por Assis e Mendes | mar 12, 2019 | Direito digital
Com as novas leis de proteção de dados, novas instituições, mercados e até atribuições profissionais estão surgindo. E um dos principais é o Data Protection Officer (DPO) ou encarregado de proteção de dados.
Dependendo da forma e dos objetivos para os quais uma empresa recolhe dados dos seus usuários ela precisa ser monitorada por um DPO. A seguir, vamos entender melhor o papel desse profissional e descobrir se o seu negócio precisa contratá-lo.
Quem é o DPO?
A figura do DPO ganhou maior notoriedade a partir da publicação do Regulamento Geral de Dados da União Europeia (GDPR) no ano passado. De forma geral, esse profissional é um especialista em proteção de dados e monitora empresas para garantir que elas estejam em compliance com as regras e boas práticas do setor. Ele também deve intermediar os interesses da empresa (controlador) e do titular dos dados.
Com a criação da Lei Geral de Proteção de Dados brasileira (LGPD), que se inspirou bastante no GDPR, o DPO recebeu o nome de encarregado e ganhou a seguinte definição, registrada no artigo 5º da lei: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
As funções do DPO de acordo com o GDPR
De acordo com artigo 37 do GDPR a figura do DPO é necessária sempre que o tratamento for feito por órgãos ou autoridades públicas (com exceção de tribunais), a empresa lide com dados especiais e sensíveis (como informações sobre etnia, religião e condenações penais) ou faça um monitoramento em larga escala.
O artigo 39 define que estão entre as tarefas do DPO:
- Informar e aconselhar o responsável pelo tratamento e os demais profissionais sobre suas obrigações nos termos do GDPR;
- Controlar a conformidade com o GDPR e com as políticas do responsável pelo tratamento, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido no tratamento;
- Prestar aconselhamento, se tal for solicitado, no que se refere à avaliação do impacto da proteção de dados, e acompanhar o seu desempenho;
- Cooperar com as autoridades;
- Servir de ponte para a autoridade de supervisão em questões relacionadas com o tratamento.
As tarefas do DPO segundo a LGPD
O texto da LGPD também designa algumas atribuições para o encarregado. O artigo 41, parágrafo 2º lista essas atividades:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O parágrafo 3º ainda afirma que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”. Ou seja, essas tarefas podem ser adaptadas ou excluídas de acordo com orientação da ANPD.
Observando os dois “job descriptions” é possível perceber que as tarefas são bem parecidas e se resumem em monitorar, fiscalizar, orientar e fazer a ponte entre os titulares e as empresas.
Mas contratar (ou não) um DPO é só um dos vários processos para se adequar às novas regras de proteção de dados. Se você precisa de apoio nessa transição, entre em contato com os advogados especializados em Direito Digital e Empresarial da Assis e Mendes.
por Assis e Mendes | fev 28, 2019 | Sem categoria
Nos últimos anos, o tema “proteção de dados pessoais” tem ganhado bastante atenção, sobretudo dentro do mundo digital. O GDPR, lei europeia que passou a vigorar em maio de 2018, busca justamente regularizar a captação e processamento de informações pessoais e incentivou a criação de leis da mesma natureza em outros países, inclusive no Brasil.
Aqui, a Lei Geral de Proteção de Dados (LGPD), sancionada pelo ex-presidente Michel Temer, ainda nem entrou em vigor, mas já está fazendo muita gente se perguntar o porquê desse assunto estar tão em alta ultimamente.
Você também ainda não entendeu bem por que deveria se preocupar com a proteção de seus dados pessoais? Então continue lendo, porque vamos te explicar alguns motivos pelos quais esse assunto precisa ser discutido já!
Dados podem revelar informações que você não gostaria (ou que não são verdadeiras)
Diariamente, muitas informações sobre quem somos e como nos comportamos são recolhidas através de dispositivos móveis e da nossa navegação na internet.
Os sites que visitamos, os produtos que compramos, os locais que frequentamos, os amigos que temos nas redes sociais, as fotos que tiramos com o celular e mais uma série de elementos formam criam um reflexo digital de nós mesmos.
