A criptografia, hoje tida como a rainha das medidas técnicas de segurança, de forma simplificada, é a construção e análise de protocolos que impedem terceiros, ou o público, de lerem mensagens privadas. Mas se a LGPD não faz menção a ela, qual seria a relação existente? Essa área da criptologia cifra a escrita, tornando-a ininteligível. E é exatamente aqui que encontramos o cruzamento entre criptografia e LGPD!

Tratando ainda da parte conceitual, conforme traz Bruno Fraga em “Técnicas de Invasão, 1ª edição”: “Mecanismos de criptografia permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para isso algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração”.

A LGPD, em seu artigo 48, §3º, estabelece que “no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los”. E aqui é traçada a importância da ininteligibilidade, que poderá servir de atenuante quando das aplicações de sanções pela Autoridade Nacional de Proteção de Dados (ANPD).

• Leia também: Advogados abordam entrada em vigor da LGPD

A criptografia não somente objetiva proteger as informações, mas também que elas sejam veiculadas de forma segura, ainda que seja utilizado um canal inseguro, preservando a integridade, a confidencialidade e a disponibilidade dos conteúdos. A título de curiosidade, seguem alguns exemplos de tipos de criptografia: chave simétrica (modelo mais comum), chave assimétrica, data encryption standard (DES), secure and faster ecryption routine (Safer), international data encryption algorithm (Idea) e advanced encryption standard (AES). Mas, obviamente, o detalhamento ficará para um artigo mais técnico e específico.

Ainda no tocante às sanções, ensina a Lei Geral de Proteção de Dados Pessoais, em seu artigo 52, §1º, VIII, que elas serão aplicadas “de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios”; sendo assim, fica clara a importância da adoção de medidas de segurança, bem como a necessidade de conseguir evidenciá-las.

Nos tribunais, inclusive, o tema criptografia já tem se mostrado presente, como por exemplo no caso em que a 3°Turma do Superior Tribunal de Justiça (STJ) decidiu que o WhatsApp não pode sofrer sanções por não entregar informações requisitadas pelo próprio Poder Judiciário diante da impossibilidade técnica de contornar o sistema de criptografia de ponta a ponta utilizado no aplicativo (Recurso em Mandado de Segurança 60.531). Ou seja, fica claro que a criptografia é uma medida essencial, que cumpre seu objetivo de manutenção de sigilo e de proteção aos dados, quando necessário.

Logo, mesmo que a criptografia não seja obrigatória por lei, ela é uma das medidas mais seguras atualmente e utilizá-la é uma boa prática quando se fala em proteção de dados pessoais, e, além disso, acaba por se tornar um diferencial competitivo, pois empresas que preservam a privacidade preferem negociar com organizações que se mostram atualizadas e preocupadas com a proteção de suas informações.

Claro que há diversas medidas de segurança físicas, organizacionais e técnicas que podem e devem ser tomadas, no entanto, a criptografia, independentemente do tipo, traz uma bagagem de segurança razoável, afim não só de evitar a descodificação de mensagens particulares e sigilosas, mas também de demonstrar boa-fé por parte dos agentes de tratamento e atenuar ou evitar possíveis sanções administrativas e judiciais.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post A LGPD não faz referência à criptografia? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Inicialmente, é importante notar que a LGPD é pautada em proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, claramente em acordo com o disposto no inciso X, do artigo 5º da Carta Magna de 1988, que considera invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas. Logo, independentemente do tipo de tratamento, a privacidade sempre será privilegiada, considerando as exceções mencionadas pela LGPD.

Ainda, a referida Lei tem diversos fundamentos constitucionais, incluindo os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais (artigo 2º, inciso II), em clara consonância com o artigo 1 da Declaração Universal dos Direitos Humanos, proclamada em 10 de dezembro de 1948, que esclarece que todos os seres humanos nascem livres e iguais em dignidade e direitos (um trecho autoexplicativo!).

