O objetivo da lei é proteger os direitos fundamentais de liberdade e de privacidade dos titulares de dados pessoais, estabelecendo regras claras sobre o tratamento desses dados, buscando garantir a transparência e a segurança no tratamento dessas informações, além de criar um ambiente propício para a inovação e o desenvolvimento econômico.

Um tema que merece destaque é a responsabilidade solidária das empresas em relação aos incidentes de segurança que envolvem o vazamento de dados pessoais, sobretudo quando relacionados às atividades desenvolvidas por parceiros de negócios. No segmento de eletrônicos, o destaque se dá quando estes vazamentos ocorrem ou podem ocorrer em assistências técnicas autorizadas.

LEIA TAMBÉM: Empresas correm risco pelo uso indevido de logos por assistências autorizadas

Quando falamos em responsabilidade entre parceiros comerciais, é importante compreender o papel de cada parte enquanto agente de tratamento de dados pessoais.

A LGPD, em seu artigo 5, define os agentes de tratamento como controladores e operadores, sendo controlador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador, a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

De acordo com o artigo 42 da LGPD, tanto o controlador quanto o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo a outrem, em violação à legislação de proteção de dados pessoais, são obrigados a repará-lo.

É importante ressaltar que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador. Além disso, os controladores diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.

Trazendo tais considerações para o setor de eletrônicos, sobretudo, relacionando fabricantes com assistências técnicas autorizadas, ambas as partes podem ser responsabilizadas conjuntamente pelos danos causados ao consumidor. 

Isso significa que, considerando as exceções trazidas no artigo 43 da LGPD [1], independentemente de quem foi o responsável direto pelo vazamento, ambas podem ser responsabilizadas pela reparação dos danos, resguardando o direito de regresso para aquele que reparar o dano ao titular, contra os demais responsáveis, na medida de sua participação no evento danos.

Essa questão merece destaque, pois há casos em que fabricante e assistência técnica foram condenadas a pagar solidariamente indenização por danos morais a uma consumidora que teve fotos íntimas extraídas de seu celular, sem a sua autorização. 

Houve, inclusive, entendimento de que, considerando que os fatos narrados haviam ocorrido na assistência técnica da rede autorizada da fabricante, e dentro do prazo de garantia do celular, tratando-se de relação de consumo, “consequentemente, todos os membros da cadeia de fornecimento devem responder solidariamente perante o consumidor” [2].

VEJA TAMBÉM: Proteção de dados impacta ambiente empresarial

Outro exemplo importante de vazamento de dados envolvendo assistências técnicas autorizadas aconteceu com uma grande fabricante de dispositivos eletrônicos. A empresa reconheceu que uma estudante universitária nos Estados Unidos teve fotos e vídeos íntimos vazados por técnicos responsáveis pelo reparo de seu telefone celular.

Esses casos evidenciam a importância de as empresas que tratam dados pessoais estarem atentas às medidas de segurança adotadas por seus parceiros de negócio. A responsabilidade solidária das fabricantes e assistências técnicas autorizadas pelo vazamento de dados pessoais é uma questão que deve ser levada a sério.

A LGPD prevê sanções administrativas que podem incluir advertência, multas, publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão de banco de dados e suspensão ou proibição do exercício de atividades que envolvam o tratamento de dados pessoais. 

Ademais, a reputação das empresas pode ser gravemente afetada em razão de um vazamento de dados pessoais, o que pode gerar prejuízos financeiros e perda de clientes, além de resultar em sanções e processos judiciais.

Em recente Estudo Anual de Benchmark de Privacidade de Dados, publicado pela Cisco [3], 95% dos entrevistados disseram que a privacidade é um imperativo comercial, contra 90% no ano passado. Outros, 94% disseram que seus clientes não comprariam deles se seus dados não estivessem devidamente protegidos, contra 90% de um ano atrás. E 95% disseram que a privacidade é parte integrante da cultura de suas organizações, contra 92% de pesquisa anterior.

Diante desse cenário, muitas empresas estão investindo em segurança da informação,especialmente no que tange à privacidade e proteção de dados pessoais, como é o caso de uma das principais fabricantes de smartphones que lançou um novo recurso que será disponibilizado para os proprietários da marca para proteger seus dados pessoais durante o reparo do dispositivo.

Esse recurso limita o acesso dos técnicos aos dados dos clientes durante o conserto dos aparelhos, sem prejudicar o processo de reparação. A função pode ser ativada por meio das configurações de bateria do aparelho e oculta todas as informações pessoais do proprietário, reinicializando o celular.

Portanto, é importante que as empresas que tratam dados pessoais tenham políticas de segurança eficazes e aprimorem continuamente seus procedimentos para minimizar o risco de vazamentos de dados.

Essas medidas se fazem necessárias para todos os agentes de tratamento de dados e, no tema abordado, não só os fabricantes dos dispositivos, mas também as assistências técnicas autorizadas devem adotar medidas de segurança adequadas para proteger os dados pessoais dos consumidores que lhes são confiados.

Em suma, a responsabilidade solidária pelo vazamento de dados pessoais deve ser levada em consideração, pois pode resultar em danos significativos para todos os envolvidos no negócio.