Por exemplo, se você pede pizza todos os fins de semana pelo seu aplicativo de delivery, o app entende que você é um aficionado pelo prato e você pode começar a receber promoções das pizzarias da região.
Quando você está fornecendo esse tipo de forma consciente, isso pode ser até bastante oportuno, mas nem sempre essas informações formam a imagem que gostaríamos.
No final de 2018, o Google, a maior empresa de buscas na internet e uma das maiores potências no ramo de tecnologia, foi acusada por sete países europeus de monitorar os usuários sem o seu consentimento. A denúncia era que o Google usava a localização de smartphones sem a autorização do usuário. Dessa forma, seria possível rastrear os locais visitados sem que ele estivesse consciente disso.
Um dos maiores problemas decorrentes dessa prática era que o rastreamento poderia incluir no “perfil” do usuário informações que ele não gostaria. Por exemplo, visitas constantes a um hospital poderiam revelar que possui algum tipo de doença, frequentar uma balada conhecida por ser popular entre o público LGBT pode indicar sua orientação sexual, assim como ter estado em uma igreja pode apontar sua religião.
A grande questão é que todas essas características são tidas como dados sensíveis. Ou seja, informações que as empresas – inclusive o Google – só podem acessar com autorização expressa do usuário e se houver um bom motivo para isso.
Além de ser invasivo e antiético, usar esse tipo de dado sem conhecimento do público pode acabar refletindo em sua vida pessoal de forma negativa.
Imagine, por exemplo, que você está almoçando em um restaurante e próximo dali está acontecendo um comício político. Seu smartphone acaba registrando sua localização no comício e não no restaurante, e a partir de então você passa a receber sugestões de outros eventos do mesmo gênero. Um de seus colegas de trabalho vê os convites e supõe sua inclinação política, passando a hostiliza-lo por ter uma posição diferente.
Leis como o GDPR e a LGPD buscam justamente evitar que isso aconteça e que o usuário tenha o direito de saber para qual finalidade seus dados serão usados e escolher se deseja ou não compartilhar.
Empresas que você não conhece podem usar seus dados
Atualmente ainda existem empresas que compartilham informações de seus usuários e clientes com outras, sem que os titulares fiquem sabendo. Com isso, você pode ter cadastrado alguns dados seus em uma rede social e, de repente, começar a receber contatos de empresas que você não conhece.
Isso acontece bastante, principalmente, com números de telefones e e‑mails. Eles são comprados por empresas que não têm mailings de contato bem consolidados, e desejam disparar mala direta para conquistar possíveis clientes.
Com o GDPR e a LGPD, esse tipo de prática que já não é legal, passa e ser melhor fiscalizado e receber penalidades ainda mais duras.
Nas mãos erradas, dados online representam perigos no mundo offline
Apesar dos constantes avanços tecnológicos, vez ou outra somos surpreendidos com a ocorrência com grandes casos de vazamentos de informações. E essas quebras de sigilo podem colocar nossas vidas “offline” em perigo.
Por exemplo, em 2014, a Target, uma das maiores cadeias de lojas de departamento dos Estados Unidos detectou o vazamento de mais de 40 milhões de números de cartões de crédito e débito de usuários. No ano seguinte a Community Health Center (CHS) foi vítima de um vazamento de mais de 4,5 milhões de registros médicos. Esses tipos de brechas na segurança digital abrem espaço para centenas de golpes e fraudes que podem ter efeitos desastrosos nas vidas pessoais dos clientes.
Se lembra da acusação contra o rastreamento forçado do Google? Agora imagine se o trajeto que você faz diariamente ou o registro dos locais que mais frequenta caíssem nas mãos de um sequestrador em busca de uma nova vítima.
Garantir que as informações pessoais que disponibilizamos para as empresas estejam seguras com elas é um dos pilares principais das novas leis de proteção de dados. Tanto a diretiva europeia quanto a lei brasileira versam sobre as práticas de segurança digital e endureçam as penalidades em casos de vazamento.
