Prazo para entrada em vigor da LGPD

Faça parte da
nossa newsletter

ÚLTIMOS

POSTS

Legal Design: Por que o fazemos?

Nessa semana, quatro de nossos profissionais participam do treinamento “Business Beyond – Inovação e Negócios” que será ministrado por Tessa Manuello e Carol Hannud no AASP (Associação dos Advogados de São Paulo), oportunidade única para debater sobre inovação e negócios com o Head de Desenvolvimento de Negócios do Google para a América Latina sob a ótica da metodologia Legal Creatives Design.

Embora a proximidade com empresas inovadoras tenha nos colocado no caminho prático do Legal Design há um certo tempo, participar do evento da Legal Creatives proporcionará a especialização em uma metodologia já utilizada por advogados em mais de 50 países.

Porque fazemos Legal Design?

Como um escritório que se propõe a viabilizar tecnologia e inovação, sempre fomos expostos a problemas incomuns para o mundo jurídico tradicional e, muitas vezes, tivemos que trabalhar em times multidisciplinares para ajudar a “colocar de pé” o projeto do cliente.

Estruturar contratos envolvendo o uso de software, por exemplo, requer equilíbrio entre texto e elementos visuais para demonstrar de forma clara os fluxos, os pontos de interação, o escopo de cada parte, entre outras nuances.

Por outro lado, mesmo os clientes dos nossos clientes já estão exigindo uma nova abordagem sobre os temas jurídicos.

As pessoas estão vendo o design centrado no ser humano em funcionamento em outros setores, como transportes, hospedagem, alimentação ou finanças e esperam produtos e serviços semelhantes, ou seja, impecáveis no quesito “experiência do usuário”. 

As pessoas já se cansaram do jargão jurídico e de documentos legais desnecessariamente complexos e esperam que os advogados façam uma análise jurídica profunda e complexa, mas depois transmitam suas descobertas de maneira simples e digerível.

Exemplos de soluções baseadas em Legal Design

Considerando a realidade acima mencionada, de usuários finais cada vez mais exigentes quanto à forma como é comunicada a parte jurídica dos negócios, muitos clientes já estão solicitando a criação de Políticas de Privacidade e Proteção de Dados Pessoais mais eficientes.

É sabido que os modelos atuais de políticas, imensas e complexas, raramente são lidas pelos usuários, que as aceitam sem sequer saber o que dizem. 

Porém, com a entrada em vigor da LGPD, essa realidade terá que mudar, uma vez que o princípio básico da nossa lei de proteção de dados pessoais é a transparência e a efetividade das políticas no que se refere à comunicação como usuários será avaliada pela autoridade de proteção.

Em outras palavras, a lei está dizendo: para estar em conformidade com a LGPD, você precisa ter uma comunicação que as pessoas possam entender – uma verdadeira transformação nas políticas de privacidade longas, complicadas e cheias de jargões!

Em um caso recente, o Google foi multado na Europa por várias violações do GDPR. Curiosamente, um fator relevante na decisão foi que as informações essenciais não eram facilmente acessíveis aos usuários, mas foram excessivamente disseminadas em vários documentos, às vezes exigindo 5 ou 6 cliques para se chegar na informação.

Diferentes modalidades de design

No entanto, não são apenas soluções visuais (visual law) que funcionam no Legal Design.

Segundo Margareth Hagan, professora de Stanford e especialista no assunto, design é resolver problemas. Ele tem muitos ramos diferentes definidos por qual tipo de desafio o designer está tentando resolver.

O design visual é o ramo do design que se preocupa com a aparência das coisas, mas sua preocupação deriva não principalmente do valor estético, mas da funcionalidade de entregar uma mensagem de maneira eficaz às pessoas.

Já o design de produto se concentra em como construir uma ferramenta para resolver o problema de um usuário. O que você pode construir para ajudar uma pessoa a realizar uma tarefa, resolver um desafio?

Nessa linha, temos atuado também e, muitas vezes, buscamos a aplicação de tecnologia para viabilizar serviços jurídicos mais ágeis e amigáveis, como no desenvolvimento de duas plataformas, uma para votação e uma para proteção de dados, que falaremos mais sobre em um outro artigo.

