O ano de 2018 foi marcado por grandes evoluções no campo da proteção de dados pessoais, tanto para o mercado quanto para a sociedade civil. Em maio, o Regulamento Geral de Proteção de Dados (GPDR, na sigla em inglês) passou a valer na União Europeia e refletiu no Brasil com a sanção presidencial da Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais, em agosto. Quase todos os aspectos da nossa vida giram em torno de dados. De empresas marketing digital a bancos, comércio e governos – quase todos os serviços ou produtos que adquirimos envolvem a coleta e análise de dados pessoais. Toda vez que alguém clica em “comprar”, “reservar agora” ou “enviar”, por exemplo, mais dados pessoais são processados e armazenados, acrescentando informações a esse enorme e dinâmico conjunto de dados. E é disso que trata a LGPD: “dados pessoais” e como os coletamos, armazenamos, processamos e utilizamos.
O uso indevido de dados pessoais para influenciar eleições, a crescente aplicação de
análise de dado e tomada de decisões por algoritmos no setor público e privado, a possibilidade no
aumento de casos de análise de dados com viés discriminatório, são apenas alguns exemplos que demonstram
que o uso e controle de dados se tornou uma questão-chave do nosso tempo. Como cidadãos digitais, somos
cada vez mais perfilados e categorizados de acordo com os dados que produzimos.
Novas tecnologias disruptivas aliadas com uma maior dependência desta evolução, geram e disponibilizam
uma grande quantidade de dados, que são utilizados nos processo de tomadas de decisão, Neste contexto
surge a necessidade de uma regulamentação da propriedade e da forma que esta informação é utilizada.
Nesse cenário surge a LGPD - Lei Geral de Proteção de Dados.
Não existe nada realmente grátis, os aplicativos disponibilizados para uso sempre esperam algum tipo de
retorno, seja o seu contato para ofertas de marketing para vendas diretas ou para utilização de analises
comportamentais para venda a terceiros, ou ainda para algum objetivo escuso. Pesquisa realizada pela
Universidade da Califórnia indica que uma grande quantidade de aplicativo desenvolvidos para o sistema
operacional Android coletam dados anonimamente mesmo quando as permissão não são concedidas.
Esse aplicativos, muitas vezes carregam mais do que diversão e facilidades, gerando um sério risco aos
usuários. Ao concordar com os termos de uso, muitas vezes sem ler uma linha do que significa a permissão
cedida, os internautas estão permitindo diversos usos de suas informações, que podem ser compartilhadas
e gerar diversos desconfortos. Notícias sobre o vazamento de informações pessoais tem sido constantes e
o perigos dessa disponibilidade ainda não foram totalmente mapeadas.
É fato que o conceito de privacidade no mundo digital é um pouco complexo de ser obtido. Diariamente
estamos disponibilizando informações nas interação do cotidiano, seja, por e-mail, seja por aplicativos
de mensagens, seja por compartilhamento de imagens.
Um exemplo é um recente aplicativo que a partir de uma imagem de uma pessoa gera um espelho de forma a
representar o envelhecimento da mesma, fazendo com que a empresa possuam sua imagem no banco de dados.
Qual a finalidade desse armazenamento? Quando será (ou se será) excluída do sistema? São questões que
estão sendo feitas pelos órgãos de defesa do consumidor ainda sem respostas claras.
Como consequência deste cenário, foi aprovada pelo governo Brasileiro em Agosto/2018 a Lei Geral de
Proteção de Dados (LGDP), influenciada pela GDPR (General Data Protection Regulation) utilizada pela
União Europeia que aborda rigoroso conjunto de normas e regras em relação a privacidade das informações
pessoais. Essa nova lei com data prevista para entrar em vigor em agosto de 2020, tem o intuito de
disciplinar a gestão de dados pessoas, eliminar ou ao menos reduzir consideravelmente os vazamentos de
informações pessoais e garantir um cuidado maior no tratamento dos dados por quem por algum motivo tiver
autorização de acesso a elas.
Entretanto, a LGPD ainda não está finalizada. Certos aspectos da nova lei ainda estão sendo debatidos.
