Escolar Documentos
Profissional Documentos
Cultura Documentos
PROTEÇÃO DE DADOS
SUMÁRIO
APRESENTAÇÃO DA LGPD
Definição e objetivos 2
Aplicabilidade 2
Categoria de Dados 3
Categoria de Tratamentos 3
Bases Legais 4
Princípios 5
ASPECTOS PRÁTICOS
Sujeitos Envolvidos 6
Direitos dos Titulares 7
Fiscalizações da ANPD 8
Dosimetria 9
Boas práticas 10
INCIDENTES ENVOLVENDO DADOS PESSOAIS
Principais causas 12
Principais consequências 13
Casos notórios 14
APRESENTAÇÃO DA LGPD
DEFINIÇÃO E OBJETIVOS
A Lei Geral de Proteção de Dados, que entrou em vigor em 18 de
setembro de 2020, regulamenta as atividades de tratamento de dados
pessoais feitas por pessoa física ou jurídica, de direito público ou
privado, e engloba um amplo conjunto de operações efetuadas em
meios físicos e digitais.
APLICABILIDADE
A LGPD possui abrangência extraterritorial, ou seja, é aplicável para
tratamentos de dados pessoais em geral, independentemente da
localização da sede de quem os processa, ou da localização em que
os dados são processados.
EXCEÇÃO
A LGPD não se aplica para fins exclusivamente jornalísticos e
artísticos; de segurança pública; de defesa nacional; de segurança do
Estado; de investigação e repressão de infrações penais e
particulares.
CATEGORIA DE DADOS
Dados Pessoais, em geral, referem-se a uma pessoa identificada ou
identificável, como nome, telefone, endereço físico/eletrônico, data de
nascimento e endereço de IP.
CATEGORIA DE TRATAMENTOS
É preciso compreender que o termo "tratamento" engloba uma série
de ações relacionadas aos dados pessoais como produção,
classificação, coleta, processamento, acesso, utilização,
transmissão/distribuição, recepção, armazenamento, arquivamento e
eliminação.
CUMPRIMENTO DE
CONSENTIMENTO PELO
OBRIGAÇÃO LEGAL OU
TITULAR
REGULATÓRIA
EXERCÍCIO REGULAR
EXECUÇÃO DE CONTRATO DE DIREITOS
OU DILIGÊNCIAS PRÉ-CONTRATUAIS em processo judicial,
administrativo ou arbitral
TUTELA DE SAÚDE
PROTEÇÃO DA VIDA exclusivamente, em
ou da incolumidade física do procedimento realizado por
titular ou de terceiro profissionais de saúde, serviços
de saúde ou autoridade sanitária
INTERESSES LEGÍTIMOS
DO CONTROLADOR OU DE TERCEIRO PROTEÇÃO AO CRÉDITO
TITULAR
Pessoa natural a quem se referem os dados
CONTROLADOR
Pessoa natural ou jurídica a quem compete as decisões
sobre o tratamento dos dados
OPERADOR
Pessoa natural ou jurídica que realiza o tratamento dos
dados em nome do CONTROLADOR
ENCARREGADO
Pessoa indicada pelo CONTROLADOR e OPERADOR para
atuar como canal de comunicação entre a organização,
os titulares e a ANPD
ATENÇÃO
Em seu art. 42, a LGPD prevê que "o operador responde solidariamente
pelos danos causados pelo tratamento, quando descumprir as obrigações
da legislação de proteção de dados ou quando não tiver seguido as
instruções lícitas do controlador, hipótese em que o operador equipara-se
ao controlador"
DIREITO DOS TITULARES
Confirmação de que existe um ou mais tratamento
CONFIRMAÇÃO
de dados sendo realizado
Advertência
Publicação da Infração
ATENÇÃO
Estas penalidades não substituem a aplicação de
sanções administrativas, civis ou penais previstas em
legislação específica (art. 52, §2o).
DOSIMETRIA
No art. 52 da LGPD, também são previstos alguns aspectos que a
ANPD deve levar em conta para mensurar a sanção aplicável ao caso
concreto de tratamento irregular de dados pessoais.
Vejamos quais critérios são estes:
o Gravidade e a natureza das infrações e dos direitos pessoais
afetados
o Boa-fé do infrator
o Vantagem auferida ou pretendida pelo infrator
o Condição econômica do infrator
o Reincidência
o Grau do dano
o Cooperação do infrator
o Adoção reiterada e demonstrada de mecanismos e procedimentos
internos capazes de minimizar o dano, voltados ao tratamento
seguro e adequado de dados
o Adoção de política de boas práticas e governança
o Pronta adoção de medidas corretivas
o Proporcionalidade entre a gravidade da falta e a intensidade da
sanção
ATENÇÃO
Incidentes com dados sensíveis
tendem a resultar em sanções mais
rígidas devido aos maiores danos.
BOAS PRÁTICAS
Existem métodos norteadores de todas as condutas em atividades de
tratamento de dados, capazes de mitigar significativamente os riscos
de danos e irregularidades.
