Arquivos tratamento de dados - LBCA | Lee, Brock, Camargo Advogados

Advogado analisa PL que amplia divulgação de incidente de segurança

Daniel Macedo — Fri, 04 Aug 2023 15:02:13 +0000

Um novo projeto de lei complementar (PL 1.876/23) torna obrigatória a divulgação na mídia e em páginas e perfis na internet de empresas que tratam dados, no caso de quaisquer incidentes de segurança com potencial de acarretar riscos aos titulares dos dados, mediante a adição do art. 54-A.

“O projeto também estabelece que o incidente deve ser notificado à ANPD – Autoridade Nacional de Proteção de Dados. Contudo, este tópico já consta do texto da LGPD – Lei Geral de Proteção de Dados Pessoais,no art. 48“, explica o advogado sócio-head da Lee, Brock, Camargo Advogados e especialista em Direito Digital, Paulo Vinícius de Carvalho Soares.

SAIBA MAIS: Brasileiros sofrem 208 golpes por hora; alta é de 37,9%

Para o advogado, o projeto aumenta a transparência que deve cercar os incidentes de segurança, como por exemplo no caso de vazamento de informações, por dois motivos: para que agentes de tratamentos de dados tomem ciência de incidentes semelhantes e ampliem seus conhecimentos para evitar novos riscos e propiciar ao titular de dados a garantia de seus direitos e liberdades, evitando algum tipo de ilícito com seus dados.

Os incidentes de segurança na LGPD, segundo Soares, ocorrem quando há qualquer ato de tratamento de dados pessoais não autorizado ou desprovido de base legal como qualquer evento adverso, tais como: perda, violação, fraudes, acesso não autorizado etc.

SAIBA MAIS: Alcance da cláusula chargeback de fraudes

Que leve à violação na segurança de dados pessoais. Um caso muito comum é a tentativa de venda de dados, por exemplo. A LGPD (art. 48, § 1º) específica como sendo obrigatório que o DPO – Data Protection Officer/Encarregado comunique à ANPD, em prazo razoável, e ao titular de dados sobre o incidente segurança, no caso de risco ou dano relevante, além de especificar as medidas tomadas de análise e mitigação dos riscos.

O PL 1.876/23 tramitará em caráter conclusivo pelas CCJ – Comissões de Comunicação, Constituição e Justiça e de Cidadania da Câmara dos Deputados, sendo dispensada a votação em plenário para ser aprovada. Isso só ocorre no caso de haver recurso assinado por 52 parlamentares.

Fonte: Migalhas

O post Advogado analisa PL que amplia divulgação de incidente de segurança apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Responsabilidade pelo vazamento de dados pessoais em assistência técnica

Daniel Macedo — Fri, 19 May 2023 14:47:59 +0000

No Brasil, a LGPD (Lei Geral de Proteção de Dados Pessoais, nº 13.709/18), em vigor desde 2020, prevê que as empresas têm o dever de garantir a proteção dos dados pessoais de seus clientes e usuários, sob pena de sofrerem sanções e responsabilizações.

O objetivo da lei é proteger os direitos fundamentais de liberdade e de privacidade dos titulares de dados pessoais, estabelecendo regras claras sobre o tratamento desses dados, buscando garantir a transparência e a segurança no tratamento dessas informações, além de criar um ambiente propício para a inovação e o desenvolvimento econômico.

Um tema que merece destaque é a responsabilidade solidária das empresas em relação aos incidentes de segurança que envolvem o vazamento de dados pessoais, sobretudo quando relacionados às atividades desenvolvidas por parceiros de negócios. No segmento de eletrônicos, o destaque se dá quando estes vazamentos ocorrem ou podem ocorrer em assistências técnicas autorizadas.

Quando falamos em responsabilidade entre parceiros comerciais, é importante compreender o papel de cada parte enquanto agente de tratamento de dados pessoais.

A LGPD, em seu artigo 5, define os agentes de tratamento como controladores e operadores, sendo controlador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador, a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

De acordo com o artigo 42 da LGPD, tanto o controlador quanto o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo a outrem, em violação à legislação de proteção de dados pessoais, são obrigados a repará-lo.

É importante ressaltar que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador. Além disso, os controladores diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.

Trazendo tais considerações para o setor de eletrônicos, sobretudo, relacionando fabricantes com assistências técnicas autorizadas, ambas as partes podem ser responsabilizadas conjuntamente pelos danos causados ao consumidor.

