por Assis e Mendes | set 12, 2019 | LGPD, Segurança da Informação
As empresas de tecnologia estão cada vez mais atentas com a segurança das informações de seus colaboradores e clientes. Isso se deve ao fato de que a nova lei brasileira – LGPD – que entra em vigor a partir de agosto de 2020, pode trazer consequências intensas para quem descumpri-la.
A LGPD, Lei Geral de Proteção de Dados, tem como principal objetivo fiscalizar a maneira que as empresas tratam as informações que solicitam e colhem dos usuários no mundo digital. Assim, empresas de tecnologia, que atuam inteiramente com dados fornecidos pelos clientes, precisarão rever sobre a segurança dessas informações e como estão sendo utilizadas.
Para que as empresas de tecnologia garantam a segurança das informações recebidas, três pilares dentro das normas de precaução são fundamentais. Assim, seguindo esses três termos, conhecidos como CID – Confidencialidade, Integridade e Disponibilidade – é possível perceber menos falhas em relação ao vazamento e uso indevido dos dados.
Por que o CID é importante para a segurança das informações?
Os termos Confidencialidade, Integridade e Disponibilidade fazem parte de um conjunto de ações que visam prevenir problemas com o vazamento de dados. Mesmo estando interligados, é possível percebermos algumas diferenças, como por exemplo, a confidencialidade está relacionada com o sigilo da empresa. Já a integridade podemos associar a consistência da instituição perante os dados. Por fim, a disponibilidade tem relação com manter as informações acessíveis a qualquer momento, podendo ser consultados pelos colaboradores se caso haja necessidade.
Confidencialidade
A confidencialidade se relaciona com a segurança das informações na organização e de que maneira se da sua privacidade. Assim, o conceito tem como fundamento principal assegurar que as informações dos sistemas organizacionais que possuem cunho confidencial sejam protegidas. Visto que, é comum e rotineiro ataques cibernéticos e espionagens em grandes empresas.
Algumas medidas preventivas são tomadas a fim de evitar que consequências desagradáveis venham a surgir. A primeira ação que podemos abordar é, sem dúvidas, a seleção da equipe responsável pelos dados. Quanto menos funcionários autorizados a lidar diretamente com dados, menores são os riscos de quebra de sigilo dessas informações.
Outra forma interessante de manter a confidencialidade para a segurança das informações, é criando uma espécie de hierarquia entre os dados. Ou seja, entre todos eles, é necessário classificar qual possui mais ou menos risco para a empresa em casos de vazamento. Assim, criam-se estratégias para que sua segurança seja redobrada.
Integridade
A integridade das empresas perante as informações fornecidas significa que seu armazenamento seja realizado em sua plenitude. Ou seja, da mesma maneira que os dados foram fornecidos, eles devem ser guardados, evitando assim modificações em seu conteúdo. Por isso, é importante analisar se interferências externas estão em contato com essas informações. Visto que, casa haja algum intermédio por meio de agentes desconhecidos, é possível que os dados sejam comprometidos ou danificados.
Para que as informações organizacionais se mantenham em segurança, existem alguns pontos de implementação que colaboram para que os dados continuem de forma íntegra. Uma delas, como já citado, é realizar um controle dos funcionários que possuem acesso a informações particulares. Dessa mesma forma, também é possível definir permissões para o arquivo. Ou seja, só será possível acessá-los os detentores de senhas ou códigos de verificação.
Além da preocupação entre a relação profissional-informação, é importante que as empresas apostem em backups. Assim, mesmo com todo cuidado proporcionado em relação ao tratamento dos dados, se houver perdas de informações, é possível resgatá-las e manter sua total integridade em relação ao que foi fornecido anteriormente.
Disponibilidade
A disponibilidade que envolve a segurança das informações está relacionada ao acesso dos dados sempre que seja necessário. Assim, é possível perceber que esse pilar está muito ligado a parte operacional da empresa. Ou seja, para que as informações estejam à disposição, é importante levar em consideração os outros dois pilares. Visto que, dependendo do que precisa ser acessado, pode haver restrições perante sua confidencialidade e, dependendo do que é repassado, pode não ter sido em sua integridade.
