admin

LGPD: Como Implementar na Sua Empresa?

A LGPD (Lei Geral de Proteção de Dados) é a legislação brasileira de proteção de dados pessoais que se assemelha àquela que entrou em vigor na União Europeia em 2018 (GDPR). Contudo, a Lei brasileira entrará em vigor apenas em agosto de 2020.

Mesmo assim, como existem diversos pontos sensíveis em relação a essa questão, as empresas precisam começar a se adequar às novas normas desde já. Caso deixem para fazer isso na última hora, certamente enfrentarão grandes problemas. É possível inclusive que incorram em irregularidades e sejam punidas por isso.

Dessa forma, para ajudar você no tocante a esse assunto, detalharemos abaixo 3 das ações indispensáveis para a correta implementação da LGPD na sua empresa. Confira!

Criação de uma governança sobre o tratamento dos dados

Um aspecto indispensável para que a sua empresa implemente a LGPD adequadamente é ter um projeto de governança sobre o tratamento dos dados pessoais. Isso porque é essencial saber todos os detalhes sobre os dados. São coisas como:

  • Como eles foram coletados (se teve o devido consentimento da pessoa física);
  • Por que e como eles estão sendo usados (para quais finalidades).

Cada tratamento que é realizado deve ser devidamente mapeado e deve haver uma justificativa para aquela ação ter acontecido. Mas para que exatamente serve isso?

O intuito desse mapeamento é resguardar a organização contra eventuais acusações de irregularidade. Isso porque, em algumas situações, a Autoridade Nacional de Tratamento de Dados poderá solicitar essas informações. O objetivo dessa autoridade é exatamente fiscalizar as empresas e entender como elas estão tratando os dados pessoais coletados.

Por isso, as organizações precisam ter o que chamamos de “cadeia de custodia auditável”. É isso que possibilitará a adequada explicação do porquê de a empresa estar tratando aqueles dados e mostrar de forma eficiente toda a trajetória do dado dentro da companhia.

Desenvolvimento de um procedimento para notificação de vazamento

A notificação de vazamento é um conceito novo em se tratando da proteção de dados no Brasil. Na verdade, a LGPD não especifica detalhadamente essa questão. Porém, no âmbito da nova legislação, vazamento tem um conceito mais amplo. Ele envolve coisas que vão além do vazamento na acepção da palavra (a saída do dado), e envolvem eventos diversos, tais como:

  • Destruição;
  • Acesso indevido;
  • Perda; e
  • Alteração.

Até hoje, a ocorrência de um vazamento de dados, na maioria das vezes, é mantida em segredo dentro da empresa. Isso porque não há a obrigação legal de tornar isso público ou notificar alguma autoridade ou mesmo as próprias pessoas que tiveram seus dados vazados.

Contudo, a LGPD traz a obrigatoriedade da notificação de vazamento. Sendo que os prazos relativos a essa questão ainda serão definidos pela Autoridade Nacional de Proteção de Dados. Mas é possível ter uma ideia disso usando a legislação da União Europeia (GDPR) como referência.

Prazo para a realização da notificação

No caso da GDPR, o prazo para as empresas notificarem a autoridade responsável sobre um vazamento é de 72 horas. Ou seja, é um espaço de tempo bastante curto para efetivar todas as aprovações necessárias para a realização da notificação.

Exatamente por isso, um dos aspectos essenciais para a devida implementação da LGPD é a criação de um procedimento que viabilize realizar essa notificação (caso ocorra um vazamento) dentro do prazo estipulado pela Autoridade Nacional de Proteção de Dados. Esse procedimento, naturalmente, deve decidir previamente coisas como:

  • Em quais situações a empresa realizará a notificação;
  • Como acontecerá essa notificação (os meios pelos quais ela será realizada); e
  • Quais serão as aprovações (internas) necessárias para a realização da notificação.

Vale destacar ainda que a LGPD cita a necessidade de notificação à Autoridade e também aos titulares dos dados. Porém, em relação ao segundo ponto, ainda é necessário ter mais esclarecimentos para tratar sobre ele adequadamente. De qualquer forma, isso representará mais um desafio para as empresas no tocante à implementação da nova Lei.

Concepção de um processo para disponibilizar informações solicitadas pelos titulares dos dados

A LGPD estabelece que, quando houver a solicitação, as empresas devem disponibilizar, em um prazo de 15 dias, informações sobre o tratamento dos dados aos seus titulares.

Por isso, as organizações precisam criar todo um processo para viabilizar o exercício desse direito dos titulares. O primeiro passo é estabelecer uma forma de os titulares entrarem em contato para apresentar a solicitação. Realizado esse pedido, os titulares devem receber uma resposta em até 15 dias, de uma maneira inteligível, porém segura (para evitar vazamento).

Desse modo, a criação desse processo para a disponibilização de informações aos titulares dos dados é essencial. Sem isso, é provável que as organizações enfrentem sérios problemas.

Conclusão

O que as empresas precisam ter em mente é que implementar a LGPD não se trata de um processo específico. Não é algo que pode ser feito do dia para a noite. Na verdade, trata-se de uma jornada. E que não termina um dia, é uma nova cultura que exigirá verificação, melhoria e atualizações constantes.

Isso acontece exatamente pelo fato de ser necessário criar novos processos e procedimentos dentro das organizações. Ou seja, tudo depende de questões, muitas vezes, sensíveis, e que precisam ser trabalhadas com muito cuidado. Apenas assim é possível implementar a LGPD na sua empresa de forma segura e eficiente.

A sua empresa precisa de auxílio especializado para implementar a LGPD? Então entre em contato com o PK Advogados e saiba como podemos ajudá-la nesse processo!

Quais São as Maiores Dificuldades Que as Empresas Enfrentarão para Implementar a LGPD?

A LGPD (Lei Geral de Proteção de Dados) vai entrar em vigor apenas em agosto de 2020. Porém, são tantos detalhes para os quais as empresas precisam se atentar, que é essencial começar o processo para Implementar a LGPD.

Para se ter uma ideia, as empresas precisaram rever profundamente todas as formas pelas quais coleta, armazena e processa dados pessoais, sejam eles de prospects, clientes, parceiros, colaboradores, prestadores de serviço, visitantes, seguidores, assinantes, entre outros.

Contudo, a maioria das organizações, até mesmo aquelas que já começaram esse processo, está enfrentando muitas dificuldades para Implementar a LGPD. Sendo que o desafio não se refere apenas à compreender os novos dispositivos legais.

Por isso, destacaremos abaixo quais são as maiores dificuldades que as empresas enfrentarão para implementar a LGPD adequadamente e como elas podem ser solucionadas. Confira!

Necessidade de assessoria jurídica especializada para Implementar a LGPD

Apesar do tema ganhar cada vez mais relevância à medida em que o prazo para entrada da lei em vigor se aproxima, muitas empresas ainda estão totalmente por fora do tema LGPD.

Vários são os motivos que levam as empresas a não dar o devido tratamento ao assunto. É comum que a complexidade do tema ainda não tenha sensibilizado a alta gestão da empresa. Em outros casos, embora um ou outro departamento compreenda a situação, não consegue alinhar isso internamente entre os vários setores que serão impactados (Jurídico, RH, TI, Compliance, Segurança da Informação). E assim o assunto vai sendo empurrado com a barriga e o início do projeto é adiado, trazendo cada vez mais riscos para a empresa.

E o pior é que, mesmo no caso daquelas que já estão atentas a essa questão, o fato de Implementar a LGPD ainda está longe de acontecer. E isso acontece especialmente devido ao fato de profissionais capacitados para liderar e gerir esse processo.

