Nesta edição
Compartilhar:
Lei Geral de Proteção de Dados (LGPD)
Edição 6 - Dezembro de 2020
Em vigor desde 18/09/2020, a Lei nº 13.709/2018- Lei Geral de Proteção de Dados (LGPD) ainda traz diversas dúvidas seja aos cidadãos em geral, titulares dos dados pessoais, bem como às empresas, as quais realizam o tratamento destes dados.
Por outro lado, já notamos decisões judiciais impondo penalidades a empresas que infringiram preceitos da LGPD, inclusive, com vultosas multas.
Pensando nisso, elaboramos nosso 6º Boletim, abordando desde o contexto de surgimento da nova legislação, mas especialmente seus ASPECTOS PRÁTICOS, quanto aos direitos dos titulares e respondendo, dentre outras, as seguintes perguntas: como garantir a proteção de dados junto aos contratos?; como as empresas podem continuar utilizando dados nas ações de marketing e mídias sociais?; e as consultas aos órgão de proteção de crédito?
Trazemos, inclusive, um passo a passo sobre as ações que devem ser tomadas nas organizações para efetivamente estarem em conformidade com os preceitos da LGPD.
Esperamos que apreciem a leitura!
Apesar dos temas sobre proteção de dados e privacidade na internet terem se tornado populares nos últimos tempos, eles já são discutidos há décadas por todo o mundo. Após a era industrial, informações pessoais se tornaram um bem valioso, fazendo inclusive que o século XX fosse conhecido como a era da informação. Diante dessa importância, os debates em torno da segurança dessas informações tornam-se cada vez mais recorrentes.
Atualmente, com o uso cotidiano das redes sociais, o compartilhamento de dados gerados cresce de forma exponencial, trazendo atenção às consequências sobre o vazamento dessas informações íntimas do indivíduo, que muitas vezes, as disponibiliza de forma inconsciente na internet, com um simples clicar de botão em “aceitar os termos de uso”.
Entende-se que a parcela da informação pertencente ao indivíduo também é considerada privacidade, a qual segundo John Locke, é necessária para a própria liberdade. Diante disso, um ataque à privacidade é um ataque à liberdade e, por consequência, é um ataque à democracia.
Enaltecida a importância da privacidade no meio digital, cumpre demonstrar que com o passar do tempo foram sendo criadas diversas medidas objetivando assegurar a proteção de dados como um direito universal.
Em 1978, junto ao avanço da indústria e da computação nos países desenvolvidos, surgiu em Hessen, na Alemanha, a primeira lei oficialmente direcionada a regular a privacidade no país. Neste mesmo ano, outros países europeus, como França, Noruega, Suécia e Áustria, também criaram suas próprias leis regulando como poderia ser o uso e até onde seria possível explorar as informações de seus cidadãos.
Mais tarde, no Brasil, tivemos a Constituição Federal (CF) de 1988, a qual no art. 5º, referente aos direitos e deveres dos cidadãos, já tratava em seu inciso X, ainda que de forma geral, da privacidade dos brasileiros: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
Adentrando nos anos 90, o Brasil publicou o Código de Defesa do Consumidor, que auxiliou na defesa de informações, tendo inclusive uma seção específica sobre cadastros e banco de dados, merecendo destaque o conteúdo do art. 11º, capítulo 3: “Os dados pessoais do consumidor serão preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento”.
Ainda na década de 90, houve a Diretiva 95/46/CE da União Europeia (UE), que estabelecia regras a serem observadas por todos os países do bloco. É notável no texto que a noção de proteção de dados já estava bem mais desenvolvida se comparada a outros países e bem próxima da legislação atual, trazendo conceitos como: recolhimento de dados de acordo com uma finalidade específica, direito ao acesso dos dados por parte do consumidor e responsabilidade das empresas sobre a segurança das informações armazenadas.
Nos anos 2000, por conta das divergências sobre a dinâmica de coleta de dados, houve um acordo firmado entre os Estados Unidos da América (EUA) e a Europa, o Safe Harbor, a fim de facilitar a troca de informações e dados pessoais entre os dois entes e visando uniformizar as regras para com as coletas. Contudo, em 2015, o referido acordo foi revogado devido à suspeita de espionagem pela Agência de Segurança Nacional dos EUA. Logo, um ano depois, a Europa aprovou um novo programa, Privacy Shield, de transferência de dados internacionais com empresas norte-americanas, trazendo maior segurança aos membros da UE. Entretanto, em meados de julho de 2020, a Corte de Justiça da UE invalidou tal acordo, sendo que as transferências internacionais de dados entre os EUA e a Europa estão condicionadas, até hoje, à existência de contratos a serem firmados com padrões mínimos de segurança e proteção de dados.
Enquanto isso, no Brasil, somente em 2013 surgiu o Marco Civil da Internet, a primeira lei brasileira a regulamentar o uso da internet no país, inserindo-se conceitos como a liberdade de expressão, a neutralidade de rede e ainda, definindo-se quais são as obrigações dos órgãos públicos no provimento de internet. Já em 2018, diante de diversos casos de vazamento de dados e utilização ilegal de dados coletados, a UE optou por reformular suas regras de proteção de dados e com isso criou o Regulamento Geral sobre a Proteção de Dados, ou como é conhecido em inglês, General Data Protection Regulation (GDPR).
O GDPR passou a vigorar em 25 de maio de 2018, tornando-se a nova Política Europeia de Privacidade. As principais mudanças no Regulamento Geral sobre a Proteção de Dados foram: o direito ao esquecimento e a forma de divulgação de dados pessoais, buscando equilibrar as relações diante da atual realidade de negócios digitais e globalizados.
Inspirada no GDPR, no dia 18 de setembro de 2020, finalmente, entrou em vigor a Lei Geral de Proteção de Dados brasileira – Lei nº 13.709/2018 (LGPD). E, seguindo o caminho da diretiva europeia, a LGPD vale para todas as pessoas físicas e jurídicas que tratam dados pessoais no território nacional ou de cidadãos brasileiros, respeitando alguns critérios que veremos a seguir.
Ao longo do presente Boletim trataremos com maiores detalhes, mas já destacamos que a LGPD traz como principais pontos: as bases legais que possibilitam o tratamento de dados pessoais, os direitos dos titulares destes dados, inclusive o de acesso, edição e exclusão (com exceção em casos específicos), maior cuidado com dados pessoais sensíveis, portabilidade de dados e sanções administrativas em caso de infrações cometidas.
Como vimos, embora seja um tema que tenha ganhado maior repercussão recentemente, a proteção de dados é um assunto surpreendentemente antigo no cenário mundial. Destaca-se que embora o Brasil esteja alocado entre as cinco maiores economias mundiais, ainda figura na ínfima lista dos últimos países a criar regulamentação específica ao tratamento de dados.
Recorrentemente, o país é alvo de pressão mundial acerca da falta de regulamentação sobre o assunto, pressão que aumentou com o Regulamento Geral sobre a Proteção de Dados (GDPR), da União Europeia (UE), que passou a ser obrigatório em 2018.
Vale citar os escândalos de privacidade envolvendo o Facebook e a empresa Cambridge Analytica em 2016, em que houve a utilização de dados pessoais dos usuários para manipulação da campanha política na eleição de Donald Trump à Presidência dos EUA, bem como esquemas para votação do Brexit no Reino Unido, e acabaram por evidenciar ainda mais o assunto, o que requereu medidas significativas do legislativo brasileiro sobre o tratamento de dados.
Ocorre que, apesar de todos os indicativos apontarem para a necessidade de implementação de legislação sobre proteção aos dados pessoais, o Brasil ainda continua sendo um dos últimos países sem legislação plenamente implementada.
Sancionada em agosto de 2018, a Lei nº 13.709 foi desde então objeto de movimentos no sentido de se prorrogar sua entrada em vigor e até de adiamento da possibilidade de aplicação das penalidades previstas. Destaca-se que mesmo sendo considerado um tempo de vacância razoavelmente extenso, as empresas ainda não implantaram as políticas necessárias para adequação, conformidade e compliance com base na referida Lei.
Por outro lado, é inquietante também a morosidade na criação da Autoridade Nacional responsável pela regulamentação, fiscalização e eventual punição dos agentes de tratamento de dados pessoais, sendo certo que, inclusive, as sanções administrativas somente poderão ser aplicadas a partir do mês de agosto de 2021.
