LGPD PARA EMPRESAS - Alexandre Atheniense · 2019-07-10 · 2 LGPD PARA EMPRESAS SÃO PAULO Avenida...

www.atheniense.com

1LGPD PAR A EMPRESA S

www.atheniense.com

EMPRESASLGPD PARA

30 anos

www.atheniense.com

2 LGPD PAR A EMPRESA S

SÃO PAULO

Avenida Paulista 1079,Torre João Salem, 8º andar São Paulo - SP55 11 99901-8128

BELO HORIZONTE

Avenida Afonso Pena,4273, 4º andar Belo Horizonte - MG55 31 3318-1414

BRASÍLIA

SCS, Quadra 09, Bloco C, Torre C, 10º andarComercial Sul, Brasília55 61 99622-8128

www.atheniense.com


Photo by Sean Pollock on Unsplash

www.atheniense.com


Com a sanção da Lei Geral de Proteção de Dados, o que antes era considerado boas prá-ticas agora passará a ser obrigação. A equipe de Alexandre Atheniense Advogados está preparada para guiar empresas de todos os tamanhos no processo de adequação à LGPD.

A seguir, algumas competências envolvidas:

Proteção de dados pessoais:

Avaliação das lacunas e riscos jurídicos e operacionais sobre a proteção de dados pessoais, elaboração de um plano de ação para implantação de medidas visando a conformidade legal, revisão de contratos, regulamentação interna, relativa à privacidade e proteção de dados, medidas de enfrentamento dos incidentes, consultoria junto a desenvolvedores de softwares para adequações sistêmicas e de processos internos necessárias à confor-midade com a LGPD, GDPR e outras normas de proteção de dados.

Segurança cibernética

Avaliação e elaboração de um plano de ação para suprir as lacunas jurídicas, sistêmicas e estratégicas quanto à segurança da informação, tais como: elaboração de regulamen-tação interna, obrigações legais, políticas e procedimentos internos quanto ao uso das informações digitais que revelem fatores de risco jurídico, e a necessidade de adoção de medidas para enfrentamento de incidentes de segurança da informação.

Reputação digital

Análise e preservação de provas em conformidade legal de conteúdos gerados por tercei-ros como comentários, críticas falsas, fake news, perfis falsos e ataques ofensivos que fo-rem divulgados e indexados com relevância nas principais ferramentas de busca e redes sociais, que revelem fatores de risco e necessidade de adoção de medidas extrajudiciais ou judiciais para proteger a reputação da organização na maior brevidade possível.

Compliance

Elaboração e implantação de um conjunto de medidas para fazer cumprir as normas le-gais e regulamentares, políticas, regras e diretrizes estabelecidas para o negócio e para as atividades da organização, bem como, evitar, detectar e tratar qualquer desvio ou des-conformidade.

Governança Digital Corporativa

O somatório das consultorias jurídicas anteriores forma o escopo da Governança Digital Corporativa. Em outras palavras, trata-se de assessoria jurídica contínua para mutuamen-te fiscalizar os mecanismos de controle sobre todas as atividades da organização envol-vendo o tratamento de dados pessoais, segurança cibernética, incidentes de reputação digital e compliance, bem como, o breve enfrentamento jurídico de incidentes nessas áreas para reduzir os danos inerentes.

Sobre o Alexandre Atheniense Advogados

www.atheniense.com


Sobre o Alexandre Atheniense Advogados 4

O que você vai aprender neste guia? 5

LGPD para empresas 6

1. Os termos mais importantes para entender a LGPD 8

2. O que os empresários precisam saber sobre a LGPD 10

3. Proteção de dados pessoais agora tem um valor e a irresponsabilidade tem um preço 12

4. O que vai mudar na rotina das empresas 15

5. O que as pessoas podem fazer com os seus dados pessoais tratados pela empresa? 16

6. O espírito da lei: a LGPD e seus princípios 17

7. Os fundamentos legais do tratamento dos dados pessoais 20

8. Mãos à obra: 10 passos para executar um plano para começaro trabalho de adequação à LGPD 23

9. A proteção de dados pessoais como pilar da Governança Digital Corporativa 30

10. Conclusão 34

O que você vaiaprender neste guia

www.atheniense.com


LGPD para empresasAlexandre Atheniense Sócio fundador de Alexandre Atheniense Advogados1

mpresários precisam estar atentos aos menores detalhes da sua organização e da vida de seus colaboradores e fornecedores so-bre assuntos societários, financeiros, negócios e outros mais.

Nessas atividades, a empresa deve resguardar sigilo. A ética profissio-nal é uma questão de sobrevivência.

O problema é que guardar um segredo nem sempre é uma escolha.

Uma empresa não pode ser forçada a revelar seus segredos de negócio, mas não se pode dizer o mesmo dos computadores.

Google, Visa, o Pentágono, o Tribunal Superior Eleitoral no Brasil, além de vários bancos e bases de dados públicas protegidas com sistemas considerados extremamente seguros já foram invadidos, expondo in-formações pessoais de centenas de milhões de pessoas.

Isso sem mencionar a extensa lista de personalidades que já tiveram sua intimidade exposta online. Quem pode dizer que está seguro neste mundo?

Empresários também estão na mira. Já foi há muito tempo a era ro-mântica dos hackers, quando garotos invadiam computadores pelo prazer de superar o desafio de acessar ambientes protegidos.

