por Assis e Mendes | maio 14, 2019 | Sem categoria
Já não é mais segredo para ninguém que os dados pessoais são valiosos para as empresas. Eles ajudam a conhecer melhor seus compradores em potencial, entender seus hábitos de compras, fazer publicidade melhor direcionada e muito mais.
Não acredita? Pense, por exemplo, no Facebook. Como uma empresa que não cobra nada de seus usuários pode ser uma das mais ricas redes sociais do mundo? A resposta é simples: cobrança para fazer publicidade direcionada.
No Facebook as empresas podem pagar para fazer anúncios e impulsionar os resultados de seus posts segmentando o conteúdo para quem tem mais potencial de comprar. E a rede social sabe quais são os usuários mais propensos a se tornarem consumidores de um serviço ou produto porque analisam nossas informações e hábitos.
Mas se o Facebook e tantas outras empresas estão ganhando dinheiro com os dados, será que os titulares não deveriam receber também? Uma lei californiana defende que sim.
A California Consumer Privacy Act, que entrará em vigor em 2020, será a primeira legislação a garantir que os usuários vendam seus dados pessoais para empresas que querem ou precisam deles para suas operações.
O que diz a California Consumer Privacy Act?
A nova lei do estado da California cobre mais de um aspecto sobre a privacidade digital, mas falando especificamente do comércio de dados pessoais, os principais pontos são:
- A nova legislação passa a enxergar que o conceito de privacidade, detalhado na constituição do estado, está relacionado à possibilidade de controlar seus dados e, inclusive, comercializá-los.
- Através da lei, as empresas podem oferecer incentivos financeiros aos consumidores como compensação pela coleta, venda ou exclusão de suas informações pessoais.
- A marca também pode oferecer um preço, taxa, nível ou uma qualidade de produtos ou serviços diferentes ao consumidor, se esse preço ou diferença estiver diretamente relacionado ao valor fornecido ao titular pelos seus dados.
- O consumidor será livre para recusar a venda de informações pessoais e a empresa está proibida de discriminá-lo por exercer esse direito.
- As companhias que vendem informações pessoais dos consumidores a terceiros devem notificá-los, e eles têm o direito de recusar a venda nessa modalidade.
- É mandatório que as empresas que vendem informações para terceiros sinalizem quando os usuários deixarem de comercializar seus dados.
- No caso de crianças abaixo de 13 anos as informações só poderão ser vendidas se autorizadas por um tutor ou responsável.
As consequências de vender seus dados pessoais
Ainda não sabemos, de fato, quais serão os desdobramentos da nova lei e como ela deve impactar outras iniciativas de proteção de dados, principalmente o GDPR. Mas é possível especular algumas vantagens e desvantagens dos consumidores que decidirem apostar no comércio de seus dados pessoais.
O principal benefício para o consumidor será a compensação financeira por seus dados. Porém, como estarão pagando, as empresas devem se sentir no direito de ser mais exigentes com o titular, solicitando informações mais completas e específicas. Com isso, as companhias podem ter carta branca para ser ainda mais invasivas.
Incluir mais um gasto na operação também deve resultar em produtos e serviços mais caros, já que a despesa com o pagamento pelos dados pessoais deve ser embutida nos preços e repassada para o consumidor.
Por outro lado, para evitar esse encarecimento as empresas podem ainda investir em outras formas de recolher dados mais completos e de qualidade sem pagar, e isso abre espaço para o fortalecimento de um mercado paralelo e ilegal de dados pessoais.
Como ainda não existe uma média de preço ou percentual justo sobre os ganhos das empresas, é difícil entender se o valor da venda vai ser realmente atrativo e condizente com a importância que os dados pessoais têm no mercado.
Não é difícil imaginar, então, que empresas que precisem de mais volume do que qualidade podem oferecer valores muito baixos pelas informações. Isso pode deixar os consumidores de baixa renda mais vulneráveis e sujeitos a terem seus dados explorados por valores irrisórios.
Aderência à proposta
Aprovada em 2018 – logo depois da implementação do GDPR – a nova lei é divulgada em um momento em que a proteção de dados pessoais nunca foi tão discutida e tem havia um movimento intenso para conscientizar empresas e titulares sobre como utilizar dados pessoais de forma adequada.