A situação se mostra preocupante, pois atualmente o Brasil não é considerado um país seguro para negócios internacionais diante da precariedade no tratamento de dados, enquanto países vizinhos, como é o caso do Uruguai e da Argentina, já se encontram devida e oportunamente alinhados e aprovados pela legislação europeia.
Diante desse cenário, é possível que negociações transnacionais sejam prejudicadas e até inviabilizadas em razão da ausência de segurança no tratamento de dados, pois outros países, a exemplo dos membros da UE (os quais já amparados pelo GDPR), vêm exigindo que certos requerimentos sejam satisfeitos antes que os dados pessoais de indivíduos da UE possam ser transferidos para fora da UE, inclusive incentivando as empresas pertencentes ao grupo a somente transacionarem dados com países que cumpram certos requisitos. Nesse contexto, infelizmente, o Brasil ainda não está na lista dos países confiáveis.
Outras leis brasileiras que tratam de privacidade e proteção de dados
É preciso destacar que desde os anos 90 a proteção de dados pessoais já era uma realidade no Brasil, e para compreender a evolução do direito trazemos as principais leis que dispõe sobre a segurança da informação como um fator preponderante para a proteção dos dados pessoais.
Lei nº 8.078/1990 – Código de Defesa do Consumidor (CDC) – estabelece normas de proteção e defesa do consumidor, dentre elas a regulamentação dos bancos de dados e cadastros dos consumidores.
Mesmo antes da LGPD, o consumidor já podia conhecer como são tratados seus dados pessoais pelo fornecedor. Isso porque a norma consumerista prevê que o consumidor terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre suas respectivas fontes, estabelecendo que as informações devem ser verdadeiras, claras e objetivas; no caso de abertura do cadastro ou registro deve ser comunicado por escrito ao consumidor quando não solicitada por ele; e, o consumidor poderá sempre que encontrar inexatidão exigir a correção do cadastro, devendo o “arquivista” comunicar aos destinatários das informações incorretas a sua correção em 5 dias (art. 43 do CDC).
Ocorre que, os dados dos consumidores sempre despertam interesse das empresas que a partir das informações pessoais analisam o perfil/característica e poder de compra de cada pessoa física. Atualmente, com uso da tecnologia somos atraídos pela praticidade do e-commerce e passamos a comprar mais pela internet, e com isso, é necessário inserirmos o nome, CPF, RG, endereço, e-mail e telefone para possibilitar o faturamento da compra e entrega do produto em domicílio, porém, não temos conhecimento de como tais dados são tratados pelos fornecedores.
Quando os dados pessoais e o cadastro relativos aos consumidores são inseridos em sistema, certo é que podem facilmente ser expostos em sites públicos, possibilitando, assim, a comercialização por terceiros que adquiram para fins de publicidade e captação de novos clientes.
Lei nº 12.527/2011 – Lei de Acesso à Informação – Dispõe sobre o procedimento para obtenção de informação pelo cidadão a ser observado no âmbito da União, Estado, Distrito Federal e dos Municípios.
Lei de Acesso à Informação – Lei nº 12.527 de 18/11/2011
Visa assegurar o direito constitucional de acesso à informação, promovendo transparência das informações em posse da administração pública.
Todos aqueles que realizam serviço ou ações de interesse público e recebam recursos públicos devem obediência aos dispositivos contidos na lei.
O Estado deve fornecer acesso à informação aos interessados, entretanto, deve preservar àquelas imprescindíveis para segurança da sociedade, relacionada à pessoa natural e de caráter sigiloso.
Lei nº 12.737/2012 – Lei de Crimes Cibernéticos (Lei Carolina Dieckmann) – Tipificação criminal de delitos informáticos (invasão de aparelhos eletrônicos).
Lei de Crime Cibernéticos – Lei nº 12.737 de 30 /11/2012
É conhecida popularmente como “Lei Carolina Dieckmann”, atriz que teve fotos pessoais divulgadas sem autorização, após invasão de seus aparelhos eletrônicos. Diante da enorme repercussão pública, a invasão de aparelhos eletrônicos com intenção de obter dados pessoais tornou-se crime no país, alterando-se, inclusive, o Código Penal.
A norma estabelece que invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vírus para obter vantagem ilícita, será punido com pena de 3 meses a 1 ano e multa.
A conduta se torna ainda mais grave quando a invasão resultar na obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido.
Lei nº 12.965/2014 – Marco Civil da Internet – Disciplina o uso de internet no Brasil e sigilo das comunicações e dados dos internautas.
Marco Civil da Internet – Lei nº 12.965 de 23/04/2014
Com objetivo de regulamentar o uso da internet no Brasil, o legislador estabeleceu princípios, direitos e deveres no ambiente digital que se baseiam nos seguintes pilares: neutralidade da rede; liberdade de expressão; privacidade dos usuários e reparação de danos gerados por terceiros.
Um dos pontos mais importante do Marco Civil é o estabelecimento da neutralidade da rede, proibindo-se a venda de planos com limite de consumo de acordo com o conteúdo, origem e destino. O objetivo é garantir a mesma qualidade de acesso à rede a todos os usuários.
A lei prevê a inviolabilidade das comunicações para preservar o direito da confidencialidade e determina que os provedores de internet não podem guardar os registros de acesso a aplicações de internet dos usuários.
O Marco Civil visa ainda assegurar o direito constitucional da liberdade de expressão, estabelecendo que os provedores são proibidos de inibir conteúdo como forma de censura, bem como não poderão ser responsabilizados civilmente por danos decorrentes do conteúdo gerado por terceiro. Entretanto, as empresas são obrigadas a tornar indisponível o conteúdo, no caso de ordem judicial, sob pena de responsabilização.
Outras terminologias, inclusive de cunho mais operacional e relacionados à segurança da informação podem ser facilmente encontradas através da Portaria nº 93, de 26 de setembro de 2019.
- Pessoa natural – Todo ser humano detentor de direitos civis, desde a concepção até a morte.
- Pessoa física – Toda pessoa natural, não se discutindo capacidade civil.
- Pessoa jurídica – Conjunto de pessoas ou de bens privados ou públicos, detentores de direitos e deveres civis por ficção legal.
- Dados pessoais – Qualquer informação já identificada ou identificável relacionada a uma pessoa natural, tais como: Nome, sobrenome, apelido, data de nascimento, números de documentos pessoais.
- Dados pessoais sensíveis – Os dados sensíveis são aqueles que nos remetem à origem racial ou étnica, convicção religiosa, opinião política ou filosófica, filiação a sindicato, dado genético, biométrico, referente à saúde ou à vida sexual, de uma pessoa natural (art. 5º, inciso II, da LGPD).
- Dados anonimizados – São aqueles processados para que não possam ser relacionados a qualquer pessoa, tornando esta não identificável. Portanto, desde que comprovada a anonimização segura, não há que se falar em dados pessoais.
- Dados pseudonimizados – São aqueles que após tratamento específico perdem a capacidade de se associar a uma pessoa física sem a utilização adicional de informações que são mantidas em lugar seguro. Estes dados são considerados pessoais, uma vez que geralmente são acessados através de alguma chave.
- Titulares dos dados - Toda pessoa natural, física, detentora de dados pessoais e/ou sensíveis.
- Tratamento de dados – Todo o processo, que envolve desde a recepção, acesso e qualquer tipo de manipulação de dados pessoais, seja ela manual, automatizada, física ou eletrônica.
- Agentes de tratamento – São os controladores e os operadores de dados.
- Controlador – Toda pessoa física ou jurídica, de direito público ou privado responsável pela recepção de dados pessoais, inclusive com a análise das bases legais e formas de tratamento, finalidades, bem como identificação de quem serão os operadores de tais dados, dentre outras atribuições e responsabilidades. Exemplos: instituição financeira, bancária, de crédito, ou qualquer empresa que empregue trabalhadores ou mantenha contratos de prestação de serviços com profissionais autônomos, dentre outras.
- Operador – É a pessoa física ou jurídica, de direito público ou privado que recebe a atribuição do controlador de ser responsável pela execução das atividades de tratamento dos dados pessoais, em conformidade com as diretrizes estabelecidas. Exemplo: analistas de créditos das instituições financeiras, bancárias, de crédito, escritórios jurídicos, de contabilidade, contratados para auxiliar em atividades relacionadas às atividades prestadas pelas empresas.
- Encarregado – Indicado pelo controlador, conhecido no mercado como Data Protection Officer (DPO), possui a responsabilidade de se comunicar com os titulares e operadores de dados, demais empregados e terceirizados do controlador, especialmente no que refere as medidas necessárias à proteção de dados pessoais, bem como com a Autoridade Nacional de Proteção de Dados (ANPD).
