LGPD e a segurança da informação

LGPD e a segurança da informação

O tema de segurança da informação é algo que sempre foi bastante restrito à esfera técnica, sendo um universo dominado pelos profissionais de TI e a infinidade de termos como hackerscrackersscript kidswhite e black hat, etc… Enfim, é possível ter a impressão de a segurança da informação é um assunto obscuro e só relevante para os profissionais diretamente envolvidos no assunto. Nesse sentido seria uma espécie de “guerra secreta” entre profissionais de segurança e hackers (e todas suas variantes) na qual os “civis” teriam pouco ou nenhum interferência e/ou interesse no assunto.

No entanto a situação não é essa, muito pelo contrário, com o aumento exponencial de utilização de dados, inteligência de mercado (e todas as tendências e usos de big data) a quantidade de dados aumento bastante, bem como a sua difusão. Os dados deixaram de ser restritos à grandes empresas (e seus servidores e mainframes) para se tornar algo relativamente comum e “espalhada por aí”. E, consequentemente, o mau uso de dados, vazamentos e toda sorte de uso indevido se tornou algo comum e divulgado na mídia.

Em síntese, de um assunto obscuro e “secreto” a segurança da informação passou a dominar a mídia, incluindo casos de grande repercussão (como a interferência em eleições nos EUA e no Brexit).

Diante desse cenário é compreensível a movimentação de grupos organizados para uma regulação e punição de condutas indevidas, e o Brasil seguiu essa tendência mundial ao criar o Marco Civil da Internet, que trazia várias previsões e diretrizes sobre o uso da internet.

Contudo, o principal ponto falho (e bastante criticado) do Marco Civil era a ausência de disposições específicas sobre a segurança da informação e proteção de privacidade, pois embora existisse um padrão de “boas práticas” do mercado inexistia qualquer obrigação legal específica de segurança da informação e, sem esse tipo de obrigação, não é possível se falar em proteção da privacidade. De fato, sem a segurança da informação não é possível que exista privacidade, se a informação está guardada indevidamente o que impediria qualquer um de violá-la e, posteriormente, utilizá-la como bem entendesse? Aliás, sem a obrigação de segurança seria até conveniente para as empresas que suas informações fossem “roubadas” por terceiros para que estes fizessem outros usos que a empresa não poderia realizar.

A LGDP (Lei Geral de Proteção de Dados Pessoais) foi criada exatamente com a intenção de proteger os dados individuais, com um foco grande em privacidade, contudo, um ponto normalmente ignorado é que a LGDP também disciplinou a questão de segurança da informação, tornando-a uma obrigação específica, proteger os dados que armazena (coleta) não é mais apenas um meio de proteger seus clientes, mas uma obrigação específica, que possui uma finalidade em si mesma.

LGPD e a segurança da informação

Por exemplo, o artigo 6 da LGDP, que estabelece os princípios básicos da utilização e tratamento de dados prevê a segurança de dados como um de seus pilares, da seguinte forma:

“ VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Além disso, não se trata apenas de um princípio, mas de uma obrigação (prevista no artigo 46) e, ainda mais, um dos elementos que será considerado pela Autoridade Nacional de Proteção de Dados em caso de sanção administrativa, que calculará eventual pena com base em diversos fatores, entre eles, a adoção de mecanismos de segurança de informação (artigo 52, inciso VIII):

“VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;”

Em síntese, o tema de segurança de dados se tornou um objeto regulado pela LGDP, tornando-se assim uma obrigação jurídica própria, em relação a qual são associadas multas e penalidades específicas em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.

Advogado Autor do Comentário: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

A Vitória da Valorização do Trabalho do Advogado

Na forma como claramente está instituído pela redação do artigo 85, §2º do Código de Processo Civil, os honorários de sucumbência devem ser fixados entre 10% e 20%, conforme assentou o julgamento do REsp 1.746.072/PR, de relatoria da Ministra Nancy Andrighi.

Apesar de o entendimento da Ministra a considerar que o significado do termo “inestimável” também abrigaria a concepção daquilo que tem enorme valor, prevaleceu o Voto-Vista do Ministro Raul Araújo, o qual consignou que o legislador considera, no CPC/15, os honorários advocatícios sucumbenciais como parte da remuneração do trabalho prestado, “sinalizando que o espírito que deve conduzir o intérprete no momento da fixação do quantum da verba é o da objetividade”

Desta forma, a 2ª seção do Superior Tribunal de Justiça (STJ) definiu na quarta-feira (13/2) que os honorários advocatícios sucumbenciais devem obedecer ao que está disposto no artigo 85, §2º do Código de Processo Civil de 2015, que estabelece verba sucumbencial entre 10 e 20%, em detrimento da incidência da fixação por equidade (§8º).

De acordo com o ministro, o novo Código restringiu as hipóteses nas quais cabe a fixação dos honorários de sucumbência por equidade. “De fato, a ordem de preferência para fixação dos honorários sucumbências é obtida na conjugação dos §§ 2º e 8º do art. 85. Em face de redação tão expressiva, a conclusão lógica é a de que o §2º do art. 85 veicula regra geral e obrigatória para o magistrado, de que os honorários advocatícios sucumbenciais devem ser fixados no patamar de 10 a 20%, primeiro no valor da condenação ou em segundo do proveito econômico obtido ou, terceiro, não sendo possível mensurar, do valor atualizado da causa.”

