Seja muito bem vindo ao nosso ambiente de conteúdo LGPD! Recomendamos fortemente que você faça uma leitura cuidadosa desse conteúdo, e esperamos que esse esforço contribua com o seu aprimoramento.

LGPD - LEI GERAL DE PROTEÇÃO DE DADOS

Decálogo para um efetivo tratamento

Os seguintes princípios devem ser observados na hora de tratar dados pessoais:

1. Finalidade especificada e informada explicitamente ao titular;

2. Adequação à finalidade previamente acordada e divulgada;

3. Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial;

4. Acesso livre, fácil e gratuito das pessoas à forma como seus dados são tratados;

5. Qualidade dos dados, deixando-os exatos e atualizados, segundo a real necessidade no tratamento;

6. Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e seus responsáveis;

7. Segurança para coibir situações acidentais ou ilícitas como invasão, destruição, perda e difusão;

8. Prevenção contra danos ao titular e a demais envolvidos;

9. Não discriminação, ou seja, não permitir atos ilícitos ou abusivos;

10.  Responsabilização do agente, obrigado a demonstrar a eficácia das medidas adotada.

Consentimento

A base da LGPD é o consentimento: ou seja, é necessário solicitar a autorização do titular dos dados, antes do tratamento ser realizado. E esse consentimento deve ser recebido de forma explícita e inequívoca. O não consentimento é a exceção: só é possível processar dados, sem autorização do cidadão, quando isso for indispensável para cumprir situações legais, previstas na LGPD e/ou em legislações anteriores, como a Lei de Acesso à Informação (LAI). Por exemplo, uma organização - pública ou privada - pode, sem precisar pedir novo consentimento, tratar dados tornados anterior e manifestamente públicos pelo cidadão.

LGPD – Lei Geral de Proteção de Dados

Unidade 1 - O valor de seus dados

Assim que os dados são cruzados e analisados com inteligência de mercado, eles se tornam informações e ganham valor. E quando tratados em larga escala, considerando os dados de muitas outras pessoas, geram tendências e perfis de consumo que movimentam a economia mundial, das pequenas às grandes empresas.

Para você entender como os dados são transformados em informações, faremos uma analogia com a produção de uma cadeira feita de madeira. A madeira é considerada a matéria-prima que ganha valor agregado após a produção do móvel.

As organizações, tanto públicas quanto privadas, executam um processo similar quando coletam os dados que fornecemos direta ou indiretamente para elas, com ou sem o nosso consentimento.

Esses dados são uma matéria-prima valiosa que, após serem analisados, permitem a definição de estratégias de mercado. Por exemplo, os dados coletados no senso demográfico, após analisados pelo governo, permitem definir estratégias para o bom uso dos recursos públicos, como educação, saneamento básico, cultura, criação de programas, entre outros. Já uma empresa privada utiliza os dados coletados dos seus clientes para desenvolver e aprimorar produtos e serviços, direcionar publicidade, criar experiências personalizadas, entre outras ações.

Como os dados são coletados?

A coleta de dados é realizada por meio dos formulários e cadastros que preenchemos com nossos dados pessoais, sejam físicos ou eletrônicos, por meio de aplicativos para contratação de serviços, por exemplo. Essa coleta, que já é um tratamento de dados, conforme você verá na próxima unidade, ocorre a todo momento em muitos contextos, nas organizações públicas ou privadas, visando diversas finalidades. Para uma empresa realizar atividades de vendas online, por exemplo, precisará, no mínimo, dos dados cadastrais, financeiros e do endereço dos consumidores para executar seus serviços. Da mesma forma, uma empresa que queira implementar o trabalho remoto precisará usar os dados cadastrais para autenticar seus funcionários, fazer o controle da jornada de trabalho e mitigar o risco de horas extras, mantendo os registros eletrônicos de acesso.

Na internet, a troca de dados e informações entre as pessoas e o mundo digital começa a ocorrer a partir do momento em que nos conectamos pelos nossos celulares e computadores. No caso dos celulares que estão conectados a todo momento pelas redes móveis, podemos entender que o acesso aos nossos dados é praticamente contínuo. Dessa forma, a tecnologia permite individualizar você e seus passos pelo mundo (digital ou físico) e também consegue mapear seus interesses.

Importância da LGPD para a economia digital

A coleta e a utilização de dados são relevantes para a economia digital, para que serviços sejam aprimorados e prestados de forma cada vez melhores, seja por organizações privadas, seja para execução de políticas públicas. O uso dos dados é, nos dias de hoje, determinante para a evolução das relações e se faz necessário para uma gestão cada vez mais eficaz, eficiente, rápida e precisa. Nesse sentido, a LGPD é uma ferramenta reguladora que atua na relação entre pessoas e organizações, visando a proteção dos dados pessoais e pessoais sensíveis do indivíduo.

É importante salientar que a LGPD não visa impedir, tampouco proibir, qualquer tipo de operação com dados pessoais, mas sim protegê-los, estabelecendo regras específicas para que tais operações sejam realizadas com segurança, preservando, assim, a privacidade das pessoas, diante da rápida evolução tecnológica, em que os dados são coletados automaticamente.

Nesse propósito, busca-se o equilíbrio dessas relações, de forma que o progresso social mundial seja desenvolvido sob o amparo legal, ético e responsável.

Resumo Unidade 1

Nesta unidade, você estudou que, em uma sociedade cada vez mais conectada ao mundo digital, a quantidade de dados e informações geradas pelas pessoas na rede cresce exponencialmente, bem como a coleta e o uso deles pelas organizações. Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (LGPD) tem por objetivo proteger os dados pessoais, preservando a privacidade das pessoas, ao determinar às organizações diretrizes para o tratamento de dados pessoais dos indivíduos, evitando práticas abusivas e criminosas.

Você estudou também que os dados pessoais, físicos ou eletrônicos, são insumos imprescindíveis às organizações, tanto privadas, utilizados para definirem suas estratégias de mercado e aprimorar produtos e serviços, quanto públicas, para definição da aplicação dos recursos públicos. Portanto, a LGPD não tem o intuito de engessar o desenvolvimento tecnológico e econômico, mas sim regulamentar o tratamento dos dados para que sejam utilizados de forma ética e responsável.

Antes de avançar para a próxima Unidade, respondas as questões desta Unidade para a fixação deste conteúdo.

