Arquivo da categoria: GDPR

Conformidade, Controles Internos, Fraude, GDPR, Gestão empresarial, Risco Empresarial

Autoridade Nacional de Proteção de Dados e a proteção de dados pessoais – Parte 3

Este é o terceiro e último artigo sobre a Lei de Proteção de Dados Pessoais. Neste último artigo abordamos a MP 869 que cria a Autoridade Nacional de Proteção de Dados (ANPD) e dispõe sobre a proteção de dados pessoais.

A Medida Provisória Nº 869 de 28/12/2018

Segundo esta MP, a ANPD terá a seguinte composição:

  1. Conselho Diretor, órgão máximo de direção;
  2. Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
  3. Corregedoria;
  4. Ouvidoria;
  5. Órgão de assessoramento jurídico próprio;
  6. Unidades administrativas e unidades especializadas necessárias à aplicação do disposto na Lei 13.709.

O Conselho Diretor da ANPD será composto por cinco diretores, incluindo o Diretor-Presidente, todos nomeados pelo Presidente da República, com mandatos de quatro anos.

lei de protecao de dados imagem

Caberá à ANPD os seguintes papéis:

  1. zelar pela proteção dos dados pessoais;
  2. editar normas e procedimentos sobre a proteção de dados pessoais;
  3. deliberar, na esfera administrativa, sobre a interpretação desta lei, suas competências e os casos omissos;
  4. requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
  5. implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta lei;
  6. fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação;
  7. comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  8. comunicar aos órgãos de controle interno o descumprimento do disposto nesta lei praticado por órgãos e entidades da administração pública federal;
  9. difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
  10. estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais;
  11. elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
  12. promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  13. realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
  14. realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
  15. articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
  16. elaborar relatórios de gestão anuais acerca de suas atividades.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP) será composto por 23 representantes, titulares suplentes, dos seguintes órgãos:

  1. seis do Poder Executivo Federal;
  2. um do Senado Federal;
  3. um da Câmara dos Deputados;
  4. um do Conselho Nacional de Justiça;
  5. um do Conselho Nacional do Ministério Público;
  6. um do Comitê Gestor da Internet no Brasil;
  7. quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
  8. quatro de instituições científicas, tecnológicas e de inovação;
  9. quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.

O CNPDPP terá as seguintes atribuições:

  1. propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
  2. elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  3. sugerir ações a serem realizadas pela ANPD;
  4. elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade;
  5. disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.

 

Esta MP está em vigor, porém para sua vigência permanente necessita de aprovação pelo Congresso Nacional.

 

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

Padrão
Conformidade, Conhecimento, Controles Internos, GDPR, Gestão empresarial

A Lei Brasileira de Proteção de Dados Pessoais – Lei 13.709 de 14/08/2018

Em nosso último artigo, discutimos a “General Data Protection Regulation”, conhecida como GDPR, no contexto da União Europeia. Nos próximos, abordaremos a Lei 13.709 de 14 de agosto de 2018 que dispõe sobre a Lei Proteção de Dados Pessoais (LPDP), a qual tomou como base para sua criação a GDPR.

lei de protecao de dados imagem

 

O alcance da LPDP; a LPDP define como principais fundamentos da proteção de dados:

 

 

  • o respeito à privacidade;
  • a autodeterminação informativa;
  • a liberdade de expressão, de informação, de comunicação e de opinião;
  • a inviolabilidade da intimidade, da honra e da imagem;
  • o desenvolvimento econômico e tecnológico e a inovação;
  • a livre iniciativa, a livre concorrência e a defesa do consumidor;
  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LPDP se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado quando:

  • a operação de tratamento é realizada no território nacional;
  • a atividade de tratamento tem por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  • os dados pessoais objetos do tratamento sejam coletados no território nacional.