O entendimento vencedor foi acompanhado pelos ministros Luis Felipe Salomão, Antonio Carlos Ferreira, Ricardo Cueva, Marco Bellizze e Moura Ribeiro.

Advogado Autor do Comentário: Pedro Zardo Junior
Manchete: STJ Define Arbitramento de Honorários de Sucumbência
Fonte 

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

INPI RENOVA ACORDO DE COOPERAÇÃO COM O ESCRITÓRIO JAPONÊS DE PATENTES

No último dia 16 de janeiro de 2019, foi firmado em Tóquio acordo por meio do qual o Escritório Japonês de Patentes (JPO, na sigla em inglês) e o Instituto Nacional da Propriedade Industrial  (INPI) renovaram por dois anos os termos de projeto de cooperação no que diz respeito à trocas de informações para agilizar exames de pedidos de patente.

Tais acordos bilaterais, conhecidos como Patent Prosecution Highway (PPH), são iniciativas por meio das quais os órgãos responsáveis trocam informações a fim de agilizar os exames a ser realizados. Assim, ocorre o aproveitamento de dados e de resultados de exames de pedidos de patente já analisados por um dos órgãos.

Dessa forma, tendo em vista a relevância do mercado japonês e, consequentemente, do JPO, essa troca tende a facilitar muito o exame de pedidos de patente cuja análise de mérito já foi realizada pelos examinadores japoneses (e vice-versa) – embora exista de fato um limite no número de tais requerimentos de informações.

Por fim, importante notar que, por meio de tal renovação, houve a ampliação dos campos técnicos envolvidos no acordo.

Advogado Autor do Comentário: Rodrigo Britto V. Albergaria
Manchete: INPI e JPO renovam PPH entre Brasil e Japão
Fonte 

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

Superior Tribunal de Justiça define ser necessária perícia técnica em ações judiciais envolvendo infração de trade dress

A 4ª Turma do Superior Tribunal de Justiça decidiu em decisão irrecorrível que em ações judiciais em que se envolve a discussão de infração de trade dress (conjunto-imagem) de um estabelecimento ou produto sempre será necessária a perícia técnica para apurar a infração ou não infração.

O que seria o conjunto–imagem ou trade dress? Consiste num conjunto de características, que podem incluir, entre outras, uma cor ou esquema de cores, forma, embalagem, configuração do produto, sinais, frases, disposição, estilização e tamanho de letras, gráficos, desenhos, emblemas, brasões, texturas e enfeites ou ornamentos em geral, capazes de identificar determinado produto e diferenciá-lo dos demais.

Mesmo não existindo em nossa legislação tutela específica que proteja o conjunto-imagem, a violação de trade-dress pode ser identifica quanto se vê infração ao Direito Autoral, aos Desenhos Industriais e às Marcas, cabendo analisar caso a caso a infração ou não deste conjunto.

No caso citado (REsp 1778910), a relatora do caso, a Ministra Isabel Galotti entendeu que a comparação de fotografias pelo juiz não seria suficiente para a verificação da imitação do trade dress (conjunto-imagem), o que configuraria a possível concorrência desleal.

Neste precedente, empresa do ramo alimentício ajuizou ação indenizatória cumulada com pedido de cessação de uso do trade-dress (conjunto-imagem) contra outra empresa do mesmo ramo, alegando que a ré estaria utilizando pote semelhante ao seu para a venda do mesmo produto (geléia), portanto, concorrendo deslealmente consigo.

Em sede de defesa, a Ré alegou que o trade-dress (conjunto-imagem) de seu produto não é similar, nem se confunde com os da autora da ação. O juiz de primeira instância indeferiu o pedido de prova pericial formulado pela Ré, julgando procedente a ação e condenando a Ré a se abster de utilizar o pote semelhante. A sentença foi mantida pelo Tribunal de Justiça do Estado de São Paulo.

A Ministra Isabel, em seu voto, expressou que o indeferimento da perícia técnica requerida pela ré caracterizou cerceamento de defesa, já que ela era necessária diante do trade-dress (conjunto-imagem) complexo e formado por diversos elementos.

Nas palavras da Ministra é “Imprescindível, para tanto, o auxílio de perito que possa avaliar aspectos de mercado, hábitos de consumo, técnicas de propaganda e marketing, o grau de atenção do consumidor comum ou típico do produto em questão, a época em que o produto foi lançado no mercado, bem como outros elementos que confiram identidade à apresentação do produto ou serviço”.

Em seu voto citou também precedentes da 3ª Turma do STJ sobre a caracterização da concorrência desleal em embalagens semelhantes, e pontuou que nestes casos sempre será necessária a perícia técnica a fim de trazer ao processo e ao juízo elementos técnicos imprescindíveis à formação de seu convencimento.