Alguns pontos foram vetados na sua promulgação, por razões formais, para serem tratados mais a frente
por regulamentação especificas, principalmente no que se refere à sua regulação e fiscalização. A
necessidade de uma Autoridade Nacional de Proteção de Dados - ANPD (e um possível Conselho auxiliar para
propor estratégias e diretrizes), está atualmente na agenda do governo e espera-se que antes da entrada
em vigor da lei estejam definidos pelo poder Executivo. Como consequência , as empresa, podem não ter
todas as respostas necessárias para implementar seus planos de ações para implantar os processos
exigidos pela lei, no entanto, o tempo é curto e não podem esperar a solução de todas as dúvidas para se
preparem. É necessário começar o quanto antes.
“A Lei Geral de Proteção de Dados Pessoais (LGDP) vem em boa hora e ajudará a regulamentar e desenvolver
o mercado e o setor público. Na publicidade, afetará anunciantes, agências, plataformas e provedores de
soluções – todos aqueles que utilizam dados pessoais de algum modo. Vejo como resultado positivo o
aumento da transparência no tratamento dessas informações, pois poderá reduzir casos de fraudes e de
vazamento de dados. Além disso, o consumidor terá mais confiança para compartilhar seus dados com o
setor privado.
Antes da nova lei, o tratamento de dados pessoais estava previstos em outras leis e
normas, como a Constituição Federal, o Código de Defesa do Consumidor, a Lei de Acesso à Informação, a
Lei do Cadastro Positivo e o Marco Civil da Internet (CGU, 2019). As empresas já tinham obrigações
referentes À proteção de dados, privacidade e direito À intimidade. Acontece que em meio a tantos
regimes legais para disciplinar um mesmo tema, muitos conflitos de aplicação de leis e contradições
ocorriam na prática jurídica, gerando também insegurança para empreendedores que precisam lidar com os
dados de seus usuários.
A nova lei além de definir como os dados e informações pessoais devem ser coletados, acessados, mantidos
e abordados seja em meio digital ou físico, por uma pessoa física ou jurídica, prevê punições pesadas em
caso de descumprimento das normas estabelecidas. Essa nova legislação é resultado de projetos do governo
brasileiro a muito tempo discutidos e finalmente aprovado. É uma grande avanço no trato dos dados e uma
convergência com a tendência do que esta sendo aplicado mundialmente.
A primeira coisa a ser feita por qualquer organização é mapear os fluxos de dados. Em
seguida encontrar a base legal, regulatória ou contratual para a necessidade dos dados a serem coletados
e mantidos, tais como o consenti- mento, o legítimo interesse, o cumprimento de obrigação legal ou
regulatória, a execução de contrato, etc. E, finalmente, fazer as adaptações necessárias em contratos,
políticas e outros documentos jurídicos, além de adequar sistemas internos de segurança da informação.
A lei inclusive exige que cada empresa ou entidade que efetua o trata- mento de dados pessoais indique
um encarregado, também conhecido como 'data protection officer – DPO' (Vamos falar sobre isso mais a
frente).
“Em 2018, vimos poucas discussões nas empresas sobre a nova lei.
À medida em que nos aproximarmos do prazo para a implementação, certamente veremos esse tópico se tornar
cada vez mais relevante em 2019. As empresas devem começar fazendo uma revisão completa de suas práticas
existentes em torno da coleta e armazenamento de dados do consumidor.
É interessante que as organizações já estejam pedindo autorização para coletar dados dos usuários, com
uma política de privacidade clara exibida nas páginas onde essas informações são solicitadas. Dependendo
do nível de complexidade da empresa, esse pode ser um exercício de curto ou longo prazo. O próximo passo
será explorar os detalhes da nova lei e onde é preciso realizar alterações e adequações. Novamente, isso
será mais fácil para organizações com poucos canais de coleta de dados e mais complicado para as
maiores, que coletam dados de várias maneiras. Rodrigo Souto, gerente de marketing da HubSpot Brasil".
A lei também introduz uma novidade no arcabouço jurídico que é o "interesse legítimo" e é
preciso que as empresas tomem um cuidado adicional a esse ponto. Esse novo conceito foi incluído no
texto para autorizar determinadas situações nas quais o consentimento não precisaria ser emitido. São
situações nas quais não é necessário perguntar se aquele tratamento pode ou não ser realizado, pois,
segundo a lei, ele deve contemplar as suas “legítimas expectativas”. Por exemplo, se um usuário baixa
algum conteúdo digital de uma companhia, pode-se subtender que existe um interesse legítimo desse
usuário por seus conteúdos e, dessa forma, pode enviar outros materiais para essa pessoa. Essa regra
será alvo de interpretação para ser respaldada na lei e ser utilizada. Pode ter analises diferente se
para empresas B2B (Relacionamento Business to Business, ou seja, empresa a empresa) ou companhias B2C
(Relacionamento Business to Consumer, ou seja, empresa a consumidor final) para aplicá-la de forma
correta.
