De acordo o relatório E-commerce no Brasil, em fevereiro de 2021 o comércio eletrônico nacional, valendo-se do marketing digital, atingiu 1,49 bilhões de acessos[1]. Em 2019, a pesquisa Maturidade do Marketing Digital e Vendas no Brasil já apontou que apenas 5,5% das empresas entrevistadas mantiveram as estratégias tradicionais de publicidade.

Em contrapartida, 94% das empresas adotaram o marketing digital, incluindo investimentos para a produção de conteúdo geração de leads e inbound marketing[2].

À medida que o cenário exige mudanças, novas questões jurídicas surgem para proteger os direitos e garantias fundamentais. A proteção de dados pessoais marca presença neste ranking, por meio da Lei nº 13.709 de 2018, Lei Geral de Proteção de Dados (LGPD).

As ferramentas do marketing digital não ficam de fora da abrangência da LGPD. O setor precisa se atentar para a tomada de medidas[3] e estar alerta sobre pontos vulneráveis da sua atuação, sendo alguns deles: os cuidados com as newsletter, os avisos de cookies e Políticas de Privacidade e as pesquisas de mercado envolvendo dados sensíveis.

As newsletters foram criadas para atingir usuários com o interesse em receber conteúdos exclusivos, a partir da demonstração de afinidade com as suas preferências. Esse propósito exigiu a necessidade de coletar dados pessoais, a exemplo do e-mail ou compartilhamento de dados de cadastro de redes sociais. Os leads exigem um planejamento estruturado do uso de ferramentas da internet, como o envio de e-mails automatizados.

Se antes receber conteúdo não autorizado provocava insatisfação do consumidor, hoje o spam ultrapassa a questão do aborrecimento para ser considerado um desrespeito à proteção de dados.

Assim, o disparo de newsletters deve ser sempre consentido pelos receptores, enquanto titulares de dados pessoais. Caso não haja o consentimento ou se o controlador não for transparente quanto ao seu legítimo interesse no tratamento de dados, a legislação proíbe a prática. Isso se justifica em razão dos princípios e direitos de titulares elencados na LGPD, que precisam ser seguidos à risca pelo marketing digital.

Quando falamos da coleta do consentimento, não se trata apenas de uma checkbox marcada no formulário de inscrição[4]. Há a obrigação de que seja comunicada claramente a finalidade do tratamento dos dados. Um e-mail coletado para newsletters não pode ser aproveitado para o envio de promoções, cupons de descontos e materiais de venda sem a anuência do usuário.

Uma medida interessante é a inclusão da opção de descadastramento do e-mail de forma acessível e facilitada. A retirada do consentimento é uma garantia expressa pela LGPD ao usuário, assim como outros direitos previstos. Assim, um link de opt-out nas newsletters pode ser considerado uma das medidas de conformidade.

Outra prática comum e inadequada é a coleta excessiva de informações dos titulares. As newsletters têm a premissa simples de que o conteúdo seja recebido via correio eletrônico. Logo, inexiste justificativa para que as operações com dados pessoais ocorram de forma maximizada. Obter o acesso ao endereço ou número de telefone raramente seriam primordiais nesse tipo de ação de marketing, e violariam o princípio da necessidade.

Já em relação aos Avisos de Cookies e Políticas de Privacidade, é necessário compreender que os cookies são arquivos de texto capazes de guardar, por um período, o histórico de navegação. Para simplificar, um cookie age no navegador de quem visita o site e anota seus hábitos.

É por meio dele que produtos pesquisados há dias começam a aparecer em anúncios ou sugestões são feitas a partir de interações nas redes sociais. As janelas pop up servem para avisar que os dados serão operados e pedir o consentimento do usuário.

Pelo menos em tese, os avisos de cookies configuram uma boa prática. A questão é que os problemas aparecem na análise jurídica de sua execução. Informar o uso de cookies não basta para atender aos requisitos de adequação à
LGPD, assim como somente promover o aceite de Políticas de Privacidade, sem ao menos esclarecer quais e o que definem, fere a escolha livre do visitante.

As Políticas de Privacidade são documentos externos feitos também para detalhar como um controlador armazena, compartilha e trata em sentido amplo as informações que coleta. Embora os cookies sejam assunto importante a ser trazido nas Políticas, aqui também se aplica o princípio da finalidade. O aceite de uma parte não significa o consentimento do todo.

Uma consulta rápida e informal a sites comumente acessados demonstrou que, se existem, os pop-ups de cookies possuem déficits. Em geral, as páginas limitam-se a comunicar o uso ou oferecem alternativas de configuração de cookies, sem detalhar outras informações, como o uso de softwares de terceiros. Os visitantes não entendem do que se trata na prática.

Ainda que alguns cookies sejam essenciais para o funcionamento das plataformas, cabendo a aplicação do legítimo interesse como fundamento do tratamento, a proteção do titular é central, junto com a necessidade da transparência.

Portanto, é fundamental que o titular receba recursos para acessar relatórios, revisar e interromper o uso de cookies com facilidade a fim de resguardar suas garantias.