O cybercrime tornou-se uma atividade extremamente lucrativa e em franco crescimento, porque ainda encontra um mundo desprotegido, que guarda tesouros digitais com cadeados frágeis e senhas previsí-veis.

1 Colaboraram neste guia Lucas Balsemão, Pedro Resende, Alexandre Secco e Gabriel Attuy

E

www.atheniense.com


Embora não se trate do assunto abertamente, aqui mesmo no Brasil já tivemos vários casos de empresas que tiveram seus computadores acessados sem autorização, dados sequestrados mediante pedidos de resgate, sob ameaça de destruição das in-formações e divulgação de docu-mentos sigilosos na internet.

Qualquer empresa é um grande depósito de informações sensí-veis e de grande valor, seja nos emails trocados internamente pelos sócios ou na documenta-ção arquivada: detalhes sobre a esfera privada de clientes e cola-boradores, patentes, contratos comerciais, preços e valores, etc.

O potencial de dano decorren-te da exposição pública dessas informações é incalculável. É nesse contexto a enorme im-portância para os empresários a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, sanciona-da em agosto de 2018 no Brasil e com vigência a partir de 14 de agosto de 2020.

O período de adequação pode pa-recer longo, mas não é. O “dever de casa” é complexo e precisa co-meçar desde já, sobretudo, para as empresas que sejam alvo da GDPR - General Data Protection

Regulation, vigente desde 25 de maio de 2018, ou de outras leis de proteção de dados interna-cionais, em decorrência do tra-tamento de dados pessoais de colaboradores ou clientes es-trangeiros.

A LGPD dita normas sobre tra-tamento de dados pessoais, de pessoas físicas, o que atin-ge diretamente advogados que atuam em qualquer área do Di-reito onde ocorra a necessidade de lidar com informações des-ta natureza. Além disso, coloca em evidência a necessidade de seguir várias obrigações legais, que antes eram apenas boas prá-ticas no trato da informação. As punições em caso de desconfor-midade legal são pesadíssimas...

Podem variar entre punições ad-ministrativas, condenações judi-ciais, multas contratuais e, a pior delas, um considerável impacto na reputação profissional. As multas são pesadíssimas poden-do chegar a 50 milhões de reais por infração.

O cumprimento das regras é obrigatório e vale para empre-sas de todos os tamanhos, de uma microempresa numa cidade do interior, a uma grande e lu-

www.atheniense.com


crativa sociedade anônima.

A proposta deste guia é apresentar de forma dirigida especialmente para empresários ou colaboradores das empresas que estarão envolvi-dos sobre o tema, um roteiro com dez pontos de atenção, para execu-ção passo a passo, de forma prática, concisa, com base na nossa expe-riência profissional em diversas consultorias jurídicas em andamento.

1. Os termos mais importantes para entender a LGPD

Agentes de tratamento

O controlador da base de dados: pessoa física ou jurídica, de direito pú-blico ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais.

O operador da base de dados: pessoa física ou jurídica que realiza o tratamento de dados pessoais estritamente conforme as obrigações e finalidades definidas pelo controlador.

Anonimização

A lei define o que são dados anonimizados e também o processo de anonimização. Um dado anonimizado é aquele que não permite identi-ficar o titular, por ter sido tratado de alguma forma, como criptografia, ou quando são excluídas informações de modo a impedir associação direta ou indireta a uma pessoa. A lei define que dado anonimizado é: “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.

www.atheniense.com


Autoridade Nacional de Proteção de Dados

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

Dados pessoais

Segundo a lei, é uma “informação relacionada à pessoa natural identi-ficada ou identificável”. Tudo que possa identificar direta ou indireta-mente uma pessoa como nome, números de documentos, fotografias, registros biométricos, etc; ou, indiretamente, dados que podem ser cruzados, ou que podem levar a informações, como um email corpora-tivo, ou um endereço IP.

Dados sensíveis

Aqueles que podem resultar em danos imediatos caso sejam divulga-dos indevidamente, Seu tratamento requer cuidados especiais e eles só podem ser solicitados para finalidades específicas. Entre eles, estão os dados sobre: origem racial ou étnica, convicção religiosa, opinião po-lítica, filiação a sindicato, filiação religiosa, sobre a saúde, sobre a vida sexual, dados genéticos, informações biométricas.

Dados de crianças e adolescentes

O tratamento de dados de crianças e adolescentes também requer cui-dados especiais e só pode ser realizado com o consentimento específi-co de um responsável.

Encarregado de tratamento de dados pessoais

Pessoa indicada pelo controlador para atuar como canal de comunica-

www.atheniense.com


ção entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

Titular dos dados pessoais

O titular dos dados é sempre uma pessoa física. Nos termos da lei: “pes-soa natural a quem se referem os dados pessoais que são objeto de trata-mento” (leia a seguir o significado de “tratamento”).

Tratamento de dados pessoais

Uma das definições mais importantes preceituadas na lei é a do tra-tamento de dados. Tratamento é a expressão usada na lei que serve como um guarda-chuva para uma série de procedimentos envolvendo dados. Exemplos de ações de tratamento:

2. O que os empresários precisam saber sobre a LGPD

Toda longa jornada começa com um primeiro passo. O processo de ade-quação à LGPD será mais fácil se todos os escritórios estiverem familia-rizados com os conceitos da lei, seus objetivos e peculiaridades. Lista-mos 13 pontos essenciais sobre a lei, que dizem respeito diretamente as empresas.