E se por um lado essa preocupação com as próprias informações pessoais pode fazer com que pouquíssimos californianos queriam vender seus dados, por outro, receber uma compensação financeira por dados que hoje as companhias recolhem gratuitamente pode parecer vantajoso.
E você, venderia seus dados se isso fosse possível aqui no Brasil? Ou iria tentar protegê-los a todo custo? Responda nos comentários!
por Assis e Mendes | maio 2, 2019 | Direito digital, Direito digital, Direito digital, Direito digital
Pode parecer que a proteção de dados e a privacidade na internet são assuntos novos, mas a verdade é que, apesar de terem ganhado bastante popularidade nos últimos anos, eles já são discutidos há décadas.
A seguir, vamos conhecer um pouco sobre o histórico das principais leis relacionadas à privacidade na internet e aos direitos do consumidor sobre seus dados pessoais.
1970 – 1980: primeiras leis europeias
Apesar de alguns especialistas acreditarem que a preocupação com dados pessoais surgiu nos Estados Unidos anos 60, a primeira lei oficialmente direcionada ao tema foi criada em Hessen, na Alemanha, na década de 70.
Nesse período, o avanço da computação e da indústria nos países mais desenvolvidos teria impulsionado o estado alemão a criar normas para regular a privacidade no país. Essa também seria a primeira vez que o conceito de proteção de dados seria introduzido no cenário jurídico da Alemanha.
Embora o conceito tenha sido desenvolvido desde o início da década de 70, a legislação só foi finalizada e implementada em 1978. Neste mesmo ano, países como França, Noruega, Suécia e Áustria também criaram suas próprias leis sobre como as informações de seus cidadãos poderiam ser utilizadas e exportadas.
Em 1981, uma convenção elaborada pelos países membros do então Conselho da Europa ajudou a unificar e desenvolver melhor as normas para o tratamento automatizado de dados pessoais.
1988: Constituição Federal Brasileira
Em 1988 o Brasil adotou uma nova carta magna e ela menciona alguns pontos sobre proteção de dados.
O artigo 5º, referente aos direitos e deveres dos cidadãos, já tratava, ainda de que de forma geral, da privacidade dos brasileiros: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
A lei 9.296 de 1996 ainda viria a acrescentar que é “inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”.
1993: Código de Defesa do Consumidor
No início dos anos 90 o Brasil também desenvolveu um manual específico para as relações entre empresas e clientes.
O Código de Defesa do Consumidor evolui ainda mais na busca pela defesa de informações e tem uma seção específica sobre cadastros e banco de dados. No texto, a legislação defende o direito do consumidor acessar os dados que uma empresa tem sobre ele e solicitar sua correção, caso alguma informação esteja incorreta.
O artigo 13º ainda deixa claro que dificultar o acesso às suas próprias informações ou deixar de comunicar ao titular sobre o registro de seus dados são consideradas infrações.
Há ainda artigos que garantem a privacidade e responsabilizam as empresas sobre a segurança dos dados, como o artigo 11º, capítulo 3: “Os dados pessoais do consumidor serão preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento”.
1995: Diretiva 95/46/CE da União Europeia
Em outubro de 1995 o Parlamento Europeu e o Conselho da União Europeia criaram um regulamento que estabelecia regras para serem cumpridas por todos os países da UE.
No texto é perceptível que o conceito de proteção de dados e a interpretação de seus propósitos estão muito mais desenvolvidos e bem próximos das legislações atuais.
Princípios como recolhimento de dados de acordo com uma finalidade específica, direito ao acesso dos dados por parte do consumidor e responsabilidade das empresas sobre a segurança das informações armazenadas, já são abordados na lei.
A diretiva determinava ainda que cada país membro tivesse um órgão ou profissional responsável pela supervisão e implementação das e adequassem suas leis regionais para estar em conformidade com a 95/46/CE.