Tudo isso nos faz perceber o quanto nossos dados são preciosos. Eles podem agilizar nosso dia a dia e nos fazer encontrar oportunidades que nos interessam, mas também podem ser usados como moeda de troca entre empresas, revelar aspectos que não queremos divulgar e até se tornar ferramentas para crimes.
Por conta de tudo isso, a proteção de dados é fundamental e será uma realidade que empresas e usuários de todo o mundo deverão se adequar.
Se você é empreendedor e ainda não sabe como manter suas operações dentro das regras do GDPR e da LGPD, entre em contato com os advogados da Assis e Mendes Advogados e descubra como é possível lidar com dados de usuários de forma segura, transparente e dentro da lei.
por Assis e Mendes | fev 26, 2019 | Sem categoria
A Lei Geral de Proteção de Dados (LGPD) ainda não começou a vigorar, mas já está fazendo muitos brasileiros repensarem na forma como suas informações pessoais estão sendo utilizadas pelas empresas.
E como deve representar uma grande mudança do que diz respeito à proteção de dados, é muito importante saber quais são os novos direitos que a lei nº 13.709/18 vai conceder ao consumidor.
Consentimento do titular
A LGPD esclarece que todo e qualquer dado pessoal só pode ser colhido, online ou offline, com o consentimento do titular.
E o texto ainda reforça que este consentimento se dá na forma de “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Ou seja, a autorização deve vir mediante ao conhecimento de como, para que e por quem as informações serão utilizadas.
Especificação de finalidade
A legislação que deve começar a vigorar em 2020 ainda exige que o consumidor esteja ciente sobre a razão para suas informações estarem sendo solicitadas e utilizadas, bem como o tempo pelo qual elas permanecerão no banco de dados.
Isso significa que uma empresa não pode solicitar o CPF de um consumidor para preencher sua nota fiscal e utilizá-lo também para outro motivo. O consentimento é válido apenas para a finalidade declarada e a empresa não pode reter informações para outros fins, a menos que informe o titular e este concorde com a atualização.
Identificação do controlador
O art. 9º da LGPD versa sobre o livre acesso do consumidor com relação ao tratamento de seus dados e determina que seja disponibilizada a identificação e o contato de quem controla o processamento de suas informações.
Revogação do consentimento
O titular também ganha o direito de revogar o seu consentimento caso sinta que a finalidade do tratamento de dados não está sendo atendida, ou por já não ter interesse que suas informações permaneçam no banco de dados.
O 5º parágrafo do artigo 7º da LGPD confirma: “O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.”
Responsabilidade pelos dados de crianças e adolescentes
A LGPD também entende que crianças e adolescentes não estão aptos a consentir o uso de seus dados pessoais. Por isso, o tratamento dessas informações só pode ser utilizado quando autorizado por pelo menos um dos seus pais ou responsáveis legais.
O texto deixa claro ainda que cabe ao controlador, ou seja, quem está colhendo os dados, o esforço de garantir que a permissão foi dado por um responsável e não pela própria criança ou adolescente.
Exclusão dos dados
Por meio da LGPD, o titular também terá o direito de exigir a exclusão de suas informações caso o objetivo do processamento tenha sido concluído ou se não quiser manter mais nenhum tipo de relacionado com o controlador.
Nesses casos, vale frisar que a empresa deve excluir definitivamente as informações, não estando autorizada a reter nenhum tipo de dado do usuário.
Portabilidade de dados
A LGPD também vai garantir ao titular o direito de fazer a portabilidade de seus dados, ou seja, transferi-los de uma empresa para a outra, se assim ele desejar.
Assim, como no item anterior, a portabilidade implica que sejam repassadas todas as informações para o novo controlador, sendo que a antiga portadora dos dados está proibida de manter informações do consumidor.
