por Assis e Mendes | set 23, 2020 | Direito digital, LGPD, Não categorizado, Privacidade
A Lei Geral de Proteção de Dados (LGPD) finalmente entrou em vigor. Desde 18 de setembro de 2020, as empresas devem observar os fundamentos, princípios e regras gerais da lei nas atividades de tratamento de dados pessoais.
A LGPD faz parte de uma tendência global de proteção aos direitos fundamentais de liberdade e de privacidade, que vem gerando nos últimos anos o desenvolvimento de uma cultura de proteção de dados pessoais.
A Autoridade Nacional de Proteção de Dados (ANPD) ainda não está em funcionamento, pela pendência de nomeação dos seus diretores, e as multas administrativas só poderão ser aplicadas por ela a partir de 1º de agosto de 2021.
Porém, é muito importante que a adequação seja feita agora, garantindo a continuidade de contratos com fornecedores e clientes e evitando a aplicação de sanções via processos judiciais, Ministério Público ou Procon. Com a adequação, a empresa também poderá ter certeza de que sua reputação no mercado estará protegida e que tem como demonstrar que está fazendo o dever de casa.
O QUE É URGENTE?
Os cinco pontos mais importantes e que devem ser priorizados são:
1) Nomeação de DPO: o DPO ou encarregado de dados é a ponte entre a empresa, a ANPD e o titular de dados pessoais e tem como principais atribuições receber as demandas dos titulares e orientar a aplicação da LGPD dentro da empresa.
2) Conscientização: todos os colaboradores, partindo da alta direção até terceirizados, devem passar por treinamentos e ser envolvidos em mecanismos de conscientização da importância da proteção de dados. A mudança é mais fácil e permanente se ficar claro que a proteção dados é uma prioridade da empresa.
3) Mapeamento de dados: pelo mapeamento de dados e fluxos internos, a empresa poderá identificar quais dados são coletados, como eles são utilizados, quem tem acesso às informações, quais as finalidades e bases legais para o tratamento e como implementar medidas de segurança.
4) Adequação de contratos: os contratos com fornecedores e clientes devem ser revisados, para adequar as responsabilidades de cada parte na proteção de dados pessoais. Aqui, todo o cuidado é pouco na hora de identificar qual o papel de cada um no tratamento de dados pessoais (controlador ou operador), evitando problemas posteriores por alocação indevida de deveres e obrigações.
5) Garantia dos direitos dos titulares: é essencial que a empresa seja transparente e implemente mecanismos para receber e atender às solicitações dos titulares, garantindo os direitos previstos em pela LGPD. Esse ponto é crucial para evitar que a empresa sofra com processos judiciais.
ATENÇÃO!
O processo de adequação à LGPD é uma jornada que resulta na mudança de cultura de proteção de dados pela empresa. A lei não deve ser vista como uma limitação proibitiva, mas como uma oportunidade única de melhoria de fluxos internos e descoberta de novos produtos ou serviços que já podem ser oferecidos pela empresa.
A hora é agora de mostrar aos clientes, fornecedores e ao mercado que a empresa está comprometida com a proteção de dados pessoais.
por Assis e Mendes | abr 9, 2019 | Direito digital, Direito digital, Direito Empresarial
A LGPD (Lei Geral de Proteção de Dados) será implementada no próximo ano e as empresas precisam começar a se preparar o quanto antes para as mudanças que a nova legislação vai trazer.
Porém, o grande número de artigos, exceções e os vários detalhes que compõe a LGPD fazem com que os pequenos e médios empreendedores tenham maior dificuldade em assimilar as novas regras e descobrir formas de atende-las com sucesso.
Para não correr o risco de sofrer com as altas multas que a LGPD vai cobrar de quem não estiver em compliance com suas normas, o ideal é encontrar um profissional para ajudar sua empresa na transição.
Veja, a seguir, como ter a ajuda de um especialista em direito digital e direito empresarial pode te ajudar!
Entender a LGPD e seus efeitos
Antes de fazer qualquer mudança é fundamental conhecer bem a LGPD. Se você não tem domínio na área jurídica, uma boa opção é contratar um advogado especializado nesse segmento.
Este profissional poderá te ajudar a compreender quais mudanças a LGPD propõe, quais pontos serão mais críticos para o seu tipo de negócio e que tipo de consequências a nova lei pode ocasionar.