Há ainda o design de serviços, o design de organização e o design de sistema que, para não deixar esse artigo tão longo, trataremos mais profundamente em outra oportunidade.

O que temos vista como resultado da aplicação do Legal Design

Abaixo vamos listar alguns dos benefícios que estamos notando com mais frequência ao utilizar o Legal Design para solucionar os desafios dos nossos clientes:

 

  • Clientes mais felizes

 

Os clientes apreciam os advogados que se esforçam para se colocar no lugar deles, pensam no que precisam e entregam algo de valor real a eles. A prática de Legal Design também aprimora o relacionamento com o cliente. Melhorar a habilidade de ouvir os clientes, se envolver e colaborar com eles para fornecer soluções personalizadas aumenta a confiança, a empatia e a compreensão.  

 

  • Melhor entendimento e conformidade jurídica

 

Ao receberem um produto jurídico mais claro e envolvente (como um contrato), os usuários ficam mais confiantes sobre seus direitos e obrigações. Esse entendimento e engajamento aumentados geralmente levam a mais conformidade, menos disputas e menor tempo de negociação. É possível construir uma linguagem jurídica com o qual as pessoas possam se envolver mais ativamente.

 

  • Fomentar a inovação e criar valor 

 

Existem pessoas em nossas equipes e também nos clientes com ideias fantásticas sobre como algo pode ser melhorado. O Legal Design oferece a essas pessoas uma plataforma para pensar de forma criativa e desbloquear ideias e potencialidades dentro das organizações. Essas podem ser formas completamente novas de fazer coisas ou ajustes nos serviços existentes. Para equipes jurídicas internas, isso pode mudar o jogo; eles podem se tornar facilitadores, inovadores e criadores de valor dentro de sua empresa, em vez de um obstáculo ou um custo comercial.

Porque escolhemos o Legal Creatives

O Legal Creatives é uma plataforma global na intersecção entre o Design e o Creative Thinking para desenvolver serviços, produtos, sistemas e experiências inovadoras na área do direito.

Advogados de mais de 50 países ao redor do mundo já estão utilizando o Legal Creatives Design como uma metodologia para inovação e para desenvolver o Legal UX (experiência do usuário jurídico) para seus clientes.

Além disso, a criadora da metodologia Tessa Manuello é uma referência mundial em Legal Design, sendo regularmente convidada para falar e compartilhar seu conhecimento, reflexões e pesquisas sobre tópicos como inovação, disrupção e inserção da criatividade no desenho de serviços jurídicos.

Para saber mais

Se você quiser saber mais sobre Legal Design e também sobre a metodologia Legal Creatives, tanto para o desenvolvimento de alguma solução que você tenha em mente ou para algum desafio que esteja enfrentando no momento, até a contratação de um treinamento para você ou sua equipe, nossos especialistas estão à disposição.

Mauro MartinsGiordana BiaginiHenriete FejesRafael Canuto

LGPD: Proteger dados ou fornecer acesso? Eis a questão!

Mesmo antes da Lei de Proteção de Dados (LGPD) entrar em vigor, nossa área de contencioso cível já tem recebido diversas demandas que mostram que, na prática, estar em conformidade com a LGPD não é tão simples como algumas empresas acreditam.

No artigo de hoje vamos mostrar que os profissionais que analisam a conformidade da empresa devem dominar múltiplos conhecimentos (ou trabalhar em equipes multidisciplinares), tais como interpretação de leis, metodologias de processos, tecnologia e segurança da informação.

Utilizaremos como exemplo o caso de uma empresa que se encontra diante de uma decisão nada fácil: atender ou não o pedido de acesso aos dados pessoais de um titular que não consegue comprovar sua identidade (ao menos pelo processo determinado pela empresa).

Siga a leitura para entender o que as empresas devem fazer para não se colocar nesse dilema.

Usando a LGPD para conseguir dados ilegalmente

Sempre que as pessoas pensam em proteção de dados pessoais, a primeira coisa que vem à mente é a implementação de recursos tecnológicos para evitar a instalação de vírus (malware) ou ataques (geralmente atribuído a hackers).

Porém, um estudante de doutorado da Universidade de Oxford, chamado James Pavur, realizou um teste que chocou a comunidade de privacidade da Europa. 

