admin

Os 5 principais aspectos da criação da Autoridade Nacional de Proteção de Dados

Hélio Ferreira Moraes – sócio do PK Advogados

O governo anterior publicou no dia 28.12.2018 a Medida Provisória 869 (“MP 869”), que criou a Autoridade Nacional de Proteção de Dados (“ANPD”) e alterou também alguns artigos da Lei Geral de Proteção de Dados (“LGPD”) (Lei nº 13.709, de 14 de agosto de 2018). A criação da ANPD passou a vigorar desde a publicação da MP 869, portanto, em 28.12.2018, diferentemente do conteúdo da LGPD, sujeito a “vacatio legis“. A MP 869 tem prazo de vigência de 60 dias, prorrogáveis uma vez por igual período e está condicionada à aprovação do Congresso Nacional para transformação definitiva em lei. Vejamos então os principais aspectos regulamentados pela MP 869:

  • O encarregado, pessoa responsável dentro da empresa por conectar os envolvidos em uma operação de tratamentos de dados com os titulares e a ANPD, não precisa ser mais necessariamente ”pessoa natural”, abrindo uma avenida de oportunidades para terceirização e especialização nesse ramo para empresas de consultoria, contabilidade, escritórios de advocacia e compliance.

 

  • Compartilhamento de dados pessoais na saúde passa a ser menos restritivo, pois o polêmico parágrafo 4º do artigo 11 da LGPD, que restringia drasticamente o compartilhamento de dados na saúde apenas para o caso de portabilidade consentida, sempre que o objetivo fosse obter vantagem econômica, ganhou a possibilidade do compartilhamento desses dados também ser realizado quando necessários para prestação de serviços de saúde suplementar. Embora a hipótese ainda não contemple a vastidão desse mercado, que envolve toda a gestão de usos de planos e seguros de saúde pelos funcionários das empresas, já minimiza os impactos restritivos, pois na prática quase todas as empresas precisam compartilhar dados pessoais de saúde ao menos com os planos e seguros de saúde.

 

  • A revisão de decisões automatizadas, prevista como um direito dos titulares de ser realizada por pessoa natural no artigo 20 da LGPD, ganhou um novo contorno totalmente novo. O artigo original, que gerou bastante polêmica dado o potencial conflito entre a inovação tecnológica e a garantia dos direitos fundamentais de personalidade, permitia que os titulares de dados pessoais pudessem solicitar a revisão humana de uma decisão automatizada realizada no tratamento de uma base de dados pessoais destinadas a definição de perfil pessoal, profissional, consumo, crédito ou outros aspectos de sua personalidade. A MP 869 ao excluir desse artigo a expressão “por pessoa natural” continua concedendo o direito de revisão de uma decisão de sistema automatizado, mas já não vincula mais a necessidade desta revisão ser realizada por agente humano, o que do ponto de vista tecnológico atende as aspirações inovativas, embora deixe dúvidas sobre as garantias dos cidadãos.

 

  • A ANPD foi modificada para integrar a administração direta, sob a gestão direta pela Presidência da República, o que traz uma visão da importância estratégica que os dados pessoais representam atualmente, por outro lado, ascende os riscos de conflitos de interesse com os direitos de privacidade dos cidadãos. Além disso, a ANPD foi criada sob a gestão de um Conselho Diretor, composto por 5 membros indicados pelo Presidente da República, com mandatos fixos de 4 anos, e a definição estratégica de suas diretrizes por um Conselho Nacional de Proteção de Dados Pessoais, composto por 23 membros não remunerados, sendo 11 indicados pelo Poder Público e os demais pela iniciativa privada. Também o compartilhamento de dados pessoais entre órgãos do poder público foi ampliado, permitindo que, dentre outras hipóteses, estes dados sejam compartilhados entre os órgãos públicos por meio de contratos e convênios.

 

  • Vacatio Legis, que é o prazo dado em algumas leis entre a sua publicação e a data em que passa a ser efetiva, foi alterada de 18 para 24 meses, assim a data de entrada em vigor da LGPD foi prorrogada para agosto/2020, contanto que a MP 869 seja transformada em lei no prazo de tramitação. Ou seja, na prática o prazo de 18 meses, que já estava em 14 meses no final do ano, pois a maior parte das empresas ainda não havia despertado para entender como cumprir a LGPD, ganhou um folego extra até agosto/2020, mas se a MP 869 não for aprovada, tudo pode voltar ao prazo anterior de fevereiro/2020.

O prazo parece longo, mas muitas são as medidas para as empresas criarem seus sistemas de governança corporativa em proteção de dados e criarem uma cultura empresarial nesse sentido, além disso a aplicação da LGPD vai ser bastante extensa e todas as empresas vão ter que se adaptar, pois dados pessoais de funcionários, por exemplo, são dados que precisam estar protegidos de acordo com a nova legislação.

Apesar da criação da ANPD e as alterações na LGPD serem favoráveis para implantar a cultura de proteção de dados no país, o fato de terem sido realizadas por Medida Provisória traz um novo fator de incerteza, enquanto não for transformada em lei, pois a confirmação dos efeitos da MP depende de Decreto-Legislativo, sendo que o governo entrante já declarou que serão avaliados para fins de convalidação ou revisão todos os atos do governo anterior nos últimos 60 dias de mandato.

10 Principais Pontos da Lei de Proteção de Dados do Brasil

A questão do uso dos dados pessoais na nova economia digital que estamos vivendo vem ganhando cada vez mais relevância, nos últimos anos presenciamos o surgimento de conceitos como Big Data, Analytics, Data Mining, Marketing Digital,  redes sociais, Apps com serviços personalizados, entre tantos outros que se desenvolvem através dos dados pessoais que já estão sendo chamados de “o petróleo do século XXI”.

As plataformas se multiplicaram, as empresas passaram a coletar os mais variados dados e muitos modelos de negócio foram criados adotando a estratégia de oferecer serviços gratuitamente em troca dos dados pessoais dos usuários, o que levou muitas empresas a coletar dados de maneira indiscriminada.

Diversos casos de vazamento de dados foram relatados nos últimos anos e as pessoas passaram a sentir que sua privacidade estava em jogo e que era necessário definir certas regras para balancear a inovação e a comodidade dos novos serviços, com direitos fundamentais como a privacidade, intimidade, liberdade de expressão, dentre outros.

A preocupação de garantir a privacidade como um direito remonta ao final dos anos 1800, ganhou força após o final da Segunda Guerra Mundial, mas a atenção se voltou para os dados pessoais no início dos anos 1970, época em que surgiram os primeiros computadores pessoais. Na década de 80 surgia na Europa a Convenção 108 do Conselho da Europa para a Proteção de das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais e, em 1995, foi adotada a Diretiva 95/46/EC do Parlamento Europeu e do Conselho.

Recentemente, a UE (União Europeia), que já era vista como uma das forças globais líderes na questão das regulamentações da inovações e direitos pessoais, substituiu a diretiva da década de 90 pelo GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados) que entrou em vigor no dia 25 de maio de 2018.

Apesar de ser direcionada à UE, o GDPR afetará empresas de todo o mundo. E a explicação para isso está no fato de que, atualmente, os dados circulam em uma escala global. Ou seja, até mesmo uma pequena empresa brasileira pode coletar, armazenar e utilizar informações pessoais de uma pessoa que está localizada na UE. Dessa forma, como o GDPR se refere exatamente aos dados de pessoas localizadas na UE, qualquer empresa que vier a lidar com essas informações está sujeita a essa regulamentação.

