rd-23

CONHEÇA A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD

A Lei Geral de Proteção de Dados – LGPD – determinou a Agência Nacional de Proteção de Dados como órgão da administração pública federal, integrante da Presidência da República.

Vejamos como será a composição da ANPD:

Sob influência do modelo adotado na Europa com o GDPR (General Data Protection Regulation), a ANPD será o órgão fiscalizador, julgador e sancionador de essencial importância para o correto funcionamento da LGPD, podendo se destacar como sendo seu principal papel zelar pela proteção de dados e elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade.

Desta forma, a ANPD deverá fiscalizar e aplicar sanções na ocasião de descumprimento das diretrizes da LGPD, mediante processo administrativo com observância ao devido contraditório e a ampla defesa, resguardando o direito de recurso.

Considerando, ainda, que a LGPD é tida por uma legislação principiológica, torna-se de extrema importância que a ANPD delimite a regulamentação de questões que deixam margem interpretativa.

Não há disposição em outro texto legislativo que determine à pessoa jurídica notificar a ocorrência de incidente de segurança que possa ocasionar risco ou dano relevante aos titulares dos dados, sendo que, diante da inédita obrigação, deve ser definido o “prazo razoável” para a empresa realizar a comunicação imposta, uma vez que o termo “razoável” pode ser entendido por uma empresa como sendo prazo de uma semana e por outra prazo de um ano.

Em relação à GDPR (General Data Protection Regulation), a Autoridade Nacional Europeia (EPDS) estabeleceu o Conselho Europeu de Proteção de Dados para emitir pareceres e orientações, esclarecendo os pontos divergentes da legislação e sanando interpretações ambíguas da lei, assumindo um caráter norteador para implementação de adequação das organizações.
A CNIL (Commission Nationale de l’Informatique et des Libertés), Autoridade Nacional de Proteção de Dados francesa, definiu como objetivo prioritário a missão de orientar e apoiar a conformidade da adequação.

Em 2018 a autoridade francesa registrou 310 investigações relacionadas a vazamentos de dados, sendo que na maioria dos casos se posicionou no sentido de orientar o compliance das organizações investigadas, aplicando multas pecuniárias em cerca de apenas 5% (cinco por cento) das ocorrências, adotando em agosto deste ano, sua primeira decisão de sanção em cooperação com outras autoridades europeias, diante de violações ocasionadas por parte da empresa Spartoo .
Por sua vez, a Autoridade da Inglaterra ICO registrou aplicação de penalidades pecuniárias altas no mesmo período, em percentual mais elevado frente a totalidade de denúncias recepcionadas.

Tendo em vista que, recentemente através do Decreto 10.474/20 foi aprovada a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados, houve mais expectativas para identificar se a ANPD terá um viés orientador ou punitivo.

Entretanto, mesmo havendo ausência de nomeação dos conselheiros e demais membros que irão compor a ANPD no momento, é importante destacar que poderão incidir, em caso de descumprimento da norma, as disposições constantes do artigo 72 do Código de Defesa do Consumidor e do artigo 12 da Lei 12.965/14.

Diante do avanço constante do desenvolvimento da tecnologia, certamente a implementação da cultura de proteção de dados será um avanço significativo para toda sociedade.

Portanto, a ANPD desenvolverá um papel importante e central para disseminar a importância de proteção de dados pessoais, bem como para obter conscientização preventiva das organizações e dos profissionais liberais, com a finalidade de que possam ser resguardados os direitos dos titulares dos dados.

 

[1] https://iapp.org/media/pdf/resource_center/GDPR_at_One_IAPPWhitePaper.pdf, acessado em 03/09/2020.
[1] https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd, acessado em 03/09/2020.
[1] https://ico.org.uk/action-weve-taken/enforcement/?facet_type=Monetary+penalties&facet_sector=&facet_date=&date_from=&date_to=, acesso em 03/09/2020.
engineers-helmets-standing-by-factory_1157-35538

CYRELA É A PRIMEIRA EMPRESA CONDENADA POR USO INDEVIDO DE DADOS DE TERCEIRO APÓS ENTRADA EM VIGOR DA LGPD

A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18 de setembro de 2020, em meio a um cenário de pandemia global causada pelo vírus COVID-19.

Recentemente foi proferida sentença contra aquela que é provavelmente a primeira empresa no Brasil a ser condenada a indenizar um consumidor por mau uso de dados com fundamento na LGPD.