No decorrer da leitura da LGPD, fica transparente o objetivo de amparar a pessoa natural quando do uso de seus dados, evitando, inclusive, qualquer tipo de preconceito, o que se compreende através da definição dada para o dado pessoal sensível (artigo 5º, inciso II da LGPD) e indo ao encontro do disposto no artigo 2 da referida Declaração, que detalha que todo ser humano tem a capacidade de gozar de seus direitos, sem distinção de qualquer espécie. Dessa forma, é notório que os tratamentos envolvendo dados pessoais jamais poderão ser discriminatórios, abusivos ou ilícitos.

Nessa toada, traz o artigo 18, os direitos dos titulares de dados (acesso aos dados, correções, eliminações, dentre outros), não somente para evitar abusos de direitos, mas também, permitindo o empoderamento do titular, aqui pessoa física, através, por exemplo, da autodeterminação informativa. Por isso, ao pensar em um fluxo de atendimento aos titulares, por

exemplo, não somente são importante ferramentas e KPIs (Key Performance Indicator) – Indicador-chave de desempenho – mas também se, de fato, o titular terá a possibilidade de exercer os direitos que lhe foram concedidos.

Claro que há a necessidade de verificar a forma do tratamento dos dados pessoais, levando em consideração a tecnologia e a segurança da informação, bem como a proteção à continuidade dos negócios das empresas e da manutenção de uma boa economia. No entanto, esse caminho será validado com base na forma em que os direitos fundamentais das pessoas são abordados e qual o nível de respeito quando de suas aplicações.

Ao trazer as hipóteses de tratamento, o artigo 7º, em seu inciso VII, traz a possibilidade de uso dos dados pessoais no caso de proteção da vida ou da incolumidade física do titular ou de terceiros, em conformidade com o artigo 25 da Declaração Universal de Direitos Humanos, que estabelece que todo ser humano tem direito a um padrão de vida capaz de assegurar a si e à sua família saúde, bem-estar. Através dessa base legal, fica claro que, ainda que o titular não possa permitir a utilização de seu dado, em certo momento, se for para a preservação da vida, esse dado será tratado, independentemente de seu consentimento.

• Leia também: Impactos da LGPD no RH

Um dos direitos extremamente importantes é mencionado no artigo 20, dispondo que “o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses…”. Ou seja, por mais evolução e tecnologia existentes, além das medidas de segurança aplicadas, não seria correto que um titular ficasse à mercê de decisões puramente automatizadas, principalmente, a fim de evitar qualquer tipo de discriminação ou juízo de valor, cumprindo, nessa linha de raciocínio, o princípio da não discriminação no inciso IX, do artigo 6º da LGPD. E aqui, vincula-se o assunto também ao artigo 2 da Declaração Universal de Direitos Humanos, bem como ao artigo 3º, inciso IV, da Constituição Federal de 1988, que trata sobre a promoção do bem, sem preconceitos de origem, raça, sexo, cor, idade e quaisquer outras formas de discriminação.

Os direitos trazidos pela LGPD, aos titulares de dados pessoais, geram um empoderamento no que tange aos seus dados pessoais, embasados, especialmente, pelo direito à autodeterminação informativa, que de forma simplificada, é a possibilidade do referido titular ter o controle sobre como seus dados pessoais serão tratados. O objetivo é a proteção da privacidade do titular em face dos riscos trazidos por toda evolução tecnológica na atualidade e, ainda que o direito à autodeterminação informativa não seja absoluto, ele propõe um nível de proteção maior às pessoas físicas, aqui, titulares de dados pessoais, quanto à sua personalidade e intimidade.

Por certo, estamos longe de esgotar o assunto, no entanto, é válido mostrar a relação direta entre ambos os institutos, bem como entender a importância de possibilitar que os titulares consigam exercer seus direitos, tal como de tratar corretamente todos os dados pessoais.

Obviamente, a LGPD é uma lei que tem como maior objetivo a proteção aos dados pessoais e, para isso, utilizará de artefatos como tecnologia e suas ferramentas inovadoras. No entanto, o foco é muito maior na cautela com a privacidade e intimidade do ser humano do que em validar inovações tecnológicas.

