Após a decisão, muitos veículos de comunicação chegaram a informar que a LGPD entraria em vigor logo nesta quinta-feira, dia 27.08.2020. 

Veja também: Blog Solere: LGPD: Entenda o que ela é e os 06 conceitos principais da lei

No entanto, em nota, a Assessoria de Imprensa do Senado Federal esclareceu que a Medida Provisória ainda aguarda sanção presidencial para confirmar a vigência da LGPD, de acordo com o §12 do art. 62 da Constituição Federal.

Ainda assim, apesar das discussões sobre a entrada em vigor da LGPD, se mantém o entendimento de que as suas sanções só passarão a valer a partir de agosto de 2021, conforme a Lei 14.010/20. 

Veja também: Blog Solere: A LGPD no home office: como se adequar em tempos de quarentena

Também na última quarta-feira, foi aprovado o Decreto 10.474/20 que aprovou a Estrutura Regimental e Quadro Demonstrativo dos Cargos e Funções da Autoridade Nacional de Proteção de Dados. 

O Decreto dispõe sobre a estrutura organizacional, competências e funções da Autoridade Nacional que será responsável por garantir o cumprimento da Lei Geral de Proteção de Dados Pessoais. 

Veja também: Blog Solere: Como adequar sua empresa à Lei Geral de Proteção de Dados (LGPD)

Dentre as competências da ANPD previstas no Decreto estão: (i) zelar pela proteção de dados pessoais, (ii) elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, (iii) fiscalizar e aplicar sanções na hipótese de descumprimento da LGPD e (iv) apreciar petições dos titulares de dados quando suas reclamações ao controlador não forem solucionadas no prazo estabelecido em lei.

Este clipping de notícias é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

A atenção do legislador no processamento dos dados pessoais sensíveis estendeu-se às suas modalidades, sendo elas: com ou sem consentimento do titular. Frise-se, a regra geral é a do consentimento do titular, que deve ser inequívoco e dado unicamente para finalidades específicas. Entretanto,  a LGPD assegurou em hipóteses específicas a possibilidade do tratamento dos dados sensíveis sem o consentimento do titular.

Veja também: 10 dicas para navegar com segurança na internet

O rol de hipóteses de processamento desses dados sem consentimento está previsto no inciso II do art. 11 da LGPD. As hipóteses em que o controlador é capaz de ter acesso à essas informações sem consentimento do titular são: quando o tratamento é indispensável para cumprir obrigação legal do controlador, para a execução de políticas públicas, para a proteção à vida, à saúde e à segurança, para o fomento à pesquisa e fins judiciais e regulatórios.

Se a LGPD dedicou um trecho específico a esse cuidado mais restritivo, por que excepcionar o consentimento em algumas hipóteses?

Existem aspectos estratégicos que precisam ser assegurados. A finalidade pública, por exemplo, é norteada pelo interesse público, e visa a execução de competências legais e atribuições legais do serviço público para fins sociais, como eficiência da administração pública e segurança pública. 

No Brasil, a coleta de dados pessoais sensíveis atinge também setores como o eleitoral. O TSE, a partir de seu projeto piloto de 2008 vem coletando a biometria da população brasileira para fins eleitorais. De modo que há intensa discussão quanto ao uso, compartilhamento, e alteração da finalidade para demais instrumentos de identificação civil.

Evocando mais uma vez o dilema típico em matéria de tratamento de dados entre a compatibilidade com a tutela jurídica de dados pessoais e o direito à privacidade e as garantias constitucionais típicas de um Estado de Direito.

Veja também: Dados Pessoais no Marketing Político

A LGPD buscou deixar muito explícito que não há qualquer autorização para o compartilhamento generalizado e irrestrito de dados pessoais, com destaque para os dados sensíveis.

Ao revés, buscou especificar caso a caso quais são as hipóteses de processamento desses dados, quando dispensam o consentimento, qual a postura esperada do controlador quando de posse dessas informações, dentre outras medidas. Sobretudo, com a criação da Autoridade Nacional de Proteção de Dados (ANPD).

A ANPD é o órgão gestor da LGPD, responsável pela fiscalização e regulamentação no que se refere à coleta, ao tratamento e ao compartilhamento dos dados. A criação do órgão regulamentador e fiscalizador em combinação a toda estrutura legal proposta pelo legislador só reforçam o cuidado em prevenir danos aos titulares dos dados, sem que isso impeça a atuação dos controladores.