Pavur se fez passar por sua noiva para enviar 150 pedidos a empresas de todos os setores e tamanhos, solicitando acesso aos dados pessoais que elas tivessem em seu poder. 

Quase 3/4 das empresas responderam aos pedidos e 83 indicaram que tinham dados associados à noiva de Pavur. Desses, quase 1/4 forneceu a Pavur os dados de sua noiva depois de receber pouco mais que um endereço de e-mail ou número de telefone como verificação de identidade. 16% aceitaram documentação que poderia ser facilmente falsificada.

Pavur usou, inclusive, os dados fornecidos pelas 75 primeiras empresas contatadas para, então, conseguir mais dados das 75 empresas seguintes. Com base em várias solicitações, por exemplo, ele conseguiu obter 10 dígitos do número do cartão de crédito de sua noiva, a data de validade do cartão, o banco de origem e o código postal.

Em resumo, Pavur conseguiu obter informações confidenciais sobre sua noiva, às vezes com pouca ou nenhuma verificação de identidade.

Perturbadoramente, isso comprova que mesmo as empresas da Europa, com cultura de privacidade muito mais madura do que as empresas brasileiras, rotineiramente falham em garantir que essas solicitações de acesso do titular sejam legítimas. Como resultado, os consumidores estão sendo colocados em risco.

Obrigação de proporcionar o acesso

Caso você esteja tendo seu primeiro contato com a questão de proteção de dados neste artigo, é importante esclarecer que os fatos acima narrados aconteceram porque, tanto no GDPR europeu, quanto na LGPD brasileira, as empresas devem processar prontamente as solicitações dos titulares de dados.

Neste artigo estamos usando como exemplo a solicitação de acesso aos dados, por se tratar do caso real que estamos analisando, porém ambas as leis garantem uma série de direitos aos titulares dos dados, tais como retificação, portabilidade, exclusão (ou direito de ser esquecido), entre outros.

As empresas envolvidas no experimento de Pavur estavam, de modo equivocado, tentando ficar em conformidade com essa obrigação, de proporcionar aos titulares de dados o exercício dos seus direitos, como o direito de acesso. Porém, erraram em outra obrigação, a de proteger os dados pessoais que estão em seu poder.

Obrigação de proteger os dados com a LGPD

Se, por um lado, o GDPR e a LGPD devolvem para os indivíduos o pleno poder sobre os seus dados, por outro, determinam que os dados pessoais precisam ser protegidos e as empresas precisam garantir sua confidencialidade, integridade e disponibilidade mais do que nunca.

Para tanto, não basta apenas instalar um antivírus ou um firewall. Como mencionamos acima, a LGPD é complexa e exige múltiplas soluções.

Para o problema que estamos analisando, pessoas mal-intencionadas, após obterem acesso às informações por meio de engenharia social ou outros meios ilícitos, se aproveitam da dificuldade do titular em realizar o procedimento de verificação de identidade para “sequestrar” os dados. Nesse caso, o cuidado no tratamento dos dados pessoais pode acabar se tornando uma arma contra a própria empresa.

A grande dificuldade decorre do fato de a LGPD não prescrever boas-práticas ou requisitos específicos para verificação de identidade. Mesmo que a Autoridade Nacional de Proteção de Dados (ANPD) venha a prescrever essas orientações, as empresas devem criar, desde já, procedimentos e requisitos formais para atender a essas solicitações com segurança.

É importante destacar que, segundo Pavur, as organizações de maior porte para as quais ele enviou pedidos “tenderam a ter um bom desempenho”, porém as entidades sem fins lucrativos e médias empresas foram responsáveis por 70% das falhas no processo de segurança.

De fato, embora muitas se esforcem para estar em conformidade com a lei, essas organizações menores parecem ser as mais vulneráveis a abusos de acesso de indivíduos.

Quando surge o conflito

Estando em posições opostas, o dever de atender de forma simplificada os direitos dos titulares e o dever de garantir a proteção dos dados pessoais facilmente entram em confronto.

Basicamente, se você tornar muito difícil para os titulares de dados exercerem seus direitos, criando para eles requisitos irracionais e desproporcionais, você de fato infringirá as regras da LGPD.

