Na tarde do dia 3 de novembro de 2020, a rede de informática do Superior Tribunal de Justiça sofreu o pior ataque hacker de sua história. Dois dias depois, a Corte emitiu comunicado esclarecendo que "o ataque hacker bloqueou, temporariamente, com o uso de criptografia, o acesso aos dados, os quais, todavia, estão preservados nos sistemas de backup do tribunal". O episódio não apenas coloca em foco o sistema de proteção de dados do Poder Judiciário, mas acende a luz de alerta no que tange aos procedimentos arbitrais.
A utilização de tecnologias não é novidade no âmbito das arbitragens. Em diversos procedimentos, termos de arbitragem são assinados digitalmente quando não há divergências entre as partes, dispensando-se a audiência presencial normalmente designada para essa exclusiva finalidade, e ordens procedimentais são enviadas por e-mail ou salvas como arquivos em diretórios online - as conhecidas "nuvens" -, prescindindo-se da remessa de vias físicas. Nos últimos meses, todavia, o que se revelava como mais uma opção para as partes, tornou-se imperativo em decorrência das medidas de distanciamento social impostas em razão do novo coronavírus, e a tramitação virtual dos procedimentos se impôs de maneira implacável.
As Câmaras de Arbitragem rapidamente se adaptaram aos novos tempos, assim como os árbitros e os patronos das partes. As audiências passaram a ser conduzidas remotamente, os documentos, a circular por e-mail ou armazenados em nuvem e compartilhados por links eletrônicos, e mesmo as sentenças arbitrais deixaram de se corporificar em papel. Tudo acontece no ambiente virtual.
As mudanças, que pareciam inicialmente temporárias, vieram mesmo para ficar. Prova contundente são as alterações implementadas nas regras da London Court of International Arbitration (LCIA Rules),[¹] em vigor desde 1º de outubro deste ano. A comunicação eletrônica passou a ser o default. Tanto o Requerimento de Arbitragem (artigo 1.3) como a Resposta ao Requerimento de Arbitragem (artigo 2.3) devem ser submetidos pelas partes eletronicamente, acompanhados dos documentos pertinentes. À fase escrita do procedimento arbitral conferiu-se tramitação eletrônica (artigo 16), e admitiu-se a realização de audiências pessoal ou virtualmente por teleconferência, videoconferência ou por meio de qualquer outra tecnologia de comunicação que permita conectar participantes em uma ou mais localidades geográficas (artigo 19.2). As LCIA Rules estimulam o Tribunal Arbitral, em disposição bastante abrangente, a empregar tecnologia para aumentar a eficiência e a condução expedita da arbitragem (artigo 14.6(iii)), além de admitirem expressamente a aposição de assinatura digital na sentença arbitral, (artigo 26.2), que segue para as partes também eletronicamente (artigo 26.7).
Embora referidas disposições sejam pioneiras mesmo no cenário mundial, não há dúvidas de que elas anunciam um novo modelo de procedimento arbitral que, mais cedo ou mais tarde, será acolhido por diversas outras instituições, em maior ou menor medida. Nesse cenário, a quantidade de dados tratados por meios eletrônicos pelas Câmaras de Arbitragem, pelos árbitros e pelos patronos das partes é incomensurável. Não por outra razão, incluíram-se nas LCIA Rules disposições sobre proteção de dados pessoais no artigo 30A.[2]
No Brasil, a Lei Geral de Proteção de Dados (LGPD) - em vigor desde o dia 18 de setembro deste ano[3] - passou a disciplinar o tratamento dos dados pessoais, em meios físicos ou digitais, pela sociedade, pelo mercado e pelo Estado, isto é, por pessoa natural ou por pessoa jurídica de direito público ou privado (artigo 3º, caput). A incidência da normativa independe do país de sede daquele que realiza o tratamento de dados ou do local em que estejam os dados, desde que o tratamento das informações pessoais seja realizado em território brasileiro,[4] tenha por objetivo a oferta ou o fornecimento de bem ou serviço ou se refira a sujeito localizado no país, ou tenha tido origem em coleta efetuada no Brasil[5] (artigo 3º, I, II e III).
Submetem-se à LGPD todos aqueles que se qualifiquem como controlador de dados, assim entendida, nos termos do artigo 5º, VI, a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". Considera-se tratamento, de acordo com o inciso X do mesmo dispositivo, "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".
A partir do panorama legislativo vigente, tanto a Câmara de Arbitragem quanto os árbitros e os patronos das partes se qualificam como controladores, já que todos executam práticas condizentes com a referida função. Os patronos, por exemplo, compartilham documentos que revelam dados pessoais, e os árbitros e a Câmara de Arbitragem os armazenam em seus próprios computadores. Nesse caso, a cláusula de sigilo e confidencialidade não se afigura suficiente para dar conta dos incidentes de segurança, na medida em que tal disposição visa à proteção da lisura do procedimento e dos interesses das partes envolvidas, e não à tutela dos titulares de dados pessoais. Da mesma forma, todos os atores do procedimento arbitral se qualificam como controladores ao definirem a formas de coleta, armazenamento e, especialmente, os métodos de segurança da informação a serem adotados no seu específico procedimento.