O “legítimo interesse” constante no inciso IX (L13790, 2018) pode parecer item mais “flexível” das bases
legais, no entanto, é necessário balancear os interesses do controlador e os direitos dos titulares dos
dados. Tendo como base a GDPR, foi proposto um teste para avaliar a verificação de legítimo interesse,
consistente em três etapas:
identificar um interesse legítimo (de natureza comercial ou social, por exemplo),
demonstrar que o processamento é necessário para alcançá-lo
equilibrá-los diante dos interesses e direitos dos indivíduos. Se o mesmo resultado puder ser obtido sem
o processamento, então não haverá legítimo interesse.
A analise do registros bancários dos clientes pelas próprias instituições bancárias, para coibir fraudes (como o seu perfil de gastos) sem que haja consentimento expresso do titular dos dados e um exemplo de legítimo interesse. O responsável pelos dados possui a obrigação de provar que esta fazendo uso de forma adequada à hipótese de legítimo interesse e cabe as autoridades responsáveis coibir possíveis abuso dessa utilização.
O chamado ”cadastro positivo” é uma forma de coleta de informações, baseadas também na hipótese do interesse legítimo”que visa a coleta de in- formações para a proteção do crédito do consumidor e da mesma forma, fica sob a responsabilidade do gestor dos dados provar que os dados não estão sendo utilizados com o intuito de discriminar sobre qualquer aspecto o indivíduo.
Como já dissemos, estamos constantemente gerando dados com base no nosso comportamento durante a utilização de qualquer aplicação digital. Esses dados, chamados comumente de ”Big Data” são coletados, armazenados, gerando analises que podem identificam um individuo e são normalmente utilizadas como base para novas ofertas de consumo. Esses dados possuem um grande valor comercial e se faz necessário uma regulamentação do que pode ou não ser feito e se possui ou não autorização expressa para o fim proposto.
Os algoritmos de dados são ferramentas desenvolvidas para o processamento dessa grane quantidade de informação que esta sendo gerado continuamente. Estão por detrás de quase tudo que se passa na internet, sendo uma peça chave do quebra-cabeça e assunto bastante discutido na formulação da lei (L13790, 2018). em determinadas analises se faz necessária a auditoria desses algoritmos com o intuito de eliminar qualquer tipo de viés discriminatório com base nos dados coletados.
Para lidar com questão como essas, a LGPD prevê em seu art. 20 que titulares de dados
pessoais (todos nós) podem solicitar a revisão das decisões automáticas quando estas afetarem seus
interesses. Estabelece ainda uma obrigação ao responsável pelo tratamento de tais dados para que
forneça, se solicitado, informações claras e adequadas a respeito dos critérios e dos procedimentos
utilizados para a decisão automatizada. Segundo a lei, o responsável pelo tratamento de dados só não
será obrigado a fornecer critérios e procedimentos que possam revelar segredos comerciais e industriais.
Conheça a íntegra do dispositivo (L13790, 2018)
“Artigo 20: O titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas
unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive
de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os
aspectos de sua personalidade.
§ 1o O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito
dos critérios e dos pro- cedimentos utilizados para a decisão automatizada, observados os segredos
comercial e industrial.
§ 2o Em caso de não oferecimento de informações de que trata o § 1o deste artigo baseado na observância
de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de
aspectos discriminatórios em tratamento automatizado de dados pessoais.”
Todas as aplicações deverão se adaptar a nova lei, não importando o seu tamanho ou ramo de atividade, se
existe coleta de informação elas deverão se enquadrar a nova regulamentação. No mundo já existem leis
similares a as empresas conseguiram se adaptar, portanto no cenário brasileiro não devemos ter uma
mudança radical no contexto, desde que as empresas invistam o tempo e os recursos necessários para
estarem em conformidade com a lei”. O importante é começar o quanto antes.
