Fale com um especialista +55 11 3141 9009

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Português
  • Quem Somos
  • LGPD
  • Áreas de Atuação
  • Equipe
  • Imprensa
  • Opinião Jurídica
  • Contato

Consultoria jurídica

Conte conosco para adequação à LGPD

U

Sobre a LGPD

O que é e para quem vale



Materiais Exclusivos

E-books com muita informação sobre LGPD

Preciso de uma consultoria 



Dados Cast

Dados Cast: O podcast do Assis e Mendes

LGPD

Informações sobre Lei Geral de Proteção de Dados


DIREITO DIGITAL

Informações sobre Direito Digital


DIREITO EMPRESARIAL

Informações sobre Direito Empresarial

E-BOOKS PARA DOWNLOAD

b

2021

b

2020

b

2019



Anos anteriores

Fale com o Assis e Mendes

LGPD: 11 conceitos das leis de proteção de dados que você precisa conhecer

por Assis e Mendes | mar 28, 2019 | Sem categoria

Ape­sar de a Lei Ger­al de Pro­teção de Dados (LGPD) só entrar em vig­or no próx­i­mo ano, as empre­sas já devem começar a se ade­quar à nova regulamentação. 

Para uma tran­sição efi­ciente e sem pre­juí­zos é fun­da­men­tal con­hecer bem as novas regras que serão imple­men­tadas. E isso inclui os con­ceitos e nomen­clat­uras que a LGPD vai intro­duzir no mer­ca­do brasileiro.

A seguir, sep­a­ramos 11 ter­mos que você pre­cisa con­hecer para se ade­quar a LGPD. 

Autori­dade nacional: de acor­do com o tex­to da Lei Ger­al de Pro­teção de Dados a Autori­dade Nacional de Pro­teção de Dados (ANPD) é uma enti­dade que vai aju­dar a reg­u­lar e fis­calizar o cumpri­men­to da LGPD. 

Esse órgão já era cita­do no tex­to orig­i­nal, mas a medi­da pro­visória 869/18 foi respon­sáv­el por car­ac­ter­izá-lo como uma autori­dade públi­ca inte­grante da Presidên­cia da República. 

A medi­da pro­visória tam­bém detal­hou os atrib­u­tos da ANPD, que se resumem em edi­tar as nor­mas de pro­teção de dados, mon­i­torar o cumpri­men­to da lei, imple­men­tar fer­ra­men­tas que mel­horem a comu­ni­cação entre empre­sas, autori­dades e tit­u­lares, faz­er estu­dos sobre pro­teção de dados no exte­ri­or e aplicar sanções. 

Con­tro­lador: a lei define como con­tro­lador a “pes­soa nat­ur­al ou jurídi­ca, de dire­ito públi­co ou pri­va­do, a quem com­petem as decisões ref­er­entes ao trata­men­to de dados pes­soais”. Em out­ras palavras, toda pes­soa físi­ca ou jurídi­ca que recol­ha infor­mações pes­soais é con­sid­er­a­da um controlador. 

É impor­tante fris­ar que o con­tro­lador só pode recol­her dados caso o tit­u­lar ten­ha autor­iza­do ou em algu­mas situ­ações especí­fi­cas, como em casos de pesquisa. Tam­bém cabe ao con­tro­lador man­ter o sig­i­lo dos dados con­fi­a­dos a ele e prestar con­tas às autoridades. 

Encar­rega­do: o encar­rega­do é a figu­ra que faz a inter­me­di­ação entre o con­tro­lador, o tit­u­lar e a ANPD. Tam­bém chama­do de DPO (Data Pro­tec­tion Offi­cer), essa pes­soa físi­ca ou jurídi­ca é indi­ca­da por quem está recol­hen­do os dados.

De acor­do com o tex­to da lei de pro­teção de dados, as atribuições do encar­rega­do são: aceitar recla­mações dos tit­u­lares, prestar esclarec­i­men­tos e ado­tar providên­cias; rece­ber comu­ni­cações da autori­dade nacional e ado­tar providên­cias; ori­en­tar os fun­cionários e os con­trata­dos da enti­dade a respeito das práti­cas a serem tomadas em relação à pro­teção de dados pes­soais e exe­cu­tar as demais atribuições deter­mi­nadas pelo con­tro­lador ou esta­b­ele­ci­das em nor­mas complementares.

Dado pes­soal: a lei 13709/18 con­sid­era como dado pes­soal a “infor­mação rela­ciona­da a pes­soa nat­ur­al iden­ti­fi­ca­da ou iden­ti­ficáv­el”. Ou seja, tudo que pud­er aju­dar a iden­ti­ficar uma pes­soa pode ser con­sid­er­a­do dado pessoal. 

