Fale com um especialista +55 11 3141 9009

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Português
  • Quem Somos
  • LGPD
  • Áreas de Atuação
  • Equipe
  • Imprensa
  • Opinião Jurídica
  • Contato

Consultoria jurídica

Conte conosco para adequação à LGPD

U

Sobre a LGPD

O que é e para quem vale



Materiais Exclusivos

E-books com muita informação sobre LGPD

Preciso de uma consultoria 



Dados Cast

Dados Cast: O podcast do Assis e Mendes

LGPD

Informações sobre Lei Geral de Proteção de Dados


DIREITO DIGITAL

Informações sobre Direito Digital


DIREITO EMPRESARIAL

Informações sobre Direito Empresarial

E-BOOKS PARA DOWNLOAD

b

2021

b

2020

b

2019



Anos anteriores

Fale com o Assis e Mendes

GDPR: Google é acusado de “trapaça” no compartilhamento de dados

por Assis e Mendes | fev 14, 2019 | Não categorizado

Muitas empre­sas ain­da estão ten­do difi­cul­dades em se ade­quar ao GDPR – dire­ti­va europeia que mudou a for­ma como os dados pes­soais são col­hi­dos e proces­sa­dos por qual­quer enti­dade que neces­site de dados pes­soais em razão de suas oper­ações. E, ines­per­ada­mente, uma delas é o Google. 

Em maio do ano pas­sa­do, quan­do o GDPR entrou em vig­or, o gigante das bus­cas emi­tiu um comu­ni­ca­do para os seus usuários sobre as mudanças em suas políti­cas de dados. De acor­do com a empre­sa, essas alter­ações garan­tiri­am que o proces­sa­men­to de infor­mações estivesse em com­pli­ance com as novas regras da União Europeia. Mas parece que na práti­ca não foi bem assim. 

No final do ano pas­sa­do, sete país­es europeus acusaram o Google de tra­pacear na cole­ta de dados de seus usuários. De acor­do com a Orga­ni­za­ção Europeia de Con­sumo (BEUC), o Google não deixa claro que a local­iza­ção dos smart­phones dos usuários está ati­va e nem como infor­mações sobre os locais que cos­tu­mam fre­quen­tar são usados. 

A acusação se tornou ain­da mais grave porque a BEUC entende que a local­iza­ção pode ser car­ac­ter­i­za­da como dado sen­sív­el. E isso faz bas­tante sen­ti­do, uma vez que os locais que uma pes­soa fre­quen­ta com seu celu­lar real­mente podem diz­er muito sobre ela. 

Por exem­p­lo, fre­quen­tar assid­u­a­mente um hos­pi­tal pode ser um indí­cio de que o usuário está doente, assim como ir todas as sem­anas à uma igre­ja pode rev­e­lar suas crenças reli­giosas. Além da saúde e da religião, out­ros locais pode­ri­am indicar suas escol­has com relação à políti­ca e até sex­u­al­i­dade. E ess­es real­mente são dados con­sid­er­a­dos sen­síveis, uma vez que podem ger­ar con­strang­i­men­to e discriminação. 

O press release da BEUC afir­ma ain­da que: “a com­pan­hia usa vários truques e práti­cas para asse­gu­rar que os usuários ten­ham a local­iza­ção ati­va­da e não expli­ca cor­re­ta­mente o que isso impli­ca”. E com­ple­men­ta: “essas práti­cas injus­tas deix­am o con­sum­i­dor no escuro sobre o uso de seus dados pes­soais. Adi­cional­mente, eles não dão aos usuários out­ra chance se não fornecer seus dados de local­iza­ção, que são usa­dos pela com­pan­hia para uma grande gama de propósi­tos, inclu­sive pub­li­ci­dade direcionada”.

A pub­li­ci­dade dire­ciona­da a que o tex­to da BEUC se ref­ere acon­tece quan­do o Google uti­liza infor­mações pes­soais dos usuários para ofer­e­cer pub­li­ci­dade. Por exem­p­lo, alguém que está fre­quen­tan­do um hos­pi­tal con­stan­te­mente pode­ria ser alvo de pro­pa­gan­das sobre planos de saúde. 

Esse tipo de práti­ca já é uma real­i­dade, mas quan­do toma como base dados que o usuário não está com­par­til­han­do de for­ma con­sciente pode ser con­sid­er­a­da sim uma infração do GDPR.

No tex­to divul­ga­do, Monique Goyens, Dire­to­ra Ger­al da BEUC comen­tou a situ­ação: “Graças ao GDPR os usuários devem estar no con­t­role de seus dados pes­soais. As práti­cas enganosas do Google estão em desacor­do com a reg­u­lar­iza­ção. Não podemos ter com­pan­hias fin­gin­do com­pli­ance, mas, de fato, des­cumprindo a lei”. 

