Dados pessoais – Infra News Telecom

LGPD pode criar créditos tributários?

Paulo Salvador Ribeiro Perrotti — Sun, 16 May 2021 20:25:11 +0000

LGPD pode criar créditos tributários?

Paulo Salvador Ribeiro Perrotti, head da LGPDSolution e presidente da câmara de comércio Brasil-Canadá

A proteção de dados tem sido uma tendência mundial e esse movimento se intensificou em virtude dessa proteção ter sido regulamentada nos países da União Europeia que, além de já se preocuparem há muito tempo com o assunto, resolveram instituir que todas as empresas precisariam ter uma política clara quanto a preservação dos dados.

A Lei nº 13. 709/2018, conhecida como LGPD – Lei Geral da Proteção de Dados, veio para aderir o Brasil ao movimento mundial e modificar a relação entre usuários e detentores de dados, impondo maior atenção ao sigilo das informações pessoais coletadas do indivíduo, principalmente pelas empresas e pelas autoridades governamentais.

Dentre os dados coletados, tratados e armazenados, destacam-se os que irão exigir atenção redobrada da empresa, independente do seu segmento de negócio: base de dados de clientes; banco de dados dos colaboradores e colaboradores; banco de currículos; dados fornecidos à seguradora do plano de saúde; dados compartilhados com a empresa responsável por fechar folha de pagamento; envio de dados para o sindicato e órgãos públicos; exames admissionais.

Vários departamentos precisarão se adequar aos procedimentos da LGPD, visando o melhor uso e preservação dos dados dos clientes, colaboradores e candidatos. Inclusive assegurar e exigir que os fornecedores e prestadores de serviço estejam adequados às demandas da LGDP.

As empresas precisam ser capazes de zelar e proteger os dados pessoais coletados, informando quais dados são armazenados e qual o percurso desses dados. Além disso, ao compartilhar os dados com fornecedores, tal ato deve ser de forma responsável, é recomendada a revisão dos contratos dos prestadores de serviços, com o intuito de incluir as obrigações da LGPD no âmbito da proteção dos dados transferidos, assim como as responsabilidades no caso de infração ou vazamento.

Lembramos que a responsabilidade da privacidade de dados incide sobre os fornecedores e prestadores de serviço que a empresa escolheu e selecionou, o que é comumente chamado em direito de responsabilidade “in vigilando” ou “in eligendo”.

O investimento das empresas em privacidade de dados pode variar, mas certamente serão contratadas assessorias especializadas, bem como novos recursos tecnológicos, para que as empresas se adequem à legislação. Se considerarmos que essas despesas seriam impostas pelo legislador para que a LGPD pudesse ser uma realidade nas empresas, para que fossem evitadas penalidades, principalmente da ANPD – Agência Nacional de Proteção de Dados, seria possível concluir que esses investimentos estariam dentro dos critérios de insumos para fins de crédito do PIS e da Cofins, na apuração não cumulativa dessas contribuições.

Vejamos o parecer normativo COSIT nº 5/2018, da Receita Federal, publicado em 18/12/2018:

Assunto. Apresenta as principais repercussões no âmbito da Secretaria da Receita Federal do Brasil decorrentes da definição do conceito de insumos na legislação da Contribuição para o PIS/Pasep e da Cofins estabelecida pela Primeira Seção do Superior Tribunal de Justiça no julgamento do Recurso Especial 1.221.170/PR.
Ementa. CONTRIBUIÇÃO PARA O PIS/PASEP. COFINS. CRÉDITOS DA NÃO CUMULATIVIDADE. INSUMOS. DEFINIÇÃO ESTABELECIDA NO RESP 1.221.170/PR. ANÁLISE E APLICAÇÕES.
Conforme estabelecido pela Primeira Seção do Superior Tribunal de Justiça no Recurso Especial 1.221.170/PR, o conceito de insumo para fins de apuração de créditos da não cumulatividade da Contribuição para o PIS/Pasep e da Cofins deve ser aferido à luz dos critérios da essencialidade ou da relevância do bem ou serviço para a produção de bens destinados à venda ou para a prestação de serviços pela pessoa jurídica.
Consoante a tese acordada na decisão judicial em comento:
a) o “critério da essencialidade diz com o item do qual dependa, intrínseca e fundamentalmente, o produto ou o serviço”:
a.1) “constituindo elemento estrutural e inseparável do processo produtivo ou da execução do serviço”;
a.2) “ou, quando menos, a sua falta lhes prive de qualidade, quantidade e/ou suficiência”;
b) já o critério da relevância “é identificável no item cuja finalidade, embora não indispensável à elaboração do próprio produto ou à prestação do serviço, integre o processo de produção, seja”:
b.1) “pelas singularidades de cada cadeia produtiva”;
b.2) “por imposição legal”.
Dispositivos Legais. Lei nº 10.637, de 2002, art. 3º, inciso II; Lei nº 10.833, de 2003, art. 3º, inciso II.

Partindo deste pressuposto, a Receita Federal reconhece que os gastos com itens essenciais para o desenvolvimento de um produto e um serviço podem ser entendidos como insumos para fins de crédito de PIS e Cofins não cumulativo.

Ato sequente, a LGPD determina que os produtos e os serviços devem utilizar uma metodologia internacionalmente conhecida como privacy by design, de autoria da Doutora Ann Cavoukian, ex-comissária de informação e privacidade da província de ontário e diretora executiva do instituto de privacidade e big data da Universidade Ryerson, na qual a proteção de dados pessoais deve estruturada desde a concepção dos sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.

Ou seja, a privacidade de dados é mais do que uma mera recomendação. Ela deve fazer parte da estruturação técnica dos produtos e serviços. O não atendimento das empresas à LGDP pode expor os titulares de dados a prejuízos, bem como a sanções administrativas e judiciais.

Por fim, os investimentos na implantação da governança e privacidade de dados vão muito além do critério da “essencialidade” e constitui efetivo “elemento estrutural e inseparável do processo produtivo”, nos termos do Parecer Normativo COSIT nº 5/2018, levando a crer que seria possível a geração de créditos de PIS e Cofins, por se enquadrarem nos conceitos estabelecidos pela Receita Federal.

Saiba como funciona a LGPD

Paulo Salvador Ribeiro Perrotti — Tue, 13 Apr 2021 22:44:11 +0000

Saiba como funciona a LGPD

Paulo Salvador Ribeiro Perrotti, head da LGPDSolution e presidente da câmara de comércio Brasil-Canadá

A LGPD – Lei Geral de Proteção de Dados Pessoais (LGPD nº13.709/2018), que entrou em vigor em 18 de setembro de 2020, trouxe grandes impactos a todas as empresas, exigindo a revisão das práticas que envolvem coleta, tratamento e armazenamento dos dados pessoais dos titulares dos dados, com o objetivo de proporcionar maior segurança e transparência nas relações entre empresas, clientes, colaboradores e usuários.

