A nota técnica 1/26 destacou que a funcionalidade criava risco estrutural e previsível, especialmente em ambiente digital marcado por práticas reiteradas de violência sexual e exploração de vulneráveis.

O episódio desloca o debate de conduta individual do usuário para a responsabilidade decorrente do design e da governança do sistema. Afinal, quando a estrutura de um modelo permite a produção reiterada de resultados ilícitos, quem deve responder civilmente pelos danos?

Confira o conteúdo na íntegra: https://www.migalhas.com.br/depeso/450858/arquitetura-algoritmica-e-responsabilidade-civil-o-caso-grok

O post Arquitetura algorítmica e responsabilidade civil: O caso Grok  apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

O movimento representa um marco relevante para as transferências internacionais de dados.

Com esse reconhecimento, passa a ser oficialmente admitido que os marcos regulatórios brasileiro e europeu asseguram níveis equivalentes de proteção de dados, permitindo que informações pessoais circulem entre Brasil e União Europeia de forma mais direta, segura e eficiente, sem a necessidade de mecanismos adicionais de transferência, como cláusulas contratuais padrão.

Do ponto de vista corporativo, a decisão traz ganhos relevantes em segurança jurídica, reduz complexidade regulatória e tende a gerar impactos positivos em estruturas contratuais, operações globais e estratégias de governança de dados, especialmente para empresas com atuação internacional ou relações comerciais com a Europa.

LEIA MAIS: PL 2338/23: 3 pontos de atenção sobre o marco regulatório da IA

Impactos práticos para empresas e grupos econômicos

A decisão de adequação facilita o fluxo internacional de dados e pode beneficiar diretamente organizações que atuam em setores como tecnologia, saúde, educação, pesquisa, serviços financeiros e inovação, ao:

• simplificar processos de transferência internacional de dados
• reduzir custos associados a estruturas contratuais e mecanismos de compliance
• fortalecer a previsibilidade regulatória em operações transnacionais
• ampliar oportunidades de negócios e parcerias estratégicas com o mercado europeu.

Como as organizações devem se preparar

Apesar do avanço regulatório, a decisão não dispensa uma análise estratégica dos fluxos internacionais de dados já existentes. Nesse contexto, recomenda-se que as organizações:

1. Atualizem o mapeamento de fluxos internacionais, identificando e documentando as transferências de dados atualmente realizadas

2. Revisem documentos institucionais, avaliando impactos em contratos, políticas internas e estruturas de governança de dados

3. Avaliem seus modelos de governança, verificando o alinhamento dos processos às exigências legais e regulatórias aplicáveis

4. Fortaleçam controles internos, com mecanismos de monitoramento e auditoria das transferências internacionais de dados.

A equipe de Privacidade e Proteção de Dados da Lee, Brock, Camargo Advogados (LBCA) acompanha de forma próxima e estratégica os desdobramentos relacionados à decisão de adequação e está à disposição para auxiliar as organizações a aproveitar os ganhos de eficiência e segurança jurídica decorrentes desse novo cenário, garantindo operações globais mais ágeis, seguras e alinhadas às exigências regulatórias.

A notícia completa pode ser consultada nos canais oficiais da ANPD.

O post Brasil e União Europeia reconhecem adequação mútua em proteção de dados pessoais apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

A abordagem de regulação flexível vem sendo adotada no Brasil pela ANPD – Autoridade Nacional de Proteção de Dados, instituída pela lei 13.853/191 e regulamentada pelo decreto 10.474/20, com competências expressas no art. 55-J para fiscalizar e regulamentar a LGPD.  Essa postura explica o porquê de a ANPD aplicar poucas multas. Na verdade, aplicou duas multas desde sua criação (2019) para a mesma empresa. Em contraposição, a GDPR – regulamento geral de proteção de dados da União Europeia, vigente desde 2018,  já aplicou 2.245 multas, no valor total de 5,65 bilhões de euros, de acordo com a CMS Law2.

Por que tanta discrepância entre Brasil e União Europeia? O fato está vinculado, em parte, ao fato de a ANPD definir como seu modelo de governança – a regulação responsiva, abrindo a discussão de como seria conduzida a conformidade da proteção de dados pessoais no país nessa fase inicial. Este modelo é um contraponto ao modelo tradicional, suscitando um debate que envolve questões regulatórias, éticas e de direito público.

A ANPD aplicou sua primeira multa em 2023 contra uma empresa de telefonia (Telekall Infoservice), depois de constatadas irregularidades no comércio de dados, agravada pela empresa não responder às  requisições da ANPD, o que poderia alterar este desfecho. Os demais casos de irregularidades envolviam entes públicos , que não estão sujeitos a multas. Essa única multa pecuniária aplicada destoa das diversas medidas corretivas que se seguiram na linha da regulação responsiva, pela qual a resposta do regulador acompanha o comportamento do regulado, observando educação, orientação e correção voluntária. Em 2024, por exemplo, a ANPD notificou 20 grandes empresas por não estarem em conformidade com a LGPD, principalmente  pela ausência de indicação de DPO – Data Protection Officer.

LEIA MAIS: Cancelamento de voo não gera dano moral automático

A regulamentação responsiva já é adotada por mais de 30 entes reguladores em todo o mundo, até porque vivemos a era do capitalismo regulatório. É importnte salientar que a ANPD não é uma agência reguladora, mas uma autoridade com o papel de proteger e fiscalizar os dados pessoais dos brasileiros, tendo limitações de autonomia e estrutura.

A teoria responsiva tem pontos de formulação que passam por não ser pré-concebida, priorizar o diálogo, atuar com consonância com os que resistem à regulação, premiar os mais envolvidos, enfatizar a educação e a capacitação, não fazer ameaças com sanções, ampliar rede de parceiros, atuar diante da responsabilidade ativa e passiva e avaliar o custo dos resultados.