[1] Art. 43. LGPD – Os agentes de tratamento só não serão responsabilizados quando provarem: I – que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

[2] https://www.gazetadopovo.com.br/justica/samsung-tera-de-indenizar-cliente-por-fotos-vazadas-3ozoj5or1vcrzhdbi5433lem2/

[3] https://www.cisco.com/c/en/us/about/trust-center/data-privacy-benchmark-study.html

Marianna Gomes Alencar é advogada no Lee, Brock, Camargo Advogados (LBCA), graduada em Direito pela Fesp Faculdades-PB e em Publicidade e Propaganda pelo Uniesp-PB, pós-graduanda em Direito Digital, Inovação e Ética nos Negócios pela FIA Business School, certified information privacy manager CIPM-Iapp, membra da Associação Internacional de Profissionais de Privacidade (Iapp), especialista em Privacidade e Proteção de Dados Pessoais pelo Data Privacy Brasil, membra efetiva da Comissão Especial de Privacidade e Proteção de Dados da OAB-SP, certificada pela Certiprof (2022), OneTrust (2021,2022) e LGPDnow(2022) e colunista techcompliance.org.

O post Responsabilidade pelo vazamento de dados pessoais em assistência técnica apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

É fato incontestável que os cartórios que estão em conformidade com a LGPD saem na frente dos que ainda não procuraram se adequar à legislação e precisarão correr contra o tempo para atender ao prazo. Sabe-se que a adequação deve ser contínua, pois a lei é viva e o cenário tecnológico evolui constantemente.

Nesse sentido, considerando aqueles cartórios que possuem uma parte do projeto concluído, agora com o Provimento, precisarão reavaliar suas atividades para enquadrar os pontos que, eventualmente, não tenham sido contemplados no seu projeto inicial.

A LGPD elucida, no art. 23, §4º e §5º, que será dado às entidades prestadoras de serviços notariais e de registro o mesmo tratamento dispensado às pessoas jurídicas de direito público elencadas no art. 1º, parágrafo único, da Lei de Acesso à Informação (LAI), atribuindo-lhes, ainda, o dever de fornecer acesso aos dados por meio eletrônico à administração pública, tendo em vista as finalidades elencadas no caput do referido artigo.1

Neste sentido, o Provimento 134 – resultado de um longo debate no âmbito do CNJ tem como objetivo principal oferecer maior transparência aos usuários sobre as atividades de tratamento de dados pessoais desenvolvidas nos cartórios, trazendo definições significativas como a (i) a criação da Comissão de Proteção de Dados, no âmbito da Corregedoria Nacional de Justiça do Conselho Nacional de Justiça;

(ii) a definição dos agentes de tratamento; (iii) a adoção de regras de governança de tratamento de dados pessoais com o destaque para algumas atividades que devem ser realizadas, bem como; (iv) a adoção de providências elencadas no art. 6º, do Provimento, apresentando os requisitos básicos a serem seguidos para garantir proteção tanto dos próprios cartórios quanto para os usuários, considerando as diversas modalidades de cartórios existentes.

Vejamos:

I. nomear encarregado pela proteção de dados;

II. mapear as atividades de tratamento e realizar seu registro;

III. elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário;

IV. adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais;

V. definir e implementar Política de Segurança da Informação;

VI. definir e implementar Política Interna de Privacidade e Proteção de Dados;

VII. criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares;

VIII. zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua IX. adequação e revisando cláusulas de contratação para que incluem previsões sobre proteção de dados pessoais; e
treinar e capacitar os colaboradores.

Destaca-se nas medidas que o Provimento 134 traz o dever dos cartórios de definir e implementar a Política de Segurança da Informação, bem como a Política Interna de Privacidade e Proteção de Dados, visando à transparência aos usuários sobre o ciclo de tratamento dos dados pessoais.2

O CNJ também traz a necessidade do mapeamento de todas as atividades de tratamento de dados pessoais pelos cartórios, sendo essas atividades compiladas no Inventário de Dados, arquivado e disponibilizado, no caso de solicitação da Corregedoria Geral da Justiça, da ANPD ou de outro órgão de controle. Aqui, vale mencionar que, o texto inclui o gap assessment, ou seja, a avaliação das lacunas e vulnerabilidades que poderão surgir a partir da etapa do mapeamento de dados.

Além disso, os cartórios deverão revisar e adequar os contratos vigentes às normas de privacidade e proteção de dados, levando-se em consideração a responsabilização dos agentes de tratamento.

Tal previsão tem como alvo contratos de natureza laboral, convênios externos, abrangendo, ainda, a necessidade de elaboração de Termos de Confidencialidade, Termos de Tratamento de Dados Pessoais e a inclusão de cláusulas de prazo de Retenção e Descarte de Dados Pessoais em contratos, convênios e instrumentos congêneres.

Elenca-se como método a ser seguido a criação de procedimentos de auditorias regulares para a realização da gestão de terceiros, com quem houver o compartilhamento de dados pessoais e a elaboração de orientações e procedimentos para as contratações futuras, no intuito de deixá-los em conformidade com a lei de regência.

Caberá aos responsáveis pela serventia, ainda, exigir de seus fornecedores de tecnologia, automação e armazenamento de dados pessoais, a devida adequação das exigências da LGPD, sobretudo quanto aos sistemas e programas de gestão de dados internos utilizados pelos colaboradores dos cartórios.

O texto deixa claro e evidente que o seu conteúdo é o mínimo, podendo o cartório adotar critérios mais rígidos para a sua adequação. Além disso, o Provimento 134 expressamente afirma que a função do Encarregado pela Proteção de Dados Pessoais poderá ser terceirizada, contratando-se pessoa física ou jurídica que esteja apta para o exercício da função (art. 10, I, do Provimento 134).

É de suma importância mencionar a novidade trazida pelo art. 11, do Provimento 134, o qual dispõe o dever pelas serventias da adoção do Relatório de Impacto à Proteção de Dados (RIPD), nos termos das instruções elencadas no dispositivo. Em contrapartida, temos que na LGPD a adoção deste documento pode ser dispensada, considerando que o texto normativo não dispõe de obrigação legal.

