Seja bem-vind@ a mais uma edição do Boletim! Nesta 42ª edição, no contexto brasileiro, destacamos que foram realizadas reuniões técnicas promovidas pela Autoridade Nacional de Proteção de Dados (ANPD) nos […]
Seja bem-vind@ a mais uma edição do Boletim!
Nesta 42ª edição, no contexto brasileiro, destacamos que foram realizadas reuniões técnicas promovidas pela Autoridade Nacional de Proteção de Dados (ANPD) nos dias 21, 23 e 25 de junho de 2021, sobre o processo de regulamentação do relatório de impacto à proteção de dados pessoais (RIPD). Maria Cecília Gomes, professora do Data Privacy Brasil, foi selecionada e integrou um dos blocos de discussão.
Ainda dentro do contexto brasileiro, destacamos a proposição do Projeto de Lei nº 1674/2021, proposto pelo Senador Carlos Portinho (PL/RJ), que cria o Certificado de Imunização e Segurança Sanitária (CSS). O PL é inspirado no Certificado Verde Digital elaborado pela União Europeia e que tem aparecido com constância nas últimas edições do Boletim, tendo como objetivo permitir que as pessoas vacinadas ou que testaram negativo para Covid-19/outras doenças infectocontagiosas, possam voltar a frequentar locais com grande concentração de público. O projeto foi aprovado de forma unânime do Senado Federal e foi encaminhado à Câmara dos Deputados, atualmente estando sujeito à apreciação do plenário.
Por fim, no contexto internacional, salientamos que o European Protection Board e a Autoridade de Proteção de Dados Espanhola adotaram um parecer conjunto sobre a Proposta de Regulamento da Comissão Europeia que estabelece regras harmonizadas sobre inteligência artificial (IA). Nesse sentido, embora as Autoridades entendam positiva a abordagem baseada em risco contida na Proposta, elas consideram que o conceito de “risco para os direitos fundamentais dos titulares” deve ser alinhado com o quadro regulatório de proteção de dados da União Europeia. Além disso, recomendam que os riscos sociais para grupos de indivíduos também sejam avaliados e atenuados, bem como destacam a necessidade de esclarecer que a legislação da UE em vigor sobre proteção de dados (GDPR, EUDPR e o LED) se aplica a qualquer tratamento de dados pessoais abrangidos pelo âmbito do projeto de Regulamento de IA.
Desejamos a tod@s uma ótima leitura!
Bruno Bioni, Mariana Rielli e Júlia Mendonça
Proteção de Dados nas Autoridades
Brasil
A ANPD informou que realizará audiência pública sobre norma de fiscalização
A audiência pública, que ocorrerá no dia 08 de julho de 2021, das 10h às 12h e das 14h às 18h, visa discutir com a sociedade a proposta de normativa de fiscalização da Autoridade Nacional de Proteção de Dados, que esteve disponível para consulta pública, por meio da plataforma Participa + Brasil, até o dia 28 de junho. A referida norma estabelece o mecanismo de fiscalização que a Autoridade pretende adotar, com previsão de ações de monitoramento, orientação, prevenção e aplicação de sanção, seguindo a lógica da regulação responsiva. A sessão será aberta a todos e, durante sua realização, os interessados poderão se manifestar, fazendo comentários e sugestões em relação ao assunto discutido. Os interessados em colaborar com o processo regulatório durante a audiência devem realizar inscrição prévia até às 23:59 do dia 06/07/2021, por meio do formulário disponível no site da autoridade. A discussão será transmitida pelo canal da ANPD no YouTube e não é necessária inscrição para quem deseja apenas assistir.
A Autoridade Nacional de Proteção de Dados (ANPD) tornou público o cronograma das reuniões técnicas que ocorreram no âmbito do processo de regulamentação do relatório de impacto à proteção de dados pessoais. O assunto está previsto no item 7 da Agenda Regulatória Bianual da ANPD, nos termos da Portaria nº 11, de 27 de janeiro de 2021. As reuniões técnicas ocorreram nos dias 21, 23 e 25 de junho de 2021, às 10h, de forma pública, tendo sido transmitidas pelo canal da ANPD no YouTube. Anteriormente, no dia 25 de maio, a ANPD abriu inscrições para que os interessados pudessem contribuir com o processo de regulamentação e participar das reuniões técnicas na condição de expositores. Foram recebidas 543 inscrições no prazo, sendo selecionados 12 nomes, considerando-se a experiência prática em proteção de dados, a experiência com relatório de impacto à proteção de dados e a formação ou produção acadêmica. Destacamos que Maria Cecília Gomes, professora do Data Privacy Brasil, integrou um dos blocos de discussão.