Por fim, um dos pontos que também merece atenção é a pesquisa de mercado e dados sensíveis. Muito do sucesso dos empreendimentos tem a ver com planos de marketing. Por isso, parte do processo de criação envolve pesquisas de mercado como metodologia para mapear o comportamento dos consumidores, diminuindo as chances de erro nas ações produzidas.

A identificação de um público-alvo está diretamente relacionada às pesquisas e os riscos que envolvem essa tática, já que é impulsionada por dados que podem, inclusive, ser classificados como dados pessoais sensíveis.

Segundo o Direct Marketing Code of Practice do Information Commissioner’s Office (ICO) é possível que dados dessa categoria sejam utilizados nas modalidades de marketing. Porém, será necessário observar com atenção a hipótese de base legal legítima atribuída ao tratamento e a relevância da obtenção desses dados, evitando processos inseguros[5].

No caso da LGPD, há uma proteção ainda maior aos dados pessoais sensíveis, que são aqueles passíveis de preconceito ou discriminação, como origem racial, sexualidade e opinião política. O artigo 11 determina características para o seu tratamento.

Uma delas é o próprio consentimento, que deve ocorrer de forma específica e destacada. Assim, na aplicação de modalidades do marketing digital, as condições para o processamento de dados pessoais sensíveis são restritivas e exigem uma conformidade adicional.

Em vista disso, é importante ressaltar a responsabilidade do controlador de se certificar sobre o armazenamento seguro, padrões de segurança e adoção da base legal de tratamento adequada, havendo ainda a recomendação de anonimizar os dados sempre que possível.

Não restam dúvidas quanto a contribuição lícita das pesquisas de comportamento para o crescimento e competição de empresas e negócios com o uso do marketing digital. Por isso, já é tempo de o marketing digital entrar em conformidade com as normas de proteção de dados.

O primeiro passo para tanto é diagnosticar as lacunas e riscos nos processos com tratamento de dados pessoais. As questões aqui abordadas são alguns pontos que exigem atenção constante e permitem visualizar medidas de adequação básicas.

[1] CONVERSION. Relatório E-Commerce no Brasil – 2021. https://www.conversion.com.br/wp content/uploads/2021/03/relatorio-ecommerce-no-brasil-mar-2021.pdf.
[2] ROCK CONTENT. RESULTADOS DIGITAIS. MUNDO DO MARKETING. VENDAS B2B. Pesquisa Maturidade do Marketing Digital e Vendas no Brasil. 2019. Disponível em:
http://www.rdstation.com/resources/wp-content/uploads/sites/3/2019/06/Maturidade-do-Marketing-Digital e-Vendas-no-Brasil.pdf. Acesso em: 15 fev. 2022.
[3] GOSH, Dipayan. How GDPR Will Transform Digital Marketing. Harvard Business Review. 2018.
[3] GOSH, Dipayan. How GDPR Will Transform Digital Marketing. Harvard Business Review. 2018. Disponível em: https://hbr.org/2018/05/how-gdpr-will-transform-digital-marketing. Acesso em: 15 fev. 2022.
[4] PARLOV, Natalija. SICAJA, Željko. KATULIC, Tihomir. GDPR – Impact of General Data Protection Regulation on Digital Marketing. Annals of Disaster Risk Sciences, 2018, p. 105-116. Disponível em: https://ojs.vvg.hr/index.php/adrs/article/view/17. Acesso em: 15 fev. 2022.
[5] INFORMATION COMISSIONER’S OFFICE (ICO). Direct Marketing Code of Practice do Information Commissioner’s Office. 2020. Disponível em:
Documento HTTPS://ICO.ORG.UK/MEDIA/ABOUT-THE-ICO/CONSULTATIONS/2616882/DIRECT-MARKETING-CODE DRAFT-GUIDANCE.PDF

*Rayanne Conceição de Almeida Santos, advogada da Lee, Brock, Camargo Advogados, pós graduanda em Direito Digital pelo ITS/UERJ

O post LGPD e marketing digital: 4 pontos de atenção apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Em 5 de novembro, em meio aos preparativos para as eleições municipais e ante a iminência da repetição das internações e mortes trazidas pela pandemia da covid-19, a imprensa noticiou ataques hacker que atingiram os bancos de dados do Superior Tribunal de Justiça (STJ), do Conselho Nacional de Justiça (CNJ), do Ministério da Saúde e do governo do Distrito Federal, que tiraram do ar muitos de seus serviços.

Em 11 de novembro, o Tribunal de Justiça do Rio Grande do Sul (TJ-RS) declarou publicamente a indisponibilidade de seus sistemas, por conta de outro ataque hacker.

Finalmente, em 15 de novembro, no dia em que se realizou o primeiro turno das eleições municipais em quase todo o Brasil, o presidente do Tribunal Superior Eleitoral (TSE), o ministro Luís Roberto Barroso, anunciou que o tribunal havia sofrido um grande ataque hacker, com o vazamento criminoso de dados administrativos de funcionários e ex-ministros.