No Brasil, embora existissem várias leis que tratassem sobre o tema da proteção de dados, nenhuma dela tratava a questão como mote principal, faltando uma lei ampla e específica para estabelecer o marco regulatório brasileiro. A falta deste marco regulatório deixava o país em uma situação delicada internacionalmente, pois aspectos como a reciprocidade de proteção aos dados exigida pelo GDPR não eram atendidos pela nossa legislação.

Ciente disso, o Congresso brasileiro discutiu o tema por muitos anos e em 15 de agosto de 2018 foi publicada a lei geral de proteção de dados brasileira (“LGPD”), Lei nº 13.709/2018, que entrará em vigor em fevereiro de 2020.

Embora o projeto de lei que deu origem à LGPD tenha tido inspiração no GDPR e em outras legislações bem-sucedidas em outros países, a legislação brasileira tem suas peculiaridades e que serão destacadas abaixo:

  1. Qual o objetivo da lei de proteção de dados?

O objetivo desta lei é regulamentar o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público, inclusive nos meios digitais (ou seja, arquivos em papel também estão incluídos), referentes a dados pessoais de consumidores, usuários, prospects, empregados, independente do país da sede ou no qual os dados estejam localizados com o propósito de proteger a liberdade, a privacidade e o livre desenvolvimento da pessoa natural.

O alcance da nova lei é bastante amplo, aplicando-se sempre que o tratamento seja realizado no território nacional, quando tenha por objetivo a oferta ou fornecimento de bens ou serviços a indivíduos localizados no Brasil, ou, ainda, caso os dados pessoais que aqui tenham sido coletados.

  1. O que são dados pessoais e os dados pessoais sensíveis?

Uma questão bastante relevante refere-se aos tipos de dados abrangidos pela LGPD, tendo em vista a amplitude deste mundo dos dados que são coletados pelas mais diversas plataformas e empresas. Basicamente a LGPD regulamenta o tratamento dos dados pessoais e dos dados pessoais sensíveis.

Os dados pessoais são as informações relacionada ao titular, que pode ser a pessoa natural identificada ou identificável, podendo incluir nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc.). A LGPD optou por um conceito amplo dos dados pessoais englobados, sem uma lista taxativa, o que dá maior longevidade à lei e deixa a definição da sua amplitude para o regulador ou os operadores do direito.

São considerados sensíveis, por sua vez, aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural. O tratamento destes dados é abordado com maior rigor pela LGPD, sendo vedado o seu tratamento, exceto em hipóteses específicas trazidas pela lei.

  1. O que configura um tratamento de dados sujeito à LGPD?

A LGPD se aplica a toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ou seja, uma abrangência ponta-a-ponta, desde a entrada do dado em determinada entidade, todo o período de permanência, até sua eventual saída.

Há casos em que a própria lei excetua certos tipos de tratamento de dados, como por exemplo aquele tratamento realizado por pessoa física para fins exclusivamente particulares e não econômicos, como agendas ou informações que sejam coletadas para propósitos exclusivamente particulares.

No caso das pessoas jurídicas, estão excluídos da abrangência da LGPD os tratamentos realizados para fins exclusivamente jornalístico e artísticos, acadêmicos, segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais.

Também ficaria excluída a aplicação da lei naquelas hipóteses em que os dados estejam apenas de passagem no Brasil, ou seja, dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que este tenha grau de proteção similar ao estabelecido na LGPD.

  1. Quem são as pessoas visadas pela LGPD?

Primeiramente é importante esclarecer que o cidadão, brasileiro ou não, como o detentor da sua autodeterminação informativa passou a ser o titular dos seus dados pessoais.

Aqueles que tratam os dados foram classificadas pela lei como agentes de tratamento, sendo o principal deles o controlador, que pode ser pessoa física ou jurídica, privada ou governamental, responsável pelas decisões referentes ao tratamento. Além do controlador, que é o agente que normalmente possui o contato direto com o titular, também a atividade terceirizada de tratamento de dados realizada pelo agente chamado de operador, que pode ser pessoa física ou jurídica, privada ou governamental, que realiza o tratamento de dados pessoais em nome do controlador.

Espelhando de certa maneira o GDPR, embora com uma competência e responsabilidade significativamente inferior ao DPO (Data Protection Officer), a lei brasileira criou a figura do encarregado, como a pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Mais adiante trataremos do papel do encarregado, mas como observado no Brasil a lei não concedeu a esse agente um papel de tanta autonomia e destaque, como na EU.

  1. Quais empresas serão afetadas pela LGPD?

A nova lei de proteção de dados não afeta apenas as empresas de tecnologia, abrangendo todas as empresas que lidam, de alguma forma, com dados pessoais. Como a lei não restringe aos dados pessoais armazenados de maneira digital, na verdade quase que a totalidade das empresas detém algum tipo de cadastro com informações pessoais, como dados de funcionários, contato de um fornecedor (ex. nome, telefone, e-mail e endereço), entre outros.

Dessa forma, estão abrangidos pela lei tanto aquele que faz o registro de entrada em condomínio ou uma grande rede social, com centenas de informações sobre um titular. Da mesma maneira, qualquer operação de terceirização de tratamento de dados, por mais simples que seja, como uma limpeza ou enriquecimento de base de dados com dados de endereço ou perfil de compra, caracterizará o prestador como operador.

  1. Quais são os direitos dos titulares dos dados?

A LGPD é fundamentada no direito à autodeterminação informativa às pessoas físicas titulares dos dados pessoais, ou seja, a cada um é garantido o direito de estabelecer os limites de utilização dos seus dados pessoais. Dessa forma, o titular dos dados deverá ser informado sobre a finalidade do tratamento de seus dados, forma e duração, quem será o controlador, compartilhamento dos dados, responsabilidades das entidades detentoras dos dados e os direitos do titular, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

Além disso, os titulares dos dados pessoais tem direito a obter do controlador (i) confirmação de tratamento; (ii) acesso aos dados no prazo de até 15 dias do requerimento; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou não tratados de maneira legítima; (v) portabilidade dos dados; (vi) eliminação dos dados, ainda que fornecidos com consentimento prévio; (vii) informações dos compartilhamentos de dados; (viii) informações sobre a possibilidade de não fornecer o consentimento e suas consequências; (ix) revogação do consentimento; (x) revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo definição de perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.

Caso o titular dos dados pessoais seja criança, o tratamento somente poderá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal. Exceções à essa regra são apenas quando o tratamento for necessário para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento. A participação em jogos e aplicações de internet não poderá ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias.

  1. Quais as situações em que o tratamento de dados pessoais é permitido?

Embora a lei pareça restringir bastante as possibilidades de tratamentos dos dados, existem uma série de possibilidades de tratamento de dados que podem ser feitos legalmente. Nesse contexto, a LGPD estabelece que os agentes de tratamento poderão tratar dados pessoais, sendo a principal delas aquela realizada com o consentimento do titular; No entanto, a LGPD prevê outras possibilidades que permitem o tratamento, mesmo quando não obtido o consentimento do titular, quais sejam: (i) para cumprir obrigação legal do controlador do tratamento; (ii) para o tratamento e uso compartilhado para execução de políticas públicas, nos casos de administração pública; (iii) para a realização de estudos por órgão de pesquisa, desde que anonimizados; (iv) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) para a tutela da saúde, desde que realizada por profissionais do setor; (vi) para a execução ou pré-execução de um contrato com o titular; (vii) para pleitos em processos judicial, administrativo ou arbitral; (viii) interesses legítimos do controlador, desde que não afetem direitos e liberdades fundamentais; (ix) para a proteção do crédito.