Nesse sen­ti­do, além de infor­mações como endereço, nome com­ple­to e CPF, por exem­p­lo, fotografias, gravações de vídeo e áudio, e‑mails, prefer­ên­cias de com­pras e dados bancários tam­bém podem ser encar­a­dos como dados pessoais. 

A LGPD abor­da out­ros dois tipos de dados, os anon­i­miza­dos e os sensíveis. 

Dado anon­i­miza­do: é descrito como “dado rel­a­ti­vo ao tit­u­lar que não pos­sa ser iden­ti­fi­ca­do, con­sideran­do a uti­liza­ção de meios téc­ni­cos razoáveis e disponíveis na ocasião de seu trata­men­to”. Em out­ras palavras, tra­ta-se de uma infor­mação que foi descar­ac­ter­i­za­da em algum nív­el para que o seu tit­u­lar não pos­sa mais ser iden­ti­fi­ca­do, mas que ain­da é impor­tante para o controlador. 

O arti­go 12 ain­da afir­ma que os dados anon­i­miza­dos não são con­sid­er­a­dos pes­soais e a leg­is­lação não se apli­ca a eles, sal­vo em casos em que o proces­so de anon­i­miza­ção for revertido. 

Esse pon­to abre espaço para que se imag­ine que é pos­sív­el iden­ti­ficar o tit­u­lar de um dado ano­miza­do de algu­ma maneira. 

Dado sen­sív­el: são infor­mações bem par­tic­u­lares e ínti­mas do tit­u­lar, como dados rel­a­tivos à etnia, opinião políti­ca, con­vicção reli­giosa ou sex­u­al. Essas infor­mações são tidas como mais del­i­cadas e, por isso, o con­tro­lador só deve solic­itá-las para final­i­dades bas­tante específicas. 

Ape­sar dis­so, os dados sen­síveis tam­bém podem ser cole­ta­dos sem o con­sen­ti­men­to do tit­u­lar ou de seu respon­sáv­el, des­de que seja necessário para o cumpri­men­to da leg­is­lação, solic­i­ta­do pela admin­is­tração públi­ca, uti­liza­do em pesquisas, para ser reg­u­lador de dire­itos ou ain­da para a tutela da vida e da saúde. 

Oper­ador: é a empre­sa ou profis­sion­al dire­ta­mente respon­sáv­el pelo trata­men­to dos dados. Tan­to o oper­ador quan­to o con­tro­lador devem man­ter reg­istros sobre o trata­men­to de dados. A ANPD pode solic­i­tar ess­es relatórios para ver­i­ficar se os pro­ced­i­men­tos estão em con­formi­dade com a lei.

O con­tro­lador e o oper­ador tam­bém têm respon­s­abil­i­dade sobre o vaza­men­to ou qual­quer tipo de danos cau­sa­dos aos tit­u­lares. A seção que tra­ta sobre ressarci­men­to de danos deter­mi­na que “o oper­ador responde sol­i­dari­a­mente pelos danos cau­sa­dos pelo trata­men­to quan­do des­cumprir as obri­gações da leg­is­lação de pro­teção de dados ou quan­do não tiv­er segui­do as instruções líc­i­tas do con­tro­lador, hipótese em que o oper­ador equipara-se ao con­tro­lador, sal­vo nos casos de exclusão pre­vis­tos no art. 43 des­ta Lei”

Porta­bil­i­dade de dados: o tex­to da LGPD não tem um con­ceito definido para porta­bil­i­dade de dados, mas podemos con­sid­er­ar que se tra­ta da migração de infor­mações de um canal para o outro. 

Por exem­p­lo, caso você ten­ha con­trata­do um plano de tele­fo­nia com uma empre­sa e dese­ja migrar para out­ra oper­ado­ra, a primeira com­pan­hia deve facil­i­tar o proces­so e enviar suas infor­mações para a nova contratada. 

Impor­tante diz­er que a porta­bil­i­dade deve ser solic­i­ta­da pelo tit­u­lar e que a anti­ga con­tro­lado­ra não pode reter nen­hum tipo de informação. 

Relatório de impacto: é descrito como uma “doc­u­men­tação do con­tro­lador que con­tém a descrição dos proces­sos de trata­men­to de dados pes­soais que podem ger­ar riscos às liber­dades civis e aos dire­itos fun­da­men­tais, bem como medi­das, sal­va­guardas e mecan­is­mos de mit­i­gação de risco”. 