Além das medidas preventivas que deveriam ser implementadas com eficiência pelo governo a fim de evitar essas situações, a frequência com que tais ataques hacker vêm acontecendo, especialmente na modalidade ransomware (quando se requer um resgate para a cessação da agressão), suscita também uma importante reflexão sobre as possíveis soluções que as autoridades públicas poderiam adotar uma vez concretizadas essas ameaças.

Seria possível, nessas hipóteses, que o Estado viesse a negociar com os autores dos ataques e, eventualmente, a pagar o resgate requerido? Seria possível compatibilizar eventual pagamento com as exigências orçamentárias?

No nosso entendimento, os ciberataques na modalidade ransomware representam ameaças concretas ao Estado, à administração pública, aos serviços essenciais que ela se propõe a oferecer de forma contínua e, consequentemente, a todos os cidadãos.

Tornando-se possível equiparar tais situações às de “imprevisibilidade” e “urgência” que autorizam, nos termos do artigo 167, parágrafo 3º, da Constituição Federal, a abertura de créditos adicionais extraordinários que justificariam eventual pagamento de resgate para fins de cessar os ataques.

Ora, poder-se-ia argumentar que o parágrafo 3º do artigo 167 da Constituição restringe as hipóteses de abertura do crédito adicional em questão às situações de guerra, calamidade ou comoção interna.

Tendo em vista que os ciberataques não têm sido considerados pela comunidade internacional como atos de guerra e nem tampouco se enquadrariam nas outras duas hipóteses, impossível seria a abertura do crédito adicional extraordinário no orçamento para fins de pagamento de resgate em casos de ataque de ransomware.

Ocorre que o Supremo Tribunal Federal (STF) já entendeu que as hipóteses de “guerra”, “comoção interna” e “calamidade pública” são apenas exemplos fornecidos pela Constituição na intenção de densificar normativamente a interpretação do que haveria de se considerar como requisitos de “imprevisibilidade” e “urgência” imprescindíveis à configuração das hipóteses autorizadoras da abertura do crédito adicional extraordinário.

E mesmo verificando a existência de um arcabouço jurídico e legal que autorize eventual decisão administrativa de pagamento de resgate, ainda assim será necessário que a decisão do pagamento seja extremamente fundamentada, com a demonstração de cálculos de eficiência, potenciais riscos e danos, irreversibilidade de prejuízos, adequação, necessidade e proporcionalidade, de modo que se demonstre a ausência de qualquer outra solução alternativa que se provasse, ao final, menos custosa.

E essa ponderação de custo e eficiência também não descartaria a necessidade de demonstrar que a decisão, ao final, mostrou-se adequada também à moralidade, pois este é igualmente um dos princípios que regem a administração pública e a preocupação com o seu cumprimento ou melhor, com a sua preservação num grau tal que não nulifique a conservação dos demais valores e princípios concorrentes na atuação estatal – deve nortear também as decisões administrativas.

Por fim, é importante notar que a discricionariedade do Estado no exercício do poder de polícia na hipótese em questão deve estar muito bem fundamentada, levando em consideração todas as análises exemplificativas acima indicadas, para que não se alegue que o seu exercício extrapolou o interesse público e se configurou como excesso.

Aliás, parece-nos que o arcabouço constitucional e legal autoriza essa hipótese inclusive em âmbito orçamentário, uma vez que referidos ataques facilmente cumpririam os requisitos de “imprevisibilidade” e “urgência” imprescindíveis à autorização de abertura de créditos adicionais extraordinários que permitiriam o pagamento dos referidos resgates.

Levando-se em consideração todas as hipóteses, parece-nos que o Estado poderia, sim, com base no arcabouço jurídico em vigor, negociar resgates com cibercriminosos, desde que cumpridos todos os requisitos mencionados e desde que comprovada a absoluta necessidade, adequação e proporcionalidade de sua decisão ao caso concreto.

O post Pagamento de resgate em ciberataques apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Ricardo Freitas Silveira, sócio e chief data officer do escritório Lee, Brock, Camargo Advogados (LBCA) explica que as companhias vivem momentos diferentes em relação à nova lei, o que ocasiona variações na busca pelos serviços das bancas. Ele destaca duas demandas que possuem alta procura:

Serviço completo de implementação: compreende o mapeamento dos dados, a análise de riscos e a toda a adequação jurídica necessária; Terceirização do cargo de Data Protection Officer (DPO): conhecida como “DPO as a Service”, a prática traz flexibilidade e redução de custos para as empresas, contando com o serviço de um profissional capacitado sem precisar de um funcionário interno especializado no assunto. Ricardo relata que, hoje, 60% da equipe de seu escritório atua como encarregado de proteção de dados.

Também existem demandas mais complicadas de serem implementadas, como a definição das bases legais que justificam o tratamento de dados, que podem variar de acordo com o tipo de negócio da empresa e o nível e maturidade dela em relação ao tema. O sócio do LBCA enfatiza dois serviços com aplicação mais complexa:

Identificação correta do fluxo de dados: o mapeamento certo dos dados é imprescindível e, para isso, os colaboradores devem conhecer muito bem sobre o tratamento adotado. Isso se torna mais difícil por conta das mudanças que a sociedade brasileira enfrenta desde o início da pandemia, principalmente as alterações nos processos internos das companhias;

Gestão do consentimento dos titulares de dados: quando este serviço é realizado em empresas que trabalham com milhares de titulares e interagem com eles de maneira presencial e virtual, a aplicação pode se mostrar mais trabalhosa.