Ao dar provimento ao Recurso Especial, 4ª Turma anulou todas as decisões referentes ao processo desde a sentença e deferiu o pedido de produção de prova técnica.

Advogado Autor do Comentário: Rafael Bruno Jacintho de Almeida
Manchete: Apuração de imitação de trade dress exige análise de perito, decide STJ
Fonte 

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

As diferenças entre marca e patente que você precisa conhecer

Marca e patente são os primeiros temas que vem à mente quando o assunto é Propriedade Intelectual. Contudo, a distinção entre ambos nem sempre é clara.

Marca é um sinal, que pode ser um nome, palavra ou expressão utilizados individualmente ou em conjunto com um logotipo, responsável pela identificação de produtos ou serviços, sendo que seu registro junto ao INPl garante ao titular o uso exclusivo em todo o território nacional, bem como o direito de zelar pela marca, ceder seu registro ou licenciar seu uso. Além disso, o registro terá validade pelo prazo de dez anos e poderá ser prorrogado por períodos iguais e sucessivos.

Patente, por sua vez, é um título que descreve uma invenção e sua técnica, delimitando os direitos do inventor. São patenteáveis as invenções propriamente ditas – criação do gênio humano – e os modelos de utilidade– aperfeiçoamento de invenções -, sendo que o prazo de proteção será de 20 e 15 anos, respectivamente. Ao titular também é garantido o direito de exploração exclusiva pelo prazo determinado, e a faculdade de licenciar ou ceder seu título.

Logo, a invenção é patenteada e a marca é registrada.

Advogada Autora do Comentário: Beatriz Narciso de Oliveira

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

Como implementar as regulamentações da GDPR

A preocupação com a privacidade dos dados pessoais na era da internet cresce a cada dia entre os usuários da rede. Saber como implementar as regulamentações da GDPR (General Data Protection Regulation, na tradução literal, Regulamentação Geral de Proteção de Dados) é essencial para a sua empresa na era digital. 

A GDPR, que entrou em vigor em 25 de maio de 2018, foi criada pela União Europeia (UE) a fim de proteger os dados pessoais dos habitantes desse bloco econômico e político. Portanto, se a sua empresa não está dentro da UE, mas possui acesso, coleta ou trata dados de cidadãos europeus em seus registros, ela precisa se adequar às novas regras.

As multas que serão aplicadas para as empresas que não cumprirem a nova regulamentação são pesadas, podendo chegar a 4% da renda anual global da empresa, ou 20 € milhões de euros, prevalecendo o valor mais alto. 

Quais os passos para implementar as regulamentações da GDPR?

A primeira coisa que a empresa precisa ter em mente é que, a partir da entrada em vigor da GDPR, a responsabilidade em proteger os dados pessoais dos titulares é de responsabilidade de quem coleta, armazena ou trata, de qualquer forma esses dados. Em síntese, quem possui acesso aos dados pessoais de um usuário deverá se responsabilizar pela segurança, proteção e privacidade desses dados. 

Além disso, somente o titular dos dados é capaz de autorizar que eles sejam utilizados e para quais finalidades, por isso é tão importante a obtenção do aceite do usuário.

É importante que todos os funcionários da empresa se envolvam com o processo de adequação às normas. Muitos setores precisam ser totalmente reformulados e muitos processos revistos. A seguir, alguns passos para auxiliar na transição.

Tenha um Comitê de Segurança da Informação

O DPO (Data Protection Officer, ou Comitê de Segurança da Informação) passa a ser obrigatório em empresas que necessitem gerenciar dados pessoais, seja ela pública ou privada. Ele será responsável por garantir que as novas regras sejam seguidas, além de realizar auditorias frequentes nos processos estipulados pela empresa, apontando falhas no sistema e propondo melhorias.

É importante que esse comitê seja formado por pessoas de diferentes áreas da empresa. Essa formação trará uma visão global de todos os procedimentos da empresa que envolvem a manipulação de dados pessoais.

Caberá ao comitê auxiliar na implementação da regulamentação da GDPR tendo um encarregado, que será o principal responsável e desempenhará papel relevante durante a transição.

Faça uma avaliação do sistema atual

Durante essa etapa, é importante que o DPO avalie quais são os dados pessoais que a empresa detém, incluindo informações genéticas, biométricas e de saúde. É importante realizar essa avaliação prévia para ser possível avaliar, inclusive, se são coletados dados desnecessários e/ou excessivos às finalidades da empresa. 

Após a identificação dos dados, caberá ao DPO o mapeamento de todo o processo de gerenciamento de dados, tais como: coleta, organização, recuperação, consulta, utilização, divulgação e destruição. 

O comitê deverá avaliar se existem falhas e lacunas no sistema atual, de modo que elas devem ser apontadas.

Caberá à empresa detentora dos dados proteger as informações pessoais de seus usuários.

Defina um plano de ação

Após tomar conhecimento do funcionamento do sistema atual, a empresa deverá avaliar quais são os procedimentos que devem sofrer alterações para que a implementação da regulamentação da GDPR ocorra.

