção".
10.3.3.6.3. os princípios podem nos ajudar a identificar os riscos do tratamento
10.3.4. Painelista: Carlos Affonso Souza (ITS Rio)
10.3.4.1. para além do consentimento, bases legais para tratamento
10.3.4.1.1. execução de contratos
10.3.4.1.2. pesquisa por órgão
10.3.4.1.3. proteção à vida
10.3.4.1.4. proteção ao crédito
10.3.4.1.5. tutela da saúde
10.3.4.1.6. obrigação legal
10.3.4.1.7. processo judicial
10.3.4.1.8. política pública
10.3.4.2. interesse legítimo na LGPD
10.3.4.2.1. nenhum requisito para tratamento é um cheque em branco
10.3.4.2.2. não se aplica a dados sensíveis
10.3.4.2.3. sua adoção não implica em ausência de "proteção" do dado pessoal
10.3.4.2.4. é o requisito mais flexível, mas também o mais complexo
10.3.4.2.5. no caso de background checks: a Justiça do Trabalho vem restringindo a prática para funções de confiança
10.3.4.2.6. legitimate interest assessment (LIA)
10.3.5. Painelista: Marcos Gerhardt Lindenmayer (CGU)
10.3.5.1. tratamento dos dados pela administração pública
10.3.5.2. poder público = maior detentor de dados pessoais em território nacional
10.3.5.3. microssistemas a serem harmonizados
10.3.5.3.1. segurança do Estado
10.3.5.3.2. segurança pública
10.3.5.3.3. acesso à informação
10.3.5.4. base da política pública
10.3.5.4.1. o escopo pode ser ampliado?
10.3.5.5. mudança de cultura
10.3.5.5.1. minimização dos dados
10.3.5.5.2. privacy by design como oportunidade para implantar processos de transparência by design
10.3.5.6. custos de implementação vs economia em médio prazo
10.3.5.6.1. centralização de bases, compartilhamento por meio de APIs, desenvolvimento de controles e registros de acesso
10.3.6. Questões/Debate
10.3.6.1. riscos com a privatização da serpro
10.3.6.2. base legal para caso de monitoração de expatriados
10.3.6.2.1. CAF: teria que ser feito com o consentimento do empregado. talvez o mais importante sejam as medidas de salvaguardas e de tratamento desse dado.
10.3.6.2.2. Laura: outras bases além do legítimo interesse podem ser aplicadas. de fato, trabalhar as salvaguardas.
10.3.6.3. serviço de atuária, perda de dados na administração com mudanças, relação entre operador e controlador
10.3.6.3.1. Marcos: há municípios com poderes de gestão muito variáveis, as informações se perdem na mudança de gestão. temos problemas na implementação sobre gestão de arquivos. há iniciativa de um modelo de gestão de arquivos voltado a transparência, por plataforma EaD. há desafios pelas peculiaridades
10.3.6.4. bases de dados de juntas comerciais
10.3.6.4.1. Marília: há o pressuposto de interesse público.
10.3.6.5. dados de localização podem se tornar sensíveis, como isso atinge o legítimo interesse?
10.3.6.5.1. Marília: é algo para se estar previsto no relatório de riscos do tratamento do legítimo interesse
10.3.6.6. como fazer o entendimento do consentimento nos diferentes níveis e como manter a lei atual?
10.3.6.6.1. Marília: a LGPD se pretende atemporal, por isso sua forte base principiológica.
10.3.6.6.2. Laura: missão da Autoridade de aplicar os princípios e especificação do próprio setor privado sobre códigos de conduta
10.4. Painel 2 - Alocando responsabilidades, direitos e deveres dos agentes do ecossistema de dados: um olhar transversal sobre a LGPD
10.4.1. Moderador: Eduardo Parajo (CGI.br)
10.4.2. Painelista: Luciano Timm (Secretaria Nacional do Consumidor)
10.4.2.1. proteção por leis do consumidor, leis de competição e lei de proteção de dados
10.4.2.2. desafios da indústria 4.0
10.4.2.2.1. termos de uso excessivos, para dar o consentimento
10.4.2.3. LGPD - liberdades públicas individuais, mas indivíduos atuam em ambientes sociais
10.4.2.4. direito econômico (concorrência e consumidor) vs direitos fundamentais (consumidor, livre iniciativa e privacidade)
10.4.2.5. coordenação e competências: ANPD, CADE e Senacon
10.4.2.5.1. OCDE recomenda a aproximação e coordenação
10.4.2.6. vários casos na Senacon com vazamentos de dados e consumidor no ambiente digital
10.4.2.7. estratégia brasileira de ingresso como membro da OCDE
10.4.3. Painelista: Laila Bellix (Instituto de Governo Aberto - IGA)
10.4.3.1. dados abertos e perspectiva de políticas públicas
10.4.3.2. transparência e abertura de dados
10.4.3.2.1. LAI 2012
10.4.3.2.2. Política Nacional de Dados Abertos 2016
10.4.3.2.3. avanços nos últimos anos na Am. Latina
10.4.3.3. dados abertos
10.4.3.3.1. gargalos: localizações, qualidade do ar, registro de empresas, propriedades de terra
10.4.3.4. acesso à informação
10.4.3.4.1. avanços no Brasil, que impactou outros direitos
10.4.3.4.2. o avanço não está consolidado, pois há informações senso retiradas
10.4.3.4.3. mudança na LAI vista como retrocesso
10.4.3.5. estrutura
10.4.3.5.1. governança pela CGU e infraestrutura nacional de dados abertos (INDA)
10.4.3.6. proteção de dados
10.4.3.6.1. avanços nas diretrizes
10.4.3.6.2. lacunas na implementação - discricionariedade do gestor
10.4.3.6.3. tema é recorrente na gestão pública
10.4.3.6.4. governança: ANPD
10.4.3.7. prefeitura de sp - boas iniciativas de dados abertos
10.4.3.7.1. confronto com outras bases que enfrentariam a polêmica de infringir com a proteção de dados pessoais
10.4.3.8. desafios
10.4.3.8.1. visão sistêmica e integrada da transparência e privacidade: como pensar as estruturas de governança integradas?