No caso dados pessoais sensíveis, a regra geral é de que o  tratamento é vedado, exceto quando realizado mediante o consentimento específico e em destaque, pelo titular, para finalidades específicas; ou, sem consentimento, quando for indispensável para: (i) o controlador cumprir uma obrigação legal; (ii) a administração pública executar políticas públicas; (iii) órgão de pesquisa realizar estudos, mediante anonimização; (iv) exercício regular de direitos como em contratos, processos judiciais, administrativos ou arbitrais; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) tutela da saúde, desde que realizado por profissionais da área; ou (vii) garantia da prevenção à fraude e à segurança do titular.

  1. Como obter o consentimento corretamente?

A obtenção do consentimento deverá ser realizada para finalidades específicas, não podendo ser um consentimento genérico, mas pode ser realizado por qualquer meio que demonstre a manifestação de vontade do titular, desde que conste de forma destacada. Além disso, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, através de procedimento gratuito e facilitado.

Caberá ainda ao controlador do tratamento dos dados o ônus da prova de que o consentimento foi obtido, por isso a manutenção da cadeia de custódia e autorizações deve ser mantida com bastante rigor. Entretanto, estará dispensado o consentimento quando os dados forem tornados manifestamente públicos pelo titular.

Nos contratos de adesão o tratamento de dados pessoais pode ser condição para o fornecimento de produto ou serviço, desde que o titular dos dados seja informado com destaque sobre isso.

Por fim, quando é possibilitada a contratação com ou sem o fornecimento de dados pessoais, o titular deve ser informado sobre as consequências de não autorizar o uso dos seus dados, tais como restrições nos serviços oferecidos ou exibição de publicidade.

  1. Como deve ser feita a transferência de dados para fora do Brasil?

Os dados pessoais podem ser transferidos para fora do país e, conforme estabelecido na LGPD,  as transferências são permitidas nos seguintes casos: (i) os países a serem transferidos possuam grau de proteção de dados pessoais compatível com a lei brasileira; (ii) o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; (iii) quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência; (vi) quando for decorrente de acordo de cooperação internacional; (vii) quando for necessária para execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque; ou (xi) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.

  1. Quais são as penalidades e responsabilidade em casos de descumprimento da LGPD?

Quem não cumprir a lei ficará sujeito a penalidades administrativas que vão de advertência a multa de até 2% (dois por cento) do faturamento, limitada a R$ 50 milhões por infração, bem como publicização da infração, bloqueio ou eliminação dos dados. Embora a LGPD não tenha estabelecido duas faixas de penalidades como o GDPR, seguiu um balizamento similar em termos de valores e vinculação ao faturamento da empresa infratora.

O controlador que causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar, estando ainda sujeito a inversão do ônus da prova a favor do titular dos dados e a solidariedade com o operador, quando diretamente envolvido no tratamento. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.

Para se eximir de responsabilidade sobre o tratamento as empresas deverão provar que: (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados, ainda que tenham realizado o tratamento; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Assim como na legislação de combate à corrupção, poderá ser atenuada a punição da empresa caso ela demonstre que implementou um programa de governança em privacidade, baseado em boas práticas de segurança da informação, bem como um de um sólido projeto de treinamento, políticas e processos de proteção de dados pessoais envolvendo todos os colaboradores da empresa. A seguir, apresentamos a sugestão de um roadmap para tais implementações.

 

 

 

 

Roadmap de Adequação das Empresas à LGPD

A adequação das empresas à LGPD é bem mais complexa do que pode parecer em um primeiro momento, pois serão afetadas várias áreas, incluindo os pontos de risco de operação, sendo importante um engajamento amplo da alta direção das empresas para implantação da proteção, gestação e governança dos dados pessoais.

Para orientar o início de um projeto de adequação das empresas, listamos abaixo os principais pontos de atenção que precisam ser avaliados em suas operações de tratamento de dados pessoais, visando implantar novos processos, políticas e sistemas de gestão destes dados:

a) Registro do tratamento: As empresas deverão manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

b) Relatório de Impacto à Proteção de Dados: O controlador do tratamento dos dados terá que produzir o relatório de impacto à proteção de dados pessoais (similar ao DPIA do GDPR), inclusive de dados sensíveis, referente às suas operações, mediante solicitação da autoridade nacional. Este relatório deverá conter descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, incluindo tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados.

c) Encarregado pelo Tratamento de Dados Pessoais: Nos casos em que o encarregado tiver que ser nomeado, a empresa deverá fornecer a sua identidade e as informações de contato publicamente, preferencialmente no seu website. Este será responsável por: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e (vi) executar as demais atribuições determinadas pela empresa ou normas complementares.

d) Segurança: As empresas deverão verificar se o tratamento de dados pessoais está sendo realizado de maneira segura, em razão do modo pelo qual é realizado, do resultado e os riscos que razoavelmente dele se esperam ou das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. As empresas deverão adotar regras de segurança na fase de concepção do produto ou do serviço até a sua execução (privacy by design). Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na lei e às demais normas regulamentares (privacy by default).

e) Comunicação de vazamento: O controlador deverá comunicar a autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, conforme definido pela autoridade nacional. A divulgação pública do fato em meios de comunicação poderá ser determinada pela autoridade nacional, de acordo com a gravidade do incidente, podendo ainda determinar medidas para reverter ou mitigar os efeitos do incidente.

f) Auto regulação de Boas Práticas e da Governança: Os agentes de tratamento de dados pessoais podem formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Dentre as normas de boas práticas os agentes de tratamento deverão elaborar e seguir um Programa de Governança em Privacidade efetivo que: (i) contenha demonstração do comprometimento do controlador com a proteção de dados; (ii) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta; (iii) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; (iv) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; (v) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; (vi) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; (vii) conte com planos de resposta a incidentes e remediação; e (viii) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Finalização do Prazo para Informar o Beneficiário Final

Termina em 31 de dezembro o prazo para as entidades declararem seu beneficiário final

Informamos que, em 31 de dezembro de 2018, se encerra o prazo para as entidades devidamente inscritas no Cadastro Nacional de Pessoa Jurídica (CNPJ) declararem seu beneficiário final.

A Instrução Normativa nº 1634/2016 da Receita Federal do Brasil estabelece que beneficiário final é: (i) a pessoa natural que, em última instância, de forma direta ou indireta, possui, controla ou influencia significativamente a entidade; ou (ii) a pessoa natural em nome da qual uma transação é conduzida.

Portanto, empresas; clubes e fundos de investimentos; entidades domiciliadas no exterior que, no Brasil, sejam titulares de direitos sobre imóveis, veículos, embarcações, aeronaves, contas-correntes bancárias, aplicações no mercado financeiro ou de capitais ou que possuam participações societárias constituídas fora do mercado de capitais e que realizem arrendamento mercantil externo (leasing), afretamento de embarcações, aluguel de equipamentos e arrendamento simples ou importação de bens sem cobertura cambial, destinados à integralização de capital de empresas brasileiras, instituições bancárias do exterior que realizem operações aqui no Brasil e sociedades em conta de participação devem indicar o beneficiário final perante a Receita Federal do Brasil.

A Instrução esclarece que aquelas entidades que já estavam inscritas no CNPJ antes de 1º de julho de 2017 e que procederem a alguma alteração cadastral a partir dessa data também deverão informar os beneficiários finais dentro de 90 (noventa) dias, sendo a data limite de 31 de dezembro de 2018.