Por outro lado, se você não verificar de forma adequada a identidade dos solicitantes e permitir, de alguma forma, que uma pessoa se passe por outra para ter acesso aos dados pessoais, você também infringirá as regras da LGPD.

Mas como identificar os titulares dos dados que enviam solicitações de forma segura sem, por outro lado, impor um processo muito difícil para os verdadeiros titulares?

O que não deve ser feito

Embora quando se fala em proteção de dados não exista uma “receita de bolo” aplicável a todas as empresas (afinal, bancos e planos de saúde são bastante diferentes de um comércio), vamos aqui listar alguns cuidados básicos que a maioria das empresas pode adotar.

Conforme falamos acima, embora as violações de dados pessoais sejam naturalmente temidas pelas empresas (por um motivo muito bom e devem ser evitadas), por outro lado, o processo de solicitação não pode se tornar exageradamente muito oneroso para os titulares.

Evite coletar quantidades excessivas de dados pessoais apenas para fazer a autenticação.

Outra recomendação é que a empresa não solicite dados claramente mais sensíveis ou potencialmente mais prejudiciais, para fins de autenticação, do que os dados sujeitos à solicitação.

Em outras palavras, se você só tem o e-mail e o telefone da pessoa, não é recomendável que ela forneça um documento oficial com foto e diversos dados para comprovar sua identidade.

Se a empresa realmente precisar de alguma informação adicional, ela deve ser a quantidade mínima e apenas o que é relevante no contexto específico. Isso é importante por causa dos princípios da necessidade, adequação e de minimização de dados, entre outros.

Portanto, solicitar uma cópia do documento de identidade, passaporte ou outro documento oficial emitido pelo governo, como uma certidão de nascimento, como uma maneira padrão de verificar a identidade dos titulares dos dados deve ser definitivamente evitado.

Vale lembrar que, além de desproporcional, essa medida nem sempre é eficiente. Especialistas explicam que usar informações que permanecem basicamente as mesmas por toda a vida ou por um longo período de tempo é frágil, pois é muito provável que esses dados já estejam em posse de pessoas não autorizadas.

Além disso, se essa for a prática predominante na sua empresa, você estará atraindo um risco altíssimo, uma vez que passam a ser mais dados pessoais em posse da empresa que podem ser objeto de violações e ataques de hackers.

Portanto, a solução para o dilema da validação de identidade não é coletar mais e mais dados e informações, pois você criará riscos adicionais para a empresa. Além disso, precisará investir mais em medidas de segurança, pois vazar documentos pessoais é mais prejudicial do que vazar um histórico de itens comprados ou dados similares.

Como resolver

Em primeiro lugar, é preciso considerar não apenas o processo de atendimento às solicitações dos titulares dos dados, mas analisar todo o ciclo de vida do dado dentro da empresa, desde o momento em que foi coletado.

O que é coletado? Como é coletado? Qual é o processo de validação da identidade no momento inicial de coleta dos dados?

Isso porque, se algum método de verificação de identificação foi bom o suficiente quando você obteve os dados (por exemplo, você utilizou a conta de e-mail), deve ser bom o suficiente quando você recebe uma solicitação (por exemplo, solicitação enviada do mesmo e-mail).

Portanto, é preciso pensar no processo como um todo e não isoladamente.

Outra questão importante a ser considerada é a sensibilidade dos dados e quais são os riscos envolvidos. Quanto mais sensíveis os dados, maior a segurança do processo de autenticação. 

Por exemplo, se um hospital implementa um processo mais rigoroso para fornecimento de informações médicas ou cópia do prontuário do paciente, ele poderá justificar esse rigor como uma forma de proteger os titulares dos dados contra possíveis riscos a seus direitos e liberdades.

No entanto, mesmo nesses casos, é recomendável que a empresa solicite no processo de autenticação dados que já possui em vez de solicitar mais dados novos. 

Em outras palavras, um exemplo é utilizar um processo de validação de identidade baseado em fazer algumas perguntas em relação aos dados pessoais que a empresa já possui e, a depender da resposta, permitir ou não o acesso do solicitante à integralidade dos dados.

É importante também considerar as expectativas razoáveis dos titulares dos dados, ou seja, se o seu método de autenticação era anteriormente “login e senha”, o próprio “login e senha” devem permitir que a empresa processe os pedidos dos titulares.