- Transferência internacional de dados – Todo o procedimento que envolver a transferência de dados pessoais do Brasil para qualquer outro país. Exemplo: Empresa multinacional com tratamento de dados pessoais no Brasil, cuja guarda se dê no exterior.
- Bases legais – São as 10 (dez) hipóteses trazidas pela legislação brasileira que possibilitam o tratamento dos dados de forma legítima pelos agentes de tratamento.
Salienta-se que a LGPD será aplicada a qualquer tipo de tratamento de dados pessoais efetivado tanto por pessoa natural quanto por pessoa jurídica de direito público ou privado, independentemente do tamanho ou do país da respectiva sede ou de onde os dados estejam armazenados, não importando ainda se o tratamento se dá por meio físico ou eletrônico, manual ou automaticamente, nas seguintes hipóteses:
Assim, a LGPD é aplicável ao tratamento de dados efetuado nos termos supracitados por produtores rurais, microempreendedores, pequenas, médias e grandes empresas, não havendo exceção, inclusive, às pessoas jurídicas de direito público.
Não se aplica a LGPD:
- Dados de pessoas jurídicas
- Dados coletados por pessoas naturais para fins unicamente particulares e sem interesse econômicos
- Dados pessoais obtidos para possibilitar trabalhos jornalísticos, acadêmicos e artísticos
- Dados utilizados para segurança pública e do Estado; defesa nacional ou atividades investigatórias e de repressão de infrações penais
- Dados coletados fora do Brasil e não comunicados, compartilhados com agentes de tratamento brasileiros ou objeto de transferência internacional com outro país, desde que este esteja adequado à LGPD
Dados trocados entre empresas que mantêm relações com outras empresas (B2B) não sofrerão aplicabilidade da LGPD. Os dados que poderão ser objeto da lei são os dados pessoais de possíveis representantes legais, empregados ou outras pessoas naturais envolvidas na negociação.
Trabalhos acadêmicos subsidiados por empresas de defensivo agrícola junto às instituições educacionais, por exemplo, não serão objeto da LGPD. O cuidado deverá ser mantido nos moldes do que os já habitualmente praticados, especialmente quanto à confidencialidade das informações e sob o enfoque de outras leis de proteção à privacidade e autoria.
O que é a Autoridade Nacional de Proteção de Dados (ANPD) e quais suas principais atribuições?
De acordo com conceito disposto no Art. 5º, XIX, da LGPD, a Autoridade Nacional é o órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional, seja para fins comerciais ou legais.
A criação da ANPD é um importante passo tanto para dar a segurança jurídica necessária aos entes públicos e privados que realizam operações de tratamento de dados pessoais, e que terão que se adequar ao previsto pela LGPD, como também para viabilizar transferências internacionais de dados que sigam parâmetros adequados de proteção à privacidade, o que pode abrir novos mercados para empresas brasileiras.
A ANPD será composta da seguinte forma:
- Conselho Diretor – composto por 5 diretores.
- Conselho Nacional de Privacidade de Dados Pessoais e da Privacidade – composto por 23 representantes.
- Ouvidoria
- Órgão de Assessoria Jurídica Própria
- Corregedoria
- Unidades administrativas e unidades especializadas – para aplicação da LGPD.
Dentre outras competências, caberá à ANPD:
- Regulamentar a Lei Geral de Proteção de Dados;
- Fiscalizar o cumprimento da legislação de proteção de dados pessoais, com vistas a proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural;
- Elaborar as diretrizes do Plano Nacional de Proteção de Dados com a finalidade de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural;
- Aplicar sanções administrativas, após os respectivos dispositivos entrarem em vigor em agosto de 2021 e a matéria ser regulamentada.
Vale destacar que em caso de descumprimento à legislação, será aberto um processo administrativo, ficando assegurado o direito de defesa e eventual recurso ao infringente da lei, para que o órgão possa seguir com o cumprimento das sanções cabíveis.
Ademais, a ANPD poderá impor padrões técnicos mínimos para o tratamento dos dados pessoais, estimulando a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis.
Dessa forma, podemos concluir que a atuação da ANPD como garantidora do pleno cumprimento da LGPD, é essencial para a efetiva aplicação das normas de privacidade e proteção de dados, uma vez que a LGPD fixa preceitos gerais, com princípios a serem seguidos, e ter um órgão que estabeleça bases e diretrizes gerais para o seu cumprimento, contribui para maior eficiência da sua implementação.
Neste sentido, recentemente, o presidente da república nomeou os 5 (cinco) membros que farão parte do Conselho Diretor da ANPD, quais sejam: Waldemar Gonçalves Ortunho Junior, até então presidente da Telebras, e coronel reformado do Exército, será o Presidente da ANPD com mandato de 6 (seis) anos, Arthur Sabbat, Joacil Rael (ambos com formação militar), Nairane Leitão e Miriam Wimmer, com mandatos de 5, 4, 3 e 2 anos, respectivamente.
- INFORMAÇÃO
Informação é a reunião ou o conjunto de dados e conhecimentos organizados, que constituem referências sobre um determinado acontecimento, fato ou fenômeno. A partir da informação é permitido resolvermos problemas e tomarmos decisões, tendo em conta que o seu uso racional é a base do conhecimento. No âmbito da LGPD, o portador da informação é quem estabelecerá o seu respectivo valor.
- SEGURANÇA DA INFORMAÇÃO
A segurança da informação está diretamente relacionada com a proteção de um conjunto de informações contra o uso ou acesso não autorizado à informação, no sentido de preservar o valor que possui para um indivíduo ou uma organização. Vejamos abaixo os três pilares básicos da segurança da informação:
CONFIDENCIALIDADE
Relacionada à privacidade dos dados da organização. O objetivo é restringir o acesso às informações. Isso evita que ações maliciosas, como espionagem, exponham qualquer conteúdo confidencial.
Para que ela seja reforçada, é possível adotar medidas
preventivas, como restringir o acesso às informações somente a pessoas autorizadas, e, manter termos de confidencialidade com as pessoas que acessam as informações.
INTEGRIDADE
Associada à preservação da precisão e confiabilidade dos dados. O objetivo da segurança da informação, nesse caso, é garantir que as informações se mantenham livres de qualquer alteração, conforme foram criadas.
Dentre as práticas capazes de garantir a integridade, temos: estipular controles de acesso para colaboradores, definir permissões de arquivos e usar sistemas de verificação para detectar alterações nos dados. Além de garantir que os sistemas operem corretamente, essas ações evitam falhas na execução das atividades.
DISPONIBILIDADE
Tem como objetivo garantir que a informação permaneça sempre
acessíveis para o uso legítimo, ou seja, por aqueles usuários autorizados pelo titular da informação.
.
.
.
.
.
.
.
MEIOS DE PROTEÇÃO À SEGURANÇA DA INFORMAÇÃO
Medidas preventivas
Destinadas a prevenir incidentes de segurança, evitando a publicação da informação para pessoas não autorizadas ou até eventuais invasões.
Medidas detectivas
Visam detectar incidentes de segurança, para que a medida seja sanada de forma rápida, evitando riscos às partes.
Medidas corretivas
Com o objetivo de recuperar os dados causados por incidentes de segurança.
Medidas repressivas
Com o objetivo de interromper as consequências de incidentes de segurança.
Apesar dos meios de proteção à informação, ainda há ameaças à segurança, que estão relacionadas diretamente à perda de uma de suas três principais características. Abaixo listamos alguns exemplos:
- Perda de confidencialidade: há uma quebra de sigilo de uma determinada informação, como a senha de um usuário ou administrador de sistema, permitindo que sejam expostas informações restritas, as quais seriam acessíveis apenas por um determinado grupo de usuários;
Perda de integridade: determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação; - Perda de disponibilidade: a informação deixa de estar acessível por quem necessita dela. Como no caso da perda de comunicação com um sistema importante para determinada empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.
Além de todo o exposto, sobre as ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, terceiros que buscam por meios alternativos invadir de forma indevida os sistemas ou maquinismos, com objetivo de subtraírem as informações confidenciais.
Dessa forma, entendemos que a LGPD vem para regulamentar toda a necessidade de adequação, conformidade e compliance com as boas práticas de proteção de dados com o objetivo de minimizar os riscos à segurança da informação, buscando meios para que os usuários em geral se sintam seguros em utilizar o máximo da informação e também da tecnologia, inclusive conjuntamente, de forma que sua privacidade seja e esteja preservada, e caso ocorra qualquer intervenção indevida, ainda que de forma reversível, caberá a aplicação de sanções.
