por Assis e Mendes | fev 11, 2022 | LGPD
A ANPD (Autoridade Nacional de Proteção de Dados) publicou nesta sexta-feira, 28, no Diário Oficial da União, uma resolução em que regulamenta a aplicação da LGPD a empresas de pequeno porte – incluindo microempresas, startups, entre outras.
O texto não exime as pequenas de cumprirem a lei de tratamento de dados. Entretanto, concede a elas diversos benefícios. De acordo com a resolução, por exemplo, os agentes de pequeno porte não são mais obrigados a indicar o encarregado pelo tratamento de dados pessoais, o chamado DPO, desde que disponibilizem um canal de comunicação com o titular de dados.
Uma outra flexibilização importante da LGPD foi referente aos prazos: pequenas, microempresas e startups terão prazo dobrado para atendimentos de solicitações dos titulares; comunicação à ANPD e ao titular sobre a ocorrência de incidentes de segurança; apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento; e fornecimento de declaração clara e completa de confirmação de existência ou de acesso a dados pessoais. No caso de declaração simplificada, ela poderá ser fornecida em até 15 dias a partir do requerimento do titular.
“O texto oferece alguns benefícios para empresas menores, mas não explica, na prática, o que todas as outras devem fazer. Primeiro deve-se criar a regra e depois a exceção para as pequenas. Lembrando que as pequenas empresas não estão dispensadas de cumprir a legislação, portanto muito cuidado”, alertou Adriano Mendes, do Assis e Mendes Advogados, especializado em direito digital, que atua como DPO para companhias de médio e grande porte.
As empresas devem ficar mesmo atentas, pois o dispositivo final da resolução da autoridade abre uma possibilidade de revogação: “A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares”.
Fonte: https://sharing.clickup.com/v/6–163102198‑1/t/h/213tc3d/1b4af67025a9f9f
por Assis e Mendes | jun 10, 2021 | LGPD, LGPD, LGPD
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 28 de maio de 2021 o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, que busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.
O guia é primeiro do tipo publicado pela Autoridade e foi estruturado em sete capítulos: 1) Agentes de tratamento 2) Controlador 3) Controladoria conjunta e controladoria singular 4) Operador 5) Sub Operador 6) Encarregado 7) Considerações finais.
No capítulo 1, o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento. Serão controladoras quando atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento. Serão operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento.
No capítulo 2, além da definição legal estabelecido no art. 5º, VI, da LGPD, estabelece como conceito que o “Controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais”.
Esse conceito é relevante, pois a LGPD atribui obrigações específicas ao Controlador, bem como, em regra, os direitos dos titulares são exercidos em face dele.
Todavia, identifica-se uma contradição no Guia, na medida em que afirma que “o papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes” e, em seguida, ressalta a importância de analisar-se a situação fática, com relação às principais decisões relativas ao tratamento.
No capítulo 3, traz as definições quando uma mesma operação de tratamento de dados pessoais envolver mais de um controlador. Os conceitos são baseados no regulamento europeu, uma vez que a LGPD não traz esses conceitos:
- Controlador conjunto quando dois ou mais responsáveis pelo tratamento determinam conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento, pois determinam por acordo mútuo as respectivas responsabilidades. Como exemplo, apresenta o caso de duas empresas, que desejam organizar um evento, e conjuntamente compartilham dados de seus clientes, e banco de dados de clientes potenciais, com o objetivo de promover um produto de marca comum. Ambas concordam com as modalidades de envio de convites para o evento, definição de estratégias de marketing e coleta de feedback. Nesse caso, são dois agentes de tratamento (controladores) que tomam decisões conjuntamente sobre determinado tratamento de dados, com a mesma finalidade, configurando como controladores conjuntos.
- Controladoria conjunta é “a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”. Aqui apresenta-se três critérios para verificação desse tipo de controladoria: a) mais de um controlador com poder de decisão sobre o tratamento de dados pessoais; b) interesse mútuo de dois ou mais controladores, com base em finalidades próprias; c) dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais ao tratamento.
- Controlador singular quando as decisões referentes ao mesmo tratamento competem também a outro(s) controlador(es), de forma independente, ou seja, sem finalidades comuns, convergentes ou complementares. Para exemplificar essa modalidade, traz como exemplo, a continuidade de tratamento pelas mesmas empresas que inicialmente atuavam como controladoras conjuntas, na mesma base de dados que haviam compartilhado inicialmente, mas o novo tratamento com finalidades próprias e individuais. Assim, continuaram como controladores, contudo, passando a atuar como controladores singulares.
No capítulo 4, conceitua o operador como o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. Por essa definição, delimita a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador.
