A Lei Geral de Proteção de Dados (LGPD) está em vigor desde setembro de 2020, e manobras políticas e legislativas não conseguiram prorrogar o início da aplicação das penalidades, que ocorrerá no dia 1º de agosto de 2021.
Apesar da proximidade da data prevista para as sanções, várias pesquisas apontam que a maioria das empresas brasileiras ainda não está preparada para cumprir a lei e proteger os direitos fundamentais de liberdade e de privacidade dos titulares de dados pessoais.
Entre as sanções previstas pela LGPD em caso de descumprimento, estão advertência, multa simples e multa diária, além bloqueio e eliminação dos dados pessoais a que se refere a infração.
O uso indevido dos dados pessoais pode ocasionar inferências perigosas e graves violações à privacidade dos indivíduos, o que demonstra a necessidade de que todos cumpram com a legislação.
É importante ressaltar que a legislação de proteção de dados pessoais já vem sendo utilizada como fundamento para aplicação de multas e condenações pelo judiciário, Procons, entidades de defesa dos consumidores, o que contabiliza inúmeras condenações e multas.
Como exemplo, temos a recente multa no valor de 4 milhões aplicada pela Secretaria Nacional do Consumidor (SENACON), ao Banco Cetelem S.A. por fraudes financeiras, como oferta abusiva e contratação de empréstimos consignados com a utilização indevida de dados pessoais de consumidores idosos.
O Banco Pan também foi multado em 8,8 milhões pelo Departamento de Proteção e Defesa do Consumidor (DPDC) pelo mesmo motivo. Segundo a secretária Nacional do Consumidor, Juliana Domingues, o tema refere-se à defesa dos hipervulneráveis. “O DPDC identificou a utilização de dados pessoais desses consumidores em violação às normas de proteção ao consumidor, na medida em que tais consumidores não eram informados da abertura de banco de dados e de cadastros. Estamos dando enfoque aos casos que exploram a hipervulnerabilidade de idosos aposentados e pensionistas do INSS”.
Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade (ITS-Rio), afirma que “A LGPD representa uma mudança de mentalidade tão importante quanto a entrada em vigor do Código de Defesa do Consumidor, em 1990. De lá para cá, o brasileiro entendeu que, como consumidor, ele possui direitos”.
Os titulares de dados pessoais hoje possuem a LGPD, como um instrumento valioso para compreender seus direitos e a forma de como exercê-los. Por isso, o papel da Autoridade Nacional de Proteção de Dados Pessoais – ANPD é fundamental, pois é o órgão responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
A ANPD vem se manifestando no sentido de que o objetivo do órgão não é punir, e sim orientar as empresas e os empresários sobre a melhor forma de garantir os direitos dos titulares de dados pessoais, através da a adoção de incentivos positivos e negativos entre as transgressões à LGPD e seu tratamento de acordo com a sua gravidade.
Aguarda-se a realização de audiência pública que visa discutir com a sociedade a minuta da Norma de Fiscalização, que dispõe sobre a fiscalização e aplicação de sanção pela ANPD, com previsão de ações de monitoramento, orientação, prevenção e aplicação de sanção.
Espera-se que a ANPD através dessa Norma de Fiscalização estabeleça a forma de aplicação do artigo 52 e seguintes da LGPD, através da ponderação de todas as circunstâncias, tais como a gravidade e a natureza das infrações, os direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas de governança e a pronta adoção de medidas corretivas.
Para saber mais sobre este e outros temas relacionados à Lei Geral de Proteção de Dados, a equipe do Assis e Mendes possui especialistas prontos para atender as necessidades de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.
KELLY TAKAHASHI NOVAES é advogada da equipe de Direito Digital do Assis e Mendes Sociedade de Advogados.
A evolução galopante da tecnologia trouxe consigo a necessidade da evolução do Direito e a criação de novas linguagens e termos, criando-se, inclusive, um novo ramo no Direito, qual seja: o Direito Digital, que rege relações ocorridas nos ambientes virtuais.
Isto porque, com todas as mudanças que ocorreram nos últimos anos – notadamente à partir dos anos 2000 -, saber como utilizar e explorar o mundo digital, além de conhecer seus limites, tornou-se regra e não mais uma exceção.