A LGPD atribui diversos direitos aos titulares de dados pessoais, alguns decorrentes da aplicação dos princípios contemplados na legislação aos casos em concreto e outros reconhecidos no artigo 18. No que tange especificamente aos princípios da LGPD (artigo 5º), três assumem maior importância para a análise empreendida, quais sejam: (i) o da necessidade, que limita o tratamento de dados ao mínimo necessário para a realização de suas finalidades; (ii) o da segurança, que impõe a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais; e (iii) o da responsabilização e prestação de contas (accountability), que exige por parte do agente a adoção de medidas eficazes para o cumprimento das normas da LGPD.
Dentre os direitos reconhecidos pela LGPD, destacam-se o direito à anonimização, o direito ao bloqueio ou à eliminação de dados desnecessários, excessivos ou tratados em desconformidade com suas disposições. É fundamental, portanto, que se identifiquem quais os dados pessoais que se revelam efetivamente necessários à formação do convencimento do Tribunal Arbitral. Consideram-se, por exemplo, excessivos os dados que se refiram a pessoas naturais contratantes de serviços prestados por uma das partes que não se mostrem relevantes à tomada de decisão pelo Tribunal, razão pela qual, se incluídos no procedimento, devem ser retirados ou anonimizados, a fim de garantir plena proteção aos seus titulares. No mesmo sentido, consideram-se excessivos os dados pessoais relacionados às testemunhas arroladas pelas partes que não sejam atinentes à finalidade a que se presta o depoimento, pelo que também devem ser desidentificados ou excluídos.
Referidos cuidados, a rigor, não ficam a cargo apenas da Câmara de Arbitragem, mas incumbem também ao Tribunal Arbitral e aos patronos das partes. Todos, com efeito, devem adotar "medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas" (artigo 6º, X). Algumas são bem simples de serem implementadas e reforçam consideravelmente a tutela dos dados pessoais tratados no âmbito do procedimento arbitral, a exemplo do uso de sistemas de criptografia ponta a ponta para e-mails e mensagens bem como a limitação de acesso a documentos pelos patronos e árbitros em ambientes seguros, com criação de senha e sistemas de confirmação em duas etapas - como os usados em bancos ou sistemas de mensageria, pelo uso de tokens.
Em definitivo, o crescimento exponencial (e tendencialmente irreversível) da tramitação eletrônica dos procedimentos arbitrais exige um tous efforts no sentido de adotar providências razoáveis voltadas à proteção de dados pessoais tratados no curso da arbitragem. Cuida-se de medida preventiva, que se revela tão mais necessária diante de episódios como o protagonizado pelo Superior Tribunal de Justiça, uma das cortes judiciais mais importantes do país.
*Aline de Miranda Valverde Terra, doutora e mestre em Direito Civil pela UERJ. Professora do Departamento de Direito Civil da UERJ e da PUC-Rio. Professora Permanente dos Programas de Pós-graduação em Direito da UERJ (Mestrado e Doutorado) e da PUC-Rio (Mestrado Profissional). Sócia do escritório Aline de Miranda Valverde Terra Consultoria Jurídica
*Caitlin Mulholland, doutora e mestre em Direito Civil pela UERJ. Professora de Direito Civil do Departamento de Direito da PUC-Rio. Professora Permanente dos Programas de Pós-graduação em Teoria do Estado e Direito Constitucional (Mestrado e Doutorado) e do Mestrado Profissional em Direito Civil da PUC-Rio
[1] Disponível em https://www.lcia.org/Dispute_Resolution_Services/lcia-arbitration-rules-2020.aspx.
[2] "30.4 Any processing of personal data by the LCIA is subject to applicable data protection legislation, and the LCIA's data protection notice can be found on the LCIA website.
30.5 In accordance with its duties under Article 14.1, at an early stage of the arbitration the Arbitral Tribunal shall, in consultation with the parties and where appropriate the LCIA, consider whether it is appropriate to adopt:
(i) any specific information security measures to protect the physical and electronic information shared in the arbitration; and
(ii) any means to address the processing of personal data produced or exchanged in the arbitration in light of applicable data protection or equivalent legislation.
30.6 The LCIA and the Arbitral Tribunal may issue directions addressing information security or data protection, which shall be binding on the parties, and in the case of those issued by the LCIA, also on the members of the Arbitral Tribunal, subject to the mandatory provisions of any applicable law or rules of law."
[3] As sanções previstas na LGPD, por força da Lei 14.010/20, entram em vigor apenas a partir de 1º de agosto de 2021.
[4] Conforme o artigo 3, § 2º, LGPD: "Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei".
[5] De acordo com o artigo 3, § 1º, LGPD: "Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta".