Após denúncia realizada pelo Instituto de Defesa do Consumidor (IDEC) e pelo Instituto de Defesa Coletiva (IDC), a Secretaria Nacional do Consumidor (SENACON) determinou a aplicação de sanção administrativa de multa ao Banco Itaú Consignado S.A. no valor de R$ 9,6 milhões, devido à prática de infração ao Código de Defesa do Consumidor. A Senacon entendeu que a Instituição Financeira não exerceu diligentemente o seu dever de vigilância e de fiscalização das atividades realizadas por seus correspondentes bancários, tendo em vista as abusividades cometidas na oferta e contratação de empréstimos consignados, assim como o uso indevido de informações pessoais. Para mensuração do valor da multa aplicada, foram considerados os princípios da razoabilidade e da proporcionalidade, a gravidade e a extensão da lesão causada aos consumidores em todo o país, a vantagem auferida e a condição econômica da empresa. Em nota, o banco afirmou que mantém um processo de melhoria contínua para a oferta e contratação de crédito consignado e que recorrerá da decisão. Esta é a terceira multa aplicada pela Senacon em um mês pelo mesmo motivo, as outras foram aplicadas ao Banco Cetelem (R$ 4 milhões) e ao Banco Pan (R$ 8,8 milhões).
Argentina
Autoridade da Argentina emitiu recomendações para realização de videochamadas
A videochamada tornou-se um meio fundamental para a realização de reuniões de trabalho ou contato com familiares, dadas as medidas de distanciamento e isolamento decorrentes da pandemia causada pela COVID-19. Diante disso, a Autoridade de Proteção de Dados da Argentina emitiu recomendações a serem observadas no momento de participação de videochamadas: ‘’(i) Leia as políticas e condições de privacidade dos aplicativos ou plataformas móveis que você vai usar. As empresas devem pedir seu consentimento para processar seus dados pessoais, que deve ser por escrito ou outro meio semelhante, de forma clara e simples; (ii) Em algumas ocasiões, quando o produto é “gratuito”, as empresas podem usar os dados pessoais para outros fins, o que pode gerar um risco os direitos dos titulares, portanto, as empresas devem informar previamente quais são as finalidades e suas consequências, os destinatários e, caso estejam guardados numa base de dados, o nome e dados de contato do responsável, para que seja possível o efetivo exercício dos direitos, por exemplo, de oposição; (iii) Caso seja gravada uma videochamada, esse fato deve ser informado com antecedência, de forma explícita e específica, junto com o término do uso dessas imagens; (iv) Recomendamos a utilização de plataformas que permitem colocar uma senha para as salas ou chamadas, bem como uma identificação (ID) que apenas os convidados a participar possuem’’.
Espanha
A Autoridade Espanhola apresentou um novo guia para gerenciar o risco de tratamento de dados e realizar avaliações de impacto
A Agência Espanhola de Proteção de Dados (AEPD) publicou o seu novo guia “Gestão de riscos e avaliação de impactos no tratamento de dados pessoais”, um documento que incorpora a experiência acumulada na aplicação da gestão de riscos no domínio da proteção de dados desde o início da aplicação do General Data Protection Regulation e adiciona as interpretações da AEPD, do Comitê Europeu de Proteção de Dados e da EDPS. O documento, dirigido a gestores, controladores e encarregados, oferece uma visão unificada da gestão de riscos e avaliações de impacto da proteção de dados, além de facilitar a integração da gestão de riscos nos processos gerais de gestão e governança das entidades. O GDPR estabelece que as organizações que tratam dados pessoais devem realizar uma gestão de risco, a fim de estabelecer as medidas necessárias para garantir os direitos e liberdades das pessoas. Além disso, nos casos em que os tratamentos impliquem um risco elevado para a proteção de dados, o regulamento prevê que essas organizações sejam obrigadas a realizar uma Avaliação de Impacto da Proteção de Dados, inclusive para atenuar esses riscos. O guia é dividido em três seções: a primeira contém uma descrição dos fundamentos da gestão de risco para direitos e liberdades; a segunda inclui um desenvolvimento metodológico básico para a aplicação da gestão de riscos e a última enfoca os casos em que é necessária a realização de uma avaliação, com as orientações necessárias para a sua realização.
