Escolar Documentos
Profissional Documentos
Cultura Documentos
Ebook LGPD Na Pratica Idc e Obac
Ebook LGPD Na Pratica Idc e Obac
""
lJ -
f9\
LGPD __
NR PRdtICR
2
1. Proteção de dados pessoais nas relações de consumo
3
2. Defesa do consumidor como fundamento da LGPD e Integração
com o sistema de defesa do consumidor
4
Caso o atendimento não seja possível, cabe ao mesmo controlador, a
apresentação de justificativas plausíveis ao titular dos dados, que, por sua vez,
poderá apresentar petição à Autoridade Nacional de Proteção de Dados (órgão
responsável por monitorar a aplicação da LGPD), ou à organismos de defesa do
consumidor, permitindo que estes órgãos atuem em competência concorrente
com a referida autoridade, para tutela dos interesses dos consumidores
afetados.
5
3. Responsabilidade civil dos agentes de tratamento de dados
6
Contudo, existem exceções à regra geral. Neste caso, vale ressaltar que a figura
do Controlador, por tomar decisões, é responsável não só por seus atos, como
pelos atos de Operadores diretamente contratados. Já o Operador, por seguir
instruções do Controlador sem possuir poder decisório, terá sua
responsabilidade limitada aos seus próprios atos, conforme §1º, I do artigo 42
da LGPD:
Por fim, ressalta-se que a LGPD apesar de contar com uma Autoridade Nacional
de Proteção de Dados para fiscalizar ativamente o cumprimento desta Lei,
também
possibilitou que os titulares (donos dos dados pessoais) tivessem autonomia
para propor ações individuais ou coletivas, caso sofram qualquer tipo de dano
decorrente do tratamento de seus dados pessoais.
7
Data Breach
Com a proteção jurídica dos dados pessoais, propõe-se uma mudança jurídica
de parametrização e das regras de governança de todo modelo de negócio que
aproveita desse ativo valioso contemporâneo.
O que fez a Lei é dar roupagem jurídica a relações fáticas já existentes e que
tinham como plano de fundo os dados pessoais: as relações entre os titulares
dos dados e os agentes de tratamento de um lado e, de outro, as relações entre
os próprios agentes de tratamento.
Nessa perspectiva, a LGPD traz uma série de princípios e deveres legais que
devem ser respeitados pelos agentes de tratamento, ou seja, pessoas jurídicas
ou naturais que tratam dados pessoais (controladores e operadores).
8
Soma-se a esses princípios a própria noção de titularidade de dados pessoais,
pertencendo o controle desses, por essência, aos próprios titulares, ou seja, a
“pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento;” (art. 5º, V).
9
5. Contexto global – o que já acontece lá fora em termos de
comunicação
10
causa, bem como a salvaguardar o seu direito a obter a confirmação e a
comunicação dos dados pessoais que lhes dizem respeito que estão a ser
tratados. As pessoas singulares a quem os dados dizem respeito deverão ser
alertadas para os riscos, regras, garantias e direitos associados ao tratamento
dos dados pessoais e para os meios de que dispõem para exercer os seus
direitos relativamente a esse tratamento. [...]”.
Essa ideia, então, tem sido refletida de forma prática, de modo que em contexto
global, em termos de comunicação e em linhas gerais, tem se exigido que o
agente de tratamento (i) seja muito claro sobre como o tratamento do dado
pessoal é feito; (ii) exponha com exatidão a finalidade específica que justifica o
próprio tratamento de dados; (iii) tenha canais de comunicação claros e que
permitam o acesso aos dados pessoais por seus titulares; (iv) comunique o
titular do dado sobre qualquer risco ou dano associado ao tratamento de dados
pessoais.
11
6. Contexto nacional – LGPD e o que se espera no Brasil em termos
de comunicação
12
Por fim, é importante lembrar que, em caso da “ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares” (art. 48),
o controlador deverá comunicar em prazo razoável, tanto a ANPD como os
titulares, devendo essa comunicação conter, no mínimo: “I - a descrição da
natureza dos dados pessoais afetados; II - as informações sobre os titulares
envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas
para a proteção dos dados, observados os segredos comercial e industrial; IV -
os riscos relacionados ao incidente; V - os motivos da demora, no caso de a
comunicação não ter sido imediata; e VI - as medidas que foram ou que serão
adotadas para reverter ou mitigar os efeitos do prejuízo.”.
13
7. Construindo uma “narrativa de dados”: boas práticas de
comunicação interna e externa
Para tanto, algumas medidas internas podem ser adotadas que, de forma
integrada, representarão a comunicação institucional interna e importante da
empresa para seus colaboradores no intuito de demonstrar que ela prioriza a
conformidade com a legislação de proteção de dados.
Dentre elas, podem ser citadas: (i) a elaboração de uma política consistente de
segurança da informação, orientando o uso dos dispositivos eletrônicos e
telemáticos da organização; (ii) a elaboração de uma política de privacidade;
(iii) elaboração de uma política de BYOD, se for o caso; (iv) a estruturação de
áreas de forma separada e com autonomia de privacidade, de segurança da
informação e da tecnologia da informação; (v) contar com formulários e canais
de denúncia para possíveis incidentes de segurança de dados pessoais; (vi)
designação do encarregado em dados pessoais; e (vii) contar com um manual
de coleta de provas digitais.