Para que as informações estejam sempre disponíveis, a implementação de hardwares e softwares é uma das maneiras rápidas de acesso ao conteúdo. Porém, é importante ressaltar que mecanismos assim podem sofrer invasões. Por isso, é necessário que seja realizado manutenções e atualizações periódicas. Além disso, é importante que se tenha um plano de recuperação de dados ou backups ativos frequentemente, para que, caso haja algum imprevisto, esses dados possam continuar à disposição.
Segurança de Informações em paralelo a LGPD
O cuidado com a privacidade de dados pessoais sempre foi algo levado em consideração nas empresas de tecnologia. Porém, com a sanção da LGPD, as instituições passaram a ter a atenção redobrada com esse assunto.
É fundamental que as regras sejam seguidas para que não aconteçam multas e outras penalizações caso seja comprovado o mau uso de dados privados. Assim, as empresas de tecnologia têm até agosto de 2020 para se adaptarem a nova lei.
Por isso, é importante que as instituições que precisam garantir a segurança das informações saibam exatamente como agir perante a nova lei. Assim, com o auxílio de profissionais especialistas na área de Direito Digital, fica mais fácil entender até que ponto a LGPD pode interferir na maneira que as empresas lidam com os dados pessoais.
Os advogados do Assis e Mendes são especialistas em tudo que envolve a nova lei brasileira e o Direito Digital. Entendemos a importância de esclarecer dúvidas para empresas de tecnologia e de que forma a LGDP pode trazer impactos para essas instituições. Entre em contato com nosso escritório e saiba como podemos te auxiliar em relação a segurança das informações que sua empresa lida!
por Assis e Mendes | maio 16, 2019 | Sem categoria
1A jornada para adequar o seu processamento de dados às novas regradas da Lei Geral de Proteção de Dados (LGPD) pode ser longa.
A legislação que entra em vigor em agosto de 2020 demanda uma série de mudanças estruturais e a criação de novos processos. E como todas elas demandam muito tempo e trabalho, o ideal é começar o quanto antes!
A seguir, veremos algumas ações que sua empresa precisa fazer desde já para atender ao prazo de implementação da LGPD!
Mapear ações
O primeiro passo para a adequação a LGPD é mapear todas as operações internas que estão relacionadas com a captação e o tratamento de dados. Normalmente, essas atividades estão ligadas aos setores de marketing, comercial e TI, mas é interessante analisar todas as áreas para que nenhuma ação passe despercebida.
Levantar dados
Toda ação de captação e tratamento está manipulando dados pessoais e eles também precisam ser analisados. Para facilitar a organização, você pode ordenar os dados em classes de acordo com sua importância e departamento.
Adequar ferramentas
O próximo passo é analisar se as ferramentas de tratamento de dados que você dispõe atendem às orientações da LGPD. Muitas plataformas já se adequaram ao GDPR, mas é importante confirmar se elas também estão de acordo com a lei brasileira e fazer ajustes caso necessário.
Revisar materiais
Reserve um momento para rever os principais materiais ligados à proteção de dados e à segurança digital.
Termos de Uso, Políticas de Privacidade e até mesmo os contratos devem ser revisados para garantir que os seus conteúdos estejam de acordo com a LGPD. Em alguns casos também pode ser necessário incluir uma cláusula especial sobre como a sua companhia utiliza os dados.
Não se esqueça que o ideal é contar com apoio jurídico sempre que precisar criar ou alterar materiais de efeito legal, como os contratos.
Corrigir contratos
Aproveite também para ajustar os contratos de prestação de serviços – internos e externos – de empresas e profissionais que tenham acesso ou tratem dados pessoais em seu nome.
Analisar segurança
Um dos objetivos de criar políticas de proteção de dados é manter as informações dos cidadãos mais seguras. Pensando nisso, também é fundamental que sua empresa analise os mecanismos de segurança e atualize-os.