Todos os procedimentos que necessitarem de mudança deverão ser modificados. Tenha um planejamento para realizar as adequações, para que nenhum ponto fique de fora da atualização, e um controle de todas as alterações que já foram realizadas.

Estabeleça políticas internas e tenha procedimentos claros

É essencial que a empresa possua um Sistema de Segurança da Informação, estabelecendo medidas para controle e gestão dos dados pessoais internamente. Essas barreiras podem ser:

  • físicas (como controle de acesso a determinadas áreas da empresa);
  • organizacionais (com estabelecimento de políticas e códigos de conduta);
  • técnicas (como a utilização de softwares que codifiquem as informações dos titulares).

A empresa deverá revisar os seus procedimentos com os colaboradores e empresas parceiras, elaborando e atualizando termos de sigilosidade além de implementar normas de conduta internas.

Faça uma revisão da política de privacidade

Um dos pontos cruciais da regulamentação é o consentimento da coleta e utilização dos dados pelos seus titulares. A política de privacidade precisa ser redigida de forma clara, concisa e transparente, para que o usuário entenda todos os pontos abordados.

A política de privacidade deverá ser revisada, para garantir que ela contenha todas as informações necessárias para que o titular tome conhecimento e decida se concorda ou não com a coleta e utilização das suas informações.

É necessário que ela mencione também como o usuário deverá proceder em caso de transferência (portabilidade) e exclusão de seus dados dos registros da empresas.

Comunicação de vazamentos de informações

Caso ocorra o vazamento de informações pessoais de titulares, a empresa tem a obrigação de reportar o incidente em até 72 horas após o ocorrido. A empresa deverá comunicar a CNPD (Comissão Nacional de Proteção de Dados). 

Portanto, ao criar o plano de ação, a empresa precisa ter ciência dessa obrigação e estar preparada caso seja necessário realizar esse comunicado.

Concepção de novos projetos

Todos os novos projetos que incluam a coleta de dados de titulares devem ter as normas do GDPR incluídas desde a sua concepção. Garantindo a privacidade e a sigilosidade dos dados desde o início.

Busque empresas especializadas

Pode ser que mesmo após seguir todos os passos acima, a empresa ainda tenha dúvidas sobre como regulamentar e implementar os novos procedimentos ou mesmo queira se certificar de que todas as exigências foram seguidas.

Nesses casos, é recomendado consultar empresas especializadas no tema, que possam fazer uma análise completa de todas as informações sobre os procedimentos coletadas pelo DPO.

Se você quer saber mais sobre a regulamentação GDPR, continue acompanhando o nosso site, pois temos outros artigos que podem ser de seu interesse. 

 

Veja as consequências de desconhecer as novas regras GDPR e o LGPD

consequências de desconhecer as novas regras GDPR e o LGPD

Conteúdo atualizado em: 02/06/2020

 

Em maio de 2018, na Europa, entrou em vigor um regulamento que busca a proteção dos dados dos cidadãos europeus e obriga as empresas a proteger os dados de seus clientes e outras pessoas físicas. Caso qualquer vazamento ocorra, elas devem informar ao órgão regulador. Esse regulamento é o RGPD (ou GDPR, em inglês) – Regulamento Geral de Proteção de Dados da União Europeia.
No Brasil, também foi seguida essa tendência mundial, e em 14 de agosto de 2018 foi sancionada a LGPD – Lei Geral de Proteção de Dados (Projeto de Lei da Câmara nº53/2018), que regulamenta o uso dos dados pessoais nacionalmente. Assim, as empresas deverão passar a ter regras específicas para coletar, armazenar, tratar e compartilhar os dados pessoais de clientes.

Atualmente, as empresas brasileiras terão até 3 de maio de 2021 (caso a Medida Provisória nº 959/2020, que estendeu o prazo, seja convertida em lei) para se adaptarem à nova lei, que é um marco na regulamentação para proteção dos dados. Mas quais seriam as consequências de desconhecer as novas regras GPDR e LGDP?

consequências de desconhecer as novas regras GDPR e o LGPD

VAZAMENTO DE DADOS

Caso ocorra algum vazamento dos dados coletados pela empresa, a empresa tem a obrigação de comunicá-lo ao órgão competente em prazo razoável (Autoridade Nacional de Proteção de Dados, órgão da administração pública federal, integrante da Presidência da República). A instituição irá fiscalizar o cumprimento da lei por parte das empresas.

Casa haja o vazamento de dados e seja constatada alguma violação à lei, há a previsão de multas de até 2% do faturamento, até o valor máximo de 50 milhões de reais por infração.

POLÍTICAS DE CONSENTIMENTO

É essencial que as empresas sejam transparentes e que os clientes se sintam à vontade para fornecer seus dados pessoais, de acordo com políticas de consentimento. As empresas deverão deixar claro qual a finalidade daqueles dados que estão sendo coletados, sendo, na maioria das vezes, utilizados para aprimorar produtos e serviços ofertados.

Será necessário também um investimento para criar políticas de governança para o tratamento desses dados, de modo que haja uma eliminação correta das informações que não serão úteis para os objetivos da empresa.