2000: acordo entre EUA e Europa
O Safe Harbor foi um acordo estabelecido entre os Estados Unidos e a Europa com o objetivo de facilitar a troca de informações e dados pessoais entre os dois polos. Até o momento, havia muitas divergências entre as dinâmicas de coletas e o programa foi uma tentativa de uniformizar as regras.
Em 2015 o acordo foi revogado por suspeitas de espionagens por parte da Agência de Segurança Nacional dos EUA. Porém, já no ano seguinte, a Europa aprovou o Privacy Shield, um novo programa de transferência internacional de dados com empresas norte-americanas que garantia maior segurança para os cidadãos europeus.
2013: Marco Civil da Internet
2013 foi importantíssimo para a privacidade online no Brasil. Neste ano, o Marco Civil da Internet, primeira lei responsável por regular o uso da internet no país, foi implementado. E podemos dizer que foi um pontapé inicial para que a justiça brasileira começasse a entender que o que acontece na internet também traz efeitos para o mundo real.
Foram introduzidos conceitos como a neutralidade de rede e a liberdade de expressão e definidas quais são as obrigações dos órgãos públicos no fornecimento de internet.
Em março de 2013 o decreto nº 7.962 ainda acrescentou algumas orientações que complementam o Código de Defesa do Consumidor. O artigo 2º define que são diretrizes do Plano Nacional de Consumo e Cidadania a “autodeterminação, privacidade, confidencialidade e segurança das informações e dados pessoais prestados ou coletados, inclusive por meio eletrônico”.
2018 – GDPR europeu
Observando os grandes casos de vazamento de dados, a utilização e comércio de informações pessoais, a União Europeia decidiu revisitar suas regras de proteção de dados.
O GDPR obrigou empresas de todo mundo – inclusive gigantes como o Facebook e o Google – a mudar a forma como coletam e tratam dados e foi responsável por uma nova onda de novas leis sobre o tema em todo o mundo, inclusive no Brasil.
2020 – LGPD brasileira
A Lei Geral de Proteção de Dados brasileira foi anunciada no ano passado e deve entrar em vigor em 2020.
Claramente influenciada pelos princípios da diretiva europeia, a LGPD vale para todas as empresas que recolhem ou tratam dados no território nacional ou de cidadãos brasileiros.
Assim como o GDPR, alguns dos principais pontos da LGPD são: direito para o titular acessar, editar ou solicitar a exclusão de seus dados, recolhimento autorizado (com exceção em casos específicos), maior cuidado com dados sensíveis, portabilidade de dados e sanções administrativas se houver descumprimento.
Apesar do prazo parecer grande, a LGPD exige uma série de mudanças estruturais que demandam tempo e investimento, por isso o ideal é começar o planejamento já!
Além disso, ainda existem chances de a legislação ser alterada até a sua implementação! Para que você não fique desinformado sobre um tema tão importante, aproveite e se inscreva em nossa newsletter!
por Assis e Mendes | abr 30, 2019 | Sem categoria
Infelizmente, muitas empresas ainda não entenderam como é séria a tarefa de coletar e armazenar dados pessoais de seus clientes. E quando um vazamento de dados acontece elas acreditam que apenas uma retratação com o público e um acordo com o Ministério Público podem resolver.
Afinal, pensam elas, se esse tipo de situação já aconteceu com gigantes do mercado, como Facebook, Uber, Adobe e Netshoes e essas empresas continuam a lucrar, então um vazamento de dados não deve ser tão grave, certo? Errado.
A verdade é que essas e outras companhias foram sim bastante prejudicadas por ter sofrido com a ação de criminosos digitais, e com empresas menores as consequências podem ser ainda piores.
A seguir, vamos esclarecer algumas dúvidas sobre as consequências de um vazamento de dados e sobre a atuação do Ministério Público nesses casos.
Posso fazer um acordo com o Ministério Público?
A empresa pode sim fazer um acordo com o MP. Mas isso ainda a coloca bem longe de resolver o problema.
Em 2018, o Banco Inter teve os dados de mais de 19 mil clientes vazados. Primeiro, a instituição negou a quebra de sigilo, mas algumas semanas depois acabou confessando que informações de seus correntistas estavam sendo vendidas na Deep Web.