Como men­cionamos, ess­es relatórios devem ser feitos pelo oper­ador e pelo con­tro­lador e podem ser solic­i­ta­dos pela ANPD. Neste mate­r­i­al podem ser suprim­i­das infor­mações de seg­re­dos com­er­cial e industrial. 

Trata­men­to de dados: toda oper­ação que uti­liza infor­mações pes­soais, incluin­do a cole­ta, clas­si­fi­cação, repro­dução, trans­mis­são e armazena­men­to. Para efeitos legais, qual­quer empre­sa ou pes­soa físi­ca que faça trata­men­to de dados deve obser­var as ori­en­tações da Lei Ger­al de Pro­teção de Dados e se ade­quar a ela. 

Uso com­par­til­ha­do de dados: é o com­par­til­hamen­to de infor­mações pes­soais por duas ou mais empre­sas, órgãos ou pessoas. 

É legal se tiv­er como final­i­dade o cumpri­men­to de suas com­petên­cias legais e se hou­ver autor­iza­ção especí­fi­ca. Caso o com­par­til­hamen­to de dados sen­síveis este­ja lig­a­do a van­ta­gens econômi­cas, poderá ser obje­to de vedação e sanções legais. E isso deve valer para enti­dades públi­cas e privadas. 

O tit­u­lar tem o dire­ito de saber se os dados pes­soais que com­par­til­hou com uma empre­sa estão sendo com­par­til­ha­dos com out­ras com­pan­hias e qual a final­i­dade da partilha. 

Dados sensíveis: o que são e como podem prejudicar sua vida offline

por Assis e Mendes | mar 19, 2019 | Direito digital, Direito digital, Direito digital


As prin­ci­pais dire­trizes sobre pro­teção de dados falam sobre dados sen­síveis, incluin­do a Lei Ger­al de Pro­teção de Dados brasileira (LGPD), que deve entrar em vig­or no ano que vem. 

Mas afi­nal, o que são dados sen­síveis? E por que o seu trata­men­to deve ser ain­da mais cuida­doso do que os out­ros tipos de infor­mações? São essas e out­ras per­gun­tas que respon­der­e­mos a seguir! 

O que são dados sensíveis? 

O arti­go 5º da LGPD define como sen­sív­el: “dado pes­soal sobre origem racial ou étni­ca, con­vicção reli­giosa, opinião políti­ca, fil­i­ação a sindi­ca­to ou a orga­ni­za­ção de caráter reli­gioso, filosó­fi­co ou políti­co, dado ref­er­ente à saúde ou à vida sex­u­al, dado genéti­co ou bio­métri­co, quan­do vin­cu­la­do a uma pes­soa natural”. 

Em out­ras palavras, os dados pes­soais sen­síveis são aque­les rela­ciona­dos à aspec­tos muito ínti­mos do tit­u­lar. Como a sua divul­gação pode ger­ar pre­juí­zo ou con­strang­i­men­to em algu­mas cir­cun­stân­cias há algu­mas regras especí­fi­cas para o seu recolhimento. 

Como a exposição de dados sensíveis pode me prejudicar? 

Sabe­mos que a divul­gação ou uti­liza­ção inde­v­i­da de qual­quer dado pes­soal pode ger­ar pre­juí­zos para seu tit­u­lar. Endereços, números de CPF e de cartão de crédi­to, por exem­p­lo, não são dados sen­síveis, mas podem resul­tar em cartões clon­a­dos e fraudes no e‑commerce.

Mas infor­mações sobre religião, etnia, políti­ca, sex­u­al­i­dade e out­ras infor­mações sen­síveis não podem causar ape­nas danos mate­ri­ais, mas tam­bém morais. Para ficar mais claro, vejamos um exemplo

Imag­ine que você pas­sou por um perío­do de depressão. Em um esta­do mais críti­co da doença fal­tou muitos dias no tra­bal­ho e acabou pedin­do dis­pen­sa. Já recu­per­a­do, vol­ta ao mer­ca­do de tra­bal­ho e con­segue uma entre­vista para atu­ar em uma empre­sa que sem­pre admirou. O prob­le­ma é que o entre­vis­ta­dor teve aces­so ao seu históri­co médi­co e o repro­va temen­do que você volte a ter depressão e aban­done o emprego. 

Esse mes­mo tipo de situ­ação pode acon­te­cer quan­do há exposição de sua ori­en­tação sex­u­al, religião ou posi­ciona­men­to políti­co, entre out­ros dados sensível. 

