Erro na cotação do dólar no Google reacende debate sobre responsabilidades digitais
Após o Google voltar a exibir informações erradas sobre a cotação do dólar no último dia 25 de dezembro, especialistas defenderam maior celeridade no debate sobre a responsabilização das plataformas digitais pelos conteúdos que veiculam em suas páginas. No feriado de Natal, com os mercados fechados, a ferramenta de conversão do Google chegou a exibir o dólar valendo R$ 6,38. O erro do Google levou a Advocacia-Geral da União (AGU) a pedir que o Banco Central (BC) forneça informações sobre a cotação da moeda para basear a apuração sobre o buscador ter exibido valores errados do câmbio da moeda americana no Natal, iniciativa que levou o Google a retirar a ferramenta do ar. Difícil reparação Segundo o advogado Rafael Pistono, sócio da PDK Advogados, a responsabilização das plataformas digitais é um tema complexo no cenário jurídico brasileiro. Ele cita o Marco Civil da Internet, que estabelece, em seu artigo 19, que os provedores de internet só podem ser responsabilizados civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomarem providências para tornar indisponível o conteúdo apontado como infringente. — Mas essa disposição legal tem sido objeto de intensos debates nos tribunais superiores, especialmente no Supremo Tribunal Federal (STF). Recentemente, o STF retomou o julgamento de recursos extraordinários que discutem a constitucionalidade do artigo 19 do Marco Civil da Internet — afirma. Ele continua: — O relator, ministro Dias Toffoli, argumentou que a evolução da internet e o aumento da disseminação de desinformação e conteúdos ilícitos exigem uma atualização das regras de responsabilização das plataformas. A principal crítica é que a exigência de ordem judicial prévia cria uma ‘imunidade’ para as plataformas, dificultando a reparação de danos causados por conteúdos prejudiciais — avalia o especialista. Para Pistono, as plataformas digitais, como Google e Facebook, defendem a constitucionalidade do artigo 19 do Marco Civil da Internet, argumentando que a exigência de uma ordem judicial prévia para a remoção de conteúdo é essencial para proteger a liberdade de expressão e evitar a censura prévia. — Um exemplo recente que ilustra a importância desse debate é o caso em que o Google exibiu cotação errada do dólar em seu buscador. Esse erro gerou confusão e preocupação entre os usuários e autoridades financeiras — ponderou. Segundo Pistono, o caso destaca a responsabilidade das plataformas digitais em fornecer informações precisas e confiáveis, especialmente em contextos sensíveis como o mercado financeiro: — A falha do Google em exibir a cotação correta do dólar pode ter implicações significativas, afetando decisões de investimento e a confiança dos usuários na plataforma. Por isso, ele acredita que a discussão sobre a responsabilização das plataformas digitais é crucial para garantir que essas empresas adotem medidas eficazes para prevenir a disseminação de informações incorretas e prejudiciais. — A evolução desse tema nos tribunais superiores brasileiros poderá definir novos parâmetros para a atuação das plataformas, equilibrando a liberdade de expressão com a necessidade de proteção dos direitos dos usuários e da sociedade — afirmou. Plataformas devem checar Andre Gildin, da RKKG Consultoria, lembra que muitas informações publicadas nas plataformas são fornecidas por terceiros ou têm origem em outras plataformas: — Mas elas precisam criar mecanismos de checagem da fonte dos dados, da mesma forma que os usuários são incentivados e checarem as fontes de notícias lidas ou recebidas nas plataformas de mensageria. No caso da taxa do dólar que foi publicada de forma equivocada, é importante investigar a causa raiz do erro, para evitar novas publicações desatualizadas ou mesmo equivocadas intencionalmente. Na opinião de Gildin, as plataformas em geral são responsáveis pelo que publicam e devem sinalizar a fonte principal ou a origem dos dados: — Isso é essencial para que o usuário tenha mais transparência e condições de avaliar a melhor informação disponível. Transparência Segundo Jesper Rhode, sócio da consultoria TR4nsform, o caso envolvendo os dados de câmbio do Google envolve dois tipos de responsabilidade. Uma está ligada à veracidade das informações, já em discussão no Congresso. A outra envolve a responsabilidade sobre a transparência, que, segundo ele, está relacionado a relatar o conteúdo ou as notícias de maneira transparente e fiel à fonte original. — Essa obrigação se mostra mais clara, pois grande parte da população baseia suas decisões nas informações que essas plataformas disponibilizam. Apresentar conteúdo de forma errônea ou distorcida pode gerar enormes transtornos — argumenta. Ele continua: — Por concentrarem um volume muito grande de informações e, consequentemente, um grande poder, essas empresas deveriam ser obrigadas a lidar com os dados de maneira transparente e sem alterações indevidas. Nesse caso, não se discute necessariamente a veracidade das informações em si, mas a forma pela qual elas são tratadas e apresentadas. Para Rhode, é indispensável estabelecer uma estrutura regulatória que leve em conta a mudança do debate público para espaços digitais controlados por grandes corporações. — Isso se torna perigoso quando o ambiente onde ocorre a troca de ideias essenciais à democracia depende principalmente do interesse de maximização de lucros, ao invés de refletir a responsabilidade dessas plataformas na disseminação de informações. A relevância social e política dessas plataformas deve ser refletida nos requisitos regulatórios que regem sua operação. Dessa forma, poderia haver responsabilização quando apresentarem, por exemplo, dados equivocados sobre o câmbio, um tema de grande influência política e fundamental para o debate democrático brasileiro.