No caso das empresas, será necessário que os processos de captação e tratamento de dados se tornem mais transparentes e objetivos para os usuários, permitindo que eles tenham mais controle sobre o uso e a privacidade dos seus dados.

Atualmente, observa-se que a coleta de conhecimento sobre hábitos de consumo, acesso à informação e disponibilização de dados é cada vez maior. Com isso, os dados pessoais se tornaram matéria-prima para a gestão empresarial, seja na área comercial ou no departamento de recursos humanos, onde todas as decisões estratégicas dependem cada vez mais das informações dos usuários para serem desenvolvidas.

Apesar das grandes mudanças impostas pela lei, a dinâmica da nova regulamentação deve ser vista como uma oportunidade positiva, pois as empresas poderão visualizar essas regras como um momento inovador, evoluindo suas estratégias para reconhecer, de forma transparente, as preferências de cada cliente e de seus colaboradores, melhorando a governança corporativa.

Assim, é de fundamental importância que as empresas estejam em conformidade com a LGPD, visando dar continuidade aos seus trabalhos de captação, tratamento e armazenamento de dados, evitando os riscos das implicações administrativas e/ou jurídicas previstas no regulamento jurídico, com a devida observação aos princípios da boa-fé, finalidade, adequação, necessidade, livre acesso e transparência.

Convém ressaltar que, na rotina dos trabalhos das empresas, os dados pessoais coletados não são apenas os definidos no artigo 5º da LGPD (“informação relacionada natural identificada ou identificável”), mas também os definidos no artigo 12, § 2º (“poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada”). Portanto, além de captar dados como o nome, endereço e e-mail, as empresas também captam os interesses dos usuários e hábitos de consumo para entender como as pessoas pesquisam e consomem produtos e serviços.

A coleta e o processamento de dados dos usuários devem seguir 10 bases legais que autorizam o tratamento de dados, impostas no artigo 7º da LGPD, destacando-se três delas, para fins de marketing: o consentimento, o cumprimento contratual, a observância regulatória e o legítimo interesse.

A LGPD impõe que, antes de qualquer coleta de dados dos usuários, as empresas devem obter o consentimento do titular do dado de forma livre, explícita e com finalidade específica. Ou seja, antes de coletar qualquer informação de um cliente ou colaborador, recomenda-se que a empresa informe o motivo daquela coleta e destacar que a informação coletada é necessária para determinada finalidade.

Outra estratégia conhecida pelas empresas são os anúncios baseados em cookies, que são pequenos arquivos automaticamente executáveis nos principais sites de comércio eletrônico que se armazenam no dispositivo do usuário (celular, computador, tablete, etc.) para ajudar a mapear a sua navegação na internet. A LGPD prevê que o usuário precisa optar por aceitar ou recusar os vários tipos de cookies, para fins de transparência. Esse consentimento deve ser de fácil procedimento para o usuário, além de poder escolher quais dados serão fornecidos ou não, podendo, inclusive, retirar seu consentimento a qualquer momento. A empresa não poderá compelir ao usuário a consentir com determinados cookies para ter acesso a determinada aplicação na Internet.

É fundamental que as empresas sejam transparentes com seus usuários, fornecendo o máximo de informação possível sobre os dados que estão sendo coletados, salvos e, posteriormente, tratados. Deverá haver uma ação do usuário indicando sua aceitação, seja por um clique ou por assinatura eletrônica. Ou seja, a LGPD exige que haja uma manifestação válida e comprovada. O silêncio nunca poderá ser considerado consentimento. Com isso, o titular passa a ganhar mais controle sobre o uso de seus dados e tem o direito de solicitar o acesso ou a remoção de todas as informações mantidas na empresa.

Outra hipótese que autoriza o uso dos dados pelas empresas é o legítimo interesse. Poderá haver interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados já é cliente ou está a serviço do responsável pelo tratamento. Entretanto, a interpretação do legítimo interesse é subjetiva e deverá ser feita de forma independente, levando-se em consideração todas as variáveis de contato entre a empresa e o titular do dado.

Em relação aos dados armazenados na empresa, o titular dos dados terá o direito de solicitar à empresa o acesso ou a remoção de todas as informações mantidas em seu banco de dados. O acesso aos dados pessoais do cliente deve ser fornecido de forma clara e completa, e em caso de solicitação de remoção, a demanda deverá ser atendida imediatamente.

Contudo, tal fato poderá ser um transtorno para as empresas que mantêm seus dados em lugares diferentes e para várias finalidades, dificultando o acesso aos dados.

Com a entrada em vigor da LGPD, as empresas precisarão ter total controle sobre os dados armazenados em sua base de dados para comprovar o cumprimento ao dispositivo legal, devendo registrar o tratamento de dados com detalhes quanto ao processo de coleta, uso, armazenamento e compartilhamento. Tais informações farão parte do Relatório de Impacto de Proteção de Dados, que é obrigatório, de acordo com a LGPD, e poderá ser solicitado pela ANPD – Agência Nacional de Proteção de Dados para verificar se há eventuais fragilidades no tratamento dos dados.

Nesse contexto, os profissionais que atuam na área de segurança da informação precisam estar atentos a quais dados estão sendo coletados, se possuem o consentimento dos usuários, e se suas políticas de privacidade e termos de uso estão de acordo com as exigências legais. As empresas que estiverem em conformidade com a LGPD irão se destacar no mercado, conquistando mais confiança, credibilidade e, consequentemente, mais clientes fiéis e dispostos a consentir o uso de seus dados. Ademais, os contratantes irão se relacionar apenas com as empresas que estiverem adequadas à LGPD. Ou seja: quem não estiver adequado, estará fora de qualquer contratação!

Por fim, as empresas em geral terão de buscar métodos mais claros e naturais para alcançar seus consumidores e tratarem seus colaboradores, de forma mais transparente. Se os métodos e ferramentas forem utilizados em conformidade com a LGPD e em atenção às regras de transparência e consentimento explícito, será possível a coleta de informações do consumidor e dos colaboradores de forma legal e efetiva, estabelecendo-se um vínculo de confiança que é de interesse de todas as partes: do contratante, da empresa, do colaborador e do cliente.

TIVIT Labs promove semana de orientação prática sobre LGPD

Simone Rodrigues — Thu, 21 Jan 2021 19:15:57 +0000

Foto: Glenn Carstens-Peters/Unsplash

TIVIT Labs promove semana de orientação prática sobre LGPD

Redação, Infra News Telecom

O TIVIT Labs, laboratório de inovação da TIVIT, multinacional brasileira de tecnologia, vai promover entre os dias 26 e 29 de janeiro, o LGPDtech Meetup – Semana Mundial da Privacidade de Dados. O evento, online e gratuito, vai reunir especialistas em segurança da informação, proteção de dados e tecnologia em transmissões diárias sobre os diferentes aspectos da jornada de adequação à LGPD – Lei Geral de Proteção de Dados.