Primeiramente, é importante esclarecer quais são as bases legais que legitimam o tratamento de dados pelos controladores e operadores, trazendo pontos importantes sobre os conceitos, e, mais ainda, exemplificando-as, especialmente diante dos principais players de mercado atendidos pelo Arone Coutinho Advocacia.
Em conformidade com o art. 7º da LGPD, os agentes de tratamento estão legitimados a tratar os dados sob as seguintes hipóteses:
- Para o cumprimento de obrigação legal ou regulatória pelo controlador
Esta hipótese é a que se refere ao cumprimento de algo contido na legislação ou através de regulamentos expedidos pelo Governo ou órgãos estatais. Quando se tem a legitimidade do tratamento de dados pessoais por esta base, não há necessidade de se obter o consentimento do titular.
A título de exemplo, vale destacar que os empregadores coletam e tratam dados dos seus empregados para o cumprimento de uma obrigação legal, quer seja: registrar contratos e adendos nos termos da legislação aplicável, bem como fornecer alguns dados para o Governo através de inserção ou repasse de informações no E-social, Receita Federal ou para subsidiar FGTS, INSS, PIS, salário-família.
Com fundamento nesta base legal, um empregador poderá, inclusive, manter dados em sua guarda por determinado período, respeitando os preceitos legais, mesmo após a rescisão do contrato de trabalho com eventual trabalhador, conforme tabela abaixo.
Documentos trabalhistas | Prazo de guarda | Fundamentos jurídicos |
|---|---|---|
Contrato de Trabalho; Livro ou Ficha de Registro de Empregados; Livros de Inspeção do Trabalho, Livros de Atas da CIPAS; RAIS. | Indeterminado | Vínculo empregatício não prescreve por se tratar de ação declaratória. |
Acordos de compensação e prorrogação, registros de frequência, autorização para descontos, recibo de aviso e abono de férias, holerites, comprovantes de pagamento de
salário, férias, 13º, outras gratificações e bonificações, vale transporte, atestados médicos, dentre outros. | Durante todo o contrato de trabalho até o prazo de 5 (cinco) anos, e posteriormente por mais 2 (dois) anos após a rescisão do contrato de trabalho. | Prescrição quinquenal e prescrição bienal, previstas na CF, art. 7º, inciso XXIV e art. 11 CLT. |
Comunicação e recibo de aviso prévio, pedido demissional, termo de rescisão do contrato de trabalho. | 2 anos após a rescisão do contrato de trabalho. | Prescrição bienal prevista na CF, art. 7º, inciso XXIV e art. 11 CLT. |
CAGED – Cadastro Geral de Empregados e Desempregados | 3 anos a contar da emissão e remessa. | Portaria do extinto Ministério do Trabalho e Emprego nº 235/03 |
Comprovante de pagamento de benefícios relacionados ao INSS; Contribuição sindical, quando contribuída, descontada e recolhida; Documentos relacionados à eleição da
CIPA. | 05 anos. | Súmula Vinculante nº 08 do Supremo Tribunal Federal; Arts. 578 e 579 da CLT; Norma Regulamentadora 5, 5.40, letra j, Portaria MTB nº 3.214/78. |
Comprovante de Cadastramento nos Programas PIS/PASEP; folhas de pagamento; Recibo e Ficha de Salário-Família; Atestados médicos oriundos de afastamento por incapacidade e/ou salário-maternidade; GPS; Salário-educação. | 10 anos. | |
Documentos relacionados ao prontuário médico (exame médico admissional, periódicos, demissional, complementares, de retorno após afastamento pelo INSS, de alteração no cargo/função, avaliações clínicas, dentre outros); LTCAT, PPP, PCMSO e PPRA. | 10 anos. | Norma Regulamentadora 7, 7.4.1, 7.4.2, 7.4.5 e 7.4.5.1. Instrução Normativa do INSS 99/2003 e Portarias SST 24/94, MTE 25/94. |
Documentos relativos ao FGTS, GFIP e GRFP. | 30 anos. | Lei nº 8.036/90 – Art. 23, § 5º – Súmula 362, do TST. |
Além dos documentos trabalhistas e previdenciários supracitados, outros também possuem periodicidade de guarda prevista em lei, justificando-se assim a manutenção em arquivo de certos dados com base em obrigação legal.
- Para a execução de contratos ou de procedimentos preliminares relacionados ao contrato do qual seja parte o titular, a pedido do detentor dos dados
Permite-se a coleta/recepção, guarda e todas as possibilidades de tratamento de dados para que seja possível a execução de contratos, incluindo os procedimentos anteriores à efetiva formalização contratual.
Na seara trabalhista, portanto, o empregador pode coletar os dados necessários para o início do processo seletivo e, após a aprovação, para a formalização do contrato de trabalho e concessão de alguns benefícios, como por exemplo, plano de saúde, odontológico, farmácia, bem como vale-refeição e/ou alimentação, dentre outros. O que se deve observar é a coleta e tratamento de dados pessoais exclusivamente necessários para a finalidade a qual se pretende, não entrando nesta base legal, dados que, porventura, não sejam imprescindíveis para a execução do efetivo contrato.
A mesma lógica vale, por exemplo, às empresas da cadeia do agronegócio que coletam e tratam dados de produtores rurais para a formalização de contratos de financiamento, emissão de títulos de créditos, e outros contratos afins. Aqueles dados coletados em fase prévia, de análise de cadastro também são suportados por esta base legal.
- Para a realização de estudos por órgão de pesquisa, com a sugestão de anonimização de dados
Também existe fundamento legal para o tratamento de dados pessoais a ser executado pela administração pública ou pessoa jurídica sem fins lucrativos, quando da realização de pesquisas científicas, tecnológicas, estatísticas, históricas, dentre outras. Sugere-se que os dados sejam anonimizados, eis que se assim for feito não há que se falar na aplicabilidade da LGPD.
Empresas de defensivos agrícolas que, por acaso, se utilizarem de dados pessoais para a realização de estudos científicos através de universidades públicas subsidiadas para tal, terão fundamento legal para o respectivo tratamento, devendo se atentar às normas previstas na LGPD e, de preferência realizar contratos com as subsidiadas que garantam a anonimização de dados.
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente
Esta base legal é uma das inovações do texto brasileiro, uma vez que não encontra correspondência com a legislação europeia, e, sem dúvida alguma, causa muita controvérsia, tendo, inclusive, algumas decisões recentes vetando a venda indiscriminada de informações creditícias pelo órgão Serasa Experian, como citado anteriormente neste Boletim.
Entretanto, apesar dos altos debates ainda existentes sobre o tema, tem-se que a proteção ao crédito serve como base para o acesso e tratamento de dados pessoais que ajudem a identificar o comportamento do respectivo titular frente ao mercado de crédito, isto é, que auxiliem na análise do score para eventuais financiamentos, empréstimos, utilização de meios de pagamentos futuros para efetivação de vendas.
Empresas da cadeia do agronegócio que financiam altos valores aos produtores rurais através de concessão de créditos para capital de giro, investimento, comercialização e, em operações barter, por exemplo, podem acessar os dados pessoais relacionados ao perfil creditício do titular, justamente com o objetivo de entender o comportamento pretérito no mercado, sem que haja maiores problemas com as sanções previstas na LGPD.
Uma ressalva deve ser feita às empresas que utilizam informações creditícias em processos seletivos ou até mesmo para análise comportamental dos trabalhadores já componentes do quadro de empregados, uma vez que esta base legal não serve de sustentação para esta prática, já que em uma eventual relação de emprego o empregado não visa tomar empréstimo da respectiva empregadora. Àquelas pessoas jurídicas que trabalhem efetivamente com concessão de empréstimos, financiamentos e, que, portanto, teriam interesse na análise prévia destes dados dos respectivos candidatos às vagas devem se apoiar em outras bases legais para tal, como execução regular do contrato de trabalho ou até mesmo consentimento do titular.
Há de se ponderar que esta base legal está interligada com outras legislações brasileiras que tratam do tema proteção de dados, como é o caso da Lei nº 12.414/2011 – Lei do Cadastro Positivo, que dentre outras situações, acaba por possibilitar e regulamentar a existência de banco nacional de dados com a relação das pessoas físicas e jurídicas que estão com o nome limpo no mercado, ou até mesmo da Resolução nº 4.658/2018 que auxilia as instituições financeiras, de créditos com autorização de funcionamento pelo Banco Central com a regulamentação acerca de segurança cibernética, inclusive no que se refere à forma como se processar e armazenar os respectivos dados, que por vezes, podem ser sensíveis e alvo preferido de ações de hackers.
