por admin | mar 28, 2019 | Direito digital
Apesar de a Lei Geral de Proteção de Dados (LGPD) só entrar em vigor no próximo ano, as empresas já devem começar a se adequar à nova regulamentação.
Para uma transição eficiente e sem prejuízos é fundamental conhecer bem as novas regras que serão implementadas. E isso inclui os conceitos e nomenclaturas que a LGPD vai introduzir no mercado brasileiro.
A seguir, separamos 11 termos que você precisa conhecer para se adequar a LGPD.
Autoridade nacional: de acordo com o texto da Lei Geral de Proteção de Dados a Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade que vai ajudar a regular e fiscalizar o cumprimento da LGPD.
Esse órgão já era citado no texto original, mas a medida provisória 869/18 foi responsável por caracterizá-lo como uma autoridade pública integrante da Presidência da República.
A medida provisória também detalhou os atributos da ANPD, que se resumem em editar as normas de proteção de dados, monitorar o cumprimento da lei, implementar ferramentas que melhorem a comunicação entre empresas, autoridades e titulares, fazer estudos sobre proteção de dados no exterior e aplicar sanções.
Controlador: a lei define como controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em outras palavras, toda pessoa física ou jurídica que recolha informações pessoais é considerada um controlador.
É importante frisar que o controlador só pode recolher dados caso o titular tenha autorizado ou em algumas situações específicas, como em casos de pesquisa. Também cabe ao controlador manter o sigilo dos dados confiados a ele e prestar contas às autoridades.
Encarregado: o encarregado é a figura que faz a intermediação entre o controlador, o titular e a ANPD. Também chamado de DPO (Data Protection Officer), essa pessoa física ou jurídica é indicada por quem está recolhendo os dados.
De acordo com o texto da lei de proteção de dados, as atribuições do encarregado são: aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Dado pessoal: a lei 13709/18 considera como dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”. Ou seja, tudo que puder ajudar a identificar uma pessoa pode ser considerado dado pessoal.
Nesse sentido, além de informações como endereço, nome completo e CPF, por exemplo, fotografias, gravações de vídeo e áudio, e‑mails, preferências de compras e dados bancários também podem ser encarados como dados pessoais.
A LGPD aborda outros dois tipos de dados, os anonimizados e os sensíveis.
Dado anonimizado: é descrito como “dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Em outras palavras, trata-se de uma informação que foi descaracterizada em algum nível para que o seu titular não possa mais ser identificado, mas que ainda é importante para o controlador.
O artigo 12 ainda afirma que os dados anonimizados não são considerados pessoais e a legislação não se aplica a eles, salvo em casos em que o processo de anonimização for revertido.
Esse ponto abre espaço para que se imagine que é possível identificar o titular de um dado anomizado de alguma maneira.
Dado sensível: são informações bem particulares e íntimas do titular, como dados relativos à etnia, opinião política, convicção religiosa ou sexual. Essas informações são tidas como mais delicadas e, por isso, o controlador só deve solicitá-las para finalidades bastante específicas.
Apesar disso, os dados sensíveis também podem ser coletados sem o consentimento do titular ou de seu responsável, desde que seja necessário para o cumprimento da legislação, solicitado pela administração pública, utilizado em pesquisas, para ser regulador de direitos ou ainda para a tutela da vida e da saúde.
Operador: é a empresa ou profissional diretamente responsável pelo tratamento dos dados. Tanto o operador quanto o controlador devem manter registros sobre o tratamento de dados. A ANPD pode solicitar esses relatórios para verificar se os procedimentos estão em conformidade com a lei.
O controlador e o operador também têm responsabilidade sobre o vazamento ou qualquer tipo de danos causados aos titulares. A seção que trata sobre ressarcimento de danos determina que “o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei”
Portabilidade de dados: o texto da LGPD não tem um conceito definido para portabilidade de dados, mas podemos considerar que se trata da migração de informações de um canal para o outro.
Por exemplo, caso você tenha contratado um plano de telefonia com uma empresa e deseja migrar para outra operadora, a primeira companhia deve facilitar o processo e enviar suas informações para a nova contratada.
Importante dizer que a portabilidade deve ser solicitada pelo titular e que a antiga controladora não pode reter nenhum tipo de informação.
Relatório de impacto: é descrito como uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Como mencionamos, esses relatórios devem ser feitos pelo operador e pelo controlador e podem ser solicitados pela ANPD. Neste material podem ser suprimidas informações de segredos comercial e industrial.
