por Assis e Mendes | abr 5, 2022 | Direito digital, Direito digital, Direito digital, Direito digital, LGPD, Privacidade, Segurança da Informação

Lei Geral de Proteção de Dados foi citada em centenas de negativas de pedidos via LAI entre 2019 e 2021; especialistas acreditam que governo está ocultando informações.
Adriano Mendes, advogado especialista em proteção de dados.
Fonte: https://tecnoblog.net/especiais/bruno-ignacio/governo-bolsonaro-esta-usando-lgpd-como-pretexto-para-esconder-dados/
por Assis e Mendes | mar 28, 2019 | Sem categoria
Apesar de a Lei Geral de Proteção de Dados (LGPD) só entrar em vigor no próximo ano, as empresas já devem começar a se adequar à nova regulamentação.
Para uma transição eficiente e sem prejuízos é fundamental conhecer bem as novas regras que serão implementadas. E isso inclui os conceitos e nomenclaturas que a LGPD vai introduzir no mercado brasileiro.
A seguir, separamos 11 termos que você precisa conhecer para se adequar a LGPD.
Autoridade nacional: de acordo com o texto da Lei Geral de Proteção de Dados a Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade que vai ajudar a regular e fiscalizar o cumprimento da LGPD.
Esse órgão já era citado no texto original, mas a medida provisória 869/18 foi responsável por caracterizá-lo como uma autoridade pública integrante da Presidência da República.
A medida provisória também detalhou os atributos da ANPD, que se resumem em editar as normas de proteção de dados, monitorar o cumprimento da lei, implementar ferramentas que melhorem a comunicação entre empresas, autoridades e titulares, fazer estudos sobre proteção de dados no exterior e aplicar sanções.
Controlador: a lei define como controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em outras palavras, toda pessoa física ou jurídica que recolha informações pessoais é considerada um controlador.
É importante frisar que o controlador só pode recolher dados caso o titular tenha autorizado ou em algumas situações específicas, como em casos de pesquisa. Também cabe ao controlador manter o sigilo dos dados confiados a ele e prestar contas às autoridades.
Encarregado: o encarregado é a figura que faz a intermediação entre o controlador, o titular e a ANPD. Também chamado de DPO (Data Protection Officer), essa pessoa física ou jurídica é indicada por quem está recolhendo os dados.
De acordo com o texto da lei de proteção de dados, as atribuições do encarregado são: aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Dado pessoal: a lei 13709/18 considera como dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”. Ou seja, tudo que puder ajudar a identificar uma pessoa pode ser considerado dado pessoal.
Nesse sentido, além de informações como endereço, nome completo e CPF, por exemplo, fotografias, gravações de vídeo e áudio, e‑mails, preferências de compras e dados bancários também podem ser encarados como dados pessoais.
A LGPD aborda outros dois tipos de dados, os anonimizados e os sensíveis.
Dado anonimizado: é descrito como “dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Em outras palavras, trata-se de uma informação que foi descaracterizada em algum nível para que o seu titular não possa mais ser identificado, mas que ainda é importante para o controlador.
O artigo 12 ainda afirma que os dados anonimizados não são considerados pessoais e a legislação não se aplica a eles, salvo em casos em que o processo de anonimização for revertido.
Esse ponto abre espaço para que se imagine que é possível identificar o titular de um dado anomizado de alguma maneira.
Dado sensível: são informações bem particulares e íntimas do titular, como dados relativos à etnia, opinião política, convicção religiosa ou sexual. Essas informações são tidas como mais delicadas e, por isso, o controlador só deve solicitá-las para finalidades bastante específicas.
Apesar disso, os dados sensíveis também podem ser coletados sem o consentimento do titular ou de seu responsável, desde que seja necessário para o cumprimento da legislação, solicitado pela administração pública, utilizado em pesquisas, para ser regulador de direitos ou ainda para a tutela da vida e da saúde.
Operador: é a empresa ou profissional diretamente responsável pelo tratamento dos dados. Tanto o operador quanto o controlador devem manter registros sobre o tratamento de dados. A ANPD pode solicitar esses relatórios para verificar se os procedimentos estão em conformidade com a lei.
O controlador e o operador também têm responsabilidade sobre o vazamento ou qualquer tipo de danos causados aos titulares. A seção que trata sobre ressarcimento de danos determina que “o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei”
Portabilidade de dados: o texto da LGPD não tem um conceito definido para portabilidade de dados, mas podemos considerar que se trata da migração de informações de um canal para o outro.
Por exemplo, caso você tenha contratado um plano de telefonia com uma empresa e deseja migrar para outra operadora, a primeira companhia deve facilitar o processo e enviar suas informações para a nova contratada.
