Você está na página 1de 36

http://revista.espiritolivre.

org | #084 | Jan/Fev 2021


licença

Espírito Livre · Jan/Fev 2021 02


Editorial

Uma mensagem
para o leitor
Olá, caro leitor. Como se sabe, no mundo No ambiente online, é de se esperar que o
virtual, na Internet, onde somos bits e bytes, compartilhamento de informações ocorra de
nossa vida se transforma em zeros e uns. Não forma muito mais fácil, daí a necessidade de
somos dotados de carne e osso, mas de proteção. Não que no mundo físico não hajam
impulsos elétricos que são convertidos preocupações, mas quando disponibilizamos
finalmente em dados. Estes, por sua vez, nossos dados em um formulário na Internet,
compõem o que somos nos ambientes online. o caminho que estes dados farão até o seu
Por isso que o cuidado e proteção destes real destinatário é um mistério para a ampla
mesmos dados é tão importante. A Lei Geral maioria. Acreditamos que eles estejam
de Proteção de Dados Pessoais - LGPD surge inicialmente protegidos, mas mesmo assim,
com a missão de proteger tais dados dados isso deveria ser sempre um motivo de
pessoais, em meios físicos e digitais. Ela se preocupação.
fundamenta em diversos valores, tais como o Dito isso, é importante observar que o
respeito à privacidade; à autodeterminação tema é extremamente relevante a todos,
informativa; à liberdade de expressão, de independente se você usa software livre ou
informação, comunicação e de opinião; à software proprietário em seu computador ou
inviolabilidade da intimidade, da honra e da dispositivo móvel. O uso e tratamento de
imagem; ao desenvolvimento econômico e nossos dados está agora em voga e tal
tecnológico e a inovação; à livre iniciativa, legislação visa criar um cenário protetivo
livre concorrência e defesa do consumidor e neste sentido.
aos direitos humanos de liberdade e O nosso convite para no envio de
dignidade das pessoas. O texto conta com 65 contribuições e participações está sempre
artigos, distribuídos em 10 capítulos e foi aberto. Participe! Será um prazer tê-lo
inspirado fortemente em linhas específicas conosco.
da regulação europeia, o Regulamento Geral João Fernando Costa Júnior
de Proteção de Dados. Editor-chefe
Diretor Geral Capa
João Fernando Costa Júnior Carlos Eduardo Mattos da Cruz e João Fernando Costa Júnior
Editor-chefe Imagens
João Fernando Costa Júnior Freepik, Flickr, Pixabay e PxHere.
Revisão Contato
João Fernando Costa Júnior Site: http://revista.espiritolivre.org
Email: revista@espiritolivre.org
Arte e Diagramação Telefone: +55 27 981 124 903
João Fernando Costa Júnior
Jornalista Responsável ISSN Nº 2236031X
Larissa Ventorim Costa - ES00867JP
Colaboradores desta edição O conteúdo assinado e as imagens que o integram são de inteira
Alexandre Resende, Camila Trevisan, Carlos Souza, Eloiza Oliveira, responsabilidade de seus respectivos autores, não representando
Gisele Truzzi, Gracielle Torres, Jéssica Paula Felipe, Leonardo Barros, necessariamente a opinião da Revista Espírito Livre e de seus
Lilian Fonseca, Marina Andrade, Marjori Naiele Mocelin Klinczak, responsáveis. Todos os direitos sobre as imagens são reservados a
Nathália Ferreira, Ricardo Simonato, Rodrigo Branco e William Faria. seus respectivos proprietários.

Espírito Livre · Jan/Fev 2021 03


su m á ri o ⁄⁄ edição jan/fev 2021

03 EDITORIAL 23 LGPD: O QUE AS EMPRESAS


PRECISAM SE ATENTAR PARA O
por João Fernando Costa Júnior TRATAMENTO DE DADOS
por Camila Trevisan

05 A LGPD ENTROU EM VIGOR: O 26 RANSOMWARE E A LGPD: O


QUE AS EMPRESAS DEVEM FAZER
AGORA? QUE AS EMPRESAS DEVEM SE
PREOCUPAR?
por Gisele Truzzi
por William Faria

08 O CALCANHAR DE AQUILES DA 24 LGPD E A ASCENSÃO DO USO


LGPD
DA NUVEM
por Gracielle Torres
por Leonardo Barros

11 DESAFIOS FRENTE À LGPD 30 QUAL O IMPACTO DA LGPD NA


por Marjori Naiele Mocelin Klinczak ROTINA DAS ESCOLAS E DOS
PROFISSIONAIS DE EDUCAÇÃO?
por Nathália Ferreira

14 A LGPD E O VALOR PRECIOSO 32 A LGPD IMPACTARÁ NO


DOS DADOS MONITORAMENTO E NA
por Alexandre Resende, Rodrigo Branco e INVESTIGAÇÃO EPRESARIAL?
Ricardo Simonato por Jéssica Paula Felipe

17 COMO CONCILIAR A LGPD E O 34 LGPD E OS DESAFIOS NO


USO DOS DADOS NAS SETOR DA SAÚDE
INVESTIGAÇÕES CORPORATIVAS?
por Carlos Souza
por Lilian Fonseca e Eloiza Oliveira

21 IMPACTOS DO VAZAMENTO DE
DADOS PESSOAIS
por Marina Andrade

Espírito Livre · Jan/Fev 2021 04


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: Freepik
A LGPD entrou em vigor:
o que as empresas
devem fazer agora?
por Gisele Truzzi

Espírito Livre · Jan/Fev 2021 05


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Finalmente a LGPD (Lei Geral de questionamentos. O Encarregado será o


