Fale com um especialista +55 11 3141 9009
Conte conosco para adequação à LGPD
Lei Geral de Proteção de Dados foi citada em centenas de negativas de pedidos via LAI entre 2019 e 2021; especialistas acreditam que governo está ocultando informações.
Adriano Mendes, advogado especialista em proteção de dados.
Fonte: https://tecnoblog.net/especiais/bruno-ignacio/governo-bolsonaro-esta-usando-lgpd-como-pretexto-para-esconder-dados/
A evolução galopante da tecnologia trouxe consigo a necessidade da evolução do Direito e a criação de novas linguagens e termos, criando-se, inclusive, um novo ramo no Direito, qual seja: o Direito Digital, que rege relações ocorridas nos ambientes virtuais.
Isto porque, com todas as mudanças que ocorreram nos últimos anos – notadamente à partir dos anos 2000 -, saber como utilizar e explorar o mundo digital, além de conhecer seus limites, tornou-se regra e não mais uma exceção.
O que antes parecia ser algo guardado para o futuro, agora faz parte do que é necessário para continuar trilhando o caminho do sucesso. Entretanto, assim como a tecnologia trouxe grandes vantagens e avanços à sociedade, trouxe também novas demandas e conflitos, até então inimagináveis.
Muito disso se deu, porque, quando do surgimento do universo virtual, não havia regras específicas, de modo que as leis tiveram de acompanhar as mudanças e evolução da sociedade e da nova era digital.
Assim como já existiam crimes na vida real, começaram a surgir os crimes virtuais – ou cybercrimes -, que vão desde criação de vírus até velhos delitos trazidos para a web, como estelionato, plágio, exploração sexual, calúnia, difamação e o mais recente ato, tipificado como crime: stalking.
A expressão em inglês stalking, em tradução aproximada ao português, significa “perseguir incessantemente”, podendo-se relacionar sua origem com uma comum prática da América do Norte de caça aos animais.
Trazendo o termo para nossa realidade, o stalking se trata de um problema oriundo das interações realizadas por meio da internet e consiste propriamente na invasão, perseguição, perturbação e ameaças de um indivíduo contra outro.
A sensação de anonimato trazido pelo ambiente virtual também corroborou para o crescimento do crime de stalking, isto porque o indivíduo, por não estar fisicamente diante de sua vítima, mas sim protegido pela tela do computador e um nickname, ou seja, um apelido virtual, tem a falsa impressão de que nunca será descoberto, o que não é verdade.
Por terem um conhecimento mais raso quanto ao ambiente virtual, os stalkers — nome dado a quem pratica o crime de stalking — desconhecem a possibilidade de descoberta da sua identificação, que pode se dar pelo IP do computador utilizado, cadastro junto à operadora de telefonia fornecedora do acesso à internet, dentro outros meios, bastando uma autorização judicial, que se dá por meio de ação própria, para que se tenha acesso a tais dados.
O stalker persegue sua vítima na internet, diminuindo sua privacidade, ficando atento a todos seus movimentos, o que gera grande angústia e medo na interação e no uso das redes sociais, por exemplo, porquanto a impressão da vítima é de vigilância constante
Tamanha é a gravidade do tema, que o atual presidente da República sancionou, no mês de abril/2021, a lei que tipifica o crime de perseguição, prática também conhecida como stalking — Lei 14.132, de 2021.
Esta Lei acrescenta o artigo 147‑A ao Decreto-Lei nº 2.848/1940 — Código Penal‑, para prever o crime de perseguição, senão vejamos:
Art. 147‑A. Perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade.
Pena — reclusão, de 6 (seis) meses a 2 (dois) anos, e multa.
I — contra criança, adolescente ou idoso;
II — contra mulher por razões da condição de sexo feminino, nos termos do § 2º‑A do art. 121 deste Código;
III — mediante concurso de 2 (duas) ou mais pessoas ou com o emprego de arma.
Referida norma altera o Código Penal, prevendo pena de reclusão de seis meses a dois anos e multa para esse tipo de conduta e definido o crime de stalking como a perseguição reiterada, por qualquer meio, como a internet (cyberstalking), que ameaça a integridade física e psicológica de alguém, interferindo na liberdade e na privacidade da vítima.
Para saber mais sobre este e outros temas relacionados ao Direito digital, a equipe do Assis e Mendes possui especialistas prontos para atender as necessidades de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.
FERNANDA MIRANDA é advogada da equipe Contenciosa e Métodos Resolutivos de controvérsias do Assis e Mendes Sociedade de Advogados.
Na era digital, quase todas as ações cotidianas estão centralizadas na rede mundial de computadores.- Praticamente todos os serviços públicos e atividades corriqueiras do dia a dia são facilmente resolvidos via web. A pandemia do coronavírus acelerou ainda mais esse processo, fazendo com que mais e mais serviços fossem adquiridos e até usufruídos digitalmente, como as famosas “lives”.
Com isso, o site empresarial ganhou grande destaque: deixou de ser apenas uma vitrine, tornando-se, em muitos casos, a única porta de acesso ao serviço (quando não, o próprio produto).