Como o próprio nome deixa entender, o conceito de regulação responsiva, criado por Ian Ayres e John Braithwaite, em 1992, deixa implícito como a prática se processa: abre espaço para a interação, cooperação, engajamento entre o regulador, a empresa (regulado) e terceiros, na busca de uma conformidade, ou seja, de um equilíbrio entre o regulador governamental e a autorregulação, uma vez que todos possuem múltiplas razões para defender este ou aquele ponto de vista.

A regulação tradicional está sedimentada no “comando e controle” e se efetiva  por meio de regulamentos e punições previstas na legislação; enquanto a responsiva tem um foco maior na responsabilidade compartilhada, estimulando à conformidade, propiciando ao Estado novas alternativas regulatórias, até porque as questões de regulação se tornaram fenômenos multifacetados, pelos quais a norma regulatória de conduta não consegue contemplar todos os ângulos envolvidos.

“O ponto crucial é que a regulação responsiva é um modelo dinâmico no qual a persuasão e/ou a capacitação são tentadas antes da escalada em uma pirâmide de níveis crescentes de punição. Não se trata de especificar antecipadamente quais são os tipos de questões que devem ser tratadas na base da pirâmide, quais são tão graves que devem estar no meio e quais são as mais graves para o topo da pirâmide”, explica John Braithwaite, um de seus criadores.3

VEJA TAMBÉM: https://lbca.online/alerta-do-stj-a-ordem-processual/

Como explicado por Braithwaite, a regulação responsiva atua através de um sistema de pirâmides. A pirâmide de enforcement é escalonável, indo da persuasão até penas severas, ou seja, da base para o topo, quando se torna necessário intervir. E a pirâmide de sanções (pyramid of sanctions), que vai da persuasão/educação até a persecução criminal. Essas são estruturas que devem ser adaptadas a cada regulado, de acordo com a teoria responsiva. Pode, por exemplo, reduzir as infrações para aqueles que se autoidentificam como transgressores das regras vigentes, comprometendo-se em corrigir as infrações praticadas.

O modelo da regulação responsiva permite a criação de regulamentos mais flexíveis e adaptáveis à inovação tecnológica, sem travar a evolução, ao se consolidar em regras sem rigidez, portanto, fugindo da obsolescência das leis. Também, está voltada a adotar boas práticas, que não implicam na fiscalização mais rígida ou de difícil cumprimento, procurando entender quais são as mudanças impostas pelas novas tecnologias e para onde elas nos levam. Dessa forma, o ente regulador é responsivo à conduta dos regulados para cumprir o objetivo deste modelo e promover o aprimoramento do comportamento dos regulados.

A regulação responsiva, segue 3 princípios básicos: O primeiro é a flexibilidade, que permite que as normas se tornem ajustáveis, conforme a evolução dos desafios para o regulador atingir medidas mais severas; em segundo lugar, está o chamado diálogo contínuo, pelo qual, múltiplos atores, como reguladores, regulados e terceiros buscam ampliar o diálogo e criar regras mais eficazes. O terceiro princípio é a construção coletiva, que incentiva a participação de todos os envolvidos no sentido de criar um ambiente colaborativo e novas soluções.

Outras vantagens da regulação responsiva é gerenciar os riscos com o propósito de prevenir ilícitos, reunindo o Estado e as empresas no sentido de que compartilhem a responsabilidade contra a prática de ilícitos, o que permite ao Poder Público atuar com flexibilidade, ampliando pontes entre regulador e regulados. No caso de o regulado violar a norma e não voltar à conformidade de forma espontânea, o regulador aplicará as sanções previstas, sem deixar de levar em conta a proporcionalidade das penas.

A teoria da regulação responsiva traz consigo dois argumentos altamente positivos: não fica exposta à defasagem da legislação sobre tecnologias que evoluem em ritmo acelerado e tem como estratégia o fato de que a punição sai sempre mais cara ao Estado, enquanto a orientação e a persuasão envolvem poucos recursos públicos e traz vantagens para todos os envolvidos A própria GDPR também atuou de forma responsiva inicialmente para que a conformidade fosse se consolidando entre os regulados.

Atuando pela regulação responsiva, a ANPD abre mais espaço para priorizar os dispositivos que ainda precisam ser regulamentados, caso da revisão humana das decisões automatizadas por IA (art. 20 LGPD); direitos dos titulares de dados , tratamento de dados pessoais  de crianças e adolescentes, regras de boas práticas e governança, anonimização  e pseudonimização de dados, entre outros tópicos de uma ampla agenda.

O post Regulação Responsiva: Entra a negociação e sai a sanção apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Veja um balanço das penalidades, as lições aprendidas e o que esperar para o futuro.

A ANPD investiga falhas na proteção de dados em diversos setores. Confira alguns dos processos em análise e os motivos da instauração:

• Ministério da Saúde: Falha na comunicação de incidentes e ausência de medidas de segurança;
• Secretaria de Desenvolvimento Social, Criança e Juventude: Falta de transparência sobre incidentes e ausência de medidas de segurança;
• Bytedance Brasil (TikTok): Possíveis violações aos direitos de crianças e adolescentes;
• RaiaDrogasil S.A.: Uso indevido de dados sensíveis para publicidade.

Esses casos seguem sob avaliação e podem resultar em sanções.

Processos Concluídos

A ANPD já decidiu por sanções como advertências, multas e exigências de adequação, vejamos:

• Telekall Infoservices – advertência e duas multas;
• Instituto de Pesquisa Jardim Botânico do RJ – processo arquivado por não restarem configuradas as violações;
• Secretaria de Educação do DF – advertências;
• Secretaria de Saúde de SC – advertências com medidas corretivas e nota pública no website;
• Instituto de Assistência ao Servidor Público de SP (IAMSPE) – advertências com medidas corretivas;
• Instituto Nacional do Seguro Social (INSS) – publicização da infração e comunicação aos titulares sobre a ocorrência de incidente de segurança;
• Ministério da Saúde – advertências com medidas corretivas.