Proteção de Dados – Lei nº 13.709/2018) porta-voz da privacidade e da proteção de
entrou em vigor. Mais exatamente dia dados na instituição, devendo zelar pelo
18/09/2020. Depois de quase 10 anos de cumprimento da LGPD na organização e
discussões entre Congresso Nacional e atendendo às solicitações dos titulares dos
sociedade, sendo 2 anos de vacância dados e autoridades.
(prazo determinado para a sociedade como A ANPD foi criada, porém ainda não foi
um todo se adequar à lei), e em um ano estruturada. Isso deverá ocorrer nos
com tantas idas e vindas, onde muitas próximos meses. Enquanto isso, entende-
pessoas estavam esperando até o último se que o Ministério Público eventualmente
momento para ver se a lei iria vingar poderá cumprir o papel de fiscal da lei,
mesmo, obviamente que este dia chegou. contudo, sem imposição de multas.
Agora temos um marco regulatório em Portanto, nesse momento, há sete
relação a privacidade e proteção de dados sugestões de ações emergenciais para
pessoais em nosso país. cumprimento da LGPD:
A finalidade da LGPD é a proteção dos 1. Definição do cargo de Encarregado na
dados pessoais, objetivando assim instituição, juntamente com o seu canal de
salvaguardar as informações de pessoas contato específico, que deverá ser
físicas. A lei se aplica a toda operação de divulgado publicamente no site da
tratamento de dados pessoais realizada organização. Assim, os titulares dos dados
por empresas privadas, órgãos públicos ou pessoais, ao entrarem em contato com a
até mesmo por pessoas físicas, seja em instituição, já saberão para onde
ambiente online ou offline, direcionarem seus questionamentos
independentemente do país onde estes relacionados ao tratamento de dados
responsáveis pelo tratamento estejam pessoais.
localizados ou do local dos dados que 2. Revisão dos Termos de Uso e Política
serão alvo deste tratamento. de Privacidade de seus sites, aplicativos e
As disposições gerais da LGPD já estão portais, com a menção do Encarregado e
valendo. Ou seja: agora qualquer cidadão, contato respectivo nestes documentos, bem
titular dos dados pessoais, poderá como verificação de outros detalhes
questionar as empresas privadas ou órgãos importantes relacionados à privacidade.
públicos sobre como é feito o tratamento 3. Plano de ação: é possível a elaboração
da sua informação pessoal. Esse de um plano de ação para implantação da
questionamento poderá vir através de LGPD, com descritivo das medidas
canais específicos de contato emergenciais já adotadas, dos
disponibilizados pela instituição, que procedimentos em andamento e as
deverá nomear um Encarregado: indivíduo atividades que ainda serão desenvolvidas,
ou setor responsável pelo atendimento das com cronograma específico para
questões relacionadas a privacidade e atendimento de cada etapa. Desta forma, a
proteção de dados pessoais dentro da instituição já demonstra que está em
organização. Será o Encarregado o canal processo de adequação à lei e consegue
de comunicação entre os agentes de informar o prazo em que pretende finalizar
tratamento de dados (controlador e a implantação, atendendo assim à
operador), a ANPD (Autoridade Nacional de eventuais questionamentos dos titulares
Proteção de Dados), o titular dos dados dos dados, órgãos públicos e da ANPD.
pessoais (pessoa física) e eventualmente 4. Revisão da documentação jurídica: é
outras autoridades públicas que fizerem essencial que a instituição revise seus

Espírito Livre · Jan/Fev 2021 06


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

contratos, termos e aditivos, analisando-se 6. Garantia dos direitos dos titulares: a


um tipo de contrato por categoria (como LGPD define expressamente alguns direitos
“tipos de contratos”, podemos exemplificar dos titulares dos dados pessoais (art. 18 da
os seguintes: colaborador CLT, colaborador lei), tais como: acesso, retificação,
PJ, cliente, fornecedor, prestador de exclusão, portabilidade, anonimização,
serviços, estagiário, terceirizado, etc.) A revogação do consentimento, entre outros.
revisão detalhada da documentação jurídica A instituição deve garantir meios válidos
básica que vincula as principais relações para que no processo de tratamento dos
jurídicas e comerciais da instituição é muito dados pessoais, possa atender à tais
importante, pois, por mais que a empresa direitos quando for questionada.
não tenha clientes pessoa física, ela possui 7. Conscientização: é importante
colaboradores, e estes, como pessoas também que em algum momento a
físicas que são, devem ter a proteção de instituição se preocupe em conscientizar
seus dados pessoais de forma adequada, de todos os seus colaboradores sobre a LGPD e
acordo com a LGPD. o impacto de suas atividades no processo
5. Revisão do consentimento: verificar a de tratamento de dados pessoais, a fim de
forma e as condições impostas no processo cada funcionário compreenda a importância
de obtenção dos dados pessoais que serão de sua atividade ao lidar com informações
objeto do tratamento, a fim de garantir de sensíveis de terceiros. Sem criar cultura
que a manifestação do indivíduo é feita de interna de proteção de dados não há como
forma expressa, livre, inequívoca e atingir conformidade legal, pois as
específica para as finalidades necessárias. empresas são feitas de pessoas.
Caso isto não ocorra, o tratamento dos
dados pessoais deverá ocorrer com
fundamentação em outra base legal da G ISELE TRUZZI É ADVOGADA ESPECIALISTA EM D IREITO D IGITAL,
LGPD. FUNDADORA DE "TRUZZI ADVOGADOS ".

Espírito Livre · Jan/Fev 2021 07


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: Freepik
O calcanhar de Aquiles
da LGPD
por Gracielle Torres

Espírito Livre · Jan/Fev 2021 08


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Por ter sido inspirada na GDPR (General para garantir o sigilo e segurança no
Data Protection Regulation), lei de proteção armazenamento dos dados  provendo assim
de dados europeia, a LGPD também ficou ao consumidor, parceiro ou fornecedor a não
conhecida como “GDPR brasileira”. A exposição de suas informações em caso de
finalidade da LGPD é regulamentar o invasões cibernéticas. Desta forma, a lei
tratamento de dados pessoais dos cidadãos deverá impactar positivamente a vida das
brasileiros, dentro e fora do Brasil, quer seja pessoas garantindo o direito à privacidade e
em meio digital ou físico. A partir de agora a prevenção de fraudes através do sigilo de
os brasileiros terão mais controle sobre suas dados financeiros que quase sempre são o
informações e sua privacidade pois poderão alvo dos vazamentos de dados, decorrentes
ou não ceder dados pessoais e exigir que o das invasões aos sistemas.
captador (empresa) defina exatamente a Outro ponto importante é que a lei possui
finalidade das informações solicitadas bem uma ampla abrangência, não se restringindo
como a forma como serão tratadas antes de ao tratamento de dados apenas de
dar seu consentimento de uso. empresas de tecnologia, e sim por pessoa
A lei entrou em vigor em 18 de setembro natural ou por pessoa jurídica, de direito
de 2020 após quase 2 anos de prazo para público ou privado.
adequação das empresas na forma de O principal ponto positivo será o maior
coleta, manipulação, armazenamento e controle que  os brasileiros terão sobre suas
descarte de informações relativas a dados informações, sua privacidade e maior
pessoais. Aqueles que descumprirem a lei garantia de prevenção contra fraudes  uma
poderão ser penalizados pela Agência vez que seus dados pessoais e financeiros
Nacional de Proteção de Dados estarão mais seguros. Acredito também que
(ANPD),  órgão regulador, já a partir de 1º de a lei deverá mudar a cultura de segurança
agosto de 2021. A agência poderá efetuar da informação dentro das empresas e isso
advertências, a proibição total ou parcial de resultará em menos ocorrências de invasões,
atividades relacionadas ao tratamento de ataques, vazamentos de dados e
dados e até multas que poderão representar consequentemente menos perda de
até 2% de seu faturamento total, podendo informações e paralisações que sempre
chegar a R$ 50 milhões por infração. resultam em perdas financeiras.
A LGPD veio para proteger as informações É importante ressaltar que a LGPD
pessoais e também coibir o tratamento também dispõe sobre o tratamento de dados
irresponsável de dados, como o caso das pessoais de crianças e de adolescentes, que
empresas, por exemplo, que coletam a partir de agora deverá ser realizado com o
informações do seu público e as vendem consentimento específico, e em destaque,
para outras empresas, que por sua vez as dado por pelo menos um dos pais ou pelo
utilizam na prospecção de clientes e responsável legal. E ainda: estipula que os
divulgação de produtos e serviços. Isso gera controladores (a quem compete às decisões
um alto grau de importunação à pessoa que referentes ao tratamento de dados pessoais)
acaba sendo inundada com publicidade não deverão condicionar a participação de
direcionada através de canais eletrônicos crianças em jogos, aplicações de internet ou
além das famosas e irritantes ligações de outras atividades ao fornecimento de
telemarketing, até mesmo aos finais de informações pessoais além das estritamente
semana. necessárias à atividade. Isso é
Além disso, a lei vai exigir das empresas demasiadamente importante para impor
uma  readequação de seus processos de limites a serviços como redes sociais,
tratamento de dados, incluindo medidas aplicativos e demais portais que muitas