. Coleta. Produção. Recepção. Classificação. Utilização. Acesso. Reprodução

. Transmissão. Distribuição. Processamento. Arquivamento. Armazenamento. Eliminação. Avaliação

. Controle. Modificação. Comunicação. Transferência. Difusão. Extração

www.atheniense.com


1. A adequação à LGPD não é “só um problema do pessoal de informática”. Como dizem os especialistas, é transversal, envol-ve todos os níveis de decisão e operação, em todas as áreas da empresa, da base ao topo.

2. A LGPD é obrigatória para todas empresa de todos os ta-manhos.

3. As penalidade são muito pesadas para quem cometer infra-ções. As multas,conforme a gravidade, podem chegar a 2% do faturamento líquido anual, limitadas a 50 milhões de reais por infração, podendo ser aplicadas cumulativamente.

4. O processo de adequação é relativamente complexo e envol-ve uma ampla revisão das políticas de segurança e adoção de novos procedimentos.

5. A lei já foi aprovada e entra em vigor em agosto de 2020.

6. A lei tem uma abrangência ampla, vale para o tratamento de dados realizado no Brasil ou quando os dados forem coletados de pessoas no Brasil.

7. A LGPD vale para tratamento de dados digitais, ou não, fora, ou dentro da internet.

8. A lei abrange apenas dados de pessoas físicas.

9. Em caso de vazamento, ou quando for solicitado, cabe ao controlador demonstrar que os dados foram obtidas segundo as regras da LGPD.

10. O titular tem o direito de ter acesso aos dados, exigir corre-ções e revogar o consentimento de uso.

11. Em caso de vazamento ou uso indevido dos dados é obri-gação do controlador da base de dados pessoais tomar as me-

www.atheniense.com


didas para mitigar os danos, informar sobre o vazamento e res-ponder pelo prejuízo causado.

12. O objetivo da lei é assegurar a titularidade de dados pes-soais e garantir os direitos fundamentais de liberdade, intimi-dade e privacidade, além dos demais previstos na LGPD.

13. Caberá às empresas, ou aos chamados “agentes de trata-mento” um inventário detalhado de como a lei interfere em suas atividades.

3. Proteção de dados pessoais agora tem um valor e a irresponsabilidade tem um preço

A economia de dados pessoais tem tomado proporções cada vez maio-res no mundo contemporâneo. Chamados de “O Novo Petróleo”, os da-dos pessoais têm enorme potencial para aumentar a produtividade de atividades já existentes e de criar modelos de negócios completamente novos. Para muitos especialistas, estamos entrando na era da economia de dados.

Dados sobre reservas de passagens e hotéis revelam para onde vamos; pagar o supermercado com cartão permite saber como nos alimenta-mos; uma ficha de atendimento médico mostra nosso estado de saúde. Há vários exemplos de uso indevido desses tipos de dados. Na esfera pública, a coleta de informações de perfis pessoais em redes sociais per-mitiu a interferência no plebiscito que decidiu pela saída do Reino Uni-do da Comunidade Europeia e na campanha pela eleição do presidente Donald Trump, nos Estados Unidos.

No âmbito pessoal, já se sabe que empresas de seguros e instituições financeiras cruzam dados pessoais para recusar pedidos de crédito e ne-

www.atheniense.com


gar reembolso de despesas com saúde. Candidatos são eliminados de processos de seleção a partir de informações que eles próprios forneceram em suas redes so-ciais. A cada dia, aparecem novos detalhes de como o Google, o Fa-cebook e outras empresas de tec-nologia vêm atravessando todos os limites éticos para transformar nossos dados pessoais em negó-cios.

Portanto, é obrigação dos mem-bros do board participar direta-mente das decisões sobre o as-sunto pois, caso ocorram sanções, as responsabilidades ou even-tuais multas não recairão sobre os colaboradores da área ope-racional, mas na figura daqueles que exercem o poder diretivo.

Engana-se quem compreende que o processo de adequação ou a gestão corporativa digital de-vam ser exercidos apenas como meio de reduzir riscos relaciona-

É equivocado pensar que o projeto de adequação à LGPD é mais uma atividade da área de TI. Trata-se, na verdade, de um dos pilares da Governança Digital Corporativa.

dos ao tratamento de dados. A abordagem deve ser ampla, pois sabemos que se trata de uma mu-dança cultural e multidisciplinar nas empresas envolvendo a parti-cipação direta de setores estraté-gicos como recursos humanos, ju-rídico, tecnologia e segurança da informação, marketing, controla-doria, compliance entre outros.

A Lei Geral de Proteção de Dados pode ser comparada, em vários aspectos, ao Código de Defesa do Consumidor. São criados uma sé-rie de direitos e deveres para pes-soas e empresas que podem ter consequências profundas no mo-delo e organização corporativa de um negócio. Assim como toda nova regulação, traz desafios e oportunidades para as empresas que se adequarem de imediato.

Com a vigência da LGPD, a pro-teção de dados será encarada como um bem imaterial valioso e quantificável. Os dados pessoais adquiriram valor próprio. Por con-sequência, o risco e a responsabi-lidade serão compartilhados com colaboradores e fornecedores que tratam dados pessoais, mas as penalidades recairão sobre o board.