É possível ter uma equipe corporativa de privacidade e proteção de dados que possua profundo conhecimento do negócio. No entanto, realizar um trabalho em parceria, com ajuda de uma banca jurídica, pode trazer mais tranquilidade na jornada de adequação.

“A importância da contratação de um escritório de advocacia para assuntos relacionados à LGPD está na experiência em outros processos de adequação, complementando o conhecimento da equipe interna. Assim, há um conhecimento prévio, por exemplo, sobre os principais fluxos de dados a aplicação das bases legais. Muitas dúvidas já foram superadas, o que garante maior celeridade e  efetividade no processo de adequação“, diz Ricardo Freitas Silveira, sócio e chief data officer da LBCA.

Apesar de serem temas que estão nos holofotes atualmente, a privacidade e a proteção de dados movimentam o cenário jurídico há alguns anos. João Pedro Ferraz Teixeira, sócio do escritório COTS Advogados, relata que a busca por serviços de adequação teve início com clientes multinacionais, em razão da General Data Protection Regulation (GDPR), legislação vigente na Europa. Ele explica que, com a aprovação da LGPD no Brasil, passaram a surgir demandas como consultorias em projetos de desenvolvimento de produtos e serviços, elaboração e análises de contratos e relatórios sob a ótica da privacidade e da proteção de dados e maior procura pelos serviços de um DPO. O advogado também destaca as seguintes medidas:

Serviços relacionados à governança de dados pessoais: fazem parte deles a elaboração de normas e políticas sobre o tema e due diligences que envolvam a análise de risco em contratação de fornecedores, parceiros e fusões e aquisições;

Incidentes relacionados a dados pessoais: neste tema, estão as demandas de apoio jurídico nos planos de resposta a incidentes, nas atividades de investigação corporativa e na mitigação de riscos relacionados às ocorrências com dados pessoais.

Em relação às demandas mais trabalhosas de se implementar nas companhias, João Pedro vai além das questões técnicas e ressalta a dificuldade em conscientizar e aculturar as pessoas sobre a privacidade e a proteção dos dados pessoais, por não serem matérias que necessariamente são observadas pelas pessoas diariamente e enfrentarem alguma resistência por parte dos clientes.

“Para que uma organização tenha a privacidade e a proteção de dados incorporada em sua cultura organizacional, não basta apenas a redação de documentos e o estabelecimento de políticas. É necessário todo um desenvolvimento dos colaboradores, que é dificultado pela falta de conhecimento prévio do tema e exige grande esforço e criatividade, permitindo às pessoas a absorverem e aplicarem os conhecimentos necessários”, afirma João Pedro Ferraz, sócio do COTS Advogados.

Por fim, seguindo a mesma linha de Ricardo sobre a importância da contratação de um escritório para auxiliar em demandas de adequação, João Pedro enfatiza a necessidade e carimba esta medida como essencial, tendo em vista que a regulamentação da LGPD não está completa e traz muitas obrigações e responsabilidades, sem indicar uma forma objetiva de atendê-las. Ele aponta o dever do profissional especializado em saber orientar seus clientes quanto aos meios para atingir os objetivos e requisitos da legislação pois, de acordo com o sócio, de nada adianta conseguir proteger os dados pessoais se a utilização deles pela empresa é invasiva, lesiva ou prejudicial aos seus titulares.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post A importância da LGPD na implementação das empresas apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

De forma objetiva, ser consultor demanda conhecer a lei e responder questionamentos referentes à proteção de dados pessoais, dando subsídios e pareceres, por exemplo. Quando se atua em um projeto de adequação, a participação é global, pois o profissional atua em mapeamentos de dados pessoais, tem contato direto com fluxos e processos internos, elabora documentos de implementação e atua com demandas de boas práticas. A atuação como DPO requer conhecimento da LGPD, conhecimento de segurança da informação, contato com titulares de dados pessoais e com Autoridade Nacional de Proteção de Dados (ANPD), além de grande conhecimento em situações (e soluções!) práticas, bem como a gestão de tudo o que envolve privacidade e proteção de dados pessoais dentro da organização.

Dito isso, o intuito é discorrer sobre a importância do mapeamento de dados pessoais (data mapping) que, apesar de algumas vezes ser colocado em segundo plano, quando comparado com outros trabalhos, é o coração do projeto. E por que o coração? Por definição, o coração tem como função primordial garantir que o sangue seja enviado para todas as partes do nosso corpo, ou seja, é o que nos mantém vivos. Aqui, o paralelo cai como uma luva: sem um mapeamento correto, a tendência é que o projeto esteja fadado ao insucesso, não sobrevivendo à mais simples auditoria, por insuficiência da profundidade do entendimento sobre o cotidiano do tratamento dos dados pessoais e deixando a organização à mercê de problemas de privacidade e proteção de dados pessoais, por consequência.