Inicialmente, o Ministério Público cobrou uma multa de R$ 10 milhões e, depois de meses de disputa, o valor for acordado em R$ 1,5 milhão. Deste montante, R$ 500 mil seriam encaminhados para instituições de caridade e R$ 1 milhão para órgãos públicos que combatem os crimes digitais.
Apesar de ter reduzido a sanção aplicada no caso, o Banco Inter pode ter perdido algo ainda mais precioso: sua credibilidade com o público. Ter suas senhas, dados pessoais e transações financeiras expostas é algo gravíssimo e muitos correntistas podem ter perdido a confiança no banco.
O MP é o único que vou precisar enfrentar?
Bater de frente com o Ministério Público, normalmente, é o principal receio das empresas quando identificam um vazamento de dados, mas o MP não é o único órgão que uma companhia pode enfrentar quando tem problemas com a segurança. Também pode ser necessário lidar com ações judiciais em outras instâncias.
No caso do Banco Inter, por exemplo, a Comissão de Valores Mobiliários (CMV) também começou a investigar o caso no fim do ano passado e ainda pode abrir um processo contra a instituição financeira.
Além disso, a empresa que acabar expondo os dados que armazena pode enfrentar ações judiciais de seus clientes, funcionários e até parceiros comerciais se eles se sentirem prejudicados pela quebra de sigilo.
Unir uma redução drástica no número de clientes, o pagamento de uma multa que pode descapitalizar o seu negócio, uma porção de processos judiciais e a perda de parceiros estratégicos pode resultar em um período bastante complicado para a sua empresa e, eventualmente, até sua falência.
A LGPD pode endurecer as regras de vazamento de dados?
Sim, a nova Lei Geral de Proteção de Dados (LGPD) a ser implementada no ano que vem chega para deixar ainda mais clara a importância de fazer uma gestão adequada dos dados e endurecer as sanções em caso de vazamento.
Até 2020 as empresas que coletam e processam informações de brasileiros – online ou offline – ou têm operações no país precisam se adequar a uma série de regras para evitar sanções de até 2% de seu faturamento ou R$ 50 milhões por infração.
Como lidar com um vazamento de dados?
A melhor forma é prevenir que o vazamento aconteça e ter um advogado especializado em direito digital e proteção de dados é fundamental para isso.
Esse profissional pode ajudar a encontrar vulnerabilidades no seu sistema, propor soluções para reduzir as chances de acontecer um vazamento, orientar mudanças nos seus processos para se adequar às novas leis de proteção de dados e criar um plano de gestão de crise em caso de quebra de segurança.
Com a ajuda do especialista, você e sua equipe saberão exatamente que providências tomar caso haja um vazamento de dados e estarão melhor preparados para lidar com problemas jurídicos, caso eles aconteçam.
Se você quer ter essa segurança no seu negócio, entre em contato com os advogados da Assis e Mendes!
por Assis e Mendes | abr 9, 2019 | Direito digital, Direito Empresarial
A LGPD (Lei Geral de Proteção de Dados) será implementada no próximo ano e as empresas precisam começar a se preparar o quanto antes para as mudanças que a nova legislação vai trazer.
Porém, o grande número de artigos, exceções e os vários detalhes que compõe a LGPD fazem com que os pequenos e médios empreendedores tenham maior dificuldade em assimilar as novas regras e descobrir formas de atende-las com sucesso.
Para não correr o risco de sofrer com as altas multas que a LGPD vai cobrar de quem não estiver em compliance com suas normas, o ideal é encontrar um profissional para ajudar sua empresa na transição.
Veja, a seguir, como ter a ajuda de um especialista em direito digital e direito empresarial pode te ajudar!
Entender a LGPD e seus efeitos
Antes de fazer qualquer mudança é fundamental conhecer bem a LGPD. Se você não tem domínio na área jurídica, uma boa opção é contratar um advogado especializado nesse segmento.
Este profissional poderá te ajudar a compreender quais mudanças a LGPD propõe, quais pontos serão mais críticos para o seu tipo de negócio e que tipo de consequências a nova lei pode ocasionar.