Serão abordadas em profundidade as principais soluções tecnológicas, processos operacionais e estratégias para a implementação e sustentação de um programa de proteção de dados pessoais. As discussões trarão perspectivas práticas sobre a adequação aos líderes das empresas, em uma abordagem que vai além dos aspectos jurídicos da regulamentação.

A pauta incluirá temas como métricas de segurança da informação e proteção de dados; plano de resposta a incidentes e gestão de crise em caso de violações; e ferramentas de para governança de privacidade e GRC – Governança, Risco e Compliance.

Entre os painelistas estarão especialistas como Davis Alves, presidente da Associação Nacional de Profissionais de Proteção de Dados; Fabricio da Mota Alves, advogado indicado pelo Senado ao Conselho Nacional de Proteção de Dados; Alex Amorim, CIO & CSO da Yandeh; e Patrícia Peck, advogada especialista em direito digital.

As inscrições podem ser feitas no link https://eventos.labs.tivit.com/lgpd-tech-meetup-semana-mundial-da-privacidade.

65% da população mundial terá dados pessoais protegidos por regulamentações de privacidade até 2023

Simone Rodrigues — Wed, 23 Sep 2020 18:51:49 +0000

65% da população mundial terá dados pessoais protegidos por regulamentações de privacidade até 2023

Redação, Infra News Telecom

Em 2023, de acordo com previsões do Gartner, 65% da população mundial terá seus dados pessoais protegidos por algum tipo de regulamentação de privacidade digital, como a LGPD – Lei Geral de Proteção de Dados. Hoje, apenas 10% da população está protegida digitalmente por algum tipo de norma ou lei.

Os analistas do Gartner alertam que os líderes de segurança e gestão de risco precisam implementar o quanto antes recursos que suportem o aumento do volume de dados, assim como maior variedade e velocidade para os controles, implementando um programa completo de privacidade que seja capaz de gerenciar três estágios na gestão de informações: estabelecimento, manutenção e evolução. “Os líderes de gerenciamento de segurança e risco (SEM – de Security and Risk Management) precisam ajudar suas empresas a adaptarem as práticas de tratamento de dados pessoais sem expor os negócios a perdas por meio de multas ou danos à reputação”, diz Nader Henein, vice-presidente de pesquisas do Gartner.

De acordo com Henein, o primeiro estágio para a implementação de programas de privacidade nas empresas é o estabelecimento, no qual são mapeados recursos básicos e tecnologias para a condução de um programa de gerenciamento de dados. “Este mapeamento é necessário para qualquer companhia voltada para os clientes e que processe informações pessoais. Isso inclui a descoberta e o enriquecimento que permitem que as empresas estabeleçam e mantenham registros de riscos à privacidade”, acrescenta.

O estágio seguinte, o de manutenção, no qual as organizações dimensionam seus programas de gerenciamento de privacidade. Este passo se concentra na administração contínua e no gerenciamento de recursos necessários para a realização das análises. Isso inclui melhorar o tempo de respostas a incidentes que violem dados pessoais, bem como trazer automação para avaliações de impacto de privacidade.

Já a etapa de evolução inclui ferramentas especializadas, buscando recursos que que se concentram na redução do risco de privacidade com pouco ou nenhum impacto no uso de dados. Um dos recursos mais populares permite que as organizações extraiam insights sobre seus consumidores de grandes bases de dados sem expô-los a riscos excessivos de privacidade. Esse tem sido um recurso crítico para as equipes de marketing.

LGPD e a segurança da informação

Gisele Kauer — Tue, 18 Aug 2020 18:47:51 +0000

LGPD e a segurança da informação

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

A LGPD – Lei Geral de Proteção de Dados, como o próprio nome sugere, tem uma abordagem exclusivamente voltada à proteção de dados pessoais, ou seja, a operações de tratamento (processamento) de informações relacionadas a pessoa natural (pessoa natural = pessoa física, ser humano, não pode ser empresa) identificada ou identificável (definição de “dado pessoal” dada pelo art. 5º, I, da LGPD).

Este foco específico da lei é excelente, pois traz uma proteção ao indivíduo que é assegurada na Constituição Federal: nosso direito fundamental à privacidade (art. 5º, X, Constituição Federal, que diz respeito à inviolabilidade da intimidade e da vida privada).

Mas, a proteção de dados só é verdadeiramente efetiva quando vem acompanhada de segurança da informação que, muitas vezes, é deixada de lado, não somente no texto da lei em si (a LGPD até fala sobre segurança da informação, porém de maneira consideravelmente superficial, e não suficientemente objetiva/específica), mas também pelas empresas e órgãos públicos que, por tantas vezes, vão em busca da adequação jurídica em proteção de dados, mas “se esquecem” da elaboração de um sistema adequado de segurança da informação (algo que diga respeito a um nível adequado de governança, com regras e controles que façam sentido dentro da realidade da empresa – tamanho, modelo de negócio, tipo de produto ou serviço oferecido, vulnerabilidades específicas etc. – e que sejam efetivos na prática, e não somente “no papel”).

A proteção de dados não pode ser um elemento isolado. Ela deve fazer sentido em todo o contexto. E, neste artigo, você vai conhecer algo que pode (e deve) conversar com o seu programa de adequação à LGPD.

Proteção de dados x segurança da informação: Qual é a diferença? (Conceitos)

Bom, conforme mencionei acima, a proteção de dados tem por objeto proteger os dados relativos a pessoa natural, com um foco na privacidade, no direito à individualidade.

A título de curiosidade, esse conceito não é exclusivo da LGPD. É o mesmo adotado no GDPR – Regulamento Geral sobre a Proteção de Dados, da União Europeia [Artigo 4º (“Definições”), (1), página 33 no link acima], bem como pelo NIST – National Institute of Standards and Technology, dos EUA, como se fosse o “Inmetro” norte-americano, que traz padrões de qualidade especialmente voltados à tecnologia e ciência – padrões adotados inclusive pelo FBI. Vocês podem verificar a definição de “personally identifiable information” neste link aqui, que é o glossário do NIST.

Já a segurança da informação não se limita à proteção de dados pessoais. Vamos à definição:

“Segurança da Informação compreende a proteção das informações, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, com o objetivo de reduzir a probabilidade e o impacto de incidentes de segurança”.

“Nem todo incidente de segurança da informação é uma violação de dados pessoais. Mas toda violação de dados pessoais é um incidente de segurança”. Guardem esta informação.