Até o fechamen­to des­ta nota não hou­ver­am novas notí­cias sobre o anda­men­to da inves­ti­gação e nen­hu­ma respos­ta do Google. Mas, se for com­pro­va­do que a empre­sa de tec­nolo­gia des­cumpriu as deter­mi­nações do GDPR a mul­ta pode alcançar os 4 bil­hões de dólares, de acor­do com sua recei­ta em 2017. 

GDPR: Tudo o que você precisa saber sobre a lei de privacidade na web

GDPR: Tudo o que você precisa saber sobre a lei de privacidade na web

por Assis e Mendes | jan 3, 2019 | Direito digital

Os aplica­tivos que você tem no seu celu­lar, as redes soci­ais que cos­tu­ma usar, os sites que aces­sa, e até mes­mo o sis­tema opera­cional do seu com­puta­dor estão col­hen­do dados sobre você e seus hábitos.

E com tan­tas empre­sas de olho em tudo o que o con­sum­i­dor faz, com­pra, escreve e pesquisa, a pre­ocu­pação com a pri­vaci­dade na inter­net tem se inten­si­fi­ca­do cada vez mais. E nesse cenário que surge uma das medi­das que já está mudan­do o recol­hi­men­to de dados e pri­vaci­dade na inter­net: o GDPR.

O QUE É GDPR?

Como ação em defe­sa às infor­mações pes­soais do públi­co, a União Europeia divul­gou, recen­te­mente, o Reg­u­la­men­to Ger­al de Pro­teção de Dados da União Europeia (GDPR), que entrou em vig­or em 25 de maio de 2018. A dire­ti­va tem como obje­ti­vo man­ter a transparên­cia no proces­so de cap­tação de dados e per­mi­tir que o con­sum­i­dor deci­da o que faz­er com suas próprias informações.

As regras não valem ape­nas para os país­es inte­grantes da União Europeia, mas para todos aque­les que, de algu­ma for­ma, têm con­ta­to com clientes europeus, proces­sam ou armazenam seus dados ness­es países.

E quan­do falam­os sobre dados, vale qual­quer infor­mação: fotos, nomes, posta­gens em redes soci­ais e até endereços de IP pre­cisam ser reg­u­lar­iza­dos pelas empre­sas que os detêm.

As empre­sas que não se adaptarem ao Reg­u­la­men­to Ger­al podem rece­ber mul­tas de até 4% de seu fat­u­ra­men­to anu­al, ou até 20 mil­hões de euros.

O QUE DIZ O GDPR?

Veja, a seguir, quais os prin­ci­pais ter­mos do GDPR e pre­pare-se para atu­alizar o seu sis­tema de cole­ta e geren­ci­a­men­to de dados, se você pres­ta serviços nos país­es da União Europeia.

  • Noti­fi­cação de que­bra de sigilo

Vez ou out­ra surge uma notí­cia sobre um grande vaza­men­to com um número gigante de dados per­di­dos, mas difi­cil­mente os con­sum­i­dores que tiver­am suas infor­mações roubadas ficam saben­do que isso acon­te­ceu com eles.

Com o GDPR isso muda, e as empre­sas pas­sam a ter a obri­gação de noti­ficar seus clientes sobre o vaza­men­to em até 72 horas depois de notarem a que­bra de sigilo.

  • Dire­ito ao acesso 

Com a atu­al­iza­ção, os usuários tam­bém recebem, for­mal­mente, o dire­ito de saber e de exi­gir que as empre­sas informem onde, quan­do e com qual final­i­dade seus dados estão sendo armazenados.

  • Dire­ito ao esquecimento 

O con­sum­i­dor tam­bém poderá exi­gir que as empre­sas apaguem seus dados, des­de que eles ten­ham sido recol­hi­dos sem o con­sen­ti­men­to claro do usuário ou quan­do já não sejam con­sid­er­a­dos úteis para o propósi­to inicial.

Ness­es casos, as empre­sas dev­erão apa­gar as infor­mações em sua total­i­dade, garan­ti­n­do que não vão reter cópias nem guardar os dados de qual­quer maneira.

  • Porta­bil­i­dade dos dados 

O Reg­u­la­men­to Ger­al de Pro­teção de Dados da União Europeia tam­bém intro­duz o con­ceito de porta­bil­i­dade dos dados pes­soais, que dá ao con­sum­i­dor a pos­si­bil­i­dade de levar suas infor­mações para out­ras empre­sas, se assim o desejar.

E a com­pan­hia que man­tém atual­mente os dados do usuário deve facil­i­tar e apoiar esse processo.

  • Con­tro­ladores de acesso 

O GDPR tam­bém exige que haja profis­sion­ais encar­rega­dos de cri­ar medi­das e pro­ced­i­men­tos que garan­tam que os dados serão col­hi­dos e proces­sa­dos de acor­do com as novas nor­mas para man­ter os dados dos con­sum­i­dores protegidos.