O empregador é detentor de informações pessoais de seus empregados e deve observar a LGPD,
sob pena de responsabilização civil. Embora a LGPD autorize as empresas a usar os dados pessoais dos
seus empregados e presta- dores de serviços (art. 7o, V e IX) (L13790, 2018) para a legítima execução
dos contratos, em benefício do próprio trabalhador, é necessário cautela e observância Às regras da LGPD
em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas
terceirizações e após a rescisão dos contratos.
Na terceirização de serviços, é preciso obter consentimento dos empregados por escrito para que a
empresa faça o tratamento dos seus dados, sobretudo quando for transmiti-los a terceiros (tomadores de
serviço), em decorrência da atividade realizada, ou mesmo por exigências legais e contratuais,
especificando de maneira clara quais dados serão repassados e para qual finalidade.
Além do consentimento do empregado, é recomendável que as empresas criem obrigações específicas em seus
contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.
A lei possui alguns princípios básicos:
- Finalidade: O tratamento dos dados precisa ser especificado, tem que existir um porquê daquele dado ser
tratado;
- Adequação: O tratamento tem que ter uma relação lógica com a finalidade. Exemplo: se a finalidade do
tratamento é a exclusão dos dados no site, não a necessidade que o titular forneça seu endereço
residencial.
- Necessidade: O tratamento é realmente necessário para a finalidade informada? Exemplo: Uma empresa de
telefonia precisa ter o tipo sanguíneo para realizar o seu cadastro?
Livre acesso, qualidade e transparência: Uma vez que o agente possui os dados de um indivíduo, o titular
tem direito de acessá-los gratuitamente sempre que quiser, e além disso, saber como estão sendo usados e
por quanto tempo serão usados.
- Segurança e prevenção: Os agentes devem tomar medidas para que nenhum dado seja indevidamente acessado
ou ocasione qualquer prejuízo.
- Não discriminação: Quaisquer que sejam os dados (sensíveis ou não), eles não podem ser utilizados de
forma discriminatória.
- Responsabilização: Os agentes (operador e controlador) são os responsáveis por garantir que tudo que foi
estipulado na LGPD seja cumprido.
De acordo com a lei, o tratamento somente poderá ser realizado:
- Se o titular consentir: Se o titular autorizar está permitido porém , existem alguns requisitos para
esse consentimento (O consentimento pode ser revogado a qualquer mo- mento mediante manifestação
expressa do titular);
- Tem que ser dado de forma livre;
- Tem que ser claro e não podem existir dúvidas quanto ao que está sendo autorizado;
- Se for algum dado em um contrato escrito, está cláusula tem que ser destacada das demais;
- Se for dado sensível, o mesmo tem que ser destacado especificamente qual a finalidade do tratamento
- No caso de crianças ou adolescentes a autorização deve ser dada por pelo menos um dos pais ou
responsável
- Se os dados forem utilizados para outros fins que não os iniciais, o agente precisa solicitar nova
autorização
- Para cumprir alguma obrigação imposta por lei ou por alguma regulação;
- Pela administração pública quando necessário para políticas públicas;
- Para realização de estudos por órgãos de pesquisa, IBGE, Datafolha, IBOPE, etc.
- Quando for necessário para executar um contrato;
- Para o exercício regular de direito em processos judiciais, administrativas ou arbitral – se um juiz
determinar a exclusão de dados, a empresa não pode se negar;
- Para proteção À vida ou segurança física do titular ou terceiros – Um hospital pode arquivar informações
dos pacientes quanto a alergia a algum medicamento ou doença transmissível.
- Para garantir a saúde em procedimentos médicos ou sanitários
- Para interesse legítimo do controlador ou terceiro
- Para proteção ao crédito (Serasa - Órgão de proteção ao crédito )
A lei não se aplica aos dados utilizados exclusivamente para fins jornalísticos ou artísticos,
acadêmicos, para segurança pública e do estado, defesa nacional, investigação e repressão de infrações
penais. Basicamente são aqueles que os interesses da coletividade superam os interesses individuais.
São direitos assegurados ao titular dos dados:
- Acesso às informações.
- Comprovação de que o tratamento realmente é vigente.
- Possibilidade de correção das suas informações incompletas, desatualizadas ou inexistentes.
- Eliminação da utilização dos dados, uma vez que comprovada a desconformidade com a nova legislação.
- Eliminação dos dados pessoais tratados com o consentimento do titular,
- Revogação do consentimento.