Importante dizer que a portabilidade deve ser solicitada pelo titular e que a antiga controladora não pode reter nenhum tipo de informação.
Relatório de impacto: é descrito como uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Como mencionamos, esses relatórios devem ser feitos pelo operador e pelo controlador e podem ser solicitados pela ANPD. Neste material podem ser suprimidas informações de segredos comercial e industrial.
Tratamento de dados: toda operação que utiliza informações pessoais, incluindo a coleta, classificação, reprodução, transmissão e armazenamento. Para efeitos legais, qualquer empresa ou pessoa física que faça tratamento de dados deve observar as orientações da Lei Geral de Proteção de Dados e se adequar a ela.
Uso compartilhado de dados: é o compartilhamento de informações pessoais por duas ou mais empresas, órgãos ou pessoas.
É legal se tiver como finalidade o cumprimento de suas competências legais e se houver autorização específica. Caso o compartilhamento de dados sensíveis esteja ligado a vantagens econômicas, poderá ser objeto de vedação e sanções legais. E isso deve valer para entidades públicas e privadas.
O titular tem o direito de saber se os dados pessoais que compartilhou com uma empresa estão sendo compartilhados com outras companhias e qual a finalidade da partilha.
por Assis e Mendes | maio 18, 2018 | Direito digital
Diariamente nossos dados e informações pessoais são captados por empresas na internet. Podem ser redes sociais, e‑commerces e até mesmo sites de notícias que captam nossos dados para usar em campanhas de marketing, pesquisas de mercado e outras finalidades.
Mas quem é que delimita o que a internet sabe sobre cada usuário e como as empresas utilizam essas informações pessoais?
A União Europeia diz que são os próprios usuários. Por meio do GDPR, a UE tem estimulado empresas do mundo inteiro a rever seus processos de captação e processamento de dados de usuário na web, e o Brasil também caminha com propostas que priorizam a privacidade na internet.
Isso porque, além da necessidade de implementar as orientações do GDPR, tornam-se cada vez mais frequentes os casos de vazamento de dados e crimes cibernéticos, como os ransomwares, o que mostra o quanto é importante fortalecer os parâmetros necessários para proteção na internet.
Além do Marco Civil, hoje a principal lei responsável por regular a internet brasileira, muitos documentos legais já garantem a privacidade e a proteção de informação dos usuários fora da internet e que, em teoria, devem valer para o universo online.
A própria Constituição Federal, no art. 5º, inciso X, defende que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito à indenização pelo dano material ou moral decorrente de sua violação”. E o art. 43 do Código de Defesa do Consumidor reforça, afirmando que “o consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes”.
Apesar disso, o mundo digital ainda é um pouco nebuloso para a legislação atual, e é por isso que existem diversos projetos de lei que visam a melhorar a forma como as informações do público são obtidas e utilizadas.
Na sequência, vamos conhecer alguns deles e quais são suas propostas para melhorar a proteção dos dados na internet.
Conceito de dados pessoais e sua ligação com a dignidade (PL 5276/16)
A definição do que são dados pessoais e seu tratamento ainda é um pouco controversa, e a PL 5276/16, apresentada pelo governo de Dilma Rousseff, propõe dois conceitos.
De acordo com o projeto de lei, os dados pessoais seriam “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”, enquanto o tratamento dos dados são “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Além dos conceitos, o PL 5276/16 relaciona o tratamento dos dados diretamente com a dignidade do ser humano, considerando que sua exploração pode impactar no bem-estar e na moral do cidadão.
Considerando isso, exige que as informações só possam ser administradas mediante a autorização expressa de seu dono e que o uso de dados considerados “sensíveis”, como opção sexual e visão política, sejam restringidos. A proposta idealiza, também, uma agência especial para regular o setor que capta, processa e utiliza dados pessoais.
Setor autorregulado (PL 4060/12)
Mais recentemente, o PL 5276/16 foi apensado ao PL 4060/12, de autoria do deputado Milton Monti, e ele legitima o interesse de captar e explorar dados pessoais em certos segmentos.
Apesar disso, a sugestão do PL 4060/12 é que o setor seja autorregulado, ou seja, as próprias empresas que captam e processam as informações definem suas regras e boas práticas, ao invés de ter um órgão específico para esse papel.
O projeto de lei ainda garante aos usuários o poder de requerer o bloqueio de seus dados, impedindo as empresas de os utilizar, um ponto bastante parecido com o que foi definido no GDPR.
Proibição com compartilhamento de dados pessoais (PL 6291/16)
De autoria do deputado João Derly, o PL 6291/16 é um pouco mais específico do que os outros projetos de lei citados até o momento. A proposta do deputado é modificar o Marco Civil da Internet de forma a proibir o compartilhamento de dados dos assinantes de aplicações de internet.