Entidades que não cumprirem à determinação de indicar o beneficiário final podem ter a sua inscrição suspensa no CNPJ, bem como ficar impedidas de transacionar com estabelecimentos bancários, inclusive quanto à movimentação de contas-correntes, à realização de aplicações financeiras e à obtenção de empréstimos.

A equipe do Pinhão e Koiffman Advogados está à disposição para auxiliá-los na análise da obrigatoriedade de entrega da declaração de beneficiário final para quaisquer entidades e no procedimento de envio da declaração frente à Receita Federal.

A Receita Federal do Brasil colocou em Consulta Pública para comentários até o dia 19/11/18 as regras para declaração de criptoativos.

Nos termos da minuta disponibilizada para comentários e sugestões, as exchanges domiciliadas no Brasil deverão entregar mensalmente à Receita Federal até o último dia útil do mês-calendário subsequente àquele em que ocorreram as transações com criptoativos as informações relativas às operações, tais como data, tipo, titulares, criptoativos envolvidos, quantidade de unidades de criptoativos negociados, valor em reais, sem as taxas de serviço e valor das taxas de serviços em reais.

Além disso, também as operações que não forem realizadas em Exchanges locais deverão atentar ao mesmo procedimento, ou seja, esta obrigação abrangerá também as operações P2P, de exchanges no exterior e de mesas de OTCs.

No caso das transações realizadas em exchanges domiciliadas no exterior, a pessoa física ou jurídica domiciliada no Brasil deverá entregar à Receita Federal até o último dia útil do mês subsequente, as informações relativas às operações, tais como data, tipo, criptoativos envolvidos, quantidade, valor sem taxas, valor das taxas e a identificação da Exchange.

As informações prestadas devem conter a identificação dos titulares das operações e incluir nome, nacionalidade, residência fiscal, endereço, CPF ou CNPJ ou NIF no exterior, nome empresarial e demais informações cadastrais.

O limite para a pessoa física ou jurídica domiciliada no Brasil reportar para a Receita Federal as operações realizadas em exchanges no exterior será de R$ 10.000,00, para o valor ou conjunto de operações em um mesmo mês.

Mesmo após a transmissão das informações para a Receita Federal, o declarante deverá guardar os documentos que a embasaram e manter os sistemas de onde elas foram extraídas.

As exchanges domiciliadas no Brasil também deverão prestar, até 31 de dezembro de cada ano, as informações relativas ao saldo em moeda, saldo de cada espécie de criptoativos, e o valor de mercado de cada criptoativo, se houver.

A pessoa jurídica que deixar de prestar as informações ou que prestá-las fora dos prazos, ou que omitir informações ou prestar informações inexatas, incompletas ou incorretas, ficará sujeita às multas mensais de R$ 500,00 (ME e EPP) ou R$ 1.500,00 (demais casos) e R$ 100,00 para as pessoas físicas, pela prestação extemporânea. As quais poderão ser reduzidas em 50% nos casos em que a obrigação acessória for cumprida antes de qualquer procedimento de ofício.

No caso da omissão ou prestação de informações inexatas, incompletas ou incorretas será acrescida uma multa de 3% do valor da informação omitida, inexata, incorreta ou incompleta para as pessoas jurídicas (com possibilidade de redução de 70% se estiver no Simples Nacional); e 1,5% se o declarante for pessoa física.

 

Autores: Helio Ferreira Moraes e Ricardo Hiroshi Akamine

Quais São os Pontos Jurídicos de Atenção para Startups?

O empreendedor brasileiro certamente é um dos mais criativos do mundo. Sendo que isso fica claro quando nos atentamos para a grande quantidade de novos modelos de negócios que surgem constantemente. Porém, em muitos casos, a burocracia acaba sendo um empecilho para as startups. Muitas ideias esbarram, por exemplo, em questões jurídicas. Com isso, torna-se necessário repensá-las e, no jargão do setor, “pivotar” para um outro modelo de negócio.

Exatamente por isso, é essencial que o empreendedor conheça os principais pontos de atenção jurídicos para startups. Isso é importante para evitar, por exemplo, o desenvolvimento de uma ideia que será inviabilizada antes mesmo de ser colocada em prática e a existência de problemas judiciais (quando o negócio já estiver consolidado) devido à ocorrência de alguma irregularidade.

Nesse artigo destacaremos a seguir quais são os principais pontos de atenção jurídicos para evitar esses problemas. Confira atentamente e entenda porque esse assunto é tão relevante para as startups!

Análise de riscos antes da consolidação do negócio

Como foi dito acima, algumas ideias de negócio esbarram em entraves legais. Assim, um ponto de atenção jurídico muito relevante é exatamente analisar eventuais riscos nesse sentido antes da consolidação da ideia. Para isso, é fundamental contar com auxílio jurídico especializado (mentoria). Um advogado com conhecimentos a respeito de modelos de negócios tem a expertise de avaliar a viabilidade (legal) da startup e identificar se, na ideia desenvolvida pelo empresário, há pontos que podem gerar problemas judiciais.

Especialmente no caso das startups de tecnologia, algumas propõe soluções para mercados que são rigidamente regulados. Outras, por sua vez, oferecem serviços/produtos tão inovadores que não possuem qualquer regulamentação. Com isso, é indispensável que essas empresas tenham uma boa estruturação jurídica. Esse aspecto envolve, por exemplo, a definição do modelo de negócio (origem da receita, questões regulatórias…). Um tipo de negócio que pode ser usado como exemplo nesse sentido são as fintechs.

Fintechs

Fintechs são startups focadas da área financeira. Sendo que elas aliam os setores financeiro e tecnológico e criam um novo tipo de negócio. Com isso, a estruturação dessas empresas envolve um grande background jurídico. Até porque, a forma como o modelo de negócio dessas startups é desenhada faz toda a diferença para definir como elas serão reconhecidas juridicamente. Ou seja, não enfrentem problemas legais.

Imagine, por exemplo, o tamanho da dor de cabeça que o empresário tem ao descobrir, apenas depois de tê-la estruturada (equipe contratada, escritório montado, investimento em tecnologia para desenvolver o produto…), que existem problemas legais relacionados à sua startup. O prejuízo de tempo e de dinheiro pode ser gigantesco.

Por isso, formatar o negócio já com o devido apoio jurídico é fundamental. Inclusive porque esse não é um trabalho simples. Existem diversos aspectos que precisam ser avaliados (regulatórios, societários, financeiros, tributários…).

Lembrando que as fintechs foram usadas aqui apenas como um exemplo. Mas existem inúmeros outros tipos de negócios com as mesmas necessidades no tocante à área jurídica.

Desenho da estrutura societária

Estabelecer uma sociedade não é uma questão simples. Tanto que são comuns os casos de longas disputas judiciais entre sócios. Desse modo, o papel do advogado no tocante a esse assunto é auxiliar na formatação de um modelo societário que seja coerente entre os sócios. Sendo que, no caso das startups, também é essencial que a estrutura societária deixe espaço para investimentos. Ou seja, tenha margem no capital social da empresa para a possível entrada de investidores no futuro.

As startups, até pela exigência de crescimento (em alguns casos, sem que exista capital próprio para isso), dependem de novos investimentos. Assim, o modelo societário deve ser pensado para resguardar os anseios dos sócios, mas também permitir novas participações. Muitos empreendedores, inclusive alguns com ideias realmente promissoras, praticamente as inviabilizam por não se atentarem para a questão da estrutura societária ou por desenvolvê-la equivocadamente.

Celebração de contratos

Outro ponto de atenção jurídico se refere aos contratos celebrados pela startup. Sendo que isso envolve, além da questão societária, que foi mencionada acima, os contratos a serem firmados com investidores, fornecedores, parceiros e clientes, por exemplo.