10.4.3.8.2. capilaridade de implementação dessas políticas: como chegar nos municípios?
10.4.3.8.3. formação dos gestores públicos nos temas para a tomada de decisão
10.4.3.8.4. rede de apoio (documentos, decisões, troca entre gestores) para análise de casos
10.4.3.8.5. efetivar técnicas e procedimentos
10.4.3.9. framework de direitos humanos
10.4.3.9.1. como garantir a transparência dos assuntos de interesse público e preservar a privacidade das minorias?
10.4.3.9.2. como podemos integrar as pautas dentro de uma visão que projete outros assuntos que estão por vir?
10.4.4. Painelista: Renato Opice Blum (INSPER e FAAP)
10.4.4.1. agentes de tratamento de dados e o regime de responsabilidade civil
10.4.4.2. LGPD - instrumento definidor de responsabilidades
10.4.4.2.1. controlador x processador
10.4.4.2.2. responsabilidade objetiva nas relações consumeristas
10.4.4.3. o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse
10.4.4.4. o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador
10.4.4.5. responsabilidade do encarregado?
10.4.5. Painelista: Bruno Bioni (Data Privacy Brasil e USP)
10.4.5.1. accountability
10.4.5.1.1. responsabilidades - quem é responsável pelo quê?
10.4.5.2. modelo de regulação
10.4.5.2.1. metarregulação e regulação responsiva
10.4.5.2.2. voto de confiança nos agentes de tratamento
10.4.5.2.3. prestação de contas, responsabilização (accountability)
10.4.5.3. abordagem multifacetada e pragmática (caixa de ferramentas)
10.4.5.3.1. privacy by design
10.4.5.3.2. programas corporativos de privacidade + códigos de boas condutas
10.4.5.3.3. relatórios (DPIA e LIA, como um dever de cuidado)
10.4.5.3.4. registro das atividades de tratamento de dados (dado pessoal vs dado anonimizado, esclarecer)
10.4.5.4. Autoridade deve estimular a compreensão da prestação de contas
10.4.5.4.1. instrumentos de consulta pública, por ex
10.4.5.4.2. a escabilidade da pirâmide deve ser visível
10.4.5.4.3. o órgão regulador também deve prestar contas
10.4.5.5. pensar uma governança em rede
10.4.5.5.1. quais são as formas de incentivar um empreendimento regulatório que seja de fato colaborativo?
10.4.5.5.2. name and shaming
10.4.5.6. coalizão multissetorial - para também colocar a lei em movimento
10.4.5.6.1. exemplo do combate ao spam, coordenado pelo CGI
10.4.6. Questões/Debate
10.4.6.1. bases como notas fiscais públicas - modelo de governança para isso, priorização de quais bases serão abertas e conflito entre transparência e proteção dos dados?
10.4.6.1.1. Laila: as consultas públicas ainda não atingem os resultados que gostaríamos, precisamos sensibilizar mais as pessoas pra isso. articulação de instrumentos para que as pessoas façam suas demandas em políticas públicas, precisa de maior integração com o tema e a linguagem das políticas públicas (a linguagem dos dados abertos ainda não chegou à população)
10.4.6.1.2. Eduardo: envolve a cultura de privacidade no Brasil, que ainda é muito fraca.
10.4.6.2. responsabilidade objetiva x subjetiva nas relações consumeristas
10.4.6.2.1. Luciano: ainda depende muito da composição da ANPD e de casos concretos
10.4.6.2.2. Bruno: a regra é responsabilidade subjetiva. mas essa lei vai ter que dialogar com outras leis. tem que ter um olhar amplo, o que pode se aplicar a responsabilidade objetiva, como no CDC por exemplo
10.4.6.3. o desafio de fazer "a lei pegar"
10.4.6.3.1. Bruno: ocorrer judicialização da lei, é uma preocupação. ter uma organização multissetorial, conhecimento da sociedade civil. há esse risco, mas também temos experiências bem sucedidas
10.4.6.4. experiência da implementação da LAI, o que podemos aprender para implementar a LGPD?
10.4.6.4.1. Laila: conexão do tema com outras questões, colocar como direito que condiciona outros direitos, fortalecer a sociedade civil, que ela seja atuante no tema. ter um órgão forte no governo federal, um órgão referência, e ter a pauta internacionalizada.
10.4.6.5. em serviços gratuitos, pagos com "dados", isso está incluído nas relações consumeristas e sujeito à responsabilidade objetiva?
10.4.6.5.1. Luciano: existe uma NT sobre ser sim uma relação consumerista, mas ainda é uma discussão aberta
10.5. Coquetel de debates - Perspectivas para a implementação da proteção de dados no Brasil e a experiência estrangeira: cooperação entre regulador, atores regulados e os titulares dos dados
10.5.1. Moderador: Luiz Fernando Martins Castro (CGI.br - Moderador)
10.5.1.1. sobre as muitas dúvidas da aplicação da lei, há o diálogo multissetorial, o papel do CGI e também a própria Autoridade
10.5.2. Rory Munro (ICO UK)
10.5.2.1. histórico da proteção de dados na UE: Convenção 108, modernizações de diretiva...