Todas as técnicas e procedimentos de segurança devem ser documentados e informados ao consumidor, se necessário.
Planejar providências
Agora que você já conhece bem o cenário atual e onde precisa chegar antes de agosto de 2020, é hora de começar a planejar ações para ajustar os procedimentos antigos à nova lei.
Liste tudo que precisará ser mudado, detalhe como será a transição para os novos processos e qual será o tempo e investimento necessário para chegar lá.
Criar guias e relatório
Também se preocupe em criar manuais, guias e outros materiais para descrever a importância de seguir a legislação e as boas práticas que devem ser seguidas. É essencial que esses materiais estejam disponíveis para eventuais consultas.
Como deve haver uma forte fiscalização do cumprimento da lei, vale a pena, ainda, criar um relatório de impacto à proteção de dados. Trata-se de um documento que relata detalhadamente as ações tomadas pela sua empresa para estar em conformidade com a LGPD. Além de servir como proteção jurídica, relatórios como esse podem ser solicitados a qualquer momento pela Autoridade Nacional de Proteção de Dados (ANPD).
Reestruturar equipes
A nova lei de proteção de dados vai criar várias tarefas que antes não existiam e alguns procedimentos deverão ser alterados.
Por isso, é importante planejar uma reestruturação da equipe e fazer eventuais contratações para que, quando a LGPD entrar em vigor, todos já estejam 100% acostumados com a nova rotina de trabalho e as boas práticas do tratamento de dados.
Fazer treinamentos
Não espere que os seus colaboradores se ajustem de um dia para o outro aos novos procedimentos, nomenclaturas e atividades. Promova treinamentos periódicos e reciclagens para garantir que as informações foram bem fixadas e estão sendo empregadas no dia a dia.
Eliminar dados desnecessários
A análise e categorização dos dados pode ter revelado que sua empresa tem informações que não são mais necessárias. Cópias duplicadas, dados inválidos ou muito antigos, por exemplo, podem e devem ser eliminados.
Além de abrir espaço para novas informações, essa prática permite que você foque seus esforços em dados que realmente valem a pena.
Nomear um DPO
Por fim, não se esqueça de nomear um DPO (ou encarregado) para fazer a gestão. As atribuições do DPO incluem monitorar e orientar as atividades e os profissionais ligados à proteção de dados e mediar a comunicação com a ANPD e os titulares.
Se você precisar de ajuda nessas e em outras atividades relacionadas à LGPD, entre em contato com o Assis e Mendes Advogados. Os advogados especializados em proteção de dados podem te ajudar a traçar um plano eficiente para fazer as alterações dentro do prazo e sem prejuízos para o seu negócio!
por Assis e Mendes | maio 9, 2019 | Sem categoria
O GDPR, legislação europeia que regula o tratamento de dados de empresas que tem operação na União Europeia ou recolhem dados de europeus, entrou em vigor em maio de 2018 e algumas empresas já sentiram o peso de suas sanções.
As multas altas e a publicidade negativa que ser denunciado pelo GDPR gera demonstram o quanto é importante estar em conformidade com as novas regras de proteção de dados.
Um relatório da DLA Piper apontou que mesmo antes de completar 1 ano de vigência, o GDPR já localizou e multou 91 empresas por não cumprirem suas regras. Importante mencionar que a legislação europeia prevê sanções de cerca de 4% sobre o faturamento total da companhia.
Na sequência, veremos os principais casos de empresas multadas pelo GDPR e quais foram as infrações que elas cometeram.
Google – €50 milhões
No ano passado, o Google emitiu um comunicado sobre as mudanças em suas políticas de privacidade e proteção de dados para se adequar ao GDPR e até criou uma página para esclarecer dúvidas sobre a relação com a legislação europeia. Porém, mesmo assim, a companhia acabou descumprindo regras da diretiva e foi severamente punida por isso.
