O objetivo dos profissionais que, voluntariamente, se dedicaram à criação do HEALTH LAKE e permanecem devotados à dinâmica de seu desenvolvimento é o de facilitar o acesso e exponencializar as pesquisas, não só sobre a COVID-19, mas no espectro mais alargado da saúde, por meio de dados públicos e privados, anonimizados desde a origem.
Impactos da Lei Geral de Proteção de Dados nas empresas que desenvolvem atividades no Brasil
Preâmbulo
O presente artigo foi elaborado à época da aprovação da Lei Geral de Proteção de Dados Pessoais (“LGPD”) – Lei 13.709/2018 – bem como da Medida Provisória 869/2018, que criou a Agência Nacional de Proteção de Dados (“ANPD”), cujos dispositivos abrangem todas as empresas que lidam com dados pessoais no País, independentemente da área de atuação.
Inicialmente, a LGPD entraria em vigor em agosto de 2020. Com algumas alterações introduzidas pela Lei 13.853, de 08 de julho de 2019 (Conversão da Medida Provisória 869/2018), acabou entrando em vigor em 18 de setembro de 2020, exceto em relação à aplicação de multas administrativas, uma vez que a ANPD ainda não se encontra em funcionamento. Esta, por sua vez, é essencial para regulamentar a LGPD, uma vez que terá finalidade normativa e fiscalizadora e no âmbito da finalidade normativa deverá elucidar pontos obscuros e controversos da Lei e consubstanciar uma jurisprudência relacionada a situações pontuais, que serão muitas. Nascerá, entretanto, com uma grave disfunção, que é a sua vinculação direta com a Presidência da República. Não terá a autonomia de uma agência. Na prática, porém, não sabemos como vai funcionar! Fora isso, as questões apontadas no artigo inicial, permanecem inalteradas.
Considerando a possibilidade de sujeição a processos administrativos sancionadores com multas milionárias, é fundamental estar em conformidade (compliance) com tal dispositivo legal também para não impedir clientes e potenciais clientes de contratar os serviços ou produtos da empresa, pois as obrigações envolvem um círculo que abrange contratantes e contratados dos mais diversos níveis e naturezas.
A partir da análise da Lei, faremos a recomendação das medidas que no nosso entendimento devem ser tomadas pelas empresas.
I – Análise Geral da LGPD
1.1 – Dado pessoal
Dado pessoal é “informação relacionada à pessoa natural identificada ou identificável” (Inciso I do Artigo 5 do Capítulo I do Decreto Lei nº 13.709 de 14 de agosto de 2018. Em outras palavras, esta definição vale para toda e qualquer informação que permita a identificação de uma pessoa física, o que inclui, nome, RG, CPF e endereço.
1.2 – Dado pessoal sensível
Dado pessoal sensível é aquele de natureza íntima ou privada, o que vai além do endereço ou CPF. A Lei enumera os seguintes: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
Dados sensíveis são objeto de proteção especial da Lei. Dados sobre a saúde, por exemplo, em relação a médicos, clínicas, laboratórios, hospitais e congêneres, além do sigilo profissional previsto na Constituição e na legislação penal – uma vez que a quebra injustificável do sigilo profissional constitui crime – e, independentemente de anuência da pessoa física a qual se referem, não poderão ser usados para obtenção de vantagem econômica.
1.3 – Dado pessoal de criança
Há proteção especial às crianças, ou seja, assim classificados os menores de 12 anos. Para além das demais garantias estabelecidas em caráter geral, há obrigações específicas. O consentimento expresso e inequívoco para utilização de dados de crianças terá de ser dado por pelo menos um dos pais ou responsáveis.
As informações sobre o tratamento dos dados deverão ser fornecidas de forma “simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou responsável legal e adequada ao entendimento da criança”(Parágrafo 6 do Artigo 14 da Seção 3 do Capítulo 2 do Decreto Lei Nº 13.709, de 14 de agosto de 2018).