Isso significa que, considerando as exceções trazidas no artigo 43 da LGPD [1], independentemente de quem foi o responsável direto pelo vazamento, ambas podem ser responsabilizadas pela reparação dos danos, resguardando o direito de regresso para aquele que reparar o dano ao titular, contra os demais responsáveis, na medida de sua participação no evento danos.

Essa questão merece destaque, pois há casos em que fabricante e assistência técnica foram condenadas a pagar solidariamente indenização por danos morais a uma consumidora que teve fotos íntimas extraídas de seu celular, sem a sua autorização.

Houve, inclusive, entendimento de que, considerando que os fatos narrados haviam ocorrido na assistência técnica da rede autorizada da fabricante, e dentro do prazo de garantia do celular, tratando-se de relação de consumo, “consequentemente, todos os membros da cadeia de fornecimento devem responder solidariamente perante o consumidor” [2].

VEJA TAMBÉM: Proteção de dados impacta ambiente empresarial

Outro exemplo importante de vazamento de dados envolvendo assistências técnicas autorizadas aconteceu com uma grande fabricante de dispositivos eletrônicos. A empresa reconheceu que uma estudante universitária nos Estados Unidos teve fotos e vídeos íntimos vazados por técnicos responsáveis pelo reparo de seu telefone celular.

Esses casos evidenciam a importância de as empresas que tratam dados pessoais estarem atentas às medidas de segurança adotadas por seus parceiros de negócio. A responsabilidade solidária das fabricantes e assistências técnicas autorizadas pelo vazamento de dados pessoais é uma questão que deve ser levada a sério.

A LGPD prevê sanções administrativas que podem incluir advertência, multas, publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão de banco de dados e suspensão ou proibição do exercício de atividades que envolvam o tratamento de dados pessoais.

Ademais, a reputação das empresas pode ser gravemente afetada em razão de um vazamento de dados pessoais, o que pode gerar prejuízos financeiros e perda de clientes, além de resultar em sanções e processos judiciais.

Em recente Estudo Anual de Benchmark de Privacidade de Dados, publicado pela Cisco [3], 95% dos entrevistados disseram que a privacidade é um imperativo comercial, contra 90% no ano passado. Outros, 94% disseram que seus clientes não comprariam deles se seus dados não estivessem devidamente protegidos, contra 90% de um ano atrás. E 95% disseram que a privacidade é parte integrante da cultura de suas organizações, contra 92% de pesquisa anterior.

Diante desse cenário, muitas empresas estão investindo em segurança da informação,especialmente no que tange à privacidade e proteção de dados pessoais, como é o caso de uma das principais fabricantes de smartphones que lançou um novo recurso que será disponibilizado para os proprietários da marca para proteger seus dados pessoais durante o reparo do dispositivo.

Esse recurso limita o acesso dos técnicos aos dados dos clientes durante o conserto dos aparelhos, sem prejudicar o processo de reparação. A função pode ser ativada por meio das configurações de bateria do aparelho e oculta todas as informações pessoais do proprietário, reinicializando o celular.

Portanto, é importante que as empresas que tratam dados pessoais tenham políticas de segurança eficazes e aprimorem continuamente seus procedimentos para minimizar o risco de vazamentos de dados.

Essas medidas se fazem necessárias para todos os agentes de tratamento de dados e, no tema abordado, não só os fabricantes dos dispositivos, mas também as assistências técnicas autorizadas devem adotar medidas de segurança adequadas para proteger os dados pessoais dos consumidores que lhes são confiados.

Em suma, a responsabilidade solidária pelo vazamento de dados pessoais deve ser levada em consideração, pois pode resultar em danos significativos para todos os envolvidos no negócio.

[1] Art. 43. LGPD – Os agentes de tratamento só não serão responsabilizados quando provarem: I – que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

[2] https://www.gazetadopovo.com.br/justica/samsung-tera-de-indenizar-cliente-por-fotos-vazadas-3ozoj5or1vcrzhdbi5433lem2/

[3] https://www.cisco.com/c/en/us/about/trust-center/data-privacy-benchmark-study.html

Marianna Gomes Alencar é advogada no Lee, Brock, Camargo Advogados (LBCA), graduada em Direito pela Fesp Faculdades-PB e em Publicidade e Propaganda pelo Uniesp-PB, pós-graduanda em Direito Digital, Inovação e Ética nos Negócios pela FIA Business School, certified information privacy manager CIPM-Iapp, membra da Associação Internacional de Profissionais de Privacidade (Iapp), especialista em Privacidade e Proteção de Dados Pessoais pelo Data Privacy Brasil, membra efetiva da Comissão Especial de Privacidade e Proteção de Dados da OAB-SP, certificada pela Certiprof (2022), OneTrust (2021,2022) e LGPDnow(2022) e colunista techcompliance.org.