Pense nisso! É hora de começar...

www.atheniense.com


3.1. Aspectos positivos: diferencial de mercado, competitividade, confiança, transparência

As leis de proteção de dados pessoais já estão presentes em mais de cem países. A GDPR e a LGPD são leis transnacionais, ou seja, para que uma empresa brasileira possa expandir seus negócios destinados à União Eu-ropéia, é necessário estar em conformidade com ambas legislações. Por-tanto, a adequação imediata das empresas brasileiras às leis de proteção de dados é mandatória e se torna vantagem competitiva de mercado, seja ele externo ou interno.

3.2. Aspectos negativos: incidentes e penalidades

Vivemos na era dos negócios nas plataformas digitais. Vazamentos de dados são noticiados continuamente. As bases de dados pessoais das empresas são atrativos tanto para o mercado lícito quanto para o mer-cado ilícito de informações, os quais lucram a partir da obtenção e re-venda de tais bases de dados para finalidades distintas daquelas para as quais os cidadãos cederam as informações.

Nesse contexto, um incidente de segurança pode acarretar diversas penalidades aplicáveis mesmo antes da vigência da LGPD, mediante a atuação do Ministério Público. No contexto de vigência da LGPD, quem ficará encarregado de fiscalizar e aplicar as sanções administrativas será a Autoridade Nacional de Proteção de Dados. Essas sanções admi-nistrativas compreendem a aplicação de multas, entre outras medidas, veja:

. Advertência, com indicação de prazo para adoção de medidas corretivas;

. Multa simples, de até 2% do faturamento da empresa ou conglomerado no Brasil, limitada, no total, a R$ 50 milhões por infração;

www.atheniense.com


Além das penalidades administrativas, existem os riscos judiciais de-correntes de ações indenizatórias como consequência do uso indevido dos dados, que podem ser movidas pelo Ministério Público e pelos titu-lares dos dados tratados.

Por último e, talvez a pior consequência, está o dano reputacional. Toda reputação empresarial é construída ao longo de anos de atuação e qualquer abalo a essa reputação pode ter efeitos catastróficos nas vendas e no faturamento. Nesse sentido, a empresa que estiver em conformidade, terá todas as obrigações legais atendidas, o que evitará aplicações de sanções mais pesadas, além de contar com o acompanha-mento de uma equipe especializada e treinada, pronta para responder a esses desafios e evitar uma exposição indevida e negativa do nome da empresa.

4. O que vai mudar na rotina das empresas

Será necessário abandonar velhos hábitos e adquirir outros novos. O caminho da conformidade à LGPD não tem uma reta de chegada. É um processo contínuo, portanto, não espere encerrar a questão do dia para noite. Tão importante quanto estar conforme é se manter conforme . A lei preceitua a necessidade de construir uma cultura de valoração dos

. Multa diária, observado o limite acima;

. Publicização da infração após devidamente apurada e confirmada a sua ocorrência, o que pode acarretar severos danos reputacionais;

. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

. Eliminação dos dados pessoais a que se refere a infração.

www.atheniense.com


dados pessoais, a exemplo do que ocorreu no passado em relação aos direitos individuais relativos às relações de consumo.

Será necessário abandonar velhos hábitos e adquirir outros novos. Ta-refas rotineiras como solicitar informações a um cliente por e-mail exi-girão alguma camada extra de proteção. Portanto, paciência.

Para tornar as coisas ainda mais desafiadoras existem muitos dispositi-vos que ainda precisam ser regulamentados e já deixam margem para dúvidas. Por isso, além de paciência será preciso manter a atenção e percorrer o caminho da adequação com segurança, pois é possível que durante o processo alguns incidentes venham a acontecer e necessita-rão ser enfrentados na maior brevidade possível.

Esse guia tem a ambição de ajudar a introduzir a discussão dentro dos escritórios de advocacia de todos os tamanhos, para ajudá-los a dar os primeiros passos em segurança.

5. O que as pessoas podem fazer com os seus dados pessoais tratados pela empresa?

Segundo a LGPD, toda pessoa “tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade” (artigo 17 da LGPD). Diz ainda: “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante re-quisição” (artigo 18 da LGPD). São direitos dos titulares:

. Confirmação da existência de tratamento.

. Acesso aos seus dados pessoais.

www.atheniense.com


6. O espírito da lei: a LGPD e seus princípios

A LGDP preceitua dez princípios aos quais todo empresário deve estar alerta.

PRESTAÇÃODE CONTAS

NÃO DISCRIMINAÇÃOFINALIDADE

ADEQUAÇÃO

NECESSIDADE

LIVRE ACESSO

QUALIDADEDOS DADOS

TRANSPARÊNCIA

SEGURANÇA

PREVENÇÃO

. Correção de dados incompletos, inexatos ou desatualizados.

. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei.

. Opor-se a tratamento realizado.

. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador.