• Leia também: Dispositivos da LGPD aplicados ao setor hospitalar

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post A LGPD interpretada como uma lei de Direitos Humanos apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1. Por que é importante o Judiciário estar em conformidade com a LGPD?

O Judiciário detém um grande volume de informações e dados pessoais de cidadãos envolvidos em cerca de 100 milhões de processos em tramitação na Justiça nacional. Se pensarmos que cada ação tem dois polos é a quase a totalidade da população brasileira, sendo que a LGPD é aplicável tanto à empresa privada quanto à pessoa jurídica de direito público. No caso do setor público, há uma ressalva: a LGPD permite o tratamento e uso compartilhado de dados , quando for necessário para executar políticas públicas estabelecidas em leis e regulamentos.

2. Haverá uma uniformização nos 93 tribunais do país quanto?

Sim, inicialmente o CNJ editou a Recomendação 73/2020 sugerindo aos tribunais que adotassem as medidas de estudos para aplicação da LGPD. Sem a resposta adequada das Cortes , o Conselho aprovou a Resolução 363/2021, estabelecendo medidas mais impositivas para que os tribunais estejam em conformidade com a Lei Geral de Proteção de Dados, gerando procedimentos padronizados.

3. O que propõe essa Resolução?

Criar um Comitê Gestor de Proteção de Dados Pessoais (CGPD), com caráter multidisciplinar, para  implementar a Lei 13.709/2018 (LGPD). Os tribunais terão de capacitar seus membros e designar o Encarregado pelo tratamento de dados denominado no mercado como DPO (Data Protection Officer); implantar formulário eletrônico ou sistema para atender às requisições ou reclamações dos titulares de dados; criar o canal de atendimento por meio das ouvidorias dos Tribunais; fluxo de atendimento aos direitos dos titulares; criar um site com informações sobre a aplicação da LGPD aos tribunais; disponibilizar informação adequada sobre o tratamento de dados pessoais tais como o uso de cookies e sua respectiva política de proteção de dados. O Encarregado será o elo de ligação entre os tribunais e a Autoridade Nacional de Proteção de Dados (ANPD), que tem competência prevalente quando a questão envolver proteção de dados pessoais. Em linhas gerais, a resolução deverá cumprir o disposto na Lei 13.709/2018, estabelecendo procedimentos adequados para a implantação da proteção de dados pessoais.

4. E a questão da segurança dos dados?

É importantíssima . Vimos que no ano passado, por exemplo, o Superior Tribunal de Justiça (STJ) sofreu um ataque de hacker, que interrompeu todas as suas atividades e pode ter exposto dados pessoais de milhões de cidadãos . Na Resolução 363/2021, o CNJ recomenda que as cortes implementem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

5. A iniciativa do CNJ é positiva?

Sim, é muito relevante porque se traduz em segurança e benefícios para os próprios Tribunais – que terão sua autonomia preservada na implementação da LGPD -, para os operadores do Direito e para os cidadãos, que recorrerem à Justiça em busca de solução para seus litígios e precisam ter seus dados pessoais resguardados.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Avança na justiça a normatização para aplicação da LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

O ponto de dificuldade é encontrado na hora de aplicar a teoria à prática.

Clientes enviam os mais diversos questionamentos, diariamente, e para muitas das perguntas ainda não há respostas exatas ou tão simples como se vende no mercado.

Um dos tópicos mais interessantes é a tal da Privacy by Design: o que é e como aplicá-la em determinadas atividades. Essa foi uma pergunta real de um cliente, durante uma reunião sobre LGPD.

Privacy by Design e LGPD

Privacy by Design, de forma objetiva, é utilizar a privacidade desde a concepção do projeto, produto ou serviço, integrá-la desde a criação (a mantendo posteriormente, durante a execução).

Para executá-la, a realização de um PIA (Privacy Impact Assessment), que é um processo que ajuda as organizações a identificar e gerenciar os riscos de privacidade decorrentes de novos projetos, iniciativas, sistemas, processos, estratégias, políticas, relações de negócios, se torna uma facilitadora.