O que antes parecia ser algo guardado para o futuro, agora faz parte do que é necessário para continuar trilhando o caminho do sucesso. Entretanto, assim como a tecnologia trouxe grandes vantagens e avanços à sociedade, trouxe também novas demandas e conflitos, até então inimagináveis.
Muito disso se deu, porque, quando do surgimento do universo virtual, não havia regras específicas, de modo que as leis tiveram de acompanhar as mudanças e evolução da sociedade e da nova era digital.
Assim como já existiam crimes na vida real, começaram a surgir os crimes virtuais – ou cybercrimes -, que vão desde criação de vírus até velhos delitos trazidos para a web, como estelionato, plágio, exploração sexual, calúnia, difamação e o mais recente ato, tipificado como crime: stalking.
A expressão em inglês stalking, em tradução aproximada ao português, significa “perseguir incessantemente”, podendo-se relacionar sua origem com uma comum prática da América do Norte de caça aos animais.
Trazendo o termo para nossa realidade, o stalking se trata de um problema oriundo das interações realizadas por meio da internet e consiste propriamente na invasão, perseguição, perturbação e ameaças de um indivíduo contra outro.
A sensação de anonimato trazido pelo ambiente virtual também corroborou para o crescimento do crime de stalking, isto porque o indivíduo, por não estar fisicamente diante de sua vítima, mas sim protegido pela tela do computador e um nickname, ou seja, um apelido virtual, tem a falsa impressão de que nunca será descoberto, o que não é verdade.
Por terem um conhecimento mais raso quanto ao ambiente virtual, os stalkers – nome dado a quem pratica o crime de stalking – desconhecem a possibilidade de descoberta da sua identificação, que pode se dar pelo IP do computador utilizado, cadastro junto à operadora de telefonia fornecedora do acesso à internet, dentro outros meios, bastando uma autorização judicial, que se dá por meio de ação própria, para que se tenha acesso a tais dados.
O stalker persegue sua vítima na internet, diminuindo sua privacidade, ficando atento a todos seus movimentos, o que gera grande angústia e medo na interação e no uso das redes sociais, por exemplo, porquanto a impressão da vítima é de vigilância constante
Tamanha é a gravidade do tema, que o atual presidente da República sancionou, no mês de abril/2021, a lei que tipifica o crime de perseguição, prática também conhecida como stalking – Lei 14.132, de 2021.
Esta Lei acrescenta o artigo 147-A ao Decreto-Lei nº 2.848/1940 – Código Penal-, para prever o crime de perseguição, senão vejamos:
Art. 147-A. Perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade.
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa.
1º A pena é aumentada de metade se o crime é cometido:
I – contra criança, adolescente ou idoso;
II – contra mulher por razões da condição de sexo feminino, nos termos do § 2º-A do art. 121 deste Código;
III – mediante concurso de 2 (duas) ou mais pessoas ou com o emprego de arma.
2º As penas deste artigo são aplicáveis sem prejuízo das correspondentes à violência.
3º Somente se procede mediante representação.
Referida norma altera o Código Penal, prevendo pena de reclusão de seis meses a dois anos e multa para esse tipo de conduta e definido o crime de stalking como a perseguição reiterada, por qualquer meio, como a internet (cyberstalking), que ameaça a integridade física e psicológica de alguém, interferindo na liberdade e na privacidade da vítima.
Para saber mais sobre este e outros temas relacionados ao Direito digital, a equipe do Assis e Mendes possui especialistas prontos para atender as necessidades de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.
FERNANDA MIRANDA é advogada da equipe Contenciosa e Métodos Resolutivos de controvérsias do Assis e Mendes Sociedade de Advogados.
A evolução do indivíduo, da sociedade e da tecnologia
Conjuntamente possibilitou o surgimento de um novo momento vivido pela humanidade, uma nova era, chamada era digital, que trouxe consigo diversas inovações, facilidades, possibilidades, novas formas de pensar, de agir e de comunicar.
Sem tempo para ler agora? Que tal ouvir no Dados Cast:
Com isso, destaca-se a atual facilidade quanto ao acesso à informação trazida pela internet, a ponto de termos nos tornado, hoje, a sociedade da informação, visto o fácil e rápido acesso a milhares de conteúdos e complexidades de contextos, tanto próximos como distantes da realidade do indivíduo que o acessa.