Segundo o Guia Orientativo, ainda que “a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as cláusulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação.”
No capítulo 5, como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados, traz o conceito de suboperador: “é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador.”
Há uma contradição significativa no Guia, pois ao mesmo tempo que a ANPD informa que o “guia orientativo busca estabelecer diretrizes não-vinculantes”, apresenta várias “recomendações”, entre elas para que o operador, ao contratar o suboperador, “obtenha autorização formal (genérica ou específica) do controlador, a qual pode inclusive constar do próprio contrato firmado entre as partes”, com o objetivo de evitar que se entenda que, ao contratar o suboperador, o operador tenha executado o tratamento de dados descumprindo orientações do controlador, o que poderia atrair para o operador responsabilidades que normalmente são exclusivas do controlador.
Assim, fica o questionamento se as organizações devem seguir as recomendações ou apenas tê-las como base, uma vez que não têm efeito vinculante.
No capítulo 6, traz a definição do encarregado como o “indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD”. Por enquanto, não há regulamentação sobre em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir, como regra, que toda organização deverá indicar uma pessoa para assumir esse papel.
Contudo, nos termos do § 3º do art. 41 da LPGD, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Com relação às qualificações profissionais do Encarregado, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
Por fim, no capítulo 7, nas suas considerações finais a ANPD afirma que o: “guia orientativo foi construído com o objetivo de trazer maior segurança aos titulares de dados e agentes de tratamento, sanando algumas das principais dúvidas que têm sido apresentadas à ANPD quanto aos papéis dos agentes de tratamentos e do encarregado”.
A manifestação da Autoridade através do Guia Orientativo é importante para sanar dúvidas sobre o tema, todavia, o fato de não estabelecer efeito vinculante às suas próprias definições pode gerar ainda mais dúvidas e incertezas, pois a LGPD deixou espaços para interpretações e regulamentação a serem expedidas pela ANPD, e a ela incumbe o dever de zelar pelos dados pessoais, bem como regulamentar a Lei e o seu enforcement, além de trazer um direcionamento para as organizações.
Para saber mais sobre este e outros temas relacionados à Lei Geral de Proteção de Dados, a equipe do Assis e Mendes possui especialistas prontos para atender as necessidades de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.
KELLY TAKAHASHI NOVAES é advogada da equipe de Direito Digital do Assis e Mendes Sociedade de Advogados.
por Assis e Mendes | maio 10, 2021 | Colunistas
Tão logo a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, começaram os pedidos de titulares de dados e reclamações de descumprimento à lei. Além de postagens em redes sociais e sites especializados em avaliar a experiência de clientes e consumidores, já são várias as investigações e ações judiciais com fundamento nas novas regras de proteção de dados.
Conforme já tratamos em artigo anterior, a demora na operacionalização da Autoridade Nacional de Proteção de Dados (ANPD) causa diversos problemas que extrapolam a ausência de regulamentação da LGPD, sendo esse o caso do abocanhamento das funções da ANPD por outras autoridades e órgãos de controle, como aqueles responsáveis pela proteção do consumidor, Ministério Público e o próprio Poder Judiciário. Questões como competência e legitimidade são cada vez mais aprofundadas, ao passo que começam as primeiras investigações e aplicação de sanções.
Mas e agora que os Diretores foram nomeados e a ANPD está finalmente começando a ser estruturada na prática? Como vai ficar essa relação entre a autoridade específica prevista pela LGPD e os demais órgãos de controle?
Quando pensamos em temas de regulação — ainda que considerando o conceito de forma ampla, envolvendo expedição de normas e ações de fiscalização — é natural que o foco recaia sobre determinada agência reguladora ou órgão específico. É assim com a defesa da concorrência, setores regulados como o de energia elétrica, transporte aéreo de passageiros, sistema financeiro, mercado de capitais, dentre outros.
Contudo, ainda que o Direito seja dividido em ramos específicos, inclusive para fins de especialização e didática, a legislação como um todo forma um corpo unificado, que deve ser entendido de maneira sistêmica e em busca de harmonia entre as normas. Deve haver um diálogo entre fontes e regras durante o exercício de hermenêutica jurídica capaz de garantir a aplicação adequada a um determinado contexto prático, gerando segurança jurídica.
Nesse sentido, é perfeitamente esperado — e comum — que um único fato resulte na aplicação de normas de naturezas distintas, mas que, em conjunto, dão conta da situação como um todo. Aliás, vale dizer, inúmeras leis costumam prever expressamente a complementaridade com outras normas. É o caso, por exemplo, de infrações à ordem econômica, que podem originar indenizações civis aos afetados, sanções administrativas pelo Conselho Administrativo de Defesa Econômica (CADE) e até caracterizar crime contra a ordem econômica, previsto em legislação específica.