De acordo com as autoridades, a gigante das buscas foi denunciada por coletar dados dos celulares conectados em suas contas sem a autorização dos usuários franceses. A prática acontecia porque o Google não indicava de forma clara que os dados estavam sendo recolhidos nem como desabilitar a captação.
Além disso, o Google já tinha sido denunciado por sete países da União Europeia por recolher dados sobre a localização dos seus usuários mesmo quando o GPS de seus smartphones estava desligado.
Centro Hospitalar Barreiro Montijo – €400 mil
No final do ano passado um hospital português recebeu notificações por utilizar os dados de forma inadequada. As multas totalizaram mais de 400 mil euros.
O que foi reportado é que funcionários que não atuavam na área hospitalar usavam os dados de terceiros para conseguir acesso ao sistema. A suspeita surgiu porque o hospital tinha 985 usuários registrados como médicos, mas apenas 296 médicos realmente trabalhando no local.
Knuddels.de - €200 mil
Uma rede social alemã recebeu uma multa de 200 mil euros por um vazamento que expôs informações de mais de 330 mil pessoas, incluindo seus e‑mails e senhas. Em alguns casos, os nomes reais e endereços de usuários também foram vazados e disponibilizado em serviços de nuvem pública.
A quebra de sigilo mostrou que o site guardava os dados em formatos de texto comum, sem encriptação ou anonimização das informações que pudessem dificultar a identificação dos usuários.
Investir em segurança para manter os dados de seus clientes seguros é uma das responsabilidades que o GDPR impõe para as companhias. Por isso, não implementar políticas e mecanismos de segurança pode ser visto como uma infração à diretiva.
Empreendedor austríaco — €4,8 mil
Um pequeno empresário austríaco foi o primeiro a ser multado pelo GDPR em seu país. Ele alegou ter comprado uma câmera para monitorar a parte da frente do seu estabelecimento. Porém o equipamento estava direcionado para filmar toda a calçada e a vizinhança.
O órgão responsável pela proteção de dados na Áustria entendeu que a possibilidade de monitorar espaços públicos sem que a câmera estivesse devidamente sinalizada configurava uma violação do GDPR.
Esse é um caso bastante interessante porque demonstra como a lei europeia pode cobrir não só a proteção de informações na internet, mas também fora dela.
É importante lembrar que as normas do GDPR valem apenas para empresas que tenham algum tipo de operação na União Europeia ou coletem dados de europeus, mas o Brasil já tem sua própria lei de proteção de dados! A LGPD é a legislação brasileira equivalente ao GDPR e também pode gerar multas altíssimas, que chegam a 50 milhões de reais ou 2% do faturamento.
Ainda que a LGPD só entre em vigor no próximo ano é fundamental começar agora o processo para se adequar a ela. Para isso, conte com os advogados especializados em direito digital e proteção de dados do Assis e Mendes Advogados!
por Assis e Mendes | maio 7, 2019 | Direito digital
Ainda que o prazo final para se adequar à LGPD se encerre em 2020, a verdade é que as empresas que não começarem ainda este ano a se preparar para a nova lei de proteção de dados correm sérios riscos.
Quem não estiver em compliance com as normas da LGPD estará descumprindo a lei e isso pode gerar consequências gravíssimas para o seu negócio.
Multas de até 50 milhões
A Lei Geral de Proteção de Dados prevê sanções de 2% sobre o faturamento ou até R$ 50 milhões. Vale frisar que esse valor é calculado por infração. Por isso, se você cometer mais de uma violação, a multa será multiplicada.
O artigo 52 da LGPD também descreve penalidades diárias de acordo com o tempo em que a empresa vem descumprindo a legislação.
Esses valores podem descapitalizar rapidamente uma empresa e colocar em jogo a saúde financeira de toda a sua operação. E empresário conscientes sabem que uma crise financeira é um dos piores cenários possíveis nos negócios e pode ocasionar a falência da empresa.
Má reputação para sua empresa
Ainda que o seu negócio seja punido por falta de cuidado e de conhecimento sobre a nova lei, a mensagem que vai transmitir para o mercado e os clientes é que você agiu de má fé na forma como tratava os dados.