Tratamento de dados: toda operação que utiliza informações pessoais, incluindo a coleta, classificação, reprodução, transmissão e armazenamento. Para efeitos legais, qualquer empresa ou pessoa física que faça tratamento de dados deve observar as orientações da Lei Geral de Proteção de Dados e se adequar a ela.
Uso compartilhado de dados: é o compartilhamento de informações pessoais por duas ou mais empresas, órgãos ou pessoas.
É legal se tiver como finalidade o cumprimento de suas competências legais e se houver autorização específica. Caso o compartilhamento de dados sensíveis esteja ligado a vantagens econômicas, poderá ser objeto de vedação e sanções legais. E isso deve valer para entidades públicas e privadas.
O titular tem o direito de saber se os dados pessoais que compartilhou com uma empresa estão sendo compartilhados com outras companhias e qual a finalidade da partilha.
![GDPR: Projetos de Lei no Brasil para regulamentação da proteção de dados]()
por admin | maio 18, 2018 | Direito digital
Diariamente nossos dados e informações pessoais são captados por empresas na internet. Podem ser redes sociais, e‑commerces e até mesmo sites de notícias que captam nossos dados para usar em campanhas de marketing, pesquisas de mercado e outras finalidades.
Mas quem é que delimita o que a internet sabe sobre cada usuário e como as empresas utilizam essas informações pessoais?
A União Europeia diz que são os próprios usuários. Por meio do GDPR, a UE tem estimulado empresas do mundo inteiro a rever seus processos de captação e processamento de dados de usuário na web, e o Brasil também caminha com propostas que priorizam a privacidade na internet.
Isso porque, além da necessidade de implementar as orientações do GDPR, tornam-se cada vez mais frequentes os casos de vazamento de dados e crimes cibernéticos, como os ransomwares, o que mostra o quanto é importante fortalecer os parâmetros necessários para proteção na internet.
Além do Marco Civil, hoje a principal lei responsável por regular a internet brasileira, muitos documentos legais já garantem a privacidade e a proteção de informação dos usuários fora da internet e que, em teoria, devem valer para o universo online.
A própria Constituição Federal, no art. 5º, inciso X, defende que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito à indenização pelo dano material ou moral decorrente de sua violação”. E o art. 43 do Código de Defesa do Consumidor reforça, afirmando que “o consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes”.
Apesar disso, o mundo digital ainda é um pouco nebuloso para a legislação atual, e é por isso que existem diversos projetos de lei que visam a melhorar a forma como as informações do público são obtidas e utilizadas.
Na sequência, vamos conhecer alguns deles e quais são suas propostas para melhorar a proteção dos dados na internet.
Conceito de dados pessoais e sua ligação com a dignidade (PL 5276/16)
A definição do que são dados pessoais e seu tratamento ainda é um pouco controversa, e a PL 5276/16, apresentada pelo governo de Dilma Rousseff, propõe dois conceitos.
De acordo com o projeto de lei, os dados pessoais seriam “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”, enquanto o tratamento dos dados são “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Além dos conceitos, o PL 5276/16 relaciona o tratamento dos dados diretamente com a dignidade do ser humano, considerando que sua exploração pode impactar no bem-estar e na moral do cidadão.
Considerando isso, exige que as informações só possam ser administradas mediante a autorização expressa de seu dono e que o uso de dados considerados “sensíveis”, como opção sexual e visão política, sejam restringidos. A proposta idealiza, também, uma agência especial para regular o setor que capta, processa e utiliza dados pessoais.
Setor autorregulado (PL 4060/12)
Mais recentemente, o PL 5276/16 foi apensado ao PL 4060/12, de autoria do deputado Milton Monti, e ele legitima o interesse de captar e explorar dados pessoais em certos segmentos.
Apesar disso, a sugestão do PL 4060/12 é que o setor seja autorregulado, ou seja, as próprias empresas que captam e processam as informações definem suas regras e boas práticas, ao invés de ter um órgão específico para esse papel.
O projeto de lei ainda garante aos usuários o poder de requerer o bloqueio de seus dados, impedindo as empresas de os utilizar, um ponto bastante parecido com o que foi definido no GDPR.
Proibição com compartilhamento de dados pessoais (PL 6291/16)
De autoria do deputado João Derly, o PL 6291/16 é um pouco mais específico do que os outros projetos de lei citados até o momento. A proposta do deputado é modificar o Marco Civil da Internet de forma a proibir o compartilhamento de dados dos assinantes de aplicações de internet.