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral
Quando as pessoas naturais e/ou jurídicas estiverem envolvidas em processos judiciais, administrativos e arbitrais, a legislação também traz a permissão para o tratamento de dados pessoais sem a necessidade de consentimento dos respectivos titulares e, desde que haja a comprovação de que são necessários para o exercício dos princípios constitucionais do contraditório, ampla defesa e duplo grau de jurisdição.
Assim, em eventual reclamação trabalhista ou outra ação recebida por determinada empresa, esta tem legitimidade para acessar e tratar os dados pessoais do titular, polo ativo da demanda, com o objetivo de exercitar seu direito de defesa.
- Mediante consentimento do titular
Esta base legal se constitui na autorização expressa do titular, isto é, por escrito e com claras delimitações para a utilização de seus dados pessoais, inclusive quanto à finalidade para qual estes foram coletados e serão tratados.
Observa-se, portanto, que é uma base legal de fácil obtenção por parte do controlador, entretanto, pode não ser muito útil ao longo do tempo, especialmente porque o titular pode retirar o consentimento a qualquer momento.
Reforça-se ainda o fato de que o consentimento dado pelo titular está ligado à finalidade concedida, levando ao entendimento, dessa forma, de que se o controlador decidir pelo compartilhamento desses dados pessoais com outrem deverá obter o consentimento expresso do titular de dados, para que esta ação seja regular.
Conforme se vê das demais bases permitidas pela lei, recomenda-se que o consentimento do titular somente seja utilizado para legitimar o tratamento dos dados em última hipótese, ou seja, se este não se justificar em nenhuma outra base legal existente.
Por exemplo, se a empresa necessita dos dados pessoais do empregado para registrá-lo, preparar o contrato de trabalho, acordo de compensação e prorrogação de jornada, há a base legal da execução de um contrato. Se após a rescisão do contrato, a lei exige a guarda destes documentos por um período específico, há a base de cumprimento de obrigação legal que legitima a posse, guarda e o tratamento dos dados, não havendo, portanto, a necessidade de consentimento.
Um exemplo a ser utilizado o consentimento é quando o empregador decide promover uma campanha publicitária, de marketing dentro da empresa e, para tanto, gostaria de se utilizar da imagem de um ou mais dos seus empregados, oportunidade em que deverá preparar um termo de consentimento dos titulares, esmiuçando a finalidade da campanha.
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto nos caso de prevalecer os direitos e as liberdades fundamentais do titular que exijam a proteção dos dados pessoais
Certamente, o legítimo interesse do controlador ou de terceiros, se constitui na mais nebulosa das bases legais e, portanto, deve ser utilizada apenas quando estritamente necessária.
Os estudiosos da temática vem travando intensos debates sobre o conceito do legítimo interesse e qual teria sido o real intuito do legislador ao inserir esta base. Entretanto, o que se sabe é que, para a sua correta e regular utilização, é interessante que haja a observância do quanto contido em outros artigos da LGPD, mais especialmente os arts. 10 e 37.
O legítimo interesse do controlador se fundamenta quando o tratamento de dados for exclusivo para a respectiva finalidade, e ainda se referir a apoio e promoção de suas respectivas atividades e trouxer algum tipo de proteção aos dados do titular ou benefícios no que se refere à relação de prestação de serviços entre as partes, ou outras situações similares, com ressalvas acerca de direitos e liberdades fundamentais do titular.
A fim de exemplificar, podemos trazer uma possibilidade de utilização do legítimo interesse quando uma empresa envia um e-mail ao seu cliente com claros e manifestados benefícios na prestação de serviços, ou quando uma empresa relacionada a vendas digitais (e-commerce) estabelece mecanismos de prevenção à fraude.
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Esta base legítima a utilização de dados pessoais relacionados aos procedimentos médicos realizados pelos profissionais da saúde, tais como: médicos, psicólogos, fisioterapeutas, dentre outros. Reforça-se que os dados coletados e tratados devem ser restritos à finalidade do procedimento médico a ser realizado.
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro
Mais uma hipótese legal que confere legitimidade àqueles que tratam dados de pessoas naturais e que estejam diretamente interligados com a proteção à vida ou incolumidade física destas.
Se uma pessoa é vítima de um acidente rodoviário e é encaminhada ao hospital mais próximo do local do acidente, o hospital e/ou profissional de saúde atendente possui o direito de acessar o histórico de dados do paciente, sem que haja consentimento, justamente para garantir a proteção à vida ou a sua própria incolumidade física.
- Pela administração pública para o tratamento de dados necessários à execução de políticas públicas previstas em lei, regulamentos, com respaldo em contratos, instrumentos similares, dentre outros
Base legal criada para dar legitimidade às políticas públicas criadas e mantidas pelo poder público, como por exemplo, as ações tomadas pelos órgãos governamentais para o combate à disseminação do novo coronavírus.
Considerações sobre as limitações de propósitos no tratamento de dados pessoais, inclusive os considerados como sensíveis:
- O fato de haver uma base legal que legitima o tratamento de dados pessoais, inclusive sem consentimento dos titulares, não desobriga os agentes de tratamento ao fiel cumprimento e respeito aos princípios e outras normas existentes na LGPD, em especial à observância da boa-fé, proporcionalidade, transparência; respeito à finalidade, propósitos, limites no tratamento de dados, garantindo aos titulares todo e qualquer tipo de prestação de contas, se necessário, bem como garantia de utilização de meios e técnicas de guarda que assegurem a consulta e inviolabilidade dos dados.
- No tratamento de dados pessoais cujo acesso é público ou ainda que foram tornados manifestamente públicos pelos respectivos titulares, não há necessidade de obter o consentimento, devendo os controladores e operadores respeitarem os princípios que norteiam a proteção de dados.
- Os dados pessoais sensíveis, relacionados à saúde do titular, não podem ser compartilhados com outros controladores, ainda que de forma consentida, salvo se o compartilhamento se relacionar com a assistência e a prestação de serviços à saúde ou assistência farmacêutica.
- Por se tratarem de dados extremamente vinculados à personalidade de um indivíduo, os dados pessoais sensíveis, recebem da legislação uma proteção ainda maior do que os demais dados pessoais, justamente por terem poder de causar efeito discriminatório, além de implicarem em altos riscos de violação aos direitos e às liberdades constitucionalmente previstas e, portanto, os agentes de tratamento devem vê-los com ainda mais cuidado, e somente tratá-los quando houver efetiva necessidade, e dentro da diferenciação trazida pela legislação. Assim, o Arone Coutinho traz algumas ponderações imprescindíveis para o tratamento de dados pessoais sensíveis, além dos cuidados já mencionados para o manuseio de dados comuns:
Utilizá-los e tratá-los sob o consentimento expresso do titular, inclusive quanto à finalidade, propósitos específicos e dispostos de forma transparente e, sem o consentimento tratá-los sob as seguintes premissas:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Realização de estudos por órgãos de pesquisa, garantida a anonimização dos respectivos dados;
- Exercício de direitos, inclusive em execução de contrato ou em processos judiciais, administrativos e arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Garantia de prevenção à fraude e segurança de cadastro em sistemas eletrônicos;
- Tratamento pela Administração Pública para a implementação de políticas públicas previstas em lei e regulamentadas.
Além do enquadramento nas bases legais, os agentes de tratamento ao tratar os dados devem observar os princípios elencados no art. 6º da LGPD; os direitos dos titulares dos dados pessoais, previsto no art. 17 e seguintes; e a adoção de medidas de governança e boas práticas, previstas nos arts. 46 ao 50.
Os princípios que os agentes de tratamento devem observar, são:
- Finalidade e Necessidade - O tratamento de dados pessoais deverá ser realizado com propósitos legítimos e explícitos, nunca de forma incompatível com a finalidade principal, devendo utilizar apenas os dados indispensáveis para atingir tal objetivo.
- Adequação - Deve ser compatível com todas as finalidades informadas ao titular dos dados e estar em acordo com o contexto do tratamento.
- Livre acesso - Deve-se garantir ao titular o livre acesso aos dados, a consulta facilitada e gratuita sobre a forma, duração do tratamento e a integralidade de seus dados pessoais.