Não será permitido condicionar o acesso a jogos, aplicações de internet (websites no geral) ou outras atividades ao fornecimento de informações pessoais além daquelas estritamente necessárias à atividade.
1.4 – Tratamento de dados
Nos termos da LGPD, tratamento de dados é basicamente toda e qualquer atividade envolvendo dados pessoais, sendo listadas especificamente as seguintes: “a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (Inciso X do Artigo 5 do Capítulo I do Decreto Lei Nº 13.709, de 14 de agosto de 2018).
Independentemente da área de atuação da empresa, a utilização de dados pessoais, a que título se der – incluindo a obtenção, uso e guarda dos dados dos empregados – obrigará a adequação à LGPD, o que significa que essa Lei alcança a totalidade das empresas com sede no País.
1.5 – Consentimento expresso
Dados pessoais somente poderão ser tratados (assim entendida toda e qualquer análise e manipulação) mediante consentimento expresso e inequívoco do titular (a pessoa de quem são coletados). Esse titular também precisará ser informado expressamente quanto à finalidade da coleta e do tratamento, sendo vedado o tratamento de dados pessoais por meio de vício de consentimento ou para finalidades distintas daquelas informadas.
Autorizações genéricas serão consideradas nulas e tal consentimento poderá ser revogado a qualquer momento.
1.6 – “Interesses legítimos” do controlador
A lei prevê a possibilidade do tratamento de dados sem o consentimento do titular quando necessário para “atender aos interesses legítimos do controlador (dos dados) ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.
A exceção acima é motivo de controvérsia entre os juristas, pois pode significar uma carta branca ao uso de dados coletados sem autorização de seu titular, o que contraria todos os princípios da LGPD, inclusive sua própria razão de ser, de modo que não se recomenda a interpretação ampla dessa exceção. A General Data Protection Regulation (“GDPR”) vigente na União Europeia desde 25 de maio de 2018, na qual a LGPD foi baseada, trata dessa exceção na “Consideranda” conferindo-lhe natureza restritiva.
Até que a ANPD elimine a ambiguidade semântica do artigo, conferindo segurança jurídica à sua aplicação ampla, a opção pela utilização dessa exceção – “legítimo interesse” – como alternativa para eliminar a necessidade de anuência prévia dos titulares dos dados – deve ser tomada após devida consideração. Tal consideração baseia-se em aprofundada análise dos processos, procedimentos e objetivos da coleta, tratamento e uso desses dados, tanto mais quando tal tratamento envolve interesse econômico, criação de um arcabouço de políticas internas, monitoramento e controles que possibilitem a apresentação de esclarecimentos satisfatórios a eventuais questionamentos da ANPD de forma a evitar pagamentos de multas e eventualmente pena de suspensão de atividade.
1.7 – Anonimização de dados pessoais
Dados anonimizados não são considerados dados pessoais uma vez que não permitem a identificação de seus titulares. Porém, apenas quando o processo de anonimização não puder ser revertido sem “esforços razoáveis”. A Lei também considera a anonimização como o emprego de “meios técnicos razoáveis e disponíveis no momento do tratamento” para impedir a identificação dos titulares dos dados. Será preciso, desse modo, empregar no processo de anonimização tecnologia que atenda esses pressupostos.
Na hipótese de vazamento de dados anônimos cuja anonimização seja revertida sem esforços razoáveis, o controlador dos dados estará sujeito às sanções da ANPD.
Em resumo, dados efetivamente anonimizados não são considerados dados pessoais e, portanto, seu tratamento não está sujeito à LGPD.
Nada obstante, por ocasião da coleta desses dados o objetivo de anonimização deve ser informado aos seus titulares (vide item 1.9).
Caberá a ANPD definir, por norma, o que são “esforços razoáveis” e “meios técnicos razoáveis”. (Para mais informações, ver o Capítulo II, Seção II, Art. 12º e o Capítulo I, Art. 5º, Inciso III, respectivamente, da LGPD, disponível aqui.)
1.8 – Agentes de tratamento de dados pessoais: controlador e operador
A Lei estabelece dois tipos de agentes de tratamento de dados, sendo eles o controlador e o operador.