LEIA TAMBÉM: Proteção de dados e IA: Solano de Camargo analisa nova tabela de honorários da OAB/SP

Lições aprendidas

As penalidades aplicadas mostram falhas recorrentes, como:

• Falta de indicação de encarregado;
• Falta de transparência na comunicação de incidentes;
• Deficiências na segurança da informação;
• Ausência de uma governança de dados eficiente;
• Não atendimento às exigências da ANPD.

A adequação à LGPD exige medidas preventivas e uma resposta ágil a incidentes.

Expectativas para o futuro

Nos próximos anos, a ANPD deve:

• Ampliar fiscalizações;
• Reforçar sua estrutura e atuação;
• Estabelecer mais parcerias estratégicas;
• Criar novas regulamentações.

VEJA TAMBÉM: Nova modelagem regulatória da Coreia do Sul para IA

Empresas precisarão se adaptar e adotar práticas mais rigorosas para evitar sanções.

O post Dois anos do Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Uma solução possível para os desafios normativos está prevista no novo Marco Regulatório da Inteligência Artificial no Brasil, cujo texto substitutivo ao PL 2.338/2023 foi recentemente aprovado pelo Senado Federal: a adoção do sandbox regulatório, que pode propiciar respostas mais rápidas à evolução tecnológica e assegurar direitos, tudo ao mesmo tempo. A medida já constava do texto original do PL, estabelecendo que cabe às autoridades competentes autorizar o funcionamento dos sandboxes regulatórios, podendo interromper a testagem ou emitir recomendações no intuito de preservar direitos fundamentais, segurança e proteção de dados pessoais.

O substitutivo, agora em apreciação na Câmara dos Deputados, busca equilibrar as demandas por uma normatização adequada dos sistemas de IA e a preocupação de que regulações excessivamente rígidas possam restringir a inovação. A Autoridade Nacional de Proteção de Dados (ANPD) se antecipou ao Legislativo quanto ao uso do sandbox regulatório para a IA. A agência abriu no ano passado consulta pública sobre a criação de um sandbox regulatório para tecnologias associadas à IA através da plataforma Participa+Brasil, sendo que o projeto piloto de sandbox brasileiro foi apresentado este ano em evento da OCDE (Organização para Cooperação e Desenvolvimento Econômico).1

No entanto, no âmbito do Direito Público, a aplicação de sandboxes regulatórios levanta questões específicas. A flexibilidade regulatória precisa ser compatível com o princípio da legalidade e o interesse público, considerando que atividades reguladas frequentemente afetam diretamente direitos fundamentais e bens coletivos. Por isso, o uso de sandboxes, nesse contexto, exige salvaguardas robustas, como a participação ativa de órgãos de controle, consulta pública e relatórios transparentes sobre os resultados do experimento.

Segundo a ANPD, “Os sandboxes regulatórios são metodologias desenvolvidas para gerar conhecimento e diminuir assimetrias de informação. Os sandboxes podem ajudar formuladores de políticas a ter mais acesso e conhecimento sobre sistemas de IA mais avançados. Isso pode ajudar a coletar evidências que corroborem o desenvolvimento de novas políticas ou propostas regulatórias para a IA”.

O Financial Conduct Authority (FCA) do Reino Unido foi o pioneiro a fazer uso de sandboxes regulatórios como ambiente isolado de experimentação, voltados ao mercado financeiro, em 2015. O termo “sandbox” tem sua origem na Tecnologia da Informação (TI), onde designa um ambiente isolado e seguro usado para testar softwares, códigos ou sistemas, sem comprometer a integridade dos sistemas principais ou expor dados sensíveis. Essa ideia foi adaptada para o contexto regulatório, mantendo a metáfora da “caixa de areia” dos parques infantis, que permite experimentação e flexibilidade para moldar novas estruturas. No âmbito regulatório, o sandbox funciona como um espaço de experimentação controlado, no qual empresas podem testar novos modelos de negócios e tecnologias, ajustando suas propostas sem a aplicação imediata de todas as exigências normativas.

Esse ambiente permite que inovações sejam avaliadas e desenvolvidas com segurança antes de sua plena implementação no mercado.Os sandboxes regulatórios podem tratar de diferentes aspectos das tecnologias emergentes. Por meio da testagem, as corporações e reguladores, com suas respectivas expertises, conseguem avaliar a evolução das tecnologias, adaptando ou criando novos regramentos aos que já estão em vigor.

VEJA TAMBÉM: Aplicações de inteligência artificial potencializam o ESG

Diante da rápida evolução dos sistemas de IA é preciso um novo olhar do ponto de vista regulatório. Desde o primeiro sandbox regulatório até hoje, foi se consolidando o fato de que diante de tecnologias disruptivas, como a IA, a adoção de novos modelos regulatórios dotados de dinamismo e flexibilidade se tornaram necessários. Apenas regulamentar e impor pesadas multas às empresas desenvolvedoras de novas tecnologias por descumprimento de dispositivos legais acabaria por inviabilizar a inovação.

Os aplicativos de IA podem, por exemplo, definir que tipo de conteúdo on-line irá engajar mais consumidores, definirem que preços individualizados mais altos determinados consumidores estariam dispostos a pagar por um produto ou propiciar um diagnóstico mais assertivo de câncer. O impacto do uso de dados automatizados está crescendo Papel do sandbox regulatório na regulação dos sistemas de IAPapel do sandbox regulatório na regulação dos sistemas de IAglobalmente nos mais diferentes nichos de da vida humana e as legislações buscam fomentar uma política de privacidade e proteção de dados enquanto direito fundamental dos cidadãos.