Todavia, é preciso destacar a necessidade de regulação complementar do conteúdo por parte da ANPD, desde logo considerada pela LGPD no art. 55-J, §3º.

Bem como os desafios que se impõem à prática, já que, a LGPD tem sua entrada em vigor prevista para 16/08/2020 e não só atividade na produção de regulação complementar não foi iniciada, como as atividades da ANPD sequer podem ser constatadas. Há quem considere o risco de sequer ter havido nomeação de seus membros quando da entrada em vigor da LGPD.

Veja também: Escuta e gravação de chamadas no ambiente de trabalho

Sobretudo, é preciso entender que para além dos desafios impostos pela realidade e com os quais a LGPD pretende lidar, de modo a garantir a relação de maior custo-benefício às partes. Assegurando a proteção aos direitos do titular dos dados, assim como os benefícios do controlador.

Há outros instrumentos capazes de facilitar a coexistência nessa relação, e um bom exemplo é o mecanismo de anonimização. Trata-se da possibilidade de anonimizar dados, retirando-se a informações que caracterizem a identificação do titular do dado, por meio de meios técnicos como inteligências artificiais.

Uma alternativa que vem sendo usada, por exemplo, para fins médicos. Uma vez que, com a anonimização dos dados do paciente, é possível utilizar os resultados para pesquisas acadêmicas sem, infringir dispositivos legais ou direitos dos titulares desses dados.

Apresentando-se como mais uma possibilidade para que se assegure que o tratamento de dados sensíveis caminhe em conformidade com sua finalidade e com o benefício ao titular. Sendo o tratamento de dados pessoais sensíveis de fato um mecanismo que viabilize o duplo benefício das partes envolvidas no processo.

Em conclusão, este texto procura tratar sobre quais situações que os dados pessoais sensíveis podem ser acessados com e sem o consentimento do titular. Este artigo é uma iniciativa da LGPD Soluções para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

Imagem: Shutterstock

Proteja seu sistema de informação!

Elabore uma cartilha de segurança específica para o home office, ou no contexto atual, ao menos diretrizes mínimas a respeitar.

Se os parâmetros de gestão do seu sistema de informação devem ser alterados para permitir a implementação do home office (alteração nas regras de habilitação, acesso dos administradores à distância, etc.), calcule os riscos incorridos e tome medidas apropriadas.

Veja também – Blog Solere: Guia para proteção dos dados dos empregados

Providencie em todas as estações de trabalho dos seus empregados ao menos um firewall, um antivírus e um bloqueio eficiente de malware.

Se possível, utilize uma rede de comunicação privada (VPN) para evitar exposição direta dos seus serviços na internet. Ative uma autenticação dois fatores!

Veja também – Blog Solere: 10 dicas para navegar com segurança na internet

Se os seus serviços são online:

Utilize protocolos que garantam a confidencialidade e autenticação do servidor destinatário (por exemplo HTTPS para os websites e SFTP para a transferência de dados, sempre usando as versões mais recentes destes protocolos). 

Aplique os últimos patchs de segurança aos equipamentos e programas utilizados (VPN, soluções de acesso remoto, servidores de mensagens).

Adote mecanismos de autenticação de dois fatores nos serviços acessíveis remotamente para limitar o risco de invasão.

Veja também – Blog Solere: Controle de ponto e de locais de trabalho

Consulte regularmente os registros de acesso dos servidores com acesso remoto para detectar serviços suspeitos.

Não deixe diretamente acessíveis as interfaces de servidores desprotegidos. De uma forma geral, limite o número de serviços disponíveis colocados à disposição ao estrito mínimo para reduzir riscos de ataques!

Em conclusão, este texto procura tratar sobre todas as precauções de segurança digital (alinhadas com a LGPD) que devem ser adotadas quando algum colaborador estiver trabalhando em regime de home office. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

Imagem: Pexels

As Startups de Healthtech trata dados pessoais sujeitos a uma regulamentação específica diariamente, pois os dados pessoais referentes à saúde são considerados sensíveis, em razão do seu alto risco aos direitos e liberdades das pessoas.