A sentença foi proferida em 29/09/2020, no processo nº 1080233-94.2019.8.26.0100 pela juíza Tonia Yuka Koroku, da 13ª Vara Cível do Foro Central da Comarca de São Paulo em face da empresa CYRELA BRAZIL REALITY S/A EMPREENDIMENTOS E PARTICIPAÇÕES LTDA.

No caso em questão, o consumidor adquiriu da empresa condenada um imóvel, ocasião em que forneceu os seus dados pessoais e demais dados necessários ao preenchimento de sua ficha cadastral.

Dias depois recebeu muitos contatos oferecendo-lhe serviços relacionados a pessoas que estão em vias de adquirir imóveis como, por exemplo, de empresas de planejamento de móveis, reforma de ambientes, instalação de equipamentos, etc.

Em pouco tempo o volume de ofertas e, logo, das chamadas passou de inconveniente a abusivo e o consumidor desconfiou que seus dados foram repassados pela empresa de quem adquiriu imóvel.

Assim, em outra ligação de oferta de serviços o consumidor questionou ao ofertante onde havia conseguido seus dados e descobriu que estas empresas firmam parcerias com construtoras, sendo esta a forma de coleta de dados de potenciais clientes, ainda que não pudesse afirmar que havia obtido os dados do consumidor junto à empresa condenada.

Certo de que seus dados foram informados pela CYRELA a empresas parceiras, já que não os havia entregado a outra empresa e que todos os contatos inoportunos se relacionavam a serviços de caráter imobiliário, o consumidor recorreu à justiça para ser reparado pelos danos que entendeu ter sofrido.

Sentença

Após o devido debate nos autos do processo e apresentação de todas as provas, inclusive depoimento de testemunha, a juíza proferiu sua sentença acolhendo o pedido do consumidor para condenar a empresa a reparar os danos causados, ainda que em sua defesa tenha a empresa condenada alegado que seu sistema é seguro, uma vez que ficou claro que os dados do consumidor foram vazados de seu sistema, senão entregues a empresas deliberadamente.

Vale destacar que, o que é disciplinado em contrato tem valor entre as partes, em princípio. Ocorre que o contrato celebrado entre o consumidor e a CYRELA previa apenas que os dados daquele poderiam ser incluído no cadastro positivo, de forma que o repasse a terceiros, ou seja, empresas parceiras, extrapola o que as partes pactuaram.

Desta forma, de maneira resumida, entendeu a juíza que era caso de condenar a empresa a entregar ao consumidor o valor de R$ 10.000,00 (dez mil reais) a título de reparação por danos morais por haver repassado a terceiros os dados que lhe foram confiados sem autorização para tanto.

Verdade que as penalidades previstas na LGPD ainda não estão em vigor e passarão a ser aplicadas apenas a partir de agosto de 2021, mas o Código de Defesa do Consumidor e o Marco Civil Regulatório da Internet, além do Código Civil já admitem a condenação daqueles que causar dano a outrem, especialmente através de incidente de dados.

O antídoto para evitar incorrer em condenação por dano causado pelo vazamento de dados ou compartilhamento indevido é a adequação aos ditames prescritos pela LGPD e demais normas do ordenamento jurídico, que deve ser acompanhado por especialista com experiência e domínio do conhecimento necessário à boa implementação de projeto que previna situações em que dados de pessoas possam ser expostos.

IMAGEM texto blog

LGPD e as regras para instituições de ensino

As disposições da Lei Geral de Proteção de Dados merecem atenção especial das instituições de ensino infantil.

A educação assim como o direito à privacidade, são protegidos pela Constituição Federal de 1988, sendo que o Código Civil e o ECA (Estatuto da Criança e do Adolescente), dispõem sobre a preservação dos direitos das crianças e dos adolescentes, havendo uma série de normas e regulamentações aplicadas no sistema educacional.

Neste contexto, diante da evolução da tecnologia, a Lei Geral de Proteção de Dados trouxe regras diferenciadas para o tratamento dos dados das crianças (até doze anos completos) e adolescentes (de doze anos até dezoito anos), priorizando-se o melhor interesse dos menores.

Desta forma, o tratamento de dados pessoais das crianças nas instituições de ensino dependerá do consentimento específico e de forma destacada de pelo menos um dos pais, ou, do representante legal, seja por meio físico ou digital, devendo ainda ser mantida pública a informação sobre os tipos de dados coletados, a forma de utilização e os procedimentos disponibilizados para exercício dos direitos dos titulares dos dados.

