Escolar Documentos
Profissional Documentos
Cultura Documentos
Proteger a propriedade e
Criação Evitar a destruição Preservar a liberdade civil e
assim fazer o homem
do Estado mútua. os direitos dos homens.
progredir.
A criação do Estado tal qual conhecemos hoje e a forma de governo, qual seja,
a democracia, decorre destes pensadores, com alterações e desconstruções
ao longo do tempo. Mas importante compreender que hoje, o fato de vivermos
em uma sociedade, que possui leis, um Estado implica em compreendermos
que vivemos em um grande Contrato Social.
Essa metáfora é para entendermos que já estamos imbuídos em leis e regras
que garantem direitos e geram obrigações desde o nosso nascimento,
queremos nós ou não.
Momento descontração: A opção de não viver nesse contrato é ser igual ao
Alexander Super Tramp .
CONCEITO/NOÇÃO DE CONTRATO
Tendo essa base, vou passar alguns séculos adiante até chegarmos no
conceito que temos de Contrato no Código Civil de 2002.
Artigo 107 do Código Civil Brasileiro prevê: “A validade da declaração de
vontade não dependerá de forma especial, senão quando a lei expressamente
a exigir”
Art. 421. A liberdade de contratar será exercida em razão e nos limites da
função social do contrato, observado o disposto na Declaração de Direitos de
Liberdade Econômica. A liberdade contratual será exercida nos limites da
função social do contrato.
Art. 422. Os contratantes são obrigados a guardar, assim na conclusão do
contrato, como em sua execução, os princípios de probidade e boa-fé.
https://upis.br/blog/contratos-no-direito-civil/
https://www.projuris.com.br/contratos-direito-civil/#O_que_e_um_contrato
ELEMENTOS DO CONTRATO
Elementos subjetivos
Os requisitos subjetivos de um contrato dizem respeito às partes e sua
manifestação de vontade.
Basicamente, são 4 características que você deve analisar no aspecto
subjetivo:
● Pluralidade das partes: Os contratos devem envolver duas ou mais pessoas;
● Capacidade das partes: As partes devem possuir capacidade para praticar os
atos civis;
● Aptidão das partes: As partes devem possuir aptidão e autonomia para decidir;
● Consenso: As partes devem agir em consenso, de forma livre e espontânea.
Caso você encontre, na doutrina, requisitos de nomenclatura diferente, mas
que se refiram às partes de um contrato, eles serão considerados elementos
subjetivos.
Elementos objetivos
Enquanto os elementos subjetivos estão associados às partes de um contrato,
os elementos objetivos estão ligados ao seu objeto.
Portanto, são 4 os requisitos que compõem o aspecto objetivo dos contratos:
● Licitude: O objeto deve ser lícito;
● Possibilidade: o objeto do contrato deve ser possível física ou juridicamente.
● Determinação: O objeto deve ser determinado ou passível de determinação em
quantidade e gênero;
● Patrimonialidade: o objeto deve envolver o patrimônio das partes, seja em
forma de bens ou dinheiro.
Alcançando estas 4 características, o objeto do contrato será válido e legal.
A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma legislação que tem
o objetivo de proteger os dados garantindo assim, direitos como a privacidade,
a liberdade dos cidadãos, assegurar direitos que estão descritos no artigo 2° da
LGPD.
Art. 2º A disciplina da proteção de dados pessoais tem como
fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de
opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD é uma lei diferente das demais, pois quando se fala em proteção de
dados não tem como proteger informações sem adotar e implementar medidas
de segurança da informação. Ou seja, para as empresas comprovarem que
estão de acordo vão precisar implementar ou aprimorar medidas de boas
práticas em todos os setores da empresa em que haja circulação de dados,
principalmente: marketing, vendas, RH, etc.
Para saber se uma empresa está de acordo com a Lei ou não, a pergunta
básica é: você protege a CID das informações?
C – confidencialidade;
I – integralidade
D – Disponibilidade
A LGPD trouxe o que ela determinou como agentes de tratamento para definir
responsabilidade civil no compartilhamento de dados entre as empresas.