Ainda tem dúvidas sobre a LGPD? Entre em contato com os advogados especializados em Direito Digital da Assis e Mendes!
por Assis e Mendes | fev 12, 2019 | Direito digital, Direito digital, Direito digital, Direito Empresarial
Você provavelmente já sabe que os Termos de Uso são documentos fundamentais para a proteção jurídica do seu site, aplicativo ou software. É através deste texto que você pode descrever como a plataforma deve ser usada e até onde vai a responsabilidade da sua empresa pelo acesso.
Apesar de sua importância, muitos empreendedores ainda têm dúvidas sobre como criar os seus Termos de Uso. É claro que a redação deste documento importantíssimo deve ser totalmente personalizada para o seu tipo de negócio, mas existem alguns tópicos que você provavelmente usará, e vamos enumerar alguns deles a seguir.
Descritivo dos produtos e serviços
Um dos objetivos principais dos Termos de Uso é descrever qual é o seu negócio, os produtos e serviços que comercializa ou oferece para o público. Essas informações devem ser dadas logo no início do documento e podem ser acompanhadas de um pequeno glossário dos termos utilizados no seu site.
Por exemplo, se você mantém um blog, pode aproveitar a introdução para determinar o que é um usuário, um comentário e um publieditorial, já que esses termos devem ser usados ao longo do texto.
Condições gerais de uso
Esse é o foco dos Termos de Uso e deve ser muito bem trabalhado no seu texto. Este tópico serve para descrever como a plataforma deve ser usada e com quais pontos o visitante está de acordo quanto decide utilizá-la.
Aqui é importante deixar bem claro que os Termos de Uso não dependem de uma aceitação formal. Apenas o ato de acessar ou usar o ambiente de qualquer forma já configuram na aceitação dos termos.
Em seguida, enumere todas as regras de boa utilização da plataforma e quais são as penalidades caso ele venha a descumprir as orientações.
Pagamento
Quando há comercialização de produtos e serviços é importante também deixar claro como o pagamento deve ser feito.
Se estiver trabalhando com itens pagos e gratuitos – como no caso de um site que oferece conteúdo livre em seu blog, mas também comercializa cursos pagos – é importante esclarecer as diferenças entre as duas modalidades.
Privacidade dos dados
Mesmo que você tenha ou esteja montando um texto de Políticas de Privacidade, também pode comentar brevemente como os dados são utilizados e processados na sua plataforma.
O uso dos cookies – programas que armazenam informações da navegação – também podem ser descritos neste espaço.
Garantias e responsabilidades
Para manter sua proteção jurídica é essencial produzir um texto bem completo sobre os limites da sua responsabilidade e as garantias que oferece aos usuários.
Se você tem um e‑commerce que recebe reviews de produtos comercializados, deve declarar que a responsabilidade pelo teor dos comentários é de responsabilidade de quem os escreveu, por exemplo.
Além de excluir responsabilidades, esse tópico também pode incluir algumas garantias, como uma declaração sobre o seu comprometimento em prestar os melhores serviços possíveis.
Mudanças de contrato
Os Termos de Uso podem sofrer alterações por conta de mudanças na legislação ou mesmo na estrutura do negócio. E pode ser muito difícil notificar todos os visitantes sobre essas modificações, principalmente se eles não forem cadastrados em algum tipo de banco de dados.
Pensando nisso, também vale a pena incluir uma cláusula em que você declara que os termos do documento podem ser alterados sem aviso prévio, e cabe ao usuário revisar periodicamente eventuais alterações.
Esses são só alguns itens que podem aparecer nos seus Termos de Uso, mas para ter um texto realmente alinhado com o seu negócio e que atenda suas necessidades o ideal é contar com os advogados do Assis e Mendes Advogados.
Nossos profissionais são especializados em Direito Digital e tecnologia e podem te auxiliar no desenvolvimento de Termos de Uso e Políticas de Privacidade claras, objetivas e que vão garantir a sua segurança jurídica.
por Assis e Mendes | jan 23, 2019 | Não categorizado
A Wired, portal sobre tecnologia, noticiou recentemente um dos maiores vazamentos de dados da história. Segundo o site, houve uma brecha que expôs 772.904.991 e‑mails e senhas pessoais. O incidente está sendo chamado de Collection #1.