Os infográficos a seguir irão nos ajudar na identificação das formas mais efetivas de prevenção e resposta a ataques envolvendo a exploração de vulnerabilidades – e até a compreender porque a LGPD, sozinha, não necessariamente diz respeito à prevenção de incidentes de segurança (estes que podem resultar, como consequência, em violações à LGPD).

Segurança da informação: Vulnerabilidade, ameaça, risco, incidente, dano

Para falarmos na prevenção a qualquer tipo de incidente de segurança (seja ele proposital ou acidental) precisamos identificar estes 5 itens: vulnerabilidade; ameaça; risco; incidente; e dano. Ou seja, entender “o que é o que” na situação concreta que estamos analisando.

Recomendo olharem no infográfico após a leitura de cada item, para entenderem visualmente como eles se integram.

1 – Vulnerabilidade: É a “porta aberta” na empresa, no sistema, aquilo que deve ser protegido. A ISO 27000 (a norma internacional referência em gerenciamento de segurança da informação) usa a palavra “fraqueza” (“weakness”) para definir “vulnerabilidade”. Uma fraqueza (em determinado controle ou ativo) que pode ser explorada por uma ou mais ameaças – definição baseada na ISO 27000.

Vale dizer que a vulnerabilidade é sempre interna (do próprio sistema, empresa, site, aplicativo, etc.). É realmente como deixar uma porta destrancada – deixar a chave da porta com pessoas não confiáveis.

2 – Ameaça: Uma potencial causa de um incidente indesejado, que pode resultar em danos a um sistema ou organização – definição baseada na ISO 27000.

Geralmente, ameaça conta com um “agente de ameaça”, aquele que se aproveita de uma vulnerabilidade (conforme mostra o infográfico abaixo, que se aproveita da “porta aberta”).

3 – Risco: É a probabilidade de uma ameaça (ou agente de ameaça) “explorar” determinada vulnerabilidade – definição baseada na ISO 27000. Por exemplo, qual é a chance de um determinado tipo de malware afetar o sistema X? É um “cálculo” de probabilidades, basicamente.

Os riscos devem ser “metrificados”. Assim, é possível priorizar em quais ameaças focar e quais vulnerabilidades estão realmente suscetíveis a ataques, por exemplo.

4 – Incidente: É quando uma ameaça se manifesta. Por exemplo, quando um cracker explora formas de adentrar um sistema.

Incidentes são eventos indesejados ou inesperados, que têm uma chance (risco) significativa de comprometer o sistema, site, empresa, etc. – definição baseada na ISO 27000.

5 – Danos: Por fim, os danos são as possíveis consequências de um incidente, exatamente as consequências que desejamos evitar.

Os danos podem ser diretos (como a indisponibilidade de um e-commerce ou um acesso a informações confidenciais de uma empresa) e Indiretos (como a queda das ações da empresa na bolsa de valores ou perda de clientes).

É importante lembrar que, mesmo que a sua casa/apartamento tenha grade, portão, portaria 24h, câmeras de segurança, ainda é possível que uma pessoa mal-intencionada entre, certo?

O mesmo ocorre com sistemas. Por isso, estamos falando em prevenção, e não em impossibilitar ataques, blindar sistemas, impedir fraudes. Não existe 100% quando falamos de segurança. Lembre-se disso.

Quando analisarmos o caso concreto a seguir o primeiro passo será identificar quais são as vulnerabilidades encontradas em determinado servidor ou sistema operacional, ou seja, quais portas estão abertas. E assim por diante, identificando cada um dos cinco itens que foram listados acima, para então chegar numa resposta (ou quase isso) sobre as melhores formas de prevenção

Muitas vezes focamos na ação (que é bem importante, é claro), mas a análise do objeto a ser protegido + identificação das vulnerabilidades são necessárias para que a ação (prevenção) seja efetiva.

Pensar na ação sem antes analisar o cenário como um todo pode resultar numa escolha de ações de prevenção inadequadas, insuficientes ou não efetivas em relação às vulnerabilidades e ameaças que colocam em risco o objeto que queremos proteger.

O exemplo pode parecer um tanto exagerado (e “bizarro”), mas tenho certeza que vocês irão lembrar dele por muito tempo (e quem sabe utilizem em aulas e palestras futuramente, ou até mesmo para explicar para um cliente ou na empresa de vocês que segurança não é sobre “usar aquele antivírus que todo mundo está usando” ou “procurar no Google “Política de Segurança da Informação’ e usar um modelo genérico”).

Bom, a seguir, vocês verão dois infográficos com exemplos um tanto “familiares” da segurança da informação.

Penso que concordamos que, em ambos os casos, há uma ou mais formas de evitar a concretização do incidente, certo? Vocês talvez tenham pensado em outros mecanismos de defesa/prevenção, mas, para fins didáticos irei focar nas seguintes ideias:

Tanto no exemplo 1 quanto no 2, um backup atualizado e mantido em outro local físico poderia garantir uma recuperação em relação aos incidentes. Portanto, em ambos os exemplos seria um mecanismo efetivo que deve ser adotado.

Mas, a recuperação por meio de um backup, infelizmente, não é tão rápida como se imagina. Pode levar semanas até que um negócio volte a operar normalmente, ainda que com um backup realizado corretamente. Portanto, ainda que necessário e aplicável nos dois casos, existem formas de prevenção que podem ser aplicadas em momentos anteriores ao incidente.

Estas formas de prevenção devem ser focadas em: corrigir uma vulnerabilidade (ou seja, “diminuir” uma abertura que soe convidativa para determinadas ameaças); e afastar um tipo de ameaça específica de explorar as vulnerabilidades.

No exemplo 1, podemos falar em controles físicos, como portas corta fogo, por exemplo.

No exemplo 2, podemos falar em atualizações de software frequentes e, a depender do malware, de um firewall eficiente, por exemplo.

Agora, vamos ao meu exemplo “ridículo”! Mas que ajuda a visualizar a ideia e a usarmos essa lógica com mais facilidade em casos mais complexos:

No exemplo 1, uma firewall ou um update do software não faria muita diferença para prevenir um incêndio.

No exemplo 2, uma porta corta fogo não impediria um malware de acometer o sistema da empresa.

Essa foi a forma “caricata” que encontrei para expor um dos maiores problemas que temos hoje em questão de legislação específica e até mesmo dentro dos programas de segurança/governança (nos setores público e privado).

Governança é sobre “fazer regras” (“como algo deve ou não deve” ser feito, usado, executado, etc.), e essas regras se tornam um imenso problema quando quem as faz não compreende o objeto sobre o qual elas dizem respeito.