Por meio do sandbox regulatório é possível abrir o debate sobre as aplicações mais avançadas da IA generativa e refletir sobre a viabilidade da complexidade da regulamentação desses sistemas impactantes para que todos consigam colher as vantagens da inovação, de forma segura e protegida, a contemplar direitos fundamentais. Nesse contexto, as autoridades do Estado têm o papel de guardiães dos dados pessoais dentro dos sandboxes regulatórios, quando há testagem ou treinamento de sistemas de IA, para que não haja violações da Lei Geral de Proteção de Dados (LGPD), comprometendo direitos de titulares de dados.

Os sandboxes regulatórios têm prazo para começar e acabar. É um experimento temporário, durante o qual ocorre uma experimentação colaborativa entre as partes interessadas, devendo deixar claro a modelagem, amostragem, processos e resultados da nova tecnologia de IA.  Nesse processo de testagem, alguns regulamentos do arcabouço legal do país podem ser atenuados ao longo da experimentação.

Com vigência iniciada em agosto deste ano, o regulamento da União Europeia para a Inteligência Artificial (AI Act), considerado pioneiro e abrangente, prevê em seu artigo 53 a criação de sandboxes regulatórios. Esses ambientes de testagem têm como objetivo acompanhar o ritmo das tecnologias emergentes, permitindo o desenvolvimento e a experimentação em condições controladas antes de sua introdução no mercado. O AI Act destaca que os participantes desses sandboxes permanecem plenamente responsáveis, nos termos da legislação aplicável da União Europeia e dos Estados-Membros, por quaisquer danos causados a terceiros em decorrência das experimentações realizadas.

LEIA MAIS: Deepfakes: ética e (ab)uso na era da inteligência artificial

O Artigo 57 do AI Act, aprovado pela União Europeia, prevê a criação obrigatória de sandboxes regulatórios em todos os Estados-Membros até 2 de agosto de 2026. Esses ambientes controlados têm como objetivo promover a inovação, permitindo que sistemas de inteligência artificial sejam desenvolvidos, treinados, testados e validados em condições supervisionadas antes de sua introdução no mercado.

Os sandboxes regulatórios também têm a função de melhorar a segurança jurídica, compartilhar melhores práticas, fomentar a competitividade, assim como de  facilitar o acesso de pequenas e médias empresas (PMEs) ao mercado europeu de IA.  O AI Act, assim como o Marco Regulatório brasileiro, prevê a criação de sandboxes regulatórios e estabelece que os participantes desses ambientes permanecerão responsáveis, nos termos da legislação aplicável em matéria de responsabilidade da União e dos Estados-Membros, por quaisquer danos causados a terceiros em decorrência das experimentações realizadas no sandbox. Além disso, o AI Act especifica que, se os participantes seguirem de boa-fé as diretrizes e condições estabelecidas, estarão isentos de penalidades administrativas relacionadas a violações dessa regulamentação.2

O uso do sandbox regulatório reúne muitas vantagens, a primeira delas é atender os interesses igualmente de quem desenvolve e de quem utiliza, trazendo mais segurança jurídica e reduzindo possíveis riscos.

Apesar dessas vantagens, é importante considerar algumas preocupações levantadas por especialistas sobre o uso dessa abordagem, nem todos concordam com essa visão positiva. Alguns argumentam que a flexibilidade inerente aos sandboxes regulatórios pode enfraquecer a aplicação de normas jurídicas fundamentais, criando precedentes que beneficiem corporações em detrimento do consumidor ou pequenas empresas. Além disso, há críticas quanto à transparência e ao controle durante os períodos de experimentação, o que pode abrir brechas para violações de direitos fundamentais, especialmente em tecnologias de IA que sofrem com opacidade algorítmica. Assim, embora os sandboxes representem um avanço, é essencial considerar suas limitações.

A chamada opacidade tecnológica, ou seja, a dificuldade de entender como alguns algoritmos operam, é uma realidade. Por isso, o envolvimento de diferentes profissionais, com abordagens e visões diversas dentro do sandbox, ajuda a afinar os caminhos das tecnologias disruptivas com a preservação dos direitos fundamentais.

Esse espaço de experimentação também implica em um ambiente de colaboração entre empresas desenvolvedoras, reguladores e demais partes interessadas. Cada um tem uma demanda, podendo ajudar a formatar as regras que atendam ao interesse de todos, levando em conta possíveis riscos e mitigações, o que ajudará na proteção do usuário final dos sistemas de IA.

O cumprimento de requisitos para avaliar e mitigar riscos associados aos sistemas de IA são passíveis de serem contornáveis dentro do sandbox regulatório, que permite a adoção de um processo transparente e aberto para instituir a regulação daquele produto ou serviço, com contribuições de ambos os lados (desenvolvedores e reguladores), garantindo salvaguardas, mas sem bloquear a inovação dos modelos de IA, que vêm impactando os negócios e a sociedade de forma global e irreversível. Para que os sandboxes regulatórios sejam eficazes no Direito Público, é fundamental estabelecer um arcabouço normativo claro que assegure o respeito aos princípios constitucionais e evite o uso indiscriminado dessa ferramenta. Além disso, mecanismos de monitoramento e auditoria contínua devem ser implementados, garantindo que os benefícios esperados superem os riscos potenciais. Isso é particularmente importante em áreas como saúde pública ou segurança, onde o impacto coletivo das tecnologias experimentais pode ser significativo.

Em síntese, o sandbox regulatório se apresenta como uma ferramenta indispensável para enfrentar os desafios impostos pela rápida evolução tecnológica, especialmente em setores como o da Inteligência Artificial Generativa. Contudo, ele deve ser entendido não como uma solução definitiva, mas como uma medida complementar, que auxilia na construção de regulamentações mais eficientes e adaptáveis. A velocidade e a complexidade das inovações tecnológicas tornam praticamente impossível regular todos os setores do mercado de maneira tradicional e abrangente. Nesse contexto, os sandboxes criam um ambiente de experimentação controlada, permitindo o ajuste progressivo das normas, a coleta de dados concretos e o fomento à inovação responsável. Entretanto, é fundamental que esses espaços sejam acompanhados por um arcabouço normativo sólido, mecanismos de monitoramento rigorosos e uma transparência que assegure a preservação dos direitos fundamentais. Somente assim será possível equilibrar a promoção do desenvolvimento tecnológico com a proteção dos interesses da sociedade, consolidando o papel do Estado como mediador entre inovação e responsabilidade.