- Confirmação de que seus dados estão sendo tratados;
- Acesso a seus dados;
- Que seus dados sejam corrigidos;
- Que os dados se tornem anônimos, bloqueados ou excluídos se não forem mais necessários;
- Portabilidade de dados para outros fornecedores de serviço ou produto. Ex: se você tiver um sistema
jurídico e decidir trocar por outro. O sistema atual é obrigado a criar um arquivo com todos os seus
- dados para serem transferido para o novo sistema
- Ser informado quanto a todas as entidades (públicas e privadas) com quem seus dados são compartilhados
- Ser informado que pode não consentir com o tratamento e quais as consequências desse ato.
- Revogação do consentimento
Alguns tipos de dados:
- Nome;
- Gênero;
- Data de nascimento;
- Endereço;
- E-mail;
- Exames laboratoriais;
- Prontuário médico;
- Qualquer outra informação que permita identificar um indivíduo.
É considerado tratamento de dados os seguintes processos:
- Coleta
- Produção
- Recepção
- Classificação
- Utilização
- Acesso
- Reprodução
- Transmissão
- Distribuição
- Processamento
- Arquivamento
- Armazenamento
- Eliminação
- Avaliação ou controle da informação
- Modificação
- Comunicação
- Transferência
- Difusão ou extração.
Um dado pessoal pode ser definido como qualquer informação relacionada a uma pessoa de
forma que, se em conjunto ou isolada, tornem possível sua identificação.
A LGPD classifica os dados da seguinte forma:
- Dados identificados: são aqueles que você consegue saber quem é o titular, nome, identidade, CPF, etc.
- Dados identificáveis: são dados que você não consegue diretamente saber quem é o titular, mas em contato
com outras informações você consegue atingir seu objetivo: o número do cartão de crédito, o IP do
computador, nome da empresa que a pessoa trabalha, etc.
- Dados sensíveis: classificados pela nova legislação, requerem ainda mais cuidado na sua guarda, acesso e
manuseio, pois estão relacionados a origem étnica ou racial, crenças religiosas, filiação sindical,
direciona- mento político, orientação sexual e especialmente, informações relativas a saúde, genética ou
biométrica.
- Dados anonimizados: são aqueles onde não é possível identificar a pessoa como por exemplo uma pesquisa
do IBGE.
Os responsáveis pelo armazenamento, acesso, transferência ou manutenção das informações
pessoais, estão estabelecidos de forma clara na nova lei as suas atribuições e responsabilidades, se
resume em 4 papéis distintos: titular, controlador, operados e encarregado.
- Titular: Pessoa natural a quem se refere os dados pessoais que são objetos de tratamento.
- Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais
- Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador;
- Encarregado: Pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o
controlador e os titulares e a autoridade nacional;
O EPD (semelhante À figura do DPO – Data Protection Officer, previsto na regulação europeia) é a pessoa natural, nomeada pelo controlador (empregado ou contratado externamente), que atuará como um canal de comunicação entre este, os titulares dos dados e a autoridade de proteção de dados. Será responsável por receber reclamações e comunicações de titulares e órgãos competentes, prestar esclarecimentos, adotar providências e orientar funcionários sobre as boas práticas, dentre outras atribuições. Sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador. Por não fazer nenhum ressalva específica, a análise da LGPD leva ao entendimento de que qualquer entidade que processe dados pessoais deverá, sob quaisquer circunstâncias, indicar um EPD, cabendo, porém, à autoridade nacional estabelecer normas complementares sobre a definição e a atribuição da pessoa responsável (incluindo hipóteses de dispensa de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados).
A lei visa proteger com eficiência os dados pessoais, dos funcionários, clientes e
fornecedores. Sendo assim, para reforçar e garantir que a nova lei seja realmente cumprida, foram
estipuladas severas punições quando comprovado o descumprimento das normas.
Essas punições vão desde multas pesadas sobre o faturamento, advertências estipuladas com base em um
prazo para adoção de medidas tratativas e corretivas, bloqueio total das informações referente as
infrações até sua total correção e obrigatoriedade da eliminação das informações pessoais acerca da
infração.
Com a criação dessa lei, as empresas também precisarão estar atentas aos incidentes de vazamento de
dados ou violações dos dados pessoais dos usuários, ainda que por ataques de terceiros, conforme
disposto no artigo 48 1o da Lei Geral de Proteção de Dados (L13790, 2018). As empresas terão o prazo de
72 (setenta e duas) horas para notificar tanto a autoridade nacional de proteção de dados quanto o
usuário vítima do vazamento.