O resultado disso? Algo como procedimentos de segurança sugerindo uma instalação de antivírus para a proteção de um servidor (desconsiderando possíveis ameaças físicas, como um incêndio); ou uma política tratando um antivírus como solução para qualquer tipo de malware, desconsiderando as peculiaridades de cada subtipo de malware existentes – na realidade temos ataques como o WannaCry (ransomware), que se utilizou de uma brecha de segurança no Windows 10 e sua correção dependia da atualização do software para a correção da falha de segurança – nenhum antivírus poderia “segurar” o ataque.

Para concluir, um dos meus objetivos aqui foi demonstrar como é bem mais simples propor uma forma de prevenção com essa esquematização, com base na ISO 27001/27002, em matéria de segurança da informação e considerando o que falei logo no início: “Nem todo incidente de segurança da informação é uma violação de dados pessoais. Mas toda violação de dados pessoais é um incidente de segurança”. Este conhecimento é importante para a proteção dos dados pessoais na sua empresa, ou seja, para a adequação à LGPD ou outra legislação/regulamento de proteção de dados aplicável.

A minha mensagem com isso é: a atuação ideal é uma integração entre as áreas técnica e jurídica. Ambas são importantes, têm funções diferentes e, preferencialmente, devem coexistir para garantir um nível adequado de proteção de dados pessoais.

Espero que este artigo tenha sido útil para você. Até a próxima!

Entenda as diferenças entre privacy by design e privacy by default

Gisele Kauer — Wed, 04 Mar 2020 19:12:28 +0000

Entenda as diferenças entre privacy by design e privacy by default

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

Estes nomes podem assustar, a princípio. Podem fazer o assunto parecer mais complexo do que realmente é. Mas, mais uma vez, meu objetivo é demonstrar que a LGPD (e a proteção de dados como um todo) é um assunto bem mais simples do que parece. Este é mais um “LGPD sem juridiquês” e esperamos desmistificar mais um assunto tratado pela Lei Geral de Proteção de Dados.

Privacy by Design

Como o próprio nome sugere, a proteção de dados “by design” é sobre a adoção de medidas de segurança, técnicas e organizacionais desde a concepção de um determinado processo ou projeto.

Ou seja: desde os primeiros estágios do desenvolvimento de um processo que envolva o tratamento de dados pessoais, deve haver a observância de medidas que garantam a proteção de dados pessoais (e, consequentemente, a privacidade dos indivíduos sobre quem os dados pessoais dizem respeito).

É a aplicação da privacidade desde a criação, desenvolvimento e planejamento.

Exemplos

O desenvolvimento de novos sistemas (TI) com a observância da privacidade pelo próprio desenvolvedor, pensando em desenvolver em uma linguagem de programação que possibilite um melhor desenvolvimento de mecanismos de proteção de dados e segurança da informação junto aos sistemas já existentes na empresa.

A observância do respeito à privacidade do titular no desenvolvimento de novos produtos, desde a elaboração, idealização (literalmente, desde o ‘design’ destes novos produtos).

Criar cada novo processo da empresa de forma pautada pelas políticas de privacidade e outros procedimentos em termos de proteção de dados e segurança da informação.

Utilizar de criptografia para qualquer nova ferramenta de comunicação e em devices fornecidos para os colaboradores, assegurando que, desde a geração de determinada informação, esta terá um nível a mais de confidencialidade, dificultando acessos não autorizados que possam resultar em data breaches.

Privacy by Default

Também seguindo o conceito sugerido pela nomenclatura, a privacidade “by default” diz respeito à adoção da proteção de dados pessoais como padrão em todos os processos e atividades desenvolvidos pela empresa, por meio da definição de medidas de segurança, técnicas e organizacionais que devem ser aplicadas de forma padronizada e constante, em todas as áreas, projetos, produtos.

Quer dizer, antes de a empresa iniciar qualquer processo, é necessário que seja verificado se o mínimo necessário em termos de proteção de dados está sendo observado, como finalidade específica e legítima para o tratamento de dados pessoais, ou a minimização dos dados sempre que aplicável.

Exemplos

Adoção de “configurações-padrão” para qualquer software e aplicativo utilizados na operação, assegurando que as ferramentas estão sendo usadas de maneira segura e com um padrão mínimo de privacidade aplicado.

Verificar se em todos os processos envolvendo consentimento dos indivíduos estão presentes os elementos “livre, informado e inequívoco”, com uma liberdade de escolha real sobre a utilização ou não de seus dados para cada finalidade específica.

Assegurar que em cada processo são tratados apenas os dados anteriormente informados ao titular, sem nenhum tratamento adicional e/ou extensivo.

Providenciar que os titulares tenham informações, meios e controles suficientes para que possam exercer os seus direitos (na LGPD, GDPR ou qualquer outra lei ou regulamento aplicável em termos de proteção de dados).

A importância destes dois institutos está na visão macro de que a privacidade e a proteção de dados devem ser implementadas numa perspectiva de mudança de cultura dentro das empresas, implementado a todos os processos e considerando a necessidade de privacidade nas diferentes áreas da organização que tratam dados pessoais, e não somente em alguns processos específicos isolados.

A LGPD, particularmente, é um tanto breve sobre o tema, não entrando em detalhes durante a redação; o conceito trabalhado aqui, portanto, tem por base o disposto no GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia), que inspirou fortemente a nossa lei brasileira. Nesse aspecto, busquei trazer algo contemplando o entendimento da Comissão Europeia a respeito, bem como da ICO – Autoridade de Proteção de Dados do Reino Unido, que traz uma abordagem de caráter bastante prática sobre o tema.

Espero ter simplificado um pouco o tema, e que continuem interessados pela nossa Lei Geral de Proteção de Dados. Um ótimo começo de ano para todos e até a próxima!

LGPD: Quais são os direitos dos titulares?

Gisele Kauer — Wed, 04 Dec 2019 19:37:38 +0000

LGPD: Quais são os direitos dos titulares?

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

A Lei Geral de Proteção de Dados (“LGPD”) traz um capítulo dedicado aos direitos dos titulares. É importante que as empresas se preparem para garantir esses direitos aos seus clientes – afinal, ninguém quer receber uma sanção da Autoridade Nacional de Proteção de Dados. Como sabemos, as multas (e demais sanções previstas da LGPD) são aplicáveis no caso de descumprimento de qualquer norma prevista na lei.

Ao mesmo tempo, caso seja titular, é importante que conheça seus direitos.

E por onde começar?

O primeiro artigo do capítulo sobre os direitos do titular é o art. 17, que traz um aspecto bastante importante: o direito à titularidade dos dados pessoais. Parece redundante, mas a importância está exatamente em lembrar o motivo do termo “titular dos dados”. O principal intuito aqui é deixar claro que os dados pessoais não pertencem à empresa (controladora ou operadora), mas sim ao indivíduo, à pessoa física, a quem os dados dizem respeito.