Existem algumas situações que não são impactadas pela LPDP, por exemplo, se o tratamento de dados é realizado:

  • por pessoa natural para fins exclusivamente particulares e não econômicos;
  • para fins exclusivamente jornalístico e artístico ou acadêmico;
  • para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais;
  • proveniente de fora do território nacional e que não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência.

Entre os princípios considerados pela LPDP, para questões de criticidade, impacto e riscos se destacam os seguintes:

  • finalidade;
  • adequação;
  • necessidade;
  • livre acesso;
  • qualidade dos dados;
  • transparência;
  • segurança;
  • prevenção;
  • não discriminação;
  • responsabilização e prestação de contas.

Tratamento dos dados pessoais e acesso pelo titular; a LPDP estabelece algumas condições para a realização do processamento de dados de pessoais, que são as seguintes:

  1. o fornecimento de consentimento escrito ou por outro meio que demonstre a manifestação de vontade pelo titular dos dados;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Quanto ao acesso das informações processadas pelo controlador, é importante ressaltar que estas informações deverão ser disponibilizadas ao titular sempre que este solicitar. As informações deverão ser fornecidas, de forma clara, adequada e ostensiva, para o atendimento entre outros do princípio do livre acesso.

Tratamento de dados pessoais sensíveis; a LPDP define duas condições possíveis para o tratamento de dados pessoais sensíveis:

  1. quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  2. sem fornecimento de consentimento do titular, nas hipóteses em que o dado for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Tratamento de dados pessoais de crianças e adolescentes: o tratamento de dados pessoais de crianças e de adolescentes é possível somente em condições especiais, tais como:

  1. com o consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal;
  2. Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o item acima quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento referido acima;
  3. O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento referido acima foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis;
  4. As informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Término de tratamento de dados pessoais; existem quatro situações definidas na LPDP para o término de tratamento de dados:

  1. verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. fim do período de tratamento;
  3. comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme descrito anteriormente, resguardado o interesse público;
  4. por determinação da autoridade nacional, quando houver violação ao disposto nesta lei.

Por outro lado, a LPDP estabelece algumas situações onde os dados poderão ser mantidos bem como suas finalidades:

  1. cumprimento de obrigação legal ou regulatória pelo controlador;
  2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta lei; –
  4. uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que anonimizados os dados.

Em nossos próximos artigos vamos continuar a falar sobre a Lei 13.709 que trata da proteção de dados pessoais e seus direitos garantidos.


José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

Padrão
Conformidade, GDPR, Governança, Opinião, Risco Empresarial

2019: sua empresa está preparada para as mudanças que estão por vir?

previsoes-de-videntes-para-2019É notório o movimento de mudanças pelo qual vem passando nosso país, das quais grande parte da população vinha aclamando. Não se pode negar que as últimas eleições injetaram um forte ânimo na sociedade e boa parte desse evento se deu pelas alterações propostas. Porém se as mesmas serão boas ou não somente o tempo dirá, mas o que temos certeza é que toda mudança gera expectativas favoráveis ao aquecimento de mercado. Prova disso, são os altos investimentos prometidos para 2019 e divulgados na mídia: há promessas de investimento no setor portuário de Santa Catarina de mais de meio bilhão de reais, uma empresa de Singapura confirmou a abertura de uma fábrica de café no Espírito Santo com investimento na casa dos 500 milhões de reais, uma outra empresa suíça anunciou o investimento de 150 milhões de reais em um projeto em Minas Gerais; a Havan divulgou um investimento de meio bilhão de reais em todo país, enquanto a Toyota fala em investir um bilhão de reais, entre outros.

foto-conceito6Esses investimentos comprovam que o Brasil entrou novamente no radar de investimentos estrangeiros, foco há muito buscado por nossos governantes e que vem se mostrando também através da entrada de novos fundos de investimentos com grande apetite para projetos de empresas locais.