Espírito Livre · Jan/Fev 2021 09


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

vezes exigem informações desnecessárias a Nós, profissionais da área de TI/Segurança


crianças e adolescentes com a real intenção da Informação esperamos que as empresas
de obter leads qualificados para não demorem a tomar a decisão de buscar
direcionamento de publicidade segmentada orientação profissional e multidisciplinar
para esse público. Ao utilizar essas para se adequarem à lei, pois o tempo para
informações para compor peças publicitárias isso será diretamente proporcional à
acabam incluindo elementos abusivos, o que maturidade da cultura de segurança da
é proibido pela resolução 163 do Conselho empresa. Se ela for inexistente, demandará
Nacional dos Direitos da Criança (Conanda). muito mais trabalho e investimento do que
Como aspecto negativo, vejo que o aquela que já adota o “privacy in design”, ou
momento em que a lei entrou em vigor, em seja, que já prevê a a preocupação com a
meio à pandemia trará dificuldades às privacidade desde a concepção de um
empresas para o processo de adequação produto ou serviço. É importante salientar
uma vez que o momento trouxe enormes também que tão importante quanto o
prejuízos financeiros às empresas departamento jurídico é a participação dos
especialmente as pertencentes a setores profissionais especialistas em TI/Segurança
que sofreram paralisações. Somando-se às da Informação, imprescindíveis para o
dificuldades do momento atual a falta da sucesso dessa transição e uma perfeita
cultura da segurança da informação em adequação da empresa, afinal de contas são
nosso país, a qual costumo chamar de “o eles profundos conhecedores dos processos
calcanhar de Aquiles da LGPD”, os prejuízos da empresa e estão aptos a apontar as
podem vir não só para as empresas, mas vulnerabilidades em software/hardware e até
também para os consumidores. E por fim um mesmo nos processos.  Não haverá espaço
aspecto muito importante é a falta de para amadorismo ou improvisação que
percepção de muitos executivos de que podem pesar no bolso dos empresários em
segurança da informação é investimento e salgadas multas, perda de reputação ou até
não despesa e que principalmente agora, mesmo impedimento das atividades.
com a lei, a prevenção deverá ser adotada
como estratégia dos negócios. G RACIELLE TORRES É ESPECIALISTA EM S EGURANÇA D IGITAL
C ORPORATIVA [ HTTPS ://WWW. GRACIELLETORRES . COM . BR].

Espírito Livre · Jan/Fev 2021 10


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: Freepik
Desafios frente à LGPD
por Marjori Naiele Mocelin Klinczak

Espírito Livre · Jan/Fev 2021 11


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD) hipóteses descritas no artigo 7º da LGPD a


entrou em vigor dia 18/09/2020, e em coleta se enquadra, e em caso de
linhas gerais ela versa sobre os direitos dos necessidade, pedir o consentimento dos
titulares quanto aos seus dados pessoais usuários quanto a esse tratamento.
(dados que permitem a identificação de • Verificação se todos os dados
uma pessoa) e sensíveis (dados referentes armazenados são essenciais e estão de
as características da personalidade e acordo com a finalidade com a qual foram
escolhas pessoais de cada um), não coletados, por exemplo, se um email foi
permitindo mais que as empresas captem coletado para o fim de cadastro, ele não
dados dos usuários de forma massiva sem pode ser compartilhado com outras
o devido consentimento do mesmo, e empresas ou usado para envio de email
respeitando a finalidade que a captura se marketing sem o consentimento explicíto
destina. do usuário.
Com isso, quaisquer empresas que • Em caso de disputas judiciais, cabe a
trabalhem com dados de usuários empresa provar que o usuário realmente
precisam tomar uma série de medidas consentiu com o tratamento de seus dados
para evitar que hajam vazamentos de e quando isso foi feito.
dados, e que caso haja, que tenham um • Criação (caso a empresa ainda não
plano de resposta e contenção de danos, e tenha) de planos de mitigação em caso de
também que toda a coleta de informações vazamento de dados, bem como de
esteja dentro de uma das 10 hipóteses notificação dos usuários e dos órgãos
prevista no artigo 7º da LGPD. legais em caso de incidentes.
Dessa maneira, as empresas precisam • Realização de testes de invasão
de uma adequação técnica que envolve períodicos nos sistemas informáticos.
não somente toda a empresa, mas exige • Em caso de anonimização dos dados
uma multidisciplinaridade dos profissionais (tornar os dados sem possibilidade de
que irão trabalhar com a legislação, vínculo com seus titulares), poder provar
principalmente nos tópicos de: segurança isso de forma técnica.
da informação, compliance, entendimento • Necessidade de criação de um canal
do negócio da empresa e direito digital. de contato com os titulares, onde eles
Com isso, surgem alguns desafios, poderão revogar o consentimento de
principalmente relacionados a área da TI, tratamento dos dados ou pedir que lhes
mas não somente, sendo eles: seja enviado o que a empresa possui,
• Necessidade de entrevista com os dentro de prazo razoável.
colaboradores e entendimento de onde e
como os dados são obtidos (via ligação, via Temos então que a criação e entrada em
contratos, via redes sociais, via cadastro vigor da LGPD cria muitos desafios não
dos usuários por sites, etc), o que é feito somente para a tecnologia da informação,
com eles, como são armazenados e como mas para toda a empresa, que deve
são descartados. Assim é necessário um colocar os direitos dos titulares em foco
controle de cada etapa do ciclo de vida, dentro das suas operações diárias, o que
bem como a devida comprovação de que exige que toda a empresa esteja em
tal etapa foi cumprida de acordo, e mais compliance e os funcionários devidamente
difícil ainda, comprovar de forma técnica treinados.
que esse descarte foi realmente feito.
• Obrigatoriedade de escolha de uma
base legal para tratamento desses dados, M ARJORI N AIELE M OCELIN KLINCZAK É CEO NA M OSAIC
WEB , PERITA JUDICIAL EM INFORMÁTICA E MEMBRO DO PARANÁ
ou seja, deve-se verificar em qual das PERICIAS .
Espírito Livre · Jan/Fev 2021 12
Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: Pixabay
A LGPD e o valor
precioso dos dados
por Alexandre Resende, Rodrigo Branco e Ricardo Simonato