Isso não quer diz­er que as infor­mações dessa natureza são ver­gonhosas e não devessem ser com­par­til­hadas com ninguém. Mas sim que deve haver uma sen­si­bil­i­dade extra no tra­to com elas e que o próprio tit­u­lar dev­e­ria escol­her quan­do quer ou não com­par­til­há-las e com quem. 

Quando as empresas podem solicitar um dado sensível? 

Existe uma seção na LGPD para tratar ape­nas da manip­u­lação de dados sen­síveis. Ela esclarece que só pode haver o recol­hi­men­to de infor­mações dessa natureza quan­do o tit­u­lar con­sen­tir para uma final­i­dade especí­fi­ca ou para: 

a) cumpri­men­to de obri­gação legal ou reg­u­latória pelo controlador;

b) trata­men­to com­par­til­ha­do de dados necessários à exe­cução, pela admin­is­tração públi­ca, de políti­cas públi­cas pre­vis­tas em leis ou regulamentos;

c) real­iza­ção de estu­dos por órgão de pesquisa, garan­ti­da, sem­pre que pos­sív­el, a anon­i­miza­ção dos dados pes­soais sensíveis;

d) exer­cí­cio reg­u­lar de dire­itos, inclu­sive em con­tra­to e em proces­so judi­cial, admin­is­tra­ti­vo e arbi­tral, este últi­mo nos ter­mos da Lei nº 9.307, de 23 de setem­bro de 1996 (Lei de Arbi­tragem);

e) pro­teção da vida ou da inco­lu­mi­dade físi­ca do tit­u­lar ou de terceiro;

f) tutela da saúde, em pro­ced­i­men­to real­iza­do por profis­sion­ais da área da saúde ou por enti­dades san­itárias; ou

g) garan­tia da pre­venção à fraude e à segu­rança do tit­u­lar, nos proces­sos de iden­ti­fi­cação e aut­en­ti­cação de cadas­tro em sis­temas eletrôni­cos, res­guarda­dos os dire­itos men­ciona­dos no art. 9º des­ta Lei e exce­to no caso de prevale­cerem dire­itos e liber­dades fun­da­men­tais do tit­u­lar que exi­jam a pro­teção dos dados pessoais.

Em suma, ape­sar da sen­si­bil­i­dade exigi­da para lidar com essas infor­mações, exis­tem muitos casos em que o tit­u­lar pode ter seus dados col­hi­dos sem nem saber dis­so, prin­ci­pal­mente se esse proces­so estiv­er lig­a­do à algu­ma ação governamental. 

As condições citam ain­da a pos­sív­el anon­i­miza­ção dos dados sen­síveis, isto é, a ocul­tação do nome e de out­ros dados que aju­dem no recon­hec­i­men­to do tit­u­lar. Essa seria uma for­ma de aplacar os pre­juí­zos que a exposição dessas infor­mações pode causar. O arti­go 12 até detal­ha que “os dados anon­i­miza­dos não serão con­sid­er­a­dos dados pes­soais para os fins des­ta Lei”. 

Mas será que ocul­tar o nome é o sufi­ciente para que não haja recon­hec­i­men­to e pre­juí­zo para o tit­u­lar? Ale­gar que haverá a anon­i­miza­ção “sem­pre que pos­sív­el” bas­ta para usar um dado sen­sív­el que o tit­u­lar nem mes­mo sabe que foi recolhido? 

Até que a LGPD comece a vig­o­rar, em agos­to de 2020, ain­da há muito o que se dis­cu­tir sobre dados sen­síveis. E você, leitor, o que espera da imple­men­tação da nos­sa nova lei de pro­teção de dados? Autor­izaria o recol­hi­men­to de seus dados sensíveis? 

Con­te para a gente nos comentários! 

5 áreas que devem ser impactadas pela LGPD

por Assis e Mendes | mar 14, 2019 | Direito digital


A nova Lei Ger­al de Pro­teção de Dados (LGPD) começa a vig­o­rar no ano que vem, mas as empre­sas devem começar a se preparar o quan­to antes, já que as novas regras devem impactar bas­tante suas operações. 

Ain­da não sabe se você pre­cis­ará se ade­quar a LGPD? Bem, via de regra, todas as empre­sas que cap­tam e proces­sam infor­mações pes­soais devem se sub­me­ter a nova leg­is­lação. E isso inclui o recol­hi­men­to de dados online e offline!

A seguir, apre­sen­ta­mos cin­co exem­p­los de tipos de negó­cios e seg­men­tos que vão ter que se adap­tar às novas dire­trizes da LGPD. Veja quais são! 