Estados Unidos
A FTC firmou acordo com aplicativo de fertilidade Flo Period & Ovulation Tracker
A Federal Trade Commission (FTC) finalizou um acordo que exigirá que a Flo Health Inc., empresa controladora de um aplicativo de fertilidade, obtenha o consentimento dos usuários antes de compartilhar suas informações pessoais de saúde com terceiros, além de impor uma revisão das suas práticas de privacidade. Na reclamação, realizada pela primeira vez em janeiro, a FTC alegou que, apesar de prometer manter os dados dos usuários privados, a empresa compartilhou dados de saúde confidenciais de milhões de usuários de seu aplicativo Flo Period & Ovulation Tracker com empresas de marketing e analytics, incluindo Facebook e Google. Em razão do acordo, a Flo Health deve notificar os usuários afetados sobre a divulgação de suas informações de saúde e instruir qualquer terceiro que recebeu tais dados dos usuários para excluí-los.
European Data Protection Supervisor (EDPS)
O European Protection Board e a Autoridade de Proteção de Dados Espanhola adotaram um parecer conjunto sobre a Proposta de Regulamento da Comissão Europeia que estabelece regras harmonizadas sobre inteligência artificial (IA). Embora o EDPB e a AEPD entendam positiva a abordagem baseada em risco contida na Proposta, também consideram que o conceito de “risco para os direitos fundamentais dos titulares” deve ser alinhado com o quadro regulatório de proteção de dados da União Europeia. Além disso, as Autoridades recomendam que os riscos sociais para grupos de indivíduos também sejam avaliados e atenuados, bem como consideram que o cumprimento das obrigações legais decorrentes da legislação da UE, incluindo em matéria de proteção de dados pessoais, deve ser uma condição prévia para a entrada no mercado europeu. Por fim, as autoridades destacam a necessidade de esclarecer que a legislação da UE em vigor em matéria de proteção de dados (GDPR, EUDPR e o LED) se aplica a qualquer tratamento de dados pessoais abrangidos pelo âmbito do projeto de Regulamento de IA.
Dinamarca
Comissão Europeia adotou decisões de adequação sobre proteção de dados com relação ao Reino Unido
Os dados pessoais podem agora fluir livremente da União Europeia para o Reino Unido, local onde se beneficiam de um nível de proteção essencialmente equivalente ao garantido pela legislação da União Europeia. As decisões de adequação emitidas pela Comissão Européia, tanto em relação ao General Data Protection Regulation quanto no tocante à Law Enforcement Directive, também facilitam a correta implementação do Acordo de Comércio e Cooperação UE-Reino Unido, que prevê o intercâmbio de informações pessoais, por exemplo, para cooperação em questões judiciais. Por fim, destaque-se que ambas as decisões de adequação incluem fortes salvaguardas em caso de divergências futuras, como uma ‘cláusula de caducidade’, que limita a duração da adequação a quatro anos.
França
Autoridade Francesa aplicou multa de 500.000 euros a empresa Brico Privé
A Autoridade Francesa (CNIL) realizou várias investigações entre 2018 e 2021 atreladas a empresa BRICO PRIVÉ, que possui um site de vendas (bricoprive.com) dedicado à bricolagem, jardinagem e utensílios domésticos. Tal empresa opera na França e em três outros países europeus (Espanha, Itália e Portugal). Durante as investigações, a CNIL constatou várias lacunas no que diz respeito à proteção de dados pessoais de clientes, verificando o descumprimento de diversas obrigações previstas no Código de Comunicações Eletrónicas (CPCE) e no GDPR. Diante disso, a Autoridade aplicou uma multa de 500.000 euros, além de ordenar que a empresa adequasse seu processamento ao artigo L.34-5 do CPCE e ao artigo 5.1.e do GDPR, no prazo de 3 meses a partir da notificação da deliberação, sujeito à pena de 500 euros por dia de atraso .