Um relatório apresentado pelo banco suíço Credit Suisse nos últimos dias coloca o Brasil de volta às apostas globais. Em matéria divulgada na Infomoney, Sylvio Castro, chefe de investimentos da instituição no país, relata que estão “mais otimistas com o Brasil como não estávamos pelo menos nos últimos cinco anos”, e aponta ainda a força da moeda nacional como um desses principais atrativos já que “globalmente, deve haver moderação (no crescimento) em 2019, mas o Brasil é uma das raríssimas exceções em que esperamos aceleração”, afirmou o executivo.

Todavia, nem tudo são flores no jardim tupiniquim! Sem mencionarmos fatos pontuais ocorridos em razão de operações federais tais como Zelotes e Lava Jato, nunca se havia visto antes na história deste país empresários sendo penalizados criminalmente por ações praticadas em suas gestões. E isso tem ocorrido nos mais diversos segmentos desde os mais visados, como por exemplo, combustíveis e bebidas, até aqueles que não tinham tanta exposição como transportes, supermercados, agronegócios, prestação de serviços, plásticos, entre outros.

Essa conjunção de fatores leva o empresário a se questionar: estou preparado para as mudanças que estão por vir? De um lado temos uma forte promessa de investidores buscando na vitrine do mercado projetos para seus investimentos e de outro empresas que não estão estruturadas o suficiente para receberem esses valores muitas vezes necessários não apenas para um projeto de expansão, mas para a própria subsistência de sua operação.

untitledEmpresários nacionais precisam se conscientizar para uma nova cultura de adaptação às transformações que estão sendo adotadas pelo mercado. Independentemente do seu porte, todos estão sujeitos a ajustes em seus conceitos. Multinacionais trazem em seu DNA a cultura de suas matrizes e acabam se adaptando melhor a essas mudanças, porém em um cenário cada vez mais globalizado os conceitos precisam ser únicos, o que facilita uma avaliação no momento de um novo negócio ou da busca por um investidor estrangeiro.

Empresas médias e grandes, e notadamente as de cunho familiar, precisam olhar para dentro do seu negócio e rever conceitos e procedimentos, mas principalmente necessitam avaliar se elas já estão prontas para a nova filosofia que o mercado aplica.

Isso implica em avaliar sua maturidade frente a estes novos conceitos.

gdpr-alert-180x180Na prática, empresas preparadas para o novo mundo que se apresenta, saem na frente quanto a captação de recursos, destacam-se em concorrências, mostram profissionalismo e, acima de tudo, preocupação não apenas com seus clientes e colaboradores, como em todo ecossistema em que está inserida. Isso as coloca em um local de destaque dentro do seu mercado de atuação e frente aos demais concorrentes, elas terão uma vantagem reconhecida por toda sociedade.

Em dias atuais não basta para uma empresa se destacar, ter um negócio lucrativo e de bom rendimento se não estiver estruturado. Investidores, hoje, buscam não apenas a lucratividade como também a segurança de cada operação. Imaginar que a empresa está com as vendas aquecidas e que tal fato é suficiente para se manter vivo no mercado, ou para colocá-lo no topo, é um pensamento retrógrado que não cabe mais na filosofia globalizada em que nosso país está se inserindo.

A garantia de uma estabilidade de segurança a dirigentes, sejam eles proprietários, executivos, diretores ou outros, é primordial para a atração de mercado, de pessoas e de novos negócios para as empresas e o empresário não pode ignorar esses novos conceitos.

Governança-2Não podemos esquecer a importância dos novos governantes que estarão assumindo em 1 de janeiro de 2019. Reformas primordiais precisam ser avaliadas e votadas, medidas precisam ser tomadas. O Portal da Indústria traz um artigo interessante sobre o futuro do país projetado entre 2019 e 2022, onde se apresenta como visão da indústria pontos cruciais para o sucesso do novo Governo alcançar melhora no ambiente macroeconômico, tais como: conter a dívida pública abaixo de 88% do PIB; a inflação abaixo de 0,3% do PIB; controle dos gastos públicos para atingir um superávit primário de 0,3% do PIB; aumentar a taxa de investimento dos atuais 16,4% para 21% do PIB.