- Qualidade de dados, segurança, transparência - Deve-se assegurar aos titulares, exatidão, clareza, relevância, atualização e que estejam de acordo com a necessidade e cumprimento da finalidade de seu tratamento e garantir proteção dos dados pessoais de acessos não autorizados, acidentes, situações de perda, alteração, difusão ou comunicação. Além de garantir aos titulares informações claras, precisas e também facilidade de acesso sobre a realização de tratamento.
- Prevenção, não discriminação e responsabilização - Adoção de procedimentos e controles para prevenir a ocorrência de danos em face do tratamento de dados pessoais, e que o tratamento realizado jamais seja executado para fins discriminatórios, abusivos ou ilícitos.
- Prestação de contas - Deve-se comprovar a adoção de medidas eficazes e que atestem o atendimento às normas de proteção de dados pessoais. No caso de incidentes que envolvam o tratamento de dados pessoais que possam trazer riscos ou danos aos seus titulares, os incidentes deverão ser reportados à ANPD. A comunicação deverá informar os dados pessoais que foram afetados e informações completas sobre os titulares, além de descrever os riscos ou possíveis danos relacionados, apontando-se ainda quais medidas serão adotadas para mitigar os efeitos do prejuízo causado.
Confirmação da existência do tratamento e acesso aos dados pessoais tratados
Correção de dados pessoais incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
Portabilidade dos dados a outro fornecedor de serviço ou produto
Eliminação dos dados pessoais tratados com o consentimento anterior do titular
Compartilhamento, direito de receber informações das entidades públicas e privadas com as quais os dados pessoais foram compartilhados
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
Direito de se opor ao tratamento de seus dados pessoais quando realizado em descumprimento com o que determina à LGPD
Revogação do consentimento
Vimos que o controlador é a pessoa física ou jurídica que se beneficia do tratamento dos dados, sendo responsável por todo seu processamento. Assim, suas principais atribuições e responsabilidades são:
- Obtenção de consentimento do titular para a coleta e/ou compartilhamento de dados com eventuais outros controladores;
- Notificação ao titular em casos de qualquer alteração (de finalidade, forma e duração do tratamento, informações de contato do controlador bem como sobre acerca do uso compartilhado de dados pelo controlador);
- Comunicação à ANPD e ao titular em caso de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
- Indicação de profissional encarregado pelo tratamento de dados pessoais tratados pelo controlador;
- Elaboração de relatório referente às suas operações de tratamento de dados pessoais;
- Reparação de danos patrimoniais, morais, individuais ou coletivos eventualmente causados por violação à legislação de proteção de dados;
- Garantia de transparência no tratamento de dados pessoais;
- Fiscalização do operador acerca do seguimento das instruções passadas;
- Proteção dos direitos dos titulares por meio de adoção de providências, como a divulgação do fato em meios de comunicação e aplicação de medidas cabíveis para reversão ou mitigação dos efeitos em caso de incidente;
- Observação e aplicação das boas práticas e padrões de governança previstos na legislação de proteção de dados.
Já, o operador é a pessoa física ou jurídica que realiza a operação/tratamento dos dados em nome do controlador, seguindo as instruções passadas pelo controlador e estando condicionado a segui-las estritamente. Suas principais atribuições e responsabilidades são:
- Escolha de sistema, método ou ferramentas utilizados para o tratamento, armazenamento, transferência, etc., de forma a garantir a segurança dos dados;
- Realização do tratamento de dados pessoais segundo as instruções passadas pelo controlador;
- Registro de todas as operações de tratamento de dados que realizar;
- Proteção dos dados evitando acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação;
- Observação e aplicação das boas práticas e padrões de governança previstos na legislação de proteção de dados.
Por fim, o encarregado, também conhecido como DPO, é o profissional indicado pelo controlador para atuação com canal de comunicação entre o próprio controlador, os titulares dos dados e a ANPD. Suas principais atribuições e responsabilidades são:
- Recebimento de reclamações e comunicações dos titulares, prestação de esclarecimentos e adoção de providências;
- Recebimento de comunicações da ANPD e adoção de providências;
- Orientação dos funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Execução das demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Como já trouxemos no correr deste Boletim, os dados pessoais são essenciais na sociedade atual e até já são considerados como o novo petróleo de ordem mundial. No entanto, a LGPD não trouxe, claramente, definições sobre quebras e incidentes de segurança no tratamento desses dados. Entretanto, o GDPR, norma da União Europeia (UE) que regula a proteção de dados e que serviu de base para a elaboração da LGPD, define em seu art. 4º, inciso 12, o seguinte:
12) “Violação de dados pessoais, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;”
Pressupõe-se, a partir da definição de violação de dados pessoais conferida pela GDPR, que o incidente trará consequências ao controlador, se efetivamente ocorrer de dados pessoais por ele tratados, caírem nas mãos de terceiros não autorizados para tal, uma vez que estes poderão se utilizar destes dados até mesmo para colocar a vida, a integridade física ou moral de pessoas em risco, dependendo de quem tiver acesso aos dados ou da importância da informação que tenha sido violada.
Interessante esclarecer ainda, que a proteção não se dá apenas àquelas violações ocorridas no espaço cibernético, como é o caso de invasão sistêmica por hackers ou codificação de proteção incorreta, dentre outras ausências de medidas de segurança insuficientes. A violação de dados pessoais pode ocorrer de forma material, verbal, sendo que a LGPD protege todo e qualquer tipo de violação, inclusive as derivadas de perda de um prontuário físico de um paciente ou de uma agenda física contendo dados pessoais de uma gama de clientes.
A título de exemplo, podemos mencionar que a perda de um notebook sem senha forte de acesso, e que contenha uma base de dados pessoais, é um incidente de segurança que viola severamente os princípios que norteiam a segurança da informação e, portanto, a proteção de dados. Um vazamento de informações sigilosas através da indiscrição ou da má intenção de um empregado configura claramente uma violação de dados verbais.
Visando mitigar os riscos que esses tipos de incidentes possam trazer, é necessário que os controladores de dados criem estruturas de gerenciamento de riscos, para entender quais são as ameaças, os riscos efetivos e quais medidas de segurança precisam ser implementadas para minimizar ocorrências e dados efetivos.
Quais são os ativos da minha empresa? E os valores de cada um deles?
Quais seriam os prejuízos financeiros, organizacionais, reputacionais
que teríamos em caso de ocorrência de incidentes?
São exemplos de perguntas fundamentais ao estabelecimento de quais as medidas protetivas cada um deverá implementar em sua empresa, inclusive levando-se em conta a relação custo-benefício e, portanto, necessidade ou não de implementação.
Medidas Preventivas – Previnem a ocorrência do incidente.
Medidas Detectivas – Aferição da ocorrência ou não de um incidente ou dano efetivo.
Medidas Repressivas – Repressão dos efeitos do incidente ou dano.
Medidas Corretivas – Reparação do dano.
Com o objetivo de se estabelecer segurança e boas práticas, é interessante que todas as pessoas físicas e/ou jurídicas, desde os produtores rurais, microempreendedores individuais, microempresas até as empresas de maior porte, adotem medidas de segurança, técnicas e administrativas, que visem proteger os dados pessoais tratados, independentemente da base legal utilizada, durante todo o respectivo ciclo de vida, isto é, desde o momento da coleta dos dados até a eliminação total pelo Controlador.
Tomando por base outros conceitos já abordados ao longo do presente Boletim, é recomendável que os controladores de dados pessoais criem medidas de segurança que garantam a confidencialidade, integridade e disponibilidade dos dados pessoais.
MEDIDAS DE SEGURANÇA NA PRÁTICA:
Garantia da confidencialidade:
- treinamento dos empregados acerca das suas funções e limites de acesso;
- segregação de atividades entre os colaboradores;
- criação de senhas que dão acesso ao notebook e à rede;
- criação de áreas com acessos restritos.
Garantia da integridade:
- criação de usuários específicos a cada um dos empregados;
- registro dos acessos feitos ao sistema, e rastreabilidade das alterações nos dados;
- criação de alçadas e permissão somente a pessoas determinadas para a alteração de dados.
Garantia da disponibilidade:
- medidas que garantam a operabilidade do sistema de forma contínua;
- sistema robusto o suficiente para que todos trabalhem ao mesmo tempo, sem interrupções por sobrecarga;
- rotinas de backup de segurança e armazenamento de dados.
Para que isto seja possível, é recomendável a formação de uma equipe de segurança da informação, proteção e privacidade de dados, ainda que terceirizada, que seja composta por profissionais de tecnologia e segurança da informação, advogados, dentre outros, para que haja um trabalho conjunto entre os mais variados departamentos de uma empresa, até mesmo, caso a empresa seja pequena, todos os colaboradores devem estar treinados e cientes de todas as medidas de segurança a serem cumpridas.