Itália
Foi realizada a primeira reunião do painel técnico sobre a proteção dos direitos das crianças no âmbito das redes sociais e produtos digitais, que ocorreu no Ministério da Justiça da Itália, com um grupo de trabalho composto por três entidades: a Autoridade Italiana de Proteção de Dados, a Autoridade da Italiana da Infância e Adolescência e Autoridade Italiana da Garantia das Comunicações. Na oportunidade, Pasquale Stanzione, presidente da Autoridade de Proteção de Dados, apontou em sua fala que “Proteger menores online e nas redes sociais é um objetivo primordial, que deve unir instituições, famílias e o âmbito escolar. A Autoridade Italiana está sempre empenhada na promoção da conscientização da utilização de novas tecnologias por menores, bem como no estabelecimento de regras para a sua proteção”. Por sua vez, Carla Garlatti, integrante da Autoridade da Infância e Adolescência, ressaltou que “A constituição do grupo de trabalho é positiva e vai na direção solicitada também pela Autoridade que represento. Isso porque a sinergia entre o Ministério da Justiça e as três Autoridades, cada uma com competências específicas, pode representar uma oportunidade preciosa para encontrar soluções regulatórias no que diz respeito à verificação da idade dos menores nas redes sociais, regulando a exploração da sua imagem e salvaguardando de forma eficaz a sua participação digital”.
A Autoridade Italiana de proteção de dados pessoais manifestou parecer favorável à utilização do “IO App”, que tem como escopo a emissão de Certificados Verdes, outrora aprovados pelo Governo Italiano. A empresa PagoPA, responsável pelo desenvolvimento e gestão do “IO App”, após introduzir medidas para resolver os problemas identificados pela Autoridade em relação à privacidade dos usuários, modificou ainda mais o aplicativo para disponibilizar também a “Certificação Covid Green- 19”, versão indicada pelo Ministério da Saúde. Segundo a Autoridade, agora os usuários serão notificados sobre este novo recurso no primeiro login e terão a opção de desativá-lo. Para garantir ainda mais proteção dos dados dos mais de 11 milhões de usuários do aplicativo, a Autoridade também solicitou à empresa que os dados relativos à utilização do Certificado Verde, transmitidos a Mixpanel (Empresa de análise de dados), sejam mantidos por um período limitado, não superior a dez dias a partir da coleta, e posteriormente excluídos de imediato. Por fim, ressalte-se que o bloqueio dos dados já coletados pela empresa norte-americana, antes da intervenção da Autoridade, permanecerá até ao final da investigação iniciada.
Peru
A Autoridade Nacional de Proteção de Dados Pessoais do Peru (ANPD), no âmbito do “marco de la Política 35”, oriundo do acordo nacional que promove o uso de tecnologias da informação, implementou uma plataforma virtual para o registro de bancos de dados pessoais no Cadastro Nacional de Proteção de Dados do país (RNPDP). O registo de bancos de dados pessoais, para além de ser uma obrigação prevista na Lei da Proteção de Dados Pessoais Peruana, é um importante passo para o setor, uma vez que permitirá uma melhor organização e fiscalização da utilização dos dados, com a adoção de medidas necessárias para a sua proteção. A nova plataforma, desenhada pela Direção-Geral de Tecnologias de Informação do Minjusdh, permitirá às entidades que realizam operações de tratamento concluírem corretamente o respectivo pedido de registo, tendo em vista que indica quais os campos são obrigatórios, agilizando o procedimento e evitando a necessidade do deslocamento para a sede física do Ministério da Justiça e Direitos Humanos. Segundo a Autoridade, progressivamente, melhorias serão implementadas para virtualizar todos os procedimentos do RNPDP.
Reino Unido
Em um blogpost para a ICO, a UK Information Commissioner, Elizabeth Denham, destacou que a tecnologia de reconhecimento facial traz benefícios que podem tornar aspectos de nossas vidas mais fáceis, eficientes e seguros, além de permitir desbloquear nossos telefones celulares, abrir uma conta bancária online ou passar pelo controle de passaporte. No entanto, conforme ponderado pela comissária, quando a tecnologia e seus algoritmos são usados para escanear o rosto das pessoas em tempo real e em contextos mais públicos, os riscos para a privacidade das pessoas são altos. Nesse sentido, ela apontou que está preocupada com o potencial que a tecnologia de reconhecimento facial ao vivo (LFR) possui para ser usada de forma inadequada, excessiva ou mesmo imprudente. Isso porque, quando dados pessoais sensíveis são coletados em grande escala, sem o conhecimento, escolha ou controle das pessoas, os impactos podem ser significativos. Segundo a Comissária, a LFR e seus algoritmos podem “identificar automaticamente quem você é e inferir detalhes confidenciais sobre você, além de poder ser utilizado para criar um perfil instantâneo e veicular anúncios personalizados”, ou até mesmo comparar sua imagem com “ladrões de lojas conhecidos, enquanto você faz as suas compras semanais”. Em seguida, ela asseverou que “Não é meu papel endossar ou banir uma tecnologia, mas, embora essa tecnologia esteja em desenvolvimento e não seja amplamente implantada, temos a oportunidade de garantir que ela não se expanda sem a devida reflexão sobre a proteção de dados”. Diante disso, o ICO publicou um parecer sobre o uso da LFR em locais públicos por empresas privadas e organizações públicas, o qual explica como a proteção de dados e a privacidade das pessoas devem estar no centro de qualquer decisão de implantar LFR.