Vejamos alguns exemplos:
PRÍNCIPIO DA MINIMIZAÇÃO
Limitação do tratamento ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do
tratamento de dados.
BOAS PRÁTICAS
Existem, também, algumas ferramentas e instrumentos capazes de
incrementar a segurança da informação em ambientes físicos, digitais
e em seara contratual. Vejamos alguns exemplos específicos de cada
área, considerando que não são métodos alternativos, mas
cumulativos, uma vez que dificilmente haverá uma organização à qual
não se aplique todas as searas elencadas:
AMBIENTES FÍSICOS
Prefira áreas com trancas e câmeras. Para eliminar documentos de modo
seguro, uma boa opção é a picotadora!
AMBIENTES DIGITAIS
Atenção à proteção de dispositivos e sistemas de informação, com uso de
ferramentas como firewalls, antivírus, logins e senhas restritos.
Ao adquirir softwares, prefira individualizar dados de acesso e licenças, não
os compartilhando com equipes e departamentos inteiros
ESPECTRO CONTRATUAL
Estabeleça acordos de confidencialidade com funcionários que lidem com
fluxos de dados pessoais.
Além disso, antes de firmar contratos com parceiros comerciais, verifique
seu nível de adequação à LGPD.
Em processos de M&A é crucial realizar a due diligence de conformidade
em privacidade e proteção de dados da empresa-alvo.
ABALO MORAL
O abalo moral é, ainda, de mais difícil reparação que o abalo patrimonial.
Além de que, indiretamente, repercute na esfera patrimonial por sua
capacidade de configurar entrave à realização de novos negócios
comerciais.
Isto porque, consumidores que tiverem seus dados vazados ou mal
tratados, se tornam mais suscetíveis a consequências altamente
indesejáveis como discriminação, violação do direito à imagem e à
reputação, fraudes financeiras e roubo de identidade.
Já os fornecedores, por sua vez, possuem receio de se relacionar com
empresas mal vistas em termos de governança de dados, além dos
potenciais riscos de responsabilização nos termos da lei, motivo pelo qual
antes da celebração de contratos, é comum a sondagem da ocorrência
deste tipo de episódio na organização. Esta sondagem ocorre também, e
de modo ainda mais minucioso, em processos de M&A, de modo que, caso
se verifique a ocorrência, o valor da instituição pode ser seriamente afetado
na transação.
CASOS NOTÓRIOS
CASO NETSHOES
Janeiro de 2018 | Ministério Público (MP) constatou que um incidente de
segurança comprometeu dados pessoais como nome, CPF, e-mail, data de
nascimento e histórico de compras de clientes.
As investigações mostram que informações como cartão de crédito ou
senhas de clientes não foram reveladas, "mas deixaram as pessoas
vulneráveis a diversas espécies de fraudes".
Em acordo assinado com o MP, o site de comércio eletrônico pagou R$ 500
mil de indenização por danos morais.
Além disso, a empresa se comprometeu a adotar medidas adicionais de
proteção de dados pessoais e a fazer campanhas de conscientização
sobre "melhores práticas para privacidade".
CASO H&M
A H&M foi acusada de coletar informações impertinentes ao trabalho de
seus colaboradores, como práticas religiosas, histórico de doenças e dados
familiares.
Além de avaliar o desempenho no trabalho, os gerentes também usavam
os dados para tomar decisões sobre emprego. Os dados se tornaram
públicos em outubro de 2019, após um erro de configuração que tornou os
dados acessíveis por toda a empresa por várias horas.
A lei de proteção de dados da União Europeia foi aplicada sobre o incidente
e a German Watchdog (autoridade antitruste da Alemanha) penalizou a
empresa no valor de 35,3 milhões de euros.
CASOS NOTÓRIOS
CASO SEPHORA
Em 2022, diante das reivindicações do procurador-geral da Califórnia, Rob
Bonta, a Sephora celebrou acordo de US$ 1,2 milhão por violar a Lei de
Privacidade do Consumidor da Califórnia.
Após investigação, comprovou-se que a Sephora não informou aos clientes
que estava vendendo seus dados pessoais, negligenciou o processamento
de solicitações de usuários que optaram por não vender seus dados e não
resolveu estas irregularidades dentro do período de 30 dias permitido pela
CCPA.
Além da multa, a Sephora deve seguir outras exigências como esclarecer
sua política de privacidade online para indicar que vende dados pessoais,
fornecer meios para que os consumidores optem por não vender seus
dados e adaptar seus contratos de provedor de serviços para estar em
conformidade com os requisitos da CCPA.
ATENÇÃO
Estas são apenas algumas das inúmeras ocorrências por tratamento
irregular de dados pessoais notadas em todo o mundo, o que evidencia a
tendência de que medidas de governança nesta seara sejam cada vez mais
valorizadas internamente, e vistas como determinantes para a realização
de operações internacionais.
Não deixe de manter sua organização adequada. Dissemine a cultura da
proteção de dados!