São diversos tipos de contratos que, caso não sejam avaliados minuciosamente, podem gerar perdas financeiras e também entraves judiciais para as empresas. Diante disso, é crucial que o empreendedor seja auxiliado por um advogado no sentido de evitar a celebração de acordos prejudiciais ao seu negócio.

Propriedade intelectual

A propriedade intelectual também é um fator que merece muita atenção por parte das startups. Essa questão é relevante do ponto de vista da relação com os investidores, com os colaboradores e também com os colaboradores terceirizados. Isso envolve especialmente o produto ou serviço que foi desenvolvido pela empresa, bem como marcas e softwares.

A proteção (patente) daquilo que é desenvolvido pela startup é um aspecto muito importante, mas que, quase sempre, é negligenciado. Há casos em que a propriedade intelectual representa, na prática, o lucro da empresa, o maior valor que ela possui. Por isso, protegê-la, seja por contrato ou registro, é essencial. E, obviamente, isso envolve, indispensavelmente, uma série de elementos jurídicos. Exatamente por isso, esse é mais um ponto de atenção jurídico que as startups precisam ter.

Incubação e aceleração

Atualmente, existem muitas instituições que fazem incubação e aceleração de startups. Sendo que passar por esses processos pode realmente ser fundamental para o crescimento das empresas. No entanto, além de avaliar o quanto a instituição é eficiente naquilo que se propõe a fazer, é crucial que o empreendedor também analise muito bem de quanto da sua startup ele vai ter que abrir mão. Há casos em que participar de um programa de incubação ou aceleração acaba tendo um custo/benefício ruim.

Desse modo, contando com a devida assessoria jurídica, o empresário consegue fazer as melhores escolhas nesse sentido. Assim, “investir” nesse tipo de programa realmente viabiliza a abertura de novas oportunidades de negócios.

Fusões e aquisições

Fusões e aquisições são bastante comuns no “mundo das startups”. Sendo que, independentemente de a sua empresa ser o ator primário ou secundário dentro de processos como esses, é essencial que o empreendedor se atente para as questões jurídicas neles envolvidas.

Inclusive, no tocante a atuação do advogado em se tratando de fusões e aquisições, existe uma grande distinção dependendo do lado que ele está defendendo (quem está comprando ou quem está vendendo a empresa). Exatamente devido isso, é muito importante que a startup conte com um bom auxílio jurídico que compreenda os interesses e necessidades do empreendedor.

Atuação do PK Advogados com startups

Por contar com diversos profissionais especializados nos mais diferentes aspectos jurídicos que envolvem a abertura de empresas, o desenvolvimento de novos modelos de negócios e a adequada atuação das empresas nos diferentes mercados (principalmente o de tecnologia e inovação), o PK Advogados oferece uma série de serviços para startups. Alguns deles são relacionados a análise jurídica de:

  • Modelo de negócio;
  • Arranjos societários;
  • Aspectos regulatórios;
  • Aspectos fiscais;
  • Propriedade intelectual;
  • Contratos;
  • Mentoria;
  • Fusões e aquisições;
  • Análise de operações de investimento;
  • Análise de processos de incubação e aceleração;
  • Análise de Valuation (avaliação do valor de mercado da empresa);
  • Estruturação de vesting e proteção do fundador.

Conclusão

Todos os pontos de atenção jurídicos mencionados são de grande relevância para as startups. Eles representam, na verdade, um dos principais ativos de um negócio. Até porque, todas essas questões são avaliadas por potenciais investidores. Além disso, esses pontos de atenção estão diretamente ligados à correta atuação da startup (no sentido jurídico). Ou seja, o empreendedor que os negligencia deixa de abrir portas para eventuais investimentos na sua empresa e também corre o risco de enfrentar sérios problemas jurídicos, que podem inclusive inviabilizar sua ideia de negócio.

Brazilian authorities clarify rules for investments in cryptoassets by Brazilian investment funds

Hélio Ferreira Moraes – 09/19/2018

Partner of PK Advogados

 

The Securities and Exchange Commission of Brazil (“CVM”) issued today (09/19/2018) the Official Letter nº 11/2018 clarifying to the investment funds, regulated under IN CVM nº 555, the requirements to indirect investments in cryptoassets.

According to CVM, the investment funds are authorized to effect indirect investments in cryptoassets through acquisition of quotas of investment funds and derivatives abroad, for example, since regulated in the country in question.

In those countries, these investments should be made through regulated and supervised negotiations platforms (“Exchanges”), ruled by authorities empowered to prohibit, among others, illegal practices of money laundering, fraudulent operations or price manipulation. If the investments are not made through Exchanges with those characteristics, administrators of the investment funds shall ensure that the chosen structure is able to fully attend the legal and regulatory requirements as for the regulated Exchanges.

The fund manager shall verify if the invested cryptoasset does not represent a fraud, checking relevant variables associated to issuing, governance model, administration and other cryptoassets’ characteristic, such as: (i) free open source software; (ii) public technology, transparent, availability and user verifiable; (iii) interest conflict or excessive power of issuer or cryptoassets promoter, or aggressive selling techniques, (iv) cryptoasset negotiation liquidity; (v) nature of the net, validation and consensus protocols and the used software, or (vi) profile of the developers team, as their engagement level to the project.

When cryptoassets represent other assets, the fund manager shall evaluate the risks of the cryptoasset issuer through due diligence, risk analysis of the aimed asset and if such cryptoasset would be a security, hypothesis that it would be necessary previous registration at CVM.

Besides, fund managers shall evaluate if the invested fund adopts practices and measures to mitigate similar risks as to the investment fund manager would adopt, for example, hiring independent auditors able to lead diligences on the cryptoassets hold by the funds.

Managers shall evaluate if the cryptoassets custodians of the invested funds have strong custody solutions able to avoid frequent attacks by hackers.

Manager also shall evaluate the governance rules set to the acquired cryptoassets, in order to be aware, include in the price and monitor possible additional risks, as the possibility of no equitable distribution, manipulations or even limitations to the negotiation liquidity. The intention of these measures would be avoiding operations known as forks or airdrops, which impose to the holders the risks of holding others cryptoassets resulting from these operations, which might differ in nature and characteristics from the cryptoassets originally hold by the investment fund.

The Brazilian fund documents shall inform the adopted rules and polices in relation to such events as well as the particular risks that a cryptoasset investor is exposed to, for example, fraud risks and financial pyramids, lack of suitability, money laundering and tax or currency evasion, CVM no monitored negotiation environment, cybernetics, cryptoassets fluctuation and liquidity, among others.

The manager shall also verify if the invested cryptoasset has liquidity compatible with the periodic fund pricing needs to avoid an inappropriate share of wealth among the fund quota holders, for example investing in cryptoassets with permanent disclosure of globally recognized rates, elaborated by independent parties and based in effective transactions.

Autoridades do Brasil esclarecem regras para investimento em criptoativos pelos fundos de investimento brasileiros

Hélio Ferreira Moraes – 19/09/2018

Sócio de PK Advogados

A Comissão de Valores Mobiliários do Brasil (“CVM”) emitiu hoje (19/09/2018) o Ofício Circular nº 11/2018 esclarecendo aos fundos de investimento regulados os requisitos para investimento indireto em criptoativos.

De acordo com a CVM, os fundos de investimentos regulados pela IN CVM nº 555 estão autorizados a realizar investimento indireto em criptoativos por meio da aquisição de cotas de fundos e derivativos no exterior, por exemplo, desde que regulamentados nesses países.

