gdpr - Blog - Blog da BlueTax - Conteúdos Validados por Especialistas2024-03-28T17:44:29Zhttps://blog.bluetax.com.br/profiles/blogs/feed/tag/gdprLGPD e GDPR - Estabelecida a cooperação entre a União Europeia e os EUA para a transferência de dados pessoaishttps://blog.bluetax.com.br/profiles/blogs/lgpd-e-gdpr-estabelecida-a-cooperacao-entre-a-uniao-europeia-e-os2023-08-09T15:00:25.000Z2023-08-09T15:00:25.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>Por Ana Lúcia Pinke Ribeiro de Paiva, Marcos Rafael Faber Galante Carneiro e Beatriz Camargo Ferreira de Castilho</p>
<p> </p>
<p>Em discussão desde 2022, foi aprovado o novo Framework de Proteção de Dados, com relação à transferência de dados entre UE-EUA. Essa adequação substitui os acordos anteriores, como o Safe Harbour e o Privacy Shield, invalidados pelo Tribunal de Justiça da União Europeia ("TJ/UE"), temas já abordados pela nossa equipe ao analisar os critérios para a transferência internacional de dados pessoais.</p>
<p>A medida busca cuidar da insegurança jurídica, principalmente nas transferências internacionais de dados pessoais, com base no previsto no Regulamento Europeu de Proteção de Dados Pessoais (GDPR). Assim é que, o novo Framework trata das principais preocupações do TJUE, em relação ao que havia sido apontado anteriormente no Safe Harbour e no Privacy Shield. </p>
<p>A decisão da Comissão Europeia ocorreu após meses de negociações com os EUA. O governo americano estabeleceu salvaguardas para a proteção de dados pessoais no país, tais como a instituição do Tribunal de Revisão de Proteção de Dados (DPRC) - responsável por investigar as reclamações relacionadas ao tratamento de dados pessoais pelas agências de inteligência dos EUA e pelos recursos de cidadãos europeus, caso haja alguma suspeita de que seus dados tenham sido tratados de forma ilegítima pelos serviços de inteligência dos EUA, possibilitando a exclusão ou correção desses dados.</p>
<p>No mais, segundo a decisão, ao aderir ao novo Framework, os dados pessoais poderão ser transferidos para os EUA sem a necessidade de ser adotada a previsão do artigo 46 do GDPR, que estabelece a exigência de exclusão dos dados pessoais quando eles não possuírem mais a necessidade para a qual foram coletados, visando garantir a continuidade da proteção quanto ao compartilhamento de dados pessoais com terceiros, principalmente os de teor sensível. Tal questão é crucial para a economia digital, principalmente por facilitar os trâmites para as transferências internacionais, impulsionando as empresas a se adequarem ao novo Framework. </p>
<p>Contudo, há o risco de discussão da validade deste novo Framework perante o TJUE, uma vez que que o Comite Europeu de Proteção de Dados Pessoais ("CEPD"), apesar de reconhecer a melhora na proteção de dados pessoais nos EUA, ressaltou sua preocupação, especialmente quanto ao exercício do direito dos titulares dos dados pessoais tratados nos EUA.</p>
<p>Além disso, vigora nos EUA a Lei de Vigilância Norte-Americana, prevista na Constituição Federal, a qual conflita com a GDPR, especialmente no que tange aos requisitos para compartilhamento de dados pessoais e finalidades específicas para o tratamento.</p>
<p>Ainda no contexto da transferência internacional de dados, nova rede social lançada nos EUA não foi disponibilizada na União Europeia, pela ausência de cooperação na transferência internacional de dados pessoais com os EUA. Em maio deste ano, foi aplicada na União Europeia multa, no valor de 1,2 bilhões de euros, em razão do tratamento inadequado de dados pessoais em transferências internacionais de usuários de redes sociais.</p>
<p>No Brasil, a Autoridade Nacional de Proteção de Dados ("ANPD") emitiu nota pública, em 7/7/23, informando que, em razão da restrição imposta na União Europeia a esta nova rede social, a ANPD iniciou a análise do tratamento de dados pessoais pela referida rede social.</p>
<p>Relembramos que a Lei Geral de Proteção de Dados Pessoais ("LGPD") estabelece, em seus artigos 33 e 35, os requisitos para a transferência internacional de dados pessoais, definindo como principal critério que o país para o qual o dado será transferido estabeleça o mesmo nível de segurança vigente no Brasil. Nesse sentido, no ano passado (2022), a ANPD colheu subsídios para a edição de Resolução com critérios específicos para a transferência de dados internacionais, ainda pendente.</p>
<p>Por isso, a rede social em questão vem sendo observada pela ANPD, uma vez que não especifica a base legal para a coleta de dados dos usuários, não pede consentimento para usar os dados para anúncios ou compartilhá-los com outras empresas e impedem que os usuários usem a rede social, sem antes conceder seus dados. </p>
<p>Os mencionados acontecimentos recentes, no âmbito da Proteção de Dados Pessoais, particularmente no contexto das transferências internacionais, são um ponto de virada crucial, convocando empresas e governos a ajustarem seus procedimentos com as normas emergentes, incentivando relações apenas com entidades adequadas às exigências da proteção de dados pessoais.</p>
<p><a href="https://www.migalhas.com.br/depeso/391208/estabelecida-a-cooperacao-entre-a-uniao-europeia-e-os-eua">https://www.migalhas.com.br/depeso/391208/estabelecida-a-cooperacao-entre-a-uniao-europeia-e-os-eua</a></p>
<p> </p></div>LGPD e GDPR - Biden assina decreto sobre transferência de dados pessoais entre UE e EUAhttps://blog.bluetax.com.br/profiles/blogs/lgpd-e-gdpr-biden-assina-decreto-sobre-transferencia-de-dados-pes2022-10-08T13:42:01.000Z2022-10-08T13:42:01.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>O presidente dos Estados Unidos, Joe Biden, assinou nesta sexta-feira (7) um decreto que permite avançar em um novo quadro para a transferência de dados pessoais da União Europeia (UE) para os Estados Unidos, o que é muito importante para a economia digital.</p>
<p>Washington e Bruxelas chegaram a um acordo de princípio em março sobre uma nova versão para o acordo depois que o Tribunal de Justiça da União Europeia (TJUE) contestou os anteriores devido a temores sobre os programas de vigilância dos EUA.</p>
<p>A assinatura do decreto permitirá que a Comissão Europeia inicie seu próprio processo de ratificação, que levará meses.</p>
<p>"É o culminar de nossos esforços conjuntos para restaurar a confiança e a estabilidade dos fluxos de dados transatlânticos", disse a secretária de Comércio dos EUA, Gina Raimondo, a repórteres.</p>
<p>O texto reforça as medidas destinadas a garantir a confidencialidade e a proteção das liberdades civis nos programas americanos de vigilância sobre dados coletados na Europa e transferidos ou armazenados do outro lado do Atlântico.</p>
<p>Também cria um mecanismo independente e vinculativo para os indivíduos buscarem a Justiça se acreditarem que seus dados pessoais foram coletados ilegalmente pelos serviços de inteligência dos EUA.</p>
<p>Esse mecanismo prevê dois níveis de apelação: um com um funcionário encarregado da proteção das liberdades civis na diretoria de inteligência americana e outro perante um tribunal independente formado pelo Departamento de Justiça.</p>
<p>"Esses compromissos respondem totalmente à decisão Schrems II do Tribunal de Justiça Europeu e abrangerão as transferências de dados pessoais para os Estados Unidos sob a legislação da UE", disse Raimondo.</p>
<p>Em julho de 2020, o Tribunal determinou que o "Escudo de Privacidade" ("Privacy Shield"), usado por 5.000 empresas americanas, incluindo gigantes como Google ou Amazon, não protegia contra possíveis "interferências nos direitos fundamentais das pessoas cujos dados são transferidos".</p>
<p>O caso começou com uma denúncia de Max Schrems, personalidade da luta pela proteção de dados, contra o Facebook. Ele mesmo já havia denunciado o "Safe Harbor", o antecessor do "Privacy Shield".</p>
<p>É possível que a nova versão acabe nos tribunais, como as anteriores, mas foi preparada para responder às reservas anteriores da justiça europeia, reconheceram funcionários do governo dos EUA.</p>
<div class="si-grid">
A decisão do TJUE mergulhou na insegurança jurídica as empresas que operam na UE e transferem ou armazenam dados para o outro lado do Atlântico. Elas recorreram a soluções alternativas para continuar com essas transferências, esperando por um sistema mais sólido e sustentável, mas sua legalidade é duvidosa.
