Nuvem de armazenamento: adequação à LGPD

Nuvem de armazenamento: adequação à LGPD

A LGPD (Lei Geral de Proteção de Dados Pessoais), publicada em 2018, passou a vigorar em 2020 e trouxe mudanças significativas para a área de segurança de dados. Elas impactam direta ou indiretamente praticamente todo tipo de empresa no que diz respeito ao uso de tecnologia da informação.

Preparamos um conteúdo  sobre a forma como a LGPD pode impactar as nuvens de armazenamento, isto é, plataformas online de armazenamento de dados, documentos e arquivos em geral. Boa leitura!

LGPD – O que é e princípios básicos

A lei nº 13.709/2018 ou LGPD visa proteger dados e informações, de diversas naturezas, que permitam identificar pessoas ou mesmo convicções.

A partir de agora, as empresas deverão ter, entre outras bases legais, consentimento expresso dos consumidores e colaboradores para utilizar informações sobre eles. E também precisarão informar exatamente qual a finalidade dessa ação, pois é direito do consumidor saber.

Nos princípios básicos da lei está previsto de forma clara o direito de toda pessoa à titularidade de seus dados.

Sendo assim, dados pessoais como nome, apelido, residência, e-mail, número de documento e localização precisam de cuidados, e sempre que possível terem garantido o anonimato.

cyber security internet and networking concept.Businessman hand working with VR screen padlock icon mobile phone on laptop computer and digital tablet

Nuvens de armazenamento e adequação à LGPD

Entendendo o que prevê a lei, é importante compreender o quanto os serviços de armazenamento em nuvem precisam se adequar.

Uma vez que o tratamento de dados passa a exigir mais atenção, é esperado que a nuvem, tecnologia que permite armazenar, acessar, compartilhar e transferir dados, tenha que fazer adaptações para estar em conformidade com a nova lei.

Como muitos segmentos de negócios hoje utilizam tanto nuvem pública quanto privada e serviços tecnológicos como softwares (SaaS) baseados em cloud computing em seus processos, isso é essencial.

No desenvolvimento de soluções como essas, as empresas deverão incluir novas definições de privacidade atualizadas e funcionalidades, sendo necessário recorrer, muitas vezes, a manuais de implementação. As empresas também deverão fornecer meios do titular pedir a correção de dados incompletos ou inexatos por meio de requisição.

O acesso a essas opções, que fornecem ao titular maior controle efetivamente de seus dados, junto à ciência do que é feito a partir deles e à segurança da informação, compõem os requisitos básicos para que as nuvens façam a necessária adequação à LGPD.

Sobre a implementação

No processo de adequação e implementação, documentações específicas também passam a ser exigidas, como o RIPDP (Modelo de Relatório de Impacto), aviso de privacidade aos funcionários, política de retenção de dados, checklist aos fornecedores, políticas de segurança referentes à contratação de terceiros, entre outras.

Quando se fala em serviços de nuvem, demais aspectos relativos à escolha de provedores confiáveis, como criptografia, monitoramento em tempo real e se possível utilização de nuvens privadas, podem reforçar a segurança contra vazamento de dados.

Garantir o cumprimento das normas, observar a segurança dos serviços de nuvens desenvolvidos ou contratados e realizar estudos de riscos ajuda a gerenciar o cenário novo que as companhias encontrarão agora.

Para saber mais sobre assuntos jurídicos, acesse nossa central educativa.

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

Como o Compliance Digital pode ajudar a sua empresa!

Nas últimas décadas o avanço da tecnologia vem mudando a forma de interação nas relações sociais e empresariais na sociedade moderna, o avanço e desenvolvimento de novas ferramentas e tecnologias se tornam cada vez mais veloz e frequente no âmbito social, comportamento esse que acarreta mudanças drásticas no cotidiano e trajetória dos usuários gerando indivíduos e empresas cada vez mais dependentes e conectados ao mundo digital. 
 
Neste contexto, a constante mudança produzida por tal evolução acaba por exigir que empresas e indivíduos adotem novas medidas e meios de se relacionar, produzir e gerenciar as suas atividades, dados e informações assumem um papel econômico e estratégico para as empresas que consecutivamente acabam por trafegar e compartilhar em maior volume e meio tais artefatos. 
 