Diante da possibilidade de ocorrência de incidentes de qualquer ordem que afetem não só a privacidade e proteção de dados pessoais, como também a própria organização de determinada empresa, é de suma importância que haja este gerenciamento de ameaças, com análise e avaliação dos riscos efetivos à organização, de modo a possibilitar a estruturação dos planos e estratégias para mitigação dos riscos com implementação de medidas técnicas e organizacionais de segurança da informação.
Necessário, portanto, que haja o desenho de quais são as responsabilidades de cada um dos envolvidos no controle e operação dos dados, determinando-se as autonomias e alçadas, além de definir-se como serão feitas as comunicações, desde perguntas corriqueiras que possam acontecer dentro do ambiente da empresa, até mesmo contato com imprensa e comunicação corporativa. Sem esquecer que é papel do DPO ser o responsável por esta interface entre controlador e titulares de dados e/ou ANPD, sendo que esta deverá ser comunicada na ocorrência de incidentes aos titulares dos dados – requisito legal estabelecido no art. 48 da LGPD.
Para tanto, cremos que seja de suma importância que todos os controladores de dados estejam submetidos a uma consultoria, interna ou externa, a respeito de segurança e tecnologia da informação, bem como das questões jurídicas envolvidas, especialmente diante da possibilidade de aplicação de multas administrativas e judiciais em caso de violação de dados pessoais.
No Capítulo VIII da Lei nº 13.709/2018 o legislador dispõe acerca das sanções administrativas às quais os agentes de tratamento de dados estão sujeitos na eventualidade de incorrerem em alguma das infrações previstas na legislação.
SANÇÕES ADMINISTRATIVAS:
Advertência com indicação do prazo para adoção de medidas corretiva
Multa que pode chegar a 2% do faturamento da empresa (limitando-se ao valor máximo de R$ 50.000.000,00)
Multa diária com o mesmo limite
Publicização da infração assim que esta for apurada e confirmada
Bloqueio dos dados pessoais até a regularização da ocorrência
Eliminação dos dados pessoais referidos na infração
Suspensão do banco de dados até a regularização da atividade de tratamento pelo controlador
Suspensão do exercício da atividade de tratamento dos dados pessoais referentes à infração
Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados
As sanções administrativas serão aplicadas após o devido procedimento administrativo, resguardado o direito de ampla defesa das partes, e serão tomadas baseando-se nos parâmetros e critérios elencados no §1º do art. 52, quais sejam, a boa-fé do infrator, a vantagem que fora auferida ou pretendida, a condição econômica do infrator, a reincidência, o grau do dano gerado, a cooperação do infrator, a adoção reiterada de mecanismos capazes de minimizar o dano, a adoção de políticas de boas práticas e governança, a pronta adoção de medidas corretivas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Todavia, cumpre destacar que os agentes de tratamentos de dados ainda não estão sujeitos à aplicação das penalidades administrativas anteriormente mencionadas, já que a Lei nº 14.010/2020 determinou sua vigência a partir de 01/08/2021, em decorrência do atraso na formação da ANPD e, ainda, em decorrência da pandemia pela qual estamos passando.
Frisa-se que embora ocorrida prorrogação do início da vigência do trecho que trata das sanções administrativas, os agentes que incorrerem em infrações relacionadas à privacidade de dados estão sujeitos às sanções impostas pelo Poder Judiciário.
Com o objetivo de auxiliar no que se refere às decisões judiciais com imposição de multas já baseadas na LGPD, o site da Associação Nacional dos Profissionais de Privacidade de Dados (https://anppd.org) traz uma seção, denominada como Violações, em que compila as principais informações relacionadas às referidas decisões judiciais, trazendo um breve resumo com a data de publicação da decisão, qual o estado originário, se já houve o trânsito em julgado ou não, bem como relatando os valores das multas, embasamentos jurídicos que fundamentaram as decisões e algumas outras informações pertinentes, reforçando a percepção de que o tema já recebe a devida atenção pela sociedade.
A título exemplificativo, e que atinge diretamente as empresas que se utilizam de base de dados para a decisão acerca da concessão ou não de crédito pessoal para empréstimos e financiamentos, recentemente, o Tribunal de Justiça do Distrito Federal, ao julgar liminar de Ação Civil Pública, considerou ser inviável e ilegal a comercialização maciça de dados pessoais pela empresa Serasa Experian, impondo multa de R$ 2.000,00 (dois mil reais) a ser computada a cada venda de dados realizada após a referida decisão, conforme decisão no processo nº 0749765-29.2020.8.07.0000.
Portanto, por mais que ainda não seja possível a aplicação de sanções administrativas por parte da Autoridade Nacional de Proteção de Dados, e mesmo quando possível em agosto de 2021, cabe às empresas observarem a adequação e conformidade à LGPD, pois também poderão ser alvo de multas decorrentes de decisões judiciais.
Considerando o contexto global, a LGPD também dispõe acerca da internacionalização dos dados. A legislação permite a transferência desde que sejam observadas as condições de segurança, figurando apenas países que proporcionem grau de proteção de dados adequado.
No art. 33 são elencadas nove hipóteses que justificam a transferência internacional de dados e as diretrizes nas quais as operações devem ser realizadas, sendo elas:
I – País de destino com grau de proteção adequado
II – Mediante garantias oferecidas pelo controlador (cláusulas contratuais específicas, cláusulas padrão, normas corporativas globais, selos, certificados e código de conduta regularmente emitidos)
III – Relativa à cooperação jurídica internacional para fins de investigação
IV – Para a proteção da vida ou incolumidade física do titular ou de terceiros
V – Quando autorizada pela ANPD
VI – Mediante acordo de cooperação internacional
VII – Para a execução de política pública ou atribuição legal ou serviço público
VIII – Mediante consentimento específico e em destaque do titular
IX – Para o cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja a parte o titular, a pedido do titular dos dados; ou para o exercício regular de direito em processos judiciais, administrativo ou arbitral.
As empresas multinacionais que possuem filiais no Brasil e também em outros países, devem criar normas corporativas globais, que nada mais são do que regramento interno a ser aplicado ao conglomerado de empresas, com o objetivo de transferir os dados pessoais tratados, tanto dos empregados, como de clientes e/ou outras pessoas naturais, devendo estas normas serem aprovadas quanto ao conteúdo pela ANPD ou também pela autoridade competente dos demais países envolvidos.
Como forma preventiva de garantir a proteção de dados pessoais em contratos e adequação do instrumento particular à LGPD, as partes devem se atentar a alguns pontos essenciais de modo a mitigar eventuais riscos em decorrência de infrações envolvendo a nova legislação.
O primeiro deles é a análise dos contratos firmados com clientes e fornecedores em busca de um efetivo mapeamento de dados pessoais que possam estar envolvidos na negociação, de modo a se estabelecer a real necessidade de utilização, buscando minimizar o uso de dados dispensáveis, o enquadramento dos necessários nas hipóteses legais, finalidades legítimas, bem como trazendo transparência às formas de tratamento, medidas mitigadoras de riscos e outras observações pertinentes à correta adequação e conformidade à LGPD.
No mais, nos casos em que a utilização dos dados pessoais não encontrar outro respaldo legal, recomendamos que seja buscado o consentimento dos titulares dos dados quanto ao respectivo uso e tratamento, razão pela qual é imprescindível que nos contratos sejam incluídas cláusulas específicas sobre a finalidade da coleta de dados, a possibilidade de acesso, a garantia de manutenção destes dados atualizados com a menção acerca dos direitos que cercam o titular, inclusive no que refere a possibilidade de retirada do consentimento dado inicialmente.
Caso seja necessário o compartilhamento dos dados com outras empresas, por exemplo, deve-se também atentar para a inclusão dessa permissão pelo titular.
Ainda, para atendimento ao princípio da transparência, as cláusulas referentes à proteção de dados devem ser revestidas de objetividade e clareza, transmitindo ao titular dos dados informações acerca da forma como os dados são coletados, da possibilidade deste acessar tais dados, os procedimentos para correção, bloqueio e eliminação dos dados, bem como aqueles relacionados à revogação do consentimento.
Importante, também, que se proceda com a revisão de contratos vigentes de modo a adequá-los às exigências da LGPD.
A competitividade exige das empresas criatividade e ações de marketing para atrair novos clientes. As redes sociais são bastante utilizadas para anúncios e venda de produtos ou serviços pelas empresas, que a partir da LGPD devem se adequar às novas diretrizes na coleta e tratamento de dados das pessoas.