Emb­o­ra as penal­iza­ções pelo des­cumpri­men­to das obri­gações do reg­u­la­men­to sejam duras, de acor­do com um estu­do real­iza­do pela Ver­i­tas Tech­nolo­gies, até jul­ho do ano pas­sa­do, 31% das empre­sas havi­am afir­ma­do que já tin­ham se adap­ta­do à dire­ti­va, porém, ape­nas 2% das empre­sas estavam, de fato, em com­pli­ance com todas as res­oluções do GDPR.

Com as com as mudanças que vêm com o GDPR, muitas empre­sas estão ten­do que mudar a sua for­ma de oper­ação. As empre­sas de e‑commerce e as de TI são algu­mas das que mais recol­hem e proces­sam dados de usuário, e, por isso, tam­bém devem ser algu­mas das que mais ten­ham que se ade­quar à regulamentação.

GDPR E A PROTEÇÃO DE DADOS NO BRASIL

Seguin­do a tendên­cia mundi­al de pro­teção de dados impul­sion­a­da pelo GDPR europeu, o atu­al pres­i­dente Michel Temer aprovou em agos­to deste ano a Lei nº13.709, que deve ser con­heci­da como Lei Ger­al de Pro­teção de Dados ou LGPD.

A lei deve incluir o Brasil na lista de país­es que pos­suem uma leg­is­lação ou ori­en­tações especí­fi­cas sobre o recol­hi­men­to, proces­sa­men­to e uso de dados pes­soais.  

As regras valem para qual­quer pes­soa ou empre­sa que faça o trata­men­to de infor­mações em ter­ritório nacional, cujo recol­hi­men­to este­ja rela­ciona­do com a ofer­ta de bens ou serviços. Ou seja, empre­sas de qual­quer porte que coletem dados no Brasil ou de brasileiros e os usem para fins com­er­ci­ais dev­erão aten­der à nova regra. 

» Leia mais sobre o LGPD e enten­da quais mudanças os brasileiros devem fazer

GDPR E AS MUDANÇAS PARA O E‑COMMERCE

  • Reavaliar a neces­si­dade de recol­hi­men­to de dados: um dos primeiros pas­sos que as lojas vir­tu­ais devem faz­er é reavaliar os seus proces­sos para enten­der exata­mente em que momen­to os dados dos con­sum­i­dores são uti­liza­dos e quais são as infor­mações de que real­mente precisam.
  • Atu­alizar os Ter­mos de Uso e Políti­cas de Pri­vaci­dade: o GDPR tam­bém deter­mi­na que o usuário sai­ba exata­mente quais infor­mações estão sendo recol­hi­das, onde elas estão sendo armazenadas e com qual final­i­dade, e uma das for­mas mais efi­cientes de garan­tir isso é atu­al­izan­do os seus Ter­mos de Uso e Políti­cas de Pri­vaci­dade.
  • Uti­lizar sis­temas mais trans­par­entes: assim como as infor­mações devem estar mais claras, os próprios sis­temas devem ser mais trans­par­entes com o con­sum­i­dor. E é necessário não só man­tê-lo infor­ma­do sobre a cole­ta, mas deixar que ele deci­da se quer mover seus dados para out­ra empre­sa ou mes­mo dele­tar seu nome e suas infor­mações da inter­net. Nesse últi­mo caso, cabe o Dire­ito ao Esquec­i­men­to, em que a empre­sa deve se com­pro­m­e­ter a dele­tar defin­i­ti­va­mente as infor­mações e não reter nen­hum tipo de arqui­vo rela­ciona­do ao usuário.
  • Refor­mu­lar cam­pos de opt-in e for­mulários: como no e‑commerce os for­mulários e out­ras fer­ra­men­tas de mar­ket­ing que uti­lizam opt-in (cadas­tro de infor­mações para envio de men­sagens e out­ros mate­ri­ais), é impre­scindív­el que as lojas vir­tu­ais reve­jam a for­ma como solici­tam o preenchi­men­to e criem eta­pas que garan­tam que o con­sum­i­dor enten­deu por que esta­va preenchen­do o for­mulário e como as suas infor­mações serão uti­lizadas. Isso garante que a empre­sa obten­ha o con­sen­ti­men­to real do vis­i­tante e é fun­da­men­tal para evi­tar prob­le­mas judi­ci­ais no futuro.
  • Reforçar a pro­teção: uti­lizar platafor­mas de comér­cio eletrôni­co con­fiáveis e ter cer­ti­fi­ca­do SSL são algu­mas das ações ini­ci­ais para aumen­tar a segu­rança, mas é muito impor­tante que a loja vir­tu­al busque estar sem­pre alin­ha­da com as mais avançadas tec­nolo­gias do setor para garan­tir a sua pri­vaci­dade e a de seus usuários.