___________

1 Disponível aqui.

2 Disponível aqui.

O post Papel do sandbox regulatório na regulação dos sistemas de IA apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

A conformidade com a Lei nº 13.709/2018 deve ser observada pelas empresas e instituições públicas que queiram manter os dados pessoais dos titulares protegidos, respeitando  a privacidade  e a conformidade com os regulamentos atuais. 

Sendo compreendida como uma técnica onde elementos visuais e tecnológicos são inseridos em documentos jurídicos, como contratos, termos e condições e até mesmo apresentações, o Visual Law é versátil e inovador e tende a trazer diversos benefícios quando bem aplicado. 

Destrinchamos as principais características de um documento com Visual Law e o papel que exerce para disseminação da cultura de proteção de dados e para adequação das empresas presentes no mercado.

Funcionamento do Visual Law

Transparência e acessibilidade são palavras ligadas ao Visual Law, cujo propósito é  facilitar o entendimento das informações dispostas em documentos jurídicos, muitas vezes carregados por termos específicos da área e textos extensos. 

A tecnologia tem um papel fundamental para a disseminação desta técnica que hoje permite que clientes e outras partes envolvidas entendam e absorvam todos os pontos dispostos em petições ou contratos, por exemplo. 

LEIA TAMBÉM: Inclusão e acessibilidade no Visual Law e relação com a sigla S do ESG

  Além de elementos tecnológicos (como links externos, dashboards, vídeos explicativos), os componentes visuais (como as ilustrações, infográficos, imagens, bullet points, mapas mentais e fluxogramas) e mudanças e reduções textuais permitem que os leitores tenham um novo olhar sobre o conteúdo. 

Como resultado, há o maior entendimento sobre as questões em pauta, a redução de conflitos, uma resolução mais rápida dos casos e uma maior assertividade nos resultados obtidos. Quando o setor jurídico das empresas decide aplicar o conceito para documentos internos ou divulgação externa o efeito também tende a ser positivo. 

Conheça o Visual Legal, o Visual Law da LBCA, entenda a aplicabilidade e como funciona a uma leitura clara de quaisquer documentos jurídicos.

Conformidade com a LGPD

A proteção e privacidade passaram a ser prioridades, visando garantir a segurança no tratamento dos dados dos titulares por todas as instituições que lidam diretamente com clientes, colaboradores e parceiros. 

Estar em conformidade com o regulamento é uma necessidade, mas o processo também traz alguns desafios. Um dos maiores está relacionado com a adequação por parte de todos os colaboradores e a divulgação das normas e medidas de conformidade.

O Visual Law pode ser utilizado para melhorar essa comunicação com os colaboradores através da divulgação assertiva das políticas e práticas internas.

Com a utilização adequada e equilibrada da ferramenta, o conteúdo se torna mais visual, e portanto, mais compreensível para todos. A consequência é a redução de riscos internos e a garantia de que as informações serão tratadas em conformidade à Lei e às políticas internas da empresa. Isso tudo traz benefícios reputacionais à empresa.

LEIA TAMBÉM: 3 principais dúvidas sobre o Visual Law

Além disso, ao estabelecer a transparência como um de seus princípios, a LGPD exige que as empresas forneçam aos titulares informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais. Nesse contexto, o Visual Law emerge como uma ferramenta crucial para tornar as políticas e avisos de privacidade mais compreensíveis, atrativos e acessíveis, assegurando que os titulares compreendam claramente como seus dados estão sendo tratados.

Por fim, a adoção do Visual Law pode aprimorar os processos de obtenção de consentimento dos titulares. Ao tornar as informações visuais e atrativas, o Visual Law não apenas melhora a experiência do usuário, mas também garante que ele tenha plena compreensão do que está consentindo e se sinta mais confiante em sua relação com a empresa.

A LGPD Brasil está presente no mercado para oferecer soluções e auxiliar clientes de diferentes ramos a estarem em total adequação com a lei. Dessa maneira, um time especializado realiza consultorias personalizadas para entender o momento em que se encontra e seguir com as ações necessárias.

A lei ainda reforça a necessidade de nomeação de um encarregado de dados (DPO) que atuará diretamente com a inserção das medidas e em casos específicos, sendo a ponte entre a ANPD e a instituição. Acesse o site para compreender mais sobre a atuação deste profissional e as ações a serem tomadas pela empresa. 

O post Visual Law como facilitador da aplicação da LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Principais Aspectos da Regulamentação:

1- Objetivo e escopo: O regulamento visa proteger os direitos fundamentais dos titulares de dados, assegurando a adoção de medidas necessárias para mitigar ou reverter os efeitos prejudiciais dos incidentes de segurança. Isso inclui a promoção de práticas de governança e a transparência no tratamento de dados pessoais.

2- Definições claras: Foram estabelecidas definições precisas, no art. 3º, para termos como “incidente de segurança” e “dados pessoais afetados”, o que facilita a compreensão e a implementação das diretrizes. Já entre os art. 4º e 8º, a Resolução detalha os critérios e o processo para a comunicação de incidentes à ANPD e aos titulares de dados, assim como o que se entende por “risco ou dano relevante ao titular” e quais tipos de dados pessoais podem atrair o dever de comunicação cumulado com o risco e potencial de dano às vítimas.

