1. LGPD e Proteção de Dados no Metaverso
O que é dado pessoal num mundo virtual?
DOUGLAS SIVIOTTI
TDC Future, 8 de Dezembro de 2022
Free images by:
2. Sobre
DOUGLAS SIVIOTTI
Analista de sistemas com especialização em
engenharia de software pela Universidade Federal
do Rio Grande do Sul; e especialização em Proteção
e Uso de Dados pela PUC-MG.
Atua com desenvolvimento há mais de 20 anos e é
arquiteto e software do SERPRO desde 2005. Nos
últimos anos atua especialmente com arquitetura,
qualidade de software, segurança e proteção de
dados (LGPD), sendo um dos criadores do "guia de
desenvolvimento confiável" do SERPRO.
Autor do blog ArteSoftware.com.br
Foco/Objetivos da Palestra:
1. Muita coisa no metaverso é sim dado pessoal
2. A forma como são usados deve seguir a LGPD
3. O contexto de uso determina o que pode ser feito
Agenda: Quiz + 32 Slides (~30min) em 6 partes:
Introdução e Quiz sobre o tema
1. O que são dados pessoais?
2. O que é (são) metaverso(s)?
3. O que é LGPD e Proteção de Dados?
4. LGPD aplicada a metaversos
5. Perguntas sem Resposta (Ainda)
3. Aviso sobre o Conteúdo
Equalizando Expectativas
1.O objetivo do quiz é provocar o debate e causar questionamento
2. Contém interpretação sobre alguns artigos da LGPD
3. Conteúdo baseado na LGPD e boas praticas internacionais (e.g. GDPR)
4. Metaversos estão em plena evolução e muito pode mudar
5. Experiência prévia do apresentador
6. Análise das prováveis definições sobre o tema
7.Esta não é uma palestra de cunho jurídico
8.Esta não é uma palestra sobre NFT, criptomoedas ou Web3
9.O assunto geralmente requer avaliação caso a caso para uma resposta objetiva
4. Entre neste site pelo seu smartfone:
www.kahoot.it
Perguntas serão mostradas no telão
QUIZ Interativo
7. Informação relacionada a pessoa
natural identificada ou identificável
(definição do artigo 5 da LGPD)
Pessoa Natural = Pessoa Viva
O Que São Dados
Pessoais?
8. Dados Pessoais
Exemplos Típicos
Nome
Nascimento
CPF e IDs
Endereço
Foto, Voz e Vídeo
Salário
Dados Bancários
Etnia*
Religião*
Saúde*
Dado Genético*
Opinião Política*
Filiação Sindical*
Telefone
Rating
Email
Contas
Likes
Opiniões
Sentimentos
Biografia
Biometria*
Vida Sexual*
Cliques do Mouse
Histórico de Compras
Histórico de Navegação
Histórico de Filmes
Geolocalização
T
Titular
Avatar (Biometria)
Movimentos
Olhar / Piscadas
Sinais Vitais
Emoções
IP
* Dado Pessoal Sensível Pessoa a quem o dado se refere
9. Classificação de Dados Pessoais
Segundo a LGPD
Dados Pessoais
Sensíveis
Dados Pessoais de
Crianças e Adolescentes
Dados
Pessoais
Dados
não pessoais
Dados
Anonimizados
Dados
Pseudonimizados
Dados Públicos
ou Sigilosos
Fora do escopo da LGPD. Tratado por outras leis
10. Identificabilidade de Um Dado
Capacidade de Identificar
1
Pseudônimo
Identificadores Diretos Identificadores Indiretos Atributos Alvo
Informação relacionada a pessoa natural
identificada ou identificável
2 3 4
Pseudonimização Anonimização
11. Relação do Dado com Titular
Vínculo ou Associação
2
1
3 4
Pseudônimo
Identificadores Diretos Identificadores Indiretos Atributos Alvo
Informação relacionada a pessoa natural identificada ou identificável
Pseudonimização Anonimização
12. Bruce Willis “Vende o Rosto”
Avatar (Bruce Willis) e Movimentos (Outro Ator)
https://www.estadao.com.br/emais/gente/bruce-willis-vende-imagem-para-empresa-de-deepfake-e-volta-a-tv-entenda
Posso vender meus dados
pessoais também?
13. Mundo virtual que tenta replicar a
realidade através de dispositivos
digitais. É um espaço coletivo e
virtual compartilhado constituído
pela soma de realidade virtual,
realidade aumentada e internet.
O Que São
Metaversos?
(Wikipedia)
14. Roblox - Metaverso num Game Online – Similar a um Marketplace (Um Lugar)
17. Metaverso para PD
Uma Internet 3D
●
Uso dos mesmos
dados pessoais que a
internet 2D
●
Potencial para usar
mais dados e de
formas diferentes
18. Grandes Poderes
Grandes Responsabilidades
Nome, Nascimento
Filiação, Etnia*
Salário, Endereço
Religião*, Saúde*
Telefone, Email, IP
Contas, Foto, Histórico
Compras, Likes
Rating, Perfil, Histórico
Opiniões*, Sentimentos
Biometria*, Localização
Avatar, Movimentos
Olhar, Emoções 3D
19. A LGPD dispõe sobre o tratamento
de dados pessoais, inclusive nos
meios digitais… (artigo 1 da LGPD)
A LGPD é regra do jogo
Proteção de dados contra violações externas e internas
O Que é LGPD e
Proteção de Dados
20. LGPD é a Regra do Jogo
Regra é para funcionar, não atrapalhar
A regra é sobre chutar a
bola e não sobre a bola
21. Disciplina de Proteção de Dados
(Contra Violações Externas e Internas)
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
●
I - o respeito à privacidade;
●
II - a autodeterminação informativa;
●
III - a liberdade de expressão, de informação, de comunicação e de opinião;
●
IV - a inviolabilidade da intimidade, da honra e da imagem;
●
V - o desenvolvimento econômico e tecnológico e a inovação;
●
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
●
VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.