Comércios

Em seu comér­cio você cos­tu­ma pedir o CPF do con­sum­i­dor ou qual­quer out­ro dado durante a com­pra? Então você está cole­tan­do infor­mações pes­soais. Com a LGPD essa práti­ca não pas­sa a ser proibi­da, mas reg­u­lar­iza­da, e para seguir com ela os comér­cios dev­erão seguir algu­mas orientações. 

A mais impor­tante delas é sem­pre infor­mar ao con­sum­i­dor com qual final­i­dade o seu negó­cio está retendo os dados. Se for para emi­tir a nota fis­cal, as infor­mações dev­erão ser usadas ape­nas com esse obje­ti­vo. Se for para par­tic­i­par de uma pro­moção de fim de ano, você não pode guardar os dados para uti­lizá-los em cam­pan­has posteriores. 

Tam­bém este­ja ciente de que mes­mo ceden­do suas infor­mações pes­soais para o seu comér­cio o tit­u­lar pode, a qual­quer momen­to e por qual­quer moti­vo, se arrepen­der e pedir que você as exclua do seu ban­co de dados. 

Instituições bancárias

As insti­tu­ições bancárias reúnem mil­hões de infor­mações pes­soais alta­mente impor­tante para os seus usuários. São números de cartões de crédi­tos, padrões de com­pras e paga­men­tos, endereços, sen­has, movi­men­tações bancárias e muito mais. 

Emb­o­ra lidar com todos ess­es dados pes­soais seja fun­da­men­tal para esse tipo de negó­cio, com a LGPD a for­ma como as insti­tu­ições bancárias lidam com essas infor­mações tam­bém deve mudar. 

A nova lei reforça que os con­tro­ladores de dados devem pri­orizar a segu­rança de seus usuários, fazen­do inves­ti­men­to em tec­nolo­gias que difi­cul­tem o vaza­men­to de infor­mações e os avisan­do ime­di­ata­mente quan­do há que­bra de sigilo. 

Out­ra mudança impor­tante para as insti­tu­ições bancárias é a porta­bil­i­dade. A porta­bil­i­dade garante ao o tit­u­lar o dire­ito de exi­gir que uma empre­sa repasse seus dados para a outra. 

Com isso, os clientes do ban­co A poderão solic­i­tar o envio de suas infor­mações para um ban­co B sem que o primeiro negue ou difi­culte o proces­so de portabilidade. 

Empresas de TI

As empre­sas de TI tam­bém cos­tu­mam lidar diari­a­mente com um grande fluxo de dados pes­soais e devem se preparar muito para a LGPD para não sofr­er sanções. 

Para elas, um dos tópi­cos mais impor­tantes é a transparên­cia. A nova lei dá ao con­sum­i­dor o dire­ito de saber quem está cole­tan­do seus dados, como e com qual obje­ti­vo, além da pos­si­bil­i­dade de edi­tar e excluir suas infor­mações. E as empre­sas de TI pre­cisam se orga­ni­zar para ofer­e­cer essa transparên­cia para seus clientes. 

Tam­bém é fun­da­men­tal que o seg­men­to de TI invista cada vez mais em segu­rança e este­ja prepara­do para fornecer relatórios de prestação de con­tas para o públi­co e para a ANPD, que deve fis­calizar o setor. 

Empre­sas que tra­bal­ham com um grande vol­ume de dados tam­bém podem ter que con­tratar um DPO (encar­rega­do por ori­en­tar e fis­calizar o trata­men­to de informações). 

Negócios Digitais

A maio­r­ia dos negó­cios dig­i­tais tam­bém cole­ta infor­mações de algu­ma for­ma. E‑commerces, blogs, por­tais de notí­cias e até sites insti­tu­cionais pre­cis­arão faz­er alguns ajustes se uti­lizarem nomes, endereços, e‑mails, tele­fone, números de cartões de crédi­tos e out­ros dados pessoais. 

Vale a pena diz­er ain­da que mes­mo que a sua empre­sa opere ape­nas com ven­das físi­cas caso man­ten­ha um site que recebe dados de clientes – através de cadas­tros e for­mulários, por exem­p­lo – tam­bém terá que seguir as regras da LGPD. 

Um pas­so impor­tante para ess­es negó­cios é incluir em seus sites um Ter­mo de Uso e Pri­vaci­dade, que esclareçam para o vis­i­tante como e por que suas infor­mações são coletadas. 

Empresas de serviços

Empre­sas que prestam serviços de qual­quer natureza e retém dados de seus clientes tam­bém serão alvo da LGPD. Depen­den­do do tipo de serviço tam­bém é impor­tante obser­var que o cuida­do deve ser redo­bra­do em casos de dados sensíveis. 