Com a nova legislação de proteção de dados no Brasil, o mecanismo não será diferente. Em que pese muita atenção recaia sobre a necessidade de operacionalização da ANPD e de respeito aos limites de competências de outros órgãos — o que, claro, constitui um debate legítimo e importantíssimo no atual contexto — certo é que chegaremos em um ponto no qual deverá haver cooperação entre a autoridade prevista na LGPD e os demais órgãos de controle.
A própria LGPD quando fala da possibilidade de o titular peticionar junto aos organismos de proteção do consumidor, bem como da manutenção das regras de responsabilidade previstas por esse microssistema, já dá indicações de uma futura atuação simultânea e coordenada.
Quando pensamos em um incidente ou vazamento de dados pessoais, por exemplo, é impossível pressupor que apenas a ANPD dará conta de responder a todas as particularidades e nuances do caso. Além da violação da LGPD e de eventual regulamentação específica que vier a ser expedida, certamente nos depararemos com a possibilidade de indenizações de âmbito civil, demandas decorrentes da relação de consumo entre titular e empresa afetada, e, ainda, persecução penal em razão do cometimento de crimes cibernéticos.
Assim, é muito importante que todos — titulares, empresas e profissionais que trabalham de perto com a proteção de dados pessoais — entendam e se preparem para a futura complementaridade de atuação entre outros órgãos de controle, Poder Judiciário e a ANPD. Certamente isso ocorrerá mediante a celebração de convênios, termos de cooperação, intercâmbio de experiências e conhecimento, troca documental em investigações, dentre outros. É só uma questão de tempo.
A equipe do Assis e Mendes acompanha de perto a estruturação da proteção de dados pessoais no Brasil e está pronta para orientar você e sua empresa sobre as mudanças que estão surgindo e como melhor se preparar para elas. Se quiser conversar com um especialista, entre em contato conosco pelo site www.assisemendes.com.br.
Letícia Crivelin.
por Assis e Mendes | maio 10, 2021 | Colunistas, Colunistas
Depois de muita expectativa, foram oficialmente publicadas hoje as nomeações dos 5 membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), garantindo mais um passo importante na implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil.
Os diretores, agora, podem tomar posse e iniciar os mandatos que variam de 2 a 6 anos:
Waldemar Gonçalves Ortunho Junior (Diretor-Presidente) | mandato de 6 anos |
Arthur Pereira Sabbat | mandato de 5 anos |
Joacil Basilio Rael | mandato de 4 anos |
Nairane Farias Rabelo Leitão | mandato de 3 anos |
Miriam Wimmer | mandato de 2 anos |
Com a nomeação do Diretor-Presidente, o Decreto nº 10.474/2020 também entra em vigor, fazendo valer as regras de estruturação da ANPD. Os próximos passos serão a nomeação de profissionais para ocuparem os cargos operacionais da autoridade, bem como a definição de quais entidades e classes comporão os cargos ainda vagos do Conselho Nacional de Proteção de Dados (CNPD), que conta com 23 cadeiras para representar os setores de toda a sociedade.
Já foram mapeados mais de 50 pontos da LGPD que precisam de regulamentação específica, incluindo direitos dos titulares, princípio do livre acesso, transferência internacional de dados, utilização de cookies, padrões e técnicas de anonimização e segurança da informação, tratamento automatizado de dados pessoais, comunicação e compartilhamento de dados, dentre outros (saiba mais em: https://assisemendes.com.br/impactos-da-demora-da-anpd/).
Contudo, ainda que esses pontos ainda precisem de regulamentação, o passo dado hoje com a nomeação dos Diretores da ANPD reforça o alerta para que as empresas iniciem o quanto antes os seus assessments e trabalhos para a conformidade à LGPD.
Sem prejuízo do mapeamento de fluxos de dados e assessments de segurança da informação, no âmbito jurídico o momento é de verificar as Políticas de Privacidade, Termos de Uso, contratos de trabalho e contratos com os demais agentes de tratamento. Além disso, é crucial a implementação de mecanismos para atendimento dos direitos dos titulares de dados.
Todo esse trabalho exige atenção e assertividade, para que não se caia no erro do exagero e da solução pronta que não funciona na prática. Por isso, o Assis e Mendes possui uma equipe especializada em Privacidade e Proteção de Dados pronta para ajudar a sua empresa por todo o caminho de adequação, respeitando as particularidades e a proteção do seu negócio.
Para nos conhecer e saber mais sobre nosso trabalho, acesse o site: www.assisemendes.com.br.
por Assis e Mendes | jan 28, 2021
Veículo: Technoblog
Jornalista: Victor Hugo Silva