No entanto, o que talvez passe despercebido, é que todo site está, obrigatoriamente, hospedado em um servidor, que, por sua vez, pode estar localizado em qualquer lugar do mundo.
A escolha do servidor é um ato exclusivo e unilateral do proprietário do site.
Até a entrada em vigor da Lei Geral de Proteção de Dados — LGPD (leia mais em https://assisemendes.com.br/blog/lgpd-em-vigor-o-que-fazer-agora/) a escolha entre servidores nacionais ou internacionais era amparada basicamente no binomio custo x benefício.
Contudo, o advento e vigência da lei requer que os antigos critérios de escolha sejam revistos e reformulados. Isso porque, se o site é acessado por brasileiros e está hospedado em servidor alocado em território internacional, automaticamente ocorre a chamada transferência internacional de dados, prevista nos artigos 33 a 36 da LGPD.
A transferência internacional de dados somente é possível nas hipóteses previstas no artigo 33 da LGPD. Trata-se de um rol taxativo, ou seja, que não abre margens para interpretações extensivas, de modo que todos os atos (transferências) deverão estar em conformidade com a seleta lista imposta pelo legislador.
Para entender melhor o conceito de transferência internacional de dados e todas hipóteses possíveis previstas na LGPD, sugerimos a leitura do seguinte artigo: (link artigo Leticia sobre transferência internacional de dados).
Deste modo, ao hospedar sites em provedores internacionais, a empresa deve, no mínimo (i) verificar previamente se o país onde o provedor está sediado possui regulamentos de proteção de dados compatíveis com a LGPD; (ii) comprovar documentalmente a garantia e proteção dos direitos dos titulares ou (iii) obter o consentimento livre, inequívoco e específico do titular de dados.
Vale destacar que essas são atitudes de segurança minimamente esperadas dentro do contexto atual, isso porque, algumas hipóteses previstas na Lei requerem regulamentação da Autoridade Nacional de Proteção de Dados — ANPD , a qual ainda está em processo de constituição (citar link se o escritório tiver algo sobre o tema).
Assim, verifica-se que a hospedagem de sites em provedores internacionais naturalmente aumenta o grau de risco da operação e requer maior atenção, vez que eventual inconformidade com a LGPD, especialmente no tocante a transferência internacional de dados, poderá acarretar diversos prejuízos, inclusive financeiros e reputacionais.
Para piorar o cenário, temos que a atual ausência da ANPD eleva ainda mais os riscos da operação, já que, embora os seus diretores tenham sido indicados, eles não tomaram posse, sendo impossível prever quais serão os entendimentos e diretrizes adotados pelo órgão para operacionalização da transferência e principalmente quanto a classificação dos critérios de segurança e dos países considerados seguros.
Portanto ao escolher o servidor de hospedagem de seu site não deixe de calcular os riscos envolvidos em eventual internacionalização. Caso seu site já esteja hospedado em servidor internacional, entre em contato com nossos advogados especialistas em Direito Digital, pelo site www.assisemendes.com.br.
BIANCA PINHEIRO é advogada na área de Direito Digital e Proteção de Dados no Assis e Mendes Advogados. Especialista em Direito Público e Lei Geral de Proteção de Dados. Pós-graduanda em Governança de Tecnologia da Informação pela Unicamp. Certificações: DPO (Data Protection Officer) – LGPD pela Assespro/RS; PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy and Data Protection Foundation) – EXIN.
Em meio a diversas tentativas e propostas de adiamento, a Lei Geral de Proteção de Dados - LGPD finalmente entrou em vigor em 18 de setembro de 2020. Desde então, as regras gerais, os princípios e os fundamentos da proteção de dados devem ser aplicados e observados pelas empresas ao realizarem a coleta e tratamento de dados dessa natureza.
Esse momento é muito importante para o Brasil, pois mostra que o país está no caminho certo para a manutenção e o estreitamento de relações comerciais com fornecedores e clientes sediados em países mais avançados na cultura de proteção de dados. Contudo, um ponto importantíssimo para a efetiva implementação da LGPD no país ainda está pendente: a Autoridade Nacional de Proteção de Dados — ANPD.
A ANPD foi criada pela Lei nº 13.853/2019 e inicialmente estará vinculada à Presidência da República. Como órgão de controle em proteção de dados, a autoridade terá autonomia técnica e decisória, tendo como principais atribuições, dentre outras, a fiscalização e aplicação de penalidades em casos de descumprimento da lei e a regulamentação sobre proteção de dados e privacidade.
Por sua vez, em 26 de agosto, o Decreto nº 10.474/2020 detalhou a estrutura da ANPD, apontando cargos e funções internas.
Porém, somente em 15 de outubro os cinco membros do Conselho Diretor — órgão máximo de direção da autoridade — foram indicados. E mesmo que já tenham passado por sabatina no Senado Federal e sejam nomeados dentre os próximos dias, ainda é necessária a nomeação dos demais membros que comporão os órgãos internos da autoridade.