Quando se deparam com o tamanho do trabalho a ser realizado, a complexidade das medidas existentes para ficar em conformidade com a lei e o nível de responsabilidade em caso de violação, muitos desistem de tocar o projeto.

Portanto, a principal medida para Implementar a LGPD é ter uma assessoria jurídica especializada. Sem isso, é pouco provável que as áreas internas consigam implementar a LGPD adequadamente.

Projeto exige uma solução que englobe conjuntamente as questões jurídicas e tecnológicas

A adequada implementação da LGPD tem uma necessidade relativa a processos, políticas e também a adaptações tecnológicas. Ou seja, apenas com a visão jurídica (que é indispensável) não é possível suprir todas as demandas das empresas.

Por outro lado, uma solução tecnológica sem o amparo da visão jurídica, poderá colocar a empresa em risco tanto quanto se não houvesse executado um projeto de proteção de dados.

Nesse sentido, vale a pena ressaltar que a Lei não se aplica apenas a empresas de tecnologia. Na realidade, todas as organizações, independentemente do segmento, precisam se adequar às novas normas.

Nesse contexto, as empresas que não possuem processos tecnológicos específicos tendem a ter mais dificuldade para se adequar à LGPD. Isso porque o tratamento dos dados pessoais já é algo complexo quando é realizado com auxílio da tecnologia. Sem isso, tudo fica ainda mais difícil.

Portanto, a demanda por uma solução que englobe os aspectos jurídicos da legislação e também os fatores relativos aos processos tecnológicos representa uma grande dificuldade para as organizações.

Conclusão sobre Implementar a LGPD

Obviamente, a implementação da LGPD representa um desafio para as empresas. De fato, não é simples se adaptar a uma nova Lei, especialmente quando ela possui tantos aspectos sensíveis.

De qualquer forma, buscando o devido auxílio e se preparando desde agora, é possível que esse processo ocorra sem dores de cabeça. É possível ter um resultado final bastante satisfatório. Até porque, a legislação de proteção de dados também tende a gerar muito valor para as organizações que lidam com dados pessoais.

Você quer implementar a LGPD na sua empresa da forma mais adequada possível e sem ter dores de cabeça? Então entre em contato com o PK Advogados para conhecer a solução completa (envolvendo todos os aspectos jurídicos e tecnológicos) que desenvolvemos em com nossos parceiros de tecnologia.

O Que é LGPD e Quando Ela Entrará em Vigor?

Você quer saber quando a LGPD entra em vigor? O uso que as empresas fazem dos dados pessoais coletados dos seus clientes, colaboradores e usuários de sites tem sido alvo de muitos debates nos últimos anos. Especialmente devido a vazamentos de informações que expõem a privacidade das pessoas.

Por isso, acompanhando o que aconteceu na UE (União Europeia) em 2018, com a entrada em vigor do GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados), o Brasil criou a sua própria Lei de Proteção de Dados. Trata-se da LGPD (Lei Geral de Proteção de Dados).

Ela afetará todas as empresas (brasileiras e estrangeiras) que coletarem, armazenarem ou processarem dados pessoais de indivíduos residentes ou localizados no Brasil.

Desse modo, para ajudar àqueles que ainda não estão por dentro dos aspectos básicos sobre esse assunto, mostraremos a seguir o que é a LGPD e quando ela entrará em vigor. Leia atentamente e tire as suas dúvidas!

O que é e quando a LGPD entra em vigor?

Como foi destacado acima, LGPD é a sigla para “Lei Geral de Proteção de Dados”. Trata-se da legislação brasileira sobre o uso de dados pessoais por parte das empresas.

Para entender exatamente o que é a LGPD, é essencial ter em mente algumas definições específicas. Vamos a elas:

Dados Pessoais

No âmbito da LGPD, dados pessoais são informações relacionadas à pessoa física identificada ou identificável. Esta última palavra requer atenção porque, às vezes, os dados não identificam a pessoa diretamente, mas possibilitam que haja essa identificação por outros meios. É como acontece, por exemplo, no caso de um apelido.

Fato é que esses dados representam o principal ponto de atenção em relação à nova legislação. Nesse sentido, vale destacar que dados pessoais são informações como:

  • Nome;
  • Endereço;
  • RG;
  • CPF;
  • Números de telefone;
  • Números de IP.

Consentimento

Em 2018, todas as pessoas que possuíam contas em diversos serviços,  empresas e plataformas receberam uma notificação solicitando o consentimento com a entrada em vigor da GDPR.

Isso aconteceu porque as empresas estavam adequando suas políticas de privacidade à nova legislação europeia. Com isso, elas precisavam renovar o consentimento dos usuários em relação aos novos dispositivos legais.

O consentimento é uma das formas mais visíveis para as empresas poderem tratar dados. Ele funciona como a autorização, por parte da pessoa física, para que a empresa faça o tratamento daquela informação.

A LGPD fala em 10 formas que autorizam legalmente o tratamento dos dados. Mas o consentimento é, apenas, uma delas.

Tratamento

O conceito de tratamento no âmbito da LGPD é bastante amplo. Mas pode-se dizer resumidamente que ele se refere ao ciclo de ponta a ponta durante o qual o dado pessoal está sob o poder da empresa.

Ele começa com a entrada do dado na organização, ou seja, desde à coleta. Então passa por todas as operações realizadas e se encerra quando há a eliminação das informações dos sistemas da empresa. Nesse sentido, vale destacar que operações são coisas como:

  • Controle;
  • Armazenamento;
  • Processamento;

Anonimização

Anonimização é uma palavra pouco conhecida. Porém, o seu entendimento não é tão complexo. Trata-se da utilização de alguma tecnologia para tornar determinado dado não vinculado a uma pessoa.

Com isso, o dado perde a característica de dado pessoal. Isso acontece, por exemplo, quando uma empresa não tem mais o consentimento da pessoa física para tratar os dados dela, mas usa um recurso para permanecer com parte daquela informação, porém, sem manter a identificação do titular.

Assim, a anonimização é uma das formas de realizar a eliminação da característica de dado pessoal de uma determinada informação.

Fato é que, entendendo essas 4 definições, é possível ter uma compreensão mais adequada da LGPD. Isso porque o intuito da Lei é exatamente regulamentar o uso de dados pessoais por parte das empresas.

Quando a Lei Geral de Proteção de Dados entrará em vigor?

Embora tenha sido criada em 2018, a LGPD entrará em vigor apenas em 16 de agosto de 2020. Esse tempo entre a criação e a efetivação da Lei é importante justamente para que as empresas se preparem adequadamente.

Além das questões jurídicas, especialmente no caso das organizações que lidam com grandes volumes de dados pessoais, é necessário desenvolver ou adaptar sistemas de informática para conseguir suprir toda a demanda referente ao mapeamento da utilização (coleta, processamento, eliminação…) desses dados.

Vale destacar que um dos maiores desafios para as empresas será implementar os processos e ferramentas pelos quais atenderá e proporcionará o exercício dos direitos dos titulares dos dados pessoais, tais como os direitos de retificação, exclusão e portabilidade.

Conclusão sobre quando a LGPD entra em vigor

A LGPD afetará absolutamente todas as empresas, pois é sabido que, de alguma forma, toda e qualquer empresa lida com dados pessoais de indivíduos. Por isso, entender quando a LGPD entra em vigor é essencial para as organizações.

Para ajudar as empresas que querem se adequar à quando a LGPD entra em vigor, o PK Advogados desenvolveu o Curso PK sobre LGPD. Trata-se de um curso in company, com duração de 8 horas, que engloba todos os principais pontos da LGPD. Para saber mais detalhes, basta clicar aqui!