O post Responsabilidade pelo vazamento de dados pessoais em assistência técnica apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Por que o tratamento de dados não é um monstro no armário?

Daniel Macedo — Mon, 22 Mar 2021 19:37:10 +0000

“No aspecto legal, o direito ao tratamento de dados de forma consentida e segura, culminou na regulamentação europeia conhecida como GDPR – General Data Protection Regulation, pioneira no tema.”

Ainda em meados de maio de 2017, a renomada revista britânica “The Economist” publicou reportagem[1] de capa, ressaltando e defendendo que os dados seriam o novo petróleo. Em outras palavras, os dados seriam o recurso mais valioso dos tempos atuais, funcionando como uma verdadeira moeda de troca.

Passados quase quatro anos desde a referida publicação, nada mudou. Pelo contrário: os dados pessoais e seu tratamento ganharam cada vez mais importância, seja porque o Brasil, só em 2021, já foi alvo de dois vazamentos de dados gigantescos, seja devido a multas milionárias aplicadas no exterior[2] por conta de uma segurança da informação precária.

No aspecto legal, o direito ao tratamento de dados de forma consentida e segura, culminou na regulamentação europeia conhecida como GDPR – General Data Protection Regulation, pioneira no tema. Inspirando-se nos princípios ali ventilados, posteriormente, a tão comentada Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) também trouxe maior transparência e segurança às relações estabelecidas em território brasileiro.

Em que pese uma série de serviços serem prestados de forma gratuita pelos aplicativos, pode-se dizer que a contrapartida do usuário é baseada na utilização de seus dados, pelos provedores de aplicações. Nesta toada, como já previsto pela “The Economist”, é possível afirmar que os dados são uma mercadoria de valor inestimável.

Senão, vejamos: apesar de as grandes companhias disponibilizarem plataformas e ferramentas, aparentemente, sem custos, ainda assim, com fulcro no tratamento e processamento estratégico dos dados pessoais coletados, são capazes de auferir lucros astronômicos na casa dos bilhões de dólares.

À primeira vista, pode parecer desvantajoso, mas o mesmo tratamento que gera lucro às empresas, em verdade, não é em todo negativo para os usuários que cederam seus dados.

Isso porque, o material eventualmente coletado é usado justamente para melhorar a experiência dos usuários. Tendo em vista o aumento do tempo despendido em novas tecnologias, tais como os aplicativos recém-lançados, redes sociais e plataformas online, ficou mais fácil para as empresas captarem os dados de seus usuários e, por conseguinte, aumentarem a base dos materiais processados, de modo a se especializarem cada dia mais no assunto e trazerem resultados ainda mais precisos.

Entre os elementos tratados estão, a título de exemplo, a localização do usuário, o padrão e tempo de uso, bem como os termos utilizados nas ferramentas de buscas.

Após serem tratados e interpretados – em analogia, tal como o petróleo deve ser refinado -, os dados são transformados em informações que permitem a personalização dos aplicativos da forma que melhor possam entreter seus usuários, visto que estes terão acesso imediato e direto a exatamente o que lhes interessa.

Em síntese: ao mesmo tempo em que as empresas conseguem melhorar o direcionamento de seus anúncios – esses sim, pagos e patrocinados -, o usuário ainda tem a possibilidade de encontrar com maior facilidade aquilo que busca nos aplicativos que utiliza corriqueiramente.

A expressão utilizada por muitos como “transmissão de dados particulares aos aplicativos” é, de certo, extremamente forte, visto que tais dados não apenas serão compartilhados entre as empresas, mas também, conforme explicado, usados para benefício do próprio usuário.

Necessário sempre sopesar os interesses das partes envolvidas, quais sejam os dos usuários quanto à personalização de uso dos aplicativos, bem como os das empresas que aproveitam os interesses particulares a fim de divulgar seus serviços.