Espírito Livre · Jan/Fev 2021 14


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

A LGPD (Lei Geral de Proteção de Dados Da teoria para a prática


Pessoais) tem sido assunto frequente no Lanço aqui um questionamento: A LGPD
mundo corporativo e na imprensa. vai fazer com que as empresas não troquem
Sancionada em 2018, ela entrou em vigor em dados entre si? É provável que não. Inclusive,
setembro de 2020 com o objetivo de o consumidor já vem sendo avisado sobre
regulamentar o tratamento de dados essa possibilidade. Recentemente, o
pessoais de clientes e usuários por parte de WhatsApp enviou aos usuários uma
empresas, sejam elas públicas ou privadas. O atualização de sua política de privacidade, e
objetivo é assegurar que as informações informou que passará a compartilhar os
disponibilizadas não sejam usadas de formas dados do seu público com as empresas do
que não tenham sido autorizadas. Uma Facebook. Imaginam quantas empresas o
proteção aos consumidores e uma grande Facebook tem?
responsabilidade para as companhias que É importante que esses termos passem a
hoje enxergam dados como ouro. ser lidos pelos consumidores com atenção,
Para se ter ideia do valor de uma antes de serem assinados, evitando assim,
informação pessoal, é importante saber que que se espantem caso temas centrais de
grandes empresas já fazem a medição de seu suas conversas com colegas no aplicativo de
"valuation" (termo em inglês que significa mensagens começarem a surgir em forma de
"Valoração de Empresas") pelos ativos de anúncio no seu feed.
dados que têm. Voltando ao início da reflexão e
A Coca-Cola, por exemplo, uma das considerando que o valor dos negócios hoje
marcas mais valiosas do globo, tem se baseia em dados, seria inocência pensar
informações de consumo do mundo inteiro que eles não serão usados como moeda. Mas
que estão começando a fazer parte de seu o que pode ocorrer em alguns casos é a troca
valor global. No entanto, esses dados não de dados sem a identificação da pessoa. A
são da companhia, mas sim do João, da Maria quem aquele dado pertence não seria o que
e de tantos outros consumidores do popular mais importa. O que vale é contar com os
refrigerante e de outros famosos produtos. atributos como fonte de aprendizado de
E por que a atribuição de tamanho valor a máquina. Dessa forma, se creditaria mais
algo que pertence a terceiros? Porque dados ética ao processo.
pessoais são usados para gerar inteligência O Brasil já conta com a ANPD (Agência
de negócio, além de poder proporcionar Nacional de Proteção de Dados) e uma de
maiores fluxos de caixa futuros às suas atribuições é punir empresas que
companhias. Marcas que sabem com quem estiverem desrespeitando a lei. O órgão,
estão falando saem na frente. Entender o porém, ainda está em maturação e não
público profundamente nunca foi tão existe uma equipe 100% definida para dar
precioso. conta do desafio. Hoje, a fiscalização na
E uma vez que nós, pessoas físicas, prática ocorre em contratos, sob pena de
cedemos nossas informações às empresas multa, nos quais se exige que fornecedores
precisamos ter consciência do que será feito estejam aderentes à lei. Como não era de se
com elas - como serão usadas, armazenadas estranhar, o cumprimento das regras se deu
e quem terá acesso a elas. Termos de antes pelo fórceps econômico do que pela
concordância se tornaram mandatórios e, a consciência em si.
partir do momento em que aceitamos Aqui, o compartilhamento de dados ainda
compartilhar nossas informações, as costuma ser mais visto como algo que fere a
empresas são obrigadas a cuidar delas, nossa privacidade de forma negativa. Um
evitando ao máximo seu vazamento. exemplo é o caso emblemático de uma
conhecida empresa que foi multada porque
Espírito Livre · Jan/Fev 2021 15
Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

estava usando a geolocalização de usuários e Claro que tudo isso precisa ser feito com o
trabalhando esses dados sem o aceite dos consumidores. Assim, eles
consentimento deles. Quando o consumidor saberiam tudo o que estão fazendo, qual a
toma um grande susto ao, por exemplo, intenção de uso e, também, teriam o total
passar em frente a uma loja e imediatamente direito de falar no caixa da farmácia, "por
receber uma mensagem com sugestão de favor apaga meu CPF". E o atendente na
compra naquele local, ele pode se sentir mesma hora responder: "Sim senhor(a), veja
invadido e exigir seus direitos de privacidade. aqui, não tem mais nada registrado".
As preferências sugeridas pela Netflix são
Sob outra perspectiva outro exemplo claro. Quanto maior a
Mas se pararmos para pensar, a personalização, melhor tende a ser a
personalização - tão importante nas relações experiência do usuário. O grande problema é
comerciais atuais, e valorizada pelos que muitos business, na ânsia de coletar o
cidadãos - só é possível graças ao uso de máximo possível de informações, se
dados. Importante lembrar que a utilização esqueceram, ou não se preocuparam tanto
correta das informações pessoais pode trazer em tomar conta delas. Se isso acabou
benefícios para os dois lados - empresa e acontecendo nos últimos anos, foi motivo
consumidor. para acender um alerta vermelho perante as
Imagina se na hora de passar no caixa de autoridades de defesa do consumidor, o que
uma farmácia, por exemplo, você soubesse incentivou a criação da LGPD.
como o seu CPF pode ser usado depois Espero que, em um futuro próximo,
daquela compra? Se o atendente deixasse possamos reconhecer os benefícios que a lei
claro que a drogaria usa alguns dados para nos trouxe e ainda nos trará, e que a conduta
entender o padrão de consumo e avaliar se responsável de empresas seja, de fato,
pode oferecer condições melhores para colocada em prática. Dados são tesouro,
produtos diversos, inclusive para seus para consumidores e companhias. Que cada
medicamentos de uso contínuo? Se a um faça a sua parte a fim de usufruí-los com
farmácia deixasse bem claro que, se puder a máxima sabedoria.
compartilhar sua informação com o
laboratório fabricante do medicamento, para ALEXANDRE RESENDE É CIO DA S ERCOM E CEO DA
ele analisar a possiblidade de te vender C ONTACTO NE .
sempre com desconto um remédio que vai RODRIGO B RANCO É CDO (C HIEF DATA OFFICER) DA S ERCOM .
usar para o resto da vida, você não iria achar RICARDO S IMONATO É GERENTE DE S EGURANÇA DA I NFORMAÇÃO
legal? DA S ERCOM .