Principais Diferenças Legais Entre o Comércio Eletrônico e o Comércio Comum

Já há algum tempo, empresas e empresários notaram que precisariam se atualizar e se modernizar para acompanhar o rápido e constante avanço da tecnológica em praticamente todos os setores e segmentos industriais. Um exemplo de setor industrial que nasceu com esse avanço foi a não mais tão nova modalidade de comércio: o Comércio Eletrônico, que  começou como uma forma de auxiliar as atividades do comércio comum e hoje tem lojas exclusivamente virtuais, os consumidores se transformaram em usuários da internet, as lojas físicas em plataformas virtuais, os pagamentos passaram a ser feitos online (através de integradoras de pagamento ou por boletos) e os lojistas/vendedores, quem diria, se transformaram em atendentes virtuais ou simplesmente em servidores de internet.

O comércio eletrônico possibilita às empresas e empresários que atuam nesse segmento dar uma maior visibilidade de seu negócio além de alcançar um grupo bem maior de consumidores com grande velocidade.

Para os leigos no assunto, o e-commerce é uma atividade simples, de baixa complexidade de execução e baixo custo já que não é necessário investir, por exemplo, em aluguel de loja física, em contratação de funcionários etc., porém a realidade não é bem essa: um e-commerce de sucesso precisa contar com uma estrutura sólida, permanente e multidisciplinar que ofereça suporte tanto à loja virtual quanto aos consumidores/usuários.

Apesar de diferentes daqueles investimentos necessários para uma loja física, a estrutura do comércio eletrônico também precisa de investimentos, como por exemplo: servidores de internet, desenvolvimento, monitoramento e atualização constante de plataformas virtuais, certificadores de ambiente seguro, integradoras de pagamento, empresas de logística, call center etc.

Além das diferentes formas de estruturação, das necessidades específicas de investimento e várias exigências legais, também se aplicam regras e leis exclusivas às lojas virtuais, conforme destacamos abaixo.

Principais diferenças legais entre o comércio eletrônico e o comércio comum

A principal característica do e-commerce é que suas transações ocorrem, quase 100% das vezes, em ambiente virtual. A plataforma, além de estar sujeita às regras impostas pelo Código de Defesa do Consumidor, também deve obedecer às regras do Marco Civil da Internet, à Lei de Proteção de Dados (LGPD) e ao General Data Protection Regulation (GDPR). Apesar de o GDPR ser uma legislação europeia, suas regras se aplicam a todas as pessoas físicas residentes na Europa ou que forneçam dados pessoais de dentro do território europeu.

Essas leis, relativamente novas, trouxeram várias regras referentes a coleta, uso e transferência de dados dos usuários que merecem uma atenção especial dos e-commerces.

Como os e-commerces podem garantir o cumprimento das exigências da lei, sua proteção e de seus consumidores?

Uma loja virtual deve ter um layout atrativo, organizado, utilizar-se de linguagem compreensível, clara e direta e ainda ter uma navegação simples que facilite a visualização e acesso a todas as informações desejadas pelos consumidores. Essa será a primeira impressão da loja virtual pelo usuário, então é realmente muito importante.

Aspectos relacionados às lojas físicas, seriam por exemplo a organização da loja, facilidade de visualização dos produtos, indicação clara e precisa dos preços e descontos, aquela fragrância que se sente ao passar na frente da loja etc.

Manter-se sempre em conformidade com a lei

Um e-commerce deve obedecer às regras impostas pelo Código de Defesa do Consumidor, pelo Marco Civil da Internet, pela LGDP (que entrará em vigor em 2020) e pelo GDPR.

De acordo com essas leis, as transações realizadas em ambientes virtuais precisam garantir proteção aos usuários.

Por exemplo, uma loja virtual deve:

  • Possuir um ambiente seguro para que o usuário acesse, forneça seus dados pessoais e realize as transações necessárias (como o pagamento);
  • Indicar, em local de fácil visualização, o endereço físico da empresa e dados de contato (e-mail, SAC etc);
  • Indicar, em local de fácil visualização, links que redirecionem o usuário ao PROCON ou a órgãos de proteção ao consumidor competentes para auxiliá-lo em caso de eventuais problemas durante a transação;
  • Possuir Termos e Condições de uso da plataforma e dos serviços online que indiquem, de forma clara e precisa, as regras de utilização do site pelo usuário, com orientações, por exemplo, de como realizar uma compra, qual o prazo de entrega do produto, quais políticas de troca, quais as formas de pagamento aceitas, qual horário de atendimento ao cliente, entre outras informações e/ou regras importantes relacionadas às transações;
  • Possuir uma Política de Privacidade informado quais dados serão solicitados ao usuário para cadastro no site, para realização de pagamentos, para obtenção de endereço de entrega etc. Nela também devem ser informadas quais as finalidades de uso dos dados coletados do usuário e quais medidas a empresa adota para manter os dados seguros e protegidos.

Essas leis aplicáveis ao e-commerce também determinam que não basta a existência dos termos e política. É necessário o aceite expresso de todo o teor desses documentos pelos usuários e sem tal aceitação, não deve ser permitido que o usuário realize qualquer transação na loja virtual ou forneça qualquer dado.  Como as regras do Código de Defesa do Consumidor também devem ser obedecidas pelos e-commerces, é importante que este “aceite” seja armazenado pela plataforma em local seguro para que, em caso de inversão do ônus da prova, a empresa consiga provar que foi autorizada a coletar e usar os dados do usuário.

Entender um pouco mais sobre o GDPR e sobre a LGPD

As leis de proteção de dados surgiram para controlar a forma de coleta, o uso, o compartilhamento e demais formas de tratamento dos dados pessoais dos usuários. É extremamente importante que os e-commerces atuem em conformidade com todas essas regras.

O GDPR entrou em vigor em 2018 e apesar de prever as regras do tratamento de dados pessoais para a União Europeia ele afeta empresas do mundo todo já que é aplicável para estrangeiros que realizem qualquer transação em ambiente virtual dentro do território europeu.

Quando a LGPD entrar em vigor, em agosto de 2020, ficará regulada a forma através da qual as empresas (nacionais ou estrangeiras) farão o tratamento de dados pessoais coletados de indivíduos residentes ou localizados no Brasil.

Para maiores detalhes referentes às leis de proteção de dados que devem ser obedecidas pelas empresas de e-commerce, veja os outros artigos sobre o assunto aqui no nosso blog.

Futuro promissor para um mercado tecnológico e inovador

O comércio eletrônico já ocupou seu espaço no mercado mundial e vem conquistando a aceitação e a confiança dos consumidores que se beneficiam da praticidade e do conforto de poder realizar suas compras rapidamente, por vezes, através do próprio celular.

Sem dúvidas, podemos acreditar que este é um segmento promissor para o mercado tecnológico e inovador e caberá às empresas e aos empresários atuantes nessa área manterem-se sempre atualizados e atentos às regras e à legislação que seguirão se atualizando.

Como Compreender a Legislação da TI no Brasil

Atualmente, o Brasil figura no ranking dos 5 principais países do mundo no que se refere ao faturamento do mercado de Tecnologia da Informação (TI) e Telecomunicações. O país tem uma receita de US$ 212 bilhões nesse segmento.

No entanto, não existe uma lei geral da tecnologia da informação no Brasil. A legislação é formada por diversas leis, sendo algumas específicas sobre a matéria e outras a questão da tecnologia é tratada dentro de uma norma mais ampla, de outro segmento.

Diante disso, são cada vez mais relevantes e necessários os serviços jurídicos especializados que compreendem a dinâmica desse setor e prestam auxílio em questões específicas dos negócios de TI.