CULTURA DE PROTEÇÃO DE DADOS

Além das adaptações tecnológicas para o controle do uso de dados, será preciso ainda a disseminação de uma nova cultura nas empresas, as quais terão que implementar novas formas mais eficientes de controle dos dados que coletam. Uma forma é por meio de treinamentos de conscientização.

A aplicação das novas regras da LGDP afetará toda a estrutura das empresas, desde a contratação de funcionário, até o contato final com os clientes. Até mesmo organizações que não mantêm contato direto com o consumidor deverão se adaptar, caso tenham acesso aos dados pessoais obtidos por outras empresas. De fato, as atividades de terceirização de serviços, de qualquer natureza, serão atividades bastante impactadas pela LGDP.

Essa nova lei representa um avanço na regulamentação de proteção de dados e na garantia dos direitos individuais, fazendo os cidadãos se sentirem mais seguros em relação aos seus dados pessoais. As consequências de desconhecer as novas regras da LGDP poderão ser graves para as empresas.

Tem alguma dúvida sobre as regras? Deixe um comentário e continue acompanhando nosso blog.

“Se quiser saber mais sobre este tema, contate o Dr. Cesar Peduti Filho.”

“If you want to learn more about this topic, contact the Dr. Cesar Peduti Filho.”

GDPR: o que é e o que sua empresa precisa saber sobre esse regulamento?

Entender o que é GDPR é essencial para adequar a sua empresa às novas regras mundiais.

Conteúdo atualizado em: 17/06/2020

 

O tratamento de dados pessoais na internet foi regulamentado na Europa em 2018. Logo, saber o que é GDPR e como ele afeta a sua empresa será essencial para o futuro.

GDPR é a sigla de General Data Protection Regulation, que, na tradução literal, significa Regulamento Geral de Proteção de Dados. Ele foi criado devido a quantidade de informações em circulação, graças ao avanço tecnológico.  

Na atualidade, milhares de transações financeiras, cadastros em sites e trocas de e-mails são realizados diariamente. Por esse motivo, a gestão dos dados pessoais pelas empresas prestadoras de serviços se tornou ainda mais essencial.

Inclusive, recentemente, diversos casos de vazamento de informações pessoais de usuários foram tema de reportagens nos meios de comunicação. Esses vazamentos fizeram muitas empresas brasileiras e estrangeiras, como a Target, passarem a ser investigadas e terem sua capacidade de sigilo questionada. 

Neste artigo, você vai saber o que é o GDPR e de que forma ela afeta o funcionamento das empresas. Boa leitura!

Entender o que é GDPR é essencial para adequar a sua empresa às novas regras mundiais.

O que é GDPR?

A União Europeia (UE) mantém atenção com a segurança e sigilo dos dados pessoais nas empresas desde 1995, quando um conjunto de leis que regulamentavam o gerenciamento dessas informações entrou em vigor.

Com o surgimento da internet, bem como da dinamização e a globalização do processo de interação entre pessoas e empresas, percebeu-se a necessidade de revisar e ajustar esse regulamento à nova realidade.

As novas discussões começaram em 2012, sendo a GDPR finalmente aprovada em 2016. O regulamento entrou em vigor somente no dia 25 de maio de 2018, para que todas as empresas tivessem tempo de se adequar e para que os usuários também tomassem ciência das normas.

Inclusive, esse foi o motivo dos usuários terem recebido tantos e-mails informando sobre a alteração das políticas de privacidades nos sites em que possui cadastro neste período entre a aprovação e entrada em vigor. 

No caso, essas empresas alteraram suas políticas em razão do GDPR e as estenderam para usuários de todo o mundo, mesmo aqueles que não estão necessariamente sob a proteção da lei, mas que podem vir a estar em razão do alcance extraterritorial do regulamento.

Qual o objetivo da GDPR?

A ideia principal da GDPR é que o usuário tenha direito de saber quais informações pessoais estão em posse da empresa, bem como com que objetivo seus dados estão sendo utilizados. Além disso, a regulamentação prevê que eles tenham a liberdade de escolher se os seus dados podem ou não ser usados para tal finalidade.

o que é gpdr

Alguns pontos específicos abordados pelo regulamento são:

  • Cabe ao usuário escolher como os seus dados serão tratados e autorizar ou não esse uso;
  • A empresa é obrigada a informar ao usuário quais são os dados que estão sendo coletados e para qual finalidade;
  • A empresa deverá disponibilizar ao usuário uma forma de interromper a coleta de dados ou de apagar todas as informações coletadas. E, ainda, fazer com que essa decisão seja respeitada;
  • O usuário deverá ter permissão para acessar, solicitar cópia ou migrar os dados para outros serviços;
  • Toda a comunicação entre a empresa e o usuário, incluindo o termo de privacidade, deverá ser feita através de linguagem clara e de modo transparente;
  • O prazo de notificação das autoridades em casos de vazamento de informações é de até 72 horas após a empresa tomar conhecimento do ocorrido;
  • A proteção dos dados deve estar presente desde a concepção de um novo projeto;
  • É recomendável que a empresa proteja os dados dos usuários, ocultando informações ou substituindo-as de alguma forma, como, por exemplo, c*********@xxx.com;
  • As empresas que coletam dados de usuários e se enquadram em determinadas características devem possuir funcionários ou consultores especialistas no tema indicados para a função de encarregado, para garantir a proteção dessas informações.