Controlador é toda a empresa que coleta dados pessoais. Exemplo: tem
funcionários, prestador de serviços, captura leads, faz venda direta para cliente
final, o B2C ou até B2C que acaba tendo acesso e armazena dados dos
sócios, representantes das empresas. Nesse caso todas as empresas são
controladoras em algum momento, pois captura lead. Exemplos: empresa que
vende doces, hamburgueria, restaurantes, comércio em geral. Há coleta de
dados PF´s de maneira direta.
Trazer exemplo do escritório: em relação aos nossos clientes, por mais que
sejam pessoas jurídicas, mas que estão sendo necessariamente representadas
por pessoas físicas e para fazer o nosso serviço precisamos dos dados
pessoais, logo, assumimos perante a LGPD a responsabilidade de controladora
dos dados.
Bem, mas o que isso significa exatamente para fins de responsabilidade?
A Lei em seu artigo 42 afirma que o controlador ou operador (que estudaremos
na segunda parte da aula) que em razão de seu exercício ou atividade de
tratamento de dados, tratamento nós já vimos anteriormente o que é, causar
dano: patrimonial, moral, individual ou coletivo, em violação à legislação é
obrigado a repará-lo.
Então a pergunta que a empresa deve fazer é: O que eu faço para evitar a
violação da lei e causar dano para não precisar pagar? Ou quais medidas eu
adoto para conseguir mitigar os riscos? Qual a estrutura da minha empresa e o
que diante da minha situação atual como empresa, o que preciso fazer?
Porque dependendo da indenização, a minha empresa pode fechar ou então
prejudicar meu nome que estou aqui arduamente construindo.
A resposta de certa maneira já foi dada nas aulas anteriores: que é: adotar os
princípios que foram passados no módulo II, tratar dados necessários, até
porque tem um banco de dados mais qualificado e isso custa menos pra
empresa e em específico sobre o que fazer veremos no módulo IV.
O que quero me ater nessa aula é passar a responsabilidade em si da empresa
para depois explicar sobre isso.
A primeira responsabilidade é essa que o artigo 42 traz que mencionei.
Importante frisar que, a princípio, lendo o artigo da lei, podemos esclarecer
que: a simples violação da lei não causa dano, é preciso o titular demonstrar
que teve um dano. Vamos de exemplo.
No judiciário, se uma empresa realiza uma cobrança e negativação indevida o
dano moral é chamado de in re ipsa. Descomplicando o direito, significa dizer
que, a pessoa não precisa demonstrar que sofreu um dano por ter o nome
negativado, a simples negativação dá o dano moral. Isso é entendimento dos
tribunais. Aqui na LGPD, a princípio temos que a pessoa precisa demonstrar o
dano, no entanto, isso pode mudar caso as empresas violem de maneira
excessiva a LGPD, por exemplo, e os juízes entenderem que ocorrendo algum
incidente, vazamento e efetivamente comprovar a responsabilidade da
empresa, por si gera o dano moral, não tendo a pessoa que teve algum dano
pelo fato em si. A LGPD ainda é recente para afirmar qualquer coisa, seja a
nível judiciário como da própria Autoridade Nacional.
Agora vocês, falo agora como empresas, empresários, não como quem
executa o serviço de cloud,é que tem duas divisões que precisa estar clara na
mente de vocês.
Uma coisa é a responsabilidade que a empresa possui como controladora
perante os titulares de dados, perante os clientes, consumidores, leia-se as
PF´s. Outra totalmente diferente é a responsabilidade no compartilhamento dos
dados das PF´s que a empresa coleta e compartilha com outras empresas. São
vieses diferentes, obrigações diferentes, responsabilidades totalmente
diferentes.
Sobre os direitos dos consumidores, irei explicar no módulo somente sobre
esse assunto. Agora vamos analisar as responsabilidades de maneira geral do
controlador.
Outro ponto que é responsabilidade é acerca do consentimento. Lembra nas
aulas passadas que expliquei que para a empresa realizar o tratamento de
dados precisa estar dentro de uma das bases legais e que uma é o
consentimento? Citei o exemplo da L.P. O art. 7, §2° afirma que:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses:
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido
em conformidade com o disposto nesta Lei.