Porém o mercado privado não pode simplesmente cruzar os braços acreditando que as mudanças trazidas por uma eleição e, principalmente, ações de candidatos eleitos sejam suficientes para atingirmos os patamares almejados. A CNI – Confederação Nacional da Indústria apresentou aos novos governantes seu mapa estratégico 2018/2022 com previsão de decisões e ações necessárias de cada setor, seja ele público ou privado, atuando tanto isoladamente quanto em conjunto. Mas o que merece destaque é o capítulo 2 do referido documento, com o seguinte título: “A Diferença Que A Gestão E Eficiência Fazem Para O Brasil Crescer” que por sua simples leitura deixa clara a necessidade de adaptação do empresário a novos conceitos e a uma governança, seja ela fiscal, de compliance, ou outras que sua empresa esteja sujeita para o sucesso do futuro do nosso país em uma visão mais macro, como do seu próprio negócio em uma avaliação mais direta e pontual.

A sociedade de uma forma geral ansiava por mudanças para que o país fosse colocado novamente na rota de investidores estrangeiros, da inovação e, principalmente,da geração de empregos. E nesse sentido, segundo o Caged do Ministério do Trabalho, foram geradas quase 60 mil vagas formais de emprego em outubro de 2018, mas para que estes dados continuem a crescer, a bolsa se valorizar e os números continuem a ser atrativos, cada um precisa fazer a sua parte e sem qualquer sombra de dúvida, a classe empresarial terá um papel fundamental nessa manutenção de crescimento.

Portanto, finalizo com uma reflexão para você: sua empresa está preparada para 2019? Você estápreparado para as mudanças que o mercado apresenta? Pense nisso e seja um destaque no seu segmento!

 

André Brunialti: Advogado especialista em Gestão de Risco Jurídico, Planejamento Tributário, Contencioso Fiscal e Recuperação de Tributos, além da Área Societária com Estruturação de Quadros Sociais, Sucessões e Proteção Patrimonial.

Padrão
Controles Internos, GDPR, Gestão empresarial, Insegurança jurídica, Risco Empresarial

A insegurança jurídica e seus reflexos

Insegurança-jurídica-STF-charge-sobre-STF-bate-boca-entre-ministros-do-STFEm tempos de escassez e recessão econômica é que se vê o quanto o conceito de insegurança jurídica e a sua lentidão com a falta de solução para questões urgentes são prejudiciais à economia do país. Enquanto se vê acentuada a lentidão em muitos processos justificada pela situação econômica, alguns buscam acelerar as resoluções.

Desde o nível mais alto da constituição, até a menor regra possível em nosso meio, temos visto comentários e expressões para referendar alguma atitude, seja a favor ou contra uma eventual situação e decisão. Até mesmo o Juiz Federal, símbolo da Lava Jato, Sérgio Moro, sofreu críticas sobre atos considerados excessivos e disse que eles são necessários. “Estamos em tempos excepcionais. Mas essa excepcionalidade se dá sempre dentro da legalidade”, argumentou o juiz.

Enquanto de um lado vemos exemplos de excessos na busca de uma resolução de algo, vemos em outras instâncias o extremo oposto no excesso de lentidão, na demora e pouca firmeza na resolução de litígios, o que infelizmente leva muitos a tirar proveito circunstancial dessa situação. Para alguns o termo insegurança jurídica pode parecer algo simplesmente relacionado com o poder judiciário público, mas não é somente ali que vemos essa insegurança. Temos insegurança também nas esferas privadas, pois em muitos casos faltam princípios nos contratos, escritos ou não, estabelecidos entre as partes.