<p> </p>
<div class="si-taxonomies"><a href="https://www.swissinfo.ch/por/biden-assina-decreto-sobre-transfer%C3%AAncia-de-dados-pessoais-entre-ue-e-eua/47962604">https://www.swissinfo.ch/por/biden-assina-decreto-sobre-transfer%C3%AAncia-de-dados-pessoais-entre-ue-e-eua/47962604</a></div>
</div></div>União Europeia fica perto de firmar novo acordo sobre dados com os EUAhttps://blog.bluetax.com.br/profiles/blogs/uniao-europeia-fica-perto-de-firmar-novo-acordo-sobre-dados-com-o2022-03-28T17:46:25.000Z2022-03-28T17:46:25.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>Um novo quadro para transferências e armazenamento de dados transatlânticos foi acordado -de forma inicial - pelos líderes da União Europeia e dos Estados Unidos, num avanço para encerrar o longo debate sobre como as empresas fazer uso dos dados entre essas jurisdições.</p>
<p>A presidente da Comissão Europeia, Ursula von der Leyen, postou hoje no Twitter que um "acordo inicial" foi firmado para fluxos de dados com os Estados Unidos após conversas com o presidente Biden, que realizou visita oficial a Bruxelas esta semana.<br /><br />"Satisfeita por termos encontrado um acordo inicial para um novo quadro sobre fluxos de dados transatlânticos", disse von der Leyen na rede social. "Ele permitirá fluxos de dados previsíveis e confiáveis entre a União Europeia e Estados Unidos, equilibrando a segurança, o direito à privacidade e proteção de dados", completou.<br /><br />Por mais de um ano, autoridades de ambos os lados do Atlântico têm buscado um acordo para substituir o chamado Privacy Shield, na tentativa de permitir que as empresas compartilhem os dados dos europeus para os norte americanos.<br /><br />"Os Estados Unidos comprometeram-se a implementar novas salvaguardas para garantir que as atividades de inteligência de sinais sejam necessárias e proporcionais na busca de objetivos definidos de segurança nacional, o que garantirá a privacidade dos dados pessoais da União Europeia", disse a Casa Branca num comunicado.<br /><br />No mês passado, a Meta - controladora do Facebook e do Instagram - ameaçou retirar ambas as redes sociais do mercado europeu se a nova regulamentação em torno das transferências de dados UE-EUA não se concretizar em breve. Isso porque a Comissão de Proteção de Dados da Irlanda sugeriu que o uso de cláusulas contratuais padrão da empresa em relação aos dados de usuários europeus não estavam em conformidade com a GDPR (uma espécie de Lei Geral de Proteção de Dados europeia).</p>
<p><a href="https://monitordomercado.com.br/noticias/28257-europa-ue-fica-perto-de-firmar-novo-acordo">https://monitordomercado.com.br/noticias/28257-europa-ue-fica-perto-de-firmar-novo-acordo</a></p></div>5 tendências sobre privacidade para você ficar de olhohttps://blog.bluetax.com.br/profiles/blogs/5-tendencias-sobre-privacidade-para-voce-ficar-de-olho2021-04-19T11:00:00.000Z2021-04-19T11:00:00.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><div class="news-entry-article">
<p>O universo da privacidade e da proteção de dados está mudando e evoluindo constantemente. A cada momento surgem novidades, ferramentas novas, leis atualizadas. Pensando nisso, trouxemos as descobertas do PrivSec Report, que apontam tendências para ficar atento a partir de agora.</p>
<p> </p>
<h3> 1. Mais conscientização do público sobre privacidade</h3>
<p> </p>
<p>O ano passado foi marcado pela pandemia global que afetou todas as partes do mundo, todos os setores, negócios e indivíduos. Mas 2020 não apenas deu início a uma base inesperada para a epidemiologia, mas também um crescimento contínuo na conscientização do consumidor sobre os direitos de privacidade, impulsionada pela explosão de regulamentações em todo o mundo.</p>
<p> </p>
<p>Com a divulgação de questões como localização e coleta de dados relacionados à saúde e a crescente necessidade dos empregadores em lidar com dados de funcionários, a privacidade tem um lugar garantido no centro das atenções em 2021. O home office também acende o debate quando as vidas profissionais e pessoais estão cada vez mais misturadas.</p>
<p> </p>
<h3>2. Mais complexidade nos processos de proteção de dados</h3>
<p> </p>
<p>A Gartner prevê que a partir de 2021 65% das pessoas em todo o mundo terão seus dados pessoais protegidos por regulamentações de privacidade, em comparação com 10% em 2020. </p>
<p> </p>
<p>Novos regimes de proteção de dados estão a caminho, como a China, que publicou em outubro um primeiro rascunho de sua abrangente Lei de Proteção de Informações Pessoais (Draft PIPL).</p>
<p> </p>
<p>Para empresas que operam internacionalmente, a necessidade de conciliar múltiplas estruturas regulatórias continuará em 2021 e além. Sem dúvida, o GDPR continua a lançar uma sombra global, influenciando as estruturas de proteção de dados emergentes.</p>
<p> </p>
<h3>3. Debate sobre uma lei norte-americana de privacidade</h3>
<p> </p>
<p>Se os EUA pretendem ou não trocar (ou complementar) sua colcha de retalhos de regulamentações estaduais e setoriais de privacidade e proteção de dados por uma lei federal, ninguém sabe.</p>
<p> </p>
<p>Com a incerteza persistindo sobre o Senado, a falta de um consenso bipartidário sobre a natureza de qualquer legislação federal - em grande parte sobre a preferência federal e o direito privado de ação - provavelmente persistirá, pelo menos no curto prazo. Isso não quer dizer, no entanto, que a legislação não continuará a proliferar em nível estadual no próximo ano, à medida que outros estados se adequam à pioneira CCPA da Califórnia.</p>
<p> </p>
<h3>4. Incertezas sobre transferências de dados</h3>
<p> </p>
<p>A ambiguidade sobre as transferências internacionais de dados marcou 2020. Em julho, o Tribunal de Justiça da União Europeia (CJEU) derrubou o Privacy Shield, que anteriormente permitia transferências de dados entre a UE e os EUA, em parte devido às preocupações sobre o acesso aos mecanismos de vigilância dos EUA.</p>
<p> </p>
<p>Resolver o problema do Privacy Shield pode ser um ponto de pressão para o novo governo norte-americano, principalmente por causa da importância das transferências de dados para empresas dos Estados Unidos e de todo o mundo.</p>
<p> </p>
<h3>5. Automação na proteção de dados</h3>
<p> </p>
<p>Em 2020, não vimos uma erradicação da higiene deficiente de dados, nem dos riscos associados a grandes quantidades de dados não estruturados, não classificados, antigos e mal compreendidos nos dispositivos e servidores de empresas. </p>
<p> </p>
<p>Com a covid-19 conduzindo massas de funcionários para o trabalho remoto, as dificuldades de rastreamento de dados se intensificaram à medida que o uso de redes domésticas e BYOD aumentou.</p>
<p> </p>
<p>Muitas organizações ainda estão lutando com o desenvolvimento de um inventário de dados (manual ou automatizado) e as empresas enfrentam uma proliferação de opções de soluções para automatizar o processo por meio da descoberta e gerenciamento de dados.</p>
<p> </p>
<p>Seja com o estudo das novas leis que estão surgindo, com a pesquisa de novas ferramentas ou com o entendimento do comportamento do consumidor, é preciso se manter atualizado sempre para atuar na proteção de dados. Fique sempre atento às mudanças do mercado para se destacar e evitar problemas no tratamento de informações.</p>
</div>
<cite>Fonte: <a href="https://www.grcworldforums.com/data-protection-and-privacy/the-data-protection-and-privacy-trends-to-watch-out-for-in-2021/711.article" target="_blank">Traduzido e adaptado de GRC</a></cite>
<cite></cite>
<cite><a href="https://privacytech.com.br/noticias/5-tendencias-sobre-privacidade-para-voce-ficar-de-olho,392586.jhtml">5 tendências sobre privacidade para você ficar de olho - Privacy Tech - Portal sobre privacidade e proteção de dados</a></cite>
</div>A nova administração de Joe Biden e o rumo da privacidade nos Estados Unidoshttps://blog.bluetax.com.br/profiles/blogs/a-nova-administracao-de-joe-biden-e-o-rumo-da-privacidade-nos-est2021-01-30T14:00:00.000Z2021-01-30T14:00:00.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p><a href="https://www.conjur.com.br/2021-jan-27/reis-administracao-joe-biden-privacidade-eua#author">Por Rafael Almeida Oliveira Reis</a></p>
<p>Após algumas semanas turbulentas em Washington, Joe Biden foi empossado como 46º presidente dos Estados Unidos. Entre os primeiros atos da nova administração, Biden aumentou os esforços para frear os avanços da Covid-19 em solo americano, retornou o país ao acordo climático de Paris e cancelou uma série de medidas anti-imigração estabelecidas por Donald Trump <strong>[1]</strong>.</p>
<p><span lang="pt-br" xml:lang="pt-br">Apesar de as medidas terem sido bem recebidas pela comunidade internacional, há uma crescente expectativa com a nova administração em relação a um assunto pouco explorado pelo governo Trump — a regulação da privacidade e a proteção de dados nos Estados Unidos. Não por acaso, há um interesse coletivo para a expansão dos direitos ligados à privacidade e ele já ecoa em ambos os partidos, Democrata e Republicano. Apesar das poucas iniciativas nos últimos anos, há uma expectativa para que o novo governo federal leve em conta esses anseios.</span></p>
<p><span lang="pt-br" xml:lang="pt-br">O principal deles é a aprovação de uma lei federal sobre privacidade e proteção de dados que uniformize a legislação sobre o tema nos Estados Unidos. No lugar do modelo atual, em que cada Estado pode regular a matéria conforme os seus interesses, uma lei federal poderia dar aos consumidores norte-americanos maior controle sobre o uso dos seus dados pessoais, pois uma legislação única facilitaria a compreensão, por parte das empresas, de quais são suas obrigações e, pelos consumidores, sobre quais são os seus direitos como titulares de dados pessoais.</span></p>
<p><span lang="pt-br" xml:lang="pt-br">Atualmente, a regulação sobre proteção de dados nos Estados Unidos é definida por leis estaduais, ou seja, cada Estado define sua política sobre o assunto. Assim como a Califórnia, que conta com uma rigorosa lei sobre proteção de dados em vigor desde janeiro de 2020, Estados como Washington e Nova York já contam com suas próprias legislações sobre o assunto. Mais da metade dos estados norte-americanos já apresentaram algum tipo de proposta legislativa para proteção de dados pessoais até a primeira metade de 2020 <strong>[2]</strong>.</span></p>
<p><span lang="pt-br" xml:lang="pt-br">Outra vantagem para a adoção de uma lei federal para regular o tema é a necessidade de os Estados Unidos atenderem aos níveis de proteção exigidos pelo GDPR, principalmente após a invalidação do acordo <em>Privacy Shield</em>, que estabelecia um regramento para o compartilhamento de dados entre os Estados Unidos e a União Europeia <strong>[3]</strong>.</span></p>