Agora apensado ao PL 5276/16, a ideia é que empresas como WhatsApp, Facebook e Google, por exemplo, detenham um grande volume de informações pessoais e altamente confidenciais de seus usuários, e que é importante garantir que essas companhias não vão compartilhar esses dados.
A proposta mostrou-se bastante atual depois do escândalo do compartilhamento de informações do Facebook em abril deste ano, quando uma reportagem no jornal americano New York Times acusava a rede social de dividir informações de um quizz com uma consultoria. A estimativa é de que cerca de 87 milhões de dados tenham sido compartilhados indevidamente.
A situação tornou-se ainda mais grave quando se apontou que as informações partilhadas podem ter sido utilizadas para influenciar os resultados das eleições presidenciais americanas, em 2016.
E você, o que achou desses projetos de lei em desenvolvimento no Brasil? Acredita que eles podem melhorar a forma como os seus dados pessoais são processados pelas grandes empresas? Comente!

por Assis e Mendes | maio 15, 2018 | Direito Empresarial
Conforme o dia 25 de maio se aproxima, data em que o GDPR começará a vigorar, as empresas começam uma corrida contra o tempo para garantir que seus procedimentos de coleta e processamento de dados estarão de acordo com o recomendado.
Para quem ainda não sabe, o GDPR (General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados) é a nova lei europeia de privacidade e tem como objetivo principal garantir que todos os dados recolhidos de usuários da internet sejam processados de forma transparente e segura e dar ao público a chance de decidir como suas informações são utilizadas.
Apesar de ser uma diretiva que nasceu na Europa, o GDPR afeta todas as empresas que realizam qualquer tipo de negócio na União Europeia. Ou seja, qualquer companhia que tenha clientes europeus, processe ou armazene dados no continente deverá, obrigatoriamente, atender às determinações do GDPR.
Apesar das graves consequências de não cumprir as orientações da diretiva, que envolvem multas que podem chegar a 20 milhões de euros ou 4% do faturamento anual da empresa, uma pesquisa realizada pela Commvault identificou que apenas 12% das marcas estavam em compliance com o GDPR até fevereiro deste ano.
Mas e quanto a sua empresa? Já está pronta para a regulamentação que deve ser implementada nos próximos dias? Se a resposta é não, saiba o que é preciso fazer para começar a se adaptar às novas regras que chegam com o GDPR.
Ter uma boa assessoria jurídica
Essa não é questão obrigatória do GDPR, mas é um ponto chave para se resguardar juridicamente de todas as questões legais que envolvem a privacidade e a segurança na internet.
Uma boa assessoria jurídica especializada em Direito Digital e Empresarial, como a Assis e Mendes, é fundamental para que a empresa possa identificar riscos e vulnerabilidades que podem gerar problemas judiciais, criar ferramentas de proteção e gestão de crise, como os Termos de Uso e Políticas de Privacidade, e proteger o seu negócio de qualquer questão jurídica que possa surgir como fruto do recolhimento e processamento de dados dos seus clientes.
Criar um plano de ação para vazamento de dados
Infelizmente, nem as grandes corporações estão livres de vazamento de dados. Prova disso é que até empresas como Netflix, LinkedIn, Netshoes, Uber e, mais recentemente, o Facebook, já apresentaram falhas em seus sistemas de segurança que culminaram no vazamento de milhões de informações de seus clientes.
Além da necessidade de estar sempre reavaliando e reforçando as barreiras tecnológicas que protegem a privacidade dos usuários, o GDPR exige que as empresas notifiquem rapidamente os consumidores que seus dados foram expostos.
Para isso, é fundamental implementar um procedimento que identifique o vazamento o quanto antes, identifique os usuários que foram prejudicados e gere uma notificação do que aconteceu. O ideal é criar esses sistemas antes da quebra de sigilo, já que o GDPR determina que os usuários sejam avisados em, no máximo, 72 horas.
Ter sistemas mais transparentes
Outro ponto bastante importante do GDPR é trazer mais transparência ao processamento de dados, e isso exige que as empresas criem sistemas e guias que permitam que o usuário saiba quanto, como e quais dados serão recolhidos e o que está sendo feito com eles.
Os controladores devem, inclusive, deixar que o usuário escolha que a empresa apague os seus dados, um conceito bastante semelhante ao Direito do Esquecimento, ou mesmo que suas informações sejam movidas para outras empresas, algo que está sendo chamado de portabilidade dos dados.
Para garantir todas essas ações, os sistemas de processamento de dados e as rotinas dos profissionais devem ser atualizadas o quanto antes. Já existem, também, opções de programas que fazem a administração dos dados seguindo os parâmetros do GDPR, o que pode fazer a migração de sistema uma opção interessante.