Ou seja, não é a pessoa física que precisa demonstrar que deu consentimento,
é a empresa que precisa demonstrar. Uma das formas de demonstrar é tendo
um documento jurídico e que de alguma forma, seja ela física ou virtual, a
pessoa deu o consentimento.
Outra obrigação que o controlador possui, segundo art. 38
Art. 38. A autoridade nacional poderá determinar ao controlador que
elabore relatório de impacto à proteção de dados pessoais, inclusive de dados
sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório
deverá conter, no mínimo, a descrição dos tipos de dados coletados, a
metodologia utilizada para a coleta e para a garantia da segurança das
informações e a análise do controlador com relação a medidas, salvaguardas e
mecanismos de mitigação de risco adotados.
O que é que esse relatório de impacto, conhecido como DPIA. Para conseguir
fazer esse relatório de impacto a empresa precisa estar adequada a LGPD. O
DPIA é uma forma de analisar quais os dados a empresa está tratando e em
caso de incidente quais as consequências desse incidente. é um documento
que tem o fim de demonstrar como os dados pessoais são coletados, tratados,
usados, compartilhados e quais medidas são adotadas para mitigação dos
riscos que possam afetar os direitos que comentei lá na aula explicando a
LGPD. Esse documento deve ser feito quando a autoridade solicitar, caso não
fizer, incorre em multa e penalidades da ANPD que veremos no capítulo
específico sobre isso ou sempre que vai fazer alguma alteração interna na
empresa que envolve dados. Exemplo: migração de um sistema para outro. Até
mesmo na nuvem, o ideal, dependendo do tamanho da empresa, é
interessante fazer um DPIA ou então pelo menos uma matriz de risco para
identificar os riscos, analisar o risco, definir qual resposta ao risco, impacto e
monitorar o risco. Exemplo: empresa contrata vcs para fazer a migração de um
banco de dados para nuvem, porém não tem backup, nesse caso, ao fazer
essa migração, quais riscos estão envolvidos? O que pode acontecer? Talvez
um risco seja perder algumas informações, ou seja, disponibilidade. Risco
identificado, qual resposta? Analisei o risco. Fazer 2 bakcsups provisórios
antes de fazer a migração. Mitiguei o risco e depois monitoro, pois se acaso
ocorrer algum incidente o controlador é responsável, e quando falo
responsável, digo a nível interno. É viável perder algumas informações
importantes para a empresa? Isso é até uma segurança para vocês que irão
prestar o serviço, porque se der algum problema, o controlador pode vir à
cobrar de vocês a responsabilidade. A culpa é do prestador de serviços que
não fez o trabalho direito e eu perdi informações como: carteira de clientes,
relatórios financeiros, controle de vendas, enfim, o que uma empresa faz hoje
sem ter dados?
Outras responsabilidades:
§ 2º O controlador deverá adotar medidas para garantir a transparência do
tratamento de dados baseado em seu legítimo interesse.
Que também é um fundamento que empresa pode tratar os dados, pois se
não adotar, pode ser penalizada com multas do procon, ações judiciais,
fiscalização da ANPD.
E por fim, porém não menos importante é:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados
pessoais.
Nesse caso já teve condenação na esfera trabalhista porque a empresa
não tinha nomeado um encarregado de dados ou também conhecido como
D.P.O. A função e o que é esse encarregado veremos na última aula desse
módulo. Caso a empresa não nomeie esse encarregado é muito fácil verificar
que está descumprindo a LGPD, pq esse encarregado deve estar no canal
oficial da empresa, é quem responde a alguma fiscalização na empresa,
violação de dados, e se a empresa não tem ninguém responsável por essa
parte é uma clara violação.
Nesse caso da decisão trabalhista, a empresa foi condenada a pagar
multa diária de R$1.000,00 caso não nomeasse um encarregado de dados,
além de na sentença, na decisão final, ter o valor da condenação da empresa
aumentado por não ter esse responsável.