Novas tecnologias e formas de armazenamento de informações urgem na sociedade a cada dia e com maior frequência, hoje os dados podem trafegar por diversas plataformas variando entre dispositivos corporativos como servidores e computadores bem como em dispositivos pessoais tais como smartphones, tablets e notebooks. 
 
Neste cenário, indivíduos e empresas passaram a se preocupar cada vez mais com a segurança e a integridade do compartilhamento, armazenamento e gerenciamento de tais informações, urge então a modalidade de conformidade intitulada de Compliance Digital. 

 

 

O Compliance Digital em conjunto com a área de tecnologia da informação funciona como a ferramenta capaz de proporcionar a análise e mitigação de riscos adotando medidas preventivas para a proteção das informações diante de ameaças internas e externas da organização, sendo assim, um trabalho em conjunto com o departamento abordará os aspectos técnicos da segurança da informação enquanto a área jurídica observa a legislação e elabora códigos de ética e conduta, regulamentos internos de segurança da informação e políticas de privacidade. 
 
A adoção de um programa de Compliance Digital não possui somente o cunho institucional, mas também viabiliza que a empresa esteja em conformidade com as normativas digitais tais como, a lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) e a lei 10.406/2002 (Marco Civil da Internet) 
 
No entanto, para que um programa de integridade obtenha sucesso no rumo a conformidade digital, se faz necessário que as empresas realizem a busca e contem com profissionais especializados na área, contando com serviços e consultorias que abordem os aspectos de implementação, desenvolvimento e manutenção do programa. 
 
O Compliance Digital ainda é considerado como uma ferramenta relativamente nova para a realidade brasileira, porém, indispensável ao cenário digital atual, proporcionando um ambiente empresarial seguro e eficiente nas relações com clientes e fornecedores bem como, oportunizando às instituições uma vantagem competitiva no mercado. 

Advogado autor do comentário: Felipe Liphaus Correia de Carvalho

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

Como implementar as regulamentações da LGPD

Entre os usuários da rede. Saber como implementar as regulamentações da LGPD (Lei Geral de Proteção de Dados) que é essencial para a sua empresa na era digital.

A Lei Geral de Proteção de Dados deveria entrar em vigor em Agosto de 2020, mas provavelmente terá a data prorrogada para 2021. A Lei foi criada  a fim de proteger os dados pessoais dos brasileiros e daqueles que fazem negócios em nosso país.

QUAIS OS PASSOS PARA IMPLEMENTAR AS REGULAMENTAÇÕES DA LGPD?

A primeira coisa que a empresa precisa ter em mente é que, a partir da entrada em vigor, a responsabilidade em proteger os dados pessoais dos titulares é de responsabilidade de quem coleta, armazena ou trata, de qualquer forma esses dados. Em síntese, quem possui acesso aos dados pessoais de um usuário deverá se responsabilizar pela segurança, proteção e privacidade desses dados. 

É importante que todos os funcionários da empresa se envolvam com o processo de adequação às normas. Muitos setores precisam ser totalmente reformulados e muitos processos revistos. A seguir, alguns passos para auxiliar na transição.

TENHA UM COMITÊ DE SEGURANÇA DA INFORMAÇÃO

O DPO (Data Protection Officer, ou Comitê de Segurança da Informação) passa a ser obrigatório em empresas que necessitem gerenciar dados pessoais, seja ela pública ou privada. Ele será responsável por garantir que as novas regras sejam seguidas, além de realizar auditorias frequentes nos processos estipulados pela empresa, apontando falhas no sistema e propondo melhorias.

É importante que esse comitê seja formado por pessoas de diferentes áreas da empresa. Essa formação trará uma visão global de todos os procedimentos da empresa que envolvem a manipulação de dados pessoais.

Caberá ao comitê auxiliar na implementação da regulamentação da LGPD tendo um encarregado, que será o principal responsável e desempenhará papel relevante durante a transição.

FAÇA UMA AVALIAÇÃO DO SISTEMA ATUAL

Durante essa etapa, é importante que o DPO avalie quais são os dados pessoais que a empresa detém, incluindo informações genéticas, biométricas e de saúde. É importante realizar essa avaliação prévia para ser possível avaliar, inclusive, se são coletados dados desnecessários e/ou excessivos às finalidades da empresa. 

Após a identificação dos dados, caberá ao DPO o mapeamento de todo o processo de gerenciamento de dados, tais como: coleta, organização, recuperação, consulta, utilização, divulgação e destruição. 

O comitê deverá avaliar se existem falhas e lacunas no sistema atual, de modo que elas devem ser apontadas.