<p><span lang="pt-br" xml:lang="pt-br">A própria LGPD, lei que regula o uso e tratamento de dados pessoais no Brasil, exige de outros países leis com grau de proteção de dados compatível com a legislação nacional para autorizar a transferência de dados pessoais entre os países. A aprovação de uma lei federal para regular a proteção de dados pessoais nos Estados Unidos facilitaria a busca por conformidade de empresas brasileiras que precisam realizar a transferência de dados entre o Brasil e o país norte-americano.</span></p>
<p><span lang="pt-br" xml:lang="pt-br">Um dos motivos para se acreditar no avanço de uma lei federal de proteção de dados nos Estados Unidos é o fato de que parte da equipe do presidente Joe Biden já estava envolvida em iniciativas sobre privacidade na administração Obama, como o <em>Privacy Bill of Rights</em> de 2012 e o <em>Consumer Privacy Bill of Rights Act</em> de 2015. A própria vice-presidente, Kamala Harris, tem uma experiência prévia no assunto. Ela foi procuradora-Geral do Estado da Califórnia e atuou ativamente na criação de medidas para promover a privacidade e reforçar a proteção de dados por meio de leis estaduais e federais para regular o tratamento de dados pessoais sensíveis por indivíduos, empresas e o próprio governo <strong>[4]</strong>.</span></p>
<p><span lang="pt-br" xml:lang="pt-br">Os episódios que culminaram na invasão do Capitólio há algumas semanas tiveram um efeito colateral: um aumento significativo no uso de reconhecimento facial e uso de tecnologias invasivas para identificar os invasores. Junte esse elemento com as discussões sobre bloqueio de perfis em redes sociais e o discurso de ódio em comunidades <em>online</em> para que um ambiente propício para discutir os rumos do direito à privacidade seja formado nos Estados Unidos.</span></p>
<p> </p>
<hr />
<p><span lang="pt-br" xml:lang="pt-br"><strong>[1]</strong> Disponível em </span><a href="https://www.cbsnews.com/news/biden-signs-executive-orders-day-one/" target="_blank">https://www.cbsnews.com/news/biden-signs-executive-orders-day-one/</a><span lang="pt-br" xml:lang="pt-br">. Acessado em 24/01/2021.</span></p>
<p><span lang="pt-br" xml:lang="pt-br"><strong>[2]</strong> Disponível em </span><a href="https://www.govtech.com/security/Privacy-Policy-and-the-Biden-Presidency-A-Promising-Outlook.html" target="_blank">https://www.govtech.com/security/Privacy-Policy-and-the-Biden-Presidency-A-Promising-Outlook.html</a><span lang="pt-br" xml:lang="pt-br">. Acessado em 24/01/2021.</span></p>
<p><span lang="pt-br" xml:lang="pt-br"><strong>[3]</strong> Disponível em </span><a href="https://iapp.org/news/a/federal-data-privacy-regulation-is-on-the-way-thats-a-good-thing/" target="_blank">https://iapp.org/news/a/federal-data-privacy-regulation-is-on-the-way-thats-a-good-thing/</a><span lang="pt-br" xml:lang="pt-br">. Acessado em 24/01/2021.</span></p>
<p><span lang="pt-br" xml:lang="pt-br"><strong>[4]</strong> Disponível em </span><a href="https://oag.ca.gov/news/press-releases/attorney-general-kamala-d-harris-issues-guide-privacy-policies-and-do-not-track" target="_blank">https://oag.ca.gov/news/press-releases/attorney-general-kamala-d-harris-issues-guide-privacy-policies-and-do-not-track</a><span lang="pt-br" xml:lang="pt-br">. Acessado em 24/01/2021</span></p>
<p> </p>
<p><span lang="pt-br" xml:lang="pt-br"><a href="https://www.conjur.com.br/2021-jan-27/reis-administracao-joe-biden-privacidade-eua">ConJur - Reis: A administração de Joe Biden e a privacidade nos EUA</a></span></p></div>Bélgica: Empresa é multada por ter nomeado head de compliance, auditoria e riscos como DPOhttps://blog.bluetax.com.br/profiles/blogs/belgica-empresa-e-multada-por-ter-nomeado-head-de-compliance-audi2020-12-17T12:00:00.000Z2020-12-17T12:00:00.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>Por <strong>Luis Fernando Prado Chaves</strong></p>
<p align="center">Recentemente, em decisão que chocou parte dos especialistas europeus em proteção de dados, a Autoridade Belga multou uma operadora de telefonia local em 50 mil euros em razão de inadequada nomeação de DPO (em português, encarregado de proteção de dados).</p>
<p>Após um incidente de segurança, a Autoridade daquele país realizou investigação sobre as práticas da empresa em matéria de proteção de dados e concluiu pela impossibilidade de cumulação das funções de DPO e head de compliance, pois as rotinas de compliance demandam tratamento constante e relevante de dados pessoais, o que inviabilizaria a supervisão independente de tais atividades por parte do DPO por se tratar da mesma pessoa. Ainda, tal cumulação de cargos, segundo a Autoridade Belga, revela um "significante grau de negligência" por parte da empresa investigada, o que culminou na aplicação da multa de 50 mil euros, que, a primeira vista, pode não parecer grande coisa, mas é a maior sanção administrativa imposta até agora pela Autoridade Belga, segundo os colegas europeus do escritório Fieldfisher.</p>
<p>O espanto dos profissionais de privacidade europeus se justifica em razão de a decisão ser considerada excessivamente rigorosa, já que: (I) o GDPR não permite a cumulação do cargo de DPO com outras funções, desde que não haja conflito de interesses; (II) as guidelines do WP29 (atual European Data Protection Board - EDPB) sobre DPO não chegam a esse nível de rigor, mencionando (tudo bem que a título de exemplo) posições de conflito com o DPO que passam longe daquilo que faz a pessoa em posição de head de compliance; e (III) muitas empresas na Europa - tal como vem acontecendo no Brasil - nomearam seus heads de compliance como DPO, sendo que, apesar dos riscos jurídicos envolvidos, isso nunca tinha sido um problema efetivo à luz de proteção de dados até então.</p>
<p>Inclusive, segundo o último relatório de governança disponibilizado pela IAPP em conjunto com a EY, em 18% dos casos o DPO se reporta ao(à) head de compliance da organização. Não preciso nem mencionar que o precedente belga deixou o pessoal em terras de GDPR de cabelo em pé, colocando em xeque programas de governança em proteção de dados e fazendo uma dúvida inquietante atravessar o Atlântico:</p>
<p>Mas, afinal, aqui no Brasil DPO vai poder acumular o cargo de head de compliance?</p>
<p>Bem, se lá no primeiro mundo, onde o GDPR é realidade, há muitos colegas discordando e encarando com perplexidade a decisão da Autoridade Belga, aqui no Brasil precisamos lembrar que a LGPD é omissa em relação ao acúmulo de funções, não dispondo sequer (ao menos não de maneira expressa) sobre a necessidade de se evitar conflito de interesses. Portanto, podemos concluir que é totalmente viável que o DPO acumule função, mas alguns alertas devem ser feitos - e o precedente belga deveria fazer com que abríssemos ainda mais os olhos.</p>
<p>Considerando a influência do direito europeu de proteção de dados sobre o brasileiro, bem como as tendências interpretativas que são esperadas da doutrina, jurisprudência e autoridade nacional, devemos considerar a ação de evitar conflito de interesses nas atribuições do DPO, senão como obrigação legal decorrente do artigo 41, §2º, III (que estabelece como função do DPO o dever de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais), ao menos como uma prática fortemente recomendável, para dar efetividade ao artigo 50 da <a href="http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm" target="_blank">LGPD</a> (que aborda os elementos de um programa de governança adequado).</p>
<p>Abaixo, apresentamos breve orientações de como materializar tal prática:</p>
<ul>
<li>Dotar o DPO de independência para exercer suas funções;</li>
<li>Prover os recursos necessários, conforme o tamanho da organização, para que as funções do DPO sejam realizadas a contento;</li>
<li>Idealmente, não inserir o DPO dentro do contexto de estruturas que ele devera' analisar criticamente, tais como: </li>
</ul>
<p>Compliance: O DPO deve analisar as operações de background-check que envolvem dados pessoais e são conduzidas por essa área;</p>
<p>TI: O setor de TI é responsável, por exemplo, pela aquisição de tecnologia da empresa, o que, no melhor cenário, deveria contar com uma análise isenta por parte do DPO;</p>
<p>Segurança da Informação: também no contexto ideal, o DPO deveria servir como uma segunda opinião em relação a assuntos que envolvam segurança da informação aplicada a dados pessoais;</p>
<p>Outras áreas de conflito evidente: são exemplos de áreas que podem trazer notório conflito de interesses em relação às atividades de DPO: RH, marketing, inovação, digital, big data, comercial/vendas etc.</p>
<p>Além disso, é importante que o DPO tenha as seguintes garantias que prestigiam a independência a ser perseguida:</p>
<ul>
<li>Ter acesso às lideranças das áreas-chave da empresa;</li>
<li>Ter recursos (humanos e materiais) para o desempenho de suas funções;</li>
<li>Reportar-se ao mais alto nível gerencial da organização; e</li>
<li>Ter autonomia para exercício de suas atividades sem que sua atuação sofra pressões por resultados financeiros ou metas comerciais.</li>
</ul>
<p>Bem, é claro que aqui estamos falando do mundo ideal. Em algumas organizações, principalmente em razão do porte e orçamento, não será possível criar uma área autônoma para o DPO e seu time, que se reporte ao mais alto nível gerencial como mandam as melhores práticas. Na maioria desses casos, a solução será mesmo a de cumular funções (ou terceirizar o DPO), sendo que, no caso de acúmulo de funções, será de extrema importância a criação de estrutura capaz de demonstrar os mecanismos adotados pela companhia para lidar com os conflitos de interesses que surgirão no dia-a-dia.</p>
<p>Enfim, como (quase) tudo na jornada de governança em proteção de dados, também para a estruturação de um cargo efetivo de DPO não há fórmula única. No entanto, o precedente belga deixa claro algo que é aplicável aqui ou lá: se o seu DPO for apenas para inglês ver, a caneta da autoridade poderá agir.</p>
<p>Todo cuidado é pouco nos programas de adequação à LGPD, especialmente no desenho da estrutura de governança, para que as medidas adotadas pelas organizações não revelem "significante grau de negligência"</p>
<p> </p>
<p><a href="https://migalhas.uol.com.br/depeso/328258/belgica--empresa-e-multada-por-ter-nomeado-head-de-compliance--auditoria-e-riscos-como-dpo">Bélgica: Empresa é multada por ter nomeado head de compliance, auditoria e riscos como DPO - Migalhas (uol.com.br)</a></p></div>Mitos sobre a proteção de dados pessoais no ecossistema brasileirohttps://blog.bluetax.com.br/profiles/blogs/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileir2020-12-14T14:52:49.000Z2020-12-14T14:52:49.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>Por Giovanna Ventre e Natália Kuchar Lohn</p>
<p>Depois de anos de debates com diferentes atores da sociedade civil, como ativistas, especialistas em tecnologia e em políticas públicas e as mais diversas frentes do Poder Público<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn2"><sup>[2]</sup></a>, o Brasil passou a contar com um diploma legal sobre proteção de dados pessoais e privacidade, a Lei Geral de Proteção de Dados (<u><a href="http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm">Lei nº 13.853 de 2019</a></u>, a “LGPD”).</p>