Pode-se ver nos números de processos trabalhistas que temos em aberto no sistema judiciário. Neste caso, não importa as justificativas de que a lei trabalhista [e suas atualizações] não é boa, nós simplesmente não conseguimos mudar essa estatística. E talvez não estamos conseguindo mudá-la pois ainda estamos abordando-a pelo seu destino e não por sua origem. Talvez essa atualização da lei trabalhista [já aprovada] possa ajudar e muito. Mas será que somente uma nova lei seria a solução para tudo? Certamente que não.

Temos visto cada vez mais empresas que têm tido a honra de dizer que não têm processos trabalhistas, ou se tem são poucos. E algumas que tiveram muitos processos acumulados, têm implementado procedimentos para resolvê-los prontamente e evitar que novos processos surjam. Neste caso uma boa análise nos ajuda muito mesmo, pois podemos por meio dessa análise de indicadores, identificar a origem, a natureza e a frequência dos processos existentes e promover soluções definitivas para esses processos existentes, bem como ações preventivas para evitar novos processos.mal-entendido-desentendimento-nietzsche-comunicacao

Ações como essas de detecção e correção para solução dos problemas existentes, bem como, e acima de tudo, as ações de prevenção são fundamentais. Não importam as circunstâncias da lei trabalhista, ou mesmo das outras leis em vigor, a prevenção é fundamental.

E vamos além da insegurança jurídica trabalhista. Há uma grande insegurança jurídica em várias outras esferas do direito. Talvez o direito civil até não enseje tantos processos judiciais, mas o direito tributário, esse sim, enseja e muito, processos. Basta uma rápida lida nas demonstrações financeiras, ou seja, nos relatórios anuais das empresas e vemos a imensidão de disputas tributárias.

Não podemos fugir de algo tão concreto que é a origem de tantos processos. Certamente o surgimento desses processos está na própria lei, ou até na falta dela. Discussões surgem da dupla interpretação de uma lei existente, em que a iniciativa privada tem uma interpretação e então os órgãos públicos das receitas municipais, estaduais e federais, têm outra. Havendo uma discordância, aciona-se o poder judiciário.

Há também os vários casos de falta de lei e muitos tomam isso como uma oportunidade de negócios. Também neste caso haverá no futuro alguma interpretação que nos leve a uma eventual discordância.

Como disse o jurista Walter Maierovitch: “A falta de solução para questões polêmicas e urgentes gera a tal insegurança jurídica”.

Enquanto aguardamos ações firmes e definitivas do poder público nas suas várias esferas para reduzir tamanha incerteza sobre tantos fatores, não podemos parar nossa operação, nosso negócio. Devemos, sim, buscar ações preventivas dentro dele tanto para evitar o surgimento de novas demandas trabalhistas, tributárias e cíveis, bem como para reduzir aquelas existentes.foto-conceito6

Não devemos nos iludir de que ignorando situações que podem resultar em processos judiciais de qualquer natureza teremos fôlego hoje e resolveremos isso amanhã.

Essa ilusão de que depois resolvemos algo, ou mesmo de aguardar uma solução mágica da justiça, ao invés de evitar o risco e o problema agora, é uma armadilha muito perigosa. A competição é sempre grande e um concorrente pode sair na frente, e no futuro não teremos esse fôlego para uma recuperação.

 

Texto revisto e atualizado, da versão originalmente publicada em novembro de 2017 no blog do autor na ACIC. Jarib B D Fogaça é sócio na JFogaça Assessoria, Diretor Adjunto na ACIC, e conselheiro independente.

Padrão
Conformidade, Controles Internos, GDPR, Governança, Informação, Risco Empresarial

Proteção de dados: qual sua relevância e motivação?

gdprsubscriberconsentNão é necessário ser um especialista para perceber que o volume de informações que as empresas têm sobre seus clientes (pessoas físicas e jurídicas) aumentou várias ordens de grandeza na última década e isto tem relação direta com o comércio eletrônico, e-banking, ensino a distância e outros.

Neste cenário surgiu um desafio para as empresas e os governos de como armazenar, controlar, atualizar e acessar esta informação de forma on-line, preservando a confidencialidade das informações sobre os clientes.