Porém, se o “login e senha” foram perdidos, é claro que pedir nome e sobrenome não fará sentido, se eles não estiverem vinculados ao perfil. Neste caso, o mais adequado é utilizar, no momento do cadastro, recursos para uma verificação em duas etapas, como o cadastro de e-mail secundário ou número de telefone para envio de mensagem para recuperação de senha, por exemplo.

Ocorre que, de nada adianta implementar quaisquer dessas soluções se a empresa não possuir uma política clara e objetiva, informando aos titulares sobre todos os procedimentos, os cuidados que devem adotar, entre outras coisas.

Por fim, as empresas devem criar políticas projetadas para impedir o vazamento de dados como resultado de solicitações suspeitas de acesso, como solicitações originadas em endereços de e-mail que não se sabe estarem associados ao titular.

É importante que fique claro, para todos na empresa, em quais situações deve ser dado acesso aos dados e em quais situações o acesso deve ser negado.

Ao tomar essas medidas, as empresas podem se tornar menos vulneráveis e ajudar a garantir que o objetivo principal da LGPD (proteção dos dados) não seja comprometido pelos esforços para cumpri-la (facilidade no acesso).

Além disso, quando a empresa puder demonstrar que não está em posição de identificar o titular dos dados, ela deve informar os motivos de forma clara. Nesses casos, as obrigações referentes aos direitos do titular não serão aplicáveis, exceto quando este, com o objetivo de exercer seus direitos, fornecer informações adicionais que permitam sua identificação.

Conclusão sobre a LGPD

Como mostramos com apenas um dos inúmeros exemplos que poderíamos citar, implementar a LGPD na empresa não é simples e exige conhecimentos multidisciplinares para compreender se cada ação, processo, política ou sistema estão, de fato, cumprindo o que determina a lei.

Diante desse fato, é necessário alertar que algumas empresas têm a percepção de que podem estar em conformidade com todos as regras de proteção de dados, mas o cumprimento total é mais mito do que realidade.

A verdadeira questão é qual nível de conformidade a empresa deseja alcançar.

De fato, as empresas podem gastar grandes quantias na tentativa de manter tudo conforme determinam as leis de proteção de dados existentes. Porém, correm o risco de se transformar em “empresas de conformidade” em vez de empresas reais.

Um profissional ou grupo de profissionais qualificados pode garantir que a empresa implemente as medidas corretas e mais eficientes para buscar uma adequação à lei sem, contudo, ter que dedicar recursos significativos para uma conformidade plena que é praticamente impossível.

Em relação ao conflito tratado neste artigo, a diretriz final e clara é que a empresa não deve coletar informações de identificação se não precisar delas, a menos que o próprio titular dos dados deseje provar sua identidade. 

É sempre muito melhor e prudente evitar o excesso de dados e, assim, se recusar a processar algumas solicitações quando não estiver em posição de identificar a identidade do solicitante, ser excessivamente zeloso e coletar informações demais apenas para fins de autenticação.

Autores:

Fernando José Monteiro Pontes FilhoEduardo Hideki InoueMariana Silva MonachesiMauro Roberto Martins JuniorHélio Ferreira Moraes

 

Tributário: Da vedação ilegal do direito de compensação de débitos das empresas que realizam suas apurações por meio de balancetes (art. 35 da Lei 8.981/95)

As empresas com regime de tributação no lucro real e que optaram pela apuração das antecipações mensais através de balancete de suspensão ou redução têm sofrido restrições na compensação de débitos de estimativas, sem previsão legal. 

Por outro lado, essas mesmas empresas aguardam por anos a fio decisão da Receita relativa aos pedidos de restituição ou ressarcimento.

Da apuração do lucro real anual e trimestral

A tributação com base no lucro real está prevista na Lei 9.430/1996, sendo possível ser apurado anual ou trimestralmente, este último como regra geral. 

Sendo apurado anualmente, a pessoa jurídica pode optar pela forma indicada no art. 2º da Lei 9.430/1996 ou aquela indicada no art. 35 da Lei 8.981/1995. 