A demora a que estamos assistindo para operacionalização da ANPD já tem mostrado os seus reflexos e impacta todos os processos de adequação à LGPD, que necessariamente precisarão ser revistos.
Já foram mapeados mais de 50 pontos da LGPD que precisam de regulamentação específica, incluindo direitos dos titulares, princípio do livre acesso, transferência internacional de dados, utilização de cookies, padrões e técnicas de anonimização e segurança da informação, tratamento automatizado de dados pessoais, comunicação e compartilhamento de dados, dentre outros.
Ademais, a ausência da ANPD tem gerado o abocanhamento de suas funções por outras autoridades e órgãos de controle, como aqueles responsáveis pela proteção do consumidor, Ministério Público e o próprio Poder Judiciário. Nas últimas semanas, já temos visto diversas ações judiciais e investigações começaram a ser divulgadas na mídia tendo como fundamento a LGPD.
Esse contexto não apenas traz dificuldades para a adequação e aplicação da lei, como também gera insegurança jurídica para indivíduos e empresas, que não possuem uma direção clara para onde devem seguir, diante da diferença de entendimentos — muitas vezes enviesados e antagônicos — sobre um mesmo tema.
A expectativa de todos é que a ANPD comece a funcionar o mais rápido possível, permitindo a implementação e o amadurecimento da proteção de dados no país de forma ordenada, coerente e com ampla participação dos diversos setores da sociedade.
Nesse meio tempo, porém, é muito importante que a adequação seja realizada pelas empresas com o apoio de parceiros de tecnologia e consultoria jurídica especializada, pensando sempre em soluções únicas adequadas às suas atividades, a fim de garantir a continuidade de contratos com fornecedores e clientes, evitar penalidades e manter sua reputação protegida. Caso sua empresa precise de ajuda nesse caminho de adequação, entre em contato com a equipe do Assis e Mendes.
A Lei Geral de Proteção de Dados — LGPD surgiu com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade dos indivíduos através da promoção de uma cultura de proteção de dados pessoais.
Trata-se de uma tendência global que, dentre muitas vantagens, permite que empresas brasileiras alcancem o mesmo patamar de corporações internacionais que se adequaram ao regulamento europeu (GDPR) e que agora podem encontrar nas transações comerciais com o Brasil o mesmo grau de segurança praticado em outras partes do mundo.
Inúmeros pontos, contudo, ainda suscitam dúvidas, como é o caso da transferência internacional de dados.
A transferência internacional de dados pessoais é muito mais comum do que as empresas normalmente consideram. Ela está presente no dia a dia dos negócios, ao contratar fornecedores e utilizar ferramentas estrangeiras para diversas atividades. Exemplos disso são uma série de serviços em nuvem como AWS, AZURE, Office 365, MailChimp e tantos outros.
Nesse sentido, o gerenciamento e hospedagem de bancos de dados da empresa, emails, utilização de aplicações para videoconferências, softwares de contabilidade, dentre outros, podem — na prática — implicar em uma transferência internacional de dados.
Especificamente, o tema é disciplinado pelos artigos 33 a 36 da LGPD. A transferência internacional de dados pessoais apenas é permitida nos casos previstos no artigo 33.
Boa parte dessas hipóteses, porém, ainda depende de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD). Além dos casos expressamente autorizados pela ANPD, caberá a ela definir:
● países ou organismos internacionais com nível de proteção de dados pessoais adequado ao da LGPD, considerando:
○ as normas gerais e setoriais da legislação em vigor;
○ a natureza dos dados;
○ a observância dos princípios e direitos dos titulares;
○ a adoção de medidas de segurança previstas em regulamento;
○ a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
○ outras circunstâncias específicas relativas à transferência;
● conteúdo de cláusulas-padrão contratuais;
● normas corporativas globais; e
● selos, certificados e códigos de conduta aplicáveis.
Não obstante, algumas regras do artigo 33 devem ser observadas desde já, de modo que a lei autoriza a transferência internacional de dados por empresas nos seguintes casos:
a. Quando o controlador oferece e comprova garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD, na forma de cláusulas contratuais específicas para determinada transferência;
b. Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
c. Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; ou
d. Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
Mas existem outras formas das empresas continuarem fazendo a transferência internacional sem infringir a Lei ou os Direitos dos Titulares, mesmo enquanto esperamos pela ANPD.
Assim, considerando as regras previstas na LGPD, é possível a transferência internacional de dados pessoais por empresas no âmbito das atividades de tratamento, desde que todos os contratos sejam adequados às exigências da lei, bem como haja observância aos princípios, às bases legais corretas que fundamentam o tratamento e aos direitos dos titulares de dados.
Infelizmente, a resposta para isso depende de uma consultoria e revisão contratual, não existindo fórmula mágica que possa ser compartilhada e que sirva para todos.
Caso tenha alguma dúvida ou precise de orientação especializada sobre este ou outro tema ligado à proteção de dados e direito digital, a nossa equipe está pronta para lhe atender. É só acessar o site.
Acompanhe a atualização deste assunto, em novo post:
LGPD Update – 27.08.20 – Vigência, ANPD, Multas e o que fazer agora?