por Assis e Mendes | mar 28, 2019 | Sem categoria
Apesar de a Lei Geral de Proteção de Dados (LGPD) só entrar em vigor no próximo ano, as empresas já devem começar a se adequar à nova regulamentação.
Para uma transição eficiente e sem prejuízos é fundamental conhecer bem as novas regras que serão implementadas. E isso inclui os conceitos e nomenclaturas que a LGPD vai introduzir no mercado brasileiro.
A seguir, separamos 11 termos que você precisa conhecer para se adequar a LGPD.
Autoridade nacional: de acordo com o texto da Lei Geral de Proteção de Dados a Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade que vai ajudar a regular e fiscalizar o cumprimento da LGPD.
Esse órgão já era citado no texto original, mas a medida provisória 869/18 foi responsável por caracterizá-lo como uma autoridade pública integrante da Presidência da República.
A medida provisória também detalhou os atributos da ANPD, que se resumem em editar as normas de proteção de dados, monitorar o cumprimento da lei, implementar ferramentas que melhorem a comunicação entre empresas, autoridades e titulares, fazer estudos sobre proteção de dados no exterior e aplicar sanções.
Controlador: a lei define como controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em outras palavras, toda pessoa física ou jurídica que recolha informações pessoais é considerada um controlador.
É importante frisar que o controlador só pode recolher dados caso o titular tenha autorizado ou em algumas situações específicas, como em casos de pesquisa. Também cabe ao controlador manter o sigilo dos dados confiados a ele e prestar contas às autoridades.
Encarregado: o encarregado é a figura que faz a intermediação entre o controlador, o titular e a ANPD. Também chamado de DPO (Data Protection Officer), essa pessoa física ou jurídica é indicada por quem está recolhendo os dados.
De acordo com o texto da lei de proteção de dados, as atribuições do encarregado são: aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Dado pessoal: a lei 13709/18 considera como dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”. Ou seja, tudo que puder ajudar a identificar uma pessoa pode ser considerado dado pessoal.
Nesse sentido, além de informações como endereço, nome completo e CPF, por exemplo, fotografias, gravações de vídeo e áudio, e‑mails, preferências de compras e dados bancários também podem ser encarados como dados pessoais.
A LGPD aborda outros dois tipos de dados, os anonimizados e os sensíveis.
Dado anonimizado: é descrito como “dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Em outras palavras, trata-se de uma informação que foi descaracterizada em algum nível para que o seu titular não possa mais ser identificado, mas que ainda é importante para o controlador.
O artigo 12 ainda afirma que os dados anonimizados não são considerados pessoais e a legislação não se aplica a eles, salvo em casos em que o processo de anonimização for revertido.
Esse ponto abre espaço para que se imagine que é possível identificar o titular de um dado anomizado de alguma maneira.
Dado sensível: são informações bem particulares e íntimas do titular, como dados relativos à etnia, opinião política, convicção religiosa ou sexual. Essas informações são tidas como mais delicadas e, por isso, o controlador só deve solicitá-las para finalidades bastante específicas.
Apesar disso, os dados sensíveis também podem ser coletados sem o consentimento do titular ou de seu responsável, desde que seja necessário para o cumprimento da legislação, solicitado pela administração pública, utilizado em pesquisas, para ser regulador de direitos ou ainda para a tutela da vida e da saúde.
Operador: é a empresa ou profissional diretamente responsável pelo tratamento dos dados. Tanto o operador quanto o controlador devem manter registros sobre o tratamento de dados. A ANPD pode solicitar esses relatórios para verificar se os procedimentos estão em conformidade com a lei.
O controlador e o operador também têm responsabilidade sobre o vazamento ou qualquer tipo de danos causados aos titulares. A seção que trata sobre ressarcimento de danos determina que “o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei”
Portabilidade de dados: o texto da LGPD não tem um conceito definido para portabilidade de dados, mas podemos considerar que se trata da migração de informações de um canal para o outro.
Por exemplo, caso você tenha contratado um plano de telefonia com uma empresa e deseja migrar para outra operadora, a primeira companhia deve facilitar o processo e enviar suas informações para a nova contratada.