Contudo, para que os escritórios de advocacia consigam oferecer esses serviços, é essencial não apenas entender todas essas normas que envolvem a TI no Brasil, mas também entender de tecnologia propriamente dita e como ela se insere nos modelos de negócios das empresas.

Por isso, o intuito desse artigo é exatamente proporcionar uma visão geral sobre algumas dessas normas. Confira!

Negócios on-line

Apesar do avanço de muitas outras tecnologias, a internet ainda continua sendo aquela que mais oferece oportunidades de negócio, uma vez que cada vez mais pessoas têm acesso à rede.

Dessa forma, entender os negócios on-line e suas demandas jurídicas é o primeiro passo para compreender a Lei da TI no Brasil. Isso passa pela análise de diversos pontos. Veja alguns deles abaixo!

O Código de Defesa do Consumidor é a legislação brasileira específica para regular as relações entre fornecedores e consumidores. Assim, ele diz respeito também às relações de consumo estabelecidas no ambiente virtual (e-commerce).

O CDC entende que o consumidor é a parte mais vulnerável da relação. Por isso, o intuito de harmonizar os interesses dos participantes do mercado de consumo é alcançado por meio da garantia de determinados direitos e proteções aos consumidores.

Em 2013, o Decreto 7962/13 modificou o CDC para incluir uma série de obrigações àqueles fornecedores e prestadores de serviços que desejam atender aos consumidores online. A norma estabeleceu três conjuntos principais de obrigações: (i) prestar informações claras; (ii) facilitar o atendimento aos consumidores; e (iii) respeitar o direito de arrependimento.

Atualmente, ainda existem em trâmite no Congresso Nacional diversos outros projetos de Lei que visão discutir a modernização do Código de Defesa do Consumidor.

Tributação em TI

A tributação do comércio eletrônico no Brasil tem acirrado a disputa entre os governos estaduais pela arrecadação do Imposto sobre Circulação de Mercadorias e Serviços (ICMS).

A maioria dos centros de distribuição das empresas de venda on-line está localizada nos Estados das regiões Sul e Sudeste. Assim, o ICMS devido nessas operações é concentrado nesses Estados.

Diante disso, alguns Estados das regiões Norte, Nordeste e Centro-Oeste têm reivindicado uma parcela do imposto e até mesmo adotado medidas que implicam na bitributação das operações. Sendo que tudo isso visa aumentar a arrecadação e diminuir a desigualdade.

Documentos Eletrônicos

No Brasil, são reconhecidas diversas formas de documentos eletrônicos, com maior ou menor eficácia probatória. Algumas delas são:

  • Assinatura Eletrônica “simples”;
  • Assinatura Eletrônica “avançada”;
  • Certificado Digital.

O Comitê Gestor da Infraestrutura de Chaves Públicas (IPC-BR) regula a certificação digital. E o Instituto Nacional de Tecnologia da Informação (ITI) fiscaliza e audita os prestadores de serviço credenciados pelo IPC-BR.

Em 2018, uma decisão do STJ (Superior Tribunal de Justiça) reconheceu que um contrato eletrônico celebrado sem a assinatura de testemunhas pode, excepcionalmente, ter a condição de título executivo extrajudicial e, dessa forma, permitir a execução em caso de inadimplência.

Contratos de Tecnologia da Informação

Os contratos envolvendo programas de computador devem observar a Lei nº 9.609/1998 (Lei de Software). Ela estabelece direitos e obrigações para as empresas contratantes de licenças e/ou desenvolvedoras de programas de computador.

Contratos de prestação de serviços são, normalmente, utilizados para os casos em que um software é feito por encomenda ou uma solução de TI é desenvolvida para uma empresa em particular.

Propriedade Intelectual

Os direitos autorais são regulados no Brasil pela Lei nº 9.610 de 1998 (Lei dos Direitos Autorais). Trata-se de uma norma relativamente atual. Porém, não dispõe de regras específicas para o assunto das mídias, redes sociais ou proteção dos direitos autorais na internet.

Segundo essa Lei, o autor não possui o controle absoluto sobre sua obra. Isso se aplica quando o princípio maior for a garantia à educação, ciência e cultura, visando o desenvolvimento nacional. Nessas situações, o autor pode ter sua obra veiculada sem autorização.

Proteção de Dados Pessoais

Embora prevista de forma esparsa em diversas leis setoriais, desde a Constituição até o Código de Defesa do Consumidor, a proteção de dados pessoais ainda não tinha um tratamento específico no Brasil, como ocorria na Europa e já se mostrava como tendência em diversos países.

Em 2018, foi aprovada a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD) que entrará em vigor em agosto de 2020 e impactará de maneira muito relevante o modelo de negócios de todas as empresas, sendo que as empresas de tecnologia da informação ou que utilizam a TI como base do seu negócio serão ainda mais impactadas.

Marco Civil da Internet

Com o objetivo de estabelecer os princípios, as garantias, os direitos e os deveres para o uso da internet no Brasil, foi apresentado, pelo Poder Legislativo, o Projeto de Lei nº. 2.126/2011, que ficou conhecido como “Marco Civil da Internet”.

Sua elaboração contou com efetivo apoio da sociedade civil, que manifestou ativamente suas opiniões mediante consultas públicas.

As primeiras disposições do Marco Civil referem-se à definição dos fundamentos do uso da internet no Brasil. Elas manifestam o reconhecimento da escala mundial da rede e informam que suas normas encontram amparo nos direitos humanos e no exercício da cidadania pelos meios digitais, na pluralidade e na diversidade, na abertura e na colaboração, na livre iniciativa, na livre concorrência e na defesa do consumidor.

O projeto de lei define também os princípios e objetivos do uso da internet no Brasil, restando nítida a intenção dos legisladores de manter a rede como um ambiente aberto, onde possa ser realizado o compartilhamento de informações, assegurando-se, porém, o direito à privacidade e sigilo dos dados pessoais dos usuários.

Conclusão

Atentar-se a todos esses aspectos é crucial para que os escritórios de advocacia consigam oferecer serviços jurídicos especializados para os negócios de TI.

Contudo, é importante ressaltar que esses temas foram destacados aqui apenas de forma superficial.

A complexidade e a novidade dos temas faz com que todos eles se desdobram em diversos tópicos mais detalhados e que devem ser amplamente avaliados do ponto de vista jurídico, inclusive com constante consulta às decisões judiciais mais recentes, aos autores mais renomados do seguimento e ao que acontece fora do país em termos de conceituação e aplicação das normas às novas tecnologias. Do contrário, o entendimento sobre esse assunto não será suficientemente adequado.

Guia How To Understand IT Law in Brazil

Caso queira conhecer mais sobre o assunto ou enviar um documento que faça um resumo do cenário brasileiro de legislação de TI para a matriz da empresa fora do Brasil, sugerimos o guia How To Understand IT Law in Brazil, desenvolvido pelo PK Advogados para a Câmara Americana de Comércio (AMCHAM).

Trata-se de um guia prático, em inglês, que apresenta as principais leis do país aplicáveis ao tema e você pode fazer o download clicando aqui.

Os 5 pilares da Lei do Prontuário Eletrônico

2018 foi um ano bastante intenso devido às questões de privacidade e proteção de dados (GDPR e LGPD). Talvez por isso, a publicação da Lei nº 13.787, conhecida como Lei do Prontuário Eletrônico, passou quase despercebida. Ela aconteceu em 28 de dezembro/2018 e a maioria das pessoas sequer ouviu falar no assunto.

Contudo, trata-se de uma das legislações mais importantes para o sistema de saúde no Brasil. Isso porque ela afeta, de forma direta, todos os cidadãos brasileiros.