Revisar os processos
Também é fundamental que um especialista em direito digital cheque os seus procedimentos de captação e processamento de dados e avalie seu nível de segurança digital.
Essa análise vai fornecer insights importantes sobre quais etapas da operação podem ser mantidas com mínimas alterações e quais segmentos precisarão ser totalmente remodelados para estar em conformidade com a LGPD.
Aqui, a ideia do profissional será sempre fazer o menor número de alterações possíveis, da forma menos prejudicial e custosa para o negócio.
Traçar um plano de transição
Sabendo como é o seu sistema de processamento de dados atual e como ele deve ser para atender a nova lei brasileira, o advogado traçará um plano para que o seu negócio se adeque às regras da LGPD dentro do prazo e sem prejuízos para a operação.
O advogado deve acompanhar de perto cada fase do planejamento e sugerir pequenas mudanças caso algum processo se prove ineficiente na prática.
Criar novos procedimentos
Além de ajustar os processos já existentes, também pode ser necessário criar novos procedimentos para atender as normas da lei de proteção de dados brasileira.
A nova legislação indica, por exemplo, que a Autoridade Nacional de Proteção de Dados (ANPD), órgão que vai regular o setor, pode solicitar relatórios detalhados sobre o recolhimento de informações. Também é sugerido que as empresas criem protocolos de gestão de crise em caso de vazamento de dados.
Se o seu negócio não desenhou procedimentos como esses, o profissional especializado em direito digital também poderá ajudá-lo na formatação.
Fazer uma ponte com o TI
Muitas vezes o setor de TI está “desligado” da área administrativa da empresa porque os gestores não possuem conhecimento suficiente sobre tecnologia para participar ativamente das estratégias.
Mas o advogado pode ajudar bastante a fazer essa conexão entre as estratégias de transição desenhadas com os gestores e as atividades dos profissionais de TI, tornando a comunicação mais simples e assertiva.
Estruturar uma cultura de proteção de dados
Para que a empresa seja realmente capaz de seguir as novas regras é preciso criar uma verdadeira cultura organizacional que priorize a proteção de dados.
É fundamental que toda a equipe entenda o quanto recolher e manipular informações pessoais é delicado. Também é importante educar os colaboradores para que eles adotem práticas de uso seguro da rede para evitar contaminações por ransomwares e phishing, por exemplo.
Monitorar e atualizar os protocolos
Por fim, depois que a transição for feita e a empresa estiver em compliance com a LGPD, cabe ao advogado também verificar periodicamente se todas as atividades estão sendo desempenhadas corretamente. Ele ainda deve manter o suporte à empresa em caso de dúvidas ou problemas jurídicos.
O advogado especializado em direito digital também poderá atualizar a companhia sobre eventuais mudanças na legislação e boas práticas no tratamento de dados, garantindo que seu cliente esteja sempre em conformidade com a lei e operando da forma mais eficiente possível.
Entendeu como um advogado pode ser fundamental para o seu negócio se adequar à LGPD? Então, consulte os especialistas do Assis e Mendes Advogados e conheça os profissionais que vão te ajudar a fazer uma transição segura, ágil e dentro da lei!
por Assis e Mendes | mar 28, 2019 | Sem categoria
Apesar de a Lei Geral de Proteção de Dados (LGPD) só entrar em vigor no próximo ano, as empresas já devem começar a se adequar à nova regulamentação.
Para uma transição eficiente e sem prejuízos é fundamental conhecer bem as novas regras que serão implementadas. E isso inclui os conceitos e nomenclaturas que a LGPD vai introduzir no mercado brasileiro.
A seguir, separamos 11 termos que você precisa conhecer para se adequar a LGPD.
Autoridade nacional: de acordo com o texto da Lei Geral de Proteção de Dados a Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade que vai ajudar a regular e fiscalizar o cumprimento da LGPD.
Esse órgão já era citado no texto original, mas a medida provisória 869/18 foi responsável por caracterizá-lo como uma autoridade pública integrante da Presidência da República.
A medida provisória também detalhou os atributos da ANPD, que se resumem em editar as normas de proteção de dados, monitorar o cumprimento da lei, implementar ferramentas que melhorem a comunicação entre empresas, autoridades e titulares, fazer estudos sobre proteção de dados no exterior e aplicar sanções.