Num segundo momento, esse mesmo artigo traz os direitos à liberdade, intimidade e privacidade, trazendo aqui um forte vínculo com a nossa Constituição Federal.

Mas o artigo da LGPD que realmente toma os holofotes quando falamos em direitos do titular é o art. 18. Ele traz, de forma direta e em tópicos, os direitos dos titulares que têm um caráter mais pragmático, ou seja, esse é um dos artigos que traz maior empoderamento ao titular.

Vamos falar sobre cada um desses direitos?

Confirmação da existência do tratamento

O primeiro direito é a confirmação da existência do tratamento. Como o próprio nome sugere, é o direito garantido ao titular de confirmar se a empresa (controladora ou operadora) realiza o tratamento de seus dados pessoais. Esse direito pode ser efetivado de forma simplificada (um mero “sim” ou “não” por parte da empresa, podemos assim dizer) – hipótese na qual a resposta deve ser dada de forma imediata; ou em formato completo, devendo ser respeitado, nessa segunda opção, o prazo de até 15 dias para a resposta.

E o que seria esse formato completo? Segundo a lei, “declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento” (sempre respeitando os segredos comercial e industrial, é claro).

Acesso aos dados

O segundo direito trazido pelo artigo 18 é o acesso aos dados. Aqui, a lei garante aos titulares o direito de obter uma cópia de seus dados pessoais (dentre outras informações relacionadas). Assim como no caso da confirmação do tratamento, o titular pode requisitar o acesso em formato simplificado (ou seja, de forma imediata) ou em formato completo (com o prazo de 15 dias para atender à solicitação).

Correção de dados incompletos, inexatos ou desatualizados

Também é garantido ao titular o direito à correção de dados incompletos, inexatos ou desatualizados, que consiste no direito de solicitar que os dados tratados sejam corrigidos ou atualizados.

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade

O titular tem o direito de pedir a anonimização, bloqueio ou eliminação, caso os dados pessoais tratados pela empresa se mostrem 1) desnecessários para a finalidade que justifica a realização do tratamento; 2) excessivos em relação ao necessário para alcance da finalidade; 3) em desconformidade, ou seja, caso não estejam sendo tratados para finalidades específicas ou o tratamento não seja justificável por nenhuma base legal.

Portabilidade dos dados a outro fornecedor de serviço ou produto

É garantido ao titular o direito de solicitar o compartilhamento dos dados fornecidos à empresa, ou seja, a portabilidade dos dados a outro fornecedor de serviço ou produto. Esses dados devem ser transferidos em formato estruturado, em linguagem comum e amplamente utilizada, e de forma “legível” para qualquer computador. Ou seja: de forma aproveitável para que o terceiro possa fornecer bens ou serviços ao titular.

Eliminação dos dados pessoais tratados com o consentimento do titular

Caso não deseje mais que seus dados pessoais sejam tratados pela empresa, o titular tem o direito de solicitar e eliminação de seus dados pessoais da base da empresa. É importante ressaltar, todavia, que esse direito não é absoluto: dados necessários para cumprimento de obrigação legal ou regulatória, bem como dados financeiros e outros tratados com finalidade legítima que transcende a vontade do titular não devem ser excluídos. Em hipótese de requisição desse direito, devem ser eliminados dados relacionados ao consentimento do titular, como para fins de marketing ou cadastro.

Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados

É direito do titular saber com quem os seus dados estão sendo compartilhados. Aqui, temos presente o princípio da transparência. Ou seja: não adianta colocar informações amplas e genéricas como “compartilhado com terceiros”, “parceiros terão acesso aos dados pessoais”.

Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa

Para que o consentimento seja considerado realmente livre, é necessário que a empresa dê a informação sobre a possibilidade de não fornecer consentimento. Junto a essa informação, devem ser apresentadas as consequências de não fornecer o consentimento, como possíveis prejuízos na experiência do usuário, menor customização, limitação de acesso a determinadas “áreas logadas” que necessitem desse consentimento, dentre outras. Aqui também vemos presente o princípio da transparência.

Revogação do consentimento

O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado. É importante ressaltar que os tratamentos realizados anteriormente sob amparo desse consentimento retirado continuam válidos, até que haja expressa manifestação do titular pela eliminação de tais dados.

O que mais temos a dizer sobre o assunto?

O formato das informações fornecidas ao titular pode ser eletrônico ou de forma impressa (fica à critério do titular requisitante a escolha do formato preferido).

O titular dos dados tem direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Os procedimentos devem ser garantidos de forma facilitada e gratuita.

Bom, por hoje é só. Espero ter ajudado você, titular, a compreender melhor os seus direitos, bem como você, empresa, a compreender aquilo que precisará ser garantido aos titulares até agosto de 2020. Melhor não deixar a adequação para última hora, não é mesmo?

Até a próxima edição!

Anonimização, pseudonimização e criptografia: Perguntas frequentes, definições e o que diz a LGPD

Gisele Kauer — Tue, 05 Nov 2019 18:42:01 +0000

Anonimização, pseudonimização e criptografia: Perguntas frequentes, definições e o que diz a LGPD

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

No dia a dia da proteção de dados, a anonimização é uma das questões que aparentemente mais intriga os nossos clientes: especialmente por apresentar em si a possibilidade de não incidência da lei.

Veremos aqui cada uma das questões mais frequentes que aparecem no nosso cotidiano. O objetivo é trazer uma compreensão do que é ou não é anonimização, o que é pseudonimização e acabarmos com uma dúvida que sempre aparece sobre a relação entre criptografia e anonimização – afinal, elas são sinônimos? preciso criptografar para anonimizar? O que a lei fala sobre criptografia?

O que é anonimização?

A palavra “anonimização”, dentro do senso comum, traz a ideia de tornar algo (ou alguém) não identificável, ou seja, tirar a possibilidade de associação de um indivíduo a um nome ou identidade.

Falando de sua etimologia, a palavra vem do grego “anōnumos”, (an- “sem” + onoma “nome”), já trazendo em si a ideia não identificação, ainda que num contexto ligeiramente diferente da nossa atual sociedade da informação. E no contexto da proteção de dados pessoais?

A LGPD – Lei Geral de Proteção de Dados traz a seguinte definição:

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Além disso, a lei também traz a definição de “dado anonimizado”:

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

E como se dá este processo? Para trazer uma explicação de forma simplificada e mais visual, veja o infográfico abaixo.

A anonimização consiste em um processo que tem o objetivo de impossibilitar a identificação do titular dos dados. Numa utilização prática, seria uma alternativa mais segura, por exemplo, para empresas que desejam utilizar dados pessoais para fins com viés mais “estatístico”. São atividades onde não é necessário que se identifique diretamente o titular, mas que algumas informações são relevantes para uma metrificação, análise estatística. Como exemplo: quantas mulheres estavam presentes em determinado evento?; quais são as profissões/áreas de atuação dos inscritos em determinado curso?; qual é a faixa etária média entre os usuários de determinado aplicativo?