Quer saber exatamente do que se trata a Lei do Prontuário Eletrônico e o que ela diz? Então leia o artigo até o final e tire todas as suas dúvidas!

O que exatamente é a Lei do Prontuário Eletrônico?

A Lei do Prontuário Eletrônico (Lei nº 13.787) é a legislação responsável por regular a digitalização e a utilização de sistemas informatizados de prontuário de paciente. Sendo que ela se refere a 3 pontos relativos a esses prontuários, são eles:

  • A guarda;
  • O armazenamento; e
  • O manuseio.

Essa Lei incorpora a essa questão (prontuário de paciente) as regras da Lei nº 13.709, de 14 de agosto de 2018 (“LGPD” – Lei Geral de Proteção de Dados).

A Lei do Prontuário Eletrônico é curta, porém, bastante relevante. Em 5 pilares, ela estabelece como a LGPD se aplica aos controles de prontuários:

  • Define os requisitos para o processo de digitalização quando envolver o Prontuário Eletrônico;
  • Aborda os critérios para destruição de prontuários, seja em papel ou no formato eletrônico;
  • Estabelece alguns parâmetros para segurança da informação dos sistemas que lidam com o Prontuário Eletrônico;
  • Atribui os efeitos probatórios no uso destes documentos; e
  • Esclarece os prazos de armazenagem dos prontuários eletrônicos.

Requisitos da digitalização de prontuário

Obviamente, a digitalização de prontuário deverá ser realizada assegurando a integridade, a autenticidade e a confidencialidade do documento digital.

Os métodos de digitalização devem então manter preservadas de maneira integral as informações contidas nos prontuários de paciente em papel.

Além disso, a autenticidade deverá ser assegurada pela utilização de certificado digital. Sendo que ele deve ser emitido no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou outro padrão legalmente aceito.

Destruição dos documentos originais

Em relação à destruição dos documentos originais, estes poderão ser destruídos após a sua digitalização. Obviamente, esse processo deve ser realizado de acordo com a Lei do Prontuário Eletrônico.

Também é necessário haver a aprovação da comissão especial, que deverá ser criada para realizar a permanente revisão de prontuários e avaliação de documentos. Ela será responsável por certificar a integridade dos documentos digitais e avalizar a eliminação dos documentos que os originaram.

Caso a comissão identifique documentos de valor histórico, eles serão preservados de acordo com o disposto na legislação arquivística.

A segurança da informação no âmbito da Lei do Prontuário Eletrônico

A segurança da informação é um elemento essencial da nova lei. Por isso, os meios de armazenamento de documentos digitais deverão proteger as informações de uma série de ações não autorizadas. São elas:

  • O acesso;
  • O uso;
  • A alteração;
  • A reprodução; e
  • A destruição.

Isso deve ocorrer por meio de um sistema especializado de gerenciamento eletrônico de documentos.

Efeito probatório para os fins de direito

Outro aspecto bastante relevante dos Prontuários Eletrônicos é o efeito probatório para todos os fins de direito. A nova lei assegura que, uma vez que a digitalização, a guarda, o armazenamento e o manuseio dos documentos tenham sido realizados de acordo com a Lei do Prontuário Eletrônico, o documento digitalizado terá o mesmo valor probatório do documento original.

Assim, também poderão ser implementados sistemas de certificação para a verificação da conformidade normativa dos processos à Lei do Prontuário Eletrônico.

Prazo de armazenagem dos dados dos pacientes

Um dos aspectos mais importantes estabelecidos na nova lei foi o prazo de armazenagem de dados dos pacientes.

A obrigação legal é uma das maneiras de manter os dados. Assim, ainda que sem consentimento do titular, a Lei do Prontuário Eletrônico definiu o prazo mínimo de 20 (vinte) anos, a partir do último registro, para os prontuários poderem ser eliminados ou devolvidos ao paciente.

É importante destacar que isso vale para qualquer forma de armazenamento, podendo ser em papel, digitalizados, microfilmados, arquivados eletronicamente em meio óptico ou aqueles gerados e mantidos originalmente de forma eletrônica.

O processo de destruição precisa ser todo documentado. Porém, devem ser resguardados a intimidade do paciente e o sigilo e a confidencialidade das informações.

Podem ser estabelecidos (em regulamento) prazos diferenciados para a guarda de prontuário de paciente, em papel ou digitalizado, de acordo com o potencial de uso em estudos e pesquisas nas áreas das ciências da saúde, humanas e sociais, bem como para fins legais e probatórios.

Conclusão

Embora ainda pouco divulgada e conhecida, a Lei do Prontuário Eletrônico é de grande relevância. Até porque, trata-se de uma legislação que afeta todas as pessoas. Nesse sentido, vale ressaltar que, além das pessoas físicas (que terão seus dados tratados pelos hospitais e afins), essa Lei deve ser alvo de grande atenção por parte das instituições de saúde, já que elas precisam se adequar às novas regras.

A relevância da análise jurídica e técnica (tecnológica) para a adaptação das empresas à LGPD.

Seguindo o que aconteceu na União Europeia com a entrada em vigor da GDPR (General Data Protection Regulation – Regulamentação Geral de Proteção de Dados), foi aprovada no Brasil, no começo do segundo semestre de 2018, a LGPD (Lei Geral de Proteção de Dados).

Ela estabelece uma série de requisitos relativos à proteção de dados pessoais, que são aqueles que direta ou indiretamente permitem a identificação de um indivíduo, tais como:

  • Nome;
  • Endereço;
  • RG;
  • CPF;
  • Números de telefone;
  • Números de IP;
  • Dados financeiros;
  • Perfil de compra.

Intuito da Lei Geral de Proteção de Dados e exigências para a correta adequação

O intuito da LGPD é proteger a privacidade dessas e quaisquer outras informações relacionadas a uma pessoa. Desse modo, ela estabelece uma série de direitos para os titulares dos dados e obrigações para as empresas que possuem esses dados pessoais.

E, na prática, isso abrange praticamente todas as empresas, já que, mesmo no caso daquelas que não lidam com dados de clientes/usuários, há a posse de dados pessoais dos seus funcionários.

Sendo que, para as empresas que possuem listas de plano de saúde, bases de dados de marketing e sites com centenas, milhares ou até milhões de usuários, é ainda mais relevante se adaptar rapidamente às novas exigências referentes ao uso de dados pessoais.

A LGPD tem a função exatamente de regulamentar a utilização dessas informações por parte das empresas. Os dados podem sim ser usados, porém, a Lei prevê 10 formas/requisitos para fazer isso, sendo o consentimento o requisito mais destacado. Outras formas de uso dos dados são por obrigações legais ou regulatórias, por direito contratual, para proteger a vida, a saúde, o crédito e etc.

Sendo que há a necessidade de que tudo isso esteja mapeado dentro das empresas para provar que elas estão cumprindo as regras. E isso, na maioria das empresas, vai envolver a área de informática, embora não seja obrigatório. Porém, para as organizações que não têm os dados pessoais informatizados, será ainda mais difícil cumprir a Lei, já que tudo terá que ser feito manualmente.

No caso daquelas que são informatizadas, basta adaptar o seu sistema e criar uma governança corporativa de dados (como eles foram coletados, quem pode acessá-los e usá-los, qual é o ciclo de vida deles desde a entrada na empresa até a eliminação…). Existem inclusive hipóteses em que, após ser concluída a finalidade para a qual o dado foi obtido, ele deve ser eliminado.

Além disso, é necessário armazenar as ações realizadas com os dados, pois a Autoridade Nacional de Proteção de Dados pode solicitar essa informação posteriormente.