A depender do risco, poderá ser exigido, antes de implementar o tratamento, um relatório de impacto à proteção de dados pessoais. Também poderá ser exigido a pseudonimização de dados pessoais; criptografia dos dados armazenados do banco de dados ou nos dispositivos; e, hospedagem de dados com uma prestação de serviços certificado ou aprovados para esse fim.

Destaca-se que a Lei Geral de Proteção de Dados veda a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, ressalvadas hipóteses legais, bem como veda às operadores de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, na contratação e exclusão de beneficiários.

Leia mais: Blog Solere – Como integrar a Lei Geral de Proteção de Dados à sua startup?

O que são startups conhecidas como fintechs?

O ramo dos serviços financeiros e bancários deve desenvolver diversas soluções tecnológicas novas, reunidas sobre o termo geral startups tipo Fintechs. Nas empresas B2B e B2C, surgem questões sobre as noções fundamentais da LGPD relacionadas com temas como DSP2, Blockchain, KYC, etc.

Você já ouviu falar na “economia prateada”?

É um setor que reúne todas as atividades econômicas, industriais e de serviços pessoais que beneficiam idosos e lhes permitem melhorar sua qualidade de vida. A LGPD se aplica aos produtos e serviços oferecidos dentro desse ramo aos responsáveis pelo tratamento de dados pessoais (fornecedores, estabelecimentos de moradia ou assistência média) e a seus operadores (prestadores de serviços, parceiros comerciais etc.), cuja operação requer o tratamento de dados pessoais. 

Com o fim de garantir a confidencialidade, autenticidade e integridade dos dados processados, as medidas de proteção nesse setor devem ser adaptadas ao nível de sensibilidade dos dados e às capacidades de controle dos dispositivos. 

Leia mais: Blog Solere – LGPD: medidas de conformidade que empresas devem seguir

Ademais, quando há o processamento de dados de saúde, ou seja, dados pessoais sensíveis, determinadas regras específicas devem ser observadas, bem como medidas de segurança tais como pseudonimização de dados pessoais; criptografia dos dados armazenados do banco de dados ou nos dispositivos; e, hospedagem de dados com uma prestação de serviços certificado ou aprovados para esse fim.

E os objetos conectados? O que é o IoT?

Os objetos conectados são objetos equipados com meio de comunicação com ou sem fio (WI-FI, Bluetooth, 3G, etc.). Atualmente, é possível encontrá-los em todas as áreas como na automação residencial, no esporte, no bem-estar, nas atividades de saúde e no lazer. Devido a facilidade com que são integrados na vida cotidiana, a singularidade e o volume elevado de dados coletados e processados por eles, é essencial sua proteção. 

O risco mais significativo que esses objetos conectados geram é a reutilização maliciosa de informações pessoais roubadas para acessar outras contas online dessas pessoas, métodos de pagamento ou solicitações de crédito. Além dele, temos as ações direcionadas de pessoas mal-intencionadas dirigidas a crianças e familiares por meio de mensagens altamente personalizadas. Portanto, startups dessa área devem concentrar seus esforços para evitar que esses riscos.

Leia mais: Blog Solere – Glossário LGPD: Entenda os principais termos e suas diferenças

Em conclusão, este texto procura tratar sobre os diferentes tipos de startups existentes no mercado, tais como as healtechs, fintechs e o que significa o conceito de “economia prateada”. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

Implemente medidas de segurança de dados pessoais

Na proteção de dados pessoais se faz necessário implementar medidas técnicas e organizacionais apropriadas a fim de garantir um nível de segurança apropriado ao risco. Dessa maneira, a primeira etapa é identificar o tratamento de dados, quais são seus objetos e o suporte legal no qual eles se enquadram. 

Em seguida, é importante avaliar os riscos de cada tratamento, qual a sua fonte, as reais ameaças de cada forma de armazenamento de dados, quais as medidas de segurança existentes e previstas para cada risco. Também é fundamental estimar a gravidade e probabilidade dos riscos com relação aos elementos mencionados acima.

Leia mais: Blog Solere – Quais são as regras básicas de segurança virtual para empresas?

A partir dessa avaliação é que as medidas de segurança adequadas para o tratamento de dados realizado pela empresa deverão ser implementadas e monitoradas. Outra recomendação é a realização de auditorias periódicas de segurança.