Art 5o 02/2022
22. O Tratamento de DP
Esquema Geral (Genérico)
Operador
Controlador
T
Tratamento de
Dado Pessoal
Agentes de
Tratamento
Dado
Pessoal
Titular
Base Legal
Finalidade
Realiza
F
o
r
n
e
c
e
Registro de
Tratamentos
Efetua
Pessoa a quem
o dado se refere
23. Bases Legais
Na LGPD
1 - Consentimento
2 – Obrigação legal
3 – Adm. Pública
4 – Estudos O. Pesquisa
5 – Execução de Contrato
6 – Exercício de Direito
7 – Proteção à Vida
8 – Tutela de Saúde
9 – Interesses Legítimos
10 – Proteção do Crédito
1 - Consentimento
a) Obrigação legal
b) Adm. Pública
c) Estudos O. Pesquisa
d) Exercício de Direito
e) Proteção à Vida
f) Tutela de Saúde
g) Prevenção à Fraude
Garantida
Tratamentos autorizados
por lei ou hipótese específica
Concedida
Tratamentos autorizados
pelo titular via consentimento
Inferida
Tratamentos baseados no
legítimo interesse do controlador
Artigo 7
Dados Pessoais Triviais
Artigo 11
Dados Pessoais Sensíveis
24. Contextos de Tratamento
Caso a Caso – Depende!
Uma empresa pode me mandar
email com propaganda?
●
Depende da relação com esta empresa
●
Depende de como obteve o e-mail (finalidade)
●
Depende da base legal (e.g. Legítimo Interesse)
Altura e peso identificam?
Depende do conjunto de pessoas
CNPJ é dado pessoal?
Depende se é MEI
A farmácia pode enviar suas compras de remédio pra alguém?
1. Depende se for um órgão do governo fiscalizando o farmácia popular (transparencia)
2. Depende se você deu consentimento específico para este envio (vale o desconto?)
A farmácia pode usar dados das suas compras para fazer
recomendações para outros clientes?
1. Depende, por legítimo interesse não, mas com anonimização sim
ID ID
Alvo
25. Sim, LGPD vale no metaverso.
Metaversos, assim como tudo,
precisam de finalidades específicas
embasadas por bases legais
(além de todo o resto)
LGPD Aplicada a
Metaversos
26. Tratamento 1: Uso do Metaverso
Dados pessoais: Nome, e-mail, telefone, login,
senha, contatos, histórico de uso
Finalidade: Oferecer plataforma
Base Legal: Execução de contrato
Finalidade e Base Legal
Caso1: Metaverso Fictício
1
2
3
Tratamento 3: Melhoria da Plataforma
Dados pessoais: Conversas, reações,
postagens, opiniões, emoções e movimentos
Finalidade: Incrementar a plataforma
Base Legal: Legítimo interesse
Tratamento 2: Utilização de Cookies
Dados pessoais: IP e dados de navegação
Finalidade: Melhorar Usabilidade
e Experiência
Base Legal: Consentimento
27. Finalidade e Base Legal
Caso 2: Roblox (13 Tratamentos na Política de Privacidade)
https://en.help.roblox.com/hc/pt-br/articles/115004630823-Pol%C3%ADtica-de-Privacidade-e-de-Cookies-da-Roblox
1
2
28. Finalidade e Base Legal
Caso 2: Roblox (13 Tratamentos na Política de Privacidade)
https://en.help.roblox.com/hc/pt-br/articles/115004630823-Pol%C3%ADtica-de-Privacidade-e-de-Cookies-da-Roblox
3
29. Contextos de Tratamento
Caso a Caso – Depende!
Dados de crianças podem ser
usados num metaverso?
●
Depende do melhor interesse para elas
●
Depende se consentido pelo responsável
●
Depende se estritamente necessário
Avatar pode identificar?
Depende das características
Avatar é dado pessoal?
Depende do nível de anonimato
Um avatar pode ser ou conter dado pessoal sensível?
1. Depende se a informação sensível é usada como regra pela plataforma (similar a foto)
2. Avatar é potencialmente sensível (etnia, religião etc), mas não em regra
As emoções captadas por dispositivos imersivos são DP sensível?
1. A princípio não, mas podem sugerir questões de saúde, por exemplo
2. Além de saúde, dispositivos podem inferir dados de vida sexual e biometria
ID
ID Alvo
30. O que é um dado pessoal num
mundo virtual? (Quase Tudo)
Um metaverso é uma extensão do
mundo real com pessoas reais:
Internet 3D cheia de “depende”
Conclusão
31. Perguntas Sem Resposta
(Por Enquanto...)
Como pedir para eliminar
dados pessoais presentes
numa Blockchain?
São necessárias leis
específicas para metaverso?
E leis sobre dados pessoais
tratados por IOT e IA?
Quem é o controlador em
redes descentralizadas? A
quem exigir meus direitos
da LGPD?