DEFINA UM PLANO DE AÇÃO

Após tomar conhecimento do funcionamento do sistema atual, a empresa deverá avaliar quais são os procedimentos que devem sofrer alterações para que a implementação da regulamentação da LGPD ocorra.

Todos os procedimentos que necessitarem de mudança deverão ser modificados. Tenha um planejamento para realizar as adequações, para que nenhum ponto fique de fora da atualização, e um controle de todas as alterações que já foram realizadas.

ESTABELEÇA POLÍTICAS INTERNAS E TENHA PROCEDIMENTOS CLAROS

É essencial que a empresa possua um Sistema de Segurança da Informação, estabelecendo medidas para controle e gestão dos dados pessoais internamente. Essas barreiras podem ser:

  • físicas (como controle de acesso a determinadas áreas da empresa);
  • organizacionais (com estabelecimento de políticas e códigos de conduta);
  • técnicas (como a utilização de softwares que codifiquem as informações dos titulares).

A empresa deverá revisar os seus procedimentos com os colaboradores e empresas parceiras, elaborando e atualizando termos de sigilosidade além de implementar normas de conduta internas.

FAÇA UMA REVISÃO DA POLÍTICA DE PRIVACIDADE

Um dos pontos cruciais da regulamentação é o consentimento da coleta e utilização dos dados pelos seus titulares. A política de privacidade precisa ser redigida de forma clara, concisa e transparente, para que o usuário entenda todos os pontos abordados.

A política de privacidade deverá ser revisada, para garantir que ela contenha todas as informações necessárias para que o titular tome conhecimento e decida se concorda ou não com a coleta e utilização das suas informações.

É necessário que ela mencione também como o usuário deverá proceder em caso de transferência (portabilidade) e exclusão de seus dados dos registros da empresas.

COMUNICAÇÃO DE VAZAMENTOS DE INFORMAÇÕES

Caso ocorra o vazamento de informações pessoais de titulares, a empresa tem a obrigação de reportar o incidente.

Portanto, ao criar o plano de ação, a empresa precisa ter ciência dessa obrigação e estar preparada caso seja necessário realizar esse comunicado.

CONCEPÇÃO DE NOVOS PROJETOS

Todos os novos projetos que incluam a coleta de dados de titulares devem ter as normas da LGPD incluídas desde a sua concepção. Garantindo a privacidade e a sigilosidade dos dados desde o início.

BUSQUE EMPRESAS ESPECIALIZADAS

Pode ser que mesmo após seguir todos os passos acima, a empresa ainda tenha dúvidas sobre como regulamentar e implementar os novos procedimentos ou mesmo queira se certificar de que todas as exigências foram seguidas.

Nesses casos, é recomendado consultar empresas especializadas no tema, que possam fazer uma análise completa de todas as informações sobre os procedimentos coletadas pelo DPO.

Se você quer saber mais sobre a regulamentação LGPD, continue acompanhando o nosso site, pois temos outros artigos que podem ser de seu interesse.

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

 

TikTok – a rede social que trata seus dados, só que de forma errada.

uso de dados

Como tudo já foi assunto um dia, desta vez o que mais se fala é a questão da privacidade dos dados, que no Brasil está regulamentada na Lei Geral de Proteção de Dados (“LGPD”) e na União Europeia no Regulamento Geral sobre a Privacidade e Proteção de Dados Pessoais (“GDPR”).

Este assunto afeta diretamente todas os níveis de uma cadeia de negócios que tenha tráfego de dados de consumidores de um modo geral, assim como afeta diretamente a forma de fazer marketing e publicidade direcionado, já que estas empresas tem acesso a um grande volume de informações sensíveis, e por este motivo, devem dar enorme atenção para adequar sua forma de atuar e tratar dados de acordo com as previsões da LGPD.

O problema é que os Estados Unidos não tem um conjunto sistematizado de leis de proteção a Privacidade, como ocorre na União Europeia. Por seguir este modelo, a opção foi por regular cada setor de maneira estaque, daí que existe uma lei para o setor bancário, uma para o setor médico, outra para o setor de seguros e assim por diante. Existem ainda a “Lei da Nuvem”, que afeta empresas que tenham sede nos Estados Unidos, assim como a
COPPA (Lei de Proteção à Privacidade Online das Crianças), que não permite que as empresas responsáveis pelas redes sociais coletem informações a respeito de menores de idade sem o consentimento explicito dos pais.