LGPD – Lei Geral de Proteção de Dados

Unidade 2 Direitos assegurados

Na unidade anterior, você viu as diferenças entre dados e informações, como seus dados circulam pela internet, a diferença entre dados pessoais e pessoais sensíveis e o que é a LGPD nesse contexto da privacidade.

Quando falamos de proteção de dados pessoais, devemos reconhecer a autodeterminação informativa. E a LGPD trata esse fundamento assegurando a pessoa natural (eu e você) como titular do poder de decisão sobre o tratamento das informações por parte das empresas. Por tratamento de dados, a lei dispõe a seguinte informação:

Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Por exemplo, imagine que ao comprar itens em uma pequena loja de seu bairro, abrir uma conta em uma rede social ou preencher um formulário em alguma loja, para participar de uma promoção, você fornece alguns de seus dados pessoais. Esses dados, armazenados ou não, podem ser repassados ou vendidos para outras organizações que repassam para outros e outros, criando várias listas de clientes. Nessas situações, todas as organizações fizeram o tratamento de seus dados pessoais, independentemente de seu conhecimento.

Portanto, tratamento de dados pessoais significa praticar alguma atividade que envolva os dados de uma pessoa.

De acordo com a LGPD, as organizações não podem agir como se fossem proprietárias dos nossos dados, sejam eles pessoais (RG, CPF etc.) ou pessoais sensíveis (origem racial, religião etc.) e tratá-los como bem entenderem. Pelo contrário, devem sempre fazer o uso ético, seguro e responsável, informando o que fazem com eles, e avaliar ao menos uma base legal, como o nosso consentimento, seja para uma obrigação legal ou para execução de contratos, por exemplo.

Direitos dos indivíduos

Para que possamos exercer o poder de titularidade das nossas próprias informações, devemos reconhecer os seguintes direitos:

• Exigir o conhecimento e a confirmação sobre a existência de um possível tratamento dos seus dados.

• Ao conhecer o tratamento que a organização realizará em seus dados, é muito importante que você o avalie. A lei permite, em alguns casos, que você decida se deseja ou não autorizar determinado tratamento e que você mude de ideia sempre que quiser.

• No caso de o tratamento lhe parecer incompatível com o que foi apresentado ou a organização não esclarecer o uso que fará de seus dados, a LGPD lhe permite a revogação, que é o arrependimento do consentimento emitido incialmente.

• Após conhecermos e entendermos o tratamento dos dados, podemos solicitar, a qualquer momento, o acesso às nossas informações. De acordo com o artigo 9º da LGPD, a organização deve promover ao titular o acesso facilitado às informações sobre o tratamento de seus dados, disponibilizando-os de forma clara para o atendimento do princípio do livre acesso, contendo os seguintes itens:

o   Finalidade específica do tratamento.

o   Forma e duração do tratamento, observados os segredos comercial e industrial.

o   Informações de contato do controlador de dados, ou seja, a quem competem as decisões referentes ao tratamento de dados pessoais. Você estudará o papel do controlador mais à frente, na unidade 4.

o   Informações sobre o uso compartilhado de dados pelo controlador e a finalidade.

o   Responsabilidades dos agentes que realizarão o tratamento.

o   Menção explícita aos direitos do titular.

• Após consultar seus dados, você poderá alterá-los se identificar informações incompletas, incorretas ou desatualizadas.

• O direito à portabilidade assegura ao titular a possibilidade de transferir seus dados pessoais para outra organização, de forma análoga aos casos de portabilidade de financiamento entre bancos.

• De acordo com o inciso XI do artigo 5º da LGPD, anonimização trata-se de:

o   “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.

• Caso não deseje mais que seus dados sejam tratados pela organização, você tem o direito de solicitar a eliminação deles de sua base de dados.

• Caso a organização tenha que compartilhar seus dados com outras entidades públicas ou privadas, deverá informá-lo sobre este trâmite.

• De acordo com o artigo 20, a LGPD determina que:

o   “O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.”

Violação de direitos

Se algum dos direitos que a Lei assegura for descumprido total ou parcialmente, ou se você estiver desconfortável com alguma situação, você deve contatar, primeiramente, a organização que violou seus direitos. Caso a reclamação não seja solucionada no prazo estabelecido em regulamentação, você pode, então, acionar a Autoridade Nacional de Proteção de Dados (ANPD) para a defesa dos seus direitos.

De acordo com o artigo 55-J, inciso V, compete à ANPD: “apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;

Proteção de dados de crianças e adolescentes

O direito à privacidade é fundamental para a manutenção das relações sociais e proteger esse direito dos mais vulneráveis, como as crianças e os adolescentes, é responsabilidade de todos. O Estatuto da Criança e do Adolescente (ECA) considera que crianças são as pessoas até 12 anos de idade incompletos, e adolescentes são aquelas entre 12 e 18 anos de idade. E, para estes casos, a LGPD define que o tratamento deverá ser realizado em seu melhor interesse e com o consentimento específico, no caso de crianças, de pelo menos um dos pais ou responsável legal. A importância desse cuidado é assegurar que os dados pessoais dos menores estejam amparados por todas as leis aplicáveis neste país.

Aqui, cabe observar a importância de se atentar para o acesso a jogos e aplicativos, que solicitam informações para o cadastro e acesso a serviços. Como tutor e responsável, é muito importante estar atento ao fornecimento desses dados, pois muitas dessas organizações que atuam no mercado digital não possuem sede operacional no Brasil e, como o acesso a domínios estrangeiros é irrestrito, elas podem não estar adequadas à nossa legislação.

Assim, o direito sobre o tratamento das informações das crianças e adolescentes pode ficar comprometido pela restrição de alcance da lei nacional.

Infração aos direitos garantidos pela LGPD

A LGPD visa proteger os direitos do cidadão em relação à privacidade dos seus dados. As situações mencionadas a seguir podem tipificar infração a esses direitos, a partir de sua vigência.

Contatos suspeitos;

Ao receber um telefonema, mensagem ou qualquer outro tipo de contato por parte de algumas organizações, devemos questionar:

- Onde conseguiram essa informação???

Esse tipo de situação mostra como nossos dados e informações circulavam pela rede entre as organizações de forma irrestrita, até agora.

Você já deve ter ouvido falar no termo SPAM, sigla de Sending and Posting Advertisement in Mass, que em português significa Envio e Postagem de Publicidade em Massa. O envio dessas publicidades ocorre desrespeitando a privacidade da pessoa e pode causar prejuízos e muito incômodo.