Aqui, usar o vocábulo coração pode parecer exagerado, no entanto, pare e pense: se o mapeamento for feito incorretamente, apresentando lacunas, consequentemente, a implementação também será incorreta. Se a implementação de fluxos, processos, medidas e controles for incorreta, logo, a empresa não estará adequada e, consequentemente, ficará exposta à possíveis sanções administrativas e judiciais.

Na realização de um mapeamento manual ou via sistema, de forma muito resumida, são verificados: dados pessoais tratados, fluxos, análise de processos, volumetria, transferências para terceiros, transferências internacionais, ciclo de vida dos dados, tipos de medidas de segurança existentes nos fluxos e processos, dentre outros. Compreenda que, se você esquece de mapear determinado dado ou indica uma base legal que não condiz com o tratamento que a empresa realiza, essa organização terá resultados inadequados e possíveis prejuízos financeiros.

Ao mapear, algumas questões são de suma importância: Como estruturar documentos, sem saber quais dados efetivamente são tratados? Como criar políticas e procedimentos, sem conhecer formas e períodos de armazenamento? Sem saber quais tipos de transferências são realizadas? Como é feita a governança dos dados? Como sugerir medidas de adequação sem conhecer os fluxos e os processos que envolvem os dados pessoais?

Fazer a gestão de data mapping é algo trabalhoso, que demanda paciência, minúcia e foco, além de um bom conhecimento de medidas de segurança. E, digo isso, por experiência prática diária. Entender a importância de cada dado pessoal dentro de fluxos e processos e entender sobre governança de dados coopera para que o mapeamento seja completo e adequado.

Claro que, quanto mais se mapeia, mais se aprende, porém, a responsabilidade é grande e toda atenção é necessária. Da mesma forma que não se resolve tudo somente com certificados, também não se resolve com práticas viciadas.

Há a necessidade de um equilíbrio entre estudos, conhecimentos e práticas, que viabilizem a realização correta e completa do data mapping, entregando aos clientes projetos reais e finalizados de adequação à LGPD.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Mapeamento de dados pessoais: o coração do projeto! apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

privacidade de dados pessoais, desdobramentos da aplicação da LGPD e entrevistas com empresários e autoridades de diferentes setores sobre a conformidade das organizações à nova lei de proteção de dados do país.

A apresentação será dos advogados especialistas em Direito Digital, Paulo

Vinícius de Carvalho Soares e Ricardo Freitas Silveira, sócios da Lee, Brock Camargo Advogados (LBCA). Os convidados especiais do programa inicial serão Fabrício da Mota Alves, representante do Senado Federal no Conselho Nacional de Proteção de Dados Pessoas e da Privacidade (ANDP) e sócio do Serur Advogados, e Fernando Torelly, novo superintendente corporativo (CEO) do HCor, executivo com grande experiência no setor de saúde.

Segundo os apresentadores, a ideia do programa é atualizar e agregar informação sobre a nova Lei Geral de Proteção de Dados (LGPD), assim como tirar dúvidas jurídicas e orientar empresas e departamentos jurídicos sobre a adequação à nova lei, além de dar dicas aos consumidores sobre seus direitos como titulares de dados.

Para assistir, acesse o link https://www.linkedin.com/showcase/lgpd

O post LGPD Brasil LANÇA TALK SHOW SOBRE LEI DE PROTEÇÃO DE DADOS apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

No auge da tecnologia e da inovação, e com as mais diversas ferramentas de segurança à disposição, sempre há a possibilidade de ocorrer um ataque hacker.

O famoso Hacking é a aplicação de tecnologia ou o conhecimento técnico para suplantar algum tipo de problema ou obstáculo e, sempre que se ouve esse termo, ele acaba passando uma imagem de perigo e uma conotação negativa.

Isso ocorre, pelo fato de ataques hackers, com frequência, estarem vinculados à roubos de dados e/ou invasões de ambientes, de forma ilegal, ainda que o hacker seja uma pessoa com um conhecimento profundo de informática e computação, que trabalha desenvolvendo e modificando softwares e hardwares de computadores, não necessariamente para cometer algum crime.

É notório que, hackers atacam de diversas maneiras, sempre inovando, o que além de dificultar a prevenção, acaba por tornar a luta desigual, no entanto, nem tudo está perdido. Hoje, encontra-se o termo Ethical Hacking (Hacking Ético), conceito que traduz uma forma legal de exercer o hacking.

A ética é o conjunto de valores morais, ensejando sempre um tom de normas e valores. Nessa toada, esse profissional tem habilidades que permite encontrar vulnerabilidades, evitando os ataques maliciosos de hackers, atuando com base em autorizações e de acordo com a lei.

Utiliza, por exemplo, testes de penetração (pentests), reúne grande conhecimentos em redes e sistemas, e opera de forma a estar um passo à frente daquele que pretende burlar as normas.