Neste sentido, até mesmo as organizações que já se encontravam em conformidade com a LGPD terão que passar a adotar esta exigência trazida pelo Provimento.

Ademais, temos que o Provimento 134 trouxe a exigência de as serventias realizarem treinamentos com seus colaboradores, sobre a conscientização da cultura de privacidade e proteção de dados pessoais, visando maior segurança e transparência a todos, devendo ser observados os critérios elencados no art. 16.

No que tange aos direitos dos titulares dos dados, também há a exigência da adoção de canal eletrônico específico para atendimento das requisições apresentadas pelos usuários, bem como de fluxos de atendimento aos direitos fundamentais, requisições e reclamações, desde o seu ingresso até o fornecimento da resposta, nos termos do art. 17, do Provimento 134 c/c art. 18, da LGPD.

O Provimento 134 trouxe, ainda, algumas mudanças nas rotinas dos colaboradores e usuários das serventias. Temos como exemplo, a mudança na coleta de dados e controle de acesso por terceiros na entrega de certidões, bem como no controle de acesso dos colaboradores aos documentos físicos armazenados nos cartórios.3

Desta forma, confira abaixo alguns passos que devem ser seguidos para conduzir uma organização eficiente na adequação à LGPD nas serventias extrajudiciais, de modo que se possa atender às disposições do Provimento 134:

a. Definição do Encarregado pela Proteção de Dados e Criação do Comitê de Privacidade: nesta etapa, deverá ser designado o Encarregado pelo tratamento de dados pessoais das serventias e, na sequência, criado o Comitê de Privacidade, a fim de discutir e promover as ações necessárias para assegurar o cumprimento das exigências do Provimento e da LGPD.

b. Realização do Mapeamento de Dados, Fluxos e Processos: nesta etapa, serão registrados e documentados os fluxos de dados pessoais tratados pela instituição elencando-se de forma detalhada os processos que envolvam o tratamento de dados pessoais.

c. Elaboração do Relatório de Impacto à Proteção de Dados: nesta etapa serão descritos os processos de tratamento de dados pessoais que podem gerar riscos aos usuários, bem como todas as medidas de salvaguardas e mecanismos adotados pelo cartório para mitigação dos riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares de dados.

d. Avaliação dos Riscos de Privacidade e Segurança e Elaboração do Plano de Ação: nesta etapa serão avaliados os riscos às garantias e direitos dos titulares, levando-se em consideração a realidade fática da instituição no que diz respeito às medidas de segurança existentes no momento da avaliação, com o objetivo de traçar um plano de ação para mitigação de riscos e combate a eventuais incidentes com dados pessoais.

e. Revisão e/ou Elaboração de outros Documentos Necessários: nesta etapa serão elaborados documentos hábeis à concretização dos princípios e ditames da LGPD, a exemplo da Política de Privacidade Interna e das Políticas de Segurança da Informação e de Resposta a Incidentes.

Tais documentos visam, dentre outros objetivos, dar transparência aos titulares acerca do tratamento dos dados pessoais e da segurança das informações tratadas e proporcionar instruções claras em relação a procedimentos, ferramentas e práticas capazes de mitigar riscos de violação aos direitos dos titulares.

f. Adoção de Procedimentos para os Usuários: nesta etapa será criado um canal de atendimento às solicitações dos titulares de dados, bem como adotadas medidas de transparência aos usuários sobre o tratamento dos dados pessoais pelas serventias.

g. Implementação das Contramedidas Adequadas: nesta etapa serão feitas ações, operações, ferramentas e métodos aplicados para neutralizar ameaças aos usuários e outros ativos das serventias, visando evitar falhas e vulnerabilidades na segurança das organizações.

h. Verificação de Contratos com Terceiros: nesta etapa será avaliado se os terceiros que estabelecem uma relação contratual com as serventias, estão em conformidade com a LGPD e o Provimento, visando mitigar riscos futuros para os usuários e as organizações.

i. Conscientização e Treinamento dos Envolvidos: nesta etapa será realizada a capacitação dos profissionais e prepostos das serventias através de treinamentos e medidas educativas para a atuação em conformidade com a norma de privacidade e proteção de dados.

Nota-se que o Provimento 134 dispõe de detalhamentos essenciais para a adequação das serventias extrajudiciais à LGPD, sobretudo, por conta da transformação digital que vivenciamos, bem como pela recente vigência da LGPD.

Apesar de que é possível que ainda haja alterações no texto legal, em busca de aperfeiçoamento pela Autoridade Nacional de Proteção de Dados, a posição do CNJ é elogiável e eficiente para todas as serventias extrajudiciais, as quais também deverão se adaptar à nova realidade jurídica.

Assim, espera-se que o debate evolua ainda mais para que esclarecimentos complementares sejam trazidos à tona com máxima brevidade. No entanto, cabe agora às Corregedorias Estaduais a complementação do Provimento 134 através de Normas de Serviço, o que possibilitará a efetiva aplicabilidade da nova disposição em todo território nacional, visando surtir todos os efeitos legais.

1 É sabido que com a transformação digital, tem sido muito fomentada a probabilidade de “digitalização dos cartórios”, tendo em vista que já tivemos diversas iniciativas nacionais de Provimentos e Medidas Provisórias que foram convertidas em Lei, a fim das serventias extrajudiciais se adequarem à nova realidade jurídica.

Assim, percebe-se o alinhamento de propósito maior das instituições públicas na assimilação dos impactos na sociedade da tecnologia, sobretudo nas atividades das serventias extrajudiciais.