Requisição de dados

Outra situação é nos depararmos com a requisição de dados pessoais, como nome, telefone, endereço, sem termos finalizado a contratação ou compra de determinado serviço. Neste caso, também devemos questionar:

- Qual o motivo dessa organização solicitar esses dados previamente?

É como se, ao entrar em um restaurante, você fosse impedido de escolher o prato sem antes fornecer alguns de seus dados pessoais.

A partir da vigência da Lei, os casos de não cumprimento da Legislação serão muito comuns, pois o processo de adequação exige que a organização reveja suas estratégias de mercado, processos e procedimentos internos. É fundamental que os profissionais das organizações estejam alinhados às políticas, aos códigos de ética e treinados para que atuem na defesa dos interesses da pessoa, evitando a abertura de prerrogativas nos interesses pessoais.

Resumo Unidade 2

Nesta unidade, você viu que reconhecer os direitos garantidos pela LGPD é um passo muito importante para a proteção da nossa privacidade. Mas exercer esse direito vai além da proteção e permite a regulamentação do mercado, forçando a adequação das organizações e a transformação da realidade digital ou não.

Além disso, esse reconhecimento nos traz uma outra perspectiva que será apresentada na próxima unidade. Ao entendermos os nossos direitos como cidadãos, deveremos estar atentos às nossas responsabilidades enquanto partes de uma organização, na proteção da privacidade das outras pessoas a quem, de alguma forma, atendemos na oferta de nossos produtos e/ou serviços.

Avance para a unidade 3 e conheça os deveres e as responsabilidades que a LGPD determina às empresas, mas antes, respondas as questões desta Unidade para a fixação deste conteúdo.

LGPD – Lei Geral de Proteção de Dados

Unidade 3 DEVERES E RESPONSABILIDADE.

Nas unidades anteriores, você viu os direitos que a LGPD assegura a todo cidadão, perante a privacidade e a titularidade dos seus dados nas relações com as empresas, instituições, associações, órgãos públicos, ONGs (Organizações Não Governamentais), entre outros. Dessa forma, é importante lembrar que a Lei não visa interromper o tratamento de dados, que já ocorre por parte dessas organizações. Seu objetivo é regular e proteger os nossos interesses, de forma que sejam criados mecanismos de controle para uma relação saudável e equilibrada entre elas (organizações) e as pessoas.

É importante ressaltar que os direitos que, por um lado, são assegurados aos cidadãos, por outro, se tornam parte dos deveres e das responsabilidades das organizações, ao tratarem os dados pessoais de seus clientes, parceiros, funcionários e de todas as pessoas que, por ventura, a elas tiverem acesso.

Requisitos para a realização do tratamento de dados

As organizações devem analisar e enquadrar o tratamento de dados que já realizam ou pretendem realizar dentro de ao menos uma das bases legais previstas na LGPD, como, por exemplo:

• mediante o consentimento do titular;

• para cumprimento de obrigação legal;

• pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis;

• para a proteção da vida ou da segurança física do titular ou de terceiro;

• para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, entre outros.

Deveres das organizações perante os direitos dos titulares dos dados.

Para assegurar os nossos direitos, as organizações precisam mapeá-los e traduzi-los na perspectiva da LGPD. Elas devem avaliar toda a estrutura de dados, de forma que seja feita uma adequação no modelo atual de negócio para comportar a nova realidade sobre a privacidade do indivíduo. É como se o atual modelo de negócio fosse comparado com a proposta da Lei, na utilização de um checklist, por exemplo.

A Lei consolida alguns princípios, estabelecendo um direcionamento e uma padronização das responsabilidades das organizações perante os interesses e direitos dos titulares dos dados a serem atendidos. A imagem abaixo mostra cada um deles: 

• A finalidade é uma condição que determina o motivo pelo qual os dados pessoais serão tratados pelas organizações. Dela deriva os dados mínimos necessários para se alcançar determinado objetivo.

• Deverá haver, obrigatoriamente, uma exata correspondência entre o que foi informado com o que de fato é executado.

• Essa responsabilidade de atender à necessidade de finalidade e adequação busca determinar que a empresa não realize o tratamento dos dados além do necessário. Atenção: Tratar mais dados do que o necessário cria riscos que podem prejudicar o indivíduo e tornar a empresa suscetível às sanções previstas na LGPD, como advertência e multas.

• A empresa deve assegurar livre acesso aos dados do titular. Essa postura estabelece uma relação transparente e responsável, pois permite que o indivíduo audite, de certa forma, as suas próprias informações e seja parceiro da empresa na sinalização de sua insatisfação com algum tratamento realizado.

• É fundamental que os dados estejam corretos e atualizados de forma que erros não gerem prejuízos aos titulares.

• Considerando que a organização se torna portadora das informações, a partir de sua coleta, deve atentar-se à utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Segurança da Informação (dados) e Privacidade são conceitos complementares. A segurança da informação não se limita a proteger os dados pessoais na privacidade do indivíduo. Ela vai além e engloba toda a segurança das informações que circulam pela organização. A privacidade dos dados não existe sem a segurança da informação e seus mecanismos de controle e proteção.

• É preciso desenvolver uma nova perspectiva conjunta de prevenção e proteção dos dados que estão ou estarão sob responsabilidade direta e indireta de todos.

• A discriminação é vedada e combatida em todos os âmbitos da relação social, como no caso de você ter seu cadastro ou acesso a um determinado serviço suspenso por questões religiosas, políticas ou de saúde, por exemplo.

• O princípio da responsabilização não deve transmitir a ideia punitiva perante o texto da Lei e sim a postura de responsabilidade e diligência na tratativa dos dados.

• Ser transparente, informando claramente o tratamento realizado com dados pessoais diferencia a organização que respeita o interesse das pessoas. Se antes o tratamento de dados era realizado sem fiscalização, a palavra de ordem passa a ser confiança. Para isso, é necessário que a ética e a responsabilidade estejam presentes em todas as ações de uma organização. A transparência é uma conduta que, de certa forma, engloba todos os outros princípios já citados. E, nesse contexto de transparência, cabe ressaltar que o uso de uma linguagem simples e didática oferece ao cidadão maior oportunidade de compreensão das informações referentes ao tratamento de seus dados. Assim, é fundamental evitar termos jurídicos e fazer uso da proposta do legal design (visual law em inglês) que busca traduzir os termos para uma linguagem mais acessível à toda população.