Essa reputação pode culminar na perda de clientes e, consequentemente, em uma queda drástica no seu faturamento.
Perda de parceiros
As grandes empresas costumam ser bastante rigorosas quando buscam parcerias. Elas querem garantir que suas aliadas estão em dia com suas obrigações fiscais e tributárias, não têm processos trabalhistas e possuem um código de ética para guiar suas ações. E quando a LGPD entrar em vigor é bem provável que fazer um tratamento correto de dados seja um dos requisitos para grandes parcerias.
Pensando nisso, ter um histórico de problemas com a lei de proteção de dados pode fazer você perder a oportunidade de fazer novas parcerias e receber investimentos importantes. E isso é tudo que uma empresa em expansão não precisa!
Exclusão dos dados
Se a sua marca utiliza dados pessoais é porque eles são importantes para suas estratégias. Então, com certeza, seria péssimo perder essas informações, não é mesmo?
Bem, se não se adequar às normas da LGPD isso pode acontecer. A lei prevê o bloqueio e até mesmo a exclusão dos dados pessoais caso identifique que a empresa está fazendo a captação ou tratamento de maneira inadequada.
Essa ação certamente iria prejudicar e atrasar bastante as operações do seu negócio, então não vale a pena arriscar!
Multas altíssimas, perda de dados precisos, má reputação no mercado… Para evitar esses e outros problemas a solução é não comprometer o seu negócio e começar o planejamento já!
Os advogados da Assis e Mendes são especialistas em direito digital, direito empresarial e tecnologia e podem te mostrar o caminho para uma transição simples, ágil e sem prejuízo para sua empresa!
por Assis e Mendes | maio 2, 2019 | Direito digital, Direito digital, Direito digital
Pode parecer que a proteção de dados e a privacidade na internet são assuntos novos, mas a verdade é que, apesar de terem ganhado bastante popularidade nos últimos anos, eles já são discutidos há décadas.
A seguir, vamos conhecer um pouco sobre o histórico das principais leis relacionadas à privacidade na internet e aos direitos do consumidor sobre seus dados pessoais.
1970 – 1980: primeiras leis europeias
Apesar de alguns especialistas acreditarem que a preocupação com dados pessoais surgiu nos Estados Unidos anos 60, a primeira lei oficialmente direcionada ao tema foi criada em Hessen, na Alemanha, na década de 70.
Nesse período, o avanço da computação e da indústria nos países mais desenvolvidos teria impulsionado o estado alemão a criar normas para regular a privacidade no país. Essa também seria a primeira vez que o conceito de proteção de dados seria introduzido no cenário jurídico da Alemanha.
Embora o conceito tenha sido desenvolvido desde o início da década de 70, a legislação só foi finalizada e implementada em 1978. Neste mesmo ano, países como França, Noruega, Suécia e Áustria também criaram suas próprias leis sobre como as informações de seus cidadãos poderiam ser utilizadas e exportadas.
Em 1981, uma convenção elaborada pelos países membros do então Conselho da Europa ajudou a unificar e desenvolver melhor as normas para o tratamento automatizado de dados pessoais.
1988: Constituição Federal Brasileira
Em 1988 o Brasil adotou uma nova carta magna e ela menciona alguns pontos sobre proteção de dados.
O artigo 5º, referente aos direitos e deveres dos cidadãos, já tratava, ainda de que de forma geral, da privacidade dos brasileiros: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
A lei 9.296 de 1996 ainda viria a acrescentar que é “inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”.
1993: Código de Defesa do Consumidor
No início dos anos 90 o Brasil também desenvolveu um manual específico para as relações entre empresas e clientes.
O Código de Defesa do Consumidor evolui ainda mais na busca pela defesa de informações e tem uma seção específica sobre cadastros e banco de dados. No texto, a legislação defende o direito do consumidor acessar os dados que uma empresa tem sobre ele e solicitar sua correção, caso alguma informação esteja incorreta.