2 Temos como exemplos de critérios adotados no ciclo de tratamento (i) a explicação de quais canais chegam os dados pessoais dos usuários; (ii) quais dados são coletados; (iii) porque e para qual finalidade são coletados; (iv) qual a base legal utilizada para tratar esses dados; (v) se os dados são compartilhados ou não; (vi) se sim, como e com quem são compartilhados; (vii) qual o prazo de retenção e descarte dos dados pessoais; (viii) entre outros critérios.

3 No que tange ao compartilhamento de dados com órgãos públicos, nos termos do art. 24, do Provimento, temos que o compartilhamento pressupõe ato normativo do órgão solicitante, ou convênio ou outro instrumento formal, com objeto compatível com as atribuições e competências legais da atividade notarial e registral,

devendo o compartilhamento ser fornecido de forma específica, adequada, necessária e proporcional ao atendimento das finalidades presentes na política pública do órgão e, ainda, devendo ser observado os protocolos de segurança da informação, sobretudo no que se refere a transferência de bancos de dados.

Adalberto Fraga Veríssimo Junior
Sócio da Lee, Brock, Camargo Advogados (LBCA) e coordenador na área de Direito Digital e Novas Tecnologias.

Luiza dos Anjos Lopes Licks
graduada em Direito pela Universidade Franciscana de Santa Maria/RS. Pós-Graduada Lato Sensu (LL.M.) em Direito Digital pela Universidade Presbiteriana Mackenzie de São Paulo/SP. Membro Efetiva da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP. Advogada na Lee, Brock, Camargo Advogados (LBCA).

Luiz Sérgio Miranda Silva Urtubeny Filho
Graduado em Direito pela Universidade Federal da Bahia. Pós-Graduado em Direito Digital e Compliance pela Damásio Educacional. Mestrando em Direito pela Universidade Federal da Bahia. Advogado na Lee, Brock, Camargo Advogados (LBCA).

O post Começa a contagem regressiva para cartórios se adequarem à LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

O temário inclui quatro exposições “Requisitos da LGPD aplicáveis às empresas da área de saúde”, ministrado pela consultora jurídica para implantação de LGPD em empresas da área da saúde, Doutora e Mestre pela PUC-SP e professora associada da FAAP, Tae Young Cho;  “A Jornada para implementação dos requisitos”, com Vanessa Fonseca, executiva da Accenture e responsável pela implantação de proteção e privacidade de dados; “O Programa de Privacidade de Dados”, com Tae Young Cho e “Gestão de Dados Pessoais e Sensíveis”,  que terá explanação de Solano de Camargo.

Camargo é pós-doutorando em Direito Internacional pela Faculdade de Direito de Coimbra, Doutor e Mestre em Direito Internacional pela USP, doutorado “sanduíche”pela Faculdade de Direito do Porto, graduado em Direito francês pela Faculdade de Direito de Lyon 3 e professor de pós-graduação em Direito na Universidade Anhembi Morumbi.

Inscrições para a palestra com vagas limitadas pelo link: http://pvista.proevento.com.br/abramge/shop/?cod_evento=139. Mais informações pelo telefone (11) 3289-7511.

Palestra LGPD

Como sua empresa está se preparando para a LGPD? O processo como um todo é complexo e envolve revisão dos processos internos além de diversas áreas da empresa. A checagem dos cadastros e das bases ligadas é uma das tarefas iniciais mais desafiadoras e, por isso, é bom começar o mais rápido possível para não estar sujeito à multas.

A LBCA oferece consultorias especializadas e realiza uma palestra por mês na própria sede para sanar dúvidas a respeito do tema e avaliar os impactos da lei.

A próxima palestra acontece dia 26 de setembro. O evento é gratuito e conta com um limite de até 25 participantes. Participe aqui.

O post Solano de Camargo ministra palestra sobre LGPD em seminário da Abramge apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Hoje, mais de 126 países possuem leis visando à regulamentação do tratamento de dados pessoais, evitando-se o mau uso destes, bem como a responsabilização das empresas por incidentes e acidentes com dados.

A LGPD como objetivos a proteção à privacidade, intimidade, honra e imagem bem como também protege o desenvolvimento econômico e a livre iniciativa das empresas.

Os dados pessoais são aqueles que permitem identificar uma pessoa ou torná-la identificável. São exemplos de dados pessoais: nome, endereço, números únicos identificáveis (RG, CPF, CNH), geolocalização e hábitos de consumo.

Os dados pessoais sensíveis (art. 5º, II) são uma subcategoria que, por sua relevância e importância, demandam mais proteção do um dado pessoal comum. São estes dados: sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Diante destes dados pessoais, fica claro que há tratamento dos dados pessoais nas relações de trabalho. Desde o anúncio de emprego, as empresas devem adotar medidas acautelatórias para não discriminar o candidato. Os dados pessoais requisitados devem ser apenas os necessários ao processo seletivo, sendo descartados aqueles que não se referem à informação precisa do candidato com relação a vaga, salvo justificada finalidade, tais como: sexo, estado civil, prole, religião, opção sexual ou critérios físicos de beleza (“boa aparência”).

Concluída a seleção, dados pessoais e dados sensíveis poderão ser requisitados para finalidades específicas, como, por exemplo, envio do cadastro do empregado e seus familiares para o plano de saúde.

Portanto, é recomendável, desde já, que as empresas revisem seus processos seletivos e os dados pessoais requisitados em currículos ou em sites para se evitar o tratamento indevido dos dados pessoais dos candidatos.