Operador é aquele que realiza o tratamento em nome do controlador.
Controlador é aquele a quem compete tomar as decisões referentes ao tratamento dos dados.
Tais decisões englobam a finalidade da coleta, como é feita, de quem serão coletados os dados, quais dados serão coletados, com quem serão compartilhados os dados, por quanto tempo ficarão retidos etc.
1.9 – Direitos do titular dos dados
É ampla a gama de direitos estabelecidos pela LGPD. Além das garantias e fundamentos mais amplos, como a necessidade de consentimento expresso e a proteção especial de dados sensíveis, há os específicos.
O titular dos dados deverá ser informado sobre a finalidade do tratamento, a forma e duração do tratamento (observados os segredos comercial e industrial), a identificação e os dados de contato do “controlador”, entre outras.
Mediante requerimento do titular dos dados, o controlador deverá assegurar uma outra gama de direitos, tais como a confirmação da existência de tratamento e o acesso aos dados, a correção de dados incompletos ou desatualizados, a anonimização ou bloqueio de dados desnecessários, excessivos ou tratados em desconformidade com a lei, a portabilidade dos dados a outro fornecedor de serviço ou produto, a eliminação dos dados, a informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado dos dados, a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa e a revogação do consentimento.
1.10 – Transferência internacional de dados
Será permitida a transferência de dados a países e entidades que proporcionem grau de proteção a dados pessoais adequado ao que prevê a LGPD. Isso inclui, por exemplo, a União Europeia, que recentemente aprovou a GRPD (Lei Geral de Proteção de Dados – General Data Protection Regulation).
A transferência a países sem normas que exijam o mesmo grau de proteção poderá ocorrer em circunstâncias excepcionais. Por exemplo, quando o controlador oferecer e comprovar a existência de garantias de cumprimento das regras protetivas de direito da LGPD.
Também poderá ocorrer quando houver autorização da ANPD ou quando o titular houver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, com distinção clara das outras finalidades.
Caberá também à ANPD avaliar o nível de proteção de dados do país estrangeiro ou organismo internacional, o que significa que essa agência poderá vir a exigir um processo de autorização prévia para transferência de dados a outros países.
1.11 – Encarregado – Data Protection Officer (“DPO”)
O controlador dos dados pessoais deverá indicar um encarregado, cujas atribuições serão: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da Autoridade Nacional e adotar providências; orientar funcionários e contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e, executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Esse encarregado ou DPO, nos termos da Lei, pode ser uma pessoa física, jurídica, comitê, grupo de trabalho ou terceirizado.
A ANPD determinará quais empresas deverão ter um Encarregado/DPO, bem como em quais circunstâncias ele será necessário. De todo modo, aquelas que lidam com alto volume de dados, sobretudo quando tenham nisso sua atividade-fim, certamente estarão enquadradas.
Dadas as responsabilidades do DPO, recomenda-se que seja uma pessoa física vinculada ao controlador ou que esse serviço seja terceirizado. Também recomendamos a criação de um Comitê de Proteção de Dados a quem o DPO ou o terceirizado se reportará, uma vez que o Grupo de trabalho não é adequado.
1.12 – Autoridade Nacional de Proteção de Dados
A ANPD será o órgão responsável por fiscalizar o cumprimento da LGPD, orientando quanto ao seu cumprimento e também podendo aplicar sanções, como a imposição de multas, que podem alcançar cifras milionárias.
Caberá também à ANPD a vedação ou regulamentação do compartilhamento de dados pessoais sensíveis com objetivo de obter vantagem econômica.
É importante salientar que, para além das sanções que poderão ser aplicadas pela ANPD, o titular dos dados também terá direito de ajuizar contra o controlador ações de natureza civil indenizatória e criminais.