O Information Commissioner’s Office (ICO) multou a Papa John’s (GB) Limited no valor de £ 10.000 por enviar 168.022 mensagens de marketing incômodas aos seus clientes sem o consentimento válido exigido por lei . O ICO aponta que recebeu cerca de 15 reclamações de clientes do Papa John sobre o marketing indesejado que estavam recebendo por mensagem de texto e e-mail, evidenciando a angústia e o aborrecimento que as mensagens estavam causando. A investigação subsequente do ICO descobriu que entre 1 de outubro de 2019 e 30 de abril de 2020, a Papa John’s enviou mais de 210.000 mensagens de marketing com 168.022 confirmações de recebimento. Tal investigação também descobriu que a empresa estava contando com a ideia de soft opt in, a qual permite que as organizações enviem mensagens de marketing eletrônico para clientes cujos detalhes foram obtidos para serviços semelhantes, mas oferece uma maneira simples de recusar ou cancelar o recebimento. Diante disso, a Autoridade decidiu que a Papa John’s não poderia utilizar esse tipo de autorização para clientes que fizeram um pedido por telefone, uma vez que eles não tiveram a opção de cancelar o contato, nem receberam um aviso de privacidade, o que ocasionou na aplicação da multa.
Uruguai
Autoridade Uruguaia publicou recomendações para o uso de aplicativos de mensagens por controladores
A Autoridade do Uruguai publicou um conjunto de recomendações, de acordo com as normas de proteção de dados pessoais do país, direcionadas a controladores para serem adotadas durante a utilização de aplicativos de mensagens. As recomendações procuram esclarecer alguns conceitos associados às informações geridas pelas aplicações, às consequências associadas à sua utilização e às formas como as pessoas podem proteger a sua privacidade e os seus dados. Da mesma forma, o documento estabelece recomendações para os controladores que desejam se comunicar com terceiros por meio desse tipo de aplicativo, indicando que tal comunicação deve ser realizada por meio de canais que minimizem os potenciais impactos negativos para os titulares. De igual maneira, para os que controlam e projetam os referidos aplicativos, também são elencadas recomendações indicando que devem ser incorporadas medidas de privacy by design e privacy by default, com a devida avaliação do papel do aplicativo com relação aos dados coletados e tratados, entre outros pontos.
Proteção de Dados nas Universidades
Analysis of the attributes of rights to inferred information and China’s choice of legal regulation
FENG, Fei; WANG, Xia; CHEN, Tianxiang
Segundo o texto, pesquisadores que estudam a coleta, análise e uso de dados na era do big data e algoritmos estão prestando mais atenção aos uso de dados inferidos. A informação inferida por um algoritmo possui “personality and property interests” distintos, o que desafia as teorias existentes de informação pessoal e privacidade. No entanto, segundo o texto, um método completo de regulamentação legal para essas informações ainda não existe na China. O artigo concentra-se em como reconhecer a natureza das informações inferidas e como realizar uma avaliação e regulamentação jurídica apropriada para melhor proteger os direitos e interesses legítimos de assuntos relevantes na China. Para os autores, com base nas necessidades sociais da China e na experiência da prática judicial, a teoria da privacidade de “integridade contextual” desenvolvida pela professora Helen Nissenbaum pode ser usada para avaliar se as informações inferidas geram algum tipo de violação, com a previsão de que provavelmente a China adotará o modelo regulatório dos EUA.