O RH deve ter atenção quanto ao armazenamento dos currículos para futuros processos seletivos. Caso esta seja a decisão da empresa, o tratamento destes para eventos futuros requer consentimento expresso para esta finalidade e prazo. A manutenção de currículos por tempo indeterminado, sem consentimento será considerada uma infração à lei.

Quanto aos serviços terceirizados, é recomendável que as empresas solicitem às prestadoras de serviços não só os documentos comprobatórios de cumprimento das obrigações trabalhistas e previdenciárias, mas também os de cumprimento com as normas de proteção de dados pessoais, incluindo este tipo de obrigação em contrato para conferir maior segurança jurídica.

O treinamento de funcionários, colaboradores e terceirizados sobre a LGPD é fundamental para garantir a governança e a segurança da informação. Com a conscientização de todos os funcionários, as más práticas de segurança da informação e de proteção de dados podem ser evitadas ou minimizadas. A documentação da aplicação dos treinamentos é recomendável assim como a realização de auditorias periódicas para uniformizar o nível de informação e treinamento.

Ressalta-se a necessidade da revisão dos documentos internos das empresas: Códigos de Conduta, Políticas de Segurança da Informação e Privacidade; Políticas de Privacidade Externa, Termos de Consentimento etc. para garantir a informação e conscientização dos colaboradores das empresas sobre dados pessoais.

Estes documentos devem definir de forma clara os setores que poderão ter acesso a dados de candidatos, empregados e terceiros, bem como o modo de utilização de tais informações, estabelecendo penalidades em caso de uso indevido de dados, mediante citações da LGPD e exemplos para fins didáticos.

Qualquer violação à LGPD na esfera das relações de trabalho poderá ser objeto de ação bem como sujeita à fiscalização da Autoridade Nacional de Proteção de Dados e as sanções previstas no artigo 52 da Lei, com multas que podem chegar a 50 milhões de reais.

O post A Lei Geral de Proteção de Dados frente às relações trabalhistas apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Veja abaixo algumas dúvidas frequentes sobre LGPD, respondidas por Paulo Vinicius de Carvalho Soares, advogado e DPO da Lee, Brock, Camargo Advogados (LBCA).

1. Com a LGPD vou ter que apagar toda a minha base de contatos?

Caso a base de contatos seja formada pela base de clientes da empresa, não será necessário apagar. Contudo, o tratamento dos dados deve ser para a finalidade específica que justifique o seu uso de acordo com a base legal da respectiva finalidade.

No entanto, se a base de dados foi adquirida ou repassada por terceiros, provavelmente terá que apagá-la, caso os titulares dos dados não saibam que você trata estes dados pessoais. Uma forma de remediar esta questão seria entrar em contato e informá-los de modo a pegar o seu consentimento.

2. Com a LGPD corro o risco de perder parte de minha base de dados? 

As bases de dados deverão ser tratadas de acordo com finalidades específicas, necessárias e adequadas para as atividades da empresa naquele momento, sendo justificadas pelas bases legais previstas na LGPD.

Caso alguma base de dados pessoais ou parte dela não esteja adequada quanto à finalidade e não possua uma base legal para o seu tratamento, recomenda-se o descarte destes dados, após estudo das bases legais por um advogado.

3. Devo apagar os dados de um contato sempre que for solicitado?

Não necessariamente. Se o tratamento dos dados for feito de acordo com uma base legal (art. 7º da LGPD) que não seja o consentimento, você poderá fazer o tratamento para aquela finalidade, com base em contrato, obrigação legal e até legítimo interesse.

4. Como será comprovado que a empresa garante a proteção dos dados?  

A comprovação se dará por meio dos documentos que devem compor o Relatório de Impacto à Proteção de Dados Pessoais, tais como: mapeamento do ciclo de vida do dado pessoal, mapeamento de risco, identificação dos agentes de tratamento em cada etapa ou processo de tratamento de dados, criação de políticas, códigos de conduta e comprovantes de treinamento, entre outros. Ademais, existem certificações mundiais sobre segurança da informação, tais como a ISO 27001 e 27002.

5. Quais são as áreas que mais sofrerão com os impactos da LGPD dentro de uma empresa?

As áreas que sofrerão mais com os impactos da LGPD, sem dúvidas, são aquelas que tratam do maior volume de dados pessoais, tais como, por exemplo: (I) Recursos Humanos e Departamento Pessoal pelos dados dos empregados e colaboradores; (II) Atendimento ao Consumidor e pós-venda; (III) Marketing pelo tratamento de dados para campanhas e envio de propaganda por redes sociais, e-mail marketing etc.; (IV) Vendas, se direta ao consumidor por tratar os dados pessoais para concretização da venda; e (VI) Pesquisa e Desenvolvimento..

No entanto, é necessário destacar que toda a empresa deve se adequar à LGPD, pois a empresa está integralmente vinculada às regras para todos os seus setores.

6. Qual o valor da multa caso minha empresa não tenha se adequado à LGPD até agosto de 2020?

Em âmbito administrativo, as multas aplicadas antes da entrada em vigor da LGPD poderão ser arbitradas pelos órgãos fiscalizadores, tais como PROCONs, Ministério Público, entre outros. Para cada multa será levado em consideração o grau de comprometimento da empresa com a segurança da informação e a proteção de dados pessoais, mediante a comprovação documental, a informação sobre o incidente aos titulares dos dados; o porte da empresa e seu faturamento.