Espírito Livre · Jan/Fev 2021 16


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: PxHere
Como conciliar a LGPD e
o uso de dados nas
investigações
corporativas?
por Lilian Fonseca e Eloiza Oliveira

Espírito Livre · Jan/Fev 2021 17


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

A busca pelo combate à fraude e à profissional do potencial fraudador,


corrupção é cada vez mais frequente e desde que descrito na política
intensa nas empresas. Além de uma corporativa de segurança de
ameaça direta à perenidade e ao informações e privacidade, são
desenvolvimento dos negócios, tais comumente conduzidos por
irregularidades têm como consultorias independentes, que são
consequência a perda de credibilidade contratadas por seus clientes para a
diante de um mercado que está ainda apuração e o cruzamento de
mais consciente e exigente sobre a informações, tendo seu devido
importância de práticas sustentáveis contexto, necessidade e objetivo.
pautadas em valores éticos e em Temos aqui um primeiro impasse a
compliance. ser considerado com a LGPD: o acesso
Nas situações não passíveis de a dados pessoais de uma organização
prevenção, ou seja, quando uma por um agente externo. A
irregularidade já ocorreu, essa busca imparcialidade da investigação deve
entra em cena como investigação garantir que serão explorados apenas
corporativa, tendo o objetivo de os dados sobre os quais há relação
identificar os responsáveis e indicar direta ao contexto trazido pelo próprio
possíveis vulnerabilidades sistêmicas cliente durante a contratação dos
ou de governança que possibilitaram serviços. Por exemplo, num trabalho
tal execução. Assim, é possível mitigar cuja motivação trata-se de denúncia
os riscos para que a empresa tome de assédio moral por parte de um
medidas cabíveis e se preserve de funcionário e o monitoramento
outros eventos semelhantes. eventualmente dá acesso ao endereço
Para cumprir este objetivo, o de sua residência, não é coerente que
tratamento de informações sensíveis é esta informação faça parte das
inevitável. Isso porque, durante uma apurações.
análise, os investigadores possuem Além da cautela com a
acesso amplo aos equipamentos imparcialidade e a coerência do
corporativos dos investigados. Por objetivo da investigação, há o
meio deles são extraídas, muitas comprometimento preestabelecido
vezes, evidências robustas que entre a consultoria e o cliente com a
respaldam a tomada de decisão. confidencialidade dos trabalhos
Porém, no atual contexto de vigência realizados, de modo a restringir o
da Lei Geral de Proteção de Dados acesso unicamente ao contratante -
(LGPD), há um novo desafio: garantir a esse, deve ser um fator sempre
continuidade do combate à fraude e à presente em qualquer trabalho
corrupção no meio empresarial sem legítimo de combate à fraude e à
que a Lei seja transgredida pela corrupção. Portanto, é essencial
própria organização ou pelos documentar formalmente a coleta
encarregados de executar as forense de dados para uma
abordagens investigativas. investigação com cadeia de custódia e
Nessas ocasiões, o acesso aos ata notarial atestando os
dispositivos eletrônicos e caixas de e- procedimentos adotados, bem como
mails corporativos de atuais ou antigos estabelecer com clareza junto ao
colaboradores ou o monitoramento das cliente o devido descarte das
atividades realizadas no equipamento informações após o fim das análises,

Espírito Livre · Jan/Fev 2021 18


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

evitando o vazamento a terceiros. interesses, inclusive para combater a


Também é importante refletir sobre o ocorrência de eventos fraudulentos.
resguardo do acesso a dados neste Nessa perspectiva, as investigações
contexto. Apesar da LGPD não corporativas não serão prejudicadas ou
mencionar investigações corporativas, comprometidas pela LGPD, desde que
é possível obter amparo por meio do sejam capazes de se adaptar aos
artigo 7º, inciso IX, sobre em quais cuidados propostos, a partir do
situações o tratamento de dados aperfeiçoamento de ferramentas e
pessoais pode ser realizado: "quando cautela sobre o acesso, tratamento e
necessário para atender os interesses descarte de informações. Superando
legítimos do controlador ou de tais obstáculos, os trabalhos
terceiros", desde que seja realizada a investigativos em empresas obtêm,
avaliação de riscos e sejam aplicados e inclusive, contribuição à Lei.
documentados controles de
minimização para eventuais
comprovações no caso de
questionamentos pela ANPD
(Autoridade Nacional de Proteção de
Dados). Assim, pode-se dizer que a
empresa, no papel de detentor dos
dados de seus equipamentos, LILIAN FONSECA É CONSULTORA DE I NVESTIGAÇÃO.
ferramentas e estruturas tecnológicas,
tem o direito de requerer e autorizar o E LOIZA O LIVEIRA É GERENTE DE I NVESTIGAÇÃO, AMBAS ATUAM
NA ICTS PROTIVITI , EMPRESA ESPECIALIZADA EM SOLUÇÕES PARA
tratamento das informações ali GESTÃO DE RISCOS , COMPLIANCE , AUDITORIA INTERNA,
contidas para atender aos seus INVESTIGAÇÃO , PROTEÇÃO E PRIVACIDADE DE DADOS .

Espírito Livre · Jan/Fev 2021 19


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: Freepik
Impactos do vazamento
de dados pessoais
por Marina Andrade

Espírito Livre · Jan/Fev 2021 21


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

O Brasil sofre com uma epidemia de o vazamentos prejudicam a imagem e a


vazamento de dados pessoais e expõe a falta credibilidade no mercado; 2) impacto
de segurança no ambiente digital. Fóruns financeiro: multas que podem chegar até 2%
usados por cibercriminosos vendem os dados do faturamento anual global limitada a R%
vazados, prática que se tornou muito 50.000.000,00 por incidente (a serem
rentável. aplicadas pela Autoridade Nacional de
Diante dos últimos mega vazamentos, um Proteção de Dados (ANPD) a partir de agosto
envolvendo de 223 milhões de pessoas e de 2021); 3) impacto na operação: a ANPD
outro envolvendo 100 milhões de contas de poderá suspender ou proibir a atividade da
celular, fica evidente a necessidade de se empresa, bem como poderá bloquear o
investir em proteção. banco de dados ou determinar a sua
A recente Lei Geral de Proteção de Dados exclusão; 4) impacto jurídico: as empresas
Pessoais (Lei 13.709) traz à pessoa uma série poderão sofrer ações judiciais movidas pelas
de direitos e determina que as empresas vítimas, entidades de classe ou pelo
implementem medidas técnicas e Ministério Público.
administrativas aptas a proteger os dados Não há um site, plataforma ou um sistema
pessoais contra vazamentos, sob pena de de uma empresa 100% seguro, entretanto,
duras sanções e de indenizações aos existem medidas preventivas e de mitigação
prejudicados. para que, caso eventos assim ocorram, os
Para as vítimas de vazamentos, eventos impactos sejam os mais brandos possíveis e
como esses trazem uma série de prejuízos, as penalizações menores.
como o roubo de identidade (ocasionando a A capacidade das empresas em responder
abertura de contas, compras com cartão de a esses vazamentos e recuperar os danos
crédito, transferências indevidas); clonagem causados será o grande diferencial
de aplicativos e dispositivos; novos competitivo dos próximos anos.
vazamentos de dados, entre outros.
Já para as empresas, os principais M ARINA ANDRADE É ESPECIALISTA EM PROTEÇÃO DE DADOS E
impactos são: 1) impacto na reputação, pois SÓCIA DA LOBO & VAZ.