Estes investimentos deveriam ser realizados por meio de plataformas de negociação (“Exchanges”) regulamentadas e supervisionadas por órgãos reguladores desses países, com poderes para coibir práticas ilegais de lavagem de dinheiro, operações fraudulentas ou de manipulação de preços, entre outras. Caso os investimentos não sejam realizados por Exchanges com essas características, os administradores e gestores dos fundos de investimento deverão assegurar que a estrutura escolhida seja capaz de atender plenamente às exigências legais e regulamentares das Exchanges reguladas.

O gestor deverá verificar se o criptoativo investido não representa uma fraude, verificando variáveis relevantes associadas à emissão, gestão, governança e demais características do criptoativo, como: (i) se o software base é livre e de código fonte aberto (free open source software) ou fechado; (ii) se a tecnologia é pública, transparente, acessível e verificável por qualquer usuário; (iii) se há arranjos que suscitem conflitos de interesse ou a concentração de poderes excessivos no emissor ou promotor do criptoativo3, ou o uso de técnicas agressivas de venda, (iv) a liquidez de negociação do criptoativo, (v) a natureza da rede, dos protocolos de consenso e validação, e do software utilizados, ou (vi) o perfil do time de desenvolvedores, bem como seu grau de envolvimento com o projeto.

No caso dos criptoativos que representam outro ativo, o gestor deverá avaliar os riscos do emissor do criptoativo, por meio de due diligence, análises de risco do ativo fim e se tal criptoativo seria um valor mobiliário, pois nesse caso seria necessário o registro prévio na CVM.

Além disso, o administrador e o gestor deverão avaliar se o gestor do fundo investido adota práticas e medidas de mitigação de risco equivalentes às que o gestor do fundo investidor adotaria de acordo com suas obrigações, como por exemplo a utilização de auditores independentes capazes de conduzir diligências sobre os criptoativos detidos pelo fundo.

Os gestores e administradores do fundo deverão avaliar se os custodiantes dos criptoativos investidos possuem soluções robustas de custódia capazes de evitar ataques frequentes por parte de especialistas em invasões a sistemas de informação, os conhecidos “hackers”.

O gestor do fundo deverá avaliar ainda as regras de governança previstas para o critptoativo adquirido, de forma a se cientificar, precificar e monitorar eventuais riscos adicionais, como a possibilidade de distribuições não equitativas, manipulações ou mesmo limitações à liquidez de negociação. O objetivo seria evitar as operações conhecidas como forks ou airdrops, que impõem aos seus detentores o risco de virem a contar com outros criptoativos, resultantes dessas operações, que diferem em natureza e características daquele original até então detido pelo fundo de investimento.

Os documentos do fundo brasileiro deverão informar as políticas que adotarão em relação a tais eventos, bem como os tipos particulares de riscos a que se sujeita um investidor exposto aos criptoativos, como por exemplo riscos de fraudes e pirâmides financeiras, inexistência de suitability, lavagem de dinheiro, evasão fiscal ou de divisas, operacionais em ambientes de negociação não monitorados pela CVM, cibernéticos, volatilidade e liquidez dos criptoativos, dentre outros.

O gestor deverá ainda verificar se o criptoativo investido conta com liquidez compatível com as necessidades de precificação periódica do fundo, para evitar uma indevida transferência de riqueza entre cotistas do fundo, por exemplo investindo em criptoativos que contem com a divulgação permanente de índices de preços globalmente reconhecidos, elaborados por terceiros independentes e baseados em efetivos negócios realizados.

Principais aspectos da Lei Geral de Proteção de Dados

Em 15 de agosto de 2018 foi publicada a lei geral de proteção de dados brasileira, Lei no. 13.709, inspirada na legislação europeia do GDPR (General Data Protection Regulation) que entrou em vigor no último 25 de maio de 2018 e outras legislações mundiais.

Qual o objetivo da Lei Geral de Proteção de Dados?

O objetivo da Lei Geral de Proteção de Dados é regulamentar o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público. Inclusive nos meios digitais, de consumidores, empregados, independente do país da sede ou no qual os dados estejam localizados. Com o propósito de proteger a liberdade, a privacidade e o livre desenvolvimento da pessoa natural. A Lei Geral de Proteção de Dados se aplica sempre que o tratamento seja realizado no território nacional. Tenha por objetivo a oferta/fornecimento de bens/serviços ou o tratamento de dados de indivíduos localizados no território nacional. Ou os dados pessoais tenham sido coletados no território nacional.

O que são dados pessoais? O que são dados pessoais sensíveis?

Os dados pessoais são as informações relacionada ao titular, que pode ser a pessoa natural identificada ou identificável, podendo incluir nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc).

Os dados sensíveis são aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Quais são os principais direitos dos titulares dos dados? E no caso de dados de criança, quais os cuidados adicionais?

O titular dos dados deverá ser informado sobre a finalidade do tratamento de seus dados, forma e duração, controlador, compartilhamento dos dados, responsabilidades das entidades detentoras dos dados e os direitos do titular, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

Os titulares dos dados pessoais tem direito a obter do controlador (i) confirmação de tratamento; (ii) acesso aos dados no prazo de até 15 dias do requerimento; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou não tratados de maneira legítima; (v) portabilidade dos dados; (vi) eliminação dos dados, ainda que fornecidos com consentimento prévio; (vii) informações dos compartilhamentos de dados; (viii) informações sobre a possibilidade de não fornecer o consentimento e suas consequências; (ix) revogação do consentimento; (x) revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo definição de perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal. Somente poderão ser coletados dados pessoais de crianças sem o consentimento quando for necessário para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento. A participação em jogos e aplicações de internet não poderá ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias.

Quem são as empresas afetadas pela Lei Geral de Proteção de Dados? Apenas as empresas de tecnologia?

A Lei Geral de Proteção de Dados não afeta apenas as empresas de tecnologia. Ela afeta todas as empresas que tratem dados pessoais. A Lei Geral de Proteção de Dados caracterizou os agentes de tratamento. Eles podem ser tanto pessoa natural como jurídica, de direito público ou privado, como o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais; e o operador, que realiza o tratamento de dados pessoais em nome do controlador, nos mesmos moldes do GDPR.

Quando as empresas podem tratar os dados pessoais legalmente? E os dados sensíveis?

Os agentes de tratamento poderão tratar dados pessoais (i) com o consentimento do titular; (ii) para cumprir obrigação legal do controlador do tratamento; (iii) para o tratamento e uso compartilhado para execução de políticas públicas, nos casos de administração pública; (iv) para a realização de estudos por órgão de pesquisa, desde que anonimizados; (v) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) para a tutela da saúde, desde que realizada por profissionais do setor; (vii) para a execução ou pré-execução de um contrato com o titular; (viii) para pleitos em processos judicial, administrativo ou arbitral; (ix) interesses legítimos do controlador, desde que não afetem direitos e liberdades fundamentais; (x) para a proteção do crédito.

O tratamento dos dados pessoais sensíveis são vedados, exceto mediante o consentimento específico e em destaque, pelo titular, para finalidades específicas; ou, sem consentimento, quando for indispensável para: (i) o controlador cumprir uma obrigação legal; (ii) a administração pública executar políticas públicas; (iii) órgão de pesquisa realizar estudos, mediante anonimização; (iv) exercício regular de direitos como em contratos, processos judiciais, administrativos ou arbitrais; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) tutela da saúde, desde que realizado por profissionais da área; ou (vii) garantia da prevenção à fraude e à segurança do titular.