Muitas empresas têm procurado integrar esses profissionais aos seus times de tecnologia e segurança da informação, por uma série de razões: Uma delas é para poderem entregar produtos mais testados, ou seja, com um menor índice de correção de eventuais defeitos ou “bugs”, como são popularmente conhecidos.

Outro motivo, apoiado pela vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, seria porque esses profissionais, também conhecidos como White Hats (Chapéus Brancos), tornaram-se importantes aliados de um Sistema de Gerenciamento de Segurança da Informação (SGSI) assertivo, pois eles auxiliam de forma ética a evolução de programas de privacidade e governança, com suas habilidades e conhecimentos práticos, acessando sistemas de forma autorizada.

Um exemplo prático, seria quando uma empresa contrata um Ethical Hacker para invadir sua rede e testar suas defesas, verificando as vulnerabilidades existentes em seu ambiente tecnológico. Através desse tipo de ação, fica mais fácil verificar o nível de exposição e recomendar as melhores contramedidas de segurança.

Importante dizer que, além do estabelecimento de um contrato, quando da contratação de um Hacker Ético, é essencial a elaboração de um acordo de não divulgação e de um termo de confidencialidade, a fim de proteger ambas as partes: o sigilo das informações da empresa e o resguardo do profissional, para a realização das atividades contratadas.

Diante de todo este cenário, o ponto interessante é que, além de contar com toda uma evolução tecnológica, aqui um paradigma é quebrado, conseguindo demonstrar o lado cooperativo e positivo do hacking, de forma a contribuir com a segurança das informações.

É uma “virada de chave” que abre espaços profissionais e coopera para a cultura da privacidade e da proteção de dados dentro das organizações.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Conheça o Ethical Hacking apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

O post Falta de punição incentiva crimes digitais apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1.Qual foi o gatilho mais recente dessa discussão?

A morte por asfixia de uma adolescente em Palermo, na Itália, que realizava o desafio “Blackout Challenger” em uma plataforma digital muito popular entre crianças e adolescentes, que reacendeu o debate sobre quais devem ser os níveis de proteção de menores no universo digital. Os pais desconheciam que a filha participava do desafio, que consistia em colocar um cinto em volta do pescoço, prender a respiração e filmar.

2.Quais as medidas tomadas pela Autoridade de Dados da Itália?

Proibiu o tratamento de dados de usuários que estejam em território italiano, quando não for possível ter certeza sobre sua idade. Plataformas que não provarem que os usuários têm idade mínima legal não poderão operar na Itália. O debate destaca a questão sobre a responsabilidade de plataformas acessadas por menores, havendo necessidade de minimização na coleta de dados, consentimento dos responsáveis e transparência no tratamento de informações sensíveis.

3.Há um consenso sobre a idade mínima?

A GDPR Europeia (General Data Protection Regulation) em seu Artigo 8º prevê a idade limite de 16 anos para acesso a serviços de sites, aplicativos e plataformas, mas autoriza que os Estados membros tenham a liberdade para baixar o limite para 13 anos desde que haja verificação se o consentimento foi dado efetivamente pelos pais ou responsáveis. Há críticas sobre essa normatização porque não separa crianças e jovens, sendo que para esses últimos o universo digital tem um peso de engajamento social mais relevante do que para crianças menores.

4.Como a LGPD assegura a proteção de dados de menores no Brasil?

O tratamento de dados de crianças e adolescentes está previsto no Artigo 14º da lei brasileira e tem foco no consentimento, mas não temos uma regulamentação específica sobre a forma de verificação da identidade de quem dá o consentimento (pais ou representante legal) para coleta de dados sensíveis de menores, o que pode vir a acontecer com a ampliação da atuação da Autoridade Nacional de Proteção de Dados (AMPD). Vale destacar que no Brasil, temos uma diferenciação entre crianças e adolescentes, prevista no Estatuto da Criança e Adolescentes (ECA), sendo considerado criança, aquele na faixa etária de 0 a 12 anos incompletos e adolescentes, de 12 a 18 anos.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Faixa etária entra no debate sobre a proteção de dados sensíveis apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

A nova rede social Clubhouse, apesar de lançada em março/abril de 2020, se tornou no início deste ano um dos assuntos mais comentados na Internet, mais procurados(1) em provedores de buscas e com maior número de downloads(2).

Acontece que, mesmo sendo uma ferramenta de contornos transnacionais, o usuário precisa estar atento às orientações peculiares dessa nova plataforma.

O propósito da ferramenta é viabilizar a comunicação entre usuários exclusivamente por meio de áudios/conversas em tempo real. Ou seja, as informações não ficam arquivadas e não há espaço para vídeos, comentários, curtidas, textos ou fotos, ressalvada a imagem de perfil do usuário.

O Clubhouse, portanto, permite ao usuário, a partir do registro de domínio, a criação e/ou a participação em salas de bate-papo por voz organizadas por temas, fomentando assim conversas variadas com pessoas ao redor do mundo.

Dentro de cada sala – que pode ser privada ou pública -, o usuário pode ser um moderador, organizando e gerenciando conversas; um alto-falante, podendo falar abertamente nas conversas; ou um mero ouvinte que entra nas conversas no modo mudo.