Ocorre que a rede social chinesa TikTok não parece estar muito preocupada com as implicações relacionadas ao não cumprimento das legislações que tratam sobre a matéria, em especial a forma de tratamento de dados sensíveis de seus usuários, a forma como estes dados são utilizados, dentre outras coisas.

uso de dados

Para quem não conhece, a TikTok é uma rede social que permite a gravação e publicação de pequenos vídeos e lembra muito o quase falecido Snapchat e o já falecido Vimeo – a diferença é que os dois últimos eram americanos.

A ByteDance, que agora se chama TikTok, já foi alvo de acusações de coleta de dados dos seus usuários para o governo chinês, inclusive de dados de usuários norte-americanos, e já foi condenada nos Estados Unidos por violar a COPPA, tendo que pagar U$5.7 milhões de indenização em ação coletiva e agora enfrenta nova acusação do governo norte americano.

As alegações são de que há uma falha que permite que as crianças usem a rede de forma pública e não privada (o que deveria ser proibido) e de que, entre dezembro de 2015 e outubro de 2016, o aplicativo coletou a localização de usuários, permitindo que terceiros (pessoas e empresa desconhecidas) tivessem acesso a esse tipo de informação.

Fato é que não se sabe ao certo como que a empresa chinesa que coleta os dados utiliza as informações reunidas, como as disponibiliza e muito menos como as monitora, e aí que mora o risco do negócio.

Com a crescente atenção ao mercado chinês, certamente haverá pressão (por todas as vias possíveis) para que este tipo de situação seja ao menos parcialmente mitigada pelas empresas daquele país e regulamentada de forma abrangente pelo governo, o que até o momento não parece ser um dos temas de maior atenção, mesmo com a emissão da Diretriz Reguladora de Proteção de Dados publicada em junho de 2019 pela entidade governamental reguladora da Internet na China.

Advogado Autor do Comentário: Rafael Bruno Jacintho de Almeida
Manchete: TikTok é processado nos EUA por tratamento ilegal dos dados de menores

Fonte 

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

LGPD vai favorecer Inteligências Artificiais preconceituosas

A redação final da Lei Geral de Proteção de Dados e da lei que cria a Autoridade Nacional de Proteção de Dados retirou das pessoas uma das mais importantes ferramentas para a tutela individual contra a violação de garantias constitucionais de igualdade perante os diversos tipos de algoritmos com vieses discriminatórios, de tal sorte favorecendo cenários exponencialmente agravados pelos desdobramentos, avanços e ocultação sistemática (proposital ou por desenho) dos vieses discriminatórios nas ferramentas de inteligência artificial com aprendizado de máquina em redes neurais ou aprendizado profundo nas estruturas de tomada de decisão de segregação/segmentação de pessoas.

A inteligência artificial e seus potenciais usos já não habitam mais as páginas de Arthur C. Clarke e o imaginário juvenil, seus avanços e presença têm ganhado destaque por seus feitos e despertado preocupações por suas ações e perigos.

Uma destas preocupações, que inclusive foi um dos fatores que inicialmente promoveram este estudo, é a discussão presente em torno da tutela da propriedade intelectual aplicada à Inteligência Artificial (AI). A Organização Mundial de Propriedade Intelectual (WIPO) ainda está engatinhando no sentido de identificar os campos de atuação e as possibilidades de proteção por propriedade intelectual decorrentes do uso de AI. Ocorre que esta preocupação ainda está no campo da cogitação científica e sequer tornou-se relevante o suficiente para mover as delicadas engrenagens do equilíbrio do comércio internacional para que as disputas políticas por modelos regulatórios montem sua arena.

Não obstante a imaturidade das aplicações com uso de AI decorrentes de recente incremento na capacidade computacional em nuvem e a grande disponibilidade de dados, as mazelas, fragilidades e vulneração dos direitos civis é tema recorrente de estudo vez que a ciência de base das redes neurais[1] , desdobramentos do pecerptor de Rosenblatt[2], esteve livremente disponível à comunidade há dezenas de anos, apresentando inclusive,  no conceito de redes neurais, valores modulantes de peso.