» Tem loja vir­tu­al? Veja mais sobre como se adap­tar ao GDPR

GDPR E AS MUDANÇAS PARA EMPRESAS DE TI

  • Mudanças de aces­so: as regras do GDPR indicam que deve haver transparên­cia na cole­ta e gestão das infor­mações, então os soft­wares pre­cisam per­mi­tir que os usuários saibam exata­mente quais dados estão sendo cap­ta­dos, como e por quê. O públi­co tam­bém gan­ha o dire­ito de mover suas infor­mações ou deletá-las defin­i­ti­va­mente, e as empre­sas pre­cisam cri­ar proces­sos para aten­der essas solicitações.
  • Rev­er pro­ced­i­men­tos de segu­rança: nen­hu­ma empre­sa quer que os seus dados sejam vio­la­dos, mas com a chega­da do GDPR a tendên­cia é de que as empre­sas refinem, ain­da mais, os seus pro­ced­i­men­tos de segu­rança para evi­tar o vaza­men­to de dados.
  • Definir proces­sos no caso de vaza­men­to de infor­mações: o GDPR estip­u­la, ain­da, um pra­zo de, no máx­i­mo, 72 horas para que uma com­pan­hia noti­fique seus clientes de que hou­ve que­bra de sig­i­lo. O ide­al é que as empre­sas já criem pro­ced­i­men­tos e ori­en­tem suas equipes sobre o que deve ser feito no caso de um vaza­men­to. Com isso será bem mais fácil aten­der o pra­zo deter­mi­na­do pelo GDPR. 
  • Con­sid­er­ar a con­tratação de DPO: o GDPR tam­bém recomen­da a con­tratação de um DPO (Data Pro­tec­tion Offi­cer, ou Encar­rega­do da Pro­teção de Dados, em por­tuguês), caso a empre­sa tra­bal­he com um vol­ume muito grande de infor­mações, seja uma autori­dade públi­ca ou ain­da faça um mon­i­tora­men­to em larga escala. Esse profis­sion­al terá tare­fas impor­tantes, como repas­sar as boas práti­cas à equipe e garan­tir o cumpri­men­to das nor­mas do GDPR.

» Con­tin­ue lendo sobre as mudanças que o GDPR impõe para as empre­sas de TI

NA PRÁTICA, COMO PREPARAR SUA EMPRESA PARA O GDPR? 

Mas e quan­to a sua empre­sa? Já está pronta para a reg­u­la­men­tação que deve ser imple­men­ta­da nos próx­i­mos dias? Se a respos­ta é não, sai­ba o que é pre­ciso faz­er para começar a se adap­tar às novas regras que chegam com o GDPR. 

Ter uma boa asses­so­ria jurídica 

Essa não é questão obri­gatória do GDPR, mas é um pon­to chave para se res­guardar juridica­mente de todas as questões legais que envolvem a pri­vaci­dade e a segu­rança na internet. 

Uma boa asses­so­ria jurídi­ca espe­cial­iza­da em Dire­ito Dig­i­tal e Empre­sar­i­al, como a Assis e Mendes, é fun­da­men­tal para que a empre­sa pos­sa iden­ti­ficar riscos e vul­ner­a­bil­i­dades que podem ger­ar prob­le­mas judi­ci­ais, cri­ar fer­ra­men­tas de pro­teção e gestão de crise, como os Ter­mos de Uso e Políti­cas de Pri­vaci­dade, e pro­te­ger o seu negó­cio de qual­quer questão jurídi­ca que pos­sa sur­gir como fru­to do recol­hi­men­to e proces­sa­men­to de dados dos seus clientes. 

Cri­ar um plano de ação para vaza­men­to de dados 

Infe­liz­mente, nem as grandes cor­po­rações estão livres de vaza­men­to de dados. Pro­va dis­so é que até empre­sas como Net­flix, LinkedIn, Net­shoes, Uber e, mais recen­te­mente, o Face­book, já apre­sen­taram fal­has em seus sis­temas de segu­rança que cul­mi­naram no vaza­men­to de mil­hões de infor­mações de seus clientes. 

Além da neces­si­dade de estar sem­pre reavalian­do e reforçan­do as bar­reiras tec­nológ­i­cas que pro­tegem a pri­vaci­dade dos usuários, o GDPR exige que as empre­sas noti­fiquem rap­i­da­mente os con­sum­i­dores que seus dados foram expostos. 

Para isso, é fun­da­men­tal imple­men­tar um pro­ced­i­men­to que iden­ti­fique o vaza­men­to o quan­to antes, iden­ti­fique os usuários que foram prej­u­di­ca­dos e gere uma noti­fi­cação do que acon­te­ceu. O ide­al é cri­ar ess­es sis­temas antes da que­bra de sig­i­lo, já que o GDPR deter­mi­na que os usuários sejam avisa­dos em, no máx­i­mo, 72 horas. 

Ter sis­temas mais transparentes 

Out­ro pon­to bas­tante impor­tante do GDPR é traz­er mais transparên­cia ao proces­sa­men­to de dados, e isso exige que as empre­sas criem sis­temas e guias que per­mi­tam que o usuário sai­ba quan­to, como e quais dados serão recol­hi­dos e o que está sendo feito com eles. 

Os con­tro­ladores devem, inclu­sive, deixar que o usuário escol­ha que a empre­sa apague os seus dados, um con­ceito bas­tante semel­hante ao Dire­ito do Esquec­i­men­to, ou mes­mo que suas infor­mações sejam movi­das para out­ras empre­sas, algo que está sendo chama­do de porta­bil­i­dade dos dados. 

Para garan­tir todas essas ações, os sis­temas de proces­sa­men­to de dados e as roti­nas dos profis­sion­ais devem ser atu­al­izadas o quan­to antes. Já exis­tem, tam­bém, opções de pro­gra­mas que fazem a admin­is­tração dos dados seguin­do os parâmet­ros do GDPR, o que pode faz­er a migração de sis­tema uma opção interessante. 

COMO A ASSIS E MENDES PODE AJUDAR SUA EMPRESA COM O GDPR

Ain­da tem dúvi­das sobre como imple­men­tar ações que asse­gurem o com­pli­ance com o GDPR e a nova leg­is­lação brasileira de pro­teção de dados? A Assis e Mendes pode te ajudar! 

O escritório con­ta com profis­sion­ais espe­cial­iza­dos em Dire­ito Dig­i­tal, Empre­sar­i­al e Tec­nolo­gia que estão alin­hados com as nor­mas mundi­ais de pro­teção de dados e tem larga exper­iên­cia em aju­dar empre­sas a adotarem oper­ações mais efi­cientes, seguras e que ger­am resultados!


GDPR: Tudo o que você precisa saber sobre a lei de privacidade na web

Série GDPR: como empresas de TI serão afetadas

por Assis e Mendes | maio 18, 2018 | Direito Empresarial

As novas dire­trizes do GDPR, lei que deter­mi­na boas práti­cas de cap­tação e proces­sa­men­to de dados basea­d­os na União Europeia, já está mudan­do a for­ma como as empre­sas lidam com a pri­vaci­dade de seus usuários e a pro­teção de seus dados, e isso inclui as com­pan­hias brasileiras. 

Boa parte das empre­sas que vão pre­cis­ar se ade­quar às novas nor­mas é lig­a­da ao ramo de tec­nolo­gia e segu­rança da infor­mação, como lojas vir­tu­ais, fornece­dores de soft­ware e hospeda­gens, e elas pre­cis­arão faz­er mudanças drás­ti­cas. Caso isso não acon­teça, as con­se­quên­cias são bas­tante graves. 

Quem não estiv­er em com­pli­ance com as deter­mi­nações do GDPR pode ter de pagar uma mul­ta de até 20 mil­hões de euros ou o equiv­a­lente a 4% do fat­u­ra­men­to bru­to anu­al do negó­cio, um val­or bas­tante expres­si­vo para muitas empresas.

Para as empre­sas TI e tec­nolo­gia as prin­ci­pais mudanças devem ser: 

Mudanças de aces­so e transparên­cia: as regras do GDPR indicam que deve haver transparên­cia na cole­ta e gestão das infor­mações, então os soft­wares pre­cisam per­mi­tir que os usuários saibam exata­mente quais dados estão sendo cap­ta­dos, como e por quê. O públi­co tam­bém gan­ha o dire­ito de mover suas infor­mações ou deletá-las defin­i­ti­va­mente, e as empre­sas pre­cisam cri­ar proces­sos para aten­der essas solicitações. 

Rev­er pro­ced­i­men­tos de segu­rança: nen­hu­ma empre­sa quer que os seus dados sejam vio­la­dos, mas com a chega­da do GDPR a tendên­cia é de que as empre­sas refinem, ain­da mais, os seus pro­ced­i­men­tos de segu­rança para evi­tar o vaza­men­to de dados.

Definir proces­sos no caso de vaza­men­to de infor­mações: O GDPR estip­u­la, ain­da, um pra­zo de, no máx­i­mo, 72 horas para que uma com­pan­hia noti­fique seus clientes de que hou­ve que­bra de sig­i­lo. O ide­al é que as empre­sas já criem pro­ced­i­men­tos e ori­en­tem suas equipes sobre o que deve ser feito no caso de um vaza­men­to. Com isso será bem mais fácil aten­der o pra­zo deter­mi­na­do pelo GDPR. 

Con­sid­er­ar a con­tratação de DPO: o GDPR tam­bém recomen­da a con­tratação de um DPO (Data Pro­tec­tion Offi­cer, ou Encar­rega­do da Pro­teção de Dados, em por­tuguês), caso a empre­sa tra­bal­he com um vol­ume muito grande de infor­mações, seja uma autori­dade públi­ca ou ain­da faça um mon­i­tora­men­to em larga escala. Esse profis­sion­al terá tare­fas impor­tantes, como repas­sar as boas práti­cas à equipe e garan­tir o cumpri­men­to das nor­mas do GDPR.

Ter apoio legal: em uma questão tão del­i­ca­da quan­to à pri­vaci­dade na inter­net, é impre­scindív­el con­tar com uma boa asses­so­ria jurídi­ca para garan­tir que sua empre­sa este­ja operan­do de acor­do com os pre­ceitos da lei e se pro­te­gen­do juridicamente.

Se você ain­da não está seguro de que sua empre­sa está alin­ha­da com as novas definições do GDPR, con­sulte os advo­ga­dos espe­cial­is­tas em Dire­ito Dig­i­tal da Assis e Mendes!

GDPR: Tudo o que você precisa saber sobre a lei de privacidade na web

Série GDPR: as consequências do vazamento de dados

por Assis e Mendes | maio 18, 2018 | Direito digital, Direito digital, Direito digital

As novas dire­trizes do GDPR rea­cen­der­am o debate sobre pri­vaci­dade na inter­net e pro­teção con­tra o vaza­men­to de dados dos usuários, e forçaram empre­sas no mun­do todo a rev­er seus parâmet­ros de cap­tação de informações. 

Quem ain­da não aca­tou as mudanças e faz qual­quer tipo de negó­cio ou real­iza proces­sa­men­to de dados na União Europeia está sujeito a uma mul­ta de 4% de seu fat­u­ra­men­to bru­to ou 20 mil­hões de euros, mas as con­se­quên­cias do não seguir as ori­en­tações do GDPR podem ser ain­da mais graves. 

A nova lei de pro­teção de dados da União Europeia foi cri­a­da para garan­tir que as infor­mações cole­tadas sejam usadas de uma for­ma mais trans­par­ente e segu­ra, e essa ideia é algo que todas as empre­sas, mes­mo as que não estão obri­gadas a cumprir as nor­mas do GDPR, pode­ri­am considerar. 

Isso porque não cuidar bem das infor­mações dos seus clientes pode levar a um vaza­men­to de dados e ger­ar con­se­quên­cias cat­a­stró­fi­cas para o seu negó­cio. Ver­e­mos, a seguir, quais são as principais

Per­da de credibilidade

Se você tem dados, como nome, sen­ha e número de cartão de crédi­to, cadastra­dos com uma empre­sa e ela perde suas infor­mações, você voltaria a con­fi­ar ple­na­mente nela out­ra vez? 

Uma das grandes con­se­quên­cias do vaza­men­to de dados é que a cred­i­bil­i­dade da empre­sa pode ser bas­tante prej­u­di­ca­da. E, con­sideran­do que a cred­i­bil­i­dade é um que­si­to fun­da­men­tal tan­to para o públi­co con­sum­i­dor quan­to para o próprio mer­ca­do, esse é um efeito bas­tante negativo. 

Pre­juí­zo financeiro

O segun­do grande reflexo do vaza­men­to de dados é o pre­juí­zo finan­ceiro, seja ele dire­to ou indireto. 

Atual­mente, não existe nen­hu­ma lei especí­fi­ca para punir empre­sas que tiver­am seus ban­cos de dados inva­di­dos, mas caso o con­sum­i­dor que se sen­tir lesa­do ou prej­u­di­ca­do de qual­quer for­ma pode exi­gir uma ind­eniza­ção para a com­pan­hia que perdeu seus dados. Poden­do, inclu­sive, recor­rer à lei de Danos Morais.

O Yahoo!, por exem­p­lo, atual­mente geren­ci­a­do por duas empre­sas, sendo uma delas a Alta­ba Inc., foi mul­ta­do em 35 mil­hões de dólares pela SEC (Secu­ri­ties Exchange Comis­sion, uma comis­são de segu­rança americana). 

A SEC enten­deu que o Yahoo! soube de uma fal­ha na segu­rança em 2014, mas só tornou o caso públi­co dois anos depois. Esti­ma-se que, no decor­rer de vários ataques no perío­do, 3 bil­hões de con­tas ten­ham sido afetadas. 

Além dis­so, ter dados vaza­dos pode faz­er com que seja mais difí­cil con­seguir fechar novos con­tratos com fornece­dores ou mes­mo cap­tar out­ros clientes, já que a sua cred­i­bil­i­dade será afe­ta­da, e isso pode impactar dura­mente o seu faturamento. 

Prob­le­mas legais

Além de a pos­si­bil­i­dade de ind­enizar os clientes ger­ar cus­tos para o caixa do negó­cio, ter uma porção de proces­sos por con­ta do vaza­men­to de dados não é inter­es­sante para nen­hu­ma empre­sa, e é impor­tan­tís­si­mo ter uma boa equipe de advo­ga­dos ao seu lado para estu­dar o caso e resolver o prob­le­ma da mel­hor maneira possível. 

Como evi­tar o vaza­men­to de dados 

Infe­liz­mente, não existe nen­hum méto­do 100% efi­caz para evi­tar o vaza­men­to de dados. Pro­va dis­so é que muitos dos grandes play­ers no mer­ca­do já pas­saram por essa situ­ação, como a Sony, Face­book, Uber e LinkedIn.

Mas, como o GDPR indi­ca, inve­stir em tec­nolo­gia que pos­sa reforçar a segu­rança, ter profis­sion­ais espe­cial­iza­dos para repas­sar às equipes as mel­hores práti­cas de trata­men­to dos dados de seus clientes e avis­ar os con­sum­i­dores rap­i­da­mente em caso de vaza­men­to são as mel­hores for­mas de reduzir o risco de ter uma que­bra de sig­i­lo ou reduzir suas consequências. 

GDPR: Tudo o que você precisa saber sobre a lei de privacidade na web

GDPR: Projetos de Lei no Brasil para regulamentação da proteção de dados

por Assis e Mendes | maio 18, 2018 | Sem categoria

Diari­a­mente nos­sos dados e infor­mações pes­soais são cap­ta­dos por empre­sas na inter­net. Podem ser redes soci­ais, e‑commerces e até mes­mo sites de notí­cias que cap­tam nos­sos dados para usar em cam­pan­has de mar­ket­ing, pesquisas de mer­ca­do e out­ras finalidades. 

Mas quem é que delimi­ta o que a inter­net sabe sobre cada usuário e como as empre­sas uti­lizam essas infor­mações pessoais? 

A União Europeia diz que são os próprios usuários. Por meio do GDPR, a UE tem estim­u­la­do empre­sas do mun­do inteiro a rev­er seus proces­sos de cap­tação e proces­sa­men­to de dados de usuário na web, e o Brasil tam­bém cam­in­ha com pro­postas que pri­or­izam a pri­vaci­dade na internet. 

Isso porque, além da neces­si­dade de imple­men­tar as ori­en­tações do GDPR, tor­nam-se cada vez mais fre­quentes os casos de vaza­men­to de dados e crimes cibernéti­cos, como os ran­somwares, o que mostra o quan­to é impor­tante for­t­ale­cer os parâmet­ros necessários para pro­teção na internet. 

Além do Mar­co Civ­il, hoje a prin­ci­pal lei respon­sáv­el por reg­u­lar a inter­net brasileira, muitos doc­u­men­tos legais já garan­tem a pri­vaci­dade e a pro­teção de infor­mação dos usuários fora da inter­net e que, em teo­ria, devem valer para o uni­ver­so online.

A própria Con­sti­tu­ição Fed­er­al, no art. 5º, inciso X, defende que “são invi­o­láveis a intim­i­dade, a vida pri­va­da, a hon­ra e a imagem das pes­soas, asse­gu­ran­do o dire­ito à ind­eniza­ção pelo dano mate­r­i­al ou moral decor­rente de sua vio­lação”. E o art. 43 do Códi­go de Defe­sa do Con­sum­i­dor reforça, afir­man­do que “o con­sum­i­dor, sem pre­juí­zo do dis­pos­to no art. 86, terá aces­so às infor­mações exis­tentes em cadas­tros, fichas, reg­istros e dados pes­soais e de con­sumo arquiv­a­dos sobre ele, bem como sobre as suas respec­ti­vas fontes”. 

Ape­sar dis­so, o mun­do dig­i­tal ain­da é um pouco neb­u­loso para a leg­is­lação atu­al, e é por isso que exis­tem diver­sos pro­je­tos de lei que visam a mel­ho­rar a for­ma como as infor­mações do públi­co são obti­das e utilizadas. 

Na sequên­cia, vamos con­hecer alguns deles e quais são suas pro­postas para mel­ho­rar a pro­teção dos dados na internet. 

Con­ceito de dados pes­soais e sua lig­ação com a dig­nidade (PL 5276/16)

A definição do que são dados pes­soais e seu trata­men­to ain­da é um pouco con­tro­ver­sa, e a PL 5276/16, apre­sen­ta­da pelo gov­er­no de Dil­ma Rouss­eff, propõe dois conceitos. 

De acor­do com o pro­je­to de lei, os dados pes­soais seri­am “dado rela­ciona­do à pes­soa nat­ur­al iden­ti­fi­ca­da ou iden­ti­ficáv­el, inclu­sive números iden­ti­fica­tivos, dados loca­cionais ou iden­ti­fi­cadores eletrôni­cos, quan­do estes estiverem rela­ciona­dos a uma pes­soa”, enquan­to o trata­men­to dos dados são “toda oper­ação real­iza­da com dados pes­soais, como as que se ref­er­em a cole­ta, pro­dução, recepção, clas­si­fi­cação, uti­liza­ção, aces­so, repro­dução, trans­mis­são, dis­tribuição, proces­sa­men­to, arquiv­a­men­to, armazena­men­to, elim­i­nação, avali­ação ou con­t­role da infor­mação, mod­i­fi­cação, comu­ni­cação, trans­fer­ên­cia, difusão ou extração”. 

Além dos con­ceitos, o PL 5276/16 rela­ciona o trata­men­to dos dados dire­ta­mente com a dig­nidade do ser humano, con­sideran­do que sua explo­ração pode impactar no bem-estar e na moral do cidadão. 

Con­sideran­do isso, exige que as infor­mações só pos­sam ser admin­istradas medi­ante a autor­iza­ção expres­sa de seu dono e que o uso de dados con­sid­er­a­dos “sen­síveis”, como opção sex­u­al e visão políti­ca, sejam restringi­dos. A pro­pos­ta ide­al­iza, tam­bém, uma agên­cia espe­cial para reg­u­lar o setor que cap­ta, proces­sa e uti­liza dados pessoais. 

Setor autor­reg­u­la­do (PL 4060/12)

Mais recen­te­mente, o PL 5276/16 foi apen­sa­do ao PL 4060/12, de auto­ria do dep­uta­do Mil­ton Mon­ti, e ele legit­i­ma o inter­esse de cap­tar e explo­rar dados pes­soais em cer­tos segmentos. 

Ape­sar dis­so, a sug­estão do PL 4060/12 é que o setor seja autor­reg­u­la­do, ou seja, as próprias empre­sas que cap­tam e proces­sam as infor­mações definem suas regras e boas práti­cas, ao invés de ter um órgão especí­fi­co para esse papel.

O pro­je­to de lei ain­da garante aos usuários o poder de requer­er o blo­queio de seus dados, impedin­do as empre­sas de os uti­lizar, um pon­to bas­tante pare­ci­do com o que foi definido no GDPR. 

Proibição com com­par­til­hamen­to de dados pes­soais (PL 6291/16)

De auto­ria do dep­uta­do João Der­ly, o PL 6291/16 é um pouco mais especí­fi­co do que os out­ros pro­je­tos de lei cita­dos até o momen­to. A pro­pos­ta do dep­uta­do é mod­i­ficar o Mar­co Civ­il da Inter­net de for­ma a proibir o com­par­til­hamen­to de dados dos assi­nantes de apli­cações de internet. 

Ago­ra apen­sa­do ao PL 5276/16, a ideia é que empre­sas como What­sApp, Face­book e Google, por exem­p­lo, deten­ham um grande vol­ume de infor­mações pes­soais e alta­mente con­fi­den­ci­ais de seus usuários, e que é impor­tante garan­tir que essas com­pan­hias não vão com­par­til­har ess­es dados. 

A pro­pos­ta mostrou-se bas­tante atu­al depois do escân­da­lo do com­par­til­hamen­to de infor­mações do Face­book em abril deste ano, quan­do uma reportagem no jor­nal amer­i­cano New York Times acusa­va a rede social de dividir infor­mações de um quizz com uma con­sul­to­ria. A esti­ma­ti­va é de que cer­ca de 87 mil­hões de dados ten­ham sido com­par­til­ha­dos indevidamente. 

A situ­ação tornou-se ain­da mais grave quan­do se apon­tou que as infor­mações par­til­hadas podem ter sido uti­lizadas para influ­en­ciar os resul­ta­dos das eleições pres­i­den­ci­ais amer­i­canas, em 2016. 

E você, o que achou dess­es pro­je­tos de lei em desen­volvi­men­to no Brasil? Acred­i­ta que eles podem mel­ho­rar a for­ma como os seus dados pes­soais são proces­sa­dos pelas grandes empre­sas? Comente! 

« Entradas Antigas
Próximas Entradas »

Categorias

  • Bots
  • Colunistas
  • Compliance
  • Coronavirus
  • Cyberbullying
  • Direito de família
  • Direito digital
  • Direito Empresarial
  • Direito Imobiliário
  • Direito tributário
  • Imprensa
  • Lei da Liberdade Econômica
  • LGPD
  • Não categorizado
  • Outros
  • Privacidade
  • Segurança da Informação
  • Sem categoria
  • Stalking
  • Tecnologia
  • Trabalhista

Inscreva-se para nossa NewsLetter

Tags

ANPD aplicação LGPD assessoria jurídica cibercrime CLT contrato contrato de trabalho contratos contrato societário crimes virtuais direito a privacidade direito digital Direito Empresarial direito trabalhista direito tributário e-commerce empreendedor empreendedorismo empresas featured GDPR impostos internet investimento lei de proteção de dados Lei Geral de Proteção de Dados lei LGPD LGPD loja virtual privacidade privacidade na internet privacidade na web privacidade online proteção de dados redes sociais segurança segurança da informação segurança digital segurança jurídica site sociedade startup startups tecnologia vazamento de dados

O escritório

  • Quem Somos
  • Advogados
  • Premiações e reconhecimento
  • Áreas de Atuação

Informações Legais

  • Política de Privacidade
  • Termos de Uso
  • Trabalhe conosco
  • Imprensa
  • Contato

Fale com um especialista

11 3141 9009
Alameda Santos, 1165
Paulista - CEP 01419-001 - SP

Redes Sociais

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir

© Assis e Mendes Advogados - Direito Digital, Empresarial e Proteção de Dados - 2020