. Revogação do consentimento para tratamento.

www.atheniense.com


Finalidade

Tratamento de dados pessoais para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Adequação

Tratamento compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Necessidade

Tratamento limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Livre acesso

Garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como, sobre a integralidade de seus dados pessoais;

Qualidade dos dados

Garantir aos titulares a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalida-de de seu tratamento;

www.atheniense.com


Transparência

Assegurar aos titulares quanto às informações claras, precisas e facil-mente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comerciais e indus-triais;

Segurança

Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilíci-tas de destruição, perda, alteração, comunicação ou difusão;

Prevenção

Adotar medidas para prevenir a ocorrência de danos em virtude do tra-tamento de dados pessoais;

Não discriminação

Impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;

Responsabilização e prestação de contas

Demonstrar por meio da elaboração de relatórios previstos em lei de-monstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

www.atheniense.com


7. Os fundamentos legais do tratamento dos dados pessoais

A lei define dez bases legais para o processamento válido de dados pessoais. Para cada finalidade atribuída ao uso de um dado pessoal, o controlador deverá indicar uma base legal como justificativa . Conheça as hipóteses:

LEGÍTIMOINTERESSE

CONSENTIMENTOOBRIGAÇÃOLEGAL

POLÍTICASPÚBLICAS

PESQUISA

EXECUÇÃO DECONTRATOS

EXERCÍCIOREGULAR DE

DIREITO

PROTEÇÃO DA VIDA

TUTELA DASAÚDE

PROTEÇÃO AO CRÉDITO

Consentimento

O consentimento é o ato de coleta da permissão junto ao titular de da-dos pessoais onde existe a previsão quanto a finalidade determinada do tratamento, bem como os nomes dos operadores da base de dados e suas respectivas atividades. O consentimento só será considerado vá-lido quando ele for dado de forma livre, mediante informação clara e inequívoca.

www.atheniense.com


Obrigação Legal

Os dados pessoais poderão ser tratados nos casos em que a empresa esteja atendendo a obrigação legal ou em regulações emitidas pelas autoridades competentes.

Políticas Públicas

A administração pública poderá se valer dessa base legal para realizar o tratamento de dados pessoais necessários para a execução de políticas públicas, sempre prevalecendo o interesse público.

Pesquisa

Os dados pessoais poderão ser tratados para realização de estudos por órgão de pesquisa, sendo recomendada a garantia da anonimização desses dados, quando for possível.

Execução de Contrato

Muitos contratos só terão eficácia mediante o tratamento de dados pessoais. Por exemplo, uma empresa de entrega à domicílio, somente poderá prestar seu serviço de forma efetiva se tiver acesso ao endere-ço, nome e contato do titular destinatário.

Exercício regular de direito

A lei estabelece uma série de casos em que é necessário haver o trata-mento de dados pessoais É o caso do Direito Processual que exige das partes a qualificação dos dados pessoais e documentos necessários para a instrução do processo.

www.atheniense.com


Proteção da Vida

Uma vez identificado o estado de perigo ou risco de vida do titular, alguns dados deverão ser coletados para que o socorro seja efetivado. Por exemplo, em casos onde uma pessoa está inconsciente e perdendo sangue, o médico necessita coletar os dados sanguíneos dessa pessoa para poder fazer a transfusão e salvar a sua vida.

Tutela da Saúde

O serviço de saúde necessita de dados pessoais essenciais para presta-ção de serviço.. Sendo assim, o legislador previu que para esses casos os dados do paciente poderão ser tratados por profissionais da área da saúde ou por entidades sanitárias.

Legítimo Interesse

O dado pessoal poderá ser tratado com base no legítimo interesse do controlador ou de terceiro. Contudo, esse legítimo interesse não é um cheque em branco, pois precisa ser devidamente fundamentado. Uma importante metodologia para realizar a validação do tratamento com base nessa hipótese é o teste dos quatro passos. Esse teste consiste em: (i) analisar se o tratamento do dado pessoal está sendo feito com base em uma finalidade legítima; (ii) se estão sendo coletados apenas os dados necessários ao objetivo da empresa; (iii) se está sendo obser-vada a legítima expectativa do titular; e (iv) quais as salvaguardas estão sendo adotadas. Por exemplo: transparência, mecanismo de oposição do titular, uso de instrumentos de redução de riscos e respeito aos di-reitos e liberdades fundamentais dos titulares.

Proteção de crédito

Essa hipótese visa garantir as entidades que trabalham com banco de dados visando a proteção do crédito tenham uma base legal para legi-timar o tratamento de dados pessoais, diminuindo os riscos de inadim-

www.atheniense.com


plência e os custos de financiamento. Cabe mencionar que essa base legal é uma peculiaridade da nossa legislação, não havendo nada simi-lar no mundo em leis de proteção de dados. Dessa forma, sua aplicação deve ser feita com cautela para evitar abusos e insegurança jurídica.

8. Mãos à obra: 10 passos para executar um plano para começar o trabalho de adequação à LGPD

1. Decisão Top Down

A decisão de colocar em prática o projeto de adequação à LGPD deve ser uma medida “Top Down”, ou seja, deve partir da iniciativa daque-les que exercem o poder diretivo. Esses devem estar conscientizados de que o orçamento para o projeto deve ser da Diretoria e não de um setor operacional, pois são os gestores que exercem a governança que serão os responsáveis por eventuais incidentes futuros.

2. Criação de comitê multidisciplinar

Diante disso, o passo primordial é a criação de um comitê multidisci-plinar, envolvendo setores de uma empresa que sejam estratégicos quanto ao tratamento de dados pessoais, ou seja: negócios, produ-tos, jurídico, RH, segurança, infraestrutura, comunicação, marke-ting, desenvolvimento e, sobretudo, um membro que seja do board da organização para exercer o poder decisório com maior brevidade.