10.5.2.1.1. abordagem baseada nos riscos
10.5.2.1.2. princípio de dar controle ao titular dos dados, mas que não é suficiente sozinho
10.5.2.1.3. GDPR aumentou o valor das multas; havia muito lobby das empresas antes da aprovação da lei
10.5.2.2. Brexit
10.5.2.2.1. ainda ocorrem negociações sobre a implementação pelo UK
10.5.2.2.2. há outra legislação em termos de segurança nacional
10.5.2.3. ICO
10.5.2.3.1. cooperação com outros países
10.5.2.3.2. investigações se aplicam tanto ao setor privado quanto setor público
10.5.2.3.3. troca de informações com outros órgãos de outros países, investigações criminais e tratados bilaterais (mecanismos de cooperação em vários temas)
10.5.2.3.4. é preciso uma forte rede de compartilhamento de experiências
10.5.3. Ana Paula Bialer (Brasscom)
10.5.3.1. expectativa de continuidade do trabalho multissetorial com a lei
10.5.3.2. preocupação com a ANPD
10.5.3.2.1. como entra o poder judiciário, com o caráter principiológico da LGPD
10.5.3.2.2. mudança da lógica de cultura jurídica, já que a aplicação da lei deve ser ponderada com os esforços realizados pela empresa
10.5.3.2.3. desafio de coordenar atuação em diferentes setores
10.5.3.3. criar cultura e ambiente para testar regulações - a ideia da sandbox
10.5.3.3.1. exercitar uma cooperação para construção da política pública
10.5.4. Jonas Valente (Agência Brasil)
10.5.4.1. fala em caráter acadêmico
10.5.4.2. processo de datificação em conjunto da sociedade
10.5.4.2.1. transversalidade; impactos em processos-chave como eleições
10.5.4.3. precisamos de uma caixa de ferramentas muito efetiva, equilibrando assimetrias nas relações
10.5.4.3.1. preocupação com a criação da ANPD
10.5.4.4. ANPD
10.5.4.4.1. precisa ser autônoma
10.5.4.4.2. garantir seu papel educativo
10.5.4.4.3. conselho diretor diverso e representativo
10.5.4.4.4. corpo técnico qualificado e suficiente
10.5.4.4.5. garantia de estrutura técnica e financeira
10.5.4.4.6. regimento elaborado em diálogo
10.5.4.5. outras agendas
10.5.4.5.1. legislação específica sobre segurança pública
10.5.4.5.2. concorrência
10.5.4.5.3. IoT
10.5.4.5.4. cadastro positivo
10.5.4.5.5. privatização dataprev e serpro
10.5.4.5.6. discriminação em aplicações
10.5.4.5.7. debate online - desinformação, bolhas, etc.
10.5.4.5.8. especificidades setoriais
10.5.5. Alexandre Pacheco (FGV Direito SP)
10.5.5.1. como reestruturar projetos para se adequarem a LGPD?
10.5.5.1.1. papel da ANPD em estabelecer parâmetros, quais as melhores medidas (de anonimização de dados, por exemplo)
10.5.5.2. preocupação com o setor da educação
10.5.5.2.1. pesquisas que possuem acordos de cooperação com setor privado
10.5.5.3. pensar o que significa a LGPD como cultura e como mudanças de práticas, de conhecimento de próprias atividades, sua própria empresa...
10.5.6. José Ziebarth (Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia)
10.5.6.1. Autoridade será enxuta
10.5.6.1.1. fundamental priorizar critérios de seleção técnica
10.5.6.2. preocupação do governo é fiscal, ao mesmo tempo que reconhece a importância desse regime
10.5.6.3. estudos de benchmarking internacional
10.5.6.4. 3 dimensões da ANPD
10.5.6.4.1. normatização: ANPD administre por consultas públicas temas prioritários
10.5.6.4.2. diálogo institucional - reuniões por ex. com outras autoridades (europeias)
10.5.6.4.3. advocacy = educação para o cidadão
10.5.7. Questões/Debate
10.5.7.1. Luiz: qual foi o papel educacional do ICO?
10.5.7.1.1. Rory: o regulador dá informação, tem uma forte presença na Internet garantindo que alcance todos os setores. Informar direitos dos indivíduos, questão de como crianças acessam a Internet
10.5.7.2. a ideia do sandbox regulatório
10.5.7.2.1. José: acredito ser possível. pode ser uma possibilidade no decreto, com certeza haverá espaço para esse tipo de diálogo.
10.5.7.2.2. Alexandre: qualificar que tipo de empresa pode participar do sandbox, criar conceito de startup e justificar o benefício dela para aplicar essa flexibilidade
10.5.7.3. que papel outros órgãos podem desempenhar enquanto a ANPD não se concretiza?
10.5.7.3.1. Ana Paula: me preocupa, pois serão olhares de setores específicos. Por outro lado, não podemos ficar parados, podemos continuar o trabalho como sociedade, com o apoio do CGI, seriam bons inputs para a própria ANPD
10.5.7.3.2. Jonas: precisamos ter ANPD o quanto antes, mas se não se concretizar, com certeza o vácuo será ocupado.
10.5.7.3.3. Alexandre: desafio de representatividade da ANPD, assim como a importância de ter um corpo técnico, pois se não tiver o caráter técnico, outros órgãos se sentirão mais legitimados a atuar. Construção de espaços de definição de atuação
10.5.7.3.4. José: Autoridade precisa ter um dinamismo, que muitos órgãos no Brasil ainda não tem, eles estão atrelados a normativas de décadas atrás. Isso é um desafio
10.5.7.4. ANPD estar vinculada a presidência é mais benéfico ou maléfico?
10.5.7.4.1. Alexandre: existe a expectativa de daqui 2 anos convertê-la para uma independência. estamos passando um sinal de postergar essa autonomia, ou seja, de distância da autonomia requerida internacionalmente.
10.5.7.4.2. Ana Paula: não vejo como um caso perdido, apesar dos sinais negativos. A formação ainda está em discussão, para que a tecnicidade seja garantida.
10.5.7.4.3. Jonas: espero que a ANPD seja efetivamente independente, não somente em sua formação mas também nas normativas
10.5.7.4.4. José: são processos institucionais que o governo passa, mas temos o entendimento da base necessária para o progresso do país e desenvolvimento econômico
10.5.7.5. uso de dados em campanhas políticas - experiência nesse tema e até que ponto vai o mandato da ICO nessa questão
10.5.7.5.1. Rory: sobre o caso da Cambridge Analytica e Facebook, foi uma grande investigação com muitas organizações envolvidas, mais de 50 países envolvidos.
10.5.7.6. qual o principal elemento que a ANPD deveria ter para cumprir com a adequação da UE?