Agora apensado ao PL 5276/16, a ideia é que empresas como WhatsApp, Facebook e Google, por exemplo, detenham um grande volume de informações pessoais e altamente confidenciais de seus usuários, e que é importante garantir que essas companhias não vão compartilhar esses dados.
A proposta mostrou-se bastante atual depois do escândalo do compartilhamento de informações do Facebook em abril deste ano, quando uma reportagem no jornal americano New York Times acusava a rede social de dividir informações de um quizz com uma consultoria. A estimativa é de que cerca de 87 milhões de dados tenham sido compartilhados indevidamente.
A situação tornou-se ainda mais grave quando se apontou que as informações partilhadas podem ter sido utilizadas para influenciar os resultados das eleições presidenciais americanas, em 2016.
E você, o que achou desses projetos de lei em desenvolvimento no Brasil? Acredita que eles podem melhorar a forma como os seus dados pessoais são processados pelas grandes empresas? Comente!
![GDPR: Projetos de Lei no Brasil para regulamentação da proteção de dados]()
por admin | maio 15, 2018 | Direito digital, Direito Empresarial
Conforme o dia 25 de maio se aproxima, data em que o GDPR começará a vigorar, as empresas começam uma corrida contra o tempo para garantir que seus procedimentos de coleta e processamento de dados estarão de acordo com o recomendado.
Para quem ainda não sabe, o GDPR (General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados) é a nova lei europeia de privacidade e tem como objetivo principal garantir que todos os dados recolhidos de usuários da internet sejam processados de forma transparente e segura e dar ao público a chance de decidir como suas informações são utilizadas.
Apesar de ser uma diretiva que nasceu na Europa, o GDPR afeta todas as empresas que realizam qualquer tipo de negócio na União Europeia. Ou seja, qualquer companhia que tenha clientes europeus, processe ou armazene dados no continente deverá, obrigatoriamente, atender às determinações do GDPR.
Apesar das graves consequências de não cumprir as orientações da diretiva, que envolvem multas que podem chegar a 20 milhões de euros ou 4% do faturamento anual da empresa, uma pesquisa realizada pela Commvault identificou que apenas 12% das marcas estavam em compliance com o GDPR até fevereiro deste ano.
Mas e quanto a sua empresa? Já está pronta para a regulamentação que deve ser implementada nos próximos dias? Se a resposta é não, saiba o que é preciso fazer para começar a se adaptar às novas regras que chegam com o GDPR.
Ter uma boa assessoria jurídica
Essa não é questão obrigatória do GDPR, mas é um ponto chave para se resguardar juridicamente de todas as questões legais que envolvem a privacidade e a segurança na internet.
Uma boa assessoria jurídica especializada em Direito Digital e Empresarial, como a Assis e Mendes, é fundamental para que a empresa possa identificar riscos e vulnerabilidades que podem gerar problemas judiciais, criar ferramentas de proteção e gestão de crise, como os Termos de Uso e Políticas de Privacidade, e proteger o seu negócio de qualquer questão jurídica que possa surgir como fruto do recolhimento e processamento de dados dos seus clientes.
Criar um plano de ação para vazamento de dados
Infelizmente, nem as grandes corporações estão livres de vazamento de dados. Prova disso é que até empresas como Netflix, LinkedIn, Netshoes, Uber e, mais recentemente, o Facebook, já apresentaram falhas em seus sistemas de segurança que culminaram no vazamento de milhões de informações de seus clientes.
Além da necessidade de estar sempre reavaliando e reforçando as barreiras tecnológicas que protegem a privacidade dos usuários, o GDPR exige que as empresas notifiquem rapidamente os consumidores que seus dados foram expostos.
Para isso, é fundamental implementar um procedimento que identifique o vazamento o quanto antes, identifique os usuários que foram prejudicados e gere uma notificação do que aconteceu. O ideal é criar esses sistemas antes da quebra de sigilo, já que o GDPR determina que os usuários sejam avisados em, no máximo, 72 horas.
Ter sistemas mais transparentes
Outro ponto bastante importante do GDPR é trazer mais transparência ao processamento de dados, e isso exige que as empresas criem sistemas e guias que permitam que o usuário saiba quanto, como e quais dados serão recolhidos e o que está sendo feito com eles.