É importante destacar que, para que se categorize de fato ANONIMIZAÇÃO (e não pseudonimização, conforme veremos adiante) é necessário que a desassociação das informações que possam identificar diretamente o indivíduo seja um procedimento irreversível ou, pelo menos, realizado por meios técnicos exclusivamente próprios, que possam ser considerados razoáveis, seguros e suficientemente atualizados no critério espaço temporal, de modo que a sua reversão seja consideravelmente custosa e dificultada em questão de tempo despendido e habilidades técnicas necessárias para realizar o processo de reversão (reidentificação dos titulares).

De forma geral, a forma mais segura de se realizar a anonimização seria a exclusão dos identificadores diretos (ex.: nome, RG, CPF, passaporte), de forma definitiva e buscando, inclusive, apagar possíveis registros e rastros remanescentes que possam levar à recuperação de tais dados (e, consequentemente, à reidentificação dos titulares).

Outro artigo da LGPD que não podemos esquecer ao tratarmos de anonimização é o artigo. 12:

Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

Este artigo define que os dados anonimizados não são classificados como dados pessoais perante à LGPD; ou seja, que a Lei Geral de Proteção de Dados não se aplica a tais dados.

Daqui, também podemos extrair a seguinte informação: caso o processo de anonimização possa ser revertido (ainda que mediante esforços razoáveis), não estamos mais falando de dados anonimizados (e, portanto, não mais falamos da não incidência da LGPD) – a não ser que, no processo de reversão, a empresa utilize exclusivamente meios próprios (estes considerados razoáveis na ocasião do tratamento).

Por fim, temos os parágrafos que acompanham o art. 12 da LGPD:

1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis e a utilização exclusiva de meios próprios.

2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

A LGPD exige anonimização?

A resposta é não. A lei somente traz a anonimização como uma opção em determinadas circunstâncias, mas não é um procedimento obrigatório para quem deseja tratar dados pessoais.

Como já pontuamos, o grande atrativo da anonimização é justamente a não incidência da LGPD sobre dados anonimizados. Portanto, caso a sua empresa/cliente não precise identificar diretamente os titulares dos dados, recomende a anonimização! É melhor para os titulares e pode ser melhor para o bolso de quem não quer correr o risco de ser sancionado pela Autoridade Nacional.

O que é pseudonimização?

A lei brasileira de proteção de dados pessoais não traz uma definição de pseudonimização no seu rol de definições. Ela somente aparece no art. 13, §4º, num contexto sobre tratamento de dados referente a estudos em matéria de saúde pública:

Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

A definição é bem semelhante à trazida pelo GDPR – General Data Protection Regulation:

Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

Abaixo, trago outro infográfico para ilustrar a ideia.

Diferente da anonimização, a pseudonimização não exclui a incidência da LGPD aos dados pessoais tratados. Ela representa somente um meio mais seguro de tratar os dados pessoais quando ainda há um interesse em manter os identificadores diretos do titular. A ideia é que estes sejam mantidos de forma separada. É comum que os dados pessoais, como nome e números de documentos, sejam substituídos por identificadores indiretos (um número ou código alfanumérico que possa ser utilizado para reunir os dados pessoais identificáveis com aqueles que, por ora, encontram-se pseudonimizados).

O que é criptografia?

Decidi trazer esse tópico pois, curiosamente, de uns tempos para cá, a criptografia vem sendo um constante foco de perguntas na LGPD, especialmente em conjunto com a anonimização (e trarei adiante respostas a algumas delas).

Caso você não conheça o conceito de criptografia, não se preocupe! Veja abaixo um infográfico para ilustrar.

De forma bastante simplificada, a criptografia é sobre codificar e decodificar dados. Basicamente, ela consiste em uma prática na qual um dado é codificado por meio de um algoritmo (no exemplo acima, uma mensagem enviada é codificada). Esse algoritmo trabalha de forma conjunta com uma chave, que define como a mensagem será cifrada (codificada).

Há dois tipos de criptografia:

Simétrica – onde uma única chave é utilizada para codificar e decodificar os dados.
Assimétrica – onde uma chave é utilizada para codificar os dados (chamada “chave pública”) e uma outra é utilizada para decodificar os dados (chamada “chave privada”). Aqui, também é possível identificar a identidade do usuário (por isso considerada mais confiável).

Criptografar é a mesma coisa que anonimizar?

A criptografia pode ser utilizada nos processos de anonimização e pseudonimização; mas não é, necessariamente, um sinônimo.

A lei, em algum momento, exige a encriptação de dados?

Uma pergunta frequente com a qual nos deparamos é se a lei exige que a empresa que trata dados pessoais aplique a criptografia.

A palavra criptografia se quer aparece no texto da LGPD. Ela pode ser utilizada como uma boa prática em segurança da informação e proteção de dados, mas não existe qualquer obrigatoriedade em utilizá-la.

Bom, por hoje é isso. Espero ter conseguido esclarecer algumas dúvidas e trazer o conteúdo de forma mais simplificada.

Vamos falar sobre sanções na LGPD?

Gisele Kauer — Wed, 02 Oct 2019 19:33:42 +0000

Vamos falar sobre sanções na LGPD?

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

Para quem já conhece a minha participação aqui na Infra News Telecom, seja bem-vindo (a) a mais um LGPD – Lei Geral de Proteção de Dados sem “juridiquês”. Mas, caso você seja novo (a) por aqui, minha proposta é apresentar os principais pontos da LGPD da forma mais descomplicada possível, com um pouco de bom humor e acessível para todos (não apenas para o pessoal do jurídico).

Nesta edição, vamos falar do ponto que fez da lei uma preocupação para tantas empresas darem atenção à proteção de dados pessoais como nunca antes: AS SANÇÕES.

A LGPD traz, no art. 52, um rol de sanções que serão aplicadas pela Autoridade Nacional em hipótese de infração às normas previstas na lei.

É interessante compreender que as sanções se aplicam à infração a qualquer norma prevista na LGPD. Isso quer dizer que se atentar aos princípios é tão relevante quanto observar dispositivos de caráter mais pragmático/objetivo.

Vamos às sanções

A primeira penalidade trazida pela lei é a ADVERTÊNCIA, considerada a mais branda entre o rol de sanções administrativas. Ainda que pareça inofensiva, é importante destacar que a advertência vem acompanhada da indicação de prazo para a adoção de medidas corretivas. A não adoção de medidas no prazo indicado pode configurar nova infração e ensejar numa sanção mais rígida para a empresa.