Resumo Unidade 3

Nessa unidade, você viu que as organizações não são proprietárias dos dados das pessoas. Portanto, para assegurarem os direitos dos titulares e a proteção desses dados, é imprescindível que avaliem todo o processo de tratamento de dados pessoais que já realizam ou pretendem realizar, justificando-o em, ao menos, uma das bases legais previstas na LGPD e respeitem todos os princípios estabelecidos, como finalidade, adequação, necessidade, livre acesso do titular às suas informações, entre outros, para que a relação com as pessoas seja feita com clareza, transparência e responsabilidade, evitando, assim, riscos que podem prejudicar o indivíduo e tornar a empresa suscetível a sanções e multas altíssimas.

Você viu também que é fundamental que as organizações ajam de forma preventiva, garantindo a segurança das informações, mapeando e tratando todos os riscos inerentes aos tratamentos a que fizerem uso.

LGPD – Lei Geral de Proteção de Dados

Unidade 4 - As boas práticas de governança.

Até aqui, você viu que a LGPD trouxe grandes mudanças na proteção da privacidade dos dados, estabelecendo novos direitos para as pessoas, bem como responsabilidades para as organizações. Por isso, esse novo momento exige delas (organizações) a reavaliação dos processos internos, além do mapeamento das atividades que, de alguma forma, tratam dados pessoais.

Essa adequação é um processo constante e contínuo que deve conectar o propósito de todas as áreas e departamentos, no que chamamos aqui de Governança de dados. Pode-se dizer que a governança envolve a implementação de regras, práticas, processos, procedimentos e controles, visando o crescimento de uma organização de forma organizada e sustentável, respeitando a legislação e a sociedade como um todo. No contexto da administração de empresas, esse entendimento é conhecido como governança corporativa.

Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2019), essa expressão significa:

Sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.

Nesse sentido, a governança corporativa abarca também a governança de dados que, de acordo com o DAMA - Data Maturity Body of Knowledge (2017, p. 67), trata-se de:

exercício de autoridade e controle (planejamento, monitoramento e execução) sobre o gerenciamento de ativos de dados.

A LGPD determina que as organizações implementem regras e boas práticas de governança, com procedimentos específicos para todas as pessoas envolvidas no tratamento de dados pessoais e que seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta.

Governança de dados

Uma das características da governança de dados, no contexto da LGPD, é a ideia do Privacy by Design ou Privacidade no Design, em português. Tal ideia envolve os seguintes preceitos ou princípios:

• Proativo e não reativo - Estabelece uma cultura de atenção e cuidado antecipado na privacidade dos dados. Nesse sentido, deve-se realizar o gerenciamento dos riscos de forma que sejam vislumbradas ou reveladas possíveis situações desastrosas ou prejudiciais, tratando-as adequadamente e preventivamente. Exemplo:   No caso da privacidade no tratamento dos dados, imagine que você percebeu uma falha de acesso a um documento que contém informações de dados pessoais e pessoais sensíveis da empresa em que trabalha. O que você deve fazer? Seu dever, neste contexto, é comunicar aos superiores e, se possível, incluir sugestões de melhoria para evitar a ocorrência de um acesso indevido. Portanto, agir para evitar que dados caiam em mãos erradas exemplifica o perfil pró-ativo que busca evitar situações danosas para todos.

• Privacidade por Padrão (Privacy by Default) - Determina que a privacidade apareça em todos os processos, desde a fase de concepção do produto ou do serviço até a sua execução, assim como o sol aparece no horizonte. Essa analogia traz a ideia de que a privacidade deve iluminar os caminhos a serem seguidos no desenvolvimento e na oferta dos produtos ou serviços, sendo o objetivo primordial que antecede qualquer atividade.

• Funcionalidade - Estabelece que a privacidade no uso dos dados deve ser feita de tal forma que não prejudique o produto ou serviço desenvolvido, oferecendo equilíbrio entre as partes na relação ganha-ganha. Isso significa que as interações entre pessoas e organizações, no contexto da privacidade, devem ser benéficas, justas e equilibradas para ambas as partes. Pouco adianta restringir o uso absoluto e total dos nossos dados, se isso impedir a empresa de prestar corretamente o seu serviço. Esse preceito da funcionalidade se conecta com o da necessidade e adequação que a empresa faz para o tratamento dos nossos dados.

• Visibilidade e transparência - Conforme preceitua a LGPD, o acesso aos dados e a transparência no tratamento realizado são fundamentais para que as organizações protejam os direitos dos titulares dos dados.

• Privacidade no Design - Orienta que a proteção aos interesses e à privacidade do usuário deve ser incluída na concepção de produtos ou serviços, da mesma forma que um engenheiro deve prever, na construção de uma casa, o encanamento para o fornecimento de água, por exemplo. Caso não o faça no momento do planejamento, corre-se o risco de ter que quebrar as paredes para essa adequação, gerando um imenso transtorno no que se refere a prazo, orçamento e até mesmo segurança de uma construção.  

  • • • • Exemplo: Imagine que uma empresa de transportes rodoviários desenvolveu um novo serviço de transporte escolar. Em um primeiro momento, pode parecer uma atividade simples. No entanto, ao ampliarmos a análise do serviço, poderemos perceber aspectos que se conectam à privacidade, como exigir dados pessoais e pessoais sensíveis dos alunos que serão transportados, para fins de controle, segurança e até contratação de um seguro. Esse exemplo nos convida a exercitar essa percepção sobre todos os serviços que estão ao seu redor.

• Segurança - A segurança dos dados pessoais e pessoais sensíveis deve ser incorporada em um ciclo constante de avaliação. Aqui é importante lembrar que, em um mundo conectado, a nossa imersão e interação é cada vez maior no mundo digital, gerando um alto volume de dados e pegadas digitais que precisam ser protegidos.

• Respeito - Essa premissa já faz ou deveria fazer parte da missão e visão de qualquer organização na oferta de seus produtos e serviços para a sociedade. Dessa forma, as organizações devem se utilizar dos dados pessoais e pessoais sensíveis respeitando, em primeiro lugar, os direitos dos titulares desses dados.