Os controladores devem, inclusive, deixar que o usuário escolha que a empresa apague os seus dados, um conceito bastante semelhante ao Direito do Esquecimento, ou mesmo que suas informações sejam movidas para outras empresas, algo que está sendo chamado de portabilidade dos dados.
Para garantir todas essas ações, os sistemas de processamento de dados e as rotinas dos profissionais devem ser atualizadas o quanto antes. Já existem, também, opções de programas que fazem a administração dos dados seguindo os parâmetros do GDPR, o que pode fazer a migração de sistema uma opção interessante.
Se você também precisa de auxílio para entrar em compliance com as determinações do GDPR, não deixe de conhecer a Assis e Mendes Advogados, um escritório que conta com especialistas em Direito Empresarial e que vai ajudá-lo a fazer todos os ajustes necessários para manter a sua proteção e a de seus clientes.
por admin | fev 20, 2018 | Direito digital, Direito Empresarial
No ambiente corporativo já se tornou praticamente comum que as empresas monitorem os e‑mails de seus colaboradores.
E, conforme a tecnologia avança, outros aparatos, como celulares e redes sociais de funcionários, também têm sido monitorados. Mas será que essa vigilância se caracteriza como um direito legítimo das empresas ou trata-se de invasão de privacidade?
O assunto, realmente, pode ser um pouco polêmico, mas, antes de tomar um dos lados, é preciso entender a natureza do monitoramento de e‑mails e outros serviços e dispositivos usados pelos colaboradores e qual a importância disso.
Dificilmente uma empresa supervisiona as ações de seus funcionários sem um motivo para isso. Muitas vezes, nos e‑mails, mensagens e telefonemas são tratados assuntos sigilosos e que exigem atenção da marca.
Por exemplo, vamos imaginar que um funcionário esteja passando informações falsas para um cliente com o objetivo de facilitar a assinatura de contrato, o que faria com que o vendedor recebesse uma boa comissão.
Se a empresa em questão monitora a comunicação entre o cliente e o vendedor a tempo e detecta o que está acontecendo, pode evitar que o consumidor seja enganado e se livrar de um duro processo judicial no futuro.
Nesse sentido, o monitoramento torna-se uma ferramenta importante de prevenção e gestão para as empresas.
Monitoramento é invasão de privacidade?
Mas a maior questão que envolve esse assunto não é só o entendimento sobre a necessidade da supervisão, mas encarar esse controle como uma forma de interceptação e invasão de privacidade.
Esse ponto de vista pode até fazer sentido em um primeiro momento, mas é um problema que pode ser facilmente resolvido quando pensamos que a empresa monitora apenas as ferramentas que já são suas. E não é possível interceptar algo que já está sob seu controle.
O e‑mail corporativo é uma propriedade da empresa e, bem como um smartphone ou notebook fornecidos pela companhia, são ferramentas de trabalho, e devem ser utilizadas para isso. E se é o trabalho que está sendo acompanhado, e não a vida pessoal do colaborador, não se trata diretamente de invasão de privacidade.
O que o funcionário deve saber, porém, é que, se usa essas ferramentas de trabalho para fins pessoais, o conteúdo também estará sendo monitorado pela empresa, já que o instrumento é dela.
Por exemplo, vamos imaginar que você trabalhe em uma confecção de roupas e use o maquinário da empresa para fazer o corte das peças que serão comercializadas. Tanto os equipamentos quanto os insumos e os produtos finais são da organização, certo?
Se um dia você decide comprar um tecido para cortar uma peça para você, com o maquinário da empresa, é fácil perceber que essa não é uma atitude totalmente correta, afinal, você estará usando uma ferramenta que não é sua para um fim pessoal, o que dá à marca o direito de reprovar sua atitude.
O caso do monitoramento de e‑mails e outros softwares e dispositivos é bem parecido. Se você usa seu endereço de trabalho para enviar mensagens pessoais, também está usando uma ferramenta que não é sua para um objetivo pessoal.
Se a marca monitora os e‑mails, que são suas ferramentas, todo o conteúdo que for transmitido por meio deles também será controlado, independentemente de ser ou não assunto relacionado ao trabalho.
Com isso, o melhor, se um funcionário não quer que seu empregador tenha acesso a tópicos pessoais, é não usar as ferramentas de trabalho para isso.
Monitoramento transparente: o segredo para um controle efetivo
Depois de uma reflexão, fica claro que, mesmo que o funcionário as use todo dia, ferramentas de trabalho ainda são de propriedade da empresa. Mas muitas pessoas ainda não têm esse conceito totalmente claro.