3- Notificação à ANPD e aos titulares: De acordo com o art. 6º, os controladores devem notificar tanto a ANPD quanto os titulares de dados sobre a ocorrência de incidentes de segurança no prazo de três dias úteis após o seu conhecimento, detalhando a natureza do incidente e as medidas adotadas em resposta. No caso de o prazo não ser obedecido, o regulamento exige que a comunicação detalhe os motivos da demora.

O post ANPD estabelece novas regras para comunicação de incidente de segurança apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Ela poderá ser usada para criar conteúdo para sustentar sentenças judiciais? Normas dos Tribunais? Resoluções? Definir Recursos Repetitivos? Atos judiciais de toda a sorte? Temos uma única certeza: Os sistemas de IAG mudarão a forma de litigar que conhecemos atualmente.

Certamente, há um uso potencial para essas tecnologias no universo jurídico, mas até onde será possível seguir? A Thomson Reuters Institute1 realizou uma pesquisa nos EUA, Canadá e Reino Unido com escritórios de grande e médio porte sobre o uso da IA Generativa. Para os advogados daqueles países, a ferramenta é considerada útil para o universo jurídico e 3% dos entrevistados já a empregam, mas a maioria (60%) têm reservas quanto ao seu uso imediato. 

Outra parte significativa (35%) está ponderando se explora ou não a IAG. A pesquisa também apurou que 15% dos escritórios alertaram para o uso não autorizado e 6% proibiram o uso.

VEJA TAMBÉM: LBCA inova e cria Política de Uso Ético da IA Generativa

A tecnologia avança em velocidade superior à legislação, o que pode gerar conflitos, ajustes e remédios tardios, sendo que uma pergunta retórica permanece: A IA poderia ser usada para gerar conteúdo  capaz de embasar decisões judiciais? Apesar das incertezas, uma coisa é certa: essa tecnologia está mudando o modo como entendemos o processo jurídico.Muitos no universo jurídico veem potencial na IA Generativa, mas também expressam cautela quanto à privacidade e  precisão dos dados.

A Ética e a IA Generativa

O equilíbrio entre inovação e ética é essencial. No Brasil, tanto a Agência Nacional de Proteção de Dados (ANPD) como o Senado Federal têm discutido regulamentações para o uso da IA, buscando um modelo que garanta autonomia e direitos dos  titulares de dados. A Agência Nacional de Proteção de Dados (ANPD) divulgou a Nota Técnica 16 sobre o PL 2.338/23, em tramitação, que regulamenta o uso da IA no Brasil.

A agência defende a criação de um Conselho Consultivo, como previsto na LGPD, com abordagem centralizada, a exemplo da adotada pela União Europeia, além insistir independência técnica e autonomia administrativa da ANPD, alterando os dispositivos de 32 a 35 do PL.2

No plano do Judiciário, o Conselho Nacional de Justiça (CNJ) editou a Resolução 332, de 20204, sobre ética, transparência e governança da IA. Há, no âmbito do Judiciário um repositório nacional de IA, que já conta com mis 200 modelos depositados pelos tribunais. Em junho, o órgão anunciou alteração das regras do uso das tecnologias de IA no Judiciário.

A  resolução atual  limita o uso  quando o Poder Público não detém direitos autorais, mas o Departamento de Tecnologia da Informação do CNJ é favorável à ampliação do emprego dessas tecnologias.

Igualmente importante, é o estudo  coordenado pelo Ministro do Superior Tribunal de Justiça Luis Felipe Salomão e pela Juíza federal Caroline Somesom Tauak, realizado pelo Centro de Inovação, Administração e Pesquisa do Judiciário da FGV5 sobre o uso da IA nas cortes brasileiras , que já esta em sua terceira fase. 

A primeira aconteceu em 2020 e atingiu 47 tribunais; a segunda, em 2021,  abrangeu o número de ferramentas de IA e  a terceira, realizada no ano passado, aprofudou os processos de treinamento e funcionamento dos sistemas de IA no CNJ, STF, STJ, TST e TRF- 1.

A tecnologia, ao mesmo tempo que promete revolucionar, também traz desafios. Há casos em que a IA apresentou informações incorretas, o que evidencia a necessidade de supervisão humana constante.

VEJA TAMBÉM: Como separar o direito autoral humano dos “direitos” da IA generativa

O Cenário Internacional

Fora do Brasil, outros países também estão se adaptando. Nos EUA e no Canadá, por exemplo, regras estão sendo estabelecidas para o uso da IA. 

Tais regras exigem transparência no uso da tecnologia e conhecimento no campo jurídico, de todos os operadores do Direito. No Exterior, os tribunais têm estabelecido regras localizadas para uso da IAG.

No Canadá,  por exemplo, a  Corte da província de Manitoba especifica que :”existem preocupações legítimas sobre a confiabilidade e precisão das informações geradas a partir do uso de inteligência artificial. Para abordar estas preocupações, quando a inteligência artificial tiver sido usada na preparação dos conteúdos protocolados na Justiça, os materiais devem indicar como a inteligência artificial foi empregada”6.

Nos Estados Unidos também vem crescendo o regramento nos Estados para uso da IAG na Justiça. É o caso de Illinois7, que apresenta a seguinte normativa: “…qualquer parte usando qualquer ferramenta de IA generativa para conduzir pesquisa ou para redigir documentos junto a este tribunal deve divulgar esse emprego, com a divulgação, incluindo a ferramenta específica de IA e a maneira como ela foi usada”.

Portanto, é possível inferir que será exigido do advogado que conheça mais profundamente as novas tecnologias de IAG e mantenha obediência à legislação; assim como será cobrado dos magistrados competência tecnológica para analisar se a IAG foi empregada, se a considera adequada e se não houve comprometimento de dados confidenciais dos clientes no processo. Para esses dois atores da Justiça, a supervisão humana torna-se praticamente obrigatória. 