A soma desses sete preceitos determina um outro conceito conhecido por Privacy by Default ou Privacidade por Padrão, em português, que resume a importância de a privacidade ser incorporada no desenvolvimento de todas atividades, sempre como um padrão a ser seguido e mantido.

Agentes de tratamento de dados

Para que a governança de dados cumpra sua função, é fundamental que todas as pessoas da organização estejam alinhadas e em sintonia com o propósito da LGPD. Além disso, devem existir e coexistir, dentre elas, duas figuras importantes nesse contexto: controlador e operador.

• Controlador - Segundo a Lei, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

• Operador - O operador (ou processador) é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

• Encarregado - A LGPD também determina que seja nomeado um responsável, conhecido como encarregado, que é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Esse profissional também pode ser denominado DPO (Data Protection Officer) ou Oficial de Proteção de Dados, em português. Ele também deve orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em outras normas.

IMPORTANTE - De acordo com a LGPD, agentes de tratamento são os controladores e os operadores, responsáveis pelo cumprimento da lei, e serão os responsabilizados no caso de descumprimento dela. O encarregado não é agente de tratamento, mas cumpre um papel fundamental para os agentes de tratamento na avaliação constante de conformidade para a respectiva organização que ele atende.

Exemplo: Você se lembra do Fernando?

Ele contratou um serviço de TV e Internet para o uso em sua residência. Ao solicitar o serviço, a empresa, chamada Intertv, iniciou o processo de tratamento com a coleta de seus dados pessoais. Neste momento, ela se tornou controladora dos dados que coletou de Fernando e poderá dar um ou mais tratamentos, conforme informado previamente e consentido por ele. Para executar o serviço de atendimento ao cliente, a Intertv contrata uma empresa de call center chamada Alôvoice. Nesse contexto, ela fará o papel da operadoras dos dados, pois será quem terá contato com Fernando, por meio dos dados coletados.

A Intertv tem a obrigação de nomear um encarregado. A Alôvoice tem a opção de também nomear (encarregado), de acordo com sua percepção de necessidade ou não para mitigar os riscos legais. Tanto o controlador quanto o operador devem demonstrar comprometimento e responsabilidade em relação às diretrizes da LGPD, aos processos e políticas internas da organização que assegurem o cumprimento das práticas relativas à proteção de dados pessoais. O encarregado controlará a conformidade com a LGPD e as demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e a formação dos profissionais competentes em relação às operações de tratamento de dados, informando a organização sobre o necessário para que possam tomar as respectivas decisões.

Segurança da informação

Um dos procedimentos imprescindíveis para a governança de dados envolve a elaboração de políticas e procedimentos, visando a segurança da informação. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Aprimorar tais medidas é algo que está, ou deveria estar, embutido na rotina de desenvolvimento das atividades de toda organização. A segurança da informação contém três estruturas básicas que organizam seu objetivo.

a)       Confidencialidade - O acesso à informação é feito somente por pessoas autorizadas.

b)      Integridade - O conteúdo deve ser protegido de forma que não seja alterado ou corrompido.

c)       Disponibilidade - O conteúdo deve ser protegido de forma que não seja alterado ou corrompido.

É importante ressaltar que tais estruturas podem variar de acordo com o entendimento e alguns autores utilizam quatro ou cinco aspectos diferentes.

A segurança da informação é determinante para a proteção da privacidade. No entanto, cabe ressaltar que ela pode existir sem conexão com a privacidade dos dados, pois proteger as informações estratégicas e administrativas que circulam dentro da organização faz parte do escopo de qualquer organização, sem relação alguma com dados pessoais. Em outras palavras, é possível que exista segurança da informação sem foco na privacidade, mas é impossível existir proteção à privacidade sem segurança da informação. Sendo assim, é necessário que as organizações implementem algumas ações estabelecendo regras e padrões para proteção da informação, para que sejam respeitados os requisitos da Lei. Eis alguns exemplos:

• Política de segurança da Informação - Define as regras para acesso, controle e compartilhamento das informações em uma organização.

• Classificação das informações - A norma ISO (International Organization for Standardization, ou Organização Internacional para Padronização, em português) 27.002:2013, em seu item 8.2.1, traz a seguinte orientação em relação à classificação da informação:   “Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada”. A ISO 27.701:2019 também aponta que:   “o sistema de classificação da informação da organização considere explicitamente DP (dados pessoais) como parte do esquema que ela implementa”. Nessa premissa, cabe a cada organização definir suas próprias estruturas de classificação conforme os riscos identificados nas informações que utiliza. A seguir é apresentado um exemplo de possíveis modelos de classificação:  

  • - Pública: informação sem restrições de divulgação, podendo ser repassada a qualquer indivíduo, dentro ou fora da organização, ser publicada na internet etc.

  • - Interna: informação restrita à organização, podendo ser compartilhada entre todos os colaboradores e prestadores de serviço, porém não pode ser repassada a indivíduos externos, ou seja, não deve ser divulgada publicamente.

  • - Confidencial: informação restrita ao mínimo possível de colaboradores e seu acesso deve ser controlado e auditado. Deve ser mantida em sigilo e repassada somente às pessoas que irão utilizá-la em suas atribuições.  

  • - Pessoal: documento contém dados pessoais e/ou pessoais sensíveis. Essa categorização auxilia no processo de governança dos dados, pois permite maior conhecimento, controle e rastreabilidade sobre o seu tratamento. Isso reflete diretamente na proteção da privacidade dessas informações.

• Termo de Confidencialidade - Qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término. Assim, políticas empresariais devem estabelecer a responsabilidade de colaboradores e parceiros que tiveram, tenham ou terão qualquer tipo de relação que envolva dado pessoal. Qualquer pessoa física ou jurídica que venha a ter acesso a dados pessoais devem saber da responsabilidade em relação à proteção da informação.

A segurança da informação envolve o ambiente organizacional, as pessoas, os processos e a tecnologia. Por isso, é imprescindível que as organizações busquem sua melhoria contínua. Isso traz segurança ao tratamento dos dados e maior proteção à privacidade, além de evitar imprevistos e gastos para a reparação de possíveis danos.

Gerenciamento de riscos

O gerenciamento de riscos também é fundamental para que a administração das organizações possa monitorar e tratar os riscos referentes à privacidade das informações no âmbito da LGPD. Implementar esse gerenciamento é ampliar a capacidade de as pessoas identificarem problemas no ambiente, para tratá-los da forma correta.