Mantendo o complexo tão simples quanto possível, em uma rede neural os neurônios artificiais são treinados (com um grande conjunto de pares de dados base) para reconhecer e categorizar uma determinada informação dada. O treinamento com pares de dados permite à rede neural identificar por tentativa e erro os pesos de cada informação imputada para a determinação da categoria. Esta determinação do “peso” ou relevância de uma característica da informação inicial para a determinação do resultado verdadeiro é um valor obtido (mas não dado) a partir do conjunto de dados base, e fortemente influenciado pela abrangência e qualidade deles. Bancos de dados contaminados com vieses preconceituosos estruturais, conhecidos ou não, podem ter este tipo de preconceito aumentado se reconhecido pela rede neural como um fator com peso maior.

A discriminação latu sensu pode ser entendida como o atributo entre duas classes que provoca uma mudança de comportamento com relação à estas classes – ou seja o fator discriminatório – que eventualmente pode estar ancorado em gênero, origem, classe social, alinhamento político, crença religiosa, raízes culturais, entre outros tantos fatores que não podem servir de base para uma mudança de tratamento perante os direitos humanos e constitucionais brasileiros.

Nas redes neurais profundas, esse problema pode ser incrivelmente mais desafiador, considerando que nelas podem ser utilizadas centenas de camadas ocultas cada uma com milhões de neurônios artificiais. Estas redes neurais profundas são especialmente eficientes em problemas complexos como reconhecimento de fala e imagens, mas são uma verdadeira caixa-preta no quesito de identificar fatores discriminatórios e os pesos, é tecnicamente impossível enxergar a utilização de fatores discriminatórios de gênero e etnia olhando apenas para a rede neural profunda.

Como a injusta discriminação em redes neurais profundas tem sido enfrentada por pesquisadores e times de desenvolvimento em todo o mundo, alguns fatores contraintuitivos foram identificados.

Por exemplo, mecanismos de tomada de decisão de entrega de publicidade online operaram com viés de gênero para mulheres, mesmo quando a ferramenta era programada para não fazer diferença por sexo; e, até mesmo quando a ferramenta não possuía a informação de gênero ela fazia esta discriminação[3].   

A questão de reforço discriminatório da AI também tem sido estudada do ponto de vista dos dados utilizados no treinamento tendo sido identificado que conjuntos maiores de dados não conduzem a melhores resultados e muitas vezes aprofundam os vieses discriminatórios.

Exemplos que beiram o absurdo são cotidianamente levantados por especialistas e na imprensa aberta, como por exemplo no caso abaixo em que um escore de risco de reincidência criminal divulgado pela ProPublica[4] – que chocaria até Cesare Lombroso – não explicita porque a mulher negra possui um alto índice enquanto um assaltante armado e reincidente tem baixo risco.

inteligencias artificiaisOs algoritmos de reconhecimento de face, por exemplo, parecem ter uma dificuldade muito maior com faces de mulheres negras, como trazido por Joy Buolamwini em um artigo na revista Time[5] no qual algoritmos de dois gigantes mundiais são incapazes de reconhecer as duas mulheres negras mais importantes dos EUA:

inteligencias artificiaisinteligenciais artificiaisEste pode parecer ser um problema restrito às sociedades ocidentais desenvolvidas, porém mesmo o Brasil também deverá sofrer nos próximos anos dos efeitos das decisões injustamente tomadas por AIs. Fruto principalmente das atuais políticas públicas de uso e proteção de bancos de dados, dispositivos legais que atendem um forte interesse de uma parcela do mercado fragilizaram ainda mais a posição do cidadão brasileiro com relação às suas informações de utilidade financeira e creditícia, a Lei do Cadastro Positivo e A Lei Geral de Proteção de Dados.

A Lei Complementar 166/2019, altera as regras do Cadastro Positivo com o discurso de “permitir que cada brasileiro tenha uma nota de crédito (escore), definida de acordo com o pagamento de suas contas, como empréstimos bancários, cartão de crédito e de serviços públicos de fornecimento de água, luz e telefone. Terá escore mais alto o bom pagador, que arca com seus compromissos em dia. Essa reputação será considerada pelas instituições financeiras na hora de conceder crédito ao consumidor.[6]”  

Mesmo que se pudesse ver com bons olhos a criação de um banco de dados com as informações creditícias de todos os cidadãos brasileiros, a submissão à um algoritmo de escore já implica que todas as pessoas físicas ao tomar crédito estarão sujeitas aos vieses de preconceito reforçado de que já tratamos.

A diferença no caso nacional é a de que o cidadão atingido por estes injustos fatores discriminatórios não terá condições fundamentais de autodefesa, nesse caso a revisão humana. 