A forma indicada na Lei 9.430/96 tem como principal característica a estimativa do montante devido a título de CSLL e de IRPJ a partir da utilização de percentuais de presunção de lucratividade aplicados sobre a receita bruta do mês, acrescido de ganhos de capital, demais receitas e resultados positivos, excetuados os rendimentos ou ganhos já tributados.

Já na forma da Lei 8.981/95, a pessoa jurídica demonstra mensalmente, por meio de ou balancetes, o valor devido a título de antecipação, após proceder a eventuais adições e exclusões.

Portanto, é possível observar que as estimativas realizadas na forma do art. 2º da Lei n. 9.430/91 não se confundem com as antecipações realizadas na forma do art. 35 da Lei 8.981/95. 

Entretanto, em nosso entendimento, de forma ilegal, a Receita Federal amplia a vedação prevista apenas para uma das formas, atingindo indistintamente contribuintes em situações jurídicas diversas.  

Sobre a ilegal vedação ao direito de compensação das antecipações mensais

No ano de 2017 tramitou no Congresso Nacional o PL 8.456/2017, com a previsão de vedação da compensação das estimativas como forma de aumento da arrecadação, conforme se observa no item 13.1.2 do referido Projeto: 

Essa alteração é necessária e sua urgência decorre da queda na arrecadação para a qual as inúmeras compensações com estimativas contribuem”.

Referido projeto foi aprovado e no ano passado convertido na Lei nº 13.670/2018 impondo vedação à compensação de débitos oriundo de estimativas mensais do IRPJ e da CSLL.

Conforme se observa do texto da Lei n. 13.670/2018, que inseriu o inciso IX, do art. 74, da Lei n. 9.430/1996, a vedação é expressa e exclusiva para compensação de estimativas mensais do tributo com base na receita bruta. Ou seja, apenas a pessoa jurídica que tenha optado pela forma indicada no art. 2º da Lei 9.430/1996 estaria impossibilitada de realizar a referida compensação. 

Independentemente de outros argumentos, da leitura do referido inciso, parece evidente que a alteração é bastante clara no sentido de que a restrição à compensação se aplica única e exclusivamente aos contribuintes que recolhem as estimativas mensais do tributo com base na receita bruta, uma vez que não há qualquer menção àqueles que realizam suas apurações com base no balancete de suspensão ou redução. 

Por outro lado, a Receita Federal vem se valendo de interpretação abrangente ou ainda analógica para alcançar aqueles contribuintes que apuram o lucro real da forma indicada no art. 35 da Lei 8.981/95. 

O excesso de prazo para análise dos pedidos de restituição/ressarcimento

Se por um lado as empresas são surpreendidas com a interpretação ampliativa da legislação por parte da Receita Federal, no outro lado são obrigadas a aguardar anos a fio a análise dos seus pedidos de restituição/ressarcimento. 

Isso porque, frequentemente, esses pedidos demoram a ser processados, havendo casos nos quais os contribuintes estão aguardando decisão administrativa há mais de quatro anos.

Em outras palavras, a Receita tem, de um lado, retido os créditos dos contribuintes ao não julgar os pedidos de restituição ou ressarcimento, enquanto do outro impede ilegalmente que compensações sejam realizadas.

Conclusão

Essa atitude afronta os princípios constitucionais da razoável duração do processo e da eficiência da Administração Pública, conforme previsto no inciso LXXVIII, do art. 5º, da Constituição Federal. 

No âmbito infraconstitucional, tal demora viola diretamente o art. 24 da Lei nº 11.457/2007, que impõe à Receita a obrigação de proferir decisão em processo administrativo no prazo máximo de 360 dias.

Dessa forma, enquanto interpreta ampliativamente a lei de forma a restringir o direito à compensação, a Receita Federal deixa de observar o prazo máximo fixado em Lei para decidir processo administrativo. 

Considerando que em ambas situações o patrimônio do contribuinte é diretamente atingido, é recomendável o ajuizamento de medida judicial visando afastar referidos atos ilegais.

Caso essa seja a sua situação, nosso time de especialistas em direito tributário está à sua disposição para esclarecer quaisquer dúvidas e prestar todo o apoio necessário para defesa dos interesses da empresa.

Por: Ricardo Hiroshi Akamine

 

Scroll to top
Olá, PK Advogados. Gostaria de ser contatado por vocês, por favor. Obrigado!