O objetivo é analisar, antes de qualquer tomada de decisão, se o novo projeto, produto ou serviço não irá de encontro ao que dispõe as leis vigentes de privacidade.

No Brasil e na LGPD, não se encontra referência ao PIA, no entanto, ele pode ser utilizado como boa prática, se adequando ao que dispõe os artigos 46 e 50 da LGPD, que tratam de medidas de segurança e boas práticas.

• Confira mais no nosso Guia LGPD Simplificada

Com base no que estabelece a autoridade nacional francesa, o CNIL (Comission Nationale de L’Informatique et des Libertés), o Privacy Impact Assessment se pautaem: (i) princípios e direitos fundamentais não negociáveis, estabelecidos em leis que devem ser respeitados e não podem ser alterados, independentemente da natureza, gravidade, ou avaliação de riscos; e (ii) gerenciamento dos riscos à privacidade dos titulares, os quais determinam as medidas de controle, técnicas e administrativas, à proteção dos dados pessoais.

Privacy Impact Assessment e LGPD

O Privacy Impact Assessment (PIA) tem um foco direcionado para a privacidade, envolvendo proteção de dados pessoais e segurança da informação, e geralmente é realizado quando há a criação de um novo produto/serviço ou a aquisição de uma nova empresa. Inclusive, é uma avaliação utiliza quando da aquisição de novos sistemas, por exemplo.

Quando da ocorrência do assessment, alguns pontos são relevantes, para que o PIA atinja seu objetivo: quais atividades necessitam de PIA, ter informações sobre o projeto, produto ou serviço, saber a forma que os dados são coletados, transferidos, armazenados e descartados, quais as medidas de segurança existentes, se há utilização de cookies, dentre outros.

A sugestão para estrutura é criação do PIA, preenchimento do PIA, análise do PIA, validação final e acompanhamento do projeto, produto ou serviço.

Ainda que haja diversas ferramentas, apoio tecnológico e inovador, a privacidade tem que partir sim, de dentro para fora da organização. Mesmo que não seja uma obrigação legal, adotar melhores práticas coopera para um ambiente seguro.

A conscientização de todos os envolvidos no tratamento de dados pessoais e privacidade, bem como ter uma consultoria jurídica especializada em proteção de dados pessoais, já colabora para que o caminho seja mais tranquilo.

Executar, avaliar e evidenciar a prevenção é essencial, não apenas para o cumprimento das legislações vigentes, mas também para evitar prejuízos financeiros e fortalecer a relação de confiança e transparência entre as empresas e consumidores.

Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV

Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV

Surprisingly, A Massive And Ongoing Apple Privacy Breach Is Thanks To Apple’s Security Focus

Direito e Tecnologia

No site LGPD Brasil você também acompanha artigos excelentes sobre a legislação brasileira e internacional relacionada à LGPD, tecnologia e segurança da informação.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post LGPD: aplicação do PbD e introdução do PIA (Privacy Impact Assessment) apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

A sociedade contemporânea tem como característica amplo acesso a dados e informações. A internet é o principal vetor de compartilhamento instantâneo de dados, sem respeito às fronteiras geográficas e globais. Para se ter ideia, só em 2021, o tráfego global de dados móveis deve chegar a 49 exabytes por mês. A internet, nesse contexto, é um elemento que transcende o usuário à informação, gerando conexões, criando uma base gigantesca de dados.

Seria ingênuo, portanto, acreditar que essa transformação da realidade provocada pelo fluxo maciço de informações não traria consequências à privacidade, ainda mais com a chegada da Lei Geral de Proteção de Dados. A LGPD, em vigor desde agosto de 2020, é um marco histórico legislativo à proteção da intimidade. Ela confere maior transparência e controle sobre a coleta e tratamento de dados analógicos e digitais. Positivamente, a legislação proporcionou ao Brasil a entrada no rol de países que protegem os dados pessoais e sensíveis de seus cidadãos.