Fraudes digitais: Como se prevenir e proteger dados pessoais
As fraudes digitais têm se tornado uma ameaça constante, exigindo atenção redobrada e estratégias eficazes para proteger seus dados pessoais e garantir a segurança online. A transformação digital trouxe eficiência, mas expôs empresas a riscos cibernéticos. Capacitação de pessoas e controles tecnológicos são essenciais para mitigar ameaças e garantir segurança É de conhecimento público que nos últimos anos as organizações passaram por diversas modificações em suas estruturas operacionais – principalmente durante e pós-período pandêmico. A digitalização transformou os negócios, trazendo eficiência e acessibilidade sem precedentes. Deixamos de ter servidores físicos, in house, e passamos a terceirizar o armazenamento de informações para servidores cloud. Conseguimos acessar nossos sistemas da informação / softwares de gestão de nossas organizações de qualquer lugar e em qualquer tempo, permitindo que nossas operações sejam realizadas em escala global e em tempo real. No entanto, repentino avanço também expõe às organizações a vulnerabilidades e riscos como ataques cibernéticos, fraudes digitais e vazamentos de dados. O equilíbrio entre inovação e segurança das informações é essencial para garantir a sustentabilidade corporativa e aproveitar os benefícios da transformação digital sem comprometer a confidencialidade, integridade e disponibilidade das informações. Para isto, é preciso cuidado! Em especial frente aos pilares essenciais da operação de uma empresa: pessoas e tecnologia. Sabemos que nada funciona sem pessoas – pelo menos até o presente momento. Ora, toda tecnologia demanda um input de informação, o que é feito por pessoas, toda inteligência artificial demanda um prompt, o que também é feito por pessoas. Nesse sentido, com relação às pessoas que compõem a organização, estas devem estar (ou ser) minimamente capacitadas para compreender os riscos no mundo cibernético – que são totalmente distintos dos riscos físicos aos quais já estamos acostumados. As pessoas hoje têm total capacidade e conhecimento dos riscos físicos aos quais estão submetidas, como por exemplo: não devemos entrar em uma rua escura, sem ter conhecimento daquela via, justamente pois existe um risco que pode se concretizar, como por exemplo: ser roubada / assaltada. Porém, não estão ainda preparadas para os riscos que não afetam o físico, a exemplo de um clique em um site falso. É nesse cenário que o critério de recrutamento e seleção de novos integrantes deve estar atrelado ao conhecimento, ainda que mínimo, de mecanismos e condutas de segurança da informação. Quando não for possível, a alternativa é capacitar os usuários na sua integração à companhia, como forma de minimizar ações indevidas e que podem causar riscos aos sistemas organizacionais, como por exemplo: bloquear a tela quando se levantar do computador, fazer logoff do usuário quando desligar o computador. Ações básicas, mas que minimizam o risco de ataques de engenharia social. Com relação às tecnologias, que indiscutivelmente trazem um dinamismo vital para a competitividade no mercado atual, assim como frente aos softwares / sistemas que utilizamos em nossas operações, devemos estar muito atento aos controles de segurança aplicáveis a estas. Embora indispensáveis, sistemas de informação requerem cuidados rigorosos para evitar fraudes digitais, e isso se dá por meio da aplicação de controles que atendem à rastreabilidade de informações e recuperação de dados. Medidas como gestão de identidade e credenciais de acesso, múltiplos fatores de autenticação, backup e registro de logs são fundamentais para que se inicie uma eventual investigação corporativa interna em casos de fraude. Controles como monitoramento de acessos e auditorias regulares garantem que alterações sejam rastreáveis, reduzindo a exposição a ameaças. Portanto, uma trilha auditável robusta é não apenas um requisito de boas práticas, mas também uma proteção crucial diante de incidentes de segurança ou investigações. Organizações que priorizam esses aspectos não só se protegem de ataques, mas também ganham meios para investigar eventuais fraudes, bem como confiança de seus clientes e parceiros, essencial em um mundo digital cada vez mais interconectado.