Os dados sen­síveis são aque­les que podem con­stranger e ger­ar pre­juí­zos para o tit­u­lar depen­den­do da for­ma como são expostos. 

Existe mais uma providên­cia que todos ess­es e out­ros tipos de negó­cios que vão ter que se ade­quar a LGPD pre­cisam: uma asses­so­ria jurídica. 

Toda empre­sa pre­cisa de apoio jurídi­co para tomar as mel­hores decisões para o negó­cio, pre­v­er crises e garan­tir que está em dia com suas obri­gações. E com a imple­men­tação da LGPD essa assistên­cia pas­sa a ser ain­da mais importante. 

Um bom advo­ga­do espe­cial­iza­do em Dire­ito Dig­i­tal e Empre­sar­i­al é fun­da­men­tal para que você pos­sa ade­quar seus proces­sos à nova lei sem sofr­er pre­juí­zos no seu negó­cio.  E os espe­cial­is­tas da Assis e Mendes sabem exata­mente como faz­er isso! Entre em contato! 

Quais as atribuições do encarregado (DPO) segundo a Lei de Proteção de Dados

por Assis e Mendes | mar 12, 2019 | Sem categoria

Com as novas leis de pro­teção de dados, novas insti­tu­ições, mer­ca­dos e até atribuições profis­sion­ais estão surgin­do. E um dos prin­ci­pais é o Data Pro­tec­tion Offi­cer (DPO) ou encar­rega­do de pro­teção de dados.

Depen­den­do da for­ma e dos obje­tivos para os quais uma empre­sa recol­he dados dos seus usuários ela pre­cisa ser mon­i­tora­da por um DPO. A seguir, vamos enten­der mel­hor o papel desse profis­sion­al e desco­brir se o seu negó­cio pre­cisa contratá-lo. 

Quem é o DPO?

A figu­ra do DPO gan­hou maior noto­riedade a par­tir da pub­li­cação do Reg­u­la­men­to Ger­al de Dados da União Europeia (GDPR) no ano pas­sa­do. De for­ma ger­al, esse profis­sion­al é um espe­cial­ista em pro­teção de dados e mon­i­to­ra empre­sas para garan­tir que elas este­jam em com­pli­ance com as regras e boas práti­cas do setor. Ele tam­bém deve inter­me­di­ar os inter­ess­es da empre­sa (con­tro­lador) e do tit­u­lar dos dados. 

Com a cri­ação da Lei Ger­al de Pro­teção de Dados brasileira (LGPD), que se inspirou bas­tante no GDPR, o DPO rece­beu o nome de encar­rega­do e gan­hou a seguinte definição, reg­istra­da no arti­go 5º da lei: “pes­soa indi­ca­da pelo con­tro­lador para atu­ar como canal de comu­ni­cação entre o con­tro­lador, os tit­u­lares dos dados e a Autori­dade Nacional de Pro­teção de Dados (ANPD)”.

As funções do DPO de acordo com o GDPR

De acor­do com arti­go 37 do GDPR a figu­ra do DPO é necessária sem­pre que o trata­men­to for feito por órgãos ou autori­dades públi­cas (com exceção de tri­bunais), a empre­sa lide com dados espe­ci­ais e sen­síveis (como infor­mações sobre etnia, religião e con­de­nações penais) ou faça um mon­i­tora­men­to em larga escala. 

O arti­go 39 define que estão entre as tare­fas do DPO: 

  • Infor­mar e acon­sel­har o respon­sáv­el pelo trata­men­to e os demais profis­sion­ais sobre suas obri­gações nos ter­mos do GDPR;
  • Con­tro­lar a con­formi­dade com o GDPR e com as políti­cas do respon­sáv­el pelo trata­men­to, incluin­do a atribuição de respon­s­abil­i­dades, a sen­si­bi­liza­ção e a for­mação do pes­soal envolvi­do no tratamento;
  • Prestar acon­sel­hamen­to, se tal for solic­i­ta­do, no que se ref­ere à avali­ação do impacto da pro­teção de dados, e acom­pan­har o seu desempenho;
  • Coop­er­ar com as autoridades;
  • Servir de ponte para a autori­dade de super­visão em questões rela­cionadas com o tratamento.