Exemplo:

Ao dirigirmos um carro em uma estrada, prestamos atenção a tudo que acontece ao nosso redor e vamos, assim, avaliando os riscos conforme nos locomovemos pelo caminho, a fim de chegar ao nosso destino. Essa percepção nos revela riscos em vários momentos. Uma curva perigosa é um risco. Em dias de chuva, há risco de que o pneu do carro perca a aderência ao solo, caso esteja gasto. Para cada risco encontrado, há um tratamento ou ação a ser adotada. No caso da curva, reduzir a velocidade e, do pneu gasto, realizar a sua troca.

Da mesma forma, o gerenciamento dos riscos relativos à privacidade permite que as pessoas estejam atentas aos acontecimentos ao redor e possam se preparar para o correto tratamento deles.

Exemplo:

Deixar um computador desbloqueado com páginas de informações de clientes expostas na tela, gera um risco de acesso indevido e uma possível violação à privacidade em relação aos dados pessoais. Essa situação enquadra a empresa nas sanções previstas pela Lei Geral de Proteção de Dados e pode prejudicar sua imagem perante a sociedade.

Boas práticas de governança de dados

As boas práticas de governança de dados se referem às ações e às atitudes que refletem um comportamento comum entre pessoas e organizações.

No caso das organizações, a LGPD, em seu capítulo VII, art. 50, estabelece:

“Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.”

A LGPD ainda orienta, em seu artigo 50, parágrafo 2º, inciso I, que a organização deve implementar um programa de governança em privacidade que, no mínimo:

1. demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

2. seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

3. seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

4. estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

5. tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

6. esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

7. conte com planos de resposta a incidentes e remediação; e

8. seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Aqui, as boas práticas se referem a processos e procedimentos modernos, atuais, eficazes e eficientes que coloquem a empresa na postura preventiva e antecipada do gerenciamento dos riscos relativos à privacidade dos dados dos indivíduos.

Inventariar a situação atual da organização, a fim de entender como os dados já são tratados, se já houve alguma situação de vazamento, pensar na coleta e na finalidade antes de pensar na segurança são os primeiros passos na busca da proteção da privacidade.

Exemplo:

Um exemplo de boa prática é a adoção de treinamentos e capacitações que atualizem o conhecimento das pessoas ou determinem a operação das atividades, segundo os melhores modelos aplicados no mercado.

Outra prática recomendada é o uso de tecnologias modernas e robustas que protejam as informações que forem, de alguma forma, tratadas pela organização, conforme orienta o artigo 46 da LGPD:

“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

Dessa forma, a organização, seja pública ou privada, constrói um ambiente que promove a cultura de proteção à privacidade, considerando que as estratégias, processos, procedimentos e todos os colaboradores estão em sintonia com o mesmo propósito.

Cultura de privacidade dos dados

O principal pilar no sucesso da adequação à LGPD é a criação de uma nova cultura relativa à Privacidade dos Dados. Entender o contexto é fundamental para se aproximar dos direitos, enquanto cidadão, e participar ativamente no cumprimento dos deveres, enquanto partes de uma organização.

É importante reconhecer a necessidade e a oportunidade que os dados criam para o desenvolvimento das organizações e no seu uso responsável e ético.

Portanto, participar desse processo, dessa evolução, nos reconecta ao escopo da missão e da visão das nossas organizações.

Resumo Unidade 4

Nesta unidade, você viu que é imprescindível a adequação e a reestruturação dos processos internos das organizações, por meio de boas práticas de governança de dados para garantir os padrões de segurança e privacidade.

Nesse sentido, é importante que a organização consolide um ambiente que promova a cultura de proteção à privacidade no desenvolvimento de todas atividades, como um padrão a ser seguido e mantido, sempre de forma preventiva, realizando treinamentos e capacitações constantemente e fazendo uso de tecnologias modernas e robustas que garantam a proteção das informações que forem tratadas por ela.

Avance para a unidade 5 e conheça as sanções e as responsabilidades que a LGPD determina às organizações no caso de incidentes envolvendo o tratamento de dados. 

LGPD – Lei Geral de Proteção de Dados

Unidade 5 - Responsabilidades Administrativas e Civil

Até aqui, você estudou o escopo da LGPD quanto à proteção de dados pessoais, visando assegurar a privacidade e garantir os direitos dos indivíduos, bem como a determinação dos deveres e responsabilidades que amarram a estrutura regulatória da Lei.

Assim, a infração de qualquer um dos direitos do cidadão e o não atendimento às responsabilidades abrem a possibilidade de uma sanção administrativa, responsabilização civil, além da imagem negativa que a organização pode ter perante a sociedade, decorrente da inadequada utilização ou proteção dos dados pessoais. Dessa forma, uma outra perspectiva da LGPD considera os possíveis incidentes que podem ocorrer, como no caso de vazamento de dados pessoais.

Essa questão é muito importante, pois, conforme você viu na primeira unidade, dados e informações circulam a todo momento, ocasionando cada vez mais casos de ataques cibernéticos às grandes empresas, uma vez que tais informações representam um valor alto e isso desperta os interesses de muitas pessoas e empresas com intenções duvidosas.

Assim, garantir a segurança das informações é garantir os direitos do cidadão. As empresas não são donas das nossas informações e estão apenas na posse delas, para o uso regulado, conforme os princípios da Lei.

Vazamento de Dados

O tratamento dos dados realizado pelas empresas deve acontecer da mesma forma que ocorre quando alugamos uma casa: não somos donos da propriedade e devemos fazer uso deste patrimônio, conforme a finalidade combinada, zelando pela integridade do imóvel. É nessa analogia que a LGPD estabelece a relação que a empresa deve ter com nossos dados pessoais e pessoais sensíveis.

No caso do comprometimento dessa segurança, nós, como titulares e partes mais fracas nas relações com as organizações, temos um prejuízo que muitas vezes pode ser irreparável.

Exemplo:

Imagine que dada organização detenha informações sensíveis de uma pessoa, por exemplo, o estado de saúde dela. Em dado momento, alguém circula essa informação nas redes sociais e expõe esse indivíduo perante outras pessoas. Ao tornar pública uma informação particular de alguém, viola-se o direito à privacidade da pessoa, podendo ocasionar constrangimentos e danos irreparáveis.