Importante dizer que a portabilidade deve ser solicitada pelo titular e que a antiga controladora não pode reter nenhum tipo de informação.
Relatório de impacto: é descrito como uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Como mencionamos, esses relatórios devem ser feitos pelo operador e pelo controlador e podem ser solicitados pela ANPD. Neste material podem ser suprimidas informações de segredos comercial e industrial.
Tratamento de dados: toda operação que utiliza informações pessoais, incluindo a coleta, classificação, reprodução, transmissão e armazenamento. Para efeitos legais, qualquer empresa ou pessoa física que faça tratamento de dados deve observar as orientações da Lei Geral de Proteção de Dados e se adequar a ela.
Uso compartilhado de dados: é o compartilhamento de informações pessoais por duas ou mais empresas, órgãos ou pessoas.
É legal se tiver como finalidade o cumprimento de suas competências legais e se houver autorização específica. Caso o compartilhamento de dados sensíveis esteja ligado a vantagens econômicas, poderá ser objeto de vedação e sanções legais. E isso deve valer para entidades públicas e privadas.
O titular tem o direito de saber se os dados pessoais que compartilhou com uma empresa estão sendo compartilhados com outras companhias e qual a finalidade da partilha.
por Assis e Mendes | mar 19, 2019 | Direito digital, Direito digital, Direito digital
As principais diretrizes sobre proteção de dados falam sobre dados sensíveis, incluindo a Lei Geral de Proteção de Dados brasileira (LGPD), que deve entrar em vigor no ano que vem.
Mas afinal, o que são dados sensíveis? E por que o seu tratamento deve ser ainda mais cuidadoso do que os outros tipos de informações? São essas e outras perguntas que responderemos a seguir!
O que são dados sensíveis?
O artigo 5º da LGPD define como sensível: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Em outras palavras, os dados pessoais sensíveis são aqueles relacionados à aspectos muito íntimos do titular. Como a sua divulgação pode gerar prejuízo ou constrangimento em algumas circunstâncias há algumas regras específicas para o seu recolhimento.
Como a exposição de dados sensíveis pode me prejudicar?
Sabemos que a divulgação ou utilização indevida de qualquer dado pessoal pode gerar prejuízos para seu titular. Endereços, números de CPF e de cartão de crédito, por exemplo, não são dados sensíveis, mas podem resultar em cartões clonados e fraudes no e‑commerce.
Mas informações sobre religião, etnia, política, sexualidade e outras informações sensíveis não podem causar apenas danos materiais, mas também morais. Para ficar mais claro, vejamos um exemplo
Imagine que você passou por um período de depressão. Em um estado mais crítico da doença faltou muitos dias no trabalho e acabou pedindo dispensa. Já recuperado, volta ao mercado de trabalho e consegue uma entrevista para atuar em uma empresa que sempre admirou. O problema é que o entrevistador teve acesso ao seu histórico médico e o reprova temendo que você volte a ter depressão e abandone o emprego.
Esse mesmo tipo de situação pode acontecer quando há exposição de sua orientação sexual, religião ou posicionamento político, entre outros dados sensível.
Isso não quer dizer que as informações dessa natureza são vergonhosas e não devessem ser compartilhadas com ninguém. Mas sim que deve haver uma sensibilidade extra no trato com elas e que o próprio titular deveria escolher quando quer ou não compartilhá-las e com quem.
Quando as empresas podem solicitar um dado sensível?
Existe uma seção na LGPD para tratar apenas da manipulação de dados sensíveis. Ela esclarece que só pode haver o recolhimento de informações dessa natureza quando o titular consentir para uma finalidade específica ou para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Em suma, apesar da sensibilidade exigida para lidar com essas informações, existem muitos casos em que o titular pode ter seus dados colhidos sem nem saber disso, principalmente se esse processo estiver ligado à alguma ação governamental.
As condições citam ainda a possível anonimização dos dados sensíveis, isto é, a ocultação do nome e de outros dados que ajudem no reconhecimento do titular. Essa seria uma forma de aplacar os prejuízos que a exposição dessas informações pode causar. O artigo 12 até detalha que “os dados anonimizados não serão considerados dados pessoais para os fins desta Lei”.