Esse comitê deve ter a função de: apurar informações e compreen-der com celeridade vários aspectos estratégicos que se relacionam com o tratamento de dados pessoais; as normas vigentes que regu-lamentam o tema, os processos internos e externos e os requisitos

www.atheniense.com


sistêmicos relacionados.

Além disso, o Comitê terá as seguintes atribuições: exercer o poder de-cisório para executar o plano de ação e aprovar as medidas corretivas quanto aos incidentes que irão surgir com relação ao tratamento de dados pessoais; dar suporte para a consultoria elaborar um diagnósti-co e avaliação de riscos e gravidade adequada e decidir mutuamente quais são os melhores caminhos a serem trilhados para a execução do plano de ação a fim de alcançar a conformidade antes da vigência da Lei Geral de Proteção de Dados em agosto de 2020.

A execução das medidas corretivas se desdobrará em três frentes de trabalho para a efetivação da revisão dos mecanismos de controle quanto aos riscos jurídicos envolvidos.

3. Análise e revisão normativa

4. Análise e revisão dos processos internos e externos

3.1. Levantamento, leitura e análi-se de todas as normas internas em uso na empresa sobre tratamento de dados;

3.2. Apuração de todas as partes envolvidas com as quais a empresa se relaciona a partir do tratamento de dados pessoais, seja no ambiente interno ou externo;

3.3. Revisão de todos os contratos em vigor que se relacionam com o tratamen-to de dados pessoais;

3.4. Elaboração ou revisão de políticas, relatórios e ou-tros documentos exigidos por lei.

www.atheniense.com


5. Análise e revisão dos Sistemas

6. Utilizar software específico para execução do plano de adequação

Diante do volume e especificações das informações coletadas e anali-sadas, e a necessidade de verificação constante dos mapas de riscos e gravidade, além da emissão de relatórios, é indispensável o uso de um software específico de DPMS - Data Protection Management System.

As funcionalidades essenciais que este software deve apresentar são: possuir uma plataforma para centralizar toda a operação de coleta, análise e emissão de relatórios, geração de mapas de riscos, elabora-ção de relatórios exigidos por lei, desburocratização da execução das atividades com a desnecessidade de operar simultaneamente diversas planilhas e documentos.

4.1. Mapeamento de todos os pro-cessos internos e externos que tra-tam dados pessoais da organização;

4.2. Identificação das lacunas rela-tivas a riscos quanto a privacidade e proteção de dados pessoais nos processos mapeados;

4.3. Assessoria na revisão dos processos envolvidos para adequá-los de acor-do com a política de pri-vacidade e outras obriga-ções legais.

5.1. Identificação de lacunas nos sistemas que possam re-presentar risco de vazamen-to ou de uso indevido de da-dos pessoais;

5.2. Assessoria e cooperação com o time de tecnologia da informação para promover alterações e mudan-ças nos sistemas utilizados de forma a adequá-los à política de privacida-de e às obrigações legais.

www.atheniense.com


7. Nomear um Encarregado de Proteção de Dados

A lei também obriga todas as empresas a nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer). Sua principal obri-gação é zelar pela aplicação e disseminar boas práticas em relação ao tratamento de dados.

Além disso, ele será a interface com a Autoridade Nacional de Prote-ção de Dados (ANPD). O EPD também será responsável por receber reclamações e informes dos titulares e órgãos competentes e prestar esclarecimentos, além de adotar providências e orientar funcionários sobre as boas práticas A identidade e as informações de contato do EPD precisam ser divulgadas publicamente, com clareza e objetividade no site do controlador.

No caso de EPD, DPO e ANPD, por enquanto temos apenas siglas, que ainda dependem de regulamentação. Nossa sugestão é que as empre-sas comecem a se habituar a essas exigências.

Um plano para começar o trabalho de adequação à LGPD já está ex-presso em procurações. O importante é identificar as várias situações para tomar as medidas adequadas.

O cargo de DPO poderá ser exercido por um grupo de pessoas estra-tegicamente nomeadas que unam os seus talentos para atuarem neste encargo.

8. Mapear o fluxo de dados

Entender como os dados circulam pela empresa, quem lida com eles e para onde são encaminhados é uma das etapas mais importantes desse trabalho.

www.atheniense.com


Daí ser fundamental o envolvimento de todos os níveis hierárquicos e uma ideia clara de quantas pessoas diferentes têm acesso a informa-ções sensíveis. Note que a lei fala em dados, aplicando-se tanto aos que circulam em formato digital e pela internet, como os que estão em arquivos de papel.

Que tipos de tratamentos de dados pessoais são realizados?

Envio de mensagensArquivamento de conteúdosAnexaçãoConsultaRelatóriosCópias em dispositivos informáticosCurrículosFichas CadastraisProntuários médicos

Onde ficam esses dados?

Contas pessoais de emailSistemas EspecialistasBases de dados na nuvemServidores locaisDiscos rígidos de desktops e notebooksPendrives, CDs e DVDsBackups

Em que forma circulam os dados pessoais dentro da empresa?

ContratosFichas cadastraisEmailsBoletos de pagamentoDocumentosProcessosFormulários onlineArquivos de imagem, vídeo e áudio

Quem são as pessoas que tratam esses dados pessoais?