Sem dúvida, os sistemas de IA generativa auxiliarão os humanos no âmbito jurídico a tomar decisões mais assertivas sobre inúmeras práticas do Direito, como propriedade intelectual, segurança do consumidor, invasão de privacidade, calúnia, difamação, coleta de dados protegidos etc. No entanto, a supervisão humana é essencial para garantir a aplicação ética e eficiente das tecnologias de IAG.

Enquanto avançamos, é essencial que o diálogo público continue e que a integração internacional seja priorizada.

 A IA Generativa é uma realidade e cabe a nós determinar como ela moldará o futuro da Justiça.

1 https://www.thomsonreuters.com/en-us/posts/technology/chatgpt-generative-ai-law-firms-2023/

2 https://www.gov.br/anpd/pt-br/assuntos/noticias/Nota_Tecnica_16ANPDIA.pdf

3 www.ilnd.uscourts.gov/_assets/_documents/_forms/_judges/Fuentes/Standing%20Order%20For%20Civil%20Cases%20Before%20Judge%20Fuentes%20rev’d%205-31-23%20(002).pdf

4 https://www.aaronandpartners.com/news/mata-v-avianca-the-hidden-dangers-of-using-ai-for-legal-advice/ 

5 https://atos.cnj.jus.br/atos/detalhar/3429

4 https://ciapj.fgv.br/sites/ciapj.fgv.br/files/relatorio_ia_3a_edicao_0.pdf

6 https://www.manitobacourts.mb.ca/site/assets/files/2045/practice_direction_-_use_of_artificial_intelligence_in_court_submissions.pdf

7 www.ilnd.uscourts.gov/_assets/_documents/_forms/_judges/Fuentes/Standing%20Order%20For%20Civil%20Cases%20Before%20Judge%20Fuentes%20rev’d%205-31-23%20(002).pdf

O post Impactos da IA generativa no mundo jurídico apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Uma transferência internacional pode ser, por exemplo, o compartilhamento de dados entre filiais de uma mesma empresa ou entre uma empresa e um fornecedor de serviços. Isso pode incluir o armazenamento de dados em servidores localizados em outro país.

Fernando Antônio Santiago Junior, do escritório Chenut Oliveira Santiago Advogados, destaca que há diversas situações nas quais ocorre a transferência  e que são praticamente invisíveis aos olhos das empresas ou organizações.

“Elas efetuam operações dessa natureza cotidianamente e não se dão conta, como a estocagem dos dados da empresa em servidores baseados fora do Brasil, ou simplesmente, o acesso ao banco de dados pessoais da empresa por alguém situado no exterior. Todas essas situações configuram transferência internacional de dados e só podem ser realizadas em conformidade com a LGPD”, explica. 

A Lei Geral de Proteção de Dados (LGPD) dispõe sobre a transferência internacional de dados a partir do artigo 33. Basicamente, a lei estabelece que a transferência internacional de dados pessoais é permitida nas seguintes situações:

LEIA SOBRE: Especialista em LGPD alerta sobre primeira sanção por infração aplicada pela ANPD

1. quando o país ou organismo internacional de destino oferece um nível de proteção de dados pessoais adequado ao previsto na LGPD;
2. quando o controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD; ou
3. quando a transferência é necessária para cumprimento de obrigação legal, execução de política pública, execução de contrato, exercício regular de direitos em processo judicial, administrativo ou arbitral, entre outras hipóteses.

No entanto, os especialistas explicam que existe um vazio deixado pela LGPD ao não detalhar o que seria um nível adequado de proteção de dados e ao não estabelecer um mecanismo de adequação, ou seja, um processo pelo qual a ANPD possa reconhecer se o país ou organização possui esse nível de proteção. 

Nas palavras de Tatiana Roxo, sócia do Barra, Barros & Roxo Advogados, “a LGPD possui diversas lacunas, uma vez que delega à ANPD a responsabilidade de definições e regulações importantes, que irão viabilizar esta transferência. Além disso, a definição de conteúdo e avaliação de todos estes mecanismos de transferência serão realizados pela Autoridade”.

Então, hoje, explica Fernando Antônio Santiago Júnior, “para o setor privado é praticamente impossível enquadrar uma transferência internacional de dados pessoais dentro de alguma hipótese autorizativa exceto aquela do consentimento do titular dos dados, que na prática é uma alternativa inviável em grande escala”.

Paulo Vinicius de Carvalho Soares, sócio do Lee, Brock, Camargo Advogados, considera motivo de insegurança jurídica essa falta de detalhamento sobre como avaliar o grau de proteção proporcionado pelo recebedor estrangeiro, além da falta de orientação em relação à necessidade de instrumentos contratuais ou auditorias para viabilizar a transferência.

Para reduzir as lacunas existentes na lei, a ANPD publicou, então, a proposta de regulamento.

“O regulamento estabelecerá as regras para a definição da adequação de países terceiros e, também, o procedimento para a adoção de mecanismos contratuais pelos agentes de tratamento no âmbito de transferências internacionais, quando aplicável.

 Nesse sentido, a minuta do regulamento propõe um modelo das cláusulas-padrão contratuais a serem adotadas nos contratos entre exportador e importador de dados. Ainda ficarão pendentes de regulação os selos, certificados e códigos de conduta”, explica Paulo Brancher, sócio das áreas de Propriedade Intelectual e Tecnologia do Mattos Filho.

LEIA SOBRE: Autodeterminação informativa e LGPD: Efeitos na educação digital

Quem fica responsável pela segurança dos dados?

De qualquer maneira, sempre que ocorra a  transferência internacional de dados, o principal responsável pela segurança dos dados é o controlador, que é o dono do banco de dados e quem zela por ele.

“A responsabilidade por garantir a segurança dos dados pessoais é sempre do controlador desses dados. Se ele os compartilha com um agente de tratamento baseado no exterior, a análise da responsabilidade sobre algum eventual incidente de segurança ou uso ilegal dos dados deve ser analisado caso a caso segundo os fatos, a natureza do tratamento e a qualificação jurídica do agente de tratamento. 