Porém, não se pode deixar de lado o fato de que as informações e dados, ao serem inseridos na internet, quase se eternizam, visto serem escassas as normas que regulamentam um prazo de disponibilização e exibição de conteúdos.
Além disso, a liberdade e autonomia de um indivíduo no ambiente virtual, autoriza que esse exponha informações, dados e conteúdos na internet, sem restrição, tampouco regra específica, o que gera a disseminação e acessos pelos demais usuários de modo incontrolável e ilimitado. É neste momento que fatos dos quais uma determinada pessoa gostaria de esquecer, podem persegui-lo pelo resto da vida.
O direito ao esquecimento
É um direito típico da atual era digital, em que há fácil e rápido acesso à informação por meio da internet, ambiente onde tais informações e dados – que podem ser acessados e replicados de qualquer lugar do mundo – tendem a se estabelecer quase que de modo atemporal, além de atribuir grande poder de monetização ao usuário.
Há que se diferenciar o direito ao esquecimento do direito de apagamento, visto que esse último trata do direito que o indivíduo possui em dispor de seus dados pessoais, solicitando a remoção desses de quem o coletou, podendo ocorrer quando houver revogação do consentimento (para coletas e usos com fundamento nessa base legal), quando tornam-se desnecessários ao propósito ao qual foram coletados, ou quando não houver permissão legal para seu armazenamento.
Já no direito de esquecimento, o sujeito mencionado no fato publicado a seu respeito possui apenas e tão somente uma função passiva na referida publicação, havendo que se considerar para aplicação de tal direito, sobretudo, o tempo decorrido desde o episódio até a data em que ainda tem-se acesso nos buscadores àquela informação.
A problemática do direito ao esquecimento
Não está na informação e dados expostos sobre uma pessoa na internet, quando esses são verdadeiros e relatam fatos, mas sim no decurso do tempo, que os torna descontextualizados e desatualizados, prejudicando e afetando a honra, imagem e intimidade do indivíduo envolvido, motivando o pleito pela desindexação junto aos buscadores.
Entretanto, se de um lado há a busca pelo esquecimento de um fato, do outro há o direito à informação, principalmente se tal fato versar sobre interesse público, que também deve ser preservado, de modo que há necessidade de grande cuidado para que o direito à informação não seja relativizado em prol de um direito privado, ainda que esse vise acalantar a intimidade ferida.
Uma possível solução a tal problemática é a desindexação do conteúdo quando esse for inadequado, não pertinente, excessivo ou quando não atender mais às finalidades de quando fora publicado, principalmente em razão de sua desatualização em virtude do transcurso do tempo, devendo-se ponderar a necessidade de manutenção de uma informação com o tempo em que o fato ocorreu, a fim de que se analise a importância de se manter acessível um conteúdo obsoleto, sobretudo analisando sob a ótica das novas circunstância as quais se aplicariam.
Atualmente, há um precedente na União Europeia – onde a vida privada, familiar e a proteção de dados pessoais são classificados como direitos fundamentais, o que dá especial relevância ao direito ao esquecimento – quanto à desindexação de informação, estabelecida pela lei europeia de proteção de dados – General Data Protection Regulation (GDPR) -, o que ocasionou grande demanda junto ao judiciário, que teve crescente e acelerado aumento da distribuição de processos pugnando pela remoção de dados e informações pessoais em sites de busca.
Por tal motivo, faz-se tão importante, também, determinar e delimitar regras quanto à possibilidade de pleitear o direito ao esquecimento, a fim de que não se abarrote o judiciário com ações desconexas e sem fundada razão. Além disso, é importante que não se banalize tal instituto, porquanto isso poderia acentuar a luta pelo esquecimento em uma sociedade que sempre lutou pra ser vista e lembrada.
FERNANDA MIRANDA é advogada da equipe Contenciosa e Métodos Resolutivos de controvérsias do Assis e Mendes Sociedade de Advogados.
A Lei Geral de Proteção de Dados – LGPD surgiu com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade dos indivíduos através da promoção de uma cultura de proteção de dados pessoais.
Trata-se de uma tendência global que, dentre muitas vantagens, permite que empresas brasileiras alcancem o mesmo patamar de corporações internacionais que se adequaram ao regulamento europeu (GDPR) e que agora podem encontrar nas transações comerciais com o Brasil o mesmo grau de segurança praticado em outras partes do mundo.