Assim, é óbvio que todo o gerenciamento dessa governança de dados fica muito mais prático se for informatizado. Ou pode haver uma customização dos sistemas que as empresas já utilizam, pois alguns deles já possibilitam realizar a gestão da privacidade, por exemplo.

Solução completa para a devida adaptação da sua empresa à LGPD

Contudo, tudo isso passa por uma solução operacional de procedimentos e sistemas que vai muito além do simples aconselhamento jurídico.

Por isso, o PK Advogados buscou um parceiro técnico para criar uma solução completa para as empresas que estão se adaptando à LGPD. Assim, poderíamos fazer a implementação do diagnóstico que realizamos nas empresas que nos contratam para tratar dessa questão.

O parceiro escolhido foi a Cloud Target, exatamente pelo fato de eles já terem expertise no GDPR e, agora, na LGPD, especialmente no sentido de fazer essa análise tecnológica do ambiente do cliente e adaptar os seus sistemas para que ele fique em compliance com a legislação de proteção de dados.

Ou seja, através dessa parceria, oferecemos uma solução completa para aquelas empresas que querem se adaptar à LGPD de forma rápida e eficiente.

O PK Advogados entra com a parte jurídica, fazendo o diagnóstico da Lei e, eventualmente, identificando o gap do cliente em relação ao que ela estabelece.

E a Cloud Target assume a responsabilidade exatamente de eliminar esse gap e deixar a empresa em compliance à LGPD.

Além disso, também disponibilizando um serviço de acompanhamento, pois a adaptação à LGPD é contínua. Há uma adequação inicial, mas também é necessário continuar analisando e revisando os novos procedimentos referentes à obtenção e o uso de dados pessoais para verificar se a organização permanece fazendo tudo de acordo com as regras legais.

A sua empresa está enfrentando dificuldades para se adaptar à LGPD? Então marque uma reunião com o PK advogados para analisarmos a sua situação e montarmos um plano direcionado totalmente de acordo com as demandas identificadas!

Os 5 principais aspectos da criação da Autoridade Nacional de Proteção de Dados

Hélio Ferreira Moraes – sócio do PK Advogados

O governo anterior publicou no dia 28.12.2018 a Medida Provisória 869 (“MP 869”), que criou a Autoridade Nacional de Proteção de Dados (“ANPD”) e alterou também alguns artigos da Lei Geral de Proteção de Dados (“LGPD”) (Lei nº 13.709, de 14 de agosto de 2018). A criação da ANPD passou a vigorar desde a publicação da MP 869, portanto, em 28.12.2018, diferentemente do conteúdo da LGPD, sujeito a “vacatio legis“. A MP 869 tem prazo de vigência de 60 dias, prorrogáveis uma vez por igual período e está condicionada à aprovação do Congresso Nacional para transformação definitiva em lei. Vejamos então os principais aspectos regulamentados pela MP 869:

  • O encarregado, pessoa responsável dentro da empresa por conectar os envolvidos em uma operação de tratamentos de dados com os titulares e a ANPD, não precisa ser mais necessariamente ”pessoa natural”, abrindo uma avenida de oportunidades para terceirização e especialização nesse ramo para empresas de consultoria, contabilidade, escritórios de advocacia e compliance.

 

  • Compartilhamento de dados pessoais na saúde passa a ser menos restritivo, pois o polêmico parágrafo 4º do artigo 11 da LGPD, que restringia drasticamente o compartilhamento de dados na saúde apenas para o caso de portabilidade consentida, sempre que o objetivo fosse obter vantagem econômica, ganhou a possibilidade do compartilhamento desses dados também ser realizado quando necessários para prestação de serviços de saúde suplementar. Embora a hipótese ainda não contemple a vastidão desse mercado, que envolve toda a gestão de usos de planos e seguros de saúde pelos funcionários das empresas, já minimiza os impactos restritivos, pois na prática quase todas as empresas precisam compartilhar dados pessoais de saúde ao menos com os planos e seguros de saúde.

 

  • A revisão de decisões automatizadas, prevista como um direito dos titulares de ser realizada por pessoa natural no artigo 20 da LGPD, ganhou um novo contorno totalmente novo. O artigo original, que gerou bastante polêmica dado o potencial conflito entre a inovação tecnológica e a garantia dos direitos fundamentais de personalidade, permitia que os titulares de dados pessoais pudessem solicitar a revisão humana de uma decisão automatizada realizada no tratamento de uma base de dados pessoais destinadas a definição de perfil pessoal, profissional, consumo, crédito ou outros aspectos de sua personalidade. A MP 869 ao excluir desse artigo a expressão “por pessoa natural” continua concedendo o direito de revisão de uma decisão de sistema automatizado, mas já não vincula mais a necessidade desta revisão ser realizada por agente humano, o que do ponto de vista tecnológico atende as aspirações inovativas, embora deixe dúvidas sobre as garantias dos cidadãos.

 

  • A ANPD foi modificada para integrar a administração direta, sob a gestão direta pela Presidência da República, o que traz uma visão da importância estratégica que os dados pessoais representam atualmente, por outro lado, ascende os riscos de conflitos de interesse com os direitos de privacidade dos cidadãos. Além disso, a ANPD foi criada sob a gestão de um Conselho Diretor, composto por 5 membros indicados pelo Presidente da República, com mandatos fixos de 4 anos, e a definição estratégica de suas diretrizes por um Conselho Nacional de Proteção de Dados Pessoais, composto por 23 membros não remunerados, sendo 11 indicados pelo Poder Público e os demais pela iniciativa privada. Também o compartilhamento de dados pessoais entre órgãos do poder público foi ampliado, permitindo que, dentre outras hipóteses, estes dados sejam compartilhados entre os órgãos públicos por meio de contratos e convênios.

 

  • Vacatio Legis, que é o prazo dado em algumas leis entre a sua publicação e a data em que passa a ser efetiva, foi alterada de 18 para 24 meses, assim a data de entrada em vigor da LGPD foi prorrogada para agosto/2020, contanto que a MP 869 seja transformada em lei no prazo de tramitação. Ou seja, na prática o prazo de 18 meses, que já estava em 14 meses no final do ano, pois a maior parte das empresas ainda não havia despertado para entender como cumprir a LGPD, ganhou um folego extra até agosto/2020, mas se a MP 869 não for aprovada, tudo pode voltar ao prazo anterior de fevereiro/2020.

O prazo parece longo, mas muitas são as medidas para as empresas criarem seus sistemas de governança corporativa em proteção de dados e criarem uma cultura empresarial nesse sentido, além disso a aplicação da LGPD vai ser bastante extensa e todas as empresas vão ter que se adaptar, pois dados pessoais de funcionários, por exemplo, são dados que precisam estar protegidos de acordo com a nova legislação.

Apesar da criação da ANPD e as alterações na LGPD serem favoráveis para implantar a cultura de proteção de dados no país, o fato de terem sido realizadas por Medida Provisória traz um novo fator de incerteza, enquanto não for transformada em lei, pois a confirmação dos efeitos da MP depende de Decreto-Legislativo, sendo que o governo entrante já declarou que serão avaliados para fins de convalidação ou revisão todos os atos do governo anterior nos últimos 60 dias de mandato.

10 Principais Pontos da Lei de Proteção de Dados do Brasil

A questão do uso dos dados pessoais na nova economia digital que estamos vivendo vem ganhando cada vez mais relevância, nos últimos anos presenciamos o surgimento de conceitos como Big Data, Analytics, Data Mining, Marketing Digital,  redes sociais, Apps com serviços personalizados, entre tantos outros que se desenvolvem através dos dados pessoais que já estão sendo chamados de “o petróleo do século XXI”.