Mas será que ocultar o nome é o suficiente para que não haja reconhecimento e prejuízo para o titular? Alegar que haverá a anonimização “sempre que possível” basta para usar um dado sensível que o titular nem mesmo sabe que foi recolhido?
Até que a LGPD comece a vigorar, em agosto de 2020, ainda há muito o que se discutir sobre dados sensíveis. E você, leitor, o que espera da implementação da nossa nova lei de proteção de dados? Autorizaria o recolhimento de seus dados sensíveis?
Conte para a gente nos comentários!
por Assis e Mendes | mar 14, 2019 | Direito digital
A nova Lei Geral de Proteção de Dados (LGPD) começa a vigorar no ano que vem, mas as empresas devem começar a se preparar o quanto antes, já que as novas regras devem impactar bastante suas operações.
Ainda não sabe se você precisará se adequar a LGPD? Bem, via de regra, todas as empresas que captam e processam informações pessoais devem se submeter a nova legislação. E isso inclui o recolhimento de dados online e offline!
A seguir, apresentamos cinco exemplos de tipos de negócios e segmentos que vão ter que se adaptar às novas diretrizes da LGPD. Veja quais são!
Comércios
Em seu comércio você costuma pedir o CPF do consumidor ou qualquer outro dado durante a compra? Então você está coletando informações pessoais. Com a LGPD essa prática não passa a ser proibida, mas regularizada, e para seguir com ela os comércios deverão seguir algumas orientações.
A mais importante delas é sempre informar ao consumidor com qual finalidade o seu negócio está retendo os dados. Se for para emitir a nota fiscal, as informações deverão ser usadas apenas com esse objetivo. Se for para participar de uma promoção de fim de ano, você não pode guardar os dados para utilizá-los em campanhas posteriores.
Também esteja ciente de que mesmo cedendo suas informações pessoais para o seu comércio o titular pode, a qualquer momento e por qualquer motivo, se arrepender e pedir que você as exclua do seu banco de dados.
Instituições bancárias
As instituições bancárias reúnem milhões de informações pessoais altamente importante para os seus usuários. São números de cartões de créditos, padrões de compras e pagamentos, endereços, senhas, movimentações bancárias e muito mais.
Embora lidar com todos esses dados pessoais seja fundamental para esse tipo de negócio, com a LGPD a forma como as instituições bancárias lidam com essas informações também deve mudar.
A nova lei reforça que os controladores de dados devem priorizar a segurança de seus usuários, fazendo investimento em tecnologias que dificultem o vazamento de informações e os avisando imediatamente quando há quebra de sigilo.
Outra mudança importante para as instituições bancárias é a portabilidade. A portabilidade garante ao o titular o direito de exigir que uma empresa repasse seus dados para a outra.
Com isso, os clientes do banco A poderão solicitar o envio de suas informações para um banco B sem que o primeiro negue ou dificulte o processo de portabilidade.
Empresas de TI
As empresas de TI também costumam lidar diariamente com um grande fluxo de dados pessoais e devem se preparar muito para a LGPD para não sofrer sanções.
Para elas, um dos tópicos mais importantes é a transparência. A nova lei dá ao consumidor o direito de saber quem está coletando seus dados, como e com qual objetivo, além da possibilidade de editar e excluir suas informações. E as empresas de TI precisam se organizar para oferecer essa transparência para seus clientes.
Também é fundamental que o segmento de TI invista cada vez mais em segurança e esteja preparado para fornecer relatórios de prestação de contas para o público e para a ANPD, que deve fiscalizar o setor.
Empresas que trabalham com um grande volume de dados também podem ter que contratar um DPO (encarregado por orientar e fiscalizar o tratamento de informações).
Negócios Digitais
A maioria dos negócios digitais também coleta informações de alguma forma. E‑commerces, blogs, portais de notícias e até sites institucionais precisarão fazer alguns ajustes se utilizarem nomes, endereços, e‑mails, telefone, números de cartões de créditos e outros dados pessoais.
Vale a pena dizer ainda que mesmo que a sua empresa opere apenas com vendas físicas caso mantenha um site que recebe dados de clientes – através de cadastros e formulários, por exemplo – também terá que seguir as regras da LGPD.