Para elaborar um projeto para atingir a conformidade com a LGDP é muito importante garantir, antes de mais nada, o compromisso da alta administração. Este é, provavelmente, o fator mais significativo que poderá conduzir as entidades a um projeto de operação (e posterior implementação) bem- sucedido. A figura 1 representa um mapa mental em relação aos macros processos e subprocessos que devem ser analisados e contemplados em um projeto adequação a lei (MOORE, 2018).
A revisão de contrato é um dos itens mais importantes da LGPD. É necessário adequar este
documento para que ele atenda às normas de confidencialidade, transparência e liberdade dos usuários.
De acordo com a Lei geral de proteção de dados, o contrato deve deixar claro para quais finalidades os
dados pessoais serão utilizados, assim como as informações sobre o tratamento dos mesmos quanto À sua
duração, uso compartilhado, identificação do controlador e responsabilidades dos agentes de tratamento.
É necessário lembrar que o documento deve prever a retirada e/ou portabilidade dos dados também quando
for o caso. Com a LGPD, muitas empresas terão que investir em segurança da informação para se adequar e
fazer cumprir a legislação. Para otimizar este trabalho é necessário ter uma gestão segura e integrada
de contratos.
O encerramento do tratamento dos dados poderá ocorre quando:
- A finalidade for alcançada;
- O tratamento não for mais necessário para alcançar a finalidade;
- O período estabelecido terminar;
- Por pedido do titular;
- Por determinação da ANPD4 quando houver violação a LGPD.
Semelhante ao DPIA (Data Privacy Impact Assessment, previsto na GDPR (GENERAL. . . , 2019)), refere-se À documentação do controlador que contém a descrição das atividades de processamento de dados que podem gerar riscos aos titulares de dados, bem como informações sobre a implementação de medidas, salvaguardas e instrumentos de mitigação de danos. Nada mais é que uma ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD (Agência Nacional de Proteção de Dados), quando o tratamento tiver como fundamento o legítimo interesse do controlador.
O controlador e o operador devem manter registro das operações de trata- mento de dados pessoais que realizarem, especialmente quando baseado em seu legítimo interesse. Desta forma toda e quaquer atividade relacionada ao tratamento de dados pessoais desde a coleta até a sua exclusão dever ser regis- tradas para servir de subsídio a eventuais auditorias solicitadas pelo usuário ou pelos o´rgão reguladores. Esse processo é chamado de ‘data mapping’
Os agentes de tratamento devem adotar (e registrar) as medidas de segu- rança, técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas (destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito). Ainda serão especificadas pela ANPD os critérios mínimos para aplicação desses requisitos.
É de conhecimento de todos, que grande parte das atualizações de software e hardware
servem para fechar brechas e/ou corrigir falhas que podem eventualmente permitir violação dos controles
de dados. Realizar atualizações constantes é uma forma de se precaver de eventuais problemas. A nova lei
destaca que essa será uma responsabilidade da organização e ela precisará reforçar a sua base para
garantir proteção contra os perigos do mundo virtual. Essa atualização também se refere ao conhecimento.
As companhias precisarão se atualizar acerca dos novos princípios associados com a priva- cidade, bem
como do que está sendo feito em outros cenários para implementar medidas de adaptação.
É preciso focar na especialização nessa a´rea e contratar profissionais dedicados para contribuir com
conhecimento apro- fundado. Além disso, é preciso conhecimento especializado sobre a lei em si, seus
princípios e normas. Por essa razão, esse período vai ser marcado por uma procura maior por
profissionais que dominem a LGPD.
A lei de proteção de dados estabelece formas de gerenciar as informações coletadas.
Geralmente, eles são processados por sistemas de computação, ou seja, ficam a cargo do setor de TI. Por
isso, a responsabilidade do profissional dessa área é grande na conformidade com as novas regras.
Segurança - A equipe de TI deverá reforçar as barreiras de segurança para auxiliar a empresa. Afinal, o
objetivo é proteger as bases internas contra ataques externos e garantir que os clientes saibam de tudo,
sem- pre. Por isso, o profissional desse setor será o responsável por cuidar dos backups, das medidas de
segurança, da atualização dos softwares e integração de informações. O suporte deve ser inteligente e
proativo, com a garantia de que as máquinas estejam seguras e consistentes.