Espírito Livre · Jan/Fev 2021 22


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: PxHere
LGPD: O que as
empresas precisam se
atentar para o
tratamento de dados
por Camila Trevisan

Espírito Livre · Jan/Fev 2021 23


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Provavelmente você já ouviu falar na LGPD direitos de cancelamento, oposição,


- Lei Geral de Proteção de Dados que entrou portabilidade, compartilhamento de dados e
em vigor em 18/09/2020, ressalvadas as revisão de decisões automatizadas, estes um
sanções visto que somente poderão ser pouco mais complexos e que vão exigir uma
aplicadas a partir de agosto/2021, conforme boa gestão de privacidade de dados dentro
estabelecido pela Lei 14.010/20. da empresa.
A Lei veio para fomentar o Ressalta-se que, antes de cumprir
desenvolvimento econômico e tecnológico qualquer dos direitos acima expostos, é
das empresas, bem como, proteger direitos e necessário a autenticação do usuário,
liberdades fundamentais dos titulares, jamais devendo encontrar uma maneira eficiente de
para prejudicar qualquer modelo de negócio. confirmar que quem está exercendo aquele
Mas uma visão errada que as empresas direito é,de fato, o titular.
estão tendo sobre a LGPD é que agora será Por fim, com relação às sanções previstas
necessário coletar o consentimento de todos na Lei, observa-se que uma das maiores
os titulares de sua base de dados para preocupações das empresas é a aplicação de
continuar realizando o tratamento desses multa em caso de infração da mesma,
dados. entretanto, existem outras punições que
O consentimento é apenas uma das dez podem ser muito mais prejudiciais à empresa
bases legais que a legislação trouxe para como, por exemplo, a suspensão do exercício
autorizar as empresas a tratarem dados da atividade de tratamento de dados,
pessoais. Aliás, em que pese não haver ocasião em que a empresa ficará suspensa
sobreposição entre as bases legais, o que se de tratar dados por determinado período,
aconselha é que as empresas utilizem o uma penalidade muito mais severa,
consentimento em último caso, ou seja, dependendo do modelo de negócio.
apenas quando determinada finalidade de Vale destacar que será avaliado, dentre
tratamento de dados não se encaixar nas outros fatores, quais foram os danos gerados
outras nove bases legais. para o titular e qual a gravidade daqueles
Frisa-se que o que determina qual base danos para a aplicação de uma eventual
legal tem que ser usada é o  caso concretoe sanção, o que demonstra a importância de
deve ser levado em consideração a origem, a uma cultura de proteção de dados efetiva
categoria e a finalidade do dado. Além disso, dentro da empresa, uma vez que a
tem-se que para cada finalidade é necessário demonstração dos esforços voltados para
indicar uma base legal para justificar o essa área, tornam a empresa menos
tratamento daqueles dados. propensa a ser penalizada com uma das
Lembrando que, de acordo com a LGPD, sanções previstas na Lei.
compreende-se como tratamento de dados Posto isso, apesar de ser um tema cheio
toda e qualquer atividade relacionada ou de detalhes, o caminho para tratamento de
feita com o dado pessoal, desde o momento dados em consonância com a LGPD é mais
em que ele é coletado até o momento em simples do que parece, basta que as
que ele é excluído da base de dados. empresas foquem sempre na transparência
Outro ponto importante da Lei pelo qual as em suas relações com seus titulares,
empresas devem se atentar, são os direitos deixando tudo bem documentado, caso seja
dos titulares e como garantir que sejam necessária uma prestação de contas à ANPD
cumpridos dentro da organização. Dentre (Autoridade Nacional de Proteção de Dados).
eles estão os direitos de acesso, confirmação
e retificação dos dados, os quais são mais
simples de serem cumpridos, bem como, os C AMILA TREVISAN É ADVOGADA DO E SCRITÓRIO ROCHA LEITE .

Espírito Livre · Jan/Fev 2021 24


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: Freepik
Ransomware e a LGPD:
o que as empresas
devem se preocupar?
por William Faria

Espírito Livre · Jan/Fev 2021 26


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Nos últimos meses o Brasil sofreu uma criptomoedas, como o Bitcoin, para dificultar
onda de ataques cibernéticos, principalmente o rastreamento pelas autoridades policiais.
em órgãos da administração pública, tais A empresa pode se sentir segura por
como os sites do Governo do Distrito Federal conseguir restabelecer sua operação de
e do Superior Tribunal de Justiça. No dia 3 de forma rápida, com a subida dos backups
novembro, por exemplo, os servidores do STJ armazenados em locais seguros e com a
foram alvos de um ataque de hackers, integridade garantida, por exemplo, como foi
ministros e servidores ficaram sem acessos à o caso do STJ. Quais são, no entanto, as
e-mails e arquivos. consequências se o criminoso expuser os
Ainda não se tem a dimensão e as dados pessoais em plataformas públicas com
consequências deste ataque, não se sabe, por o advento da LGPD ?
exemplo, se os hackers conseguiram realizar A partir de agosto de 2021, a empresa
cópias dos dados ou se houve vazamento de poderá sofrer multas e penalidades mediante
processos que correm em segredo de Justiça. a denúncia à ANPD. Hoje, porém, ela hoje já
De qualquer forma, esta situação serve de pode sofrer com uma enxurrada de ações na
alerta para não apenas as repartições esfera cível dos titulares dos dados que foram
públicas, mas também para as empresas do vazados.
setor privado, em relação às medidas A adequação das companhias para a
preventivas de segurança cibernética. proteção e privacidade de dados pessoais
Este ataque torna-se ainda mais grave deve ser pensada para além dos planos
porque estamos sob legislação LGPD, que jurídicos-processuais de compliance, com
entrou em vigor no último mês de setembro. investimentos em treinamentos, plataformas
A Lei Geral de Proteção de Dados determina de cibersegurança e implementação de SOCs
todo um procedimento para atuação dos (Security Operations Center) para prevenir
Controladores de Dados Pessoais em relação vulnerabilidades, monitorar e interromper
a incidentes de vazamento de dados, entre ataques e vazamentos de dados. E, claro,
eles a comunicação da Autoridade Nacional possuir um bom plano de respostas a
de Proteção de Dados (ANPD) e dos titulares incidentes e recuperação de desastres.
de dados que tiveram suas informações Antes da LGPD um ataque de Ransomware
afetados durante a investida. "apenas" paralisaria suas operações por um
O ransomware é um vírus bastante período. Agora, pode trazer prejuízos
conhecido no Brasil. Ele bloqueia dados em financeiros, jurídicos e reputacionais
um computador utilizando criptografia, terríveis.As organizações, sejam elas públicas
causando o embaralhamento das informações ou privadas, precisam aproveitar esse
e, consequentemente, a obstrução ao acesso momento de adequação da LGPD e investir
desses conteúdos. Hoje, o Brasil ocupa a porque o mercado de sequestro de dados
segunda posição entre os mais atacados por ficou mais "atrativo".
esse tipo de ameaça, segundo a Trend Micro. Para os próximos anos, os investimentos
Além disso, o país detém a liderança mundial em Cibersegurança devem ser itens
em phishing, golpe utilizado pelo prioritário nos orçamentos corporativos. Os
cibercriminoso para enviar o ransomware e cibercriminosos estão com o apetite aguçado,
sequestrar ou invadir uma máquina, um tanto por motivos financeiros quanto por
banco de dados ou um sistema por meio de ativismos, e a LGPD está em marcha para
um e-mail falso. A artimanha do ransomware proteger os dados dos cidadãos de qualquer
consiste em após obter os dados, o hacker violação.
solicitar o pagamento de um resgate para a
liberá-los, normalmente por meio de WILLIAM FARIA É DPO (D ATA PROTECTION O FFICER) E
ESPECIALISTA EM SEGURANÇA DA INFORMAÇÃO DA GFT B RASIL.