O regulamento conta com algumas restrições, ou seja, regras específicas que permitem que tais dados pessoais sejam tratados sem a incidência plena dessas regras. Segundo o seu artigo 23, essa restrição respeita a essência dos direitos e liberdades fundamentais e é uma medida necessária quando envolve, entre outros:

  • Segurança nacional e/ou pública;
  • Defesa;
  • Prevenção, investigação, detecção ou repressão de infrações penais;
  • Aplicações de reivindicações de direito civil.

Como a GDPR afetará as empresas brasileiras?

O Regulamento foi criado pelo bloco de países que formam a União Europeia, mas ela não menciona a cidadania do titular dos dados, apenas como eles devem ser tratados pelas empresas que os detêm. Isso faz com que o regulamento se aplique a todas as pessoas que estejam na União Europeia, mesmo que de passagem.

A principal forma de impacto no Brasil é que a empresa brasileira prestadora de serviço para uma empresa sediada na União Europeia ou para titulares na União Europeia poderá causar a imposição de multa aplicada diretamente ao contratante. Ou seja, a empresa brasileira será atingida indiretamente, por meio da penalização do seu contratante, caso infrinja as regras estabelecidas na GDPR.

A fim de evitar qualquer problema, as empresas brasileiras precisam conhecer a fundo o que é a GDPR para que possam implementar as modificações impostas por ela, de forma a evitar problemas futuros. Principalmente porque o bloco deixa claro a rigidez com que o regulamento é fiscalizado.

Além disso, é importante reiterar que, em julho de 2018, o Senado brasileiro se adiantou e aprovou a chamada Lei Geral de Proteção de Dados Pessoais (LGPD), baseando-se em muitas das disposições do GDPR. 

Com isso, conseguiu criar um conceito de proteção de dados mais amplo, mantendo-se totalmente alinhado aos países europeus.

Outros países também seguiram esse mesmo caminho. São eles:

  • Canadá;
  • Japão;
  • Israel;
  • Argentina;
  • Nova Zelândia;
  • Chile;
  • Colômbia;
  • Peru;
  • Uruguai.

O que ocorre em caso de descumprimento do regulamento?

Caso uma empresa infrinja essa normativa, ela pode receber desde uma notificação simples até pagar uma multa de € 20 milhões ou o equivalente a 4% da sua receita anual global, prevalecendo o maior valor. Para as empresas que não estão sediadas na União Europeia, a multa poderá ser cobrada conforme os acordos de cooperação internacionais.  

Apesar das empresas brasileiras não serem obrigadas a fazer nenhum tipo de alteração na sua política de privacidade, muitas delas se anteciparam e seguiram por esse caminho, enviando notificações aos seus usuários a respeito das atualizações. Com isso, os usuários brasileiros que possuem dados cadastrados em sites acabam se beneficiando indiretamente desse regulamento.

Outro ponto bastante importante é que a aplicação da GDPR pode gerar o chamado efeito cascata. A contratação de serviços terceirizados para atendimento ao cliente, com acesso aos seus dados pessoais, pode fazer as empresas que se adequaram à lei, quererem trabalhar somente com parceiros que também tenham se adequado.

Isso faz a implementação das novas diretrizes se espalhar, quase que espontaneamente, entre muitas empresas pelo mundo.

Como está o cumprimento da GDPR?

Apesar do período de dois anos entre a aprovação da GDPR e a sua entrada em vigor em 2018, muitos países europeus ainda não se adequaram às novas normas. Segundo estudo da Check Point Software Technologies, 40% das companhias europeias estão parcialmente cumprindo o GDPR ou encontram-se na fase de adaptação.

Somente Alemanha, França, Suécia, Bélgica, Áustria, Eslováquia e Reino Unido fizeram as atualizações previstas. Enquanto Irlanda, Espanha, Estônia, Letônia, Lituânia, Eslovênia e Grécia ainda estão em fase de discussão dos projetos de lei.

Por outro lado, alguns países ainda não chegaram ao ponto de iniciar as discussões, como é o caso da Bulgária, Croácia, Chipre, Hungria, Portugal e Romênia.

O fato de nem todo o bloco estar caminhando junto acaba dificultando a cobrança do cumprimento da legislação e mesmo em como aplicar as multas previstas por ela para quem não seguir o GDPR.

 

Agora que você entendeu melhor o que é o GDPR e a sua importância para o futuro da confiabilidade de dados na internet, continue acompanhando o nosso blog, pois tratamos de outros temas relacionados à regulamentação internacional.

“Se quiser saber mais sobre este tema, contate o Dr. Cesar Peduti Filho.”

“If you want to learn more about this topic, contact the Dr. Cesar Peduti Filho.”