<p>Após debates e novas propostas sobre a postergação da lei, a LGPD entrou em vigor em setembro de 2020, com as sanções administrativas previstas na lei apenas vigentes a partir de agosto de 2021. Até lá, outros órgãos como Ministérios Públicos estaduais e federal e entidades de proteção ao consumidor já poderão aplicar a lei e penalidades previstas em outros dispositivos, como o Código de Defesa do Consumidor e Código Civil.</p>
<p>Resumidamente, a LGPD estabelece regras e parâmetros acerca do tratamento de dados pessoais realizados por pessoas naturais ou jurídicas, no setor público ou privado. A lei também cria um novo paradigma no Brasil, seguindo tendências internacionais: os titulares dos dados como protagonistas com controle sobre o tratamento de suas informações. Além disso, a LGPD regulamenta a forma como as organizações poderão utilizar dados pessoais no Brasil e atribui direitos aos indivíduos que tenham seus dados coletados, assegurando princípios e atribuindo obrigações aos controladores e operadores de dados pessoais.</p>
<p>Muito se discute sobre a proximidade e semelhança da LGPD com o Regulamento de Proteção de Dados da União Europeia (<em>General Data Protection Regulation</em>), mais conhecido como “GDPR”, porém poucos exploram suas diferenças, especialmente em termos de desenvolvimento do ecossistema de privacidade. Importante tal distinção justamente para explorar pontos nos quais a lei brasileira foi silente e que a Autoridade Nacional de Proteção de Dados (ANPD) analisará quando de sua constituição.</p>
<p>Algumas transposições de conceitos e diretrizes do ecossistema europeu para a realidade brasileira criaram mitos que vêm sendo difundidos no Brasil, especialmente em virtude da ausência de precedentes e regulações sobre o tema (na Europa, por exemplo, foram mais de 30 anos de precedentes antes da entrada em vigor da GDPR, além das inúmeras páginas de considerandos incorporados ao texto legal).</p>
<p>A importação de conceitos europeus sem a devida análise e tradução para o contexto brasileiro pode desencadear equívocos conceituais bastante graves, inclusive com a criação de barreiras com efeitos bastante deletérios para a inovação tecnológica e o desenvolvimento da economia no país.</p>
<p><strong>Mito 1: o consentimento é o super-trunfo das bases legais e está no topo da hierarquia</strong></p>
<p>A LGPD não estabelece hierarquia entre as bases legais, de modo que a análise de aplicabilidade de cada uma deve ser realizada caso a caso, com base na situação fática e nas demais características da operação de tratamento de dados em questão. Isso porque a escolha da base legal está diretamente atrelada à finalidade e deve ser compreendida como resultado de um equilíbrio entre interesses dos titulares dos dados pessoais e o uso específico daqueles dados.</p>
<p>Por diversos motivos, o uso do consentimento pode parecer, à primeira vista, o caminho mais simples para o tratamento de dados pessoais (afinal, se o próprio titular consentiu com seu tratamento, a empresa deveria estar em um território seguro). Porém, a previsão, na LGPD, de uma multiplicidade de bases legais visa a atacar justamente os diversos contextos fáticos que podem se apresentar (inclusive cenários em que o consentimento não é possível). E neste sentido é que dentro das diversas bases existentes o consentimento apenas deve ser requerido quando há a efetiva possibilidade de consentir ou não com aquele referido tratamento. A lei rechaça um consentimento <em>pro forma</em>, sendo que tal base legal implica em verdadeiramente respeitar a livre manifestação da vontade do usuário.</p>
<p>E assim chegamos a outro ponto importante, que é a livre manifestação da vontade. O titular dos dados tem de poder escolher livremente ou recusar livremente sem sofrer qualquer retaliação ou desvantagem específica<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn3"><sup>[3]</sup></a>. O consentimento não é dado de maneira livre quando, por exemplo, existir um desequilíbrio claro entre o titular dos dados e a empresa (por exemplo, relação empregador/trabalhador) ou se for pedido à pessoa que consinta no tratamento de dados desnecessários como condição prévia à execução de um contrato ou serviço.</p>
<p>Mesmo na Europa, o consentimento é abordado em sua complexidade. Por exemplo, a Comissão Europeia publicou algumas hipóteses de consentimento inválido<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn4"><sup>[4]</sup></a>, dentre elas: uma empresa presta serviços de aluguel de filmes na internet. Ao recolher os dados necessários para o contrato, também solicita dados suplementares, como a orientação sexual ou as convicções políticas. Essa pessoa pode pensar que o seu consentimento para o tratamento deste tipo de dados é necessário para poder assistir aos filmes, porém é um consentimento inválido e vinculado ao contrato pactuado entre as partes.</p>
<p>Outro exemplo ilustrativo foi mencionado pela autoridade de proteção de dados do Reino Unido, também conhecida como Information Commissioner’s Office (ICO) para explicar a inaplicabilidade do uso do consentimento quando não há escolha real para o titular dos dados. Uma empresa que fornece cartões de crédito pede a seus clientes o consentimento para que seus dados pessoais sejam compartilhados com empresas de análise de crédito para realização de <em>credit scoring</em>. No entanto, se um cliente recusar ou retirar seu consentimento, a administradora do cartão de crédito ainda enviará os dados às empresas com base em seus interesses legítimos. Portanto, pedir consentimento nesse caso é enganoso, pois não há escolha real.</p>
<p><strong>Mito 2: a LGPD se aplica apenas para o tratamento de dados pessoais realizado por grandes empresas de tecnologia e apenas quando localizadas no Brasil</strong></p>
<p>Dentro do modelo legal da LGPD temos diversos elementos de atração da sua aplicabilidade: (i) quando a operação de tratamento for realizada no Brasil; ou (ii) quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou ainda (iii) quando os dados pessoais tenham sido coletados no Brasil. Isso significa que a LGPD será aplicável mesmo quando uma empresa for sediada fora do Brasil, mas oferte serviços e produtos para indivíduos no Brasil.<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn5"><sup>[5]</sup></a></p>
<p>Alguns autores explicam extraterritorialidade como o conjunto de situações em que o Estado está habilitado, usualmente por via unilateral, a dizer o direito aplicável a situações internacionais<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn6"><sup>[6]</sup></a>, ou ainda situações em que as normas de uma determinada ordem jurídica possam vir a produzir efeitos no espaço geográfico de uma ordem jurídica distinta<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn7"><sup>[7]</sup></a>.</p>
<p>Evidentemente, tanto LGPD como GDPR tentam regular situações para além de suas fronteiras por meio de atos legislativos, muito em virtude da natureza do tratamento de dados pessoais realizado por empresas transnacionais em uma economia globalizada com foco em dados pessoais.</p>
<p>A regulação dos tratamentos de dados pessoais segundo uma lógica estrita de territorialidade seria obviamente fracassada, frustrando o intuito de impor e de influenciar comportamentos, tanto de controladores de dados pessoais, independentemente da sua localização geográfica, como de outros países e dos respetivos ordenamentos jurídicos.</p>
<p>O último ponto importante neste item é a ideia (equivocada) de que a LGPD será aplicável apenas a grandes empresas de tecnologia. Como mencionado anteriormente, a LGPD é aplicável a todos os setores da economia, incluindo empresas de todos os portes (até MEIs), e também ao Poder Público.</p>
<p><strong>Mito 3: a LGPD impõe obrigações específicas para o tratamento de dados por meio de cookies</strong></p>
<p>Um cookie é um pequeno arquivo de texto que um website instala em seu computador ou dispositivo móvel durante a navegação na Internet. Algumas distinções são comuns, como a diferenciação entre cookies de origem, cookies de sessão e cookies de terceiros<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn8"><sup>[8]</sup></a>. Diferentemente do que ocorre na União Europeia<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn9"><sup>[9]</sup></a>, o Brasil não conta com leis específicas sobre uso de cookies e a LGPD também não estabelece obrigações específicas sobre o seu uso.</p>
<p>Atualmente, há um grande número de empresas que optaram pela adoção dos chamados <em>cookies banners </em>(imagens abaixo), isto é, aquelas janelas que aparecem no canto inferior da tela solicitando o consentimento específico do titular de dados para uso de cookies e consequentemente rastreamento a partir de sua coleta. O cookie banner nada mais é do que uma forma de gestão do consentimento que pode ser usada por empresas que escolham o consentimento como base legal para uso de cookies em seus websites.</p>
<p>Como já mencionado, não há no Brasil uma diretiva específica sobre cookies, fato que evidencia conclusão bastante simples: o uso de cookies ou de tecnologias não requer automaticamente a escolha do consentimento como base legal. A ideia é que a escolha da base legal seja realizada caso a caso a partir de análise do controlador sobre a atividade de tratamento de dados específica.</p>
<p>Para tanto, alguns elementos norteadores são bastante importantes: (i) mecanismo facilitado para opt-out e desabilitação de cookies e (ii) transparência. E neste último elemento ter políticas de privacidade claras e precisas que apresentem informações objetivas sobre o uso de cookies e o caminho para a desabilitação são essenciais para garantir o dever de informar positivado pela LGPD e para mitigar os efeitos nocivos de uma possível fadiga do consentimento e gerar um prejuízo à liberdade de consentir.</p>
<p>O uso excessivo do consentimento como base legal pode desencadear um fenômeno reverso, isto é, sobrecarga informacional no ato de consentir em situações em que o consentimento poderia não ser requerido, pois há outra autorização legal prevista na LGPD. Por exemplo, não há real manifestação da vontade do usuário ao solicitar o consentimento para retenção de prontuário médico, pois os profissionais da saúde têm a obrigação legal de retê-los independentemente da autorização ou não do paciente<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn10"><sup>[10]</sup></a>.</p>
<p> </p>
<p> </p>
<p><strong>Mito 4: os dados pessoais só podem ser armazenados no Brasil e transferências internacionais não são permitidas</strong></p>