O Direito da Proteção dos Dados Pessoais é extremamente casuístico”, argumenta o sócio do Chenut Oliveira Santiago Advogados.

Paulo Vinicius de Carvalho Soares reconhece a responsabilidade primária do controlador, mas recomenda prever responsabilização solidária do recebedor estrangeiro por eventuais danos ao titular, quando comprovado que não respeitou os princípios da LGPD. “Isso traria maior segurança jurídica”, diz.

No mesmo sentido, Paulo Brancher afirma que a segurança dos dados é responsabilidade de todos os agentes de tratamento envolvidos e recomenda: “Na prática, cada agente de tratamento deverá adotar medidas adequadas e compatíveis com as atividades que realiza com o objetivo de garantir a confidencialidade, integridade e disponibilidade dos dados pessoais envolvidos”.

Harmonização de regras entre países

Algumas jurisdições como a União Europeia, Estados Unidos, Argentina, Colômbia e Japão já regulam a transferência internacional de dados. 

A União Europeia tem regras sobre a transferência de dados pessoais para fora do Espaço Econômico Europeu (EEE) estabelecidas no Regulamento Geral de Proteção de Dados (GDPR). Parecida com a LGPD, a GDPR exige que a transferência de dados pessoais para fora do EEE só seja permitida se o país de destino oferecer um nível adequado de proteção de dados, se forem adotadas garantias apropriadas, como cláusulas contratuais padrão, ou se uma das exceções trazidas pela lei se aplicarem ao caso.

“O Brasil poderia se espelhar nesse modelo, buscando acordos no âmbito do Mercosul, por exemplo”, sugere o sócio do LBCA.

Para facilitar as transferências entre diversos países, seria interessante a harmonização e interoperabilidade entre as legislações. “Ao facilitar a aderência dos agentes de dados às exigências de cada país, as autoridades contribuem para o desenvolvimento da atividade empresarial de forma internacional, o que incentiva diretamente também o desenvolvimento da inovação e da economia”, afirma o sócio do Mattos Filho. 

Adriane Loureiro, sócia do B/LUZ, concorda e diz que “dada a globalização e a natureza interconectada da economia digital, é importante que haja uma harmonização entre as legislações de diferentes países para facilitar o fluxo de dados entre fronteiras e, ao mesmo tempo, garantir a segurança dos dados”. 

Segundo a advogada, isso pode ser alcançado por meio de acordos internacionais, como o Privacy Shield que, apesar de invalidado pelo Tribunal de Justiça da UE, serviu como um mecanismo para facilitar a transferência de dados entre a UE e os EUA; e o EU-U.S. Data Privacy Framework, que introduziu melhorias significativas em comparação ao Privacy Shield.

Além disso, ela destaca que a existência de normas internacionais, como as estabelecidas pela Organização Internacional de Padronização (ISO), pode ajudar a harmonizar as práticas de proteção de dados em todo o mundo.

O movimento da ANPD com a minuta do regulamento vai ao encontro dessa necessidade de harmonizar as regras dos países. “A ANPD parece estar buscando aproximar as diferentes jurisdições, como, por exemplo, por meio da previsão da aprovação de cláusulas-padrão contratuais equivalentes. 

Sobre esse ponto, a minuta prevê a possibilidade de a ANPD decidir que cláusulas-padrão contratuais estrangeiras são compatíveis com a legislação de proteção de dados brasileira e, com isso, que podem ser utilizadas pelos agentes de tratamento sujeitos à LGPD sem a necessidade da implementação de outros mecanismos contratuais”, afirma Paulo Brancher. 

O post ANPD deve regular transferência internacional de dados pessoais apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

“O projeto também estabelece que o incidente deve ser notificado à ANPD – Autoridade Nacional de Proteção de Dados. Contudo, este tópico já consta do texto da LGPD – Lei Geral de Proteção de Dados Pessoais,no art. 48“, explica o advogado sócio-head da Lee, Brock, Camargo Advogados e especialista em Direito Digital, Paulo Vinícius de Carvalho Soares.

SAIBA MAIS: Brasileiros sofrem 208 golpes por hora; alta é de 37,9%

Para o advogado, o projeto aumenta a transparência que deve cercar os incidentes de segurança, como por exemplo no caso de vazamento de informações, por dois  motivos: para que  agentes de tratamentos de dados tomem ciência de incidentes semelhantes e ampliem seus  conhecimentos para evitar novos riscos e propiciar ao titular de dados a garantia de seus direitos e liberdades, evitando algum tipo de ilícito com seus dados.

Os incidentes de segurança na LGPD, segundo Soares, ocorrem quando há qualquer ato de tratamento de dados pessoais não autorizado ou desprovido de base legal como qualquer evento adverso, tais como: perda, violação, fraudes, acesso não autorizado etc.

SAIBA MAIS: Alcance da cláusula chargeback de fraudes

Que leve à violação na segurança de dados pessoais. Um caso muito comum é a tentativa de venda de dados, por exemplo. A LGPD (art. 48, § 1º) específica como sendo obrigatório que o  DPO – Data Protection Officer/Encarregado comunique à ANPD, em prazo razoável, e ao  titular de dados sobre  o incidente segurança, no caso de risco ou dano relevante, além de especificar as medidas tomadas de análise e mitigação dos riscos.

O PL 1.876/23 tramitará em caráter conclusivo pelas CCJ – Comissões de Comunicação, Constituição e Justiça e de Cidadania da Câmara dos Deputados, sendo dispensada a votação em plenário para ser aprovada. Isso só ocorre no caso de haver recurso assinado por 52 parlamentares.

Fonte: Migalhas

O post Advogado analisa PL que amplia divulgação de incidente de segurança apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.