O artigo 13º ainda deixa claro que dificultar o acesso às suas próprias informações ou deixar de comunicar ao titular sobre o registro de seus dados são consideradas infrações.
Há ainda artigos que garantem a privacidade e responsabilizam as empresas sobre a segurança dos dados, como o artigo 11º, capítulo 3: “Os dados pessoais do consumidor serão preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento”.
1995: Diretiva 95/46/CE da União Europeia
Em outubro de 1995 o Parlamento Europeu e o Conselho da União Europeia criaram um regulamento que estabelecia regras para serem cumpridas por todos os países da UE.
No texto é perceptível que o conceito de proteção de dados e a interpretação de seus propósitos estão muito mais desenvolvidos e bem próximos das legislações atuais.
Princípios como recolhimento de dados de acordo com uma finalidade específica, direito ao acesso dos dados por parte do consumidor e responsabilidade das empresas sobre a segurança das informações armazenadas, já são abordados na lei.
A diretiva determinava ainda que cada país membro tivesse um órgão ou profissional responsável pela supervisão e implementação das e adequassem suas leis regionais para estar em conformidade com a 95/46/CE.
2000: acordo entre EUA e Europa
O Safe Harbor foi um acordo estabelecido entre os Estados Unidos e a Europa com o objetivo de facilitar a troca de informações e dados pessoais entre os dois polos. Até o momento, havia muitas divergências entre as dinâmicas de coletas e o programa foi uma tentativa de uniformizar as regras.
Em 2015 o acordo foi revogado por suspeitas de espionagens por parte da Agência de Segurança Nacional dos EUA. Porém, já no ano seguinte, a Europa aprovou o Privacy Shield, um novo programa de transferência internacional de dados com empresas norte-americanas que garantia maior segurança para os cidadãos europeus.
2013: Marco Civil da Internet
2013 foi importantíssimo para a privacidade online no Brasil. Neste ano, o Marco Civil da Internet, primeira lei responsável por regular o uso da internet no país, foi implementado. E podemos dizer que foi um pontapé inicial para que a justiça brasileira começasse a entender que o que acontece na internet também traz efeitos para o mundo real.
Foram introduzidos conceitos como a neutralidade de rede e a liberdade de expressão e definidas quais são as obrigações dos órgãos públicos no fornecimento de internet.
Em março de 2013 o decreto nº 7.962 ainda acrescentou algumas orientações que complementam o Código de Defesa do Consumidor. O artigo 2º define que são diretrizes do Plano Nacional de Consumo e Cidadania a “autodeterminação, privacidade, confidencialidade e segurança das informações e dados pessoais prestados ou coletados, inclusive por meio eletrônico”.
2018 – GDPR europeu
Observando os grandes casos de vazamento de dados, a utilização e comércio de informações pessoais, a União Europeia decidiu revisitar suas regras de proteção de dados.
O GDPR obrigou empresas de todo mundo – inclusive gigantes como o Facebook e o Google – a mudar a forma como coletam e tratam dados e foi responsável por uma nova onda de novas leis sobre o tema em todo o mundo, inclusive no Brasil.
2020 – LGPD brasileira
A Lei Geral de Proteção de Dados brasileira foi anunciada no ano passado e deve entrar em vigor em 2020.
Claramente influenciada pelos princípios da diretiva europeia, a LGPD vale para todas as empresas que recolhem ou tratam dados no território nacional ou de cidadãos brasileiros.
Assim como o GDPR, alguns dos principais pontos da LGPD são: direito para o titular acessar, editar ou solicitar a exclusão de seus dados, recolhimento autorizado (com exceção em casos específicos), maior cuidado com dados sensíveis, portabilidade de dados e sanções administrativas se houver descumprimento.
Apesar do prazo parecer grande, a LGPD exige uma série de mudanças estruturais que demandam tempo e investimento, por isso o ideal é começar o planejamento já!
Além disso, ainda existem chances de a legislação ser alterada até a sua implementação! Para que você não fique desinformado sobre um tema tão importante, aproveite e se inscreva em nossa newsletter!