Colaboradores da área de Recursos HumanosEquipe de MarketingAssistentesRecepcionistasColaboradoresAdvogadosPrestadores de serviçosFornecedores

www.atheniense.com


9. Mapear os fatores de risco e executar um plano de ação imediato

Depois de compreender a lógica de circulação dos dados pela empresa, chega a hora de mapear os riscos e definir as providências a ser toma-das. Aqui, a noção de risco está associada, especialmente, às chances de uma informação vazar, ou de ser conhecida por quem não deveria. Existem vários fatores de riscos, que normalmente giram em torno de quatro pontos:

9.1. Equipamentos e sistemas

A rede, computadores e demais equipamentos estão protegidos ade-quadamente com firewall, armazenamento em nuvem e outros dispo-sitivos de segurança? Aqui, naturalmente, o nível de segurança exigido varia de empresa para empresa. Porém, é consenso entre especialistas que, hoje, nenhuma empresa deve prescindir de algum nível de prote-ção envolvendo uso de softwares que propiciem maior controle sobre os riscos de segurança da informação e tratamento de dados pessoais para repelir invasões, antivírus e manutenção periódica dos equipa-mentos e atualização de softwares. É extremamente recomendável a contratação de profissional especializado, que poderá sugerir um nível de segurança adequado.

9.2. Políticas e procedimentos

Um dos aspectos mais importantes da LGPD é quanto à exigência de se manter registros escritos, trilhas para auditoria e procedimentos operacionais claros. Começa do nível mais básico, como a adoção de critérios para geração de senhas seguras e outros procedimentos. Por exemplo: o que uma recepcionista deve fazer se receber, por engano, informações de um cliente? Onde deve ser mantido um arquivo de no-tas tomadas em uma reunião? Que informações devem ser destruídas? Além disso, as escritórios deverão produzir ou revisar seus próprios

www.atheniense.com


termos de procedimentos operacionais para obter consentimento para uso de dados pessoais. No caso das empresas com seus colaboradores, o recomendado é anexar e formalizar o termo de consentimento ao contrato de trabalho. O importante é identificar as várias situações em que os dados pessoais circulam para tomar as medidas adequadas.

9.3. Pessoas

As pessoas são os elos mais frágeis de uma cadeia de segurança. A melhor forma de lidar com isso é mantê-las devidamente informadas sobre os procedimentos, treinadas para lidar com eles e sistematica-mente avaliadas. A LGPD é extremamente exigente em relação a es-ses pontos. Mais do que um sistema de direitos e responsabilidades, a LGPD quer estimular o desenvolvimento de uma cultura de proteção de dados pessoais e, por essa razão, valorizar a adoção de medidas nes-se sentido, inclusive como critério para redução de eventuais punições. Por isso, é fundamental manter a equipe sempre treinada e informada a respeito.

9.4. Tipos de dados pessoais tratados

A lei define a existência de dados considerados sensíveis, que podem resultar em danos imediatos caso sejam divulgados. Eles requerem cui-dados especiais e só podem ser solicitados para finalidades específicas. Entre eles, dados sobre: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, filiação religiosa, sobre a saúde, sobre a vida sexual, dados genéticos, informações biométricas. O trata-mento de dados de crianças e adolescentes requer cuidados especiais e só pode ser realizado com consentimento específico de responsável.

10. Implementar um registro de tratamento de dados, processos e sistemas

A lei determina a adoção de uma metodologia de data mapping que

www.atheniense.com


consiste em manter registros da coleta até a exclusão em toda e qual-quer atividade de tratamento de dados pessoais, indicando quais da-dos serão coletados, a base legal que autoriza seu uso, às suas finali-dades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados. Ou seja, o trabalho consiste em deta-lhar, organizar e manter registros dessas operações.

11. Verificações periódicas e treinamentos in company

A garantia de eficiência da efetivação e manutenção das mudanças e revisões operacionais demandam que a organização execute verifica-ções periódicas de modo a assegurar sempre o menor risco jurídico quanto ao tratamento de dados pessoais. Essas auditorias visam man-ter normas, processos e sistemas em nível adequado de conformidade com as leis de proteção de dados.

Capacitar e formalizar continuamente esta atividade com todos os co-laboradores e fornecedores envolvidos com o tratamento de dados pessoais é indispensável para dar legitimidade a empresa em inciden-tes e, sobretudo, para dar continuidade ao programa de governança digital corporativo.

9. A proteção de dados pessoais como pilar da Governança Digital Corporativa

Além da proteção de dados pessoais, a gestão da Governança Digital Corporativa compreende outros três pilares essenciais para fechar um ciclo virtuoso: Segurança Cibernética, Reputação Digital e Compliance. A partir da nossa experiência profissional, inovamos ao criar o conceito

www.atheniense.com


de Governança Digital Corporativa para definir um serviço abrangente e de suma relevância estratégica para as empresas . Percebemos que tudo o que se lia sobre Governança Digital se conectava ao exercício exclusivo do Poder Estatal de exercer sua atividade de governar. Por outro lado, o termo Governança Corporativa não é novidade no meio empresarial, mas as práticas difundidas estavam essencialmente liga-das ao mundo analógico. Ao percebermos essa lacuna, compreende-mos a necessidade de levar ao mercado uma solução de consultoria jurídica contextualizada que se refere ao exercício do poder decisório corporativo no mundo digital mitigando os riscos envolvidos.

É necessário que o board mantenha sempre amplo controle sobre as atividades relacionadas ao tratamento de dados, pessoais ou não, se-gurança cibernética, reputação digital e compliance do seu negócio in-clusive nas plataformas digitais.