A segunda sanção à qual a lei se refere é a MULTA SIMPLES. O valor da multa pode chegar em até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos – mas é limitada ao total de R$ 50 milhões por infração.

Devemos nos atentar ao “por infração”: ainda não há certeza se a Autoridade irá considerar como uma única infração, mas podemos pensar em infração como cada incidente ou cada dispositivo violado da lei em um único incidente (há ainda aqueles que arriscam mais alto e entendem que poderia ser, inclusive, o valor pago por cada dado vazado, por exemplo – ainda que pareça improvável, não é impossível).

Além da multa simples, o art. 52 traz uma outra modalidade de multa: a MULTA DIÁRIA, observando o mesmo limite colocado na multa simples. Essa possibilidade assusta, considerando que, mesmo com esse teto, a possibilidade de aplicação de multa diária pode significar um prejuízo considerável para o infrator – podendo, de fato, atingir de forma significante o faturamento até mesmo de empresas que talvez R$ 50 milhões, por si só, não represente um grande impacto econômico.

Ainda que as multas ganhem o highlight entre as infrações, é importante considerarmos que os danos indiretos podem ser maiores do que os danos diretos: perda de valor da marca, impactos na confiança dos clientes e investidores, desvalorização de ativos e perda de contratos são só alguns destes. Por isso, a PUBLICIZAÇÃO talvez traga maior impacto que a multa, dependendo da natureza da infração e do ramo do negócio. Ela está entre as sanções dispostas no art. 52, e só pode ser aplicada após a devida apuração do caso e confirmação da ocorrência.

Por último, temos outras duas formas de sanções que impactam o negócio também de forma indireta e podem significar uma paralisação parcial de operação e perda de ativo: o BLOQUEIO dos dados pessoais referentes à infração (até a devida regularização) e a ELIMINAÇÃO dos dados pessoais referentes à infração.

Todas as sanções mencionadas somente serão aplicadas após procedimento administrativo que assegure a ampla defesa do acusado. Serão consideradas peculiaridades do caso concreto e a lei traz alguns parâmetros e critérios para a avaliação daquilo que será aplicado, como:

A GRAVIDADE e a NATUREZA das infrações e dos direitos pessoais afetados.
A BOA-FÉ do infrator.
A VANTAGEM AUFERIDA ou pretendida pelo infrator.
A CONDIÇÃO ECONÔMICA do infrator.
A REINCIDÊNCIA.
O GRAU DO DANO.
A COOPERAÇÃO DO INFRATOR.
A ADOÇÃO REITERADA E DEMONSTRADA DE MECANISMOS E PROCEDIMENTOS INTERNOS capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto na própria LGPD.
A adoção de POLÍTICA DE BOAS PRÁTICAS E GOVERNANÇA.
A pronta adoção de MEDIDAS CORRETIVAS.
A PROPORCIONALIDADE entre a gravidade da falta e a intensidade da sanção.

Bom, por hoje é isso! Espero ter esclarecido um pouco sobre esse ponto que tanto preocupa na nossa Lei Geral de Proteção de Dados – e, é claro, que eu tenha conseguido passar a ideia de que, ainda que as multas tragam a perda financeira direta, as demais infrações geram danos indiretos que podem ser tão graves quanto as multas ou até representarem perdas financeiras maiores em longo prazo.

Agradeço a todos que estão acompanhando os meus artigos, e até o próximo mês.

Consentimento: Muito mais do que “li e aceito”

Gisele Kauer — Fri, 30 Aug 2019 18:35:55 +0000

Consentimento: Muito mais do que “li e aceito”

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

O consentimento já era um velho conhecido dos usuários assíduos da Internet: termos de uso e políticas de privacidade quilométricos, letras pequenas e sem espaçamento. Se para nós, que somos do mundo do direito, já era bem difícil de lê-los, imagine para quem não era do ramo.

Tantas vezes soava como se a intenção fosse torná-los impossíveis de serem lidos ou ao menos dificultar bastante a compreensão.

E se tivesse algo que eu não concordasse? Bom, o problema era meu. Isso porque, muitas vezes, aquele texto denso vinha acompanhado de uma única check-box, já pré-assinalada, onde se lia “li e aceito os termos de uso e a política de privacidade”. Ou aceitava ou não usava a plataforma. Mesmo que discordasse com um único item em meio ao textão e que as informações solicitadas nada tivessem a ver com o bem ou serviço.

Tivemos casos como aquele que ficou famoso, do aplicativo de lanterna para smartphones, que pedia permissão de acesso à localização do usuário via GPS e inclusive à câmera do aparelho (com a permissão para tirar fotos e gravar vídeos).

E com a LGPD? O que muda?

A Lei Geral de Proteção de Dados define o consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade”.

Isso quer dizer que a empresa precisa demonstrar que:

1 – Houve liberdade de escolha.

2 – Houve informação sobre a escolha.

3 – Houve consciência de que a escolha estava sendo feita.

4– Há nexo entre os dados tratados e a(s) finalidade(s).

Livre

Para que o consentimento possa ser classificado como livre, a coleta deve implicar numa verdadeira escolha para o titular dos dados: ou seja, este não pode se sentir coagido a consentir ou exposto a consequências negativas, caso não dê o consentimento (sem que haja nexo entre o consentimento para o tratamento de determinado dado e a sua finalidade).

O ônus da prova de que o consentimento foi obtido de forma livre cabe à empresa.

Informada

No mesmo sentido, a empresa deve comprovar que houve transparência com o titular, para que este possa tomar uma decisão com a real compreensão daquilo com o que está consentindo.

A empresa tem que utilizar uma linguagem clara e informal. Assim, a mensagem deve ser de fácil compreensão para uma pessoa comum, e não apenas para advogados.

Inequívoca

Precisa ser óbvio ao titular que ele deu o consentimento para o tratamento de seus dados, sempre de forma positiva ou de uma verdadeira declaração. Pode ser uma declaração escrita ou em formato opt-in, onde fique clara a finalidade e os dados necessários à atividade.

Ainda que seja prática comum, a obrigação ao titular de descer a página com o cursor por toda a política/contrato não satisfaz o requisito de um “ato positivo e inequívoco”. Caso haja uma grande quantidade de texto (ou ele se mostre de difícil compreensão ou leitura), não há validade no consentimento dado, pois o usuário pode ter sido induzido ao erro.

“Para finalidade determinada”

Por fim, a empresa deve expor na política/contrato a finalidade específica para a qual deseja obter o consentimento do usuário; e, caso haja mais de uma finalidade, é necessário o consentimento para cada uma das finalidades, isoladamente. No caso de uma única finalidade, mesmo com a necessidade de coleta de mais de um dado ou categoria de dado do usuário, basta um único consentimento.