Quais são os cuidados que as empresas devem tomar ao obter o consentimento?

O consentimento deverá ser realizado para finalidades específicas, não podendo ser genérico, mas pode ser realizado por qualquer meio que demonstre a manifestação de vontade do titular, desde que conste em cláusula destacada das demais. Além disso, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, mediante procedimento gratuito e facilitado.

Caberá ainda ao controlador do tratamento dos dados o ônus da prova de que o consentimento foi obtido. Entretanto, estará dispensado o consentimento quando os dados forem tornados manifestamente públicos pelo titular.

Os contratos de adesão podem vincular o uso do serviço com o fornecimento de dados pessoais?

Nos contratos de adesão o tratamento de dados pessoais pode ser condição para o fornecimento de produto/serviço, desde que o titular dos dados seja informado com destaque sobre isso.

As empresas podem transferir dados para fora do país?

Os dados pessoais podem ser transferidos para fora do país somente quando: (i) os países possuam grau de proteção de dados pessoais compatível com a lei brasileira; (ii) o controlador comprovar as mesmas garantias previstas na Lei Geral de Proteção de Dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; (iii) for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência; (vi) for decorrente de acordo de cooperação internacional; (vii) for necessária para execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque; ou (xi) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.

Quais as penalidades e responsabilidade de quem não cumprir a Lei Geral de Proteção de Dados?

Quem não cumprir a Lei Geral de Proteção de Dados ficará sujeito as penalidades de advertência. São elas: multa de até 2% (dois por cento) do faturamento, limitada a R$ 50 milhões por infração, publicização da infração, bloqueio ou eliminação dos dados.

O controlador do tratamento de dados que causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar, estando ainda sujeito a inversão do ônus da prova a favor do titular dos dados e a solidariedade com o operador, quando diretamente envolvido no tratamento. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador

Para se eximir de responsabilidade sobre o tratamento as empresas deverão provar que: (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados, ainda que tenham realizado o tratamento; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

 

Como as empresas precisam se preparar?

Listamos abaixo os principais pontos de atenção que as empresas precisam avaliar em suas operações de tratamento de dados pessoais:

 

Relatório de Impacto à Proteção de Dados

O controlador do tratamento dos dados terá que produzir o relatório de impacto à proteção de dados pessoais (similar ao DPIA do GDPR). Inclusive de dados sensíveis, referente às suas operações, mediante solicitação da autoridade nacional. Este relatório deverá conter descrições específicas. São elas: processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. Incluindo tipos de dados coletados e a metodologia utilizada para a coleta. Garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Registro do tratamento:

As empresas deverão manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Encarregado pelo Tratamento de Dados Pessoais

: A regra geral foi que as empresas deverão indicar um encarregado pelo tratamento de dados pessoais. Entretanto, a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Nos casos em que o encarregado tiver que ser nomeado, a empresa deverá fornecer a sua identidade e as informações de contato publicamente, preferencialmente no seu website. Este será responsável por: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e (vi) executar as demais atribuições determinadas pela empresa ou normas complementares.

Segurança:

As empresas deverão verificar se o tratamento de dados pessoais está sendo realizado de maneira segura. Em razão do modo pelo qual é realizado, do resultado e os riscos que razoavelmente dele se esperam. Ou das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas específicas. Elas precisam estar aptas a proteger os dados pessoais de acessos não autorizados.

Precisam contemplar também situações acidentais ou ilícitas de destruição. Perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. As empresas deverão adotar regras de segurança na fase de concepção do produto ou do serviço até a sua execução (by design). Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança. Deverão atender também aos padrões de boas práticas e de governança, aos princípios gerais previstos na Lei Geral de Proteção de Dados e às demais normas regulamentares (by default).

Comunicação de vazamento:

O controlador deverá comunicar a autoridade nacional E ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Fica o prazo de comunicação a ser definido pela autoridade nacional. A divulgação pública do fato em meios de comunicação poderá ser determinada pela autoridade nacional. De acordo com a gravidade do incidente, podendo ainda determinar medidas para reverter ou mitigar os efeitos do incidente.

Auto regulação de Boas Práticas e da Governança

: Os agentes de tratamento de dados pessoais poderão formular regras de boas práticas e de governança. É importante que elas estabeleçam as condições de organização e o regime de funcionamento. Precisam contemplar também os procedimentos. Incluem-se reclamações e petições de titulares, as normas de segurança e os padrões técnicos. As obrigações específicas para os diversos envolvidos no tratamento e as ações educativas. Os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Dentre as normas de boas práticas os agentes de tratamento deverão elaborar e seguir um Programa de Governança em Privacidade efetivo que: (i) contenha demonstração do comprometimento do controlador com a proteção de dados; (ii) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta; (iii) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; (iv) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; (v) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; (vi) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; (vii) conte com planos de resposta a incidentes e remediação; e (viii) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Quem é a autoridade nacional e quando vai ser instituída?

Esse foi um dos aspectos mais polêmicos da nova legislação. A autoridade nacional de proteção de dados foi vetada na promulgação da Lei Geral de Proteção de Dados. Ficando, assim, para ser instituída por ato apartado do executivo. Sem a autoridade nacional, ficam prejudicados muitos aspectos da Lei Geral de Proteção de Dados. Ela é parte essencial para que os direitos e garantias dos cidadãos. Ela é importante para que seus dados sejam efetivamente implementados e monitorados. Além disso, a autoridade seria extremamente importante para a definição de novas políticas. Além disso, seria importante para padronização de fiscalização e evitar a judicialização das questões envolvendo proteção de dados. Crucial para resolução de conflitos e uniformização dos direitos.

Quando entra em vigor a Lei Geral de Proteção de Dados?

As novas regras só passarão a viger depois de 18 meses, contados de 15 de agosto de 2018, para que órgãos, empresas e entidades se adaptem.

 

Conselho Administrativo de Defesa Econômica para projetos de tecnologia

Descubra como o Conselho Administrativo de Defesa Econômica atua em projetos de tecnologia. O Direito Concorrencial, embora com seu órgão amplamente divulgado diariamente nos jornais de maiores audiência e circulação do País, permanece uma grande incógnita para certos ramos empresarias e setores jurídicos, que, apenas tomam conhecimento de sua existência quando já é tarde e enfrentam problemas concorrenciais de dimensões relevantes.

Trata-se de uma matéria muito relevante na rotina jurídica. Mas por incrível que pareça, também no cotidiano dos cidadãos. Isso porque seus impactos são diretamente calculados pelo potencial dano que as empresas podem causar ou não aos consumidores. O órgão antitruste no Brasil é o CADE (Conselho Administrativo de Defesa Econômica). Ele regulamenta a atuação das empresas, mas sem deixar de proteger o consumidor. Procura garantir a ordem econômica e vislumbrar o desenvolvimento da economia do país como um todo.

Exatamente por isso, apresentaremos abaixo 5 tópicos importantes relativos ao CADE. Atentar-se a eles é essencial na hora de você desenvolver o seu projeto de tecnologia. Quer saber como atuar totalmente de acordo com a regulamentação e evitar problemas legais? Então confira o artigo até o final e tire todas as suas dúvidas!

1.    O que exatamente é o Conselho Administrativo de Defesa Econômica?

O Conselho Administrativo de Defesa Econômica é uma autarquia federal brasileira vinculada ao Ministério da Justiça. Sua atuação é muito relevante no sentido de evitar a concentração do poder econômico e, dessa forma, e fomentar a concorrência e competição. O órgão atua de acordo com alguns princípios, são eles:

  • Defesa da Ordem Econômica;
  • Garantia da Liberdade de Iniciativa;
  • Livre Concorrência;
  • Função Social da Propriedade;
  • Defesa dos Consumidores;
  • Repressão ao Abuso do Poder Econômico.