Espírito Livre · Jan/Fev 2021 27


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: Flickr
LGPD e a ascensão do
uso da nuvem
por Leonardo Barros

Espírito Livre · Jan/Fev 2021 28


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Uma das obrigações previstas pela LGPD Ao hospedar os dados em uma cloud
(Lei Geral de Proteção de Dados Pessoais) terceirizada, as empresas têm mais
é que dados pessoais sejam armazenados vantagens em estarem em compliance
apenas em território nacional. Em com a LGPD, bem como com a saúde
contrapartida, hoje, os grandes players de financeira do negócio. Uma pesquisa da
armazenamento em nuvem são Global Data Protection Inde revelou que,
estrangeiros. Diante deste cenário, é em 2018, 72% das companhias brasileiras
previsto que a exigência da nova Lei faça o tiveram problemas com perda ou
Brasil crescer em número de operações de indisponibilidade de dados.
data centers. Neste ponto, muitas Isso significa que essas companhias
empresas estão em dúvida em relação à vazaram os dados de clientes, o que no
adoção de uma estrutura própria ou cenário atual, seria uma infração à Lei, já
terceirizada. que a LGPD alerta para a responsabilidade
Analisando o primeiro ponto, manter um de guarda dos dados pessoais. E, no
data center interno envolve um custo alto, quesito indisponibilidade, a latência dos
sem contar o investimento com a aquisição servidores, que é quanto tempo os dados
de uma infraestrutura composta por demoram para ser entregues na nuvem,
alimentação de energia, hardwares, ar pode ocasionar a falta de acesso aos
condicionados de precisão, nobreaks, sistemas, o que vai gerar uma lentidão na
geradores, entre outros equipamentos. Já execução de tarefas, prejudicando a saúde
para ter segurança, que é o que evitará financeira da empresa.
ataques cibernéticos, será necessário Terceirizar a administração do ambiente
investir, entre outras coisas, em de TI, a guarda e a manutenção de
redundância, ou seja, toda a infraestrutura informações com um fornecedor
será em dobro. especializado envolve muito mais do que
Mesmo com todo este investimento, estar em conformidade com a LGPD.
uma infraestrutura própria não consegue Estamos falando de redução de custos,
atingir o padrão dos data centers segurança e disponibilidade no acesso e
certificados, que oferecem mais camadas armazenagem das informações, além da
de segurança e, por isso, se tornam garantia de foco no negócio.
seguros e disponíveis. Além de ser mais
confiável e menos oneroso, terceirizar o
trabalho de manutenção da segurança das
informações significa manter o foco na
atividade principal da empresa. LEONARDO B ARROS É DIRETOR EXECUTIVO DA REPOSIT.

Espírito Livre · Jan/Fev 2021 29


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: PxHere
Qual o impacto da LGPD
na rotina das escolas e
dos profissionais de
educação?
por Nathália Ferreira

Espírito Livre · Jan/Fev 2021 30


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD) tipo de dano ao titular, como as informações
está desafiando todas as instituições de saúde dispostas em atestados médicos e
brasileiras que tratam dados pessoais e, no agendas escolares.
âmbito educacional, não seria diferente. A Lei Iniciativas como o "Manual de Proteção de
visa regulamentar o ecossistema de coleta e Dados para Gestores e Gestoras Públicas
tratamento de dados que identificam os Educacionais", produzido pelo Centro de
titulares. No caso das escolas, os donos dos Inovação para a Educação Brasileira e pela
dados são estudantes e seus respectivos UNESCO, trazem à tona diretrizes
responsáveis, além de fornecedores e importantes, principalmente para as
profissionais de educação. Secretarias de Educação. Entre as
Tratando-se de números, no Censo orientações estão: modelos de políticas de
Educacional 2019 realizado pelo INEP privacidade, termos de uso, cláusulas para
(Instituto Nacional de Estudos e Pesquisas inserção nos contratos e afins. Entretanto,
Educacionais Anísio Teixeira), foram mais de faz-se necessário, para além da
47,9 milhões de crianças, jovens e adultos conformidade jurídica, a formação dos
matriculados apenas na educação básica e, docentes e profissionais de educação, bem
quanto aos docentes, mais de 2,2 milhões como dos estudantes e seus responsáveis
professores. Portanto, os desafios das sobre os aspectos da LGPD.
instituições de ensino perante à LGPD são Os pais e responsáveis devem ser
grandes, visto que, além do volume de envolvidos nesta formação, já que o
titulares de dados a serem gerenciados, há a consentimento parental será a base de
particularidade desses, em sua maioria, muitas atividades de tratamento por parte
serem menores de idade, tornando mais das instituições de ensino, principalmente
complexo o processo de coleta de das escolas particulares que possuem o
consentimento, no qual os responsáveis pelo compartilhamento de dados com parceiros e
estudante deverão permitir ou não a terceiros. A formação dos professores
utilização de seus dados. também se torna importante, visto que este
Este universo, para além dos desafios profissional possui discricionariedade em sala
próprios do ramo, teve um fator exponencial de aula, na qual coleta dados pessoais
em 2020 devido à pandemia da COVID-19: a diariamente por meio de trocas de
digitalização dos processos, incluindo a mensagens nas agendas dos alunos e nas
conversão do ensino presencial para a avaliações pedagógicas, principalmente dos
modalidade à distância. Logo, novos dados estudantes com necessidades especiais.
pessoais passaram a ser coletados pelas Vale destacar que a Lei Geral de Proteção
instituições de ensino, como o IP de conexão, de Dados é um avanço jurídico e
fotos, vídeos, cookies, avaliações organizacional acerca do tratamento de
socioeconômicas e, principalmente, as dados pessoais e sensíveis e assegura como
informações originadas a partir dos fundamento o desenvolvimento econômico,
atendimentos virtuais. tecnológico e a inovação, promovendo a livre
Assim, faz-se necessário que as escolas concorrência e de iniciativa, mas tendo como
públicas e as privadas estejam de acordo base os direitos fundamentais, como a
com a LGPD, assegurando o direito dos liberdade, privacidade e o desenvolvimento
titulares e a segurança dessas informações, da personalidade humana, valores que
visto que, além dos dados pessoais e dos apenas acrescentarão ao ambiente
menores de idade, essas instituições de educacional.
ensino possuem a transição de dados
sensíveis, ou seja, que podem causar algum N ATHÁLIA FERREIRA É FORMADA EM POLÍTICAS PÚBLICAS PELA
UFABC E C ONSULTORA DE D ATA PRIVACY DA ICTS PROTIVITI .