As plataformas se multiplicaram, as empresas passaram a coletar os mais variados dados e muitos modelos de negócio foram criados adotando a estratégia de oferecer serviços gratuitamente em troca dos dados pessoais dos usuários, o que levou muitas empresas a coletar dados de maneira indiscriminada.

Diversos casos de vazamento de dados foram relatados nos últimos anos e as pessoas passaram a sentir que sua privacidade estava em jogo e que era necessário definir certas regras para balancear a inovação e a comodidade dos novos serviços, com direitos fundamentais como a privacidade, intimidade, liberdade de expressão, dentre outros.

A preocupação de garantir a privacidade como um direito remonta ao final dos anos 1800, ganhou força após o final da Segunda Guerra Mundial, mas a atenção se voltou para os dados pessoais no início dos anos 1970, época em que surgiram os primeiros computadores pessoais. Na década de 80 surgia na Europa a Convenção 108 do Conselho da Europa para a Proteção de das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais e, em 1995, foi adotada a Diretiva 95/46/EC do Parlamento Europeu e do Conselho.

Recentemente, a UE (União Europeia), que já era vista como uma das forças globais líderes na questão das regulamentações da inovações e direitos pessoais, substituiu a diretiva da década de 90 pelo GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados) que entrou em vigor no dia 25 de maio de 2018.

Apesar de ser direcionada à UE, o GDPR afetará empresas de todo o mundo. E a explicação para isso está no fato de que, atualmente, os dados circulam em uma escala global. Ou seja, até mesmo uma pequena empresa brasileira pode coletar, armazenar e utilizar informações pessoais de uma pessoa que está localizada na UE. Dessa forma, como o GDPR se refere exatamente aos dados de pessoas localizadas na UE, qualquer empresa que vier a lidar com essas informações está sujeita a essa regulamentação.

No Brasil, embora existissem várias leis que tratassem sobre o tema da proteção de dados, nenhuma dela tratava a questão como mote principal, faltando uma lei ampla e específica para estabelecer o marco regulatório brasileiro. A falta deste marco regulatório deixava o país em uma situação delicada internacionalmente, pois aspectos como a reciprocidade de proteção aos dados exigida pelo GDPR não eram atendidos pela nossa legislação.

Ciente disso, o Congresso brasileiro discutiu o tema por muitos anos e em 15 de agosto de 2018 foi publicada a lei geral de proteção de dados brasileira (“LGPD”), Lei nº 13.709/2018, que entrará em vigor em fevereiro de 2020.

Embora o projeto de lei que deu origem à LGPD tenha tido inspiração no GDPR e em outras legislações bem-sucedidas em outros países, a legislação brasileira tem suas peculiaridades e que serão destacadas abaixo:

  1. Qual o objetivo da lei de proteção de dados?

O objetivo desta lei é regulamentar o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público, inclusive nos meios digitais (ou seja, arquivos em papel também estão incluídos), referentes a dados pessoais de consumidores, usuários, prospects, empregados, independente do país da sede ou no qual os dados estejam localizados com o propósito de proteger a liberdade, a privacidade e o livre desenvolvimento da pessoa natural.

O alcance da nova lei é bastante amplo, aplicando-se sempre que o tratamento seja realizado no território nacional, quando tenha por objetivo a oferta ou fornecimento de bens ou serviços a indivíduos localizados no Brasil, ou, ainda, caso os dados pessoais que aqui tenham sido coletados.

  1. O que são dados pessoais e os dados pessoais sensíveis?

Uma questão bastante relevante refere-se aos tipos de dados abrangidos pela LGPD, tendo em vista a amplitude deste mundo dos dados que são coletados pelas mais diversas plataformas e empresas. Basicamente a LGPD regulamenta o tratamento dos dados pessoais e dos dados pessoais sensíveis.

Os dados pessoais são as informações relacionada ao titular, que pode ser a pessoa natural identificada ou identificável, podendo incluir nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc.). A LGPD optou por um conceito amplo dos dados pessoais englobados, sem uma lista taxativa, o que dá maior longevidade à lei e deixa a definição da sua amplitude para o regulador ou os operadores do direito.

São considerados sensíveis, por sua vez, aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural. O tratamento destes dados é abordado com maior rigor pela LGPD, sendo vedado o seu tratamento, exceto em hipóteses específicas trazidas pela lei.

  1. O que configura um tratamento de dados sujeito à LGPD?

A LGPD se aplica a toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ou seja, uma abrangência ponta-a-ponta, desde a entrada do dado em determinada entidade, todo o período de permanência, até sua eventual saída.

Há casos em que a própria lei excetua certos tipos de tratamento de dados, como por exemplo aquele tratamento realizado por pessoa física para fins exclusivamente particulares e não econômicos, como agendas ou informações que sejam coletadas para propósitos exclusivamente particulares.

No caso das pessoas jurídicas, estão excluídos da abrangência da LGPD os tratamentos realizados para fins exclusivamente jornalístico e artísticos, acadêmicos, segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais.

Também ficaria excluída a aplicação da lei naquelas hipóteses em que os dados estejam apenas de passagem no Brasil, ou seja, dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que este tenha grau de proteção similar ao estabelecido na LGPD.

  1. Quem são as pessoas visadas pela LGPD?

Primeiramente é importante esclarecer que o cidadão, brasileiro ou não, como o detentor da sua autodeterminação informativa passou a ser o titular dos seus dados pessoais.

Aqueles que tratam os dados foram classificadas pela lei como agentes de tratamento, sendo o principal deles o controlador, que pode ser pessoa física ou jurídica, privada ou governamental, responsável pelas decisões referentes ao tratamento. Além do controlador, que é o agente que normalmente possui o contato direto com o titular, também a atividade terceirizada de tratamento de dados realizada pelo agente chamado de operador, que pode ser pessoa física ou jurídica, privada ou governamental, que realiza o tratamento de dados pessoais em nome do controlador.

Espelhando de certa maneira o GDPR, embora com uma competência e responsabilidade significativamente inferior ao DPO (Data Protection Officer), a lei brasileira criou a figura do encarregado, como a pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Mais adiante trataremos do papel do encarregado, mas como observado no Brasil a lei não concedeu a esse agente um papel de tanta autonomia e destaque, como na EU.

  1. Quais empresas serão afetadas pela LGPD?

A nova lei de proteção de dados não afeta apenas as empresas de tecnologia, abrangendo todas as empresas que lidam, de alguma forma, com dados pessoais. Como a lei não restringe aos dados pessoais armazenados de maneira digital, na verdade quase que a totalidade das empresas detém algum tipo de cadastro com informações pessoais, como dados de funcionários, contato de um fornecedor (ex. nome, telefone, e-mail e endereço), entre outros.

Dessa forma, estão abrangidos pela lei tanto aquele que faz o registro de entrada em condomínio ou uma grande rede social, com centenas de informações sobre um titular. Da mesma maneira, qualquer operação de terceirização de tratamento de dados, por mais simples que seja, como uma limpeza ou enriquecimento de base de dados com dados de endereço ou perfil de compra, caracterizará o prestador como operador.

  1. Quais são os direitos dos titulares dos dados?

A LGPD é fundamentada no direito à autodeterminação informativa às pessoas físicas titulares dos dados pessoais, ou seja, a cada um é garantido o direito de estabelecer os limites de utilização dos seus dados pessoais. Dessa forma, o titular dos dados deverá ser informado sobre a finalidade do tratamento de seus dados, forma e duração, quem será o controlador, compartilhamento dos dados, responsabilidades das entidades detentoras dos dados e os direitos do titular, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

Além disso, os titulares dos dados pessoais tem direito a obter do controlador (i) confirmação de tratamento; (ii) acesso aos dados no prazo de até 15 dias do requerimento; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou não tratados de maneira legítima; (v) portabilidade dos dados; (vi) eliminação dos dados, ainda que fornecidos com consentimento prévio; (vii) informações dos compartilhamentos de dados; (viii) informações sobre a possibilidade de não fornecer o consentimento e suas consequências; (ix) revogação do consentimento; (x) revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo definição de perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.