14
Estando organizada internamente, o que possibilitará uma atuação consistente
perante o público, pode se pensar em medidas externas de comunicação, tais
como: (i) políticas de privacidade claras para a utilização dos serviços; (ii) avisos
de privacidade claros, objetivos e didáticos, acessíveis inclusive antes da própria
utilização dos serviços; (iii) criação de seções de claras nos sites em que se
explica de forma didática de como o tratamento de dados pessoais se
desenvolve; e (iv) elaboração de comunicações específicas e periódicas sobre
eventuais situações que tenham gerado prejuízos ou riscos aos titulares de
dados pessoais a partir do tratamento de tais informações.
15
8. Preparação
Como visto, a LGPD traz uma série de princípios e deveres legais que devem
ser
respeitados pelos agentes de tratamento, ou seja, pessoas jurídicas ou naturais
que tratam dados pessoais (controladores e operadores). Dentre os princípios,
destacam-se os princípios da transparência e prestação e contas, e soma-se a
eles a própria noção de titularidade de dados pessoais, pertencendo o controle
desses, por essência, aos próprios titulares.
16
9. Thought Leadership
Por tudo colocado nos temas anteriores, certamente a Lei Geral de Proteção de
Dados Pessoais – LGPD exige a estruturação de mecanismos de comunicação e,
mais do que isso, de um verdadeiro programa de compliance digital para que a
comunicação possa ocorrer em patamar adequado e que tenha um conteúdo
consistente que mitigue os riscos inerentes ao tratamento de dados pessoais.
17
10. Resposta a incidente
Diante de tudo que foi colocado, parece fazer sentido, assim, o desenvolvimento
de um verdadeiro plano de ação, que fique pronto para start assim que o
incidente ocorra, com uma lista consolidada de várias tarefas coordenadas e
quem, na organização, serão os responsáveis por executá-las.
18
a organização contará com fornecedores externos no apoio desse comitê de
crise e quais serão.
Como quarta medida preventiva, é preciso ter uma cadeia interna de validação
de resposta aos titulares de dados pessoais já previamente definida. Como
sabido, a LGPD define que os titulares dos dados têm direito à confirmação da
existência de tratamento, de acesso aos dados, de informação sobre os
compartilhamentos, etc. (art. 18). Além disso, diante do incidente, deve a
organização (controlador, especificamente) comunicar ao titular sua ocorrência,
se o incidente puder acarretar risco ou dano relevante aos titulares (art. 48,
§1º).
19
Também com a percepção do incidente é recomendável a elaboração de estudo
técnico e de investigação detalhado, desenvolvido não só para identificação e
coleta das evidências técnicas necessárias à formatação de prova sobre o
incidente, conforme se verá adiante, mas principalmente para a extração de
relatório circunstanciado que aponte eventuais falhas de segurança que
permitiram ou contribuíram com a ocorrência do incidente.
Por fim, como visto anteriormente, diante de incidentes que possam acarretar
risco ou danos relevantes aos titulares, cumpre ao controlador comunicar à
ANPD e ao titular do dado pessoal, de modo que tal situação deve também estar
prevista em um plano de resposta a incidentes.
20
11. Cases internacionais e nacionais
Nos Estados Unidos, é possível citarmos a comunicação feita pela empresa EDP
– Energias de Portugal após três meses da invasão e inutilização de parte de
sua rede. A comunicação foi feita nos EUA, por meio de carta aos clientes, com
cópia para os governos dos estados de Vermont e Massachusetts, pela
subsidiária EDP Renewables North America.1
A Amazon, por sua vez, após ter dados de clientes vazados por alguns
colaboradores, não só os demitiu, como de forma proativa procedeu com a
comunicação dos seus clientes por e-mail.2
1
https://securityinformationnews.com/2020/07/08/edp-comunica-oficialmente-invasao-
e-vazamento-de-dados-de-sua-rede/
2
https://www.tecmundo.com.br/seguranca/149201-amazon-demite-funcionarios-vazar-
dados-clientes-terceiros.htm
3
https://olhardigital.com.br/noticia/vazamento-de-dados-da-microsoft-expoe-250-
milhoes-de-clientes/95710
4
https://www.istoedinheiro.com.br/netshoes-devera-avisar-2-milhoes-de-clientes-sobre-
vazamento-de-dados/
21
Resolução de conflitos
22
este artigo”. Ressaltam-se as principais considerações com relação a este
dispositivo:
23
os métodos de resolução de conflitos online (ODR - Online Dispute Resolution)
ganham destaque como
Com isso e por fim, fica um especial convite para estudo aprofundado
desses fascinantes capítulos sobre privacidade e proteção de dados
pessoais, bem como a importância de sua implementação, por meio das
aulas gravadas e disponibilizadas a seguir.
24