10.5.7.6.1. Rory: a primeira avaliação é como é a lei naquele país e quais os princípios de segurança. como os dados são transferidos para países terceiros (em nível de segurança)? existe uma Autoridade independente?
10.6. Keynote 2 - Além do controle: reinventando a lei de privacidade para a economia algorítmica
10.6.1. Moderador: Danilo Doneda (UERJ)
10.6.1.1. como obter uma tutela razoável sobre nossos direitos?
10.6.2. Keynote: Dennis Hirsch (Ohio State University)
10.6.2.1. correlação entre clientes de cartão de crédito e certos produtos, por exemplo
10.6.2.1.1. uso de big data analytics
10.6.2.2. big data analytics
10.6.2.2.1. grande conjunto de dados
10.6.2.2.2. correlação
10.6.2.2.3. perfil
10.6.2.2.4. predição
10.6.2.3. benefícios comerciais/econômicos
10.6.2.3.1. marketing
10.6.2.3.2. medicina
10.6.2.3.3. educação
10.6.2.3.4. recursos humanos
10.6.2.3.5. finanças
10.6.2.3.6. seguro
10.6.2.4. riscos
10.6.2.4.1. privacidade
10.6.2.4.2. manipulação
10.6.2.4.3. viés
10.6.2.4.4. leis de proteção de dados não protegem as pessoas desses riscos
10.6.2.5. pessoas querem um equilíbrio entre privacidade e transparência
10.6.2.5.1. é o conceito de privacidade=o controle do quê e como compartilhar (Alan Westin, 1967)
10.6.2.6. o paradigma do controle
10.6.2.6.1. notice/aviso
10.6.2.6.2. consentimento
10.6.2.6.3. limitação do propósito/finalidade
10.6.2.6.4. mas isso assume que o processador dos dados conhece o propósito na hora da coleta
10.6.2.7. precisamos de 2 sistemas de regulação
10.6.2.7.1. processamento padrão
10.6.2.7.2. big data analytics
10.6.2.8. Lei de práticas comerciais desleais
10.6.2.8.1. determina limites entre práticas de negócios justas e injustas
10.6.2.8.2. Brasil tem o CDC
10.6.2.8.3. US: FTC Act 5
10.6.2.8.4. necessidade de avaliar benefícios e riscos do big data analytics
10.6.2.9. modelos de corregulação, onde há diálogo entre regulador e regulado
10.6.2.9.1. ter parâmetros do que é justo para cada setor
10.6.2.9.2. proposta de definir padrões substantivos para o uso justo de análises de big data usando leis de práticas comerciais desleais, conforme interpretado por meio de; códigos de conduta aprovados do setor industrial
10.6.2.10. LGPD
10.6.2.10.1. "boa-fé" similar ao conceito de justo?
10.6.2.10.2. além da privacidade com o princípio de não-discriminação
10.6.2.10.3. negociações com a ANPD
10.6.2.10.4. Art.1 - liberdade de definição da personalidade da pessoa natural
10.6.3. Questões/Debate
10.6.3.1. Danilo: a UE esteve mais atenta a esses instrumentos de big data frente a outros alinhamentos? A LGPD está pronta nessa temática?
10.6.3.1.1. Dennis: essas práticas podem ser benéficas, mas precisam de parâmetros. A GDPR foi sim baseada em justiça, mas acabou sendo implementada muito mais voltada ao controle. Acredito que as leis tem instrumentos para lidar com isso, mas há problemas com usos secundários dos dados.
10.6.3.2. quais soluções práticas podemos pensar para o funcionamento da LGPD? as pessoas não leem termos de consentimento, como podemos mudar essa cultura?
10.6.3.2.1. Dennis: são necessários recursos regulatórios, a questão da Autoridade é crítica, com recursos para monitorar (o que é problema com a GDPR). ONGs podem auxiliar nesse tipo de monitoramento.
10.6.3.3. a ética não é o melhor caminho para endereçar esse dilema sobre justiça?
10.6.3.3.1. Dennis: é necessário permitir alguma inovação tecnológica e há diferentes tipos de ética, sujeitos a interpretação. em uma democracia é necessário fazer escolhas. a justiça é um padrão posto pelo legislador, que também trazem valores. gosto da ideia da ética, mas talvez seja algo mais político e legítimo.
10.7. Painel 3 - Tecnologias de reconhecimento facial: quais são seus riscos e benefícios, como regular?
10.7.1. Moderador: Henrique Faulhaber (CGI.br)
10.7.1.1. dificuldade de regulação de reconhecimento facial
10.7.2. Rafael Mafei (USP)
10.7.2.1. imperfeições da tecnologia
10.7.2.1.1. vieses
10.7.2.1.2. autenticação x identificação
10.7.2.1.3. interferências podem ser não intencionais (cabelo, uso de chapéu, etc.)
10.7.2.2. direitos
10.7.2.2.1. discriminação
10.7.2.2.2. perfilamento étnico (potencial)
10.7.2.2.3. anonimato
10.7.2.2.4. alternativas
10.7.2.3. benefícios
10.7.2.3.1. acesso a locais proibidos
10.7.2.3.2. comportamentos de grupo fora de padrão
10.7.2.3.3. objetos suspeitos
10.7.3. Bárbara Prado Simão (Idec)
10.7.3.1. caso contra a via4 do metrô em São Paulo, sobre uso de reconhecimento facial nas plataformas
10.7.3.2. entendendo o reconhecimento facial
10.7.3.2.1. coleta da imagem
10.7.3.2.2. detecção facial
10.7.3.2.3. normalização
10.7.3.2.4. atribuição de características
10.7.3.2.5. registro e armazenamento
10.7.3.2.6. comparação
10.7.3.3. usos no mercado
10.7.3.3.1. categorização
10.7.3.3.2. verificação e identificação
10.7.3.4. riscos
10.7.3.4.1. discriminação
10.7.3.4.2. segurança
10.7.3.5. existe confiança por parte dos consumidores?