1.13 – Boas práticas
O controlador dos dados pessoais deverá adotar todas as medidas, inclusive técnicas, necessárias para garantir o cumprimento da LGPD. Ele também deverá implementar programa de governança em privacidade, adaptado à sua estrutura e escala, estabelecer políticas e salvaguardas, contar com planos de resposta a incidentes (constantemente atualizados), estabelecer e aplicar mecanismos de supervisão internos/externo, entre todos os outros procedimentos que garantam a adequação à Lei.
A estrutura de controle e monitoramento implementada, as políticas internas, os processos e procedimentos aplicados, o envolvimento da alta administração e o funcionamento regular do Comitê de Proteção de Dados terão impacto na avaliação da autoridade, na fiscalização, propositura de inquéritos administrativos e na aplicação de sanções, nomeadamente nos casos de vazamento, roubo ou de denúncias dos titulares.
1.14 – Sanções administrativas
Somente a partir do funcionamento da ANPD as sanções previstas na LGPD poderão ser aplicadas, caso essa autoridade entenda pela existência de ocorrência de descumprimento de suas disposições.
É necessário, entretanto, que um procedimento de fiscalização e um inquérito administrativo, que respeite o contraditório (ou seja, o direito de defesa dos regulados), seja instaurado para que a condenação possa ser proferida.
De toda forma, a decisão em âmbito administrativo sempre poderá ser questionada judicialmente. É possível que a judicialização seja obrigatória no caso de a ANPD atuar por interesse político.
II – Medidas e Providências Necessárias
Uma série de medidas preventivas e providências de conformidade deverão ser tomadas pelas empresas, sem prejuízo daquelas que a ANPD venha a determinar por normativo.
A seguir, assinalamos as medidas fundamentais.
2.1 – Atualização e adaptação tecnológicas
A LGPD estabelece que os agentes de tratamento precisarão adotar “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (Artigo 46 da Seção I do Capítulo VII do Decreto Lei Nº 13.709, de 14 de agosto de 2018).
E, para além da pormenorização de conceitos que se espera seja expedida por meio de norma da ANPD, alguns conceitos já surgem claramente na Lei e precisarão ser implantados como regra nos sistemas de quem trata dados pessoais.
Nesse sentido, a Lei estabelece que os sistemas devem observar e garantir a segurança de dados desde sua concepção (“privacy by design”), levando os que assim não foram concebidos a uma provável reformulação. Mais informações sobre “privacy by design” estão disponíveis aqui.
Considerando que os dados anonimizados não são considerados dados pessoais, o investimento em tecnologias de anonimização será fundamental para os agentes que pretendam desenquadrar o tratamento realizado dos dispositivos da LGPD.
Também será preciso desenvolver ou adotar uma tecnologia capaz de realizar a anonimização imediata de dados, o que pode ser requerido a todo momento, a depender do caso, pelo titular ou mesmo pela ANPD.
Nos casos em que a anonimização não puder ser realizada imediatamente, isso deverá ser justificado à Autoridade Nacional, o que vale para os demais direitos do titular que poderão ser exigidos mediante requerimento – entre eles a revogação do consentimento e também a exclusão dos dados tratados. Nesse sentido, não sabemos ainda com que grau de objetividade e/ou subjetividade a ANPD vai atuar, de forma que se deve evitar a apresentação de justificativas, que podem não ser aceitas.
Lembramos que só serão considerados dados efetivamente anonimizados aqueles cujo processo de anonimização não puder ser revertido sem “esforços razoáveis”. Será preciso, pois, utilizar uma tecnologia que atenda essa exigência. Não é demais prever que a ANPD estabeleça fiscalizações periódicas junto aos regulados.
Os titulares deverão ter a possibilidade de solicitar a exclusão de seus dados a todo momento e, além disso, também poderão ter acesso a eles, bem como todas as informações acerca de seu tratamento. Os sistemas, portanto, precisarão estar aptos a atender essas demandas, quando aplicáveis.
2.2 – Interesse legítimo
Para além da utilização de ferramental que possibilite a eficiente anonimização de dados, a empresa deve avaliar, com profundidade, a viabilidade de vincular a sua atividade a interesse legítimo, conforme citado no item 1.6.