Quando tem um artigo específico exigindo determinada conduta da empresa e
ela não cumpre é praticamente certa uma condenação, pq está ali claro que a
empresa não segue a lei e para não gerar insegurança jurídica precisa haver
uma punição.
Passamos agora ao personagem do operador.
Esse parágrafo quarto é a chave de tudo. Isso significa dizer que: houve
um incidente, a empresa controladora teve que pagar uma multa, indenização,
gastar com advogado em processo, enfim, teve prejuízo, pra empresa pode ter
sido enorme ou não. O gerente, CEO, chega na empresa e determina a
abertura de um processo interno para saber a origem do problema ou então
tem muito mapeado e sabe onde estão as vulnerabilidade, checou cada uma e
chegou no operador e verificou que a origem foi dele e não interno. Pronto, vai
cobrar do operador. Tem duas maneira, se tiver previsão no contrato, só envia
uma notificação com o seguinte teor.
Ilustre, operador
Após processo interno acerca do incidente envolvendo proteção de dados,
constatou-se que a origem do incidente decorreu da sua empresa.
Apresente em 48 horas, documentos e medidas de segurança que
comprovam a proteção de dados, sob pena de encerramento do contrato,
pagamento dos prejuízos, incluindo custas com advogado, perdas e danos que
a empresa teve e mais uma multa contratual de R$50.000,00 conforme
clausula 7 do contrato de prestação de serviços.
Aí você operador faz o que? Entre a multa e o que empresa gastou fecha
as postas, vende a casa e olha lá.
Patrícia, acontece isso realmente? Sim, com toda certeza. Eu inclusive já
coloquei essa clausula como advogada do controlador e briguei pra tirar em
caso de operador, se via que empresa não tinha condições de supirtar ou não
sabia nada da LGPD. Consegui? Depende do jurídico do outro lado. Tem
jurídico que não aceitou e eu cheguei na empresa e perguntei: Quanto vc quer
fechar esse contrato? O representante me disse, muito. Falei, bom, então
vamos lá. 1) Assina o contrato, mas deixa em aberto para continuar discutindo
as cláusulas da LGPD. Melhor cenário: Consigo tirar a multa, tiro do contrato e
a empresa vai precisa executar vc no judiciário. Pior cenário: não abrem mão.
Aí nesse caso, pra ontem pagar uma consultoria pra adequação da LGPD e
não qualquer uma, pq fazer trabalho ruim, o risco é igual não fazer. Ahh, mas
não tenho condições, bem, pergunto, tem fé? Então comece a praticar.
Brincadeiras que são verdades à parte, o cenário é esse, gente. Vcs estão no
jogo do mercado e jogo do mercado não tem pena de coitadinho, ah mas não
sabia, ah mas não fiz, ah mas jurídico não precisa só gasto. É mesmo é? Ah
não sabia? Então pq desceu pro play?
Continuando aqui, a lei também afirma que:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando
provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é
atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que
lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de
terceiro.
Como faço pra comprovar e não ser responsabilizado? Adequação. Como
foi provar que não fiz algo que é de minha responsabilidade comprovar?
Veja, a lei fala em inversão do ônus da prova. A parte hipossuficiente
precisa provar que não fez o que está sendo alegado. É qualquer alegação? Aí
realmente fica difícil. Claro que não, vcs já entenderam na aula 1 que expliquei
do contrato social. Se não lembra, por favor, volte 2 casas antes de avançar.
Tudo precisa ter indícios. To recebendo mensagem no whats, e-mail e tenho
aqui um numero de protocolo que demonstra que não dei meu consentimento.
O controlador recebeu e falou, bom, mas quem faz a parte de marketing é uma
empresa terceira. O empresa terceira, pq ta mandando e-mail pra essa pessoa
aqui? Tu não organização? Cade a LGPD?
E pra finalizar essa parte:
Nomear um DPO que não sabe o trabalho mesma coisa que ir no acupunturista
que não entende nada de MTC e sair de lá reclamando e falando que a MTC
não funciona ou que saiu com machucados, olho furado, pq não sabia
manusear corretamente e aplicar as agulhas.
Agora, contratou esse profissional, vamos às regras:
Módulo V:
Titulares