A Visual Exploration of Cybersecurity Concepts
STURDEE, Miriam; WIMASALIRI Bhagya; THORNTON Lauren; PATIL Sameer
Os conceitos relacionados à segurança cibernética podem ser difíceis de explicar ou resumir. A complexidade associada a esses conceitos é agravada pelo impacto das rápidas mudanças tecnológicas e a natureza contextual do significado atribuído aos vários temas. Diante disso e considerando que as imagens visuais são frequentemente empregadas na articulação e explicação de conceitos, os autores conduziram um estudo no qual foi solicitado aos participantes que esboçassem visualmente sua compreensão dos conceitos de segurança cibernética. Com base na análise desses esboços e subsequentes discussões com os participantes, os autores defendem o uso de esboços e recursos visuais como uma ferramenta para pesquisa de segurança cibernética. Segundo o texto, a coleção de esboços e ícones pode servir como a semente para um vocabulário visual de interfaces e comunicação relacionadas à segurança cibernética.
O direito fundamental à proteção de dados pessoais e a pandemia da Covid-19
MARTINS, Guilherme Magalhães; BASAN, Arthur Pinheiro; JÚNIOR, José Luiz de Moura Faleiros.
A pandemia da Covid-19 marcou o ano de 2020 na história, trazendo reflexos transversais na Ciência Jurídica e instigando debates acerca da efetividade de direitos em tempos peculiares nos quais a problemática em torno de sua eficácia acaba por extrapolar a mera discussão dogmática; pensa-se, em verdade, na efetivação de direitos a partir do cumprimento de deveres fundamentais. É nesse ponto que se situa o problema levado a efeito no estudo: como a proteção de dados pessoais, considerada direito fundamental e tão versada em discussões legislativas na segunda década do século XXI, pode e deve ser efetivada em tempos de isolamento social e contenção da propagação viral para a preservação de um plexo de outros direitos humanos, como a vida, a liberdade e a incolumidade pública?
Proteção de Dados no Legislativo
Proposto Projeto de Lei que cria o Certificado de Imunização e Segurança Sanitária (CSS)
O Projeto de Lei nº1674/2021, proposto pelo Senador Carlos Portinho (PL/RJ), propõe a criação do Certificado de Imunização e Segurança Sanitária (CSS). O PL é inspirado no Certificado Verde Digital elaborado pela União Europeia, tendo como objetivo permitir que as pessoas vacinadas ou que testaram negativo para Covid-19/outras doenças infectocontagiosas, possam voltar a frequentar locais com grande concentração de público. O documento será implementado por meio de uma plataforma digital, local onde o titular poderá emitir diferentes tipos de certificados: (i) Certificado de Nacional de Vacinação – CNV; (ii) Certificado de Vacinação Internacional e Testagem – CVIT; (iii) Certificado de Testagem – CT; (iv) Certificado de Recuperação de Doença Infectocontagiosa – CRDI. O projeto foi aprovado de forma unânime do Senado Federal, o que ocasionou seu encaminhamento para a Câmara dos Deputados, atualmente estando sujeito à apreciação do plenário.
Proteção de Dados no Judiciário
Trata-se de Recurso inominado interposto pelo réu no processo de nº 0753373-84.2020.8.07.0016. Com fundamento no artigo 7º da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n.º 13.709/2018), a sentença de 1º grau o condenou a fornecer os dados necessários à identificação e localização dos responsáveis pela movimentação bancária da conta para a qual a autora, por equívoco, realizou depósito no valor de R$900,00, a fim de possibilitar a obtenção da autorização para o estorno da referida quantia. Nas razões do recurso, o réu alegou: (i) inexistência de conduta ilícita a implicar reparação de danos; (ii); impossibilidade de penalizar o banco em razão da culpa exclusiva da consumidora; (iii) que não pode ser condenado na obrigação de “fazer ou deixar de fazer alguma coisa senão em virtude de lei”; (iv) ausência de responsabilidade pelos danos narrados na inicial; (v) ausência de ato ilícito, negligência ou falha na prestação dos serviços; (vi) que não lhe cabe o ônus de estornar os valores envolvidos; (vii) ausência de irregularidade que implique na reparação em obrigação de fazer; e (viii) ilegalidade e impossibilidade de cumprimento da obrigação de fazer. Ao final requereu a reforma da sentença para julgar improcedentes os pedidos constantes na inicial. No entanto, a Terceira Turma Recursal dos Juizados Especiais do Distrito Federal, apontou que, nos termos do art. 932, III do Código de Processo Civil, incumbe ao recorrente impugnar especificamente os fundamentos da decisão recorrida, o que não se verificou no caso. Segundo a Turma, o recurso se limitou a repetir argumentos já lançados na peça de defesa, sem qualquer impugnação às razões de decidir, em especial acerca da autorização prevista no artigo 7º da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n.º 13.709/2018). Diante disso, o recurso não foi conhecido.