Pensando nisso, o que você, enquanto empregador, deve fazer para lidar com isso é tratar esse assunto com o máximo de transparência possível.
O ideal é que sua equipe sempre saiba quais dispositivos e softwares são monitorados e por que isso acontece, para que todos sintam que não estão sendo “espionados”, mas sim que têm o trabalho acompanhado por outras pessoas, e apenas isso.
Também é muito importante que sua empresa desenhe políticas de monitoramento e as exponha para os colaboradores, para que eles saibam quais serão os limites dessa supervisão.
Por fim, garanta que o monitoramento será de acordo com a função e as tarefas de cada funcionário e que toda a equipe será monitorada de forma coerente e igualitária.
por admin | nov 28, 2017 | Direito digital
Em abril de 2017, a Lei nº 12.965/14, mais conhecida como Marco Civil da internet, completou 3 anos de existência, mas muita gente ainda não sabe do que se trata a proposta que prometia mudar a internet brasileira.
Se você é uma delas, não tem problema. Vamos explicar tudo o que você precisa saber sobre o que é e qual a importância do Marco Civil no país.
O que é Marco Civil?
O Marco Civil foi criado para ser a lei que trata especificamente sobre a internet, já que nenhuma das outras conseguia se adequar tão bem ao mundo digital. O projeto foi polêmico desde o princípio, ficou três anos em trâmite na Câmara e sofreu mais de 50 tentativas de alteração por parte do Senado e do Congresso Nacional.
Veja, a seguir, alguns dos mais importantes princípios nos quais o Marco Civil da internet é baseado:
Neutralidade da rede: esse princípio defende que o acesso à internet deve ser igual para todos. O usuário deve pagar por um pacote de volume de dados e ser livre para acessar aquilo que quiser, não podendo ser cobrado a mais ou a menos pelo tipo de página ou serviço que acessa.
Privacidade na web: teoricamente, por meio do Marco Civil da internet, o brasileiro teria direito à privacidade, sendo que qualquer tipo de troca de dados e informações pessoais do usuário seriam mantidos em sigilo absoluto. A única forma de acessar conteúdos particulares de alguém seria por ordem judicial, para a investigação de um crime.
Esse princípio ainda identifica como criminosas as empresas brasileiras de internet que mal utilizarem ou divulgarem informações dos seus usuários que firam a privacidade deles. As penas para o descumprimento dessa parte do Marco Civil variam desde multas até o encerramento da empresa.
Registros de acesso: o Marco Civil também proíbe que os provedores de internet guardem dados e registros de acesso dos consumidores sem que haja um propósito específico e o acordo prévio com o usuário. Dessa forma, qualquer “rastro” deixado em sites não poderá ser armazenado pelas empresas que oferecem serviços de conexão. Mesmo empresas estrangeiras que têm operação no Brasil devem respeitar essa regra.
Obrigações do governo: nesta parte do Marco Civil o governo brasileiro se compromete a estimular a expansão e o desenvolvimento da internet no país, que é entendida como uma forma de promover informação, conhecimento e cultura para o povo brasileiro.
Liberdade de expressão: também é garantido pelo Marco Civil o direito à liberdade de expressão, algo que é frisado no texto como “sendo condição para o pleno exercício do direito de acesso à internet”.
Ameaças para o Marco Civil
De 2014 para cá houve inúmeras tentativas de alterar e atualizar cláusulas do Marco Civil, principalmente no que diz respeito à limitação de franquias de internet móvel e de banda larga no país. Só em 2016 foram mais de 30 projetos com o objetivo de alterar o Marco Civil.
Uma das que foram tidas como uma ameaça foi o Projeto de Lei no 215/2015, que contesta diretamente os princípios de privacidade e armazenamento de dados propostos no Marco Civil.
O Projeto de Lei tinha como objetivo liberar as empresas de internet para guardar informações pessoais dos acessos e atividades de seus usuários e também autorizá-las a entregar essas informações durante investigações, mesmo sem ordem judicial.
Tudo isso monstra que o Brasil caminha rumo a uma internet mais justa e segura e de um judiciário com maior entendimento da necessidade da tecnologia para o desenvolvimento do país, mas ainda há muito o que caminhar para que possamos dizer que a internet no Brasil é livre, democrática e estamos seguros enquanto a acessamos.