Caso o titular dos dados pessoais seja criança, o tratamento somente poderá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal. Exceções à essa regra são apenas quando o tratamento for necessário para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento. A participação em jogos e aplicações de internet não poderá ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias.

  1. Quais as situações em que o tratamento de dados pessoais é permitido?

Embora a lei pareça restringir bastante as possibilidades de tratamentos dos dados, existem uma série de possibilidades de tratamento de dados que podem ser feitos legalmente. Nesse contexto, a LGPD estabelece que os agentes de tratamento poderão tratar dados pessoais, sendo a principal delas aquela realizada com o consentimento do titular; No entanto, a LGPD prevê outras possibilidades que permitem o tratamento, mesmo quando não obtido o consentimento do titular, quais sejam: (i) para cumprir obrigação legal do controlador do tratamento; (ii) para o tratamento e uso compartilhado para execução de políticas públicas, nos casos de administração pública; (iii) para a realização de estudos por órgão de pesquisa, desde que anonimizados; (iv) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) para a tutela da saúde, desde que realizada por profissionais do setor; (vi) para a execução ou pré-execução de um contrato com o titular; (vii) para pleitos em processos judicial, administrativo ou arbitral; (viii) interesses legítimos do controlador, desde que não afetem direitos e liberdades fundamentais; (ix) para a proteção do crédito.

No caso dados pessoais sensíveis, a regra geral é de que o  tratamento é vedado, exceto quando realizado mediante o consentimento específico e em destaque, pelo titular, para finalidades específicas; ou, sem consentimento, quando for indispensável para: (i) o controlador cumprir uma obrigação legal; (ii) a administração pública executar políticas públicas; (iii) órgão de pesquisa realizar estudos, mediante anonimização; (iv) exercício regular de direitos como em contratos, processos judiciais, administrativos ou arbitrais; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) tutela da saúde, desde que realizado por profissionais da área; ou (vii) garantia da prevenção à fraude e à segurança do titular.

  1. Como obter o consentimento corretamente?

A obtenção do consentimento deverá ser realizada para finalidades específicas, não podendo ser um consentimento genérico, mas pode ser realizado por qualquer meio que demonstre a manifestação de vontade do titular, desde que conste de forma destacada. Além disso, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, através de procedimento gratuito e facilitado.

Caberá ainda ao controlador do tratamento dos dados o ônus da prova de que o consentimento foi obtido, por isso a manutenção da cadeia de custódia e autorizações deve ser mantida com bastante rigor. Entretanto, estará dispensado o consentimento quando os dados forem tornados manifestamente públicos pelo titular.

Nos contratos de adesão o tratamento de dados pessoais pode ser condição para o fornecimento de produto ou serviço, desde que o titular dos dados seja informado com destaque sobre isso.

Por fim, quando é possibilitada a contratação com ou sem o fornecimento de dados pessoais, o titular deve ser informado sobre as consequências de não autorizar o uso dos seus dados, tais como restrições nos serviços oferecidos ou exibição de publicidade.

  1. Como deve ser feita a transferência de dados para fora do Brasil?

Os dados pessoais podem ser transferidos para fora do país e, conforme estabelecido na LGPD,  as transferências são permitidas nos seguintes casos: (i) os países a serem transferidos possuam grau de proteção de dados pessoais compatível com a lei brasileira; (ii) o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; (iii) quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência; (vi) quando for decorrente de acordo de cooperação internacional; (vii) quando for necessária para execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque; ou (xi) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.

  1. Quais são as penalidades e responsabilidade em casos de descumprimento da LGPD?

Quem não cumprir a lei ficará sujeito a penalidades administrativas que vão de advertência a multa de até 2% (dois por cento) do faturamento, limitada a R$ 50 milhões por infração, bem como publicização da infração, bloqueio ou eliminação dos dados. Embora a LGPD não tenha estabelecido duas faixas de penalidades como o GDPR, seguiu um balizamento similar em termos de valores e vinculação ao faturamento da empresa infratora.

O controlador que causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar, estando ainda sujeito a inversão do ônus da prova a favor do titular dos dados e a solidariedade com o operador, quando diretamente envolvido no tratamento. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.

Para se eximir de responsabilidade sobre o tratamento as empresas deverão provar que: (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados, ainda que tenham realizado o tratamento; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Assim como na legislação de combate à corrupção, poderá ser atenuada a punição da empresa caso ela demonstre que implementou um programa de governança em privacidade, baseado em boas práticas de segurança da informação, bem como um de um sólido projeto de treinamento, políticas e processos de proteção de dados pessoais envolvendo todos os colaboradores da empresa. A seguir, apresentamos a sugestão de um roadmap para tais implementações.

 

 

 

 

Roadmap de Adequação das Empresas à LGPD

A adequação das empresas à LGPD é bem mais complexa do que pode parecer em um primeiro momento, pois serão afetadas várias áreas, incluindo os pontos de risco de operação, sendo importante um engajamento amplo da alta direção das empresas para implantação da proteção, gestação e governança dos dados pessoais.

Para orientar o início de um projeto de adequação das empresas, listamos abaixo os principais pontos de atenção que precisam ser avaliados em suas operações de tratamento de dados pessoais, visando implantar novos processos, políticas e sistemas de gestão destes dados:

a) Registro do tratamento: As empresas deverão manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

b) Relatório de Impacto à Proteção de Dados: O controlador do tratamento dos dados terá que produzir o relatório de impacto à proteção de dados pessoais (similar ao DPIA do GDPR), inclusive de dados sensíveis, referente às suas operações, mediante solicitação da autoridade nacional. Este relatório deverá conter descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, incluindo tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados.

c) Encarregado pelo Tratamento de Dados Pessoais: Nos casos em que o encarregado tiver que ser nomeado, a empresa deverá fornecer a sua identidade e as informações de contato publicamente, preferencialmente no seu website. Este será responsável por: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e (vi) executar as demais atribuições determinadas pela empresa ou normas complementares.

d) Segurança: As empresas deverão verificar se o tratamento de dados pessoais está sendo realizado de maneira segura, em razão do modo pelo qual é realizado, do resultado e os riscos que razoavelmente dele se esperam ou das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. As empresas deverão adotar regras de segurança na fase de concepção do produto ou do serviço até a sua execução (privacy by design). Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na lei e às demais normas regulamentares (privacy by default).

e) Comunicação de vazamento: O controlador deverá comunicar a autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, conforme definido pela autoridade nacional. A divulgação pública do fato em meios de comunicação poderá ser determinada pela autoridade nacional, de acordo com a gravidade do incidente, podendo ainda determinar medidas para reverter ou mitigar os efeitos do incidente.

f) Auto regulação de Boas Práticas e da Governança: Os agentes de tratamento de dados pessoais podem formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Dentre as normas de boas práticas os agentes de tratamento deverão elaborar e seguir um Programa de Governança em Privacidade efetivo que: (i) contenha demonstração do comprometimento do controlador com a proteção de dados; (ii) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta; (iii) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; (iv) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; (v) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; (vi) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; (vii) conte com planos de resposta a incidentes e remediação; e (viii) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Scroll to top