O que você precisa saber sobre mercado digital no âmbito jurídico

A internet e as novas tecnologias estão cada vez mais presentes no cotidiano de inúmeras profissões, com a garantia de otimização de tempo e satisfação dos clientes. E isso não é diferente para os advogados. Assim, o mercado digital no âmbito jurídico, bem como a necessidade de uma legislação digital mais atuante, tem sido um caminho sem volta.

Mercado digital no âmbito jurídico

Tudo começa a partir da digitalização de arquivos, bem como o uso de banco de dados, o que favorece a facilidade, rapidez e eficácia na advocacia. Afinal, o volume de papel armazenado em um escritório sempre foi relevante, tratando de uma necessidade para a gestão de processos e documentos diversos.

Sendo assim, dispor de ferramentas de gerenciamento de documentos é uma opção bastante plausível. Além de garantir a segurança dos documentos, há alternativas que oferecem aos advogados e paralegais a possibilidade de marcar documentos com os pontos e argumentos relevantes, no caso da preparação de estratégias e provas para ações judiciais e procedimentos administrativos.

Outra situação quanto ao uso da tecnologia que tem ajudado esses profissionais é o uso de comunicação por videoconferência. Esse expediente pode ser utilizado não só para reuniões entres os próprios advogados ou com clientes, mas também para um depoimento ou interrogatório on-line de um julgamento, embora ainda seja uma medida limitada à procedimentos criminais

Nos dias de hoje, um simples smartphone pode garantir o contato entre as partes através de aplicativos populares. Por mais que alguns advogados ainda sejam resistentes a essas mudanças, de alguma maneira, esses profissionais já estão inseridos no mercado digital no âmbito jurídico, o que permite, inegavelmente, uma maior agilidade na comunicação entre profissional e cliente.

E ainda é possível citar outras ferramentas essenciais para o próprio trabalho de um advogado, com relação à era digital, como os softwares para peticionamento eletrônico. O instrumento permite o acesso e o envio de petições e arquivos digitais aos tribunais, tornando-se uma verdadeira necessidade profissional.

mercado digital no âmbito jurídico
Fonte: Direito Popular

Além disso, as pesquisas ficaram mais simples com a existência do Google. A própria empresa de serviços on-line disponibiliza uma ferramenta de edição de documentos em grupo, o Google Docs, perfeito para trabalhos compartilhados e que necessitam de uma comunicação rápida e eficiente com o cliente, permitindo o controle de versões de documentos e contratos.

Outra estratégia relevante para o âmbito jurídico no mercado digital é a criação de blog pessoal ou do seu escritório, com a produção de artigos de interesse geral relacionados ao Direito. Assim, os interessados chegam em suas postagens e se tornam um cliente em potencial. Essas postagens podem ser divulgadas em uma página profissional nas redes sociais, por exemplo.

Legislação digital

Outro assunto que vem de encontro com o incremento da tecnologia e internet é a necessidade de uma legislação digital mais atuante. Afinal, a popularização do uso da rede mundial de computadores tem gerado conflitos que levam a discussões quanto às limitações por conta da legislação vigente.

O comércio eletrônico é um dos grandes exemplos, pois o número de compras que ocorrem diariamente por esse método é muito alto. E, para muitos, esse meio de venda ainda se encontra descoberto de uma regulamentação específica, principalmente que seja clara e segura.

É importante frisar que o Decreto n. 7.962, de 15 de março de 2013, regulamenta o Código de Defesa do Consumidor para dispor sobre a aquisição de produtos e serviços no comércio eletrônico, ou seja, a legislação existe é bastante funcional à essa realidade.

A questão do plágio e reprodução indevida a partir da web é outra preocupação, já que pela rede circulam livremente fotos e demais conteúdos de inúmeros autores.

Já a remoção de conteúdo, que normalmente ocorre nas redes sociais a partir de uma denúncia, causa confusão quando se liga o ato à censura. Ao mesmo tempo, há pessoas que se acham no direito de agredir com palavras quem quer que seja, embora deva ser destacado que liberdade de opinião implica em responsabilidade por opinião, ou seja, terceiros que sentirem agravados possuem direito à reclamação por conteúdo produzido, mesmo que on-line.

Já a política de privacidade em redes sociais é motivo de discussão há algum tempo, principalmente depois que dados de 50 milhões de usuários do Facebook vazaram para uma consultoria política (caso Cambridge Analytica) e diversos escândalos do tipo, inclusive envolvendo empresas brasileiras, como ocorrido com a NetShoes.

E se o assunto é vazamento de informações, isso também acontece com a publicação indevida de fotos pessoais, obras culturais ainda não lançadas e tantas outras situações que sugerem a necessidade ainda maior de uma legislação digital rígida, que, no momento, se encontra em fase de amadurecimento e consolidação.

Em 2018, uma grande vitória para os brasileiros foi a sanção da lei de proteção de dados na internet, que alterou diversas disposições do Marco Civil da Internet. A lei dá aos cidadãos maior poder sobre suas informações pessoais presentes na rede. Na prática, isso significa um maior controle na privacidade, recuperação ou transferência do conteúdo entre serviços on-line.