Inúmeros pontos, contudo, ainda suscitam dúvidas, como é o caso da transferência internacional de dados.
A transferência internacional de dados pessoais é muito mais comum do que as empresas normalmente consideram. Ela está presente no dia a dia dos negócios, ao contratar fornecedores e utilizar ferramentas estrangeiras para diversas atividades. Exemplos disso são uma série de serviços em nuvem como AWS, AZURE, Office 365, MailChimp e tantos outros.
Nesse sentido, o gerenciamento e hospedagem de bancos de dados da empresa, emails, utilização de aplicações para videoconferências, softwares de contabilidade, dentre outros, podem – na prática – implicar em uma transferência internacional de dados.
Especificamente, o tema é disciplinado pelos artigos 33 a 36 da LGPD. A transferência internacional de dados pessoais apenas é permitida nos casos previstos no artigo 33.
Boa parte dessas hipóteses, porém, ainda depende de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD). Além dos casos expressamente autorizados pela ANPD, caberá a ela definir:
● países ou organismos internacionais com nível de proteção de dados pessoais adequado ao da LGPD, considerando: ○ as normas gerais e setoriais da legislação em vigor; ○ a natureza dos dados; ○ a observância dos princípios e direitos dos titulares; ○ a adoção de medidas de segurança previstas em regulamento; ○ a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e ○ outras circunstâncias específicas relativas à transferência;
● conteúdo de cláusulas-padrão contratuais;
● normas corporativas globais; e
● selos, certificados e códigos de conduta aplicáveis.
Não obstante, algumas regras do artigo 33 devem ser observadas desde já, de modo que a lei autoriza a transferência internacional de dados por empresas nos seguintes casos:
a. Quando o controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD, na forma de cláusulas contratuais específicas para determinada transferência;
b. Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
c. Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; ou
d. Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
Mas existem outras formas das empresas continuarem fazendo a transferência internacional sem infringir a Lei ou os Direitos dos Titulares, mesmo enquanto esperamos pela ANPD.
Assim, considerando as regras previstas na LGPD, é possível a transferência internacional de dados pessoais por empresas no âmbito das atividades de tratamento, desde que todos os contratos sejam adequados às exigências da lei, bem como haja observância aos princípios, às bases legais corretas que fundamentam o tratamento e aos direitos dos titulares de dados.
Infelizmente, a resposta para isso depende de uma consultoria e revisão contratual, não existindo fórmula mágica que possa ser compartilhada e que sirva para todos.
Caso tenha alguma dúvida ou precise de orientação especializada sobre este ou outro tema ligado à proteção de dados e direito digital, a nossa equipe está pronta para lhe atender. É só acessar o site.
A Lei Geral de Proteção de Dados (LGPD) finalmente entrou em vigor. Desde 18 de setembro de 2020, as empresas devem observar os fundamentos, princípios e regras gerais da lei nas atividades de tratamento de dados pessoais.
A LGPD faz parte de uma tendência global de proteção aos direitos fundamentais de liberdade e de privacidade, que vem gerando nos últimos anos o desenvolvimento de uma cultura de proteção de dados pessoais.
A Autoridade Nacional de Proteção de Dados (ANPD) ainda não está em funcionamento, pela pendência de nomeação dos seus diretores, e as multas administrativas só poderão ser aplicadas por ela a partir de 1º de agosto de 2021.
Porém, é muito importante que a adequação seja feita agora, garantindo a continuidade de contratos com fornecedores e clientes e evitando a aplicação de sanções via processos judiciais, Ministério Público ou Procon. Com a adequação, a empresa também poderá ter certeza de que sua reputação no mercado estará protegida e que tem como demonstrar que está fazendo o dever de casa.
O QUE É URGENTE?
Os cinco pontos mais importantes e que devem ser priorizados são:
1) Nomeação de DPO: o DPO ou encarregado de dados é a ponte entre a empresa, a ANPD e o titular de dados pessoais e tem como principais atribuições receber as demandas dos titulares e orientar a aplicação da LGPD dentro da empresa.
2) Conscientização: todos os colaboradores, partindo da alta direção até terceirizados, devem passar por treinamentos e ser envolvidos em mecanismos de conscientização da importância da proteção de dados. A mudança é mais fácil e permanente se ficar claro que a proteção dados é uma prioridade da empresa.