<p>Uma dúvida bastante frequente decorre do mito mais conhecido como “<em>data localization</em>“, ou em outras palavras: o pressuposto de que os dados devem ser mantidos e armazenados em território nacional. A LGPD não traz nenhuma obrigação relacionada à localização ou armazenamento dos dados pessoais, de modo que serviços de nuvem, por exemplo, que contam com servidores em diversos lugares do mundo, podem armazenar os dados em diferentes localidades, desde que observadas as hipóteses elencadas no artigo 33 que versa sobre transferências internacionais.</p>
<p>Pelo contrário, a lei estabelece hipóteses legais que autorizam a transferência internacional<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn11"><sup>[11]</sup></a>, dentre elas algumas merecem destaque: decisão de adequação emitida pela ANPD que possibilite o livre fluxo de dados pessoais entre o Brasil e o país adequado, cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais e o consentimento específico e em destaque do titular de dados.</p>
<p>Evidentemente que ainda há muita insegurança e indefinição quanto aos elementos específicos que serão analisados pela ANPD, tanto para fins de adequação, quanto para os requisitos mínimos necessários nas cláusulas contratuais para que haja aprovação pela autoridade.</p>
<p>Recentemente, as discussões sobre transferência internacional de dados ganharam bastante proeminência com a invalidação do “Escudo de Privacidade UE-EUA” (<em>EU-US Privacy Shield</em>)<a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftn12"><sup>[12]</sup></a>. Após uma longa análise, a Corte Europeia concluiu que o <em>Privacy Shield</em> não fornece proteção adequada aos cidadãos europeus, pois não garante aos titulares de dados mecanismos para recorrer judicialmente contra autoridades dos EUA.</p>
<p>Justamente neste ponto, a ANPD terá papel fundamental em definir os requisitos específicos para que tais transferências ocorram e para determinar eventuais derrogações, como ocorre no contexto europeu (artigo 49 da GDPR).</p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref2"><sup>[2]</sup></a><u><a href="https://www.camara.leg.br/noticias/543434-marco-legal-da-protecao-de-dados-pessoais-e-sancionado-lei-entra-em-vigor-em-2020/">https://www.camara.leg.br/noticias/543434-marco-legal-da-protecao-de-dados-pessoais-e-sancionado-lei-entra-em-vigor-em-2020/</a></u>.</p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref3"><sup>[3]</sup></a> A discussão também é latente na seara de dados de crianças, como abordado em: <u><a href="https://www.jota.info/opiniao-e-analise/artigos/tratamento-dados-de-criancas-07102020">https://www.jota.info/opiniao-e-analise/artigos/tratamento-dados-de-criancas-07102020</a></u></p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref4"><sup>[4]</sup></a> <u><a href="https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_pt">https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_pt</a></u></p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref5"><sup>[5]</sup></a> O que, face ao caráter global da Internet, pode pressionar desenvolvedores e startups a bloquearem o acesso por usuários brasileiros, em um fenômeno já observado quando a GDPR entrou em vigor (com serviços tais como o <u><a href="http://gdpr-shield.io/">http://gdpr-shield.io/</a></u>).</p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref6"><sup>[6]</sup></a> Dulce LOPES, Eficácia, Reconhecimento e Execução de Atos Administrativos Estrangeiros, Policopiado, 2015, p. 38.</p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref7"><sup>[7]</sup></a> Cedric RYNGAERT, Jurisdiction in International Law, Oxford University Press, 2015, p. 6</p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref8"><sup>[8]</sup></a> <u><a href="https://new.safernet.org.br/content/voc%C3%AA-sabe-o-que-s%C3%A3o-cookies-e-como-eles-interferem-em-sua-privacidade">https://new.safernet.org.br/content/voc%C3%AA-sabe-o-que-s%C3%A3o-cookies-e-como-eles-interferem-em-sua-privacidade</a></u></p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref9"><sup>[9]</sup></a> <u><a href="https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:02002L0058-20091219&from=EN">https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:02002L0058-20091219&from=EN</a></u></p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref10"><sup>[10]</sup></a> Não sendo demais ressaltar o texto legal expresso da LGPD:</p>
<p><em>Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (…) </em><em>VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.</em></p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref11"><sup>[11]</sup></a> São elas: (i) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado a partir do reconhecimento da ANPD; (ii) cláusulas contratuais específicas para determinada transferência; (iii) cláusulas-padrão contratuais; (iv) normas corporativas globais; (v) selos, certificados e códigos de conduta regularmente emitidos; (vi) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; (vii) quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) quando a ANPD autorizar a transferência; (ix) quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; (x) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; (xi) com o consentimento do titular específico e em destaque.</p>
<p><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020#_ftnref12"><sup>[12]</sup></a> <u><a href="https://www.jota.info/opiniao-e-analise/artigos/saga-schrems-programas-conformidade-protecao-dados-09102020">https://www.jota.info/opiniao-e-analise/artigos/saga-schrems-programas-conformidade-protecao-dados-09102020</a></u></p>
<p> </p>
<p><u><a href="https://www.jota.info/opiniao-e-analise/artigos/mitos-sobre-a-protecao-de-dados-pessoais-no-ecossistema-brasileiro-11122020">Mitos sobre a proteção de dados pessoais no ecossistema brasileiro | JOTA Info</a></u></p></div>Lei de proteção de dados é base para aplicação de multas milionáriashttps://blog.bluetax.com.br/profiles/blogs/lei-de-protecao-de-dados-e-base-para-aplicacao-de-multas-milionar2020-12-09T14:36:18.000Z2020-12-09T14:36:18.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>Por <strong><a href="https://dcomercio.com.br/colunista/fatima-fernandes">Fátima Fernandes</a></strong></p>
<p>R$ 228 milhões. Este foi o valor de multa paga neste ano pela varejista sueca H&M ao General Data Protection Regulation (GDPR).</p>
<p>A penalidade ocorreu devido à coleta, na Alemanha, de informações de colaboradores e familiares, como práticas religiosas e histórico de doenças.</p>
<p>O Regulamento Geral sobre a Proteção de Dados (GDPR) entrou em vigor em maio de 2018 na União Europeia para estabelecer regras em favor da proteção da privacidade e de dados pessoais.</p>
<p>E está a pleno vapor. Até final de janeiro deste ano, as multas com base nesta legislação chegavam a 114 milhões de euros (R$ 710 milhões).</p>
<p>As sanções administrativas às empresas, assim como aconteceu no caso da H&M, só poderão ocorrer no Brasil a partir de agosto de 2021.</p>
<p>Isso porque a autoridade competente para impor as multas ainda está em fase de constituição e depende de regulamentação.</p>
<p>Mas, com base na Lei Geral de Proteção de Dados Pessoais (LGPD), a nova legislação brasileira, que regula o tratamento de informações pessoais desde setembro deste ano, os brasileiros estão mais atentos ao uso de seus dados e recorrendo à Justiça.</p>
<p><strong>CASOS NO BRASIL</strong></p>
<p>A Cyrela foi condenada pela Justiça a pagar R$ 10 mil em sentença proferida no último dia 29 de setembro, com base em uma ação de indenização por dano moral.</p>
<p>A ação trata do compartilhamento de dados pessoais, sem o consentimento de cliente. A construtora recorreu e aguarda nova decisão da Justiça.</p>
<p>Os fundamentos legais para determinar a multa da construtora estão no Código de Defesa do Consumidor (CDC) e na LGPD.</p>
<p>A Netshoes, e-commerce de artigos esportivos, pagou, em outubro de 2018, multa de R$ 500 mil ao Ministério Público do Distrito Federal e Territórios (MPDFT).</p>
<p>Firmou ainda um Termo de Ajustamento de Conduta (TAC) por conta do vazamento de dados de quase dois milhões de clientes.</p>
<p>No final de novembro, foi a vez da Justiça do Distrito Federal determinar que a Serasa Experian suspenda a venda de dados pessoais de consumidores.</p>
<p>A decisão foi motivada por uma ação civil pública do MPDFT que entende que um serviço oferecido pela empresa fere a LGPD. O preço pago por dado pessoal seria de R$ 0,98.</p>
<p><strong>ADAPTAÇÃO ÀS REGRAS</strong></p>
<p>Para evitar multas milionárias que começam a pipocar em vários países, empresas brasileiras se preparam para se adequar à nova legislação.</p>
<p>A lei 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, para proteger os direitos de liberdade e privacidade.</p>
<p>O compartilhamento de dados pessoais, em regra, de acordo com a lei, deve ser feito com o consentimento do usuário.</p>
<p>É um dos direitos do titular dos dados pessoais ser informado de eventual compartilhamento, como descreve o artigo 18, inciso VII, da LGPD.</p>
<p>Para ter essa permissão, existe uma serie de requisitos que precisam ser transmitidos pelas empresas de forma simples, clara e completa.</p>
<p>O cliente de uma loja física ou virtual, por exemplo, precisa ser informado sobre quais entidades públicas e ou privadas terão acesso aos seus dados.</p>
<p>E também ser notificado no caso de haver a portabilidade de informações para outros fornecedores de produtos ou serviços.</p>
<p><strong>DÚVIDAS</strong></p>
<p>Imagine uma rede de lojas que terceiriza a sua operação de crediário. Neste caso, lojistas levantam as seguintes questões.</p>
<p>Com a LGPD, é preciso ter a permissão do cliente para que os dados sejam transferidos? E se houver a troca da prestadora do serviço financeiro?</p>
<p>Lucas Souza dos Anjos, do escritório Cerveira, Bloch, Goettems, Hansen e Longo, que está debruçado sobre a lei desde a sua criação, tem o seguinte entendimento.</p>
<p>“No caso de crediário, entendo que não será necessário pedido de consentimento específico para compartilhar dados cadastrais (nome, endereço, CPF). Será preciso apenas informar o cliente sobre o compartilhamento.”</p>
<p>As bases legais para o seu entendimento, diz ele, estão expressas no trecho da própria lei que trata de “legítimo interesse” (artigo 7º inciso IX) ou ainda de “proteção ao crédito” (artigo 7º inciso X) das empresas.</p>
<p>Toda a lei que vem com o objetivo de proteger as pessoas é bem vinda, de acordo com José Domingos Alves, superintendente da Lojas Cem, rede com cerca de 14 milhões de clientes cadastrados.</p>
<p>No caso da LGPD, diz ele, há dúvidas. Uma pessoa que está inadimplente exige a retirada de seus dados do cadastro. A empresa pode ou não negar a retirada?</p>
<p>“A lei diz que o cliente tem direito de tirar dados do cadastro e não cita em caso de ser ou não devedor. Há muita polêmica em torno dessa legislação”, diz Alves.</p>