Resta claro, portanto, que o tratamento de certos dados pessoais, tais como tempo despendido em cada publicação, maiores visualizações e interações, também são utilizados a fim de fornecer um melhor serviço em troca, o que revelaria o duplo interesse abordado.

Na mesma toada, a fim de que seja possível vislumbrar o ponto aqui abordado na prática, cabe exemplificar que conhecido aplicativo de troca de mensagens instantâneas, em alteração recente em sua política de privacidade[3], no sentido de personalizar a experiência do usuário, informa que conversas entre particulares e contas comerciais não terão seu conteúdo criptografado e, indo além, afirma que os dados ali obtidos serão usados a fim de direcionar os anúncios das ferramentas parceiras, tais como redes sociais de fotos.

Referida aplicação de postagem de fotos, por sua vez, possui não só publicações que se apagam em vinte e quatro horas, mas também a barra “explorar”, sendo que nesta é possível atingir conteúdos diversos do que o divulgado pelas pessoas que têm conexão.

O algoritmo, responsável pelo tratamento de dados destes aplicativos, utiliza-se das informações concedidas pelos usuários após aceite dos seus termos de uso[4] e personaliza todas as abas internas do aplicativo, razão pela qual os conteúdos que aparecem na rede social, tal como os primeiros perfis no feed e as publicações do “explorar”, estão sempre conectadas com os conteúdos mais consumidos pelos usuários.

Como visto, ambos os aplicativos trazem extensa e detalhada Política de Privacidade. Desse modo, estando em consonância com a Lei Geral de Proteção de Dados ao trazer informações claras acerca da finalidade do tratamento de dados, não há de se vislumbrar quaisquer abusos ou ilegalidades por parte das big techs.

Noutro giro, no aspecto legislativo é de suma importância entender que o intuito principal da LGPD não é coibir o tratamento dos dados pessoais, mas sim elencar ao titular seus direitos para que este tenha plena consciência acerca do que está sendo tratado e o porquê.

Em cenários como os narrados acima, resta evidente que o tratamento não é em vão. Afinal, quem não gosta de acessar suas redes sociais e ali ter acesso a diversas opções do produto que por acaso procura?

Corriqueiramente, os usuários, deslumbrados, tecem comentários no sentido de que os aplicativos estariam “lendo suas mentes”. Sabe-se, porém, que, na realidade, não é nada disso.

A precisão das plataformas e aplicações em geral se dá, apenas e tão somente, devido à massa gigantesca de dados tratados diariamente e que permitem tal personalização. É a tecnologia levando àqueles que fazem uso da ferramenta a melhor e mais personalizada experiência possível, não é um poder paranormal ou algo que deve ser visto como negativo.

Além da personalização, outra justificativa para o tratamento dos dados está relacionada ao aprimoramento da segurança dos serviços prestados. Isto é, a partir das informações tratadas, as empresas conseguem visualizar possíveis brechas no funcionamento das aplicações e, consequentemente, adequá-las de modo a fornecer maior proteção aos dados compartilhados.

Nesse sentido, então, os desenvolvedores dos apps podem apurar inclusive eventuais violações aos termos da plataforma e coibir condutas inadequadas por parte de certos usuários, de modo a adotar as providências pertinentes. Novamente, então, os dados são usados, apenas e tão somente, a favor do próprio usuário.

Em conclusão, mister salientar que, sopesados os interesses, o tratamento dos dados em aplicativos, por mais que seja uma “moeda de troca” para uso gratuito dos mesmos, também traz benefícios aos usuários, não podendo ser considerado o algoritmo como um “monstro”, tal como o faz a sociedade.

A fim de ter total conhecimento do alcance relacionado ao tratamento de seus dados e, assim, quebrar o tabu existente e definir se fazer uso do aplicativo vale a troca ora mencionada, se mostra extremamente necessária – e educativa – a leitura dos termos de uso e política de dados de cada serviço a ser contratado.

Tal como afirmado anteriormente, é certo que os dados pessoais são o bem mais valioso dos indivíduos. Entretanto, sem o fornecimento de informações aos aplicativos e novas ferramentas, como as já mencionadas, tais serviços não seriam de interesse dos usuários.

Se não existisse o tratamento, os serviços seriam oferecidos uniformemente a todos e, por óbvio, perderiam todo o encanto da tão desejada sensação de se sentir único e de ter, na palma de suas mãos, um feed altamente personalizado.

Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a>

O post Por que o tratamento de dados não é um monstro no armário? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.