É importante ressaltar que o Conselho Administrativo de Defesa Econômica é um órgão administrativo (com jurisdição em todo o território nacional). Ou seja, os processos que ocorrem no âmbito dessa autarquia são administrativos. Sendo assim, após o trâmite processual no próprio órgão, que conta com Regimento Interno atualizado com a nossa realidade, guias altamente didáticos, caso, ainda assim, haja decisão desfavorável, há que se apontar a possibilidade de recorrer judicialmente, o que não tem se mostrado necessário nos últimos anos.

Conselho Administrativo de Defesa Econômica analisa atos de concentração entre empresa cujo seus grupos econômicos tenham faturamento anual bruto ou volume de negócios total no País no anterior da operação acima de R$ 750.000.000,00 (setecentos e cinquenta milhões de reais) um e a, outra empresa com grupo econômico, cumulativamente, faturamento anual bruto ou volume de negócios no País no anterior da operação acima de R$ 75.000.000,00 (setenta e cinco milhões de reais).

2.    Organismos internacionais de concorrência: OCDE e UNCTAD

O Direito Concorrencial existe em âmbito global. Sendo que a OCDE (Organização para a Cooperação e Desenvolvimento Econômico) e a UNCTAD (Conferência das Nações Unidas sobre Comércio e Desenvolvimento) são dois dos principais organismos internacionais que atuam nessa matéria. Eles buscam disseminar o Direito Concorrencial em todos os países do mundo. Incluindo aqueles nos quais a economia passa por momentos de incertezas (como em países que estão em um ambiente pós-guerra).

Nesse sentido, vale destacar que o CADE, que é órgão brasileiro que trata sobre esse tema, é reconhecido como um dos melhores órgãos de concorrência do mundo. Dessa forma, quem entende a atuação do CADE tem propriedade para falar sobre Direito Concorrencial.

3.    Quais são as funções do Conselho Administrativo de Defesa Econômica?

Dentro de toda a sua área de atuação, Conselho Administrativo de Defesa Econômica possui três funções principais. Sendo que é importante sabermos do que se trata exatamente cada uma delas. Por isso, abaixo temos um resumo individual dessas funções:

Função Preventiva

A Função Preventiva se refere aos atos de concentração. Trata-se da análise (e posterior aprovação ou não) dos processos de fusão ou incorporação. Vale também a aquisição de controle e quaisquer outros atos de concentração econômica por parte de empresas de grande porte. O objetivo é proteger a livre concorrência e/ou outros princípios do Conselho Administrativo de Defesa Econômica.

Função Repressiva

A Função Repressiva é relativa à investigação da possível ocorrência de atos potencialmente prejudiciais aos seus princípios. Como a formação de cartel, por exemplo. Ou seja, essa função é colocada em prática quando se identifica a possibilidade de já ter sido caracterizado o ato ilícito. É como se fosse uma investigação criminal. Porém, a princípio, apenas no âmbito administrativo.

Função Educativa

A Função Educativa diz respeito ao papel do Conselho Administrativo de Defesa Econômica de informar e instruir a sociedade sobre a atuação do órgão e sobre as condutas que podem ser danosas à livre concorrência. Além disso, essa função estimula a realização de estudos e pesquisas sobre Direito Concorrencial e assuntos de interesse dessa área.

A Função Educativa é colocada em prática, entre outras formas, por meio da realização de eventos (palestras, seminários…) e da divulgação de cartilhas com informações detalhadas sobre o órgão, a sua atuação e os mais diversos temas de interesse da autarquia.

4.     Direito Concorrencial/Conselho Administrativo de Defesa Econômica/antitruste: Objetivo – Fomento à Economia

A Lei 12.529/2011 (Lei da Concorrência) é a regulamentação antitruste brasileira.Conselho Administrativo de Defesa Econômica é o órgão responsável. Justamente pela identificação e tomada das medidas cabíveis diante das irregularidades cometidas. A relevância dessa Lei e do seu “aplicador” está exatamente no fato de que eles garantem a competição e concorrência justa, e, em consequência, garantindo que nosso mercado possua os produtos com qualidade e preço justo.

O truste se caracteriza pelo controle de um ou vários mercados por parte de uma empresa. Com isso, cria-se monopólio, o que possibilita que essas empresas definam os preços dos produtos e/ou serviços inadvertidamente. Assim, um produto que teria como preço justo R$ 10, pode custar o dobro ou até o triplo.

Exatamente por isso, o papel do Conselho Administrativo de Defesa Econômica é fomentar o desenvolvimento econômico social do País. Por isso, os órgãos internacionais buscam disseminar as leis antitrustes, levando-as até mesmo para os países menores e em situação econômica complicada.

5.    Relação Conselho Administrativo de Defesa Econômica X Tecnologia

Como a tecnologia representa uma parcela considerável do mercado, com inúmeras empresas disputando o consumidor, é necessário que os órgãos antitrustes tenham uma relação especial com ela. Sendo que, em muitos casos, isso significa dar um tratamento diferenciado.

Tratamento Diferenciado para Empresas de Tecnologia

Pela necessidade de atuar em consonância com as inovações tecnológicas, o CADE faz uma análise diferenciada das empresas de tecnologia. Além disso, por se tratar de um mercado que aquece a economia brasileira, há uma visão (alinhada à Teoria Schumpeteriana – apresentada abaixo) de que impor restrições às empresas de tecnologia pode fazer com que elas busquem outros mercados, o que representaria uma perda econômica para o país.

E isso não pode acontecer em decorrência da atuação do órgão antitruste, já que não seu objetivo espantar o mercado de tecnologia.

Importância Política do  Conselho Administrativo de Defesa Econômica

Embora seja uma autarquia com poder judicante, existe uma ideia política por trás do órgão antitruste (Conselho Administrativo de Defesa Econômica). O papel dele, como foi ressaltado anteriormente, é fomentar a economia. Assim sendo, ao analisar operações que gerarão efeitos positivos para a economia nacional como um todo, não faz sentido tentar barrá-las simplesmente por existir a necessidade de uma avaliação relativamente excepcional.

Teoria Schumpeteriana e o Lado Positivo do Monopólio das Empresas de Tecnologia

Joseph Schumpeter, renomado economista e cientista político durante a primeira metade do século XX, defendia uma ideia importante. A partir do momento em que uma empresa desenvolve uma nova tecnologia, ela passa a ter um monopólio sobre o mercado em questão. Sendo que, de acordo com a visão do economista (Teoria Schumpeteriana), isso é positivo, pois essa concentração faz com que as outras empresas se sintam estimuladas a desenvolverem novas alternativas para o mercado.

Esse conceito tem sido amplamente utilizado nos últimos anos em se tratando de análises concorrenciais no País e no exterior.

Conclusão

Como foi possível compreender, qualquer projeto de tecnologia a ser desenvolvido carece de estar em consonância com o CADE. Sendo que, em relação a essa área específica, o órgão brasileiro antitruste tem uma visão diferenciada. Porém, isso não significa que possam ser desenvolvidos projetos em desacordo com as questões apontadas nos tópicos apresentados no artigo, incluindo os princípios do Conselho Administrativo de Defesa Econômica. Por isso, atentar-se a todos os detalhes mostrados é uma necessidade para viabilizar a correta (lícita) atuação.

Scroll to top