Via de regra, os artigos 4º e 7º da Lei nº 13.709, de 2018, estabelecem as hipóteses em que a legislação não se aplica ao tratamento de dados pessoais e as circunstâncias em que o tratamento de dados poderá ser realizado.
Dentre elas, vale destacar os trabalhos jornalísticos, artísticos e acadêmicos (artigo 4º, II e III), dados
pessoais cujo acesso é público (parágrafo 3º do artigo 7º), realização de estudos por órgão de pesquisa (artigo 7º, IV) e, para as situações não previstas, quando houver legítimo interesse (artigo 10). O artigo 18, VI, da LGPD, por seu turno, prevê que o titular de dados pessoais, tem o direito à “eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 desta
Lei.”

Em outras palavras, a Lei Geral de Proteção de Dados indica quais as hipóteses em que se admite a coleta e o tratamento de dados, e as situações em que os dados poderão ser anonimizados ou eliminados.

Nessa perspectiva, em razão de o titular de um dado pessoal ter a prerrogativa de solicitar, dentro das hipóteses legais, o bloqueio, a eliminação ou anonimização de dados pessoais, surgiu a preocupação de que a lei pudesse, em certa medida, dar azo a pedidos de anonimização de dados sobre fatos históricos relevantes, em especial no que tange à previsão contida pelo artigo 11, II, “c” e 18, VI, da LGPD.

Ainda que a lei excepcione trabalhos jornalísticos, artísticos, acadêmicos, estudos de órgão de pesquisa e situações em que esteja presente o “legítimo interesse”, não seria possível descartar, ainda que por excesso de zelo, a possibilidade de a legislação ser eventualmente utilizada como justificativa para se apagar da história dados pessoais importantíssimos, inviabilizando narrativas históricas, em razão da supressão de nomes ou dados, cujo elemento principal seja indissociável dos fatos.

Mesmo que sob outro fundamento, a tentativa de apagar a exposição do assassinato de Aída Curi, por exemplo, no programa “Linha Direta Justiça”, da TV Globo, discutida pelo Supremo Tribunal Federal (STF) no recurso extraordinário 1.010.606.

Embora a LGPD jamais tenha tratado sobre “direito ao esquecimento”, antes da decisão tomada pela Suprema Corte, a lei poderia ser utilizada como fundamento para se apagar da história dados pessoais, inviabilizando obras literárias e históricas, em razão da supressão de nomes e dados. Já imaginou parte da história brasileira
ser contada sem seus personagens?

O direito ao esquecimento objetivava limitar certas passagens do passado da vida de uma pessoa em razão do decurso do tempo. O esquecimento traz como consequência o apagamento de informações. A LGPD, por sua vez, tem como objetivo assegurar o respeito a direitos e liberdades fundamentais, notadamente da privacidade. Neste particular, ainda que o direito ao esquecimento e LGPD não tenham vinculação formal e expressa, a incompatibilidade constitucional do primeiro ao sistema jurídico brasileiro restringiu definitivamente a possibilidade de supressão de dados pessoais de obras históricas, o que fortalece a construção de uma memória coletiva, afastando o individualismo e o obscurantismo.

Portanto, o reconhecimento pela Suprema Corte brasileira da incompatibilidade do instituto do chamado direito ao esquecimento ao ordenamento jurídico nacional, ainda que a LGPD jamais tenha abordado tal assunto, em certa medida, limitou a incidência da lei sobre o apagamento de dados, como nome e informações atreladas a fatos históricos, impedindo o apagamento de dados, ou mesmo o enviesamento da história por meio de recortes.

*Fabio Rivelli e Caio Miachon Tenório são advogados e sócios da Lee, Brock, Camargo Advogados (LBCA)

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post A LGPD admite apagamento de dados? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1.Qual é o papel da ANPD e Senacon na proteção de dados pessoais?

A Autoridade Nacional, segundo a Lei Geral de Proteção de Dados, atua no sentido de orientar preventivamente, fiscalizar e penalizar empresas e órgãos públicos no caso do registro de incidentes de segurança com dados pessoais, em descumprimento da LGPD. O papel da Secretaria é proteger os direitos do consumidor, podendo atuar nos casos em que os incidentes com dados pessoas envolverem infrações ao CDC.