Dentre as medidas de segurança indicadas, podemos citar as seguintes:

– O usuário deve ter consciência das questões de segurança e de privacidade, bem como ele deve ser reconhecido e autenticado;

– Limite o acesso aos dados necessários; 

– Rastreie o acesso e gerencie os incidentes. Dessa forma será mais fácil reagir a uma violação de dados;

– Tenha estações de trabalho seguras como forma de evitar acesso fraudulento, invasões por vírus ou por acesso remoto;

– Garanta a segurança dos dispositivos móveis; 

– Proteja a sua rede interna, seus servidores e seus websites;

– Faça backups regulares para minimizar o impacto de perdas indesejadas de dados;

– Arquive os dados de maneira segura, ou seja, arquive os dados dentro do período de conservação que não são mais usados;

– Inclua a manutenção e destruição de dados e garanta a segurança durante todo o ciclo de vida de hardware e software;

– Gerencie os operadores e supervisione a segurança de dados com os quais eles trabalham;

– Proteja o compartilhamento de dados pessoais com outras empresas; bem como os locais nos quais os dados são armazenados, as instalações que hospedam os servidores e softwares;

– Integre a segurança e a proteção de privacidade o mais cedo possível nos projetos;

– Garanta a integridade, confidencialidade e a autenticidade das informações por meio da criptografia, por exemplo.

Leia mais: Blog Solere – Como escolher a estrutura adequada para tratamento de dados?

Faça a anonimização ou pseudonimização de seus conjuntos de dados

Um erro muito comum é pensar que dados pseudonimizados são dados anônimos. A anonimização consiste no uso conjunto de técnicas a fim de tornar impossível, na prática, identificar qualquer pessoa por qualquer meio. Por ter como uma de suas características a irreversibilidade, não permite que o dado anonimizado seja objeto de novo tratamento de dados pessoais. 

Para verificar se um dado foi anonimizado, deve-se analisar se ele possui as seguintes características: 

– Individualização, ou seja, se é possível isolar um indivíduo;

– Correlação, isto é, se é possível vincular informações referentes ao mesmo indivíduo;

– Interferência, em outras palavras, se é possível deduzir informações sobre um indivíduo.

Caso o dado não possua as 3 características, ele é considerado pseudonimizado e, consequentemente, objeto de proteção da Lei Geral de Proteção de Dados Pessoais (LGPD). Diferente da anonimização que retira o dado pessoal do âmbito de proteção da norma, a pseudonimização é uma medida de segurança recomendada no tratamento de dados pessoais, mas ainda sujeita às normas da LGPD. 

Leia mais: Blog Solere – Dicas para aumentar a segurança digital da sua empresa

Em conclusão, este texto procura tratar sobre como evitar riscos e organizar a segurança dos seus dados de maneira correta e de acordo com os preceitos da LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

Como integrar um encarregado de dados (DPO – Data Protection Officer) na sua estrutura?

1. O papel do encarregado de dados

O encarregado de dados é um especialista em proteção de dados pessoais que monitora os processos de tratamento de dados para garantir que a empresa esteja em conformidade com a LGPD e as boas práticas do setor. Ele também será quem deverá intermediar os interesses da empresa e do titular de dados, além de ser o canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

2. Devo designar um DPO para a minha startup?

A LGPD impõe a indicação pelo controlador e operador de uma pessoa que funcione como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 41.

Leia mais: Blog Solere – O que é um DPO e qual sua função no contexto da LGPD?

Entretanto, a mesma lei prevê a possibilidade de que a autoridade nacional dispense a necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. 

Como a regulamentação pela ANPD ainda está pendente, todo aquele que realiza o tratamento de dados está obrigado a nomear um DPO.  

Quem designar para a minha startup?

O §4º do art. 41 da LGPD estabelecia as qualidades e as exigências necessárias para a nomeação do DPO, porém o parágrafo foi vetado. Assim, atualmente, não há qualquer restrição legal a pessoa que será nomeada para o cargo. 

Recomenda-se, entretanto, que a pessoa a ser designada possua qualidades e conhecimentos técnicos, autonomia profissional, e, se beneficie dos meios materiais e organizacionais, recursos e posicionamento que lhe permitam exercer suas tarefas.