Mudança de cultura - Os profissionais de TI devem entender que é plenamente possível criar sistemas
inteligentes, úteis e relevantes e, ao mesmo tempo, manter o cuidado com a privacidade e os direitos dos
clientes. Nem sempre será necessário pedir dados demais com o nível adequado de organização, somente o
que realmente for utilizado. Em outras palavras, a cultura dos profissionais deve mudar para abarcar a
compreensão de que é possível inovar com respeito ao direito particular de cada um. Se isso for
incorporado ao jeito de pensar dos desenvolvedores de sistemas desde o início de sua concepção, o
”privacy by design”será possível chegar ao resultado com menos impacto para o cliente.
Qualidade dos dados - Também é dever do setor de TI a manutenção dos dados limpos, claros e disponíveis.
Eles devem ser fáceis de encontrar, mesmo que com restrições de acesso. É preciso encará-los como um
ativo fundamental, assim como os computadores da empresa, que precisam ser gerenciados com cuidado.
Integração e comunicação - É importante focar na integração entre todas as áreas, não somente a de TI.
Todos devem falar a mesma língua, com acordos e o foco contínuo na defesa. É importante que o setor de
TI saiba se comunicar com os outros colaboradores para que eles também conheçam as práticas corretas e
saibam o que é efetivo para a proteção das informações.
Normalmente, as softhouses assumem a função de gerenciador de processamento de dados externo que deve estar estabelecido através de um contrato escrito. Isso é, sem dúvida, verdadeiro quando o software é fornecido no modo Cloud SaaS. Nesse caso, o proprietário terceiriza o processamento automatizado de seus dados para a empresa de software e, portanto, não pode evitar sua nomeação como gerente externo, nem pode ser dispensado de ser nomeado. Mesmo nos casos em que uma licença de usuário é fornecida no modo "on premise", a softhouse ainda processa os dados do proprietário. Considere a prestação de serviços de assistência, atualização e manutenção de software, que podem envolver o acesso aos dados, mesmo remotamente (via VPN ou teamviewer).
Os princípios gerais da LGPD e as softhouses todo o projeto deve ser pensado desde a
concepção para adequação e cumprimento dos requisitos da lei, garantindo desde o início dos direitos de
privacidade e proteção de dados (privacy by design).
- Ser proativo e não reativo (prevenir e não remediar) - Prever e antecipar eventos que possam comprometer
a privacidade antes que eles ocorram.
- Privacidade como configuração padrão - Por padrão, as configurações referentes À privacidade devem estar
definidas considerando a máxima proteção possível da privacidade do usuário.
- Privacidade incorporada ao projeto - A proteção dos dados pessoais deve ser pensada como parte
indissociável do projeto de arquitetura do sistema ou da prática de negócio, ou seja, desde a concepção.
- Funcionalidade total – “Soma-positiva” ao invés de soma-zero - Esse princípio visa garantir a proteção
de dados pessoais em consonância com os legítimos interesses e objetivos daqueles que utilizam as in-
formações, sem a necessidade de se fazer trocas desnecessárias como, por exemplo, abrir mão da segurança
para conseguir mais dados.
- Segurança de ponta a ponta - A segurança das informações pessoais deve ser garantida desde a coleta do
dado até sua destruição ou compartilhamento com um terceiro.
- Visibilidade e transparência - Abrange diversos aspectos, como informar ao titular do dado quando e para
qual finalidade as suas in- formações estão sendo coletadas até a abertura da plataforma para que
entidades independentes possam realizar auditorias e certificar-se de que as informações pessoais estão
de fato protegidas.
- Respeito pela privacidade do usuário (solução centrada no usuário)
- Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na
privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e
oportuna e tornando as configurações referentes À privacidade amigáveis.
Como se pode observar, os sete princípios garantem uma abordagem pragmática, que cobre todas as pontas
necessárias para estabelecer a proteção dos dados pessoais e o compliance com a grande maioria das
normas de privacidade. A principal mudança a ser percebida é a incorporação de tarefas relacionadas ao
tratamento, exposição e uso de dados pelos sistemas. O termo DevSecOps (Development, Security &
Operation), que integra o item segurança na esteira de desenvolvimento de software certamente ganhará em
importância ao cobrir os aspectos funcionais da LGPD. Em todos esses casos, a empresa de software deve
prestar atenção para contratar adequadamente os métodos de processamento de dados pessoais.