As infinitas possibilidades de interações ao vivo despertam o interesse da sociedade. O fato de a rede social ser uma novidade já utilizada por muitas celebridades nos Estados Unidos e no Brasil, porém, além de potencializar o “FOMO” – Fear of Missing Out ³, faz com que seja necessário também chamar a atenção à parte das regras previstas nos Termos Serviço(4), Políticas de Privacidade(5) e Diretrizes(6) – documentos estes dificilmente lidos pela maioria da população no momento da aceitação – as quais merecem ser compreendidas pelos atuais e futuros usuários, considerando os desafios jurídicos que surgiram e ainda podem surgir.

Antes de tudo é preciso observar que a desenvolvedora da rede social, Alpha Exploration Co., encontra-se localizada na Califórnia, de modo que todos os direitos e deveres relacionados ao aplicativo são regidos pela legislação local. Ainda, não há qualquer sociedade constituída fora dos Estados Unidos a fim de representar ou revender, por exemplo, no Brasil, o(s) produto(s) desenvolvido(s) pela empresa.

Da análise das regras e diretrizes da plataforma, algumas podem ser consideradas mais polêmicas. Nota-se que há canais de contato e reclamação, à luz de normas consumeristas, especificamente para usuários da Califórnia.

A ferramenta também prevê que podem ser coletadas informações de utilização da rede social pelo usuário, como o tipo de conversa mantida, os conteúdos de interesse e os dados dos contatos da agenda dos usuários. Não é permitido tentar gravar, salvar, transcrever ou reproduzir conversas, sendo que a única exceção é a retenção temporária do conteúdo pelo Clubhouse quando há denúncia de violação por usuário enquanto a sala está ao vivo.

Ainda, durante o atual período de teste, o ingresso no aplicativo depende do convite de membro que já utiliza a plataforma, o qual poderá ser responsabilizado/banido na hipótese de o convidado violar alguma regra prevista.

Diante disso, o primeiro desafio que surge com o Clubhouse refere-se à questão da privacidade de usuários e à eventual adequação da rede social às legislações como o GDPR (General Data Protection Regulation) e a LGPD (Lei Geral de Proteção de Dados).

Como dito, a ferramenta observa a legislação local e leva em consideração os direitos dos titulares dos dados sob o California Privacy Act, mas não indica um DPO (Data Protection Officer) responsável pela proteção de dados pessoais da empresa, fornecendo somente um e-mail da área de suporte.

Os usuários internacionais são informados apenas de que, com a utilização do serviço, os dados são transmitidos aos Estados Unidos, onde são utilizados pelos servidores dos parceiros tecnológicos da empresa operadora.

Ademais, o Clubhouse transfere ao usuário a responsabilidade das informações, ou seja, as restrições relevantes não são trazidas de forma clara, abrindo amplamente as opções para a empresa operacional.

O segundo desafio diz respeito à facilidade com que as pessoas emitem opiniões sem deixar qualquer rastro, podendo assim transformar a ideia de troca, oportunidade de networking e conexão pregada pela rede social diante do aumento de discursos de ódio, formas de racismo e outros abusos. Nessa situação, como poderia o(s) usuário(s) ofendido(s) tomar providências com relação a terceiros que excederem os limites? Como garantir a identidade daqueles que ingressam na rede social? Como poderiam eventuais indícios de ocorrência de ilícito serem comprovados?

Ainda que as diretrizes da rede social vedem expressamente qualquer abuso, não há como impedir ou prever o que será dito pelos usuários, na mesma medida que poderá não haver, na hipótese de ausência de denúncia em tempo hábil, formas de atestar o que foi dito e por quem foi dito a fim de reparar eventual lesão.

O terceiro desafio que chama a atenção refere-se à monetização. Sabe-se que redes sociais se tornaram, há alguns anos, a principal fonte de receita de profissionais. Com isso, como poderiam os usuários que geram conteúdos relevantes receberem valores a partir do Clubhouse?

Uma das ideias da plataforma é funcionar como um serviço de crowdfunding, permitindo a determinados usuários/criadores de conteúdo que recebam fundos diretamente de seu público, enquanto a rede social ficaria com um percentual referente às transações.

Também há estudos que avaliam a possibilidade de introdução de planos diferenciados ao usuário (premium) e anúncios/publicidade. Além disso, outras alternativas que ainda podem ser consideradas são a “venda” de ingressos para a participação em determinada sala, sendo, por exemplo, um bate-papo em que o fã possa falar diretamente com seu ídolo; ou a criação de “clubes”, grupos pagos ou patrocinados dentro da ferramenta.

Nesta perspectiva, como ficaria a discussão relacionada aos valores repassados para os usuários e a tributação envolvida? Na hipótese de intercorrências na plataforma, como acompanhar o engajamento na rede social e como/de quem cobrar eventuais quantias?