10.7.3.5.1. a maioria não concorda com essas tecnologias
10.7.3.6. caminhos para uma regulação
10.7.3.6.1. São Francisco proíbe a polícia de usar reconhecimento facial
10.7.3.6.2. UE estuda regulação sobre essa prática
10.7.3.6.3. no Brasil, há PLs que tratam do tema, mas principalmente pelo viés criminal
10.7.3.7. recomendações
10.7.3.7.1. necessidade
10.7.3.7.2. transparência
10.7.3.7.3. consentimento e direito de escolha
10.7.3.7.4. medidas antidiscriminatórias
10.7.4. Louise Marie Hurel (Instituto Igarapé)
10.7.4.1. tendências do setor público
10.7.4.2. contexto internacional
10.7.4.2.1. eficiência, segurança, controle e monitoramento
10.7.4.3. fundamentos conceituais
10.7.4.3.1. tecnologias de monitoramento e identificação
10.7.4.3.2. processos de catalogação do ser humano já aconteciam há tempos
10.7.4.4. Brasil
10.7.4.4.1. desde 2011
10.7.4.4.2. primeiramente pelo setor de transporte
10.7.4.4.3. necessidade de se debater o que seriam padrões razoáveis para o uso
10.7.4.4.4. PLs de caráter genérico e abrangente
10.7.4.4.5. entender diferentes escalas de uso e implementação
10.7.4.4.6. art.4 LGPD - exceções na segurança pública - como manter princípios?
10.7.5. Questões/Debate
10.7.5.1. como se proteger e como as empresas podem nos enganar?
10.7.5.1.1. Bárbara: precisamos da dimensão regulatória, pois a proteção do indivíduo é difícil.
10.7.5.2. como se adequa com a LGPD e relações de trabalho?
10.7.5.2.1. Rafael: necessidade de consentimento.
10.7.5.3. como diferenciar a coleta do tratamento?
10.7.5.3.1. Bárbara: detecção é a primeira fase, sem inferir características, mas a coleta é sim parte do tratamento
10.7.5.4. existe algum modelo internacional a ser observado?
10.7.5.4.1. Louise: não há um modelo específico. mas precisamos refletir sobre qual modelo queremos ter, a exemplo da cidade de São Francisco. precisamos determinar qual implementação é aceitável e qual não é
10.7.5.4.2. Rafael: observar princípios gerais da LGPD.
10.7.5.4.3. Bárbara: a Autoridade terá um papel importante na auditoria dessas tecnologias
10.7.5.4.4. Louise: dificuldade de estabelecer métricas para determinar a qualidade do uso.
10.7.5.5. é possível anonimizar dados em tempo real?
10.7.5.5.1. Bárbara: é possível a exclusão dos dados e mesmo a anonimização não isenta a empresa de aplicar os princípios e salvaguardas
10.7.5.6. como compactualizar o uso dos dados biométricos para segurança com a regulação?
10.7.5.6.1. Rafael: os dados sensíveis estão no escopo da LGPD mas precisam de especificações e discussão sobre o escopo do uso.
10.7.5.7. qual o papel do fabricante, as responsabilidades a luz da nova legislação?
10.7.5.7.1. Bárbara: depende da relação de consumo e até que ponto o fabricante realiza o tratamento dos dados (ele pode ser apenas o fornecedor). estabelecimento de salvaguardas para mitigar os riscos
10.8. Painel 4 - Algoritmos, Inteligência Artificial e Proteção de Dados
10.8.1. Moderador: Flávio Rech Wagner (ISOC Brasil)
10.8.2. Stephen Satterfield (Facebook)
10.8.2.1. investir nas pessoas que fazem os algoritmos
10.8.2.1.1. AI Ethics
10.8.2.2. justiça como processo
10.8.2.2.1. ideação do produto
10.8.2.2.2. seleção de dados
10.8.2.2.3. anotação de dados
10.8.2.2.4. avaliação do algoritmo de justiça
10.8.2.2.5. lançamento do produto
10.8.2.2.6. monitoramento pós-lançamento
10.8.2.2.7. sunset/migration
10.8.2.3. se assegurar que há representatividade dos dados
10.8.2.4. revisão transversal de privacidade, específica para cada projeto
10.8.2.5. engajar com outras pessoas e ter feedback externo
10.8.3. Ricardo Abramovay (USP)
10.8.3.1. como os mercados estão se reorganizando na economia dos dados
10.8.3.2. preços estão sendo substituídos pelos dados
10.8.3.3. a concorrência muda de natureza
10.8.3.3.1. a informação é fundamental (interessa saber como os produtos são produzidos)
10.8.3.4. potenciais benefícios dos dados
10.8.3.4.1. ganhos voltados a transparência
10.8.3.4.2. dinheiro terá papel cada vez menos importante
10.8.3.4.3. sistema financeiro seria reformulado (a Libra, por exemplo?)
10.8.3.5. dados são um bem comum
10.8.3.5.1. base para desenvolver IA e algoritmos
10.8.3.6. defesa da liberdade de "estar fora", especialmente em um ambiente de IoT
10.8.4. Miriam Wimmer (MCTIC)
10.8.4.1. definição de IA
10.8.4.1.1. "...uma disciplina que tem por objetivo o estudo e a construção de entidades artificiais com capacidades cognitivas semelhantes às dos seres humanos"
10.8.4.2. riscos do machine learning
10.8.4.2.1. problemas de contexto, vieses, algoritmo como caixa preta...
10.8.4.3. proteção de dados já transcendeu para abordar algoritmos
10.8.4.3.1. instituir mecanismos e processos para usos legítimos dos dados
10.8.4.4. diretrizes da Convenção 108, da ICO...