As tarefas do DPO segundo a LGPD

O tex­to da LGPD tam­bém des­igna algu­mas atribuições para o encar­rega­do. O arti­go 41, pará­grafo 2º lista essas atividades:

  • Aceitar recla­mações e comu­ni­cações dos tit­u­lares, prestar esclarec­i­men­tos e ado­tar providências;
  • Rece­ber comu­ni­cações da autori­dade nacional e ado­tar providências;
  • Ori­en­tar os fun­cionários e os con­trata­dos da enti­dade a respeito das práti­cas a serem tomadas em relação à pro­teção de dados pessoais;
  • Exe­cu­tar as demais atribuições deter­mi­nadas pelo con­tro­lador ou esta­b­ele­ci­das em nor­mas complementares.

O pará­grafo 3º ain­da afir­ma que “a autori­dade nacional poderá esta­b­ele­cer nor­mas com­ple­mentares sobre a definição e as atribuições do encar­rega­do, inclu­sive hipóte­ses de dis­pen­sa da neces­si­dade de sua indi­cação, con­forme a natureza e o porte da enti­dade ou o vol­ume de oper­ações de trata­men­to de dados”. Ou seja, essas tare­fas podem ser adap­tadas ou excluí­das de acor­do com ori­en­tação da ANPD. 

Obser­van­do os dois “job descrip­tions” é pos­sív­el perce­ber que as tare­fas são bem pare­ci­das e se resumem em mon­i­torar, fis­calizar, ori­en­tar e faz­er a ponte entre os tit­u­lares e as empresas. 

Mas con­tratar (ou não) um DPO é só um dos vários proces­sos para se ade­quar às novas regras de pro­teção de dados. Se você pre­cisa de apoio nes­sa tran­sição, entre em con­ta­to com os advo­ga­dos espe­cial­iza­dos em Dire­ito Dig­i­tal e Empre­sar­i­al da Assis e Mendes.

Vazamento de dados expõe quase 773 milhões de e‑mails e senhas

por Assis e Mendes | jan 23, 2019 | Não categorizado

A Wired, por­tal sobre tec­nolo­gia, noti­ciou recen­te­mente um dos maiores vaza­men­tos de dados da história. Segun­do o site, hou­ve uma brecha que expôs 772.904.991 e‑mails e sen­has pes­soais. O inci­dente está sendo chama­do de Col­lec­tion #1.

A fal­ha teria sido nota­da ini­cial­mente por Troy Hunt, um espe­cial­ista em segu­rança dig­i­tal, e con­tém cer­ca de 87 giga­bytes de dados divi­di­dos em 12 mil arquiv­os. Algo que chama atenção é que as infor­mações não estari­am disponíveis para ven­da nos can­tos mais obscuros da deep web, mas sim gra­tuita­mente em um fórum de hackers.

Além do número impres­sio­n­ante, out­ro pon­to que difer­en­cia o Col­lec­tion #1 de out­ros casos de vaza­men­to de dados é a fonte. A maio­r­ia dos inci­dentes está lig­a­da à uma empre­sa, como já acon­te­ceu com o Face­book, LinkedIn e Adobe. Mas no vaza­men­to detec­ta­do por Hunt, os arquiv­os reu­ni­am dados de 2000 ban­cos de dados e nen­hum deles esta­va criptografado.

“Parece uma coleção com­ple­ta­mente aleatória fei­ta com o obje­ti­vo de max­i­mizar o número de infor­mações para os hack­ers. Não exis­tem padrões óbvios, a intenção parece ser ape­nas expor o máx­i­mo de infor­mações”, con­tou Hunt em entre­vista para a Wired. 

O espe­cial­ista acred­i­ta que a ideia seja hack­ear não só os e‑mails, mas usar as infor­mações para con­seguir aces­so às redes soci­ais e out­ros sites, já que muitas pes­soas uti­lizam as mes­mas sen­has em difer­entes plataformas. 

Como saber se minha conta foi hackeada? 

Hunt man­tém o site Have I Been Pwned?, algo como “Já fui hack­ea­do?”, em tradução livre. Nele, Hunt prom­ete vas­cul­har a inter­net para desco­brir se o seu e‑mail já foi men­ciona­do em algum vaza­men­to de dados. A con­sul­ta é gra­tui­ta e pode ser fei­ta facil­mente infor­man­do o seu e‑mail.

Além dis­so, des­de o ano pas­sa­do o GDPR já obri­ga as empre­sas a infor­marem os usuários em casos de que­bra de sig­i­lo em até 72 horas e a Lei Ger­al de Pro­teção de Dados (LGPD) fará o mes­mo a par­tir de 2020. Ou seja, se suas infor­mações forem vazadas, a com­pan­hia que as man­tinha em seu ban­co de dados devem entrar em con­ta­to dire­to com você. 

Fui vítima de um vazamento de dados, e agora? 