Espírito Livre · Jan/Fev 2021 31


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: PxHere
A LGPD impactará no
monitoramento e na
investigação
empresarial?
por Jéssica Paula Felipe

Espírito Livre · Jan/Fev 2021 32


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

A promulgação da Lei Geral de Proteção Se pensarmos que os bens


de Dados, ocorrida em setembro do ano disponibilizados pela empresa para os
passado, trouxe uma série de dúvidas para colaboradores executarem suas atividades,
as empresas brasileiras. Entre elas, como computadores e celulares, são de
observamos questionamentos sobre quais propriedade da organização, direito
serão os impactos da LGPD nos controles devidamente assegurado pela  Constituição
de monitoramento e de investigação Federal,  isso significa que os dados
empresarial. armazenados nesses equipamentos são de
Num primeiro momento, as empresas domínio da empresa e devem ser
estarão em busca da adequação à nova utilizados apenas para a finalidade
Lei, iniciando pelo mapeamento do ciclo de determinada pelo empregador.
vida de todos os dados pessoais coletados Por isso, é muito importante que seja
para a realização das suas atividades registrado, no momento da contratação,
econômicas. O processo começa pela para que o colaborador tenha ciência que
identificação do titular dos dados, origem e poderá ser monitorado e investigado. Essa
coleta, tratamento e armazenamento, informação deve estar expressa nos
destinos, quem os acessa, qual o período termos de recebimento dos bens,
de arquivamento, como é realizado seu especificando que o equipamento é de
descarte e, por fim, qual a finalidade da propriedade da empresa e deverá ser
coleta, para enquadrar as atividades nas utilizado estritamente para atividades
bases legais permitida pelo art. 7º e 11º da profissionais, estando sujeito a práticas de
LGPD. monitoramento em situações necessárias.
Após refletir sobre todas essas questões Ainda é preciso aguardar as definições
iniciais de adequação, as empresas pela Agência Nacional de Proteção de
passarão a se preocupar com a Dados (ANPD), que fará a fiscalização e a
possibilidade de manter as atividades de aplicação das sanções que decorrerem do
controle de monitoramento e de descumprimento da Lei Geral de Proteção
investigação empresarial, visto que este de Dados Pessoais (LGPD) quanto às
processo contém dados pessoais dos situações específicas e rotineiras da
colaboradores. privacidade dos dados.
Pelo Código Civil, artigo 932, inciso III, os Isso significa que ainda não sabemos
empregadores têm a responsabilidade pela como serão tratados os impactos da LGPD
reparação dos danos causados por seus nos controles de monitoramento e
empregados no exercício do trabalho que investigação corporativa, mas entende-se
lhes competir ou em razão dele. Ou seja, a que tais práticas realizadas com a
empresa responde por qualquer ato ilegal finalidade de coibir fraudes, crimes de
cometido pelo seu colaborador, ainda que anticorrupção, atitudes não permitidas
não haja culpa de sua parte. pela organização, entre outras, não serão
Por esta razão, visando a prevenção prejudicadas, desde que o colaborador, ao
contra atos ilícitos que possam ser ser contratado, tenha ciência.
perpetrados pelos funcionários, as
empresas fazem uso de controles de
monitoramento e investigação
empresarial. Com esta medida, é possível
detectar fraudes, crimes de corrupção,
atitudes não permitidas pela organização, J ÉSSICA PAULA FELIPE É ADVOGADA, ESPECIALISTA EM
C OMPLIANCE , D IREITO D IGITAL E CONSULTORA DE D ATA PRIVACY
entre outras. NA ICTS PROTIVITI .

Espírito Livre · Jan/Fev 2021 33


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

Fonte: PxHere
LGPD e os desafios no
setor da saúde
por Carlos Souza

Espírito Livre · Jan/Fev 2021 34


Revista Espírito Livre · LGPD - Lei Geral de Proteção de Dados

O setor da saúde é seguramente um dos Entretanto, existem boas notícias. Uma


mais complexos em diferentes aspectos e organização adequada à LGPD seguramente
apresenta desafios constantes, seja pela terá elevação de maturidade significativa em
natureza de suas atividades, que envolve relação aos seus processos de negócio,
riscos, ou pela vasta legislação e controles e ambiente informatizado. Desta
regulamentação aplicáveis. Com a chegada maneira, desenha-se mais claramente que a
da LGPD (Lei Geral de Proteção de Dados), jornada de conformidade se baseia em um
adicionou-se uma visão que, até então, projeto multidisciplinar e primariamente
nenhuma organização estava acostumada a fundamentado em Gestão de Processos de
tratar: o fluxo e a natureza sensível de dados Negócio, Tecnologia da Informação e
pessoais nos processos de negócio. Comunicação (TIC) e Jurídico.
O dado pessoal se refere à informação A avaliação de maturidade, resultante do
relacionada à pessoa natural identificada ou confronto de estado atual contra os
identificável. Já o dado pessoal sensível diz requisitos da LGPD, na maioria dos casos,
sobre a origem racial ou étnica, convicção indicará inicialmente baixa conformidade, um
religiosa, opinião política, filiação a sindicato resultado que será direcionador para
ou à organização de caráter religioso, suportar a identificação de lacunas que serão
filosófico ou político, além de estar tratadas por meio de um sólido plano de
relacionado à saúde ou à vida sexual, ação estruturado para geração de benefícios
genética e biometria. no curto, médio e longo prazos.
Alguns setores utilizam dados pessoais e Em tempos de Covid-19, nos quais a
dados pessoais sensíveis de maneira Telemedicina está impulsionada, todo
intensiva, sendo a área da saúde um ambiente virtual que suporta e conecta
exemplo legítimo deste cenário. Este setor paciente ao médico está intimamente ligado
também contempla uma parcela expressiva à LGPD e, em particular, merece atenção sob
dos ambientes que estão sujeitos aos o ponto de vista de segurança de
desafios de adequação à LGPD e seus informação. A consciência sobre a coleta e
impactos. tratamento dos dados minimamente
Independentemente do nível de necessários de pacientes e o desenho seguro
maturidade de suas operações, certificações de seus fluxos nos ambientes pertencentes à
e acreditações, empresas deste segmento área da saúde, certamente ajudará a mitigar
vivenciam o elevado esforço necessário para riscos de vazamento e geração de incidentes
entender os requisitos da Lei, bem como o indesejados.
impacto das futuras sanções que serão Diante de todos estes aspectos, a LGPD
aplicadas em caso de descumprimento. não deve ser temida ou sua implantação
Dentre as sanções passíveis de aplicação vista como algo que beira a impossibilidade.
pela ANPD (Autoridade Nacional de Proteção Engajamento, mudança cultural, gestão dos
de Dados), duas possibilidades se destacam direitos de titulares de dados e seus
a multa simples de até 2% do faturamento da consentimentos são elementos fundamentais
pessoa jurídica e a publicização da infração para a estruturação de um programa efetivo
após devidamente apurada e confirmada a e eficaz de governança, que reflete
sua ocorrência. A primeira pode gerar positivamente em toda a organização.
impacto financeiro severo e comprometer a
continuidade das operações da organização.
A outra afeta com intensidade a reputação
corporativa e a visão do mercado sobre a C ARLOS S OUZA É GERENTE DE RISCOS E PERFORMANCE NA ICTS
integridade das operações. PROTIVITI .

Espírito Livre · Jan/Fev 2021 35

Você também pode gostar