<p><strong>ASSESSORIA JURÍDICA</strong></p>
<p>Com cerca de 20 mil clientes cadastrados, a rede de lojas UVLINE contratou uma consultoria jurídica para se adequar às exigências da lei.</p>
<p>“Cerca de 90% das nossas vendas acontecem por meio de cartão de crédito. Não pegamos dados de clientes no ato do pagamento, mas temos cadastro de fidelidade”, afirma Luiz Cezar Machado, gerente financeiro e controladoria da UVLINE.</p>
<p>A loja, assim como quase todas as outras, costuma enviar SMS para a clientela informando sobre descontos em razão de pontuação adquirida em compras feitas.</p>
<p>“Já tínhamos preocupação com a segurança de dados e, com a LGPD, estamos revendo nosso sistema para que os clientes se sintam ainda mais seguros.”</p>
<p>O departamento jurídico da Lojas Cem também estuda a LGPD, apesar de possuir um sistema capaz de armazenar com segurança os dados de clientes, de acordo com Alves.</p>
<p>É bom lembrar, diz ele, que a LGPD vale não apenas para consumidores, mas também para os colaboradores de empresas.</p>
<p>Vamos supor que uma empresa pega em um currículo os dados pessoais de um potencial candidato a uma vaga e faz consulta para a checagem de informações.</p>
<p>Neste caso, de acordo com Souza dos Anjos, não é necessário pedir consentimento da pessoa para fazer a verificação.</p>
<p>“A empresa está legitimada a fazer a verificação por meio de base legal de execução de contrato”, afirma.</p>
<p>Outra situação em que não é necessário o consentimento, diz ele, acontece quando uma empresa faz promoção e dispara a informação para um cliente que já compra na loja.</p>
<p>Neste caso, diz, a empresa pode se valer de outra base legal que é o interesse legítimo de vender algo para quem já mostrou interesse em determinado produto na loja.</p>
<p><strong>NO MUNDO</strong></p>
<p>Souza dos Anjos diz que o Brasil não caminha por terreno desconhecido com a LGPD, que, aliás, foi inspirada pela legislação europeia.</p>
<p>Em meados de 2019, de acordo com ele, 109 países já possuíam leis de proteção de dados pessoais, incluindo Áustria, Bélgica, República Checa, Finlândia, Hungria, Itália, Suíça e Inglaterra.</p>
<p>Além do consumidor e ou do colaborador das empresas, quem deve sair ganhando com a nova legislação por aqui e no mundo são os escritórios de advocacia.</p>
<p>Especialistas em direito empresarial estão sendo cada vez mais demandados para destrinchar o ‘juridiquês’ da LGPD e preparar as empresas para evitar multas milionárias do tipo da H&M.</p>
<p><a href="https://dcomercio.com.br/categoria/tecnologia/lei-de-protecao-de-dados-e-base-para-aplicacao-de-multas-milionarias">Lei de proteção de dados é base para aplicação de multas milionárias (dcomercio.com.br)</a></p></div>China abre Consulta Pública para Lei de Proteção de Dados Pessoaishttps://blog.bluetax.com.br/profiles/blogs/china-abre-consulta-publica-para-lei-de-protecao-de-dados-pessoai2020-10-29T11:52:36.000Z2020-10-29T11:52:36.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>"A China divulgou sua minuta da Lei de Proteção de Dados Pessoais para consulta pública em 21 de outubro de 2020. Olhando mais de perto o projeto do PDPL, é fácil ver muitas disposições nele inspiradas no Regulamento Geral de Proteção de Dados da UE (GDPR)" (via Gil Zhang and Kate Yin)</p>
<p>Veja a íntegra em <a href="https://iapp.org/news/a/a-look-at-chinas-draft-of-personal-data-protection-law/">https://iapp.org/news/a/a-look-at-chinas-draft-of-personal-data-protection-law/</a></p></div>Um Cavalo de Tróia na LGPDhttps://blog.bluetax.com.br/profiles/blogs/um-cavalo-de-troia-na-lgpd2020-10-17T13:00:00.000Z2020-10-17T13:00:00.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>por <em><strong>Marcilio Braz</strong></em></p>
<p>Podemos enfim comemorar. A Lei Geral de Proteção de Dados (LGPD) que regulará o tratamento de dados pessoais, veio enfim ao mundo (18/09). Porém ao estabelecer como todos nós poderemos exercer nossos direitos, ela traz em sua redação um desafio que oscila entre o inexequível e o temerário.</p>
<p>Inexequível ao determinar que o responsável pelo tratamento deverá, de modo <em>imediato</em>, responder à requisição do titular. Qualquer europeu que está vivenciando por lá o verdadeiro calvário que é responder tais requisições, mesmo um simples “sim/não” sobre a existência de dados em suas bases, deve estranhar nossa lei.</p>
<p>Temerário pois na continuação do previsto na LGPD, em princípio sem chance de prorrogação, há o prazo de 15 dias para “por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento”.</p>
<p>E é aí que reside mais um grande risco e problema. Tomado isoladamente, pode assim não parecer.</p>
<p>Apesar do ineditismo da LGPD para nós, temos uma lei equivalente na Europa em vigor desde maio de 2018, o GDPR (General Data Protection Regulation). Contextualizando, em maio de 2020, a Sapio Research levantou que no Reino Unido apenas 52% das requisições dos titulares de dados são atendidas dentro dos 30 dias iniciais. Lá, diferente daqui o prazo é de 30 dias, prorrogáveis por mais 60 dias. Fazendo uma simples “regra de três” comparativamente seriam otimistas míseros 26% de solicitações atendidas dentro do prazo da LGPD. Os 74% restantes? Um risco concreto de ações judiciais a caminho, uma vez que sequer dispõe-se nesse momento da instância administrativa da ANPD para se valer o titular, pois também está previsto na LGPD que esse tem o direito de peticionar junto a ela em relação aos seus dados contra o agente de tratamento. E os custos das potenciais ações não devem ser considerados desprezíveis nem estas, improváveis.</p>
<p>Some-se a isso que o custo médio de uma requisição, ainda segundo o estudo da Sapio, é de US$ 6.330, algo em torno de R$ 33.000 reais. Acrescente-se no futuro o custo das sanções, por enquanto suspensas, pois a lei como hoje está prevê que as mesmas só poderão ser aplicadas a partir de Agosto de 2021. Entretanto como se pode observar, as eventuais sanções se tornam “um mero detalhe” e o fatiamento da LGPD com a eficácia de todos os dispositivos desde já exceto os que preveem as sanções pode levar à falsa sensação que “se ganhou tempo” e não é o caso.</p>
<p>Talvez tenhamos uma “tempestade perfeita” surgindo no horizonte. Em meio a merecida comemoração, precisamos discutir esses pontos, sob pena de termos efeitos à credibilidade da própria lei e uma oneração ainda não prevista pela grande maioria do empresariado que sequer sabe sobre a existência da LGPD.</p>
<p>A segurança jurídica almejada com a LGPD para os setores público e privado é inadiável para o alinhamento do Brasil em relação ao resto do mundo. Ao mesmo tempo, a garantia efetiva dos direitos de todos nós, cidadãos e titulares de dados, precisava, de fato, ser urgentemente estabelecida.</p>
<p>Mas esse equilíbrio exige que sejam considerados todos os aspectos práticos envolvidos: técnicos e administrativos, inclusive.</p>
<p>A persistir como está, um único artigo da LGPD pode vir a feri-la gravemente. Uma construção de anos, ser comprometida.</p>
<p>Urge, pois, que esse verdadeiro “Cavalo de Troia” seja desmontado o quanto antes, sob pena de virarmos no final do dia troianos atacando a si mesmos.</p>
<p> </p>
<p><em><strong><a href="https://www.exin.com/br-pt/um-cavalo-de-troia-na-lgpd/">https://www.exin.com/br-pt/um-cavalo-de-troia-na-lgpd/</a></strong></em></p></div>Inspiração para LGPD no Brasil, GDPR aplicou 785 multas na União Europeiahttps://blog.bluetax.com.br/profiles/blogs/inspiracao-para-lgpd-no-brasil-gdpr-aplicou-785-multas-na-uniao-e2020-09-25T14:21:56.000Z2020-09-25T14:21:56.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>A Lei Geral de Proteção de Dados foi sancionada há pouco tempo no Brasil, mas na União Europeia uma legislação semelhante já completa dois anos. A GDPR, que serviu de base para a regra brasileira já aplicou 785 multas às empresas e organizações que violaram dados no bloco. As punições que chegaram a €50 milhões (aproximadamente R$ 325 milhões) na França, além de duas multas que ainda estão em análise no Reino Unido, estimadas em £183 e £99 milhões (R$ 1,3 bilhão e R$ 710 milhões, respectivamente).</p>
<p>Os dados sobre a aplicação de multas pela lei “mãe da LGPD” vêm de levantamento da consultoria de riscos e corretora de seguros Marsh, produzido a partir de dados do relatório de avaliação bienal da Comissão Europeia (CE) sobre avanços da GDPR.</p>
<p>A pesquisa é um bom ponto de partida para que empresas brasileiras entendam como funciona o esquema de multas e análise de empresas no tocante a Lei Geral de Proteção de Dados. No processo de adaptação da LGPD, é provável que surjam novas interpretações ou mudanças nas leis internacionais de privacidade de dados. Especialmente com o aumento da dependência das empresas na tecnologia e as mudanças continuadas no comportamento do consumidor.</p>
<p>Ainda segundo a regulação, neste contexto, as empresas brasileiras devem revisar as cláusulas dos seus seguros para ter melhores chances de recuperação de perdas. Por exemplo, acredita-se amplamente que a Covid-19 acelere o uso da tecnologia e dos dados pessoais pelas instituições dos setores público e privado, enquanto os desafios apresentados pela Inteligência Artificial e pelo machine learning ainda estão à nossa frente. Por aqui, a aplicação de multas com base na LGPD passa a valer apenas no ano que vem.</p>
<p>O estudo aponta que o impacto da GDPR reflete no crescente número de empresas que acionam os seus seguros contra ataques cibernéticos. Os ataques ransomware respondem pela maior parte das perdas e paralização dos negócios das empresas.</p>
<p>“Nesse panorama regulatório de rápida evolução, as organizações devem se manter informadas, avaliar continuamente as regulamentações a que estão sujeitas em sua operação e implantar planos de ação de conformidade que incluam uma avaliação do risco da empresa relacionado. Fazer isso para as novas regulamentações pode significar um estímulo mais leve para aquelas organizações que já realizaram este exercício para a GDPR, a LGPD ou outros regulamentos”, afirma Marta Schuh, líder de cyber da Marsh Brasil.</p>
<p><a href="https://itforum365.com.br/inspiracao-para-lgpd-no-brasil-gdpr-aplicou-785-multas-na-uniao-europeia/">https://itforum365.com.br/inspiracao-para-lgpd-no-brasil-gdpr-aplicou-785-multas-na-uniao-europeia/</a></p></div>GDPR - Tribunal europeu derruba o Privacy Shieldhttps://blog.bluetax.com.br/profiles/blogs/gdpr-tribunal-europeu-derruba-o-privacy-shield2020-07-17T17:20:00.000Z2020-07-17T17:20:00.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><div>O Tribunal de Justiça Europeu proferiu decisão cancelando o Privacy Shield, acordo que regia a transferência de dados de cidadãos da União Europeia para os Estados Unidos. O instrumento permitia que as empresas se inscrevessem em padrões de privacidade mais altos antes de transferir dados para os EUA.