Ao acessar a página da internet a maioria dos sites armazenam os dados do usuário através dos cookies que é um programa instalado no navegador responsável por coletar dados daquele acesso, como local, IP, tempo de navegação, páginas acessadas, itens clicados, entre outros. Daí as empresas estudam o mercado, conhecem o perfil do usuário, definem estratégias para oferecer bens e serviços ao seu público-alvo.
Após a LGPD, o site deve informar ao usuário a política de privacidade e uso de forma clara, especificar a finalidade da coleta de dados, como será realizado o tratamento, qual o período de armazenamento e, principalmente, solicitar o consentimento ou a recusa do usuário.
Para melhor compreensão, demonstramos na tabela abaixo o comparativo do antes e depois do tratamento de dados após a vigência da LGPD:
CICLO DE VIDA DOS DADOS
FASE | Antes da LGPD | Depois da LGPD |
|---|---|---|
Coletas | Os dados pessoais são coletados sem diferenciação | Apenas aqueles que atendam a necessidade e finalidade |
Processamento | Processados sem um tratamento específico | Processamento de acordo com o art. 7º da LGPD |
Análise | Análise do perfil das pessoas | Análise deve levar em consideração a finalidade da coleta |
Compartilhamento | Os dados são compartilhados sem autorização dos titulares | Os titulares devem autorizar o compartilhamento |
Armazenamento | Tempo indeterminado | Prazo definido até o alcance da finalidade |
Reutilização | Reutilizados sem autorização dos titulares | Necessária nova autorização |
Eliminação | Não é obrigatória a eliminação | Obrigatória a eliminação após a fase de tratamento |
Dessa forma, ao utilizar as informações com responsabilidade e sem práticas invasivas, fará com que os usuários percebam que os registros operados pela empresa estão sendo utilizados com os propósitos legais.
Diante de todo o cenário estudado ao longo do Boletim, verifica-se que antes de efetivar um projeto de adequação à LGPD se faz necessário estruturar alguns pontos importantes dentro da empresa. Inicialmente é importante identificar todos os processos efetivados na empresa, listando quais são os riscos corporativos e da área de tecnologia da informação. Em seguida, é necessário detalhar os riscos envolvendo a segurança da informação sob o enfoque, inclusive, das respectivas medidas protetivas com o objetivo de se adequar e ficar em conformidade com a privacidade dos dados pessoais tratados.
Ainda, muitas empresas já estão passando por uma drástica mudança de cultura, do analógico para o digital, do físico para o imaterial, no modelo de governança que passa a ser digital, sendo fundamental a atualização das ferramentas de segurança de dados, revisão de políticas e dos contratos da empresa, além da necessidade de assessoria de um DPO, e aplicação de mecanismos de controle e trilhas de auditoria.
Como vimos, é necessário se estabelecer um plano, um sistema. Para tanto, a legislação prevê o Sistema de Gestão de Proteção de Dados (SGPD), o qual num primeiro momento pode parecer complicado, entretanto, com o auxílio de profissionais devidamente capacitados é possível às empresas colocá-lo em prática, mesmo sem grande disponibilidade de recurso.
PREPARAÇÃO
- FASE 1
Preparar a organização à privacidade, fazendo o inventário de dados pessoais, fluxo de dados, identificando as bases legais, as leis, regulamentos e normas relevantes aplicáveis e estabelecendo um plano de ação.
ORGANIZAÇÃO
- FASE 2
Estabelecer estruturas organizacionais e mecanismos para as necessidades de proteção de dados e privacidade.
Como? Projetando e configurando o plano de proteção estabelecido na fase 1, nomeando um DPO, envolvendo as partes interessadas na operação e proteção de dados (empregados) e criando planos de comunicação, mudança de cultura e treinamentos.
DESENVOLVIMENTO E IMPLEMENTAÇÃO
- FASE 3
Desenvolver e implementar políticas, controles e procedimentos. Como? Definindo, classificando e estruturando o tratamento dos dados; bem como o ciclo de vida.
Implementando os treinamentos de privacidade, proteção de dados, dentre outros já criados na fase 2, implementando controles de segurança e atividades de integração entre as equipes.
GOVERNANÇA
- FASE 4
Estabelecer meios de governança de proteção de dados e privacidade.
Como? Criando práticas de gerenciamento de dados, executando planos de solicitações, reclamações e retificações de dados pelos titulares, estabelecendo estratégias para avaliação de riscos à proteção de dados e plano de respostas em caso de violação de dados, mantendo a conscientização de todos os envolvidos.
AVALIAÇÃO E MELHORIA CONTÍNUA
- FASE 5
Melhorar os aspectos das outras fases, isto é, da proteção de dados e privacidade da empresa, realizando o monitoramento da operação, do cumprimento, adequação e conformidade; implementando auditorias internas, avaliações, tratando os riscos e executando uma Avaliação de Impacto de Proteção de Dados (mais conhecido como DPIA).
É interessante ressaltar ainda o fato de que o tratamento de determinados dados pessoais, como por exemplo a utilização destes em grande escala ou a manipulação de dados sensíveis, dentre outras possibilidades previstas em Lei, traz a obrigação ao controlador de instituir um Relatório de Impacto de Proteção de Dados, que deverá conter os dados pessoais tratados, identificação de riscos, avaliação de soluções, integrar os resultados de riscos às medidas e práticas de mitigação e comunicar os resultados. Este documento necessariamente precisará ser validado por um encarregado de dados (DPO) e, ainda, ser submetido à ANPD.
Através desse levantamento teremos um panorama de qual o risco de exposição dos dados pessoais contidos nos bancos de dados da empresa. A partir disso, faz-se necessário delinear os investimentos necessários para as mudanças pretendidas no nível de tratamento de dados.
Em resumo, é esse o plano de adequação para cada empresa, sendo que dependendo do ramo de negócio, do tamanho da empresa, e das políticas de governanças podem ocorrer inúmeros desdobramentos dentro desse check list, com desenvolvimento detalhado de mapa de fluxo de dados pessoais, relatando todas as etapas da “vida” do dado dentro dos sistemas da empresa; mudanças nas políticas de gestão de dados, de segurança da informação, de tratamento de dados para colaboradores e terceiros envolvidos com dados pessoais, bem como nos termos e usos e política de privacidade.
Nesse contexto, é fundamental a atualização desde as rotinas e documentos para contratação de colaboradores, termos de confidencialidade (NDAs), contratos com fornecedores, documentação de clientes, prevendo-se em suas cláusulas a aplicação da LGPD.
Além disso, recomenda-se que as empresas busquem certificações como o ISO 27001, 27002, 27018, 29184, dentre outras, para poderem se adequar a mercados consumidores cada vez mais exigente, como a União Européia (UE), e que necessitam de conformidade não somente jurídica, econômica e socioambiental, como também em matéria de tecnologia de dados e segurança de informações.
Todas estas peculiares podem assustar o pequeno e médio empreendedor, ainda mais diante do silêncio da LGPD acerca da obrigatoriedade ou não de implementação de todas estas medidas, sem exceção, àqueles que possuem menor poder financeiro, estrutural e organizacional. Entretanto, espera-se que com a criação e funcionamento pleno da ANPD haja atenuações às pessoas físicas e jurídicas de porte menor quanto às exigências e formalidades contidas na Lei para correta adequação, conformidade e compliance.
Por fim, cabe destacar que o Arone Coutinho Advocacia está totalmente antenado às atualizações sobre este assunto de grande relevância, inclusive contando com profissionais certificados para a plena consultoria e atendimento no entendimento da LGPD, elaboração de políticas de proteção de dados pessoais, privacidade, confecção de check list de informações, revisão e estruturação de contratos, cláusulas e NDAs, dentre outras atividades com foco na correta aplicação da LGPD.
VOCÊ TAMBÉM PODE SE INTERESSAR POR ESSAS PUBLICAÇÕES
Guia Prático – Recuperação Judicial
Guia Prático – Recuperação Judicial
Guia Prático – Equiparação Salarial (14.611/2023)
Guia Prático – Equiparação Salarial (14.611/2023)
Guia Prático – Marco Legal das Garantias (Lei 14.711/2023)
GUIA PRÁTICO Marco Legal das Garantias (Lei 14.711/2023) LinkedIn WhatsApp Facebook Twitter Quais as principais alterações trazidas pelo Marco Legal das Garantias? Aprimoramento das regras