Um exemplo real do possível comprometimento da segurança foi uma determinada rede social que armazenou por muito tempo a senha dos usuários, utilizando-se de técnica totalmente insegura. E essa atitude poderia ter prejudicado a proteção da privacidade dos usuários, visto que um hacker poderia ter acessado o local de armazenamento das senhas e as informações pessoais contidas em seus perfis.

Portanto, a organização deve estar de acordo com as boas práticas, métodos e técnicas atuais de proteção dos nossos dados e informações e, caso ocorra algum incidente envolvendo dados pessoais, o art. 48 da LGPD define que:

 O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Essa comunicação é importante, pois permite que tanto a ANPD quanto o titular dos dados possam acompanhar o ocorrido. É uma atitude nobre, da mesma forma como ocorre, caso alguém bata em algum carro parado em um estacionamento e procure o dono para notificá-lo e reparar os danos.

O comunicado ou relatório de incidente deve conter a descrição dos envolvidos, quais dados foram afetados, como ocorreu o incidente, quem foram as pessoas impactadas, quais eram os mecanismos utilizados na prevenção a incidentes e o que está sendo feito para reparar o dano, conforme indica o parágrafo 1º ainda no artigo 48:

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - A descrição da natureza dos dados pessoais afetados;

II - As informações sobre os titulares envolvidos;

III - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - Os riscos relacionados ao incidente;

V - Os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Em resumo, esse relatório formaliza o ocorrido, permitindo que o órgão responsável avalie as ações que foram ou venham a ser tomadas, mensurando a eficácia e eficiência delas.

Sanções administrativas

Qualquer violação à LGPD, em especial no que se refere ao vazamento de dados pessoais, acidental ou ilícito, além de infringir os direitos do cidadão e prejudicar a imagem da organização perante a sociedade, traz consequências que a LGPD tipifica como sanções administrativas.

• Advertência - Apresenta indicação de prazo para adoção de medidas corretivas.

• Multa simples - Aplica multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil em seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração.

• Multa diária - Aplica multa diária, observando o limite total a que se refere o item anterior.

• Publicização da infração - Torna a infração pública, após devidamente apurada e confirmada a sua ocorrência.

• Bloqueio dos Dados Pessoais - Bloqueia os dados pessoais referentes à infração até a sua regularização.

• Eliminação dos Dados Pessoais - Elimina os dados pessoais referentes à infração.

• Suspensão Parcial do Funcionamento do Banco de Dados - Suspende parcialmente o funcionamento do banco de dados a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.

• Suspensão do Exercício do Tratamento de Dados Pessoais - Suspende o exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período.

• Proibição Parcial ou total do Exercício do Tratamento de Dados - A ANPD pode proibir, parcial ou totalmente, as atividades relacionadas ao tratamento de dados pessoais.

Compete à Autoridade Nacional de Proteção de Dados (ANPD) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.

No caso de suspensão parcial de funcionamento do banco de dados e do exercício da atividade de tratamento dos dados pessoais, bem como proibição parcial ou total de atividades, essas sanções serão aplicadas:

• somente após já ter sido imposta ao menos 1 (uma) das sanções anteriores (advertência, multa, publicização, bloqueio e eliminação dos dados pessoais);

• no caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, após esses órgãos serem ouvidos.

A LGPD, no artigo 52, parágrafo 1º, determina também que as sanções devem ser aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades de cada caso, considerados os seguintes parâmetros e critérios:

• Gravidade e natureza das infrações e dos direitos pessoais afetados.

• Boa-fé do infrator.

• Vantagem obtida ou pretendida pelo infrator.

• Condição econômica do infrator.

• Reincidência.

• Grau do dano.

• Cooperação do infrator.

• Adoção de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados.

• Adoção de política de boas práticas e governança.

• Pronta adoção de medidas corretivas.

• Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Em relação ao cálculo do valor da sanção de multa, a ANPD poderá considerar o faturamento total da empresa ou grupo de empresas, quando:

• não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração; e

• o valor for apresentado de forma incompleta ou não for demonstrado de forma clara e confiável.

A autoridade nacional definirá, por meio de regulamento próprio e de consulta pública, sobre as sanções administrativas e as metodologias que orientarão o cálculo do valor-base das sanções de multas.

A LGPD prevê ainda que as metodologias sejam previamente publicadas, para ciência dos agentes de tratamento, e apresentem as formas e as medidas para o cálculo do valor das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos.

Um artigo divulgado pela IBM aponta que as empresas brasileiras perdem aproximadamente R$4,7 milhões de reais com incidentes referentes a violações de dados em território nacional:

Artigo - IBM Comunica: Empresas brasileiras perdem mais de R$4.7 mi com vazamento de dados   

“Estudo anual da IBM em parceria com o Instituto Ponemon, “Custos de Violação de Dados 2017”, mostra que houve um aumento histórico no número de incidentes provocados e nos custos gerados com violação de dados no Brasil. O valor total desembolsado para reparar as invasões foi de R$ 4.72 milhões. Em 2016, a quantia era de R$ 4.31 milhões. Para este levantamento, a companhia contou com a participação de 166 organizações de 12 diferentes segmentos e tomou como base os custos de 36 empresas.

De acordo com a pesquisa, os ataques maliciosos ainda são a principal causa da violação de dados, sendo responsáveis por 44% dos casos analisados, seguidos de falhas humanas, que incluem funcionários desatentos ou negligentes, que causaram 31% dos casos, e falhas nos sistemas, que representaram 25% do total. O estudo aponta que as empresas mais afetadas foram as voltadas para as indústrias de serviços, finanças e tecnologia, que registraram um custo per capita acima de R$246,00 para reparação de dados.

Quanto maior o número de registros roubados, mais alto é o custo da violação de dados. “Para se ter uma ideia, as companhias que tiveram vazamentos envolvendo menos de 10.000 registros tiveram um custo médio de R$2,07 milhões, enquanto as que tiveram 50.000 ocorrências comprometidas registraram um valor de R$6,73 milhões”, explica o Líder de Segurança da IBM Brasil, João Rocha.

De acordo com o executivo, o problema é o prejuízo que vai além da questão financeira. “Quando a reputação das empresas fica comprometida, muitas vezes a retratação pública se faz necessária e, em alguns casos, é preciso contratar uma consultoria em direito digital para garantir que os dados sejam devidamente recuperados”, afirma. O levantamento mostra que o custo médio do prejuízo que as companhias sofreram com a questão da reputação atingiu R$1,92 milhões.