Transformação digital no imobiliário: Governança de dados e o papel da privacidade nas parcerias
Neste artigo, vamos falar sobre a transformação digital no imobiliário: governança de dados e o papel da privacidade nas parcerias. Leia mais abaixo! Engana-se quem pensa que privacidade, proteção de dados pessoais e segurança da informação se restringem a ambientes tecnológicos bem estruturados. Um efetivo sistema de gestão em privacidade, proteção de dados pessoais e segurança da informação envolve muito mais do que apenas tecnologia, abrange temas como: i) conscientização do board, ii) recrutamento e seleção de pessoas que sejam capazes de compreender e internalizar em suas operações e áreas de negócio conceitos básicos de privacidade e segurança da Informação, iii) avaliação e gestão de risco de terceiros, o que pressupõe uma análise crítica daqueles que fazem parte da jornada e operação de uma empresa, iv) desenvolvimento de políticas e diretrizes que sejam capazes de alinhar a estratégia da organização às práticas de privacidade, proteção de dados pessoais e segurança, v) campanhas de conscientização e capacitação interna sobre tais diretrizes, vi) definição de planos de continuidade de negócio, em especial e com ênfase em segurança da informação, o plano de recuperação de desastres tecnológicos, vii) definição de mecanismos de monitoramento de indicadores de performance do sistema de gestão, dentre outros. É neste cenário que surge um grande desafio para aquelas empresas que dependem de terceiros para efetivar os seus negócios. No setor de incorporação imobiliária, onde se lida com um grande volume de informações pessoais de clientes esses desafios são amplificados pela complexidade das relações comerciais envolvidas. A necessidade de adaptação às exigências legais vai além da teoria e exige a implementação de práticas eficazes de privacidade, proteção de dados pessoais e segurança da informação. Essa realidade impõe uma reflexão profunda sobre as dificuldades enfrentadas por esse setor para implementar um sistema de gestão eficaz frente aos controles de privacidade e de segurança da informação. Um dos primeiros desafios a serem superados é garantir a transparência no tratamento de dados pessoais. Para incorporadoras, é fundamental que os clientes compreendam claramente como suas informações serão coletadas, utilizadas e armazenadas. Isso é especialmente relevante no contexto de lançamentos de empreendimentos imobiliários e stands de vendas, onde os dados dos clientes são frequentemente coletados de maneira pouco clara. Tornar essas práticas mais transparentes demanda o uso de estratégias que facilitem o acesso à informação, como a disponibilização de avisos de privacidade em locais visíveis. É imprescindível, portanto, esclarecer o papel dos parceiros de negócio no processo de vendas, isto é garantir informações sobre corretores e imobiliárias, que atuam como controladores independentes de dados e detém as suas próprias responsabilidades no uso da informação pessoal do cliente, o que reforça a necessidade de uma comunicação mais eficaz. Além da questão da transparência, outro aspecto crítico está relacionado à gestão de sistemas internos de vendas, como as plataformas de gestão de empreendimentos. Esses sistemas, essenciais para o desenvolvimento comercial do negócio, bem como acompanhamento e gestão de vendas, precisam estar em conformidade com as exigências de segurança da informação. O tratamento de dados pessoais nesses ambientes deve ser conduzido com rigor técnico, o que inclui a implementação de políticas de controle de acesso, segregação de bases de dados e registro de logs de atividades, pois, na maioria das vezes, corretores e imobiliárias detém acesso aos sistemas e aos clientes/leads que abriram oportunidades. Aqui surge um outro desafio: conscientizar corretores autônomos e imobiliárias sobre a importância de apenas utilizar dados de pessoas que efetivamente tenham demonstrado interesse em um determinado empreendimento, visando garantir que não extrapole nenhuma expectativa do titular de dados, no caso, o cliente. Pensando nisto, a capacitação dos atores envolvidos no setor imobiliário também se mostra fundamental para garantir a conformidade com a LGPD. Corretores, imobiliárias e equipes de recepção em um novo lançamento de empreendimento frequentemente lidam diretamente com informações pessoais, o que exige uma educação contínua sobre suas responsabilidades no tratamento de dados pessoais. No entanto, a falta de treinamento adequado ainda é um obstáculo significativo. Conforme já mencionado, corretores, que frequentemente trabalham para múltiplas construtoras e empreendimentos, têm o dever de atuar como controladores independentes de dados, sendo fundamental que estejam cientes de suas obrigações legais. Da mesma forma, as equipes que atuam em stands de vendas e eventos de lançamento de empreendimentos, que precisam ser orientadas sobre como manusear essas informações com segurança e sobre a importância de prestar esclarecimentos claros em caso de questionamentos relacionados à proteção de dados pessoais. Imprescindível dizer que construtoras frequentemente dependem de fornecedores, prestadores de serviços e outros parceiros que têm acesso a dados pessoais. Nesse cenário, a realização de due diligence na contratação de fornecedores e a inclusão de cláusulas contratuais que estabeleçam responsabilidades claras quanto à segurança da informação são medidas básicas e que devem ser implementadas. Porém, o monitoramento contínuo de tais medidas é igualmente crucial. Afinal, o terceiro também faz parte da organização. E quando trazemos a questão dos terceiros, podemos falar em parcerias estratégicas, comuns no setor imobiliário, e que também apresentam desafios relacionados ao compartilhamento de dados pessoais