2.No que consiste o acordo?

Visa uniformizar os procedimentos, promover intercâmbio de informações, principalmente da base de dados do Sistema Nacional de Informações e Defesa do Consumidor e plataforma Consumidor.Gov, além de ampliar a cooperação para ações de fiscalização e educação, elaboração de pesquisas e estudos. Essa atuação conjunta facilitará o trabalho dois órgãos e estenderá uma rede de proteção maior aos titulares dos dados no Brasil.

3.A cooperação pode ampliar a apuração de casos de vazamento de dados pessoais?

É importante que haja uma atuação coordenada das duas entidades diante dos incidentes de segurança envolvendo tratamento irregular de dados pessoais, porque irá fortalecer as políticas públicas, ajudar a criar uma cultura nacional em torno da matéria e dar celeridade às investigações. A Senacon deve compartilhar com a ANPD as reclamações que estiverem em suas plataformas – Sindec e Consumidor.Gov.

4. A aplicação de punição no caso de irregularidade no tratamento de dados poderia ser duplicada?

A ANPD tem competência prevalente no que concerne à LGPD, mas os demais órgãos de proteção ao consumidor, como a Senacon e os Procons, atuam na apuração de casos de irregularidades no tratamento de dados pessoais, quando envolvem relações de consumo.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Acordo entre órgãos públicos amplia proteção de dados pessoais apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Por que o tratamento de dados não é um monstro no armário? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Os vazamentos têm ligação com o ritmo de produção de dados?

Temos de pensar que vivenciamos um cenário novo. Nunca produzimos tanto dados na história do mundo. Isso acontece o tempo todo, cada interação com celular, com o computador, com as redes sociais, o streaming de um filme, tudo isso gera dados. Atualmente conseguimos ter uma noção de que 1 terabyte equivale a 1 mil gigabytes.Um celular top, por exemplo, tem 500 gigabytes. Mas cada big tech processa por dia algo em torno de 20 petabytes (20 mil terabytes). Há projeções que os dados vão crescer 175 zetabytes até 2025. Para baixar isso na velocidade média da internet levaria 1,8 bilhões de anos para completar o download. Mas à medida que o volume de dados cresce exponencialmente, a segurança deve evoluir conjuntamente.

As senhas vazadas são de e-mails com domínio “br”?

Foi um megavazamento global de milhões de domínios e calcula-se que ficaram expostas cerca de 10 milhões de senhas de e-mails brasileiros, com domínio “br”.Isso, sem falar, nos serviços de e-mail que possuem domínio “com”, que também são usados no Brasil.

Isso traz inseguranças para os usuários brasileiros?

Sim, os dados vazados por cibercriminosos geralmente são comercializados em fóruns na “dark web”. E como quase 100 milhões de e-mails de pessoas físicas e jurídicas tiveram mais de uma senha vazada, isso permite ao hacker entender o padrão de criação de senhas por parte do usuário, consistindo em um risco a mais.

Há senhas também do Executivo, Legislativo e Judiciário incluídas no vazamento?

O megavazamento inclui mais de 60 mil senhas de e-mails do domínio “gov.br”, empregado pela administração pública , incluindo ministérios, BNDES e bancos públicos, empresas estatais e “ 5 mil do domínio “jus.br”, utilizado pelo Judiciário, incluindo os tribunais superiores. Há também e-mails com domínio “ câmara.leg.br”, “senado. gov.br” e “cnv.presidencia.gov.br”, este último ligado à Presidência da República. O arquivo vazado indica que reúne dados de violações realizadas em diferentes períodos e fontes. Agora, espera-se o início da investigação pela Autoridade Nacional de Proteção de Dados (ANPD) para esclarecer os usuários sobre mais esse vazamento criminoso.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Por que estamos enfrentando tantos megavazamentos de dados? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1.Qual é o conceito de whistleblower?