O tempo é tudo

Um dos fatores que define o valor para reparar as violações é o tempo de identificação da invasão, pois quanto mais rápido o malware for detectado e contido, menos custos as empresas terão. Neste estudo, a média de tempo que as companhias demoraram para identificar uma invasão foi de 250 dias e cerca de 105 dias para conter o vazamento de dados, após a sua identificação. Caso o tempo de identificação fosse inferior a 100 dias, o custo médio para reconhecer uma violação seria de R$4.13 milhões. No entanto, se for superior a esse tempo, o valor subiria para R$5.30 milhões.

Como evitar as violações de dados?

O estudo aponta que investimentos em práticas de proteção de dados são muito importantes para reverter situações como essa. Rocha completa que é necessário ter um plano de resposta a incidentes, uso extensivo de criptografia, treinamento de colaboradores e compartilhamento de inteligência em ameaças para reduzir os custos per capita desses vazamentos. “Desde 2013, temos acompanhado um gráfico de boas práticas que devem ser implementadas pelas companhias. A criptografia, por exemplo, que representava somente 23% dos controles de segurança, agora representa 53% das medidas de prevenção”, conclui.”

Responsabilidade e ressarcimento de danos

Conforme você estudou, tanto o controlador quanto o operador são figuras centrais para assegurar a proteção dos dados pessoais. Portanto, diante das atribuições que lhes são conferidas, caso ocorra algum dano aos titulares em decorrência de algum incidente envolvendo o vazamento de dados, devem responder juridicamente e reparar os danos causados, conforme trata o artigo 42, parágrafo 1º da LGPD:

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador;

Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.

É interessante notar que a Lei acaba estreitando aqui a relação entre os titulares e as empresas, na figura dos agentes de tratamentos de dados. O texto legal busca, na definição e nomeação desses agentes, ampliar a rastreabilidade de um “responsável” por qualquer violação na privacidade do indivíduo. Dessa forma, evita-se o “empurra-empurra” entre as partes responsáveis e define-se logo de início quem serão essas pessoas.

A ideia é forçar, indiretamente, a adequação das organizações aos preceitos da Lei, visto que está claro quem serão as principais pessoas responsabilizadas, pressionando para que medidas preventivas e boas práticas de governança dos dados sejam sempre executadas.

Resumo Unidade 5

Nesta unidade, você estudou que o vazamento de dados, seja acidental ou ilícito, infringe os direitos do cidadão, prejudica a imagem da organização perante a sociedade e pode lhe trazer graves penalidades e prejuízos, desde uma advertência simples até a proibição total das atividades.

Você conheceu também a importância da atuação do controlador e do operador para assegurar a proteção dos dados pessoais, bem como suas responsabilidades em responder juridicamente e reparar os danos causados, caso ocorra algum prejuízo aos titulares, em decorrência de algum tratamento ilícito de dados.

Portanto, é imprescindível ressaltar que a proteção dos dados faça parte da missão estratégica das organizações, sendo pilar para suportar a crescente demanda pelo uso de dados pessoais.

O futuro como um dado

O futuro está lançado como um dado no tabuleiro. É assim que cresce a internet numa imensidão de dispositivos inteligentes, conectados, cada vez mais aprimorados que facilitam a nossa vida. São bilhões deles que estão nos pulsos (relógios), nas nossas salas (smart TVs, videogames, assistentes virtuais), nos nossos carros (centrais multimídia conectadas), nos bolsos (smartphones), enfim, em todos os lugares.

Juntos, eles criam um "raio-x" da sociedade em tempo real e despertam interesses legítimos ou mal-intencionados. São inúmeros casos de vazamentos de dados e informações que surgem a todo momento pelo mundo e devem nos lembrar dos riscos escondidos nas belezas e oportunidades incríveis que a internet proporciona à humanidade.

Nesse contexto, a LGPD veio para regular as relações entre pessoas e organizações, protegendo a privacidade do indivíduo em relação ao uso de suas informações, e como circulam pelo mercado, sejam elas físicas ou digitais.

Portanto, as organizações devem rever o planejamento estratégico de atividades relacionadas ao tratamento de dados, a fim de se adequarem às determinações da LGPD. A tabela a seguir apresenta algumas perguntas e respostas que sintetizam a ideia principal da Lei e auxiliam nesse planejamento:

O que será feito?

Deve ser realizada a adequação de todos os processos internos, no respeito à privacidade do indivíduo, quanto ao uso de dados pessoais e pessoais sensíveis.

Por quê?

A Lei busca regular o mercado e as relações entre pessoas e organizações, protegendo as partes mais vulneráveis nesta relação, que são as pessoas.

Onde?

Em todas as áreas de todas as organizações que, de alguma forma, tratam dados pessoais, no desenvolvimento de suas atividades.

Quando?

A Lei entrou em vigor em 18 de setembro de 2020, em que pese as sanções previstas valerem apenas a partir de agosto de 2021.

Por quem?

Existem 5 atores importantes neste contexto: o titular dos dados (indivíduo), os agentes de tratamento (operador e controlador), o encarregado e a ANPD, que é o órgão regulador.

Como?

O processo de adequação deve seguir a definição da Lei em todo o seu escopo. Cada organização deve refletir sobre o uso dos dados pessoais, perante os fundamentos da Lei, os direitos, deveres e responsabilidades.

Quanto vai custar?

A adequação na proteção da privacidade, com responsabilidade social e na prevenção de incidentes, deve ser considerada um investimento estratégico no posicionamento de mercado.

Além da adequação de todos os processos internos, tal contexto coloca todos nós, de um lado, como usuários comuns de produtos e serviços e, de outro, como colaboradores que integram o cenário corporativo e utilizam os dados de outras pessoas na execução de diversas atividades.

E que isso nos lembre de defender e proteger os dados de outras pessoas como se fossem os nossos próprios.

Temos este mesmo conteúdo em nossa plataforma de conhecimento de LGPD, que usamos para preparar nossos colaboradores para a compliance LGPD. O link para o acesso é Plataforma EAD da ECAP . Na plataforma de conhecimento, fazemos avaliação do conhecimento de nossos colaboradores por meio de provas de conhecimento. Todos os nossos colaboradores são certificados.