Essa exceção – já objeto de controvérsia, conforme abordado acima – permite a coleta e tratamento de dados sem prévia anuência de seus titulares, mas se a conclusão técnico-legal permitir que se fundamente essa opção para a empresa, a ANPD deverá periodicamente, caso não elucide ou altere por normativo a abrangência dessa permissão, requerer que se comprove a manutenção dessa condição, para não destoar, por exemplo, da aplicação da lei europeia equivalente.
A partir da vigência da Lei, todos os agentes que tratam dados pessoais – o que remete a 100% das empresas nacionais – deverão promover mudanças profundas em seus sistemas – o que será (ou deveria ser) pormenorizado quando da publicação de norma pela ANPD.
2.3 – Revisões contratuais
Considerando a profundidade e a abrangência das mudanças geradas pela LGPD, basicamente todo e qualquer contrato, independentemente da natureza, precisará ser revisado.
Vale de exemplo aqueles firmados com prestador ou parceiro que também participe de alguma etapa ou processo do tratamento de dados ou a eles possam ter algum acesso, para que também se comprometa com a adequação à Lei e suas exigências – especialmente quanto à segurança da informação. Além disso, comprove de forma constante que está em conformidade com a LGPD.
De todo modo, faz-se necessária a revisão de todo e qualquer contrato firmado pela empresa, independentemente da área de atuação ou da parte envolvida, a fim de analisar o eventual cabimento da LGPD e, portanto, a necessidade de ser revisto ou atualizado em relação à Lei.
2.4 – Procedimentos internos / Empregados
Independentemente da nomeação ou contratação do Encarregado ou DPO, a empresa deve instituir políticas e procedimentos internos que envolvam dados pessoais de clientes, fornecedores e empregados.
Quanto aos empregados, há dois aspectos. O primeiro diz respeito à obrigação de todos eles quanto ao cumprimento dos dispositivos da LGPD, o que exigirá, além da instituição de políticas internas, também atualização ou aditamento dos contratos de trabalho.
O segundo aspecto diz respeito ao fato de que os dados pessoais dos que trabalham na empresa, empregados ou terceirizados, também estão abarcados pela LGPD. Assim, devem ser adotados mecanismos e procedimentos de adequação em todas as áreas que tiverem acesso a esses dados – ainda que alguns deles possam ser coletados sem anuência expressa, por conta do cumprimento de obrigação legal.
Mesmo os dados pessoais de candidatos a emprego também se enquadram nos dispositivos da LGPD. Desta feita, será necessário revisar e/ou modificar os procedimentos internos acerca disso. Especialmente, por exemplo, quanto a eventuais dados sensíveis por vezes inadvertidamente expostos num currículo, ou mesmo a eventual troca de currículos entre o RH da empresa e outros RHs, praxe que tende a acabar.
Desse modo, faz-se necessária uma ampla análise dos processos e procedimentos de cada departamento da empresa, para diagnóstico de seu envolvimento com tratamento de dados, de forma a redigir uma política e estabelecer procedimentos que os abranja na totalidade.
Além da implementação dessa governança específica, políticas, revisão de processos e procedimentos, nomeação ou contratação de DPO, criação do Comitê de Proteção de Dados (que recomendamos), também é necessário o treinamento de empregados e/ou terceirizados quanto às obrigações decorrentes da Lei e das boas práticas adotadas pela empresa.
Em tempo, é importante que a empresa documente todas as políticas encaminhadas aos empregados, comprovando que realizaram treinamento e estão cientes das consequências do seu descumprimento, o que pode resultar na demissão por justa causa, bem como dever de indenizar o empregador quanto aos danos causados a este e a terceiros.
2.5 – Encarregado / DPO
Além da simples nomeação, é preciso que a identidade e as informações de contato do Encarregado sejam divulgadas de forma pública, clara e objetiva, preferencialmente no website da empresa.
É importante frisar que a atuação do Encarregado deve ser independente. Não se trata, portanto, de um departamento ou pessoa cuja atuação esteja limitada pelos comandos da administração da empresa. Esse agente, tal como um auditor ou um compliance officer, poderá ser responsabilizado pelo incumprimento das obrigações estabelecidas na LGPD.