Tentaremos abordar este tema de forma simples e sem uso de termos técnicos específicos, mostrando os riscos que as empresas correm de não controlar adequadamente as informações de seus clientes e a legislação brasileira e europeia sobre isso.

Iniciamos introduzindo o que vem a ser a “General Data Protection Regulation”, conhecida como GDPR, que é a legislação europeia para o tema de proteção de dados.

O que é a GDPR e qual sua finalidade?

Antes de falar sobre a GDPR é necessário situar o contexto dos países da União Europeia (UE) sobre o tema de Proteção de Dados. Antes da GDPR, as empresas que atuavam nos vários países da Europa tinham que conhecer e estar em conformidade com a legislação de proteção de dados de cada país em que atuavam, gerando custos de consultoria e auditoria significativos.

Em 2016 foi publicada a primeira versão da GDPR e após alguns ajustes foi republicada uma nova versão em maio de 2018. Isto permitiu que uma única lei de proteção de dados fosse aplicada a todos os países que compõem a União Europeia, reduzindo drasticamente os custos das empresas com os procedimentos e políticas de proteção de dados que tinham no cenário pré- GDPR.

Em uma pesquisa realizada pela Comissão Europeia com vários países que compõem a UE, foi feita a pergunta “Qual o nível de controle que você tem sobre a informação que você provê on-line, como por exemplo, sua competência para corrigir, mudar ou excluir esta informação?” As respostas foram classificadas em três categorias:

  1. Controle total sobre as informações: as respostas variaram entre 4% a 31% do total de empresas respondentes em cada país pesquisado. Demonstrando maturidade de proteção de dados muito distintas entre as empresas nos diversos países pesquisados.
  2. Controle parcial sobre as informações: as respostas variaram entre 42% e 64% demonstrando aqui uma convergência maior das respostas das empresas entre os vários países pesquisados.
  3. Nenhum controle sobre as informações: as respostas variaram entre 16% e 45%, e novamente aqui se identificou situações muito peculiares entre os países pesquisados.

Finalmente fica claro que muitos países da Europa ainda terão um caminho importante para aperfeiçoar seus mecanismos de controle de informação on-line de seus clientes.

É importante definir o que se entende por Dados Pessoais dos Cidadãos: é todo o dado que se refere a um indivíduo identificado ou identificável e pode incluir:

  1. Nome;
  2. Endereço e número de telefone;
  3. Localização;
  4. Registros médicos;
  5. Informações bancária e de renda;
  6. Preferências culturais;
  7. Outras.

Portanto, é a proteção desses tipos dados que trata a GDPR. É importante ressaltar que a GDPR tem neutralidade de tecnologia usada para controlar estas informações sobre os cidadãos, isto é, as empresas podem utilizar desde registros em papel até modernas bases de dados com seus algoritmos de armazenamento e proteção de dados. Independe de qual seja a tecnologia utilizada, a empresa necessita atender aos regulamentos da GDPR.

Como saber se necessito cumprir os regulamentos da GDPR?

Toda vez que sua empresa processar informações sobre a saúde, orientação sexual, religião, opções políticas ou filiação a sindicatos, por exemplo, serão consideradas informações sensíveis e a empresa pode processar estas informações somente sob condições específicas e utilizando ferramentas adequadas, como por exemplo, criptografia.

GDPR-employee-data-Aphaia-DPO-privacy-1As empresas que têm atividades de processamento de dados sensíveis em grande escala e/ou monitoramento sistemático, regular e em grande escala de indivíduos necessitam designar um Executivo de Proteção de Dados (Data Protection Officers). Caso a empresa tenha atividades que envolvem alto risco aos direitos e liberdade dos indivíduos, está obrigada a realizar periodicamente “Avaliações de Impacto de Proteção de Dados”. Outro ponto a destacar é que as empresas com menos de 250 funcionários não são obrigadas a manter os registros de informação pessoal, exceto se houver volume de processamento de dados ou envolver informação sensível.