<p>Max Schems, um conhecido ativista de privacidade, contestou o instrumento através de uma ação que alegava que as leis de segurança nacional dos EUA não protegiam os cidadãos da UE de espionagens do governo americano. Para ele, os EUA terão que mudar suas leis de vigilância para que as empresas norte- americanas possam continuar a se relacionar com o mercado europeu.</p>
<p>Com o cancelamento do Privacy Shield, elas precisão assinar cláusulas contratuais padrão, que seriam contratos legais não negociáveis elaborados nos termos exigidos pelo Regulamento Geral de Proteção de Dados, já usados por outros países.</p>
<p> </p>
<p><a href="https://www.portaldaprivacidade.com.br/tribunal-europeu-derruba-o-privacy-shield/">https://www.portaldaprivacidade.com.br/tribunal-europeu-derruba-o-privacy-shield/</a></p>
</div>
<div> </div>
<div><a href="https://www.bbc.com/news/technology-53418898"><strong>Leia na integra</strong></a></div>
<div> </div>
<div> </div></div>O DPO ou encarregado de dados pode acumular funções dentro de uma empresa?https://blog.bluetax.com.br/profiles/blogs/o-dpo-ou-encarregado-de-dados-pode-acumular-funcoes-dentro-de-uma2020-05-06T14:40:00.000Z2020-05-06T14:40:00.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>Por: <a title="Posts de Luis Fernando Prado Chaves" href="https://www.oconsumerista.com.br/author/luis-fernando-prado-chaves/">Luis Fernando Prado Chaves</a></p>
<p>Na última semana, mais precisamente no dia 28 de abril de 2020, em decisão que chocou parte dos especialistas europeus em proteção de dados, a Autoridade Belga (<a href="https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf">veja a íntegra da decisão em holandês</a>) multou uma operadora de telefonia em 50 mil euros em razão de inadequada nomeação de DPO (em português, encarregado de proteção de dados).</p>
<p>Após um incidente de segurança, a Autoridade daquele país realizou investigação sobre as práticas da empresa em matéria de proteção de dados e concluiu pela impossibilidade de cumulação das funções de DPO e head de compliance, pois as rotinas de compliance demandam tratamento constante e relevante de dados pessoais, o que inviabilizaria a supervisão independente de tais atividades por parte do DPO por se tratar da mesma pessoa.</p>
<h4><strong>Maior sanção administrativa belga</strong></h4>
<p>Ainda, tal cumulação de cargos, segundo a Autoridade Belga, revela um “significante grau de negligência” por parte da empresa investigada, o que culminou na aplicação da multa de 50 mil euros, que, à primeira vista, pode não parecer grande coisa, mas é a maior sanção administrativa imposta até agora pela Autoridade Belga, <a href="https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/heads-of-compliance-legal-step-down-as-dpo">segundo os colegas europeus do escritório Fieldfisher</a>.</p>
<p>O espanto dos profissionais de privacidade europeus se justifica em razão de a decisão ser considerada excessivamente rigorosa, já que:</p>
<p><strong>– O GDPR permite a cumulação do cargo de DPO com outras funções, desde que não haja conflito de interesses;</strong></p>
<p><strong><a href="https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf?wb48617274=CD63BD9A">– As guidelines do WP29 (atual European Data Protection Board – EDPB) sobre DPO</a> não chegam a esse nível de rigor, mencionando (tudo bem que a título de exemplo) posições de conflito com o DPO que passam longe daquilo que faz a pessoa em posição de head de compliance; e</strong></p>
<p><strong>– Muitas empresas na Europa – tal como vem acontecendo no Brasil – nomearam seus heads de compliance como DPO, sendo que, apesar dos riscos jurídicos envolvidos, isso nunca tinha sido um problema efetivo à luz de proteção de dados até então.</strong></p>
<h4><strong>DPO acumulando funções?</strong></h4>
<p>Inclusive, segundo o <a href="https://iapp.org/store/books/a191P000003Qv5xQAC/">último relatório de governança disponibilizado pela IAPP em conjunto com a EY</a>, em 18% dos casos o DPO se reporta ao(à) head de compliance da organização. Não preciso nem mencionar que o precedente belga deixou o pessoal em terras de GDPR de cabelo em pé, colocando em xeque programas de governança em proteção de dados e fazendo uma dúvida inquietante atravessar o Atlântico. Mas, afinal, aqui no Brasil DPO vai poder acumular o cargo de head de compliance?</p>
<p>Bem, se lá no primeiro mundo, onde o GDPR é realidade, há muitos colegas discordando e encarando com perplexidade a decisão da Autoridade Belga, aqui no Brasil precisamos lembrar que a LGPD é omissa em relação ao acúmulo de funções, não dispondo sequer (ao menos não de maneira expressa) sobre a necessidade de se evitar conflito de interesses. Portanto, podemos concluir que é totalmente viável que o DPO acumule função, mas alguns alertas devem ser feitos – e o precedente belga deveria fazer com que abríssemos ainda mais os olhos.</p>
<h4><strong>Como evitar o conflito de interesses do DPO</strong></h4>
<p>Considerando a influência do direito europeu de proteção de dados sobre o brasileiro, bem como as tendências interpretativas que são esperadas da doutrina, jurisprudência e autoridade nacional, devemos considerar a ação de evitar conflito de interesses nas atribuições do DPO, senão como obrigação implícita decorrente do artigo 41, §2o, III (que estabelece como função do DPO o dever de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais), ao menos como uma prática fortemente recomendável, para dar efetividade ao artigo 50 da LGPD (que aborda os elementos de um programa de governança adequado).</p>
<p>Abaixo, apresento breves dicas de como materializar tal prática:</p>
<p><strong>– Dotar o DPO de independência para exercer suas funções;</strong></p>
<p><strong>– Prover os recursos necessários, conforme o tamanho da organização, para que as funções do DPO sejam realizadas a contento;</strong></p>
<p><strong>– Idealmente, não imergir o DPO em áreas/estruturas que ele deverá analisar criticamente, tais como:</strong></p>
<p><strong>– Para o Compliance: o DPO deve analisar as operações de background-check que envolvem dados pessoais e são conduzidas por essa área;</strong></p>
<p><strong>– Para o TI: o setor de TI é responsável, por exemplo, pela aquisição de tecnologia da empresa, o que, no melhor cenário, deveria contar com uma análise isenta por parte do DPO;</strong></p>
<p><strong>– Para a Segurança da Informação: também no contexto ideal, o DPO deveria servir como uma segunda opinião em relação a assuntos que envolvam segurança da informação aplicada a dados pessoais;</strong></p>
<p><strong>– Outras áreas de conflito evidente: são exemplos de áreas que podem trazer notório conflito de interesses em relação às atividades de DPO: RH, marketing, inovação, digital, big data, comercial/vendas etc. </strong></p>
<h4><strong>Garantias da empresa</strong></h4>
<p>Além disso, é importante que o DPO tenha as seguintes garantias que prestigiam a independência a ser perseguida:</p>
<p><strong>– Ter acesso às lideranças das áreas-chave da empresa;</strong></p>
<p><strong>– Ter recursos (humanos e materiais) para o desempenho de suas funções;</strong></p>
<p><strong>– Reportar-se ao mais alto nível gerencial da organização; e</strong></p>
<p><strong>– Ter autonomia para exercício de suas atividades sem que sua atuação sofra pressões por resultados financeiros ou metas comerciais.</strong></p>
<p>É claro que aqui estamos falando do mundo ideal. Em algumas organizações, principalmente em razão do porte e orçamento, não será possível criar uma área autônoma para o DPO e seu time, que se reporte ao mais alto nível gerencial como mandam as melhores práticas. Na maioria desses casos, a solução será mesmo a de cumular funções, ocasião em que será de extrema importância a implementação de mecanismos por parte da companhia para lidar com os conflitos de interesses que surgirão no dia-a-dia.</p>
<p>Enfim, como (quase) tudo na jornada de governança em proteção de dados, também para a estruturação de um cargo efetivo de DPO não há fórmula única. No entanto, o precedente belga deixa claro algo que é aplicável aqui ou lá: se o seu DPO for apenas para inglês ver, a caneta da autoridade poderá agir. Todo cuidado é pouco nos programas de adequação à LGPD, especialmente no desenho da estrutura de governança, para que as medidas adotadas pelas organizações não sejam interpretadas como “significante grau de negligência”.</p>
<p> </p>
<p><a href="https://www.oconsumerista.com.br/2020/05/dpo-acumular-cargos-empresa/">https://www.oconsumerista.com.br/2020/05/dpo-acumular-cargos-empresa/</a></p></div>"Privacy by Design" e Compliance na LGPDhttps://blog.bluetax.com.br/profiles/blogs/privacy-by-design-e-compliance-na-lgpd2018-11-01T13:00:00.000Z2018-11-01T13:00:00.000ZJosé Adriano Pintohttps://blog.bluetax.com.br/members/JoseAdrianoPinto<div><p>Por <a title="Acesse o perfil de Leonardo Henrique de Carvalho Ventura" href="https://leonardoventura.jus.com.br/publicacoes">Leonardo Henrique de Carvalho Ventura</a></p>
<div id="text-69585" class="jtext entry-content clearfix">
<p>A legislação brasileira, desde a Constituição Federal de 1988, protege de maneira expressa a privacidade dos cidadãos independentemente do meio ou da natureza, da forma mais abrangente possível. Dentre os direitos fundamentais previstos no artigo 5º estão a inviolabilidade da intimidade e da vida privada, que representam, numa interpretação lógica, a própria privacidade. O Código Civil é ainda mais direto e inclui o direito à privacidade e à intimidade entre os direitos da personalidade em seu Capitulo II, com amplas e irrevogáveis proteções.</p>
<p>Durante a evolução humana o termo tecnologia sempre remeteu apenas a benefícios e desenvolvimento, sem nos atentarmos para seu verdadeiro potencial. Além dos problemas típicos de privacidade que normalmente atingiam as pessoas publicas, a tecnologia colocou na mira, também, de forma democrática, todas as outras pessoas, numa espécie de massificação da informação e da exposição.</p>
<p>A Doutora Ann Cavoukian, ex Comissaria de Informação e Privacidade da Provincia de Ontario e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson, é especialmente reconhecida na área porque, ainda no inicio da informatização, quando a tecnologia ainda engatinhava, previu que, por conta do desenvolvimento tecnológico, as relações e processos envolveriam, quase que obrigatoriamente, a coleta de dados e informações pessoais e que essas informações, num certo momento, seriam muito valiosas.</p>
<div>
<div id="denakop-ad-0">
<div>Uma das novidades destacadas pela Doutora Ann naquela época e que teve muita relevância em todo o processo de regulação do meio digital, é o conceito do Privacy by Design.</div>
</div>
</div>
<p> </p>
<p><em>“Privacy by Design</em> é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”</p>
<p> </p>
<p>Esse conceito se consolida no âmbito internacional por volta de 2010, quando é inicialmente reconhecido e chancelado pela Autoridade Europeia de Proteção de Dados e pela <em>Federal Trade Comission</em> dos Estados Unidos e mais recentemente quando incorporado definitivamente pela GDPR, principal norma na área e referencia para as demais legislações internacionais.[1] A GDPR, estabeleceu o ideal da proteção dos dados pessoais como forma de amparar o cidadão e as entidades dos riscos da nova realidade digital, servindo de base e inspiração para as demais nações do mundo que viram-se obrigadas a se estruturar para acompanhar os novos direitos e riscos envolvidos. O Brasil, seguindo essa tendência, aprovou recentemente a LGPD para se adequar as normas do restante do mundo.</p>
<div>
<div id="denakop-ad-1">
<div> </div>
</div>
</div>
<p>No Brasil, algumas normas infraconstitucionais previram regras que desde o inicio remetiam, na essência, ao que hoje se identifica como Proteção de Dados, como o Código de Defesa do Consumidor, por exemplo, que desde o inicio estabeleceu regras relacionadas à formação de bancos de dados de consumidores, e mais recentemente, com o Marco Civil da Internet que estabeleceu como princípios básicos do uso da internet no Brasil a proteção da privacidade e dos dados pessoais, e os direitos e garantias dos internautas, como a “inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação”.</p>