10.8.4.4.1. design orientado por valores
10.8.4.4.2. precaução, responsabilidade
10.8.4.4.3. procedimentos (como anonimização)
10.8.4.4.4. controles (mecanismos participativos de monitoramento de riscos; selos e certificados)
10.8.4.5. Estratégia Brasileira para a Transformação Digital
10.8.4.5.1. avaliar os potenciais impactos sociais e econômicos de tecnologias digitiais disruptivas, como IA e big data, propondo políticas que mitiguem seus efeitos negativos ao mesmo tempo em que maximizem seus efeitos positivos
10.8.4.5.2. esforço alinhado com princípios da OCDE, UNESCO e ITU
10.8.5. Renato Leite Monteiro (Data Privacy Brasil)
10.8.5.1. direito à explicação em sistemas algorítmicos
10.8.5.2. o que é o direito à explicação
10.8.5.2.1. direito que visa permitir que o indivíduo e a sociedade obtenham informações suficientes, e inteligíveis, sobre a forma como os dados pessoais são tratados em sistemas automatizados
10.8.5.2.2. explicação serviria não só para um indivíduo legitimar o uso de dados pessoais, mas também para este, ou a sociedade, evitar e desafiar práticas que impactem direitos e liberdades fundamentais de forma abusiva e desproporcional
10.8.5.3. tanto GDPR quanto LGPD não preveem expressamente esse direito
10.8.5.3.1. interpretação teleológica
10.8.5.4. direito subjetivo à explicação como uma concepção de dignidade da pessoa humana, que inclui a autonomia do indivíduo para, em primeiro lugar, entender como são tomadas decisões que o afetam e, consequentemente, reagir a elas.
10.8.5.4.1. devido processo legal
10.8.5.5. limites da legislação
10.8.5.5.1. segredos de negócio
10.8.5.5.2. propriedade intelectual
10.8.5.5.3. conceito de dados pessoais
10.8.5.6. outros limites
10.8.5.6.1. complexidade dos sistemas algorítmicos
10.8.5.6.2. limitações cognitivas do indivíduo
10.8.5.7. instrumentos jurídicos existentes
10.8.5.7.1. técnico-jurídico
10.8.5.7.2. obrigações éticas
10.8.5.7.3. obrigações de design
10.8.5.8. possíveis soluções
10.8.5.8.1. teste de fases
10.8.5.8.2. relatório de impacto algorítmico
10.8.6. Questões/Debate
10.8.6.1. capturas de dados "secretas" como microfones ligados...como podemos prevenir isso? dados armazenados no exterior do Facebook, qual a efetividade?
10.8.6.1.1. Stephen: temos rotuladores humanos para transcrição de áudio para texto, há amostras de áudio. É preciso mais transparência das empresas, mas ao mesmo tempo receamos entregar muitas informações às pessoas. Sobre a LGPD se aplicar aos data centers fora, nós temos os mesmos padrões de privacidade para todos os nossos serviços, em todos os lugares.
10.8.6.1.2. Renato: a GDPR é extraterritorial, o MCI também já fazia isso, a LGPD. É preciso cooperação internacional entre os órgãos.
10.8.6.2. balanço de poder entre a sociedade e as grandes empresas
10.8.6.2.1. Ricardo: há grandes movimentos sociais ganhando força. Nos EUA, na Europa, se traduzindo em grupos e legislações. Por um lado, a ideia de imprimir valor nos dados pessoais (tenho minahs dúvidas sobre isso); por outro lado, esforços de constituir alternativas, trabalhar no sentido da descentralização para combater as desigualdades.
10.8.6.3. algoritmos ameaçam a democracia?
10.8.6.3.1. Renato: existem micro-incentivos, que juntos podem sim influenciar. é o exemplo da Cambridge Analytica.
10.8.6.3.2. Flávio: efeitos de radicalização política pelo Youtube, é outro exemplo
10.8.6.4. sobre capacidade cognitiva de robôs ultrapassar a dos humanos; e como o Facebook está trabalhando com eleições
10.8.6.4.1. Stephen: o Facebook se responsabilizou por seus erros, houve quebra de confiança no caso da Cambridge Analytica. Hoje, estamos mudando a plataforma, os dados dos seus amigos não podem mais ser levados, estamos investigando as informações que foram obtidas e tomamos ações contra desenvolvedores. Estabelecemos consenso com o FTC para gerenciar a privacidade no Facebook, temos agora a responsabilidade executiva; temos avaliações independentes, um comitê independente.
10.8.6.4.2. Miriam: existem esforços humanos de impedir esse avanços dos robôs, há discussão centrada nos humanos que podem se tornar mais tangível
10.8.6.4.3. Ricardo: o Facebook tem feitos parcerias com grupos de pesquisa para eleições. Sobre os robôs, precisamos de instâncias públicas bem formadas para ajudar a sociedade a tomar essas decisões. Não pode ser considerado uma fatalidade.
10.9. Painel 5 - O papel da criptografia para garantir a segurança e privacidade dos apps de mensagens
10.9.1. Moderador: Thiago Tavares (CGI.br)
10.9.1.1. discussão do uso de criptografia em vários aplicativos
10.9.1.2. precedente de bloqueio do Whatsapp no Brasil
10.9.1.2.1. consequente aumento de usuários em outros apps, como o Telegram
10.9.1.2.2. medida contraproducente
10.9.2. Cristine Hoepers (CERT.br)
10.9.2.1. como conciliar um sistema de normas territoriais às realidades de um cenário digital e interconectado?
10.9.2.2. discursos em geral não refletem a verdade dos fatos
10.9.2.2.1. segurança e privacidade são ambas comprometidas
10.9.2.3. controle x segurança e privacidade
10.9.2.3.1. a LGPD já prevê a coleta mínima
10.9.2.4. criptografia
10.9.2.4.1. ciência e a arte de escrever mensagens em forma cifrada ou em código
10.9.2.4.2. é um dos principais mecanismos de segurança
10.9.2.4.3. base para funcionamento de
10.9.2.4.4. alguns atores querem criar "chaves-mestras" para acessar conteúdos criptografados
10.9.3. Fábio Maia (CESAR.ORG)
10.9.3.1. problemas complexos não tem soluções perfeitas
10.9.3.2. a forte dependência do Brasil em aplicativos de mensagens
10.9.3.2.1. desenvolve economia
10.9.3.2.2. há confiança dos usuários na plataforma
10.9.3.3. o excesso excepcional enfraquece o sistema
10.9.3.4. práticas avançadas como forward-secrecy: não usar a mesma chave de encriptação duas vezes
10.9.3.5. manipulação da rede SS7 (de SMS) para acessar códigos que acessam apps de mensagens
10.9.3.5.1. existe espaço para melhorias, é aqui que devemos olhar, e não buscar mecanismos de quebra de criptografia
10.9.4. Marcelo Paiva Fontenele (Gabinete de Segurança Institucional da Presidência da República)
10.9.4.1. Estratégia Nacional de Segurança Cibernética está em consulta pública
10.9.4.2. Algoritmo de Estado: função matemática utilizada na cifração e na decifração de informações sigilosas, desenvolvido pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades do Poder Executivo federal.