O processamento de dados pessoais deve ser executado, segundo a GDPR, somente quando estiver suportado por uma ou mais das condições seguintes:

  1. For consentida pelo indivíduo em questão;
  2. Existir uma obrigação contratual entre a empresa e o indivíduo;
  3. Para atender a uma obrigação legal;
  4. Para proteger interesses vitais do indivíduo;
  5. Para realizar uma tarefa que seja de interesse público;
  6. For interesse legítimo de empresa.

Quais são os direitos dos indivíduos?

Os indivíduos têm o direito de acessar seus dados pessoais, sem custos e em formato inteligível, e, ao mesmo tempo, as empresas devem avisar o indivíduo quando estiverem processando dados pessoais, informar sobre o objetivo de tal processamento e fornecer uma cópia dos dados pessoais processados.

É importante notar que o indivíduo possa solicitar a qualquer momento a retificação de um dado pessoal que julgar incorreto, impreciso ou incompleto. Da mesma forma, o indivíduo também pode solicitar a interrupção de processamento de dados pessoais neste caso, a menos que a empresa tenha um interesse legítimo que supera o interesse individual ou pode tratar de interesse público. Em todos os demais, a empresa deve interromper imediatamente o processamento dos dados pessoais etem prazo de um mês para contestação ou de até dois meses para contestações complexas ou que envolvem múltiplos pedidos.

Nos casos em que houver uma decisão tomada automaticamente via um processo e/ou algoritmo, o indivíduo pode solicitar uma revisão da dita decisão por um humano, por exemplo, a concessão de um empréstimo por um banco.

Quando os dados pessoais são transferidos para países fora da UE, as proteções estipuladas pela GDPR viajam com os dados. A GDPR oferece uma diversidade de mecanismos para transferência de dados para países fora da UE. Tais transferências são permitidas quando:

  1. As proteções do país são consideradas adequadas pela UE;
  2. A empresa toma as medidas necessárias para prover as salvaguardas apropriadas como a inclusão de cláusulas contratuais como o importador dos dados pessoais não europeu;
  3. A empresa se baseia em motivos específicos para a transferência, tais como o consentimento do indivíduo.

Como saber se a empresa está em conformidade com a GDPR?

O primeiro passo é mapear as atividades de processamento de dados atuais e reavaliar seus processos de negócio internos e deve:

  • Identificar quais dados devem ser mantidos e para qual propósito e quais bases legais devem ser usadas para manter tais dados;
  • Avaliar os contratos ativos;
  • Avaliar todos os caminhos disponíveis para transferências internacionais;
  • Revisar a governança da empresa (quais medidas de TI e organizacionais estão em uso), incluindo a necessidade ou não de designação de um Executivo de Proteção de Dados.

gdprUm fator crítico de sucesso é envolver os mais altos níveis de gerência da empresa em tais revisões, fornecendo direcionamentos e sendo regularmente atualizados e consultados sobre as mudanças nas políticas de proteção de dados.

Quais as penalidades da GDPR?

O não cumprimento da GDPR pode resultar em multas significativas podendo atingir até 20 milhões de euros ou 4% do volume de negócios global da empresa para determinadas violações. A Autoridade de Processamento de Dados (conhecida como DPA – Data Protection Authority) pode impor medidas corretivas adicionais, tais como a cessação de processamento de dados pessoais. Deve-se considerar também o dano de reputação que a não conformidade pode causar.

Claramente os custos de não conformidade com a GDPR são muito maiores do que o investimento para estar em conformidade com esta lei.

A Lei Brasileira de Proteção a Dados Pessoais … 

A Lei 13.709 de 14/08/2018 dispõe sobre as condições de proteção de dados pessoais dos indivíduos residentes no território nacional [Brasileiro] e é claramente inspirada na GDPR comentada anteriormente. Em um próximo artigo faremos uma análise desta lei e de suas particularidades em relação à GDPR.

 

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

 

Padrão