O princípio fundamental do LGPD é o da responsabilidade (accountability). O controlador de dados é responsável não apenas pela maneira como ele processa os dados. Ele também precisa se preocupar sobre como os dados são tratados por seus gerentes externos. Quando um proprietário depende de uma empresa de software, ele deve realizar uma diligência devida e certificar-se de que as garantias adequadas são dadas para a proteção de dados pessoais. Além disso, o detentor também deve realizar auditorias periódicas, para verificar se a empresa de software trata os dados de maneira consistente com o LGPD e com o que é declarado no contrato de designação como gerente externo. Se não o fizer, o dono se torna diretamente responsável pela culpa em casos de problemas. Em vista disso, a vantagem competitiva que uma empresa de software pode demonstrar que está em conformidade com o LGPD é bem compreendida. Por outro lado, uma empresa de software que não esteja em conformidade com as novas regulamentações corre o risco de não ser capaz de ser escolhida por seus clientes e parceiros de negócios.
Quando uma empresa escolhe uma softhouse, ele deve realizar uma diligência devida para
garantir que ele trate os dados de maneira compatível com o LGPD. Da mesma forma, deve realizar
inspeções e auditorias periódicas nesta empresa, para verificar se a conformidade é mantida ao longo do
tempo.
Se isto é verdade em teoria, na prática isso é difícil de implementar. Os empresários têm outras coisas
para pensar. Muitos deles já têm problemas em ajustar sua empresa À nova legislação, quanto mais se
encontram tempo e recursos para verificar se seus gerentes externos também se adaptaram.
Uma solução para este problema pode ser dada pelas certificações e códigos de conduta. O fato de uma
empresa de software ter obtido uma certificação de conformidade com a lei ou aderir a um código de
conduta representa, por si só, uma grande garantia de adequação para o proprietário que a escolhe. Até o
momento ainda não há certificações oficiais ou códigos de conduta. No entanto, assim que saem, podem ser
uma vantagem competitiva garantida para as empresas de software que as adotarem (IPRIGHTS, 2019).
Para ficar pronto quando as primeiras certificações e os primeiros códigos de conduta forem lançados,
uma empresa de software deve começar a trabalhar agora mesmo. Caso contrário, ele se arrisca a não
acompanhar o mercado.
O LGPD e a privacidade em geral são vistos pela maioria como um custo e um incômodo. Mas se há uma categoria que deve olhar para o LGPD como uma oportunidade de crescimento, é precisamente a das softhouses. Aqueles que já começaram a trabalhar em privacidade, indicando um EPD ou confiando em um profissional competente, logo poderão colher os benefícios. Para as softhouses que negligenciarão a questão do processamento de dados pessoais, as sanções serão um risco, as do mercado uma certeza.
CGU. CGU 0517. 2019. https://www.cgu.gov.br/sobre/institucional/
eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf). (Accessed on
08/01/2019).
GENERAL Data Protection Regulation: A versão em português (de portugal). 2019. Disponível em:
(https://eurlex.europa.eu/legal-content/PT/TXT/HTML/uri=CELEX:32016R0679&from=PT).
HUBSOFT. HubSpot — Software de vendas e inbound marketing. 2019. (https://br.hubspot.com/). (Accessed on
08/01/2019).
IPRIGHTS. Software house e GDPR: porque é essencial se adaptar - IPRights. 2019.
https://www.iprights.it/software-house-e-gdpr/ . (Accessed on 08/02/2019).
L13790. Lei Geral de Proteção de dados - Lei 13.709. 2018. http://www.planalto.gov.br/ccivil 03/
ato2015-2018/2018/lei/L13709.htm . (Accessed on 08/01/2019).
MOORE, A. The GDPR & Managing Data Risk For Dummies R , Symantec Special Edition. Chichester, West
Sussex: John Wiley & Sons, Ltd., 2018.
WAGENSEIL, P. More Than 1,000 Android Apps Steal Your Data Without Permission Tom’s Guide. 2019.
https://www.tomsguide.com/ news/more-than-1000-android-apps-steal-your-data-without-permission .
(Accessed on 08/01/2019).
Postado há 29 de Agosto de 2019 por Marcelo Miranda