Um passo importante para esses negócios é incluir em seus sites um Termo de Uso e Privacidade, que esclareçam para o visitante como e por que suas informações são coletadas.
Empresas de serviços
Empresas que prestam serviços de qualquer natureza e retém dados de seus clientes também serão alvo da LGPD. Dependendo do tipo de serviço também é importante observar que o cuidado deve ser redobrado em casos de dados sensíveis.
Os dados sensíveis são aqueles que podem constranger e gerar prejuízos para o titular dependendo da forma como são expostos.
Existe mais uma providência que todos esses e outros tipos de negócios que vão ter que se adequar a LGPD precisam: uma assessoria jurídica.
Toda empresa precisa de apoio jurídico para tomar as melhores decisões para o negócio, prever crises e garantir que está em dia com suas obrigações. E com a implementação da LGPD essa assistência passa a ser ainda mais importante.
Um bom advogado especializado em Direito Digital e Empresarial é fundamental para que você possa adequar seus processos à nova lei sem sofrer prejuízos no seu negócio. E os especialistas da Assis e Mendes sabem exatamente como fazer isso! Entre em contato!
por Assis e Mendes | mar 12, 2019 | Sem categoria
Com as novas leis de proteção de dados, novas instituições, mercados e até atribuições profissionais estão surgindo. E um dos principais é o Data Protection Officer (DPO) ou encarregado de proteção de dados.
Dependendo da forma e dos objetivos para os quais uma empresa recolhe dados dos seus usuários ela precisa ser monitorada por um DPO. A seguir, vamos entender melhor o papel desse profissional e descobrir se o seu negócio precisa contratá-lo.
Quem é o DPO?
A figura do DPO ganhou maior notoriedade a partir da publicação do Regulamento Geral de Dados da União Europeia (GDPR) no ano passado. De forma geral, esse profissional é um especialista em proteção de dados e monitora empresas para garantir que elas estejam em compliance com as regras e boas práticas do setor. Ele também deve intermediar os interesses da empresa (controlador) e do titular dos dados.
Com a criação da Lei Geral de Proteção de Dados brasileira (LGPD), que se inspirou bastante no GDPR, o DPO recebeu o nome de encarregado e ganhou a seguinte definição, registrada no artigo 5º da lei: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
As funções do DPO de acordo com o GDPR
De acordo com artigo 37 do GDPR a figura do DPO é necessária sempre que o tratamento for feito por órgãos ou autoridades públicas (com exceção de tribunais), a empresa lide com dados especiais e sensíveis (como informações sobre etnia, religião e condenações penais) ou faça um monitoramento em larga escala.
O artigo 39 define que estão entre as tarefas do DPO:
- Informar e aconselhar o responsável pelo tratamento e os demais profissionais sobre suas obrigações nos termos do GDPR;
- Controlar a conformidade com o GDPR e com as políticas do responsável pelo tratamento, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido no tratamento;
- Prestar aconselhamento, se tal for solicitado, no que se refere à avaliação do impacto da proteção de dados, e acompanhar o seu desempenho;
- Cooperar com as autoridades;
- Servir de ponte para a autoridade de supervisão em questões relacionadas com o tratamento.
As tarefas do DPO segundo a LGPD
O texto da LGPD também designa algumas atribuições para o encarregado. O artigo 41, parágrafo 2º lista essas atividades:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O parágrafo 3º ainda afirma que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”. Ou seja, essas tarefas podem ser adaptadas ou excluídas de acordo com orientação da ANPD.
Observando os dois “job descriptions” é possível perceber que as tarefas são bem parecidas e se resumem em monitorar, fiscalizar, orientar e fazer a ponte entre os titulares e as empresas.
Mas contratar (ou não) um DPO é só um dos vários processos para se adequar às novas regras de proteção de dados. Se você precisa de apoio nessa transição, entre em contato com os advogados especializados em Direito Digital e Empresarial da Assis e Mendes.
por Assis e Mendes | jan 23, 2019 | Não categorizado
A Wired, portal sobre tecnologia, noticiou recentemente um dos maiores vazamentos de dados da história. Segundo o site, houve uma brecha que expôs 772.904.991 e‑mails e senhas pessoais. O incidente está sendo chamado de Collection #1.