Leia mais: Blog Solere – Qual é a base legal para o tratamento de dados de acordo com a LGPD?

Caso haja dentro dos quadros da Startup alguém que atenda a descrição acima, ela poderá ser nomeada. Do contrário, deve ser nomeado um encarregado externo para a proteção dos dados coletados por qualquer empresa, sejam startups ou não, de acordo com os preceitos da LGPD. 

O encarregado de dados externo pode ser pessoa física ou jurídica, por exemplo, um advogado ou uma empresa de consultoria especializada em proteção de dados. Nesse caso, deve ser firmado um contrato de prestação de serviço. 

Ressalta-se a necessidade prévia de verificar a confiabilidade do prestador de serviços, se ele possui ou não conhecimento suficiente das operações na sua área de expertise, a sua disponibilidade, bem como sua independência. 

No âmbito de cooperação entre Startups, é possível compartilhar a função do encarregado de dados externo. Inclusive, essa cooperação permite, além de compensar a ausência de recursos humanos suficientes, que a empresa se beneficie de uma competência e da disponibilidade de profissionais dedicado e limite os custos associados ao serviço de qualidade. 

Responsabilidade, prestador de serviços e operador

É comum que uma empresa recorra a operadores no âmbito de um serviço ou de uma prestação de serviço em seu nome ou sob as suas instruções (provedor de serviços de TI, empresa de serviços de TI, agências de comunicação). Em caso de pluralidade de atores, é importante deixar claro o papel de cada um dentro do tratamento de dados pessoais.

Leia mais: Blog Solere – Glossário LGPD: Entenda os principais termos e suas diferenças

Assim, o responsável pelo tratamento de dados, controlador, é quem define os propósitos e os meios do processamento, ou seja, para que o processamento é usado e como os dados serão tratados. O operador é a pessoa física ou jurídica que processará os dados pessoais em nome de um controlador de dados.  

Se você fizer uso de operadores como parte de sua atividade e que processarão seus dados sob as suas instruções, deve-se estabelecer essa relação por meio de um contrato. O objetivo da formalização da relação com um contrato é garantir que os dados pessoais confiados aos operadores estejam protegidos. 

Inversamente, se você for o operador, a LGPD prevê como sua obrigação manter um registro que lista todas as categorias de atividades de processamento que você realiza em nome de seus clientes.

Em conclusão, este texto procura tratar sobre como integrar os preceitos da LGPD às empresas tipo startups. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

]]> https://lgpdsolucoes.com.br/blog/lgpd-tecnologia/ Fri, 14 Aug 2020 17:00:26 +0000 http://compliancelgpd.com.br/?p=1253 A entrada da tecnologia no cotidiano é tão impactante que a habilidade com aparelhos, plataformas e sistemas operacionais é quase inata aos que nascem imersos nesse ambiente. A tecnologia, de 20 anos para cá, veio como água infiltrando e preenchendo pequenos e grandes espaços e se adequando às demandas da sociedade.

Ela, a tecnologia, está em todos os lugares. Talvez, ainda, de uma forma menos megalomaníaca do que os filmes futuristas previram, mas ainda assim como recurso vital ao funcionamento de muitos ambientes do mundo de hoje. Ocorre que, em tempos de pandemia, essa percepção cresceu ainda mais. A tecnologia vem possibilitando o home office, o acesso mais rápido à informação, a minimização das fronteiras físicas e geográficas – já que mensagens, vídeos e áudios garantem uma interação mais instantânea e real – dentre muitas outras possibilidades.

Leia mais: Blog Solere – Glossário LGPD: Entenda os principais termos e suas diferenças

Em reportagem publicada pela Exame, em março de 2020, o coronavírus fez crescer exponencialmente o uso de plataformas eletrônicas, de games e do streaming. Jogos com transmissão eletrônica superaram a marca de 60 mil espectadores simultâneos. Há pesquisas que apontam que com o isolamento social os padrões de consumo e uso de dados tiveram alterações expressivas, contando com picos de tráfego mais rotineiros.