Os exemplos trazidos à ágora por pesquisadores e especialistas, em sua maioria, poderiam ser sensivelmente reduzidos caso sofressem revisão humana por pessoa qualificada.   

O problema é que a Lei 13.853 de 2019 ao alterar a redação do art. 20 da Lei 13.709 de 2018 (Lei Geral de Proteção de Dados), excluiu a necessidade de pessoa natural na revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais incluindo os de crédito.

Na prática, o cidadão ao requerer a revisão de seu escore de crédito será automaticamente submetido ao mesmo algoritmo sujeito a falhas, recebendo o mesmo resultado e criando o impedimento de que se levantem casos onde o crédito é negado ao cidadão porque seu patronímico é comum entre os vulgares, ou reside em área sujeita à favelização ou simplesmente por sua origem étnica. A resposta sempre será:

Dave, this conversation can serve no purpose anymore. Goodbye.

[1] Rosenblatt, F. (1962) Principles of Neurodynamics Perceptrons and the Theory of Brain Mechanisms. Spartan Books, Washington DC.

[2] Marvin Minsky and Seymour Papert,  Perceptrons. An Introduction to Computational Geometry. M.I.T. Press, Cambridge, Mass., 1969.

[3] Amit Datta, Michael Carl Tschantz, and Anupam Datta, Automated Experiments on Ad Privacy Settings, Proceedings on Privacy Enhancing Technologies 2015; 2015 (1):92–112.

[4] https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing?source=post_page

[5] https://time.com/5520558/artificial-intelli https://time.com/5520558/artificial-intelligence-racial-gender-bias/ gence-racial-gender-bias/ 

[6] https://www.bcb.gov.br/detalhenoticia/336/noticia

 

Advogado Autor do Comentário: Luiz Henrique Rodrigues de Souza

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

 

Como o GDPR afeta o cotidiano dos brasileiros?

Na data de 25 de maio de 2018 a União Europeia promulgou o GDPR (General Data Protection Regulation) que criou um novo regime de proteção de dados e privacidade, especialmente depois de diversos escândalos mundiais de vazamento de dados, como o caso da Cambridge Analytica e denúncias de uso de fake news para influenciar na eleição americana.

Enfim, tudo isso parece muito distante da realidade dos brasileiros e descolado do nosso ambiente de preocupações, no entanto, isso não é verdade por uma série de fatores e motivos.

O primeiro motivo é bem simples, se você utiliza algum serviço online deve ter recebido em um curto espaço de tempo uma enxurrada de e-mails de alteração de termos de uso e política de privacidade, ou seja, a forma como você interage com esses serviços mudou bastante, mesmo que não tenha percebido. Porém, isso tudo isso parece distante, quais são os efeitos para você como prestador de serviço e como profissional?

O GDPR impacta diretamente as relações de serviço e comerciais entre empresas, por meio de um mecanismo bastante inteligente. O Direito, de modo geral, é restrito ao território, ou seja, uma lei de um país só pode ser aplicada em seu território, se você está fora dessa área não poderá ser penalizado, o que chamamos de “princípio da territorialidade”.

No entanto, o problema aqui é que bastaria às empresas sair do território da União Europeia para fugir da aplicação da lei, o que esvaziaria seu propósito. Diante desse cenário o GDPR foi construído para ser aplicado na cadeia como um todo, da seguinte forma, imagine que uma empresa europeia contrate uma empresa brasileira e essa empresa brasileira viole o GDPR, caso isso acontece a autoridade europeia não irá multar e penalizar a empresa brasileira (por estrar fora de seu território), mas irá penalizar a empresa europeia pela violação promovida por empresa que contratou, pois como contratante possui a obrigação de garantir que toda a cadeia que possuí acesso aos dados cumpra com o GDPR.

 Ao proceder dessa forma a União Europeia garante que o GDPR será cumprido, mesmo fora de seu território, ou seja, de certa forma o GDPR se tornou uma legislação “mundial”, pois todo aquele que possui acesso a dados de cidadãos, empresas e/ou governos europeus está sujeito a ele, por exemplo, subsidiárias de multinacionais europeias, prestadores de serviços diversos (agências de marketing, etc…) estão todos os sujeitos à essa legislação. Por outro lado, é utilizado o poder econômico das empresas europeias para que esta “incentivem” seus prestadores de serviços e fornecedores a se adequarem à GDPR.

