LBCA | Lee, Brock, Camargo Advogados

Dia: 13 de junho de 2019

  • 11 passos para implantar a LGPD nas empresas

    11 passos para implantar a LGPD nas empresas

    A nova lei de proteção de dados – a chamada Lei Geral de Proteção de Dados (LGPD) – foi sancionada em agosto de 2018 e entrará em vigor em agosto de 2020. Seu principal objetivo é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios. Esta lei chega para alterar a Lei nr 12.965, de 23 de abril de 2014, popularmente chamada de Marco Civil da Internet que regulava estas transações até então.

    A LGPD tem como base a GDPR, regulamentação europeia aprovada em maio do ano passado e usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento, de dados pessoais e seu compartilhamento. A intenção é proporcionar privacidade às pessoas físicas contando com a penalidade de multas para motivar o seu cumprimento por parte das empresas.

    Mas, por que falar sobre isso exatamente agora?

    As empresas e as organizações terão grandes responsabilidades em relação à proteção dos dados pessoais de seus funcionários, fornecedores e clientes. Apesar da data de início de vigência da LGPD parecer distante, as medidas necessárias devem ser tomadas desde já. Por isso, é preciso se mover com rapidez para que a LGPD não impacte negativamente os negócios.

    10 passos para implantar a LGPD nas empresas

    Para entender como iniciar o processo de implementação, a Lee, Brock, Camargo Advogados (LBCA) organizou 10 principais pontos da LGPD que sua empresa não pode deixar de observar.

    1. Estudo da LGPD e demais leis que regulamentam o negócio;
    2. Mapear a entrada e o tratamento dos dados pessoais;
    3. Mapear os riscos do tratamento;
    4. Elaborar o Relatório de Impacto;
    5. Criar a política de proteção de dados e adaptar os documentos internos e externos;
    6. Gerenciar os pedidos dos titulares e dos órgãos;
    7. Treinamento das equipes que tratam dados pessoais;
    8. Ser compliance com a proteção de dados mediante governança;
    9. Exigir o compliance de proteção de dados de seus fornecedores;
    10. Concepção de novos produtos com o princípio de privacy by design;
    11. Eleger um DPO com conhecimentos jurídicos e regulatórios sobre proteção de dados.

    Proteção de dados e o impacto da LGPD nas empresas

    O que sua empresa deve fazer em relação à medida? Para entender os principais objetivos da nova lei, a obrigação legal ou regulatória ou o impacto da medida sobre as companhias, acesse aqui e entenda resumidamente as questões envolvendo a Lei Geral de Proteção de Dados.

    Se ainda não ficou claro o que muda em relação à nova medida, as etapas da comunicação de vazamento ou, por exemplo, o impacto sobre as políticas de privacidade das empresas, clique aqui.

  • LGPD: impactos atuais de uma lei ainda não vigente

    LGPD: impactos atuais de uma lei ainda não vigente

    Em pouco menos de um ano de sua promulgação, já é possível perceber os impactos da LGPD nas empresas, inclusive, sua aplicação por parte de algumas autoridades brasileiras, como é o caso do Ministério Público do Distrito Federal e dos Territórios (MPDFT), que vem atuando de forma expressiva.

    A Unidade Especial de Proteção de Dados e Inteligência Artificial do MPDFT (ESPEC) é a primeira iniciativa nacional dedicada exclusivamente à proteção de dados pessoais e da privacidade dos brasileiros.

    Impactos LGPD

    Desde agosto de 2018, o MPDFT já investigou ao menos 13 casos envolvendo dados pessoais e privacidade, fundamentando-se, principalmente, no Código de Defesa do Consumidor, em seu artigo 6º, que assegura o direito à informação.

    Um dos primeiros casos envolveu a empresa MyHeritage, especializada em construção de árvores genealógicas e testes de DNA que, em outubro de 2017, confirmou o vazamento de dados de 3.360.814 clientes brasileiros, dentre eles 106.880 menores de idade à época.
    A empresa afirmou que não houvera o comprometimento de nomes, endereços ou outros dados sensíveis, e que teria ocorrido apenas o vazamento de e-mails.

    A Israeli Privacy Protection Authority (autoridade de dados israelense) encerrou a investigação afirmando que não ocorreu violação à sua legislação.

    Os clientes brasileiros da MyHeritage foram orientados a trocar as senhas de acesso ao site, ainda que a empresa tenha garantido que as mesmas possuem criptografia.

    Outro caso que merece destaque envolve a empresa Boa Vista SCPC. Foi instaurado inquérito civil público e, inicialmente, foi apurado um vazamento que poderia ter afetado mais de 350 milhões de pessoas que fizeram cadastro na empresa.

    A ESPEC-MPDFT, após cerca de dois meses, concluiu que não houve vazamento de dados, já que, apesar de ter ocorrido uma invasão ao servidor de desenvolvimento armazenado na nuvem, este não continha dados pessoais armazenados.

    Uma situação ainda mais gravosa aconteceu com a empresa Atlas Quantum, do mercado de criptomoedas, que se tornou ré em uma ação civil pública por danos morais.

    O MPDFT pediu a condenação da empresa ao pagamento de milhões de reais pelo vazamento dos dados de mais de 260 mil clientes.
    Além de investigações, a ESPEC-MPDFT pode solicitar explicações sobre a guarda e proteção de dados, como ocorreu com a Vivo em abril deste ano, com a requisição de um relatório de impacto à proteção de dados pessoais dos clientes dessa empresa.

    No Brasil, foi a primeira vez que o Poder Público solicitou esse tipo de relatório. A empresa tem um prazo de 60 dias para elaborar e apresentá-lo, sendo que um dos principais pontos levantados pelo MPDFT aborda a questão de dados coletados para rastrear a geolocalização dos usuários (Vivo Ads).

    A Vivo deve explicar sobre o funcionamento dos processos para gerenciar os dados, bem como qual a estratégia para diminuir os riscos relacionados à proteção das informações de seus clientes e os impactos da LGPD.

    O promotor membro da ESPEC-MPDFT, Frederico Meinberg, se pautou nos relatórios feitos na Europa, chamados de Data Protection Impact Assessment – DPIA, cujo objetivo é identificar e minimizar os riscos de um projeto e afirmou que se trata de instrumento importante para comprovar que as empresas e órgãos públicos tratam os dados pessoais de forma segura e adequada.

    LGPD e as empresas

    O que se verifica é que, independentemente de entrar em vigor, a LGPD já impacta as empresas e demais que fazem uso de dados pessoais, seja por exigências externas, para dar prosseguimento a negociações; seja pela pressão de órgãos públicos, para que haja eficácia no cumprimento da lei.

    De qualquer forma, é inegável que a LGPD vai exigir mudanças consideráveis para todos aqueles que fizerem o tratamento de dados pessoais.

    Considerando que já estão sendo feitas exigências antes mesmo da legislação entrar em vigor, recomenda-se que as medidas necessárias para adequação à nova lei sejam tomadas o quanto antes a fim de evitar surpresas, tais como: gestão do consentimento e anonimização dos dados; adoção de medidas de segurança da informação; elaboração de relatório de impacto e due diligence dos dados pessoais.

    * Rachel Ellmann Clemente é advogada e sócia da Lee, Brock, Camargo Advogados (LBCA)
    * Leia o artigo originalmente publicado no site CryptoID