Se você tiver conhecimento sobre outras situações ligadas ao mercado digital no âmbito jurídico ou quanto à legislação digital, compartilhe conosco nos comentários.

“Se quiser saber mais sobre este tema, contate o Dr. Cesar Peduti Filho.”

“If you want to learn more about this topic, contact the Dr. Cesar Peduti Filho.”

Case de Sucesso | Implementação LGPD

proteção de dados

Como Implementamos

O primeiro ponto interessante a ser observado é que a LGDP “pegou de surpresa” as pessoas que não acompanhavam a discussão sobre proteção de dados, e, de fato, a sua aprovação foi bastante rápida, considerando que o projeto de lei estava parado no Congresso Nacional a bastante tempo.

De qualquer forma, a principal reação de gestores das empresas, tanto dos departamentos jurídicos quanto de tecnologia da informação e compliance foi a de dúvida. O problema aqui reside no fato de que essa legislação impõe novas obrigações que exigem um alinhamento e sinergia entre áreas que possuem pouco contato e, normalmente, possuem dificuldades de comunicação entre si (advogados e programadores costumam não se entender, para dar um exemplo ilustrativo.

Dentro desse contexto de dúvida interna nas empresas, um de nossos clientes nos procurou com a demanda de proteção de dados, trata-se de grande empresa de terceirização de back-office para seguradoras, ou seja, ao entrar em contato com sua seguradora você está, na verdade, sendo atendido pelo nosso cliente.

Relevante destacar que, assim como outros contatos, o cliente entende que precisa realizar alterações em seus processos, mas tende a pensar que isso ou se resume à parte jurídica ou à parte tecnológica, quando é, na verdade, uma atividade complementar de ambas as áreas internas. Nesse sentido o primeiro ponto é esclarecer esse panorama ao cliente e organizar a comunicação necessária dentro da própria empresa (entre os departamentos relevantes).

A primeira dificuldade desse caso é o grande número de verticais de negócios cobertos (cerca de 90 verticais), o que inclui desde acompanhamento de desempenho escolar, reparo e conserto de eletrodomésticos até auxílio funeral (e cremação).

Acresce-se, a essa dificuldade, que o usuário contratou a seguradora e está, na verdade, fornecendo dados e informações pessoais e extremamente sensíveis, de forma que o nosso cliente era terceiro “alheio” à relação (ao menos do ponto de vista do usuário). A questão é, precisamente, que esse quadro vai em sentido completamente contrário às diretrizes básicas da LGPD e GDPR, que preveem a autorização e ciência do titular dos dados.

proteção de dados

É possível sintetizar os obstáculos que foram superados nesse projeto em três pontos distintos:

O primeiro deles é mapear todo o fluxo de entrada e saída de informação em todos os verticais existentes (por exemplo, ao solicitar um reparo o nosso cliente tem acesso ao endereço do usuário e compartilha esse dado com prestador de serviços que irá ao local).

O segundo é informar o usuário e obter o consentimento para o uso de seus dados, pois é essencial que esses dados possam ser utilizados para operações de Business Intelligence (BI) sem expor o cliente (e a seguradora) a riscos jurídicos. Lembrando sempre que o tratamento de dados é essencial ao setor de seguros, sendo uma das principais áreas de investimento e desenvolvimento tecnológico.

O terceiro aspecto é como gerenciar um portfólio de prestadores de serviços e parceiros comerciais de milhares de empresas, garantindo que todos estão em compliance, além de ajustar todos os procedimentos internos em conjunto com a revisão das políticas internas de gestão da informação, segurança e tratamento de dados, o que passa pela revisão de contratos com colaboradores e toda sua cadeia fornecedores.

Para atender todas essas necessidades a atuação da Peduti não se resumiu aos aspectos jurídicos, sendo a avaliação da legislação e sua aplicabilidade ao cliente apenas a parte inicial do projeto, foi necessária a atuação multidisciplinar e envolver o departamento jurídico, TI, RH, Marketing e Comercial.

A primeira fase da atuação é por meio de um questionário (bastante profundo e longo) que procura mapear o estado inicial da empresa, nesse momento precisamos entender o cenário geral da empresa e como é sua organização interna, sem isso é impossível proceder ao adequado mapeamento de cada vertical de negócio e as fases seguintes.

Trata-se de um projeto encadeado, falhas na fase de avaliação impactarão, profundamente as políticas implementadas.

O resultado final é uma reestruturação completa da organização interna da empresa, que possui uma validação, passo a passo, de seus procedimentos, e meios de demonstrar a ANPD (Agência Nacional de Proteção de Dados) a tomada de ações necessárias para a proteção de dados de terceiros.

Em síntese, a empresa consegue atestar que está em compliance com a legislação de privacidade e proteção de dados evitando assim riscos jurídicos futuros.

Interessante, por fim, destacar que no âmbito jurídico (e de compliance) raramente a adoção de uma política implica em ganhos financeiros, porém, e isso é certo, impede prejuízos financeiros futuros e desgastes à sua imagem no mercado, que às vezes são até mais danosos que as próprias multas e sanções.

Advogado Autor: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”

“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”