7. Quanto tempo leva para uma empresa se adequar 100% à LGPD? Quais são os passos?

O prazo de adequação de uma empresa à LGPD, sem dúvidas, depende de diversos fatores, tais como porte, quantidade de filiais, quantidade de processos de tratamento de dados pessoais, número de funcionários, quantidade de sistemas e bancos de dados pessoais etc. Recomenda-se que as empresas iniciem o quanto antes o seu procedimento de adequação, o qual pode levar entre 6 a 12 meses, a depender dos fatores.

Os passos para implementação da LGPD basicamente são os seguintes: (I) Conscientização da empresa; (II) Mapeamento de dados; (III) Produção dos mapas, fluxos e matrizes de responsabilidades; (IV) Identificação de Bases Legais para tratamento de dados pessoais; (V), Alteração/Criação de Políticas, Contratos, Termos sobre proteção de dados pessoais; Documentos sobre o tratamento de dados pessoais (IV) nomeação dos agentes de tratamento e do DPO; (VI) Plano de Gerenciamento de Crises; (VII) Criação de sistemas de gestão dos pedidos dos titulares; das autoridades e do consentimento; (VIII) Treinamento das equipes / terceiros que fazem o tratamento dos dados pessoais (IX) auditoria e revisão constante.

8. Toda minha empresa terá que fazer treinamento para a segurança dos dados pessoais?
O artigo 50 da LGPD determina que as empresas promovam ações educativas e de treinamento sobre o tratamento dos dados de acordo com a LGPD. Desta forma, é recomendável que a empresa faça treinamentos com profissionais especializados para conscientização sobre a lei bem como faça treinamentos específicos para os setores mais envolvidos no tratamento de dados pessoais de acordo com o modelo de negócio de cada empresa.

O post LGPD: 8 dúvidas sobre a nova lei apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

O impacto dessa medida e de outras sobre o perfil e função do “Encarregado” é analisada nesta entrevista pelo advogado Paulo Vinícius de Carvalho Soares, especialista em Direito Digital, Sócio e DPO da Lee, Brock, Camargo Advogados (LBCA).

Crypto ID: Qual a função do Data Protection Officer (DPO) ou Encarregado dentro de uma empresa? A sanção presidencial à LGPD alterou muito o perfil desse profissional?

Paulo Vinícius: A sanção presidencial vetou a necessidade de o Data Protection Officer ter formação jurídica. A designação do DPO deve ser realizada em função das competências profissionais, em especial dos conhecimentos avançados de proteção de dados e que seja capaz de cumprir as tarefas relacionadas com a segurança e proteção de dados. Por exemplo, o DPO deve ter as seguintes funções:

– Sensibilização e informação de todos que tratem dados pessoais;

– Assegurar o comprimento das políticas de privacidade e proteção de dados;

– Controlar e regular a conformidade do LGPD;

– Recolher informação para identificar atividades de tratamento;

– Controlar e acompanhar a produção do RIPD – Relatório de Impacto sobre Proteção de Dados;

– Promover as abordagens de Privacidade por Desenho e por Padrão;

– Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;

– Recolher informação para identificar atividades de tratamento;

– Manter atualizado os registros das atividades de tratamento de dados;

– Controlar o cumprimento das cláusulas de proteção de dados junto aos fornecedores;

– Promover formações de boas práticas para a proteção de dados;

– Ser o ponto de contato com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;

– Ser o ponto de contato com as autoridades de controle;

Crypto ID: O que nos ensinou a experiência europeia por meio do Regulamento Geral sobre a Proteção de Dados (GDPR), em vigência há um ano?

Paulo Vinícius: Na Europa, o DPO (pessoa física ou jurídica) tem sido nomeado para as funções previstas no artigo 37 da GPDR e seu trabalho nas empresas não tem sido feito sozinho.

O que se tem visto é a criação de comissões de implementação e auditoria de proteção de dados, as quais possuem formação multidisciplinar para auxiliar o DPO não só na verificação da conformidade da empresa com relação a GPDR, mas também no desenvolvimento de produtos, relação com fornecedores (vendors) e seus stakeholders.

Crypto ID: Por onde começa o Trabalho do DPO? Por orientar a empresa sobre a proteção de dados, criando protocolos internos e treinamento colaboradores?

Paulo Vinícius: O trabalho do DPO começa com a conscientização de todos os colaboradores sobre a importância da segurança da informação, da privacidade e por consequência da proteção de dados pessoais por meio de treinamentos, criação de políticas de privacidade interna e externas.

Crypto ID: O DPO precisa conhecer ao mesmo tempo a legislação (jurídico) e as medidas de segurança (TI) para executar bem seu trabalho?

Paulo Vinícius: O DPO deve ter conhecimento multidisciplinar, conciliando temas das áreas de tecnologia, gestão da informação e jurídica, podendo ser auxiliado por uma comissão de especialistas com profundo conhecimento nestas áreas para auxiliar na implementação dos mapeamentos, elaboração de DPIA e criação das políticas.

Crypto ID: Cabe ao DPO prestar informações à ANPD. Qual sua expectativa sobre o trabalho dessa nova agência?

Paulo Vinícius: Uma das funções do DPO é prestar informações às autoridades públicas, dentre elas a Autoridade Nacional de Proteção de Dados, mas não se limitando a esta, como, por exemplo, o Ministério Público, PROCONs, SENACON, entre outros.

A Autoridade Nacional de Proteção de Dados terá uma grande tarefa de regulamentar diversos pontos da LGPD que não foram tratados amiúde pela Lei, diferentemente do que foi feito com a GPDR Europeia.

Além das questões normativas, espera-se que a ANPD também funcione como órgão consultivo para que os envolvidos com a LGPD façam consultas sobre as melhores práticas.