Quais as regras que precisam ser seguidas para fins de eventual publicidade/remuneração? O usuário pode ser banido na hipótese de cobrar valores de outros, enquanto a rede social não atua como intermediária de pagamento? Poderia ser permitida a venda de convites para novos usuários por atuais membros da rede social?

A pessoa que supostamente transferir valor a outro usuário a fim de, por exemplo, assistir a uma palestra, poderá cobrar a restituição da quantia, caso o evento planejado na plataforma não ocorra? A depender da conversa, seria importante manter a sala de bate-papo fechada e elaborar um contrato “fora da rede social” para lastrear o evento virtual, bem como as eventuais condições de pagamento?

O quarto desafio que se pode mencionar a título de exemplo, por fim, refere-se aos limites de jurisdição da rede social. Uma vez que cada Estado é soberano e define suas leis internamente, foi relatado que, na última segunda-feira (08/02), o Clubhouse teria tido seu funcionamento interrompido na China por viabilizar discussões que desagradam o governo local.

Quando os usuários tentavam acessar o aplicativo, aparecia uma mensagem de erro informando que “não podia ser feita uma conexão segura com o servidor”, embora muitas pessoas relatem continuar usando a rede social por meio de VPN, apesar desta tecnologia ser monitorada pelo governo chinês que, com efeito, considera ilegal qualquer VPN não aprovado.

Considerando todos os aspectos jurídicos aqui envolvidos, conclui-se que eventual regulação do Clubhouse, neste momento, ocorrerá através de arquitetura e normas sociais. Conforme ensina Lawrence Lessig, há quatro modalidades de regulação na Internet: direito, normas sociais, mercado e arquitetura.

Acredita-se que a arquitetura do aplicativo, a maneira como esse é desenvolvido e as condições estabelecidas para uso, afetará diretamente no controle e nas liberdades proporcionadas pela rede social.

De outro lado, normas sociais como costumes ou qualquer outra manifestação com fundo normativo – emanado de comunidades – pode auxiliar no uso da ferramenta, uma vez que eventuais denúncias e o convite para novos usuários de membros da rede social serão fundamentais para a vida saudável da rede social, além da possibilidade de se combinar “fora da plataforma” a realização de eventos dentro da rede social e suas condições.

Assim, sem prejuízo das modalidades de regulação e dos desafios inerentes ao Clubhouse, é preciso que a sociedade adquira o hábito de ler e de tentar compreender os Termos de Serviço, Políticas de Privacidade e Diretrizes da rede social de modo a evitar problemas futuros.

De toda sorte, na hipótese de surpresas ou interesses que careçam de providências jurídicas, é necessário que usuários e futuros usuários contem com profissionais qualificados capazes de prevenir litígios e de buscar mecanismos de cooperação judiciária internacional para resolver conflitos, se necessário.

3. A FOMO é a sigla da expressão em inglês “fear of missing out”, que em português significa algo como o “medo de ficar de fora”, e que se caracteriza por uma necessidade constante de saber o que as outras pessoas estão fazendo. Síndrome de FOMO é a patologia psicológica que se produz pelo medo a ficar fora do mundo tecnológico ou a não se desenvolver ao mesmo ritmo que a tecnologia.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Quatro desafios jurídicos da nova rede social Clubhouse apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Com esse novo vazamento de dados pessoais, o Brasil entrou no ranking dos maiores vazamentos do mundo?

Sem dúvida, até porque em decorrência da pandemia da Covid-19, em 2020, a segurança virtual ficou em xeque e os ataques de hacker cresceram e se sofisticaram, ampliando seu raio de ação. O ranking dos maiores vazamentos tem grandes empresas de tecnologia, de gerenciamento de TI, redes hoteleiras, empresas de videogame, plataforma de redes sociais, mas o Brasil com os dois últimos vazamentos de CPFs e celulares passa integrar a lista dos TOP10 mundial.

Isso pode trazer insegurança jurídica?

Se há alguma fragilidade na aplicação da lei, na expectativa da decisão judicial ou na proteção do Estado ao direito violado isso cria insegurança jurídica. Até a vigência das sanções previstas na Lei Geral de Proteção de Dados (LGPD), em agosto deste ano, podemos viver uma insegurança jurídica parcial, por falta de regramento. A LGPD tem 58 artigos sobre proteção de dados e muitos dependem de regulamentação por parte da ANPD, como o artigo 49, que estabelece a estrutura dos sistemas para tratamento de dados que devem observar requisitos de segurança e governança.

Qual o papel da Autoridade Nacional de Proteção de Dados?

É fundamental para aplicarmos a LGPD em sua totalidade. Cabe à ANPD zelar, implementar e fiscalizar o cumprimento da LGPD, assim como elaborar as diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e ter funções de orientação e educação de empresas e da sociedade.

O Brasil tem tradição em proteção de dados?

Comparativamente à União Europeia, que tem uma tradição de décadas em proteção de dados pessoais, no Brasil ainda está engatinhando e criando uma cultura nesse sentido. Mas acredito que esses megavazamentos serão um aprendizado para os usuários ,os mais afetados, empresas, Judiciário e Poder Público.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Vazamentos de dados trazem insegurança jurídica? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.