<p>Por ser mais recente, editada já na Era Digital, o Marco Civil se destacou ao impor regras aos provedores de internet, até então entes pouco conhecidos e fiscalizados, e que passaram a ter obrigações legais como o fornecimento de informações claras e completas acerca de todo o processo de tratamento dos dados, como a coleta, o uso, o armazenamento, bem como previu a necessidade de consentimento expresso para o tratamento. Essa necessidade de consentimento livre, expresso e informado do usuário foi repetida expressamente na nova Lei Geral de Proteção de Dados.</p>
<div>
<div id="denakop-ad-2">
<div> </div>
</div>
</div>
<p>Corroborando a importância do tema, o Marco Civil da Internet, em seu artigo 7º, ressaltou que: “O acesso à internet é essencial ao exercício da cidadania”, elevando-o praticamente ao patamar de um direito fundamental do cidadão.</p>
<p> </p>
<p><strong>O “PRIVACY BY DESIGN”</strong></p>
<p> </p>
<p>Por ser um conceito com natureza principiológica e orientadora, o “Privacy by Design” guia seus tutelados de forma a projetar, construir e implementar suas tecnologias tendo como foco e objetivo principal a segurança e a privacidade dos dados. A necessidade e a capacidade de detectar os interesses envolvidos na relação, garantindo às partes a segurança necessária para as atividades oferecidas, é a missão principal dos desenvolvedores de conteúdos e tecnologias.</p>
<p>Com a intensificação das relações digitais, as tecnologias e plataformas de captura e coleta de dados cada vez mais se especializaram em analisar e identificar os hábitos e insights dos usuários, criando estudos de comportamento e preferencias que podem ser usados de forma muito prejudicial para o usuário ou para o meio no qual ele está inserido. Dessa forma, meios seguros e transparentes de captura e tratamento desses dados são cruciais para um ambiente saudável.</p>
<div>
<div id="denakop-ad-3">
<div> </div>
</div>
</div>
<p>Regra implícita do meio digital é que “a transparecia deve ser diretamente proporcional ao poder; a privacidade deve ser inversamente proporcional ao poder.”[3] Portanto a transparência deveria ser a principal preocupação das entidades que capturam dados dos seus usuários, mas não é o que se verifica diante dos últimos escândalos divulgados, dentre eles o caso Facebook e o caso Ashley Madson.</p>
<p>Nesse interim, o <em>Privacy by Design</em> foi resumido e simplificado em 7 princípios básicos:</p>
<p> </p>
<ol>
<li><strong>Pró-ativo não reativo; preventivo não corretivo</strong></li>
</ol>
<p> </p>
<p>Inicialmente, como regra trazida pelas novas concepções de compliance, a proatividade como regra de conduta representa que os desenvolvedores devem prever e antecipar os eventos passiveis de interferência ou de comprometimento da privacidade. O principio se contrapõe as antigas técnicas empresariais, geralmente reativas a partir da constatação dos danos ou do resultado de auditorias, mas sempre “post fact”.</p>
<p>Além dos benefícios internos, de aprimoramento de processos, as empresas se viram compelidas a se adequar aos novos princípios por força das normas aplicáveis ao setor que passaram a prever pesadas multas no caso de ocorrências, independentemente da constatação do dano especifico. Pelas novas normas passou-se a entender que a ocorrência de um evento no setor de privacidade significa que os dados pessoais já foram comprometidos, portanto já esta caracterizado o fato punível.</p>
<p> </p>
<ol>
<li><strong>Privacidade como configuração padrão</strong></li>
</ol>
<p><strong>A configuração referente a privacidade deve prever a proteção e a segurança como regra geral, devendo qualquer tratamento ser tratado como exceção e condicionado a autorização expressa do titular.</strong></p>
<p>Esse mandamento exige dos tratadores o máximo de cautela em suas plataformas. Como exemplo pratico temos os dispositivos dos smartphones, ou mesmo os aplicativos como Uber e 99 Taxi que tem dispositivos que localizam o usuário em tempo real e, se usado da maneira errada, podem monitorar os passos e a vida dos usuários. Nesses casos, o sistema de localização remota deve ser opcional e originalmente desativado.</p>
<div> </div>
<p> </p>
<ol>
<li><strong>Privacidade incorporada ao design</strong></li>
</ol>
<p> </p>
<p>Esse principio é mais uma sugestão do que uma nova orientação porque, apesar de quase repetir o mandamento do principio anterior, na verdade é mais especifico e sugere que o desenvolvedor do sistema, ao incorporar as ferramentas de privacidade ao projeto inicial, em sua concepção, reduzirá os esforços e o desgaste no cumprimento futuro das regras de proteção que certamente lhe serão cobradas. A privacidade passa a ser parte da própria solução e não um adendo.</p>
<p> </p>
<ol>
<li><strong>Funcionalidade total - soma positiva, não soma zero</strong></li>
</ol>
<p> </p>
<p>Pelo <em>Privacy by Design</em>, a utilização dos dados pessoais deve se dar em consonância com os objetivos do tratador, mas esse objetivo deve ser legitimo, permitindo que o usuário use as funcionalidades sem a necessidade de exposição excessiva. Busca-se evitar um famoso sistema de trocas desnecessárias, transformando a segurança e a privacidade em moedas de troca.</p>
<p> </p>
<ol>
<li><strong>Segurança de ponta a ponta - proteção completa do ciclo de vida</strong></li>
</ol>
<p> </p>
<p>Esse principio impõe aos agentes de tratamento que garantam a segurança de todas as informações desde a sua captura, que é a primeira forma de tratamento, até a sua eliminação ou compartilhamento, que também são formas de tratamento. Por esse principio a responsabilidade dos agentes se estende durante todo o ciclo, e qualquer fato durante esse processo será de responsabilidade dos mesmos, independentemente de comprovação de dano especifico.</p>
<p>Uma das regras implícitas é a transparência para que o titular esteja ciente de todo o processo e não seja surpreendido por um uso ilegítimo danoso. Caso recente, de grande repercussão, foi do Facebook e Cambridge Analytica, onde não se garantiu a proteção da informação durante uma das etapas de seu ciclo de vida.</p>
<div> </div>
<p> </p>
<ol>
<li><strong>Visibilidade e transparência - mantê-lo aberto</strong></li>
</ol>
<p> </p>
<p>Dois dos princípios mais importantes das relações do meio digital, a visibilidade e a transparência se aplicam desde o inicio da relação, quando os termos e condições de uso e de privacidade devem ser expostos de forma clara pelo agente de tratamento, dando destaque para todas as informações relevantes que envolvam a mitigação ou flexibilização de algum direito.</p>
<p>Apesar de não ser usual, esse principio visa garantir tambem que entidades independentes possam verificar e atestar essas condições.</p>
<p> </p>
<ol>
<li><strong>Respeito pela privacidade do usuário - mantê-lo centrado no usuário</strong></li>
</ol>
<p> </p>
<p>Novamente o foco no desenvolvimento do sistema baseado nos interesses e garantias do usuário, com medidas capazes de prevenir, garantir e comunicar claramente ao titular todas as possibilidades e riscos no tratamento previsto. A privacidade sempre sera a base do sistema e as exceções devidamente negociadas e informadas.</p>
<p> </p>
<p>Os sete princípios não fogem ao que o senso comum exige atualmente diante das situações e casos práticos que se colocam. As regras de compliance tão em voga atualmente, principalmente a partir do FCPA e do UKBA, exigem o respeito às normas legais e principalmente as normas éticas e comportamentais. No caso das relações digitais, o respeito a privacidade é parte determinante dessa conduta etica.</p>
<p>Sara Soumillion, porta voz da Comissão Europeia para a GDPR destaca:</p>
<p>“Investir em privacidade compensa e cria novas oportunidades comerciais. Por exemplo, produtos e serviços estão sendo desenvolvidos e oferecidos com novas soluções de privacidade e segurança de dados. E, de fato, o GDPR, por meio de princípios como <strong>Privacy by design</strong> e o Privacy default, incentiva os negócios a inovar e desenvolver novas ideias, métodos e tecnologias para a segurança e proteção de dados pessoais”</p>
<div> </div>
<p> </p>
<p>A nova concepção trazida pelo legislador brasileiro na Lei Geral de Proteção de Dados é que o dano a democracia resta configurado apenas com a utilização ilegítima dos dados, já que sua utilização com finalidade diversa, por si só, é uma afronta aos princípios morais e legais. A exemplo da legislação europeia, a norma tenta reduzir as múltiplas bases legais de processamento de dados possíveis para apenas uma, a “Opt-in”, ou seja, o consentimento prévio do usuário.</p>
<p>Assim as regras visam garantir, alem da segurança da informação, uma relação de confiança e transparência entre as partes envolvidas, resgatando a credibilidade do meio. Nesse esteio, caso não seja possível desenvolver um sistema com base no “opt-in”, uma opção de “opt-out” de fácil manejo, disponibilizada de forma clara e simplificada é recomendada.</p>
<p>A natureza principiológica do<em> “Privacy by Design”</em> serve de inspiração para que as atividades sigam suas premissas sob pena de violarem a boa fé das relações digitais. Num meio que exige transparência e segurança, os princípios destacados representam justamente a busca desses objetivos e devem ser adaptados conforme as necessidades práticas de cada desenvolvedor.</p>
<p>A proteção da privacidade por meio de sua incorporação as estruturas tecnológicas e as infraestruturas utilizadas permite que o usuário seja capaz de gerenciar e preservar as informações que considerar mais relevantes abrindo mão das garantia que achar cabível, mas preservando aquelas que considerar necessárias, sem ser privado dos conteúdos.</p>
<p>Com a entrada em vigor da GPDR, norma europeia de repercussão mundial que regula o tratamento de todos os dados que tenham repercussão sobre as nações ou cidadãos europeus, todas as demais nações do mundo se viram obrigadas a se adaptar, como condição para o livre comercio com o bloco europeu. Essa pressão foi fundamental para que a versão brasileira fosse finalizada e hoje cerca de 126 países possuem leis de proteção de dados pessoais nos moldes mínimos exigidos pela GPDR. Essas mobilização reflete a tendência evolutiva de cuidados com os dados pessoais a as informações sensíveis, chamados por alguns de “petróleo do século 21”.</p>
<div> </div>
<p>O Regulamento europeu trouxe expressamente a necessidade de respeito aos conceitos do Privacy by Design, destacando em seu artigo 25 a necessidade de implementação de medidas técnicas e operacionais que restrinjam o tratamento de dados ao necessário para a finalidade especifica.</p>
<p>Embora o termo “Privacy by Design” não estivesse previsto expressamente na legislação brasileira, alguns dos princípios foram devidamente incorporados, inicialmente através do Marco Civil da Internet, que inovou e destacou o principio da finalidade e da necessidade de obtenção de consentimento para o tratamento de dados e, por fim, no ano de 2018 com a LGPD, com “vacatio legis” de 18 meses, que reproduziu grande parte da GPDR e buscou atender às exigências da autoridade europeia para sua adequação e reconhecimento. Nesse sentido, a norma também se aproxima do conceito da “P<em>rivacy by Design”</em>, especialmente no que diz respeito aos princípios da transparência, segurança e prevenção, indicados em seu artigo 6º, alem da trinca principal de princípios representada pela legalidade, adequação e necessidade, segundo os quais os tratamentos devem ser adequados, relevantes e limitados à sua necessidade.</p>
<p> </p>
<p> </p>
<p>REFERENCIAS:</p>
<p> </p>
<p>[1] (<a href="http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/">http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/</a>)</p>
<p>[2] (<a href="http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/">http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/</a>)</p>
<p>[3] Privacidade e proteção de dados pessoais. Danilo Doneda. Disponível em: <a href="http://www.cgu.gov.br/sobre/institucional/eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf">http://www.cgu.gov.br/sobre/institucional/eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf</a></p>
</div>
<div class="text-paginate clearfix"> </div>
<div id="foot_text" class="clearfix"> <a href="https://jus.com.br/artigos/69585/privacy-by-design-e-compliance-na-lgpd">https://jus.com.br/artigos/69585/privacy-by-design-e-compliance-na-lgpd</a></div></div>