Ok, mas onde está o problema nisso tudo? Todo uso mais intenso de um recurso traz em seu processo a demonstração de suas fragilidades. O que, em matéria de proteção de dados combina o dilema da liberdade de expressão e da privacidade. Se as relações em um cotidiano fora da pandemia já se tornavam cada vez mais eletrônicas, o COVID-19 só veio para intensificar o processo. Levando inúmeras plataformas a tornarem-se intermediárias das relações e mecanismos de interação. A grande questão, portanto, é compreender se em meio a esse contexto de aumento da utilização dos recursos vem sendo acompanhado da tomada de medidas para o aumento da conformidade às previsões legais.

Leia mais: Blog Solere – Como adequar sua empresa à Lei Geral de Proteção de Dados (LGPD)

O caso da plataforma de reuniões Zoom, que foi notificada pelo Ministério da Justiça sobre possível vazamento de dados de usuários, ou ainda do Houseparty, cujos usuários alegaram invasão de hackers por meio do app, são alguns exemplos. O que pode ser feito para minimizar esses riscos? Estar em conformidade e conhecer bem as previsões da LGPD no que tange a tecnologia e os dados. A lei de proteção de dados prioriza o elo mais frágil de todo esse contexto, o usuário, mas vale lembrar que ela é favorável a todos envolvidos. 

Garantir segurança, demonstrar conformidade, promover os relatórios em que se demonstre a finalidade, o tempo de uso, os limites, entre muitas outras ações que o tratamento de dados envolve só traz credibilidade aos operadores, controladores e às empresas em si. A adequação da tecnologia às previsões da LGPD são um caminho sem volta e que demanda tempo, por isso é recomendável que seja feito logo e gradualmente. O adiamento da entrada em vigor da lei deu tempo de sobra para isso, mas vale lembrar que quanto antes adequados à norma, melhores os efeitos às partes dessa relação. E, quem sabe, menos frequentes os casos de violações.

Leia mais: Blog Solere – Dicas para elaborar projetos de TI de acordo com a LGPD

Em conclusão, este texto procura tratar sobre o aumento do consumo da tecnologia no nosso cotidiano e como isso se relaciona com a Lei Geral de Proteção de Dados (LGPD). Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

O trabalho remoto, regulamentado no Brasil pela Lei Federal nº. 13.467/2017, para além de aspectos de viabilidade, envolve também uma infraestrutura mínima de tecnologia da informação para proteção e uso de dados. O que ganhou ainda mais enfoque diante do adiamento da LGPD, por força da MP 959/2020. Como compreender os impactos do home office quanto aos desafios de adequação da LGPD? Como o adiamento pode impactar isso?

Para responder a esses questionamentos é possível organizar o assunto em alguns tópicos. O primeiro é: Organização. É preciso que as empresas e os trabalhadores entendam o cenário como atípico e, por isso, que demanda ainda mais cuidados e atenção. O tema da proteção de dados é um assunto urgente e de interesse internacional, adequar-se às demandas que já existem e que se estenderão ao futuro não é negociável ou meramente opcional.

Leia mais: Blog Solere – A LGPD e o home-office: como garantir a proteção de seus dados?

Os desafios do trabalho remoto são inúmeros. Há limitações infraestruturais, de compliance e segurança… O esforço deve ser conjunto e constante. Para as empresas que não utilizavam o home office os cuidados quanto à proteção e uso de dados devem ser enormes. É preciso que adotem, com o apoio da equipe de TI soluções para fins de segurança ao trabalho. A organização se torna decisiva, pois é muito importante a montagem de estrutura que fortaleça a conscientização e o treinamento dos profissionais, garantindo a passagem por esses tempos da melhor e mais segura forma possível.

Segundo ponto, a LGPD, desde logo, aponta para uma demanda atual e futura. O tema do tratamento de dados veio para ficar e a adequação gradual e efetiva é muito mais eficiente e proveitosa a todos os envolvidos. Especialmente, em tempos de pandemia a proteção e o uso de dados podem estar comprometidos com o home office e falta de sistemas de segurança eficazes para essa modalidade de trabalho. O isolamento social, e o adiamento da LGPD não são justificativas para a postergação da implementação de medidas de segurança da informação.

A MP 959 não estendeu tanto o prazo. há que se agir logo. Postergar a vigência da LGPD para maio de 2021, ainda que tenha trazido um fôlego para os atrasados em matéria de adequação, não trouxe uma folga tão grande. Os cerca de 6 meses de prazo extra reforçam ainda mais como as empresas estão conscientes sobre a importância do tratamento adequado dos dados pessoais de seus stakeholders.