A falha teria sido notada inicialmente por Troy Hunt, um especialista em segurança digital, e contém cerca de 87 gigabytes de dados divididos em 12 mil arquivos. Algo que chama atenção é que as informações não estariam disponíveis para venda nos cantos mais obscuros da deep web, mas sim gratuitamente em um fórum de hackers.
Além
do número impressionante, outro ponto que diferencia o Collection #1 de outros
casos de vazamento de dados é a fonte. A maioria dos incidentes está ligada à uma
empresa, como já aconteceu com o Facebook, LinkedIn e Adobe. Mas no vazamento
detectado por Hunt, os arquivos reuniam dados de 2000 bancos de dados e nenhum
deles estava criptografado.
“Parece
uma coleção completamente aleatória feita com o objetivo de maximizar o número
de informações para os hackers. Não existem padrões óbvios, a intenção parece
ser apenas expor o máximo de informações”, contou Hunt em entrevista para a Wired.
O
especialista acredita que a ideia seja hackear não só os e‑mails, mas usar as
informações para conseguir acesso às redes sociais e outros sites, já que
muitas pessoas utilizam as mesmas senhas em diferentes plataformas.
Como saber se minha conta foi
hackeada?
Hunt mantém o site Have I Been Pwned?, algo como “Já fui hackeado?”, em tradução livre. Nele, Hunt promete vasculhar a internet para descobrir se o seu e‑mail já foi mencionado em algum vazamento de dados. A consulta é gratuita e pode ser feita facilmente informando o seu e‑mail.
Além disso, desde o ano passado o GDPR já obriga as empresas a informarem os usuários em casos de quebra de sigilo em até 72 horas e a Lei Geral de Proteção de Dados (LGPD) fará o mesmo a partir de 2020. Ou seja, se suas informações forem vazadas, a companhia que as mantinha em seu banco de dados devem entrar em contato direto com você.
Fui vítima de um vazamento de dados, e agora?
Se você foi uma vítima de um vazamento de dados, é fundamental trocar suas senhas o mais rápido possível. Não se esqueça que utilizar sequências numéricas e alfabéticas, ou mesmo informações óbvias, como seu nome, podem facilitar a vida dos hackers.
Adriano Mendes, especialista em Direito Digital e Direito Empresarial e sócio fundador da Assis e Mendes Advogados, sugere ainda uma consulta nas transações bancárias. Isso porque, através do seu histórico de e‑mails e contatos, o criminoso pode ter acesso à informações pessoais, como CPF, endereço e número de cartão de crédito
Adriano dá ainda uma dica preciosa: “tenha uma senha mestra
para o seu e‑mail principal, uma senha diferente para cada serviço que utilize
dados financeiros ou cartão de crédito e senhas ‘genéricas’ ou logins para os
demais serviços”. O especialista em Direito Digital ainda sugere serviços como
o SenhaSegura, o Lastpass e o Password1, que geram senhas automáticas.
Se
a plataforma tiver um sistema de confirmação de dois fatores – que solicita
outro tipo de confirmação, além da senha – é interessante habilitá-lo também.
Redes
sociais como o Facebook têm ainda uma ferramenta de segurança que permite que
você qualifique outro usuário para administrar sua conta em casos de
emergência. Através desses amigos você também pode entrar em contato com a
plataforma e reaver o seu perfil.
Se a sua empresa apresentou uma falha na segurança e os dados foram expostos, o melhor a se fazer é seguir o protocolo do GDPR e da LGPD (Lei Geral de Proteção de Dados) e avisar os consumidores o mais rápido possível.
Também
é fundamental acionar sua equipe de TI para localizar a brecha e corrigi-la e
movimentar seus advogados para analisar as medidas cabíveis.
Se você precisa implementar medidas de segurança contra os ataques digitais e vazamento de dados na sua empresa, entre em contato com os advogados da Assis e Mendes. Nossos especialistas em Direito Empresarial e Direito Digital vão ajudar o seu negócio a atuar de forma segura, eficiente e em conformidade com a lei.