3) Mapeamento de dados: pelo mapeamento de dados e fluxos internos, a empresa poderá identificar quais dados são coletados, como eles são utilizados, quem tem acesso às informações, quais as finalidades e bases legais para o tratamento e como implementar medidas de segurança.
4) Adequação de contratos: os contratos com fornecedores e clientes devem ser revisados, para adequar as responsabilidades de cada parte na proteção de dados pessoais. Aqui, todo o cuidado é pouco na hora de identificar qual o papel de cada um no tratamento de dados pessoais (controlador ou operador), evitando problemas posteriores por alocação indevida de deveres e obrigações.
5) Garantia dos direitos dos titulares: é essencial que a empresa seja transparente e implemente mecanismos para receber e atender às solicitações dos titulares, garantindo os direitos previstos em pela LGPD. Esse ponto é crucial para evitar que a empresa sofra com processos judiciais.
ATENÇÃO!
O processo de adequação à LGPD é uma jornada que resulta na mudança de cultura de proteção de dados pela empresa. A lei não deve ser vista como uma limitação proibitiva, mas como uma oportunidade única de melhoria de fluxos internos e descoberta de novos produtos ou serviços que já podem ser oferecidos pela empresa.
A hora é agora de mostrar aos clientes, fornecedores e ao mercado que a empresa está comprometida com a proteção de dados pessoais.
Ontem houve uma reviravolta na votação do Senado. sobre a prorrogação da vigência da LGPD, mas a Lei ainda não está em vigor.
#1 Vigência
A LGPD estava prevista para entrar em vigor no dia 16 de Agosto deste ano. Por uma Medida Provisória, o Presidente Bolsonaro propôs o seu adiamento para 3 de maio de 2.021.
No dia 25 de Agosto houve a votação na Câmara da MP e o prazo proposto já havia sido reduzido para o dia 31 de Dezembro deste ano.
Ontem, dia 26 de Agosto, o Senado não aceitou a modificação proposta pela Câmara.
Isso significa que, depois de assinado, a LGPD entrará em vigor imediatamente, já que estamos além da data inicialmente prevista.
Então, é uma questão mais técnica, mas significa que a LGPD não está em vigor desde o dia 16 ou a partir do dia 27 de Agosto.
As novas alterações só passam a valer depois da assinatura do presidente, que tem um prazo de até 15 dias úteis para validar o texto aprovado pelo congresso.
Depois que virar Lei, será a vez do Congresso, no prazo de até 60 dias, fazer um decreto para definir os efeitos da LGPD entre 16 de agosto e e durante todo o prazo em que a Medida Provisória ficou vigente, até a assinatura do Presidente.
#ANPD
Saiu publicado no Diário Oficial do dia 27 o Decreto nº 10.474, DE 26 DE AGOSTO DE 2020, que aprova a Estrutura Regimental da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança.
#MULTAS
Vale lembrar que, independente da vigência, as multas e penalidades da LGPD já foram prorrogadas para só valerem a partir de 01 de agosto de 2.021.
#O QUE FAZER
Seguramente essa reviravolta fez com que o assunto da privacidade passe a ser a prioridade de todas as empresas no último trimestre deste ano.
Sugerimos retomarem ou iniciarem imediatamente os mapeamento de dados e validações de segurança da informação, em conjunto com a revisão dos contratos, termos de uso e política de privacidade.
Enquanto esperamos a ANPD, esta é o hora de saber e documentar dentro do seu negócio:
Que dados o seu negócio coleta.
Para qual finalidade esses dados são utilizados.
Qual é a base legal prevista na LGPD para isso.
Com quem essas informações são compartilhadas e para qual motivo.
Como seu negócio atende aos novos direitos dos titulares.
e por quanto tempo o seu negócio guardará esses dados.
#SOBRE O ASSIS E MENDES
Eu sou o Adriano Mendes, sócio fundador do Assis e Mendes Advogados e responsável pela área de Digital e Proteção de Dados do escritório.
Nossa equipe de PRIVACY and DPO do ASSIS E MENDES está a postos para esclarecimento de dúvidas, consultoria e início de novos projetos de adequação e conformidade.
Para receber mais informações e atualizações sobre a LGPD e Proteção de Dados, inscreve-se pelo nosso site ou siga o Assis e Mendes nas redes sociais (www.assisemendes.com.br)