A falha teria sido notada inicialmente por Troy Hunt, um especialista em segurança digital, e contém cerca de 87 gigabytes de dados divididos em 12 mil arquivos. Algo que chama atenção é que as informações não estariam disponíveis para venda nos cantos mais obscuros da deep web, mas sim gratuitamente em um fórum de hackers.
Além
do número impressionante, outro ponto que diferencia o Collection #1 de outros
casos de vazamento de dados é a fonte. A maioria dos incidentes está ligada à uma
empresa, como já aconteceu com o Facebook, LinkedIn e Adobe. Mas no vazamento
detectado por Hunt, os arquivos reuniam dados de 2000 bancos de dados e nenhum
deles estava criptografado.
“Parece
uma coleção completamente aleatória feita com o objetivo de maximizar o número
de informações para os hackers. Não existem padrões óbvios, a intenção parece
ser apenas expor o máximo de informações”, contou Hunt em entrevista para a Wired.
O
especialista acredita que a ideia seja hackear não só os e‑mails, mas usar as
informações para conseguir acesso às redes sociais e outros sites, já que
muitas pessoas utilizam as mesmas senhas em diferentes plataformas.
Como saber se minha conta foi
hackeada?
Hunt mantém o site Have I Been Pwned?, algo como “Já fui hackeado?”, em tradução livre. Nele, Hunt promete vasculhar a internet para descobrir se o seu e‑mail já foi mencionado em algum vazamento de dados. A consulta é gratuita e pode ser feita facilmente informando o seu e‑mail.
Além disso, desde o ano passado o GDPR já obriga as empresas a informarem os usuários em casos de quebra de sigilo em até 72 horas e a Lei Geral de Proteção de Dados (LGPD) fará o mesmo a partir de 2020. Ou seja, se suas informações forem vazadas, a companhia que as mantinha em seu banco de dados devem entrar em contato direto com você.
Fui vítima de um vazamento de dados, e agora?
Se você foi uma vítima de um vazamento de dados, é fundamental trocar suas senhas o mais rápido possível. Não se esqueça que utilizar sequências numéricas e alfabéticas, ou mesmo informações óbvias, como seu nome, podem facilitar a vida dos hackers.
Adriano Mendes, especialista em Direito Digital e Direito Empresarial e sócio fundador da Assis e Mendes Advogados, sugere ainda uma consulta nas transações bancárias. Isso porque, através do seu histórico de e‑mails e contatos, o criminoso pode ter acesso à informações pessoais, como CPF, endereço e número de cartão de crédito
Adriano dá ainda uma dica preciosa: “tenha uma senha mestra
para o seu e‑mail principal, uma senha diferente para cada serviço que utilize
dados financeiros ou cartão de crédito e senhas ‘genéricas’ ou logins para os
demais serviços”. O especialista em Direito Digital ainda sugere serviços como
o SenhaSegura, o Lastpass e o Password1, que geram senhas automáticas.
Se
a plataforma tiver um sistema de confirmação de dois fatores – que solicita
outro tipo de confirmação, além da senha – é interessante habilitá-lo também.
Redes
sociais como o Facebook têm ainda uma ferramenta de segurança que permite que
você qualifique outro usuário para administrar sua conta em casos de
emergência. Através desses amigos você também pode entrar em contato com a
plataforma e reaver o seu perfil.
Se a sua empresa apresentou uma falha na segurança e os dados foram expostos, o melhor a se fazer é seguir o protocolo do GDPR e da LGPD (Lei Geral de Proteção de Dados) e avisar os consumidores o mais rápido possível.
Também
é fundamental acionar sua equipe de TI para localizar a brecha e corrigi-la e
movimentar seus advogados para analisar as medidas cabíveis.
Se você precisa implementar medidas de segurança contra os ataques digitais e vazamento de dados na sua empresa, entre em contato com os advogados da Assis e Mendes. Nossos especialistas em Direito Empresarial e Direito Digital vão ajudar o seu negócio a atuar de forma segura, eficiente e em conformidade com a lei.