Outro ponto a se destacar é a previsão de uma Ouvidoria, a qual poderá ter a função de ser um ponto focal sobre descumprimentos de normas de proteção de dados como se dá com a ANATEL, ANEEL, etc.

Crypto ID: O DPO deve ter autonomia para realizar seu trabalho? No que sua atividade conflita com o controlador e o operador?

Paulo Vinícius: O DPO deve ter autonomia geral e irrestrita para realizar seu trabalho de maneira que possa ter acesso aos fluxos de dados e aos comandos dos controladores para avaliar se está em compliance com as normas de proteção de dados.

O DPO assume, assim, a responsabilidade na aplicação da estratégia para proteção dos dados e conformidade da LGPD.  No entanto, todo o descuido em eventuais não conformidades e incidentes ou violações serão imputadas ao controlador ou ao operador.

Crypto ID: O DPO enfrenta um conflito – ao mesmo tempo que protege os dados armazenados, tem de conviver com o desenvolvimento da empresa (IA), que pode apresentar muitas “áreas cinzentas”. Como resolver esse impasse?

Paulo Vinícius: É recomendável que o DPO seja incluído nas discussões sobre desenvolvimento de produtos e serviços das empresas de modo a garantir que as inovações seguirão o princípio do privacy by design, referendando que os dados pessoais que, porventura, venham a ser tratados tenham uma base legal sólida para tanto sem que se coloque em risco a empresa por um ato de desconformidade com a LGPD.

Crypto ID: É importante que o DPO tenha amplo trânsito com o C-Level da empresa?

Paulo Vinícius: É fundamental que o DPO tenha amplo trânsito com o C-Level da empresa bem como que o C-Level reconheça e acate as diretrizes de proteção de dados que sejam indicadas pelo DPO para garantir a conformidade da empresa com as regras da Lei Geral de Proteção de Dados, nos ambientes internos e externos.

Para tanto, se mostra necessário a integração das equipes multidisciplinares que formam a empresa (RH, Marketing, Financeiro, Tecnologia, Departamento Pessoal, TI etc.) para que se garanta a unidade da política geral de tratamento de dados.

Não basta implementar a política de segurança de dados pessoais, a auditoria constante dos setores também se mostra como prática muito recomendável.

Crypto ID: A LGPD entrará em vigor em 2020. Quando as empresas precisam começar a se preocupar com a implementação do DPO?

Paulo Vinícius: As empresas devem se preparar desde já com a implementação, na medida em que: (I) o processo de implementação e treinamento dos membros das empresas leva, no mínimo, 6 (seis) meses e (II) alguns órgãos de fiscalização de defesa do consumidor tem solicitado provas da implementação de medidas de proteção de dados pessoais as empresas, sob pena de sanções.

O post DPO terá novo perfil a partir de sanção presidencial à redação da LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

A LGPD tem como base a GDPR, regulamentação europeia aprovada em maio do ano passado e usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento, de dados pessoais e seu compartilhamento. A intenção é proporcionar privacidade às pessoas físicas contando com a penalidade de multas para motivar o seu cumprimento por parte das empresas.

Mas, por que falar sobre isso exatamente agora?

As empresas e as organizações terão grandes responsabilidades em relação à proteção dos dados pessoais de seus funcionários, fornecedores e clientes. Apesar da data de início de vigência da LGPD parecer distante, as medidas necessárias devem ser tomadas desde já. Por isso, é preciso se mover com rapidez para que a LGPD não impacte negativamente os negócios.

10 passos para implantar a LGPD nas empresas

Para entender como iniciar o processo de implementação, a Lee, Brock, Camargo Advogados (LBCA) organizou 10 principais pontos da LGPD que sua empresa não pode deixar de observar.

1. Estudo da LGPD e demais leis que regulamentam o negócio;
2. Mapear a entrada e o tratamento dos dados pessoais;
3. Mapear os riscos do tratamento;
4. Elaborar o Relatório de Impacto;
5. Criar a política de proteção de dados e adaptar os documentos internos e externos;
6. Gerenciar os pedidos dos titulares e dos órgãos;
7. Treinamento das equipes que tratam dados pessoais;
8. Ser compliance com a proteção de dados mediante governança;
9. Exigir o compliance de proteção de dados de seus fornecedores;
10. Concepção de novos produtos com o princípio de privacy by design;
11. Eleger um DPO com conhecimentos jurídicos e regulatórios sobre proteção de dados.

Proteção de dados e o impacto da LGPD nas empresas

O que sua empresa deve fazer em relação à medida? Para entender os principais objetivos da nova lei, a obrigação legal ou regulatória ou o impacto da medida sobre as companhias, acesse aqui e entenda resumidamente as questões envolvendo a Lei Geral de Proteção de Dados.

Se ainda não ficou claro o que muda em relação à nova medida, as etapas da comunicação de vazamento ou, por exemplo, o impacto sobre as políticas de privacidade das empresas, clique aqui.

O post 11 passos para implantar a LGPD nas empresas apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

A Unidade Especial de Proteção de Dados e Inteligência Artificial do MPDFT (ESPEC) é a primeira iniciativa nacional dedicada exclusivamente à proteção de dados pessoais e da privacidade dos brasileiros.

Impactos LGPD

Desde agosto de 2018, o MPDFT já investigou ao menos 13 casos envolvendo dados pessoais e privacidade, fundamentando-se, principalmente, no Código de Defesa do Consumidor, em seu artigo 6º, que assegura o direito à informação.

Um dos primeiros casos envolveu a empresa MyHeritage, especializada em construção de árvores genealógicas e testes de DNA que, em outubro de 2017, confirmou o vazamento de dados de 3.360.814 clientes brasileiros, dentre eles 106.880 menores de idade à época.
A empresa afirmou que não houvera o comprometimento de nomes, endereços ou outros dados sensíveis, e que teria ocorrido apenas o vazamento de e-mails.