Se você também precisa de auxílio para entrar em compliance com as determinações do GDPR, não deixe de conhecer a Assis e Mendes Advogados, um escritório que conta com especialistas em Direito Empresarial e que vai ajudá-lo a fazer todos os ajustes necessários para manter a sua proteção e a de seus clientes.

por Assis e Mendes | fev 20, 2018 | Direito Empresarial
No ambiente corporativo já se tornou praticamente comum que as empresas monitorem os e‑mails de seus colaboradores.
E, conforme a tecnologia avança, outros aparatos, como celulares e redes sociais de funcionários, também têm sido monitorados. Mas será que essa vigilância se caracteriza como um direito legítimo das empresas ou trata-se de invasão de privacidade?
O assunto, realmente, pode ser um pouco polêmico, mas, antes de tomar um dos lados, é preciso entender a natureza do monitoramento de e‑mails e outros serviços e dispositivos usados pelos colaboradores e qual a importância disso.
Dificilmente uma empresa supervisiona as ações de seus funcionários sem um motivo para isso. Muitas vezes, nos e‑mails, mensagens e telefonemas são tratados assuntos sigilosos e que exigem atenção da marca.
Por exemplo, vamos imaginar que um funcionário esteja passando informações falsas para um cliente com o objetivo de facilitar a assinatura de contrato, o que faria com que o vendedor recebesse uma boa comissão.
Se a empresa em questão monitora a comunicação entre o cliente e o vendedor a tempo e detecta o que está acontecendo, pode evitar que o consumidor seja enganado e se livrar de um duro processo judicial no futuro.
Nesse sentido, o monitoramento torna-se uma ferramenta importante de prevenção e gestão para as empresas.
Monitoramento é invasão de privacidade?
Mas a maior questão que envolve esse assunto não é só o entendimento sobre a necessidade da supervisão, mas encarar esse controle como uma forma de interceptação e invasão de privacidade.
Esse ponto de vista pode até fazer sentido em um primeiro momento, mas é um problema que pode ser facilmente resolvido quando pensamos que a empresa monitora apenas as ferramentas que já são suas. E não é possível interceptar algo que já está sob seu controle.
O e‑mail corporativo é uma propriedade da empresa e, bem como um smartphone ou notebook fornecidos pela companhia, são ferramentas de trabalho, e devem ser utilizadas para isso. E se é o trabalho que está sendo acompanhado, e não a vida pessoal do colaborador, não se trata diretamente de invasão de privacidade.
O que o funcionário deve saber, porém, é que, se usa essas ferramentas de trabalho para fins pessoais, o conteúdo também estará sendo monitorado pela empresa, já que o instrumento é dela.
Por exemplo, vamos imaginar que você trabalhe em uma confecção de roupas e use o maquinário da empresa para fazer o corte das peças que serão comercializadas. Tanto os equipamentos quanto os insumos e os produtos finais são da organização, certo?
Se um dia você decide comprar um tecido para cortar uma peça para você, com o maquinário da empresa, é fácil perceber que essa não é uma atitude totalmente correta, afinal, você estará usando uma ferramenta que não é sua para um fim pessoal, o que dá à marca o direito de reprovar sua atitude.
O caso do monitoramento de e‑mails e outros softwares e dispositivos é bem parecido. Se você usa seu endereço de trabalho para enviar mensagens pessoais, também está usando uma ferramenta que não é sua para um objetivo pessoal.
Se a marca monitora os e‑mails, que são suas ferramentas, todo o conteúdo que for transmitido por meio deles também será controlado, independentemente de ser ou não assunto relacionado ao trabalho.
Com isso, o melhor, se um funcionário não quer que seu empregador tenha acesso a tópicos pessoais, é não usar as ferramentas de trabalho para isso.
Monitoramento transparente: o segredo para um controle efetivo
Depois de uma reflexão, fica claro que, mesmo que o funcionário as use todo dia, ferramentas de trabalho ainda são de propriedade da empresa. Mas muitas pessoas ainda não têm esse conceito totalmente claro.
Pensando nisso, o que você, enquanto empregador, deve fazer para lidar com isso é tratar esse assunto com o máximo de transparência possível.
O ideal é que sua equipe sempre saiba quais dispositivos e softwares são monitorados e por que isso acontece, para que todos sintam que não estão sendo “espionados”, mas sim que têm o trabalho acompanhado por outras pessoas, e apenas isso.
Também é muito importante que sua empresa desenhe políticas de monitoramento e as exponha para os colaboradores, para que eles saibam quais serão os limites dessa supervisão.
Por fim, garanta que o monitoramento será de acordo com a função e as tarefas de cada funcionário e que toda a equipe será monitorada de forma coerente e igualitária.