A LGPD deixa claro que não poderá haver coleta de dados, sem o devido consentimento do responsável, a não ser que haja a necessidade para contato com o próprio responsável para proteção da criança ou adolescente. Nesta hipótese, que não será permitido armazenamento ou utilização dos dados mais de uma vez e estes não poderão ser repassados para terceiros sem consentimento.

A escola ainda terá que se precaver de esforços razoáveis para identificar que o consentimento obtido foi efetuado pelo responsável pelo menor, sob pena de responder pela não conferência adequada.

Diante do cenário atual, em virtude da pandemia que enfrentamos, a sociedade como um todo, se viu de uma hora para outra obrigada a reformular o aprendizado por educação a distância.

As aulas passaram a serem realizadas por meio de plataformas digitais, com a constante presença virtual dos menores, devendo haver maior cuidado das instituições de ensino para evitar exposição não autorizada dos dados das crianças.

Uma dica importante para evitar as imagens dos menores circulem livremente pelo ambiente virtual é a troca frequente das senhas do administrador da plataforma utilizada para meetings, bem como que vincular marcas d’água da própria instituição nas fotos das crianças, utilizadas nas redes sociais para divulgação das aulas, desde que previamente autorizado pelo responsável tal divulgação.

Dessa forma, mesmo que haja algum vazamento de imagens, pode ser realizado rastreio da foto com marca d’água para possivelmente identificar o causador do dano e a origem do vazamento de dados, com fim de tomar as medidas necessárias para evitar que ocorra novamente.

No cotidiano cada vez mais digital, com jogos interativos e aplicativos destinados ao público infantil, a LGPD ainda ressalva que não se poderá condicionar a participação das crianças em jogos, aplicativos, entre outras atividades, ao fornecimento de informações pessoais que não forem necessárias à atividade relacionada.

Portanto, as particularidades da Lei Geral de Proteção de Dados merecem especial atenção das instituições de ensino, tanto para implementação da cultura de proteção de dados, quanto para que haja atenção necessária na divulgação de fotos dos alunos pelas redes sociais.

LGPD

O que é a LGPD?

A Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) tem por objetivo regulamentar o tratamento de dados dos cidadãos por pessoas físicas, pessoas jurídicas de direito privado ou direito público, possuindo como inspiração a lei europeia GPDR (General Data Protection Regulation).

Assim, diante dos avanços de desenvolvimento da tecnologia e por consequência da economia através do data-driven, a LGPD ingressa na nossa legislação disciplinando o tratamento de dados por meio físico ou digital, instituindo o indivíduo como titular dos seus dados.

Em que pese, tenhamos a proteção ao direito da privacidade do cidadão disposto na Constituição Federal e em leis esparsas, considerando os grandes vazamentos de dados que ocorreram com exposição na mídia, gerando grandes impactos sobre os indivíduos, emergiu a necessidade de ser sancionada a LGPD.

Entre os fundamentos da LGPD, destaca-se à autodeterminação informativa, vez que atribui a pessoa física, o direito de interferir no ciclo de vida do tratamento de seus dados, sendo primordial para a empresa manter atenção voltada para gestão de dados e para os processos de tratamento desde a coleta.

A LGPD instituiu ainda duas figuras não previstas anteriormente por qualquer legislação em vigor.

A Agência Nacional de Proteção de Dados – ANPD, que será um órgão vinculado ao poder executivo e terá o dever de zelar pela proteção dos dados pessoais, podendo editar normas e procedimentos, além de fiscalizar e aplicar sanções no caso de descumprimento da legislação e o Encarregado pelo Tratamento de dados, também chamado de Data Protection Officer – DPO, atuando como intermediador entre a empresa e a ANPD, assim como canal de comunicação entre a empresa e o consumidor.

Tem-se ainda que, a norma prevê que serão aplicadas sanções administrativas na hipótese de incidentes envolvendo dados pessoais, podendo ser aplicadas desde advertências até multas pecuniárias, no valor de 2% do faturamento da empresa, com limite de R$ 50 milhões por infração.

Desta forma, há necessidade das empresas se adequarem às novas diretrizes da legislação para evitar penalidades severas, na ocasião do descumprimento da LGPD.