A Israeli Privacy Protection Authority (autoridade de dados israelense) encerrou a investigação afirmando que não ocorreu violação à sua legislação.

Os clientes brasileiros da MyHeritage foram orientados a trocar as senhas de acesso ao site, ainda que a empresa tenha garantido que as mesmas possuem criptografia.

Outro caso que merece destaque envolve a empresa Boa Vista SCPC. Foi instaurado inquérito civil público e, inicialmente, foi apurado um vazamento que poderia ter afetado mais de 350 milhões de pessoas que fizeram cadastro na empresa.

A ESPEC-MPDFT, após cerca de dois meses, concluiu que não houve vazamento de dados, já que, apesar de ter ocorrido uma invasão ao servidor de desenvolvimento armazenado na nuvem, este não continha dados pessoais armazenados.

Uma situação ainda mais gravosa aconteceu com a empresa Atlas Quantum, do mercado de criptomoedas, que se tornou ré em uma ação civil pública por danos morais.

O MPDFT pediu a condenação da empresa ao pagamento de milhões de reais pelo vazamento dos dados de mais de 260 mil clientes.
Além de investigações, a ESPEC-MPDFT pode solicitar explicações sobre a guarda e proteção de dados, como ocorreu com a Vivo em abril deste ano, com a requisição de um relatório de impacto à proteção de dados pessoais dos clientes dessa empresa.

No Brasil, foi a primeira vez que o Poder Público solicitou esse tipo de relatório. A empresa tem um prazo de 60 dias para elaborar e apresentá-lo, sendo que um dos principais pontos levantados pelo MPDFT aborda a questão de dados coletados para rastrear a geolocalização dos usuários (Vivo Ads).

A Vivo deve explicar sobre o funcionamento dos processos para gerenciar os dados, bem como qual a estratégia para diminuir os riscos relacionados à proteção das informações de seus clientes e os impactos da LGPD.

O promotor membro da ESPEC-MPDFT, Frederico Meinberg, se pautou nos relatórios feitos na Europa, chamados de Data Protection Impact Assessment – DPIA, cujo objetivo é identificar e minimizar os riscos de um projeto e afirmou que se trata de instrumento importante para comprovar que as empresas e órgãos públicos tratam os dados pessoais de forma segura e adequada.

LGPD e as empresas

O que se verifica é que, independentemente de entrar em vigor, a LGPD já impacta as empresas e demais que fazem uso de dados pessoais, seja por exigências externas, para dar prosseguimento a negociações; seja pela pressão de órgãos públicos, para que haja eficácia no cumprimento da lei.

De qualquer forma, é inegável que a LGPD vai exigir mudanças consideráveis para todos aqueles que fizerem o tratamento de dados pessoais.

Considerando que já estão sendo feitas exigências antes mesmo da legislação entrar em vigor, recomenda-se que as medidas necessárias para adequação à nova lei sejam tomadas o quanto antes a fim de evitar surpresas, tais como: gestão do consentimento e anonimização dos dados; adoção de medidas de segurança da informação; elaboração de relatório de impacto e due diligence dos dados pessoais.

* Rachel Ellmann Clemente é advogada e sócia da Lee, Brock, Camargo Advogados (LBCA)
* Leia o artigo originalmente publicado no site CryptoID

O post LGPD: impactos atuais de uma lei ainda não vigente apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Câmara privilegia sociedade civil na discussão sobre proteção de dados

Segundo o advogado especializado em Direito Digital, Paulo Vinícius de Carvalho Soares, sócio da LBCA, as alterações no texto da MP feitas pela Câmara na LGPD foram significativas e privilegiam a inclusão da sociedade civil nas discussões sobre proteção de dados.

Uma das principais alterações foi quanto a natureza jurídica da Autoridade Nacional de Proteção de Dados (ANPD) , que permanecerá sob a influência direta da Presidência da República por mais dois anos, prazo em que sua natureza será transformada em autarquia com orçamento próprio. “Durante este prazo, o Brasil não será considerado um país em compliance por não ter uma Autoridade Regulatória completamente independente”, comenta Soares.

O advogado  também chama a atenção para o  aumento do número de membros no Conselho Nacional de Proteção Dados Pessoais que segundo ele, reflete maior preocupação com as empresas de tecnologia e com os titulares dos dados à medida em que foram criadas duas vagas para o setor empresarial e para o setor laboral. Cresceu, por tanto, o número de  representantes da iniciativa privada frente ao grande número de vagas  destinadas aos setores públicos.

LGPD e a figura do DPO

 Muitas alterações são relativas à  figura do encarregado (DPO – Data Protection Officer) . “Um grupo econômico poderá ter  apenas um DPO , fato que gera economia para as empresas e uniformidade no tratamento dos dados pelo mesmo grupo”, comenta Soares.

Ele ressalta que o  DPO deve ter conhecimentos jurídicos e regulatórios sobre proteção de dados, mas  não se abordou a questão de sua  independência  para exercício das suas funções no cotidiano – o que seria fundamental para garantir a lisura do tratamento de dados, como se dá com os compliance officers –  nem foi especificada a necessidade de apresentação de certificados sobre a dita qualificação.” Acredita-se que este ponto possa ser regulamentado pela Autoridade Nacional de Proteção de Dados futuramente”, conclui.

Para mais informações sobre LGPD, acesse nosso canal.

O post Câmara aprova MP que altera Lei Geral de Proteção de Dados apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.