Leia mais: Blog Solere – Aplicativo Zoom demonstra fragilidades na segurança e ganha atenção de usuários durante a pandemia

Nesse sentido, é perceptível que, ainda que concedido adiamento da LGPD, não há dúvidas sobre a importância e necessidade de regulação da matéria. O tema veio para ficar e pretende preencher lacunas e brechas que carecem completude. O tema não se limita ao Brasil, ganha nível global. Os países da União Europeia, inclusive, já estão adequados ao GDPR – lei análoga à LGPD brasileira.

A proteção de dados está em todos os setores. Atinge usuários individuais, empresas, grandes companhias e o Estado. O cuidado vai de contratos, documentos, manuais de compliance, sistemas de segurança, a ferramentas mais complexas. Adequar-se à LGPD é um processo minucioso e demorado, que demanda atenção imediata. 

Por isso, com a crescente do trabalho remoto, isso só aspira cuidados ainda maiores. O vazamento de dados, o descumprimento de códigos de segurança e de medidas procedimentais torna-se ainda mais suscetível. Mais do que nunca, ainda que sem a LGPD vigente, o home office promove impacto direto na adoção de medidas para a proteção e uso de dados. O risco de prejuízos imensuráveis não vale a pena.

Leia mais: Blog Solere – LGPD: Entenda o que ela é e os 06 conceitos principais da lei

Em conclusão, este texto procura tratar sobre como se adequar à LGPD trabalhando em regime de home office durante a quarentena. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

Ocorre que, ainda que os números sejam altos, a parcela da população que possui acesso à rede já configura índices altos e desafiadores. A mesma pesquisa divulgou que cerca de 181,9 milhões de pessoas acessa a rede no Brasil. Mais do que nunca a qualidade no conteúdo que o usuário recebe como destinatário da informação precisa ser impecável. Como garantir acesso à informação de forma mais igualitária e homogênea, portanto?

Leia mais: Blog Solere – Microtargeting e a LGPD contra a disseminação de fake news

Os Provedores de aplicação, como, por exemplo, as redes sociais, têm atuado de forma impactante nesse sentido. Considerando o contexto de pandemia problemático, por si só, diversas plataformas adotaram medidas como:  (i) ajustes em suas diretrizes da comunidade (Community Standards), (ii) verificação maior de conteúdos com o uso de bots para evitar fake news sobre coronavírus, (iii) uniram-se a organizações de saúdes para a divulgação de informações mais esclarecedores sobre a doença e (iv) impediram o disparo de informação desenfreado e automatizado durante o período de COVID-19, como é o caso do Whatsapp no Brasil.

Leia mais: Blog Solere – A remoção de conteúdo à luz da Lei Geral de Proteção de Dados

Ainda que a atuação das plataformas ocorra sob algumas críticas, pertinentes, de riscos à liberdade de expressão e da ausência de regulamentação específica no que se refere à atuação que apresentam. Vale destacar que, para além da enxurrada de informações que chegam aos usuários, é preciso que haja qualidade nesse conteúdo. Caso contrário, o efeito é reverso. Assemelhando a um emaranhado de fios, repleto de nós e  que impede a fluidez e de fato a interpretação da informação.

Por isso, atuar no esclarecimento dos dados, na verificação da veracidade, na priorização de fontes confiáveis é essencial. Em consonância a isso, a LGPD veio na busca do preenchimento de lacunas, e para promover esse cuidado, beneficiando titulares dos dados, operadores, controladores e demais partes envolvidas na relação. A informação é vital, há quem considere os dados o novo petróleo, mas ela deve chegar ao destinatário de forma segura e eficaz.

Leia mais: Blog Solere – Aplicativo tecnológico que ajudou a Cingapura a vencer a batalha contra o Covid – 19 e alternativa em utilização no Brasil

Em conclusão, este texto procura tratar sobre como combater as fake news durante a pandemia do coronavírus. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.

Em primeiro lugar, gerenciar os dados pessoais que foram coletados é uma atividade que possui a obrigação de manter registradas as operações de tratamento de dados de acordo com o que prevê o artigo 37 da LGPD.