Revisar os processos
Também é fundamental que um especialista em direito digital cheque os seus procedimentos de captação e processamento de dados e avalie seu nível de segurança digital.
Essa análise vai fornecer insights importantes sobre quais etapas da operação podem ser mantidas com mínimas alterações e quais segmentos precisarão ser totalmente remodelados para estar em conformidade com a LGPD.
Aqui, a ideia do profissional será sempre fazer o menor número de alterações possíveis, da forma menos prejudicial e custosa para o negócio.
Traçar um plano de transição
Sabendo como é o seu sistema de processamento de dados atual e como ele deve ser para atender a nova lei brasileira, o advogado traçará um plano para que o seu negócio se adeque às regras da LGPD dentro do prazo e sem prejuízos para a operação.
O advogado deve acompanhar de perto cada fase do planejamento e sugerir pequenas mudanças caso algum processo se prove ineficiente na prática.
Criar novos procedimentos
Além de ajustar os processos já existentes, também pode ser necessário criar novos procedimentos para atender as normas da lei de proteção de dados brasileira.
A nova legislação indica, por exemplo, que a Autoridade Nacional de Proteção de Dados (ANPD), órgão que vai regular o setor, pode solicitar relatórios detalhados sobre o recolhimento de informações. Também é sugerido que as empresas criem protocolos de gestão de crise em caso de vazamento de dados.
Se o seu negócio não desenhou procedimentos como esses, o profissional especializado em direito digital também poderá ajudá-lo na formatação.
Fazer uma ponte com o TI
Muitas vezes o setor de TI está “desligado” da área administrativa da empresa porque os gestores não possuem conhecimento suficiente sobre tecnologia para participar ativamente das estratégias.
Mas o advogado pode ajudar bastante a fazer essa conexão entre as estratégias de transição desenhadas com os gestores e as atividades dos profissionais de TI, tornando a comunicação mais simples e assertiva.
Estruturar uma cultura de proteção de dados
Para que a empresa seja realmente capaz de seguir as novas regras é preciso criar uma verdadeira cultura organizacional que priorize a proteção de dados.
É fundamental que toda a equipe entenda o quanto recolher e manipular informações pessoais é delicado. Também é importante educar os colaboradores para que eles adotem práticas de uso seguro da rede para evitar contaminações por ransomwares e phishing, por exemplo.
Monitorar e atualizar os protocolos
Por fim, depois que a transição for feita e a empresa estiver em compliance com a LGPD, cabe ao advogado também verificar periodicamente se todas as atividades estão sendo desempenhadas corretamente. Ele ainda deve manter o suporte à empresa em caso de dúvidas ou problemas jurídicos.
O advogado especializado em direito digital também poderá atualizar a companhia sobre eventuais mudanças na legislação e boas práticas no tratamento de dados, garantindo que seu cliente esteja sempre em conformidade com a lei e operando da forma mais eficiente possível.
Entendeu como um advogado pode ser fundamental para o seu negócio se adequar à LGPD? Então, consulte os especialistas do Assis e Mendes Advogados e conheça os profissionais que vão te ajudar a fazer uma transição segura, ágil e dentro da lei!
por Assis e Mendes | abr 2, 2019 | Direito Empresarial
Você é o do tipo de que deixa tudo para a última hora? Então saiba que no caso da LGPD esse tipo de comportamento pode render muito prejuízo para a sua empresa.
A nova lei de proteção de dados só começa a vigorar em agosto de 2020, mas é essencial que as empresas comecem a se preparar para mudanças que a LGPD impõe, e a seguir você vai entender o porquê.
Planejamento é importante
A LGPD vai forçar as companhias brasileiras (e as estrangeiras que recolhem dados no Brasil) a fazer uma série de mudanças estruturais, que vão desde o setor de TI até o atendimento ao consumidor.
Fazer essas alterações de uma forma segura, eficiente e sem prejuízos para o negócio demanda muito estudo e planejamento. E é claro que as últimas semanas antes do fim do prazo não são suficientes para isso.