Em síntese, mesmo que aparentemente invisível o GDPR impacta diretamente a vida da maioria dos brasileiros, isso sem contar com um “detalhe”, que poucos meses depois da aprovação do GDPR foi criada legislação brasileira bastante similar (a LGPD) ao regramento europeu.

Os próximos anos serão de acomodação e fiscalização crescente no setor, de certa forma só agora o público e as legislações perceberam a relevância de temas como proteção de dados, segurança da informação e privacidade.

Dito tudo isso, a legislação brasileira (LGPD) entrará em vigor em fevereiro de 2020, e a maioria das empresas ainda não está ciente desse fato e pouco preparada para se adequar, expondo-se assim a riscos e multas financeiras rigorosos em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.

Advogado Autor do Comentário: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

LGPD e a segurança da informação

LGPD e a segurança da informação

O tema de segurança da informação é algo que sempre foi bastante restrito à esfera técnica, sendo um universo dominado pelos profissionais de TI e a infinidade de termos como hackerscrackersscript kidswhite e black hat, etc… Enfim, é possível ter a impressão de a segurança da informação é um assunto obscuro e só relevante para os profissionais diretamente envolvidos no assunto. Nesse sentido seria uma espécie de “guerra secreta” entre profissionais de segurança e hackers (e todas suas variantes) na qual os “civis” teriam pouco ou nenhum interferência e/ou interesse no assunto.

No entanto a situação não é essa, muito pelo contrário, com o aumento exponencial de utilização de dados, inteligência de mercado (e todas as tendências e usos de big data) a quantidade de dados aumento bastante, bem como a sua difusão. Os dados deixaram de ser restritos à grandes empresas (e seus servidores e mainframes) para se tornar algo relativamente comum e “espalhada por aí”. E, consequentemente, o mau uso de dados, vazamentos e toda sorte de uso indevido se tornou algo comum e divulgado na mídia.

Em síntese, de um assunto obscuro e “secreto” a segurança da informação passou a dominar a mídia, incluindo casos de grande repercussão (como a interferência em eleições nos EUA e no Brexit).

Diante desse cenário é compreensível a movimentação de grupos organizados para uma regulação e punição de condutas indevidas, e o Brasil seguiu essa tendência mundial ao criar o Marco Civil da Internet, que trazia várias previsões e diretrizes sobre o uso da internet.

Contudo, o principal ponto falho (e bastante criticado) do Marco Civil era a ausência de disposições específicas sobre a segurança da informação e proteção de privacidade, pois embora existisse um padrão de “boas práticas” do mercado inexistia qualquer obrigação legal específica de segurança da informação e, sem esse tipo de obrigação, não é possível se falar em proteção da privacidade. De fato, sem a segurança da informação não é possível que exista privacidade, se a informação está guardada indevidamente o que impediria qualquer um de violá-la e, posteriormente, utilizá-la como bem entendesse? Aliás, sem a obrigação de segurança seria até conveniente para as empresas que suas informações fossem “roubadas” por terceiros para que estes fizessem outros usos que a empresa não poderia realizar.

A LGDP (Lei Geral de Proteção de Dados Pessoais) foi criada exatamente com a intenção de proteger os dados individuais, com um foco grande em privacidade, contudo, um ponto normalmente ignorado é que a LGDP também disciplinou a questão de segurança da informação, tornando-a uma obrigação específica, proteger os dados que armazena (coleta) não é mais apenas um meio de proteger seus clientes, mas uma obrigação específica, que possui uma finalidade em si mesma.

LGPD e a segurança da informação

Por exemplo, o artigo 6 da LGDP, que estabelece os princípios básicos da utilização e tratamento de dados prevê a segurança de dados como um de seus pilares, da seguinte forma:

“ VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Além disso, não se trata apenas de um princípio, mas de uma obrigação (prevista no artigo 46) e, ainda mais, um dos elementos que será considerado pela Autoridade Nacional de Proteção de Dados em caso de sanção administrativa, que calculará eventual pena com base em diversos fatores, entre eles, a adoção de mecanismos de segurança de informação (artigo 52, inciso VIII):

“VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;”

Em síntese, o tema de segurança de dados se tornou um objeto regulado pela LGDP, tornando-se assim uma obrigação jurídica própria, em relação a qual são associadas multas e penalidades específicas em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.

Advogado Autor do Comentário: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”