No GDPR – Regulamento Geral de Proteção de Dados da União Europeia – as empresas com mais de 50 funcionários devem disponibilizar canais para os colaboradores denunciarem atos ilícios ou irregularidades que tenham conhecimento. No Brasil, o Decreto 10.153/2019, vigente desde março desse ano, assegura proteção à identidade dos whistleblowers (denunciantes) e a pseudonimização, prevista na Lei Geral de Proteção de Dados (LGPD), pela qual um dado perde associação direta ou indireta a um indivíduo, resguardando os denunciantes, que são um importante mecanismo dos programas de integridade.

2.Procedimentos de denúncias envolvem dados pessoais? Como fica isso com a vigência da LGPD?

Sim, envolvem dados pessoais dos suspeitos, informantes, terceiros e testemunhas. Também envolvem questões de proteção, como confidencialidade, direito de acesso, segurança dos dados, etc. Pelo GDPR, o acusado será informado sobre armazenamento, natureza dos dados, finalidade, processamento e identidade do responsável por tratar os dados. No Brasil, a LGPD confere autorização para que o Poder Público compartilhe dados pessoais na “ hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidade, ou proteger e resguardar a segurança e a integridade dos dados (art.26, V). O compartilhamento envolve ainda dispositivos da Lei de Acesso à Informação Pública (LAI) e do Decreto 10.153/2019.

3. O que vai mudar para as estatais?

Vão ganhar a supervisão de um delegado federal para chefiar a chamada Diretoria da Integridade, subordinada à Secretaria Especial de Desestatização Desinvestimento e Mercados. Ele irá receber a apurar denúncias de malversação dos recursos públicos por parte de agentes públicos nas estatais e encaminhar as informações para investigação da Polícia Federal.

4. Qual deve ser a estrutura?

O delegado deve trabalhar juntamente com um profissional de compliance, capaz de identificar riscos, monitorar as políticas de integridade e administrar um canal de denúncias seguro dentro das empresas estatais, voltado a revelar más condutas internas.

Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a>

O post Corrupção, whistleblower e proteção de dados apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1 – Com o advento da LGPD, como funcionarão os processos de contratação?

O cuidado com os dados pessoais deverá iniciar a partir do processo seletivo e do recebimento de currículos. É fundamental coletar somente os dados necessários e respeitar o princípio da finalidade (fins específicos, explícitos e legítimos), ou seja: Por qual motivo aquele dado está sendo coletado? Importante que o candidato autorize a coleta bem como a transferência de seus dados pessoais, em caso de RHs terceirizados e consultorias.

2 – O que são bases legais e como estão relacionadas ao RH?

As bases legais são as hipóteses apresentadas para o tratamento dos dados pessoais. A Lei Geral de Proteção de Dados (LGPD) pessoais elenca 10 bases legais que que permitem o tratamento e, no caso do RH, algumas delas se aplicam: cumprimento de obrigação legal ou regulatória pelo controlador, execução de contrato, legítimos do controlador ou de terceiro, consentimento do titular. Os principais exemplos são o contrato de trabalho, o cumprimento de legislações específicas, como a trabalhista, a fiscal e a previdenciária, coleta de informações para planos de saúde e para o sindicato da categoria, dentre outros.

3 – O que é consentimento e como solicitá-lo?

Consentimento, segundo a LGPD, é manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Deve ser solicitado ao titular (dono do dado pessoal), por escrito, a fim de garantir a segurança jurídica necessária. Ou seja, o RH somente poderá utilizar os dados pessoais do candidato ou do colaborador, após a autorização dos mesmos, informando a finalidade e a duração de tempo do armazenamento dos dados pessoais.

4 – O que é dado sensível e como ele afeta o RH?

É o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à orientação sexual, dado genético ou biométrico, quando vinculado à uma pessoa natural. Transferência de dados de saúde para planos de saúde, para empresas que realizam exames admissionais/demissionais e informações ao sindicato, por exemplo, receberam um novo peso. A segurança será primordial nesse tipo de compartilhamento, que envolve colaboradores atuais da empresa.

Para mais informações sobre a LGPD clique aqui.

Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a>

O post Impactos da LGPD no RH apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.