Controlador: a lei define como controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em outras palavras, toda pessoa física ou jurídica que recolha informações pessoais é considerada um controlador.
É importante frisar que o controlador só pode recolher dados caso o titular tenha autorizado ou em algumas situações específicas, como em casos de pesquisa. Também cabe ao controlador manter o sigilo dos dados confiados a ele e prestar contas às autoridades.
Encarregado: o encarregado é a figura que faz a intermediação entre o controlador, o titular e a ANPD. Também chamado de DPO (Data Protection Officer), essa pessoa física ou jurídica é indicada por quem está recolhendo os dados.
De acordo com o texto da lei de proteção de dados, as atribuições do encarregado são: aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Dado pessoal: a lei 13709/18 considera como dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”. Ou seja, tudo que puder ajudar a identificar uma pessoa pode ser considerado dado pessoal.
Nesse sentido, além de informações como endereço, nome completo e CPF, por exemplo, fotografias, gravações de vídeo e áudio, e‑mails, preferências de compras e dados bancários também podem ser encarados como dados pessoais.
A LGPD aborda outros dois tipos de dados, os anonimizados e os sensíveis.
Dado anonimizado: é descrito como “dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Em outras palavras, trata-se de uma informação que foi descaracterizada em algum nível para que o seu titular não possa mais ser identificado, mas que ainda é importante para o controlador.
O artigo 12 ainda afirma que os dados anonimizados não são considerados pessoais e a legislação não se aplica a eles, salvo em casos em que o processo de anonimização for revertido.
Esse ponto abre espaço para que se imagine que é possível identificar o titular de um dado anomizado de alguma maneira.
Dado sensível: são informações bem particulares e íntimas do titular, como dados relativos à etnia, opinião política, convicção religiosa ou sexual. Essas informações são tidas como mais delicadas e, por isso, o controlador só deve solicitá-las para finalidades bastante específicas.
Apesar disso, os dados sensíveis também podem ser coletados sem o consentimento do titular ou de seu responsável, desde que seja necessário para o cumprimento da legislação, solicitado pela administração pública, utilizado em pesquisas, para ser regulador de direitos ou ainda para a tutela da vida e da saúde.
Operador: é a empresa ou profissional diretamente responsável pelo tratamento dos dados. Tanto o operador quanto o controlador devem manter registros sobre o tratamento de dados. A ANPD pode solicitar esses relatórios para verificar se os procedimentos estão em conformidade com a lei.
O controlador e o operador também têm responsabilidade sobre o vazamento ou qualquer tipo de danos causados aos titulares. A seção que trata sobre ressarcimento de danos determina que “o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei”
Portabilidade de dados: o texto da LGPD não tem um conceito definido para portabilidade de dados, mas podemos considerar que se trata da migração de informações de um canal para o outro.
Por exemplo, caso você tenha contratado um plano de telefonia com uma empresa e deseja migrar para outra operadora, a primeira companhia deve facilitar o processo e enviar suas informações para a nova contratada.
Importante dizer que a portabilidade deve ser solicitada pelo titular e que a antiga controladora não pode reter nenhum tipo de informação.
Relatório de impacto: é descrito como uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Como mencionamos, esses relatórios devem ser feitos pelo operador e pelo controlador e podem ser solicitados pela ANPD. Neste material podem ser suprimidas informações de segredos comercial e industrial.
Tratamento de dados: toda operação que utiliza informações pessoais, incluindo a coleta, classificação, reprodução, transmissão e armazenamento. Para efeitos legais, qualquer empresa ou pessoa física que faça tratamento de dados deve observar as orientações da Lei Geral de Proteção de Dados e se adequar a ela.
Uso compartilhado de dados: é o compartilhamento de informações pessoais por duas ou mais empresas, órgãos ou pessoas.
É legal se tiver como finalidade o cumprimento de suas competências legais e se houver autorização específica. Caso o compartilhamento de dados sensíveis esteja ligado a vantagens econômicas, poderá ser objeto de vedação e sanções legais. E isso deve valer para entidades públicas e privadas.
O titular tem o direito de saber se os dados pessoais que compartilhou com uma empresa estão sendo compartilhados com outras companhias e qual a finalidade da partilha.