10.9.4.3. Recurso criptográfico: sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração.
10.9.4.4. observar processos, instalações para tratamentos de informações sigilosas/classificadas
10.9.4.4.1. entram empresas e organizações
10.9.4.4.2. atores envolvidos
10.9.4.4.3. legislação, decretos específicos
10.9.5. Cristina de Luca (CBN e Blog Porta 23)
10.9.5.1. criptografia
10.9.5.1.1. integridade da comunicação
10.9.5.1.2. autenticação da pessoa com quem se fala
10.9.5.1.3. irrefutabilidade da comunicação
10.9.5.2. organismos internacionais se voltando para a vulnerabilidade do jornalista
10.9.5.2.1. relatório da UNESCO
10.9.5.2.2. incentivo de uso de ferramentas criptografadas
10.9.5.3. as pessoas precisam se proteger, e para isso a criptografia é extremamente necessária
10.9.6. Danilo Doneda (UERJ)
10.9.6.1. Lei 7.232/84 política nacional de informática
10.9.6.2. decreto 3.505/2000 política de segurança da informação nos órgãos e entidades da adm. pública federal
10.9.6.3. decreto 8.771/2016 que regulamenta o MCI
10.9.6.4. LGPD 13.709/2018
10.9.6.5. há um senso comum de que as comunicações são passíveis de quebra pelo Estado
10.9.6.5.1. de um certo modo, levou ao sentido contrário, de fortalecimento da proteção das comunicações
10.9.6.6. há um interesse legítimo do Estado, mas não vale o risco
10.9.6.6.1. há uma série de ponderações a serem feitas
10.9.7. Questões/Debate
10.9.7.1. Cristina: há uma novidade de criptografar o processamento de dados
10.9.7.1.1. Cristine: há muitas novidades, como a computação quântica. sempre haverá mudanças de paradigmas. temos que pensar nisso, e seria ótimo esse tipo de aplicação.
10.9.7.1.2. Fábio: são operações custosas de se fazer, mas veio com o advento da computação em nuvem. há técnicas sendo investigadas sobre isso. a dificuldade é tornar viável em termos de processamento, mas em teoria funciona.
10.9.7.2. qual o nível de capacidade cultural do Brasil sobre segurança dos dados?
10.9.7.2.1. Cristine: é muito variada e tivemos uma adoção tardia da Internet em relação à outros países. então há desvantagem em que as pessoas estão tendo que aprender a usar a tecnologia já com grandes ameaças. é um grande desafio para as pessoas entender as tecnologias e as interfaces. Há a própria dificuldade de usabilidade da criptografia. Temos que educar mas não podemos assustar e todos tem um papel de incentivo nisso.
10.9.7.3. como o governo fez para lidar com a invasão de celulares de ministros?
10.9.7.3.1. Marcelo: emitimos alertas há anos. mas o acesso nem sempre chega à autoridade, apenas ao nicho dos especialistas. recentemente passamos recomendações nas reuniões ministeriais. estamos também nos voltando à comunicação social, nas mídias sociais, para que se estenda à sociedade como um todo.
10.9.7.4. qual a previsão da composição e funcionamento da ANPD?
10.9.7.4.1. Marcelo: o GSI está mais voltado a segurança cibernética. A ANPD está sendo articulada pela Casa Civil.
10.9.7.5. consultar open source
10.9.7.5.1. Fábio: esse sistema já funciona muito bem, por questões de mercado nem sempre as empresas querem utilizar, mas há base nas melhores práticas de softwares livres
10.9.7.6. existe mesmo criptografia fim-a-fim?
10.9.7.6.1. Cristine: no fundo, toda criptografia, se bem implementada, é fim-a-fim. só quem gerou a chave poderia abrir, sem chance para interceptação. E tudo isso é baseado em padrões abertos, a Internet é baseada em padrões abertos.
10.9.7.7. consenso de todos de que o usuário é o elo mais fraco e que é necessária educação e conscientização da população