2.6 – Políticas de Privacidade
Em relação aos titulares/consumidores, será preciso instituir ou atualizar Políticas de Privacidade, bem como, quando for o caso, Termos de Uso.
Importante mencionar que tais documentos precisam informar quais dados são coletados, como são usados, como e com quem são compartilhados, como podem ser controlados, como o controlador pode ser contatado, tudo de maneira clara e objetiva.
A implantação de Política de Privacidade, que deve estar ao acesso do titular, é requisito fundamental para a conformidade com a LGPD.
Essa providência está diretamente relacionada a anonimização e a viabilidade de optar pela atuação com base no interesse legítimo.
2.7 – Dados Sensíveis
Operações que envolvam compra de medicamentos, atestados médicos, realização de exames, utilização de planos de saúde, entre outras, estão incluídas entre aquelas cujos dados pessoais restam especialmente protegidos e não podem ser objeto de ganho econômico.
Isso vale, como já explicitado, para as informações dos empregados e/ou terceirizados, uma vez que certa parte desses dados físicos (documentos) ou digitais são apresentados à empresa e ficam sob sua guarda, exigindo-se assim adoção de procedimentos ainda mais rígidos de segurança.
Nesse mesmo sentido, e considerando a inclusão de dado biométrico entre aqueles considerados sensíveis, também deverão ser reforçados os procedimentos de segurança que envolvam impressões digitais – como ocorre em algumas portarias e/ou entradas em determinados departamentos.
III – CONCLUSÃO
A Lei Geral de Proteção de Dados Pessoais é uma adequação da legislação vigente na União Europeia (“GDPR”), isso porque, tal como ocorre na nossa Lei, as empresas com sede ou filiais lá estabelecidas não podem compartilhar dados pessoais com países em que não exista dispositivo garantindo a privacidade dos cidadãos.
Toda e qualquer empresa que de alguma forma lide com dados pessoais – e praticamente todas o fazem – estão submetidas ao disposto na Lei, não apenas as que atuam online ou realizem serviços digitais de alguma forma.
Desse modo, todas as empresas estarão subordinadas ao que determinar a Autoridade Nacional de Proteção de Dados (“ANPD”), que tem, entre outras atribuições, a prerrogativa de aplicar sanções e multas, que, por sua vez, podem chegar a milhões de reais.
Quanto às sanções, a lei estabelece que deverão ser considerados, entre outros, os seguintes parâmetros e critérios: a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a reincidência, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas.
Note-se que boa parte do que pesará no cálculo da multa são medidas preventivas, tornando ainda mais fundamental a adoção de todas essas medidas.
Tais cuidados são necessários para que se possa demonstrar à ANPD, em caso de algum incidente, que todas as melhores práticas preventivas e de segurança foram adotadas, o que minimiza o peso de eventual sanção. Cumpre também mencionar o surgimento de legislações regionais sobre o tema, que basicamente reiteram os dispositivos federais, porém com alguns acréscimos administrativos. No Estado de São Paulo, por exemplo, há projeto de lei criando uma autoridade estadual, o PL nº 598/2018, com prerrogativa de multas para além daquelas da ANPD.
Em Vinhedo/SP, o projeto de Lei Complementar nº 12/2017, uma lei municipal, também trata de proteção de dados e cria o cargo de Ouvidor, que poderá auditar, com amplos poderes de investigação, o cumprimento da norma. Havendo algum descumprimento, encaminhará o caso para as autoridades competentes.
Confirmada a tendência de leis regionais, consequentemente instituindo órgãos fiscalizatórios e/ou com poder de aplicar sanções, resta ainda mais urgente e fundamental a tomada de medidas para atender os dispositivos da LGPD.
Outubro/2020
Para maiores informações: https://merciabruno.adv.br/
Autores: Ana Carolina, Jéssica Assunção e Rodrigo Araújo e Castro