Se você foi uma víti­ma de um vaza­men­to de dados, é fun­da­men­tal tro­car suas sen­has o mais rápi­do pos­sív­el. Não se esqueça que uti­lizar sequên­cias numéri­c­as e alfabéti­cas, ou mes­mo infor­mações óbvias, como seu nome, podem facil­i­tar a vida dos hackers. 

Adri­ano Mendes, espe­cial­ista em Dire­ito Dig­i­tal e Dire­ito Empre­sar­i­al e sócio fun­dador da Assis e Mendes Advo­ga­dos, sug­ere ain­da uma con­sul­ta nas transações bancárias. Isso porque, através do seu históri­co de e‑mails e con­tatos, o crim­i­noso pode ter aces­so à infor­mações pes­soais, como CPF, endereço e número de cartão de crédito

Adri­ano dá ain­da uma dica pre­ciosa: “ten­ha uma sen­ha mes­tra para o seu e‑mail prin­ci­pal, uma sen­ha difer­ente para cada serviço que uti­lize dados finan­ceiros ou cartão de crédi­to e sen­has ‘genéri­c­as’ ou logins para os demais serviços”. O espe­cial­ista em Dire­ito Dig­i­tal ain­da sug­ere serviços como o Sen­haSe­gu­ra, o Last­pass e o Password1, que ger­am sen­has automáticas. 

Se a platafor­ma tiv­er um sis­tema de con­fir­mação de dois fatores – que solici­ta out­ro tipo de con­fir­mação, além da sen­ha – é inter­es­sante habil­itá-lo também. 

Redes soci­ais como o Face­book têm ain­da uma fer­ra­men­ta de segu­rança que per­mite que você qual­i­fique out­ro usuário para admin­is­trar sua con­ta em casos de emergên­cia. Através dess­es ami­gos você tam­bém pode entrar em con­ta­to com a platafor­ma e reaver o seu perfil. 

Se a sua empre­sa apre­sen­tou uma fal­ha na segu­rança e os dados foram expos­tos, o mel­hor a se faz­er é seguir o pro­to­co­lo do GDPR e da LGPD (Lei Ger­al de Pro­teção de Dados) e avis­ar os con­sum­i­dores o mais rápi­do possível. 

Tam­bém é fun­da­men­tal acionar sua equipe de TI para localizar a brecha e cor­ri­gi-la e movi­men­tar seus advo­ga­dos para anal­is­ar as medi­das cabíveis.

Se você pre­cisa imple­men­tar medi­das de segu­rança con­tra os ataques dig­i­tais e vaza­men­to de dados na sua empre­sa, entre em con­ta­to com os advo­ga­dos da Assis e Mendes. Nos­sos espe­cial­is­tas em Dire­ito Empre­sar­i­al e Dire­ito Dig­i­tal vão aju­dar o seu negó­cio a atu­ar de for­ma segu­ra, efi­ciente e em con­formi­dade com a lei. 

« Entradas Antigas
Próximas Entradas »

Categorias

  • Bots
  • Colunistas
  • Compliance
  • Coronavirus
  • Cyberbullying
  • Direito de família
  • Direito digital
  • Direito Empresarial
  • Direito Imobiliário
  • Direito tributário
  • Imprensa
  • Lei da Liberdade Econômica
  • LGPD
  • Não categorizado
  • Outros
  • Privacidade
  • Segurança da Informação
  • Sem categoria
  • Stalking
  • Tecnologia
  • Trabalhista

Inscreva-se para nossa NewsLetter

Tags

ANPD aplicação LGPD assessoria jurídica cibercrime CLT contrato contrato de trabalho contratos contrato societário crimes virtuais direito a privacidade direito digital Direito Empresarial direito trabalhista direito tributário e-commerce empreendedor empreendedorismo empresas featured GDPR impostos internet investimento lei de proteção de dados Lei Geral de Proteção de Dados lei LGPD LGPD loja virtual privacidade privacidade na internet privacidade na web privacidade online proteção de dados redes sociais segurança segurança da informação segurança digital segurança jurídica site sociedade startup startups tecnologia vazamento de dados

O escritório

  • Quem Somos
  • Advogados
  • Premiações e reconhecimento
  • Áreas de Atuação

Informações Legais

  • Política de Privacidade
  • Termos de Uso
  • Trabalhe conosco
  • Imprensa
  • Contato

Fale com um especialista

11 3141 9009
Alameda Santos, 1165
Paulista - CEP 01419-001 - SP

Redes Sociais

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir

© Assis e Mendes Advogados - Direito Digital, Empresarial e Proteção de Dados - 2020