O registro dos dados é um documento de levantamento e análise do tratamento de dados pessoais realizado que deverá refletir a realidade dos processos de tratamento, bem como identificar:

– as partes interessadas/envolvidas;

– as categorias de dados processados;

– para que serve o tratamento, quem acessa aos dados e com quem eles são comunicados;

– o prazo de conservação;

– como funciona a segurança dos dados.

Além de uma obrigação jurídica, o registro é, sobretudo, uma ferramenta de orientação para verificar se a atividade está em conformidade com a LGPD. Ele permite documentar e obter uma visão geral dos processos de tratamento de dados. 

Leia mais: Blog Solere – Dicas para elaborar projetos de TI de acordo com a LGPD

2. Defina uma finalidade para os dados pessoais

A finalidade corresponde ao uso que você fará com aqueles dados coletados. Esse fim deve ser respeitado durante toda a construção e seu uso nos processos de tratamento de dados. Ela deve ser clara, compreensível e respeitada. Não é possível usar os dados para outro objetivo além daquele definido. 

3. Verifique a pertinência dos dados pessoais

Os dados coletados devem ser apenas aqueles estritamente necessários para atender a finalidade definida. 

4. Trata-se de um dado pessoal sensível?

Os dados pessoais sensíveis são as informações que revelam a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou associação a sindicatos dos seus titulares. Também são considerados dados sensíveis informações genéticas, biométricas, os dados relacionados à saúde, vida sexual ou orientação pessoas das pessoas.

Em razão dessa sensibilidade, o tratamento desses dados só é possível em hipóteses limitadas previstas no art. 11 da LGPD.

Leia mais: Blog Solere – Melhores soluções para armazenamento de dados

Devo fazer um relatório de impacto à proteção de dados pessoais? Se sim, como?

Quando um tratamento de dados pessoais representa um risco elevado para os direitos e liberdades das pessoas envolvidas, um relatório de impacto sobre a proteção de dados deve ser elaborado.

A princípio compete à Agência Nacional de Proteção de Dados estabelecer quais são as operações de tratamento para as quais o relatório é obrigatório. Essa lista ainda não foi criada, contudo, é possível extrair da legislação internacional que o tratamento que preenche ao menos 2 dos 9 critérios da European Data Protection Board deve elaborar esse relatório de impacto.

Os 9 critérios consistem em: 

– Avaliação/scoring, os quais incluem comparação/criação de perfis; 

– Decisão automatizada com efeito legal ou similar;

– Vigilância sistemática; 

– Coleta de dados sensíveis ou altamente pessoais; 

– Coleta de dados pessoais em larga escala;

– Cruzamento de dados;

– Tratamento de dados pessoais de vulneráveis (idosos, crianças e adolescentes, por exemplo);

– Uso inovador (uso de novas tecnologias);

– Exclusão do benefício de um direito/contrato

Como instalar a portabilidade de dados?

O direito à portabilidade oferece às pessoas a possibilidade de recuperar uma parte de seus dados em um formato aberto e legível por máquina. Elas podem também recuperar esses dados com um propósito de uso pessoal, de armazenamento em um dispositivo ou nuvem de dados privada, por exemplo. 

Ademais, é possível que as pessoas escolham transferir seus dados pessoais de uma empresa para outra, seja por ela mesma, seja diretamente pela empresa que detém os dados – ressalvadas as hipóteses em que a transferência direta entre empresas não seja tecnicamente possível. 

Leia mais: Blog Solere – A LGPD e o armazenamento de dados pessoais na nuvem (cloud computing)

Como gerenciar as transferências internacionais de dados de acordo com a LGPD?

Em regra, a transferência internacional de dados é permitida nos casos em que os países internacionais ou organismos internacionais proporcionam grau de proteção de dados pessoais adequados ao previsto pela LGPD.

Também é possível a transferência quando forem oferecidas e comprovadas garantias de cumprimento dos princípios, dos direitos do titular de dados e do regime de proteção de dados previsto na Lei nacional. Outras hipóteses em que se permite a transferência são casos de cooperação internacional; obrigação legal; proteção da vida ou incolumidade física do titular ou terceiro; ou quando a autoridade nacional autorizar.

Em conclusão, este texto procura tratar sobre como gerenciar os dados em conformidade com a LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.