O exercício da governança não é uma tarefa isolada de qualquer área operacional da organização. É atribuição exclusiva do board, pois esse tem a necessidade de envolver-se com o tema e de ter agilidade na to-mada de decisões para evitar que um fato se torne uma crise.

Sabemos que o enfrentamento dos incidentes ocorre, em média, de forma tardia e desordenada. Com o advento da lei e a aplicação de penalidades pesadas, é mandatório que o poder diretivo se aproxime mais da área operacional e aprove as medidas corretivas necessárias para abreviar o tempo de resposta a fim de mitigar os riscos jurídicos envolvidos.

Quem governa deve continuamente exercer ou fiscalizar os mecanis-mos de controle sobre todas as atividades da organização envolvendo tratamento de dados pessoais, segurança da informação, incidentes de reputação digital e compliance. Os eventuais ônus das sanções serão de sua exclusiva responsabilidade.

www.atheniense.com


SEGURANÇACIBERNÉTICA

REPUTAÇÃO DIGITAL

COMPLIANCE PROTEÇÃO DE DADOS

Em síntese, os pilares das governança digital corporativa são:

Segurança cibernética

São diversas medidas para avaliação de riscos operacionais e elabora-ção de um plano de ação para suprir as lacunas jurídicas, sistêmicas e estratégicas quanto à segurança da informação tais como: elaboração ou revisão de regulamentação interna, obrigações legais, políticas e procedimentos internos quanto ao uso das informações digitais que revelem fatores de risco, análise e preservação de provas dos inciden-tes em conformidade legal e a necessidade de adoção de medidas jurí-dicas ou não, para enfrentamento de incidentes com a maior brevidade possível.

www.atheniense.com


Reputação digital

O perfil de uma empresa no mundo digital não é construído apenas por informações que a própria organização divulgue a seu respeito. As informações ou comentários gerados por terceiros possuem também grande relevância e riscos. A internet guarda surpresas que precisam ser monitoradas e enfrentadas para que um fato não se transforme numa crise. Por este motivo, o contingenciamento de problemas para este assunto é mandatório. Será necessário definir atribuições como análise e preservação de provas em conformidade legal dos conteú-dos impróprios gerados por terceiros como: comentários, críticas fal-sas, fake news, perfis falsos e ataques ofensivos que forem divulgados publicamente, alcançando grande relevância nas pesquisas do Google e redes sociais.

A possível remoção desses conteúdos, judicialmente ou não, ou a adoção de outras estratégias equivalentes, devem ser executadas na maior brevidade possível, pois os mesmos representam graves fatores de risco quanto à reputação da organização, de seus gestores ou cola-boradores.

Compliance

Elaboração e implantação de um conjunto de medidas para fazer cum-prir as normas legais, regulamentares e políticas, com a finalidade de evitar a aplicação de sanções anticorrupção, bem como, detectar e tra-tar qualquer desvio ou desconformidade.

www.atheniense.com


10. Conclusão

A LGPD é uma conquista da sociedade brasileira e coloca o Brasil num patamar alinhado com mais de cem países, onde se valoriza o respeito à privacidade.

As empresas terão problemas para se adequar por conta própria. Por isso, dependendo da complexidade do tratamento de dados pessoais, será necessária a ajuda de profissionais especializados.

É chegada a hora de dar início nesta caminhada!

Bom trabalho.

Julho / 2019

www.atheniense.com


FALE COM A GENTESão Paulo . Belo Horizonte . Brasília

www.atheniense.comfacebook.com/alexandreathenienseadvogados

[email protected]. Afonso Pena, 4273, 4º andar - Belo Horizonte, MG

Alexandre Atheniense é advogado formado pela Universidade Federal de Minas Gerais (UFMG), es-pecializado em Internet Law na Berkman Center – Harvard Law School e só-cio-fundador do Alexandre Atheniense Advogados.

Com experiência profissio-nal de 32 anos é um dos precursores do Direito Di-gital no Brasil. Possui vasta experiência acadêmica e institucional, tendo exer-cido por oito anos (2002-2010) a presidência da Co-missão de Tecnologia da

Informação da OAB Federal, representando a entidade na discussão de projetos de lei no Congresso Nacional sobre os temas relacionados a Tecnologia da Informação. Coordenador da Comissão de Direito Digital do CESA - Centro de Estudos das Sociedade de Advogados. Árbitro em questões relacionadas à Propriedade Intelectual e Tecnologia da Infor-mação na Camarb, CAMINAS e ABPI e autor de diversas obras sobre Direito Digital no Brasil e no exterior.

www.atheniense.com


SÃO PAULO

Avenida Paulista 1079,Torre João Salem, 8º andar São Paulo - SP55 11 99901-8128

BELO HORIZONTE

Avenida Afonso Pena,4273, 4º andarBelo Horizonte - MG55 31 3318-1414

BRASÍLIA

SCS, Quadra 09, Bloco C, Torre C, 10º andarComercial Sul, Brasília55 61 99622-8128

30 anos

www.atheniense.com

LGPD PARA EMPRESAS - Alexandre Atheniense · 2019-07-10 · 2 LGPD PARA EMPRESAS SÃO PAULO Avenida...

Documents

Transcript of LGPD PARA EMPRESAS - Alexandre Atheniense · 2019-07-10 · 2 LGPD PARA EMPRESAS SÃO PAULO Avenida...