10.10. DADOS QUANTITATIVOS 2019
10.10.1. Total de 8 painéis, além da mesa de abertura.
10.10.2. Participação dos stakeholders
10.10.2.1. Governo
10.10.2.1.1. Luiz Costa, MPF/SP (2x)
10.10.2.1.2. Marcos Gerhardt Lindenmayer, CGU
10.10.2.1.3. Luciano Timm, Secretaria Nacional do Consumidor
10.10.2.1.4. Rory Munro, ICO UK
10.10.2.1.5. José Ziebarth, Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia
10.10.2.1.6. Miriam Wimmer, MCTIC
10.10.2.1.7. Marcelo Paiva Fontenele, Gabinete de Segurança Institucional da Presidência da República
10.10.2.2. Empresarial
10.10.2.2.1. Marília Monteiro, Nubank
10.10.2.2.2. Ana Paula Bialer, Brasscom
10.10.2.2.3. Stephen Satterfield, Facebook
10.10.2.2.4. Fábio Maia, CESAR.ORG
10.10.2.3. Terceiro setor
10.10.2.3.1. Demi Getschko, NIC.br
10.10.2.3.2. Flávio Rech Wagner, ISOC Brasil (2x)
10.10.2.3.3. Hartmut Richard Glaser, NIC.br
10.10.2.3.4. Flávia Lefèvre, CGI.br
10.10.2.3.5. Carlos Affonso Souza, ITS Rio
10.10.2.3.6. Eduardo Parajo, CGI.br
10.10.2.3.7. Laila Bellix, Instituto de Governo Aberto - IGA
10.10.2.3.8. Bruno Bioni, Data Privacy Brasil
10.10.2.3.9. Luiz Fernando Martins Castro, CGI.br
10.10.2.3.10. Henrique Faulhaber, CGI.br
10.10.2.3.11. Bárbara Prado Simão, Idec
10.10.2.3.12. Louise Marie Hurel, Instituto Igarapé
10.10.2.3.13. Renato Leite Monteiro, Data Privacy Brasil
10.10.2.3.14. Thiago Tavares, CGI.br
10.10.2.3.15. Cristine Hoepers, CERT.br
10.10.2.3.16. Cristina de Luca, CBN e Blog Porta 23
10.10.2.4. Academia
10.10.2.4.1. Marina Feferbaum, CEPI/FGV-SP
10.10.2.4.2. Orla Linksey, LSE - Inglaterra
10.10.2.4.3. Laura Schertel Mendes, UnB
10.10.2.4.4. Renato Opice Blum, INSPER e FAAP
10.10.2.4.5. Jonas Valente, Agência Brasil (fala como acadêmico)
10.10.2.4.6. Alexandre Pacheco, FGV Direito SP
10.10.2.4.7. Danilo Doneda, UERJ (2x)
10.10.2.4.8. Dennis Hirsch, Ohio State University
10.10.2.4.9. Rafael Mafei, USP
10.10.2.4.10. Ricardo Abramovay, USP
10.10.2.5. 7 representantes governamentais, sendo que um deles esteve presente em duas mesas.
10.10.2.6. 4 representantes empresariais.
10.10.2.7. 16 representantes do terceiro setor, sendo que um deles esteve presente em duas mesas.
10.10.2.8. 10 representantes da academia, sendo que um deles esteve presente em duas mesas.
11. Segmentação temática
11.1. 2010
11.1.1. Liberdades individuais
11.1.1.1. liberdade de expressão
11.1.1.2. anonimato
11.1.2. Segurança da Informação
11.1.2.1. Criptografia
11.1.2.2. Pornografia infantil
11.1.3. Comércio eletrônico
11.1.3.1. direitos do consumidor
11.1.4. Privacidade
11.1.5. Governo eletrônico
11.1.6. Computação em nuvem
11.1.7. Marco Civil da Internet
11.1.7.1. liberdade de expressão
11.2. 2011
11.2.1. Direitos fundamentais
11.2.1.1. liberdade de expressão
11.2.1.2. valores éticos
11.2.1.3. democracia
11.2.1.4. liberdades individuais
11.2.2. Regulação de dados pessoais
11.2.2.1. Rastreamento online
11.2.2.2. Cookies
11.2.2.3. Big data
11.2.2.4. Computação em nuvem
11.2.2.5. Padrões abertos
11.2.2.6. transferência internacional de dados
11.2.3. Identidades digitais
11.2.3.1. Liberdades individuais
11.2.4. Segurança da informação
11.2.4.1. Criptografia
11.2.4.2. Privacidade
11.2.4.3. Anonimato
11.2.5. Cadastro Positivo
11.2.6. Mapeamento genético
11.3. 2012
11.3.1. Privacidade
11.3.1.1. regulação de dados pessoais
11.3.2. Economia digital
11.3.3. Lei de Acesso à Informação
11.3.3.1. dados abertos
11.3.4. Marco Civil da Internet
11.3.5. Redes sociais
11.4. 2013
11.4.1. Segurança
11.4.1.1. software livre
11.4.1.2. criptografia
11.4.1.3. privacidade
11.4.1.4. IPv6
11.4.1.5. bases de dados
11.4.1.6. Vigilância
11.4.1.6.1. direitos fundamentais
11.4.2. Marco Civil da Internet
11.4.3. Liberdade de expressão
11.4.4. Publicidade online
11.4.5. Internet das Coisas
11.4.6. Direito ao esquecimento
11.5. 2014
11.5.1. Regulação de dados pessoais
11.5.2. Marco Civil da Internet
11.5.3. Internet das Coisas
11.5.3.1. Privacidade
11.5.3.2. vigilância
11.5.4. Direito ao esquecimento
11.6. 2015
11.6.1. Regulação de dados pessoais
11.6.2. Internet das Coisas
11.6.3. Marco Civil da Internet
11.6.4. Privacidade
11.6.4.1. sigilo
11.6.4.2. identidade digital
11.6.4.3. criptografia
11.7. 2016
11.7.1. Regulação de dados pessoais
11.7.2. Economia do compartilhamento
11.7.2.1. Algoritmos
11.7.2.1.1. liberdades individuais
11.7.3. Criptografia
11.7.3.1. segurança
11.7.4. Marco Civil da Internet
11.7.4.1. regulação de dados pessoais
11.7.5. Redes sociais
11.7.6. Score de Crédito
11.7.6.1. algoritmos
11.7.6.2. regulação de dados pessoais
11.7.6.3. Lei do Cadastro Positivo
11.7.7. Direito ao esquecimento
11.8. 2017
11.8.1. Regulação de dados pessoais
11.8.1.1. privacidade
11.8.1.2. algoritmos
11.8.1.3. dados na área da saúde
11.8.2. Internet das Coisas
11.8.3. Segurança Pública
11.8.3.1. dados sensíveis
11.8.4. Criptografia
11.9. 2018
11.9.1. Regulação de dados pessoais
11.9.1.1. transferência internacional de dados
11.9.1.2. algoritmos
11.9.1.3. Inteligência Artificial
11.9.1.4. Autoridade para proteção de dados
11.10. 2019
11.10.1. Regulação de dados pessoais
11.10.1.1. dados abertos
11.10.1.2. big data
11.10.2. Reconhecimento facial
11.10.3. Inteligência Artificial
11.10.3.1. algoritmos
11.10.4. Criptografia