É na fase de planejamento que você poderá – preferencialmente com auxilio de um especialista em proteção de dados – desenhar todos os procedimentos que serão mudados, criar treinamentos para capacitar e educar os funcionários sobre o assunto e verificar quais desafios terá que enfrentar. Por meio dessa preparação detalhada será capaz de prever riscos e criar planos de gestão de crise e desenvolver métodos mais econômicos e eficientes para estar em compliance com a LGPD sem prejudicar seu negócio.
Há muito trabalho para ser feito
A Lei 13709/18 tem um texto extenso com mais de 60 artigos, novos conceitos e procedimentos que precisam ser implementados nas empresas até o próximo ano. E isso representa muito trabalho para ser feito.
“O prazo de 24 meses desde a promulgação da LGPD pode parecer grande, mas as mudanças e estrutura exigida pela lei são grandes. Muitas empresas que trabalham com dados terão que redesenhar processos internos ou mesmo a forma como oferecem serviços aos seus clientes”, explica Adriano Mendes, advogado especialista em proteção de dados e direito digital da Assis e Mendes Advogados.
Uma das mudanças proposta pela LGPD é que as empresas tenham um DPO, um profissional encarregado de mediar a comunicação entre o controlador, os titulares e a ANPD. Isso significa que talvez você precise fazer um processo seletivo para contratar esse especialista, reservar recursos, estrutura e equipamentos para que ele trabalhe, criar uma rotina de trabalho e treinar a equipe para trabalhar em conjunto com ele.
Só essas tarefas já demandam bastante tempo e trabalho, e essa é só uma das várias mudanças que as empresas terão que fazer até o ano que vem.
Existem problemas para serem resolvidos hoje
A LGPD pode entrar em vigor em 2020, mas existem questão que você pode precisar resolver agora!
A forma como os dados dos brasileiros devem ser tratados pode não ter sido ainda não for 100% formalizada, mas muitos cidadãos já estão totalmente cientes sobre a utilização de seus dados e sobre o crescente número de ataques digitais e vazamento de informações pessoais.
“Desde já, existem diversas ações do Ministério Público Federal questionando os vários vazamentos de dados por parte das empresas. Os pedidos de indenizações atuais, em muitos casos, são superiores aos previstos na Lei”, comenta Adriano.
Além disso, ainda que não sejam diretamente mencionadas na LGPD, boas práticas da segurança digital como encriptação de dados e criação de Termos de Uso nos sites devem ser feitas “para ontem”.
Dessa forma você não só reduz as chances de ter problemas graves com vazamento, fraudes e mal-entendidos, mas demonstra para o consumidor que se preocupa com a proteção dos seus dados e aumenta a sua confiança.
Todo precisam se acostumar
É possível que você implemente uma série de procedimentos e sistemas novos, faça um único treinamento da equipe e no dia seguinte tudo esteja funcionando perfeitamente? Sim, mas é bastante improvável.
A verdade é que qualquer alteração na rotina da operação pode começar um pouco desalinhada. Talvez você precise testar mais de um sistema, provavelmente será preciso tempo e prática para que todos os funcionários estejam atuando de acordo com a LGPD, você perceba que os procedimentos que desenhou não funcionam bem e precise refazer seu planejamento.
Fazer esses testes e verificar se todos – inclusive os clientes – estão respondendo bem aos novos processos também exige tempo, e o melhor é começar a fazer essa observação o quanto antes. Assim, quando o prazo para implementação da LGPD chegar sua empresa já vai ser expert em como atuar dentro da lei.
Você não vai querer descumprir a lei
Com multas de 2% do faturamento total da empresa ou R$ 50 milhões por infração cometida você certamente não vai querer atuar fora da lei, certo?
E se somarmos multas diárias, bloqueio e até exclusão dos dados pessoais relacionados à infração? Fica cada vez menos atrativo deixar tudo para a última hora e correr o risco de não atender ao prazo da LGPD, não é mesmo?
Para que isso não aconteça, conte desde já com o apoio dos advogados especializados em direito digital, direito empresarial e tecnologia da Assis e Mendes! O escritório conta com profissionais que conhecem profundamente as boas práticas de proteção de dados no Brasil e no mundo e podem ajudar a sua empresa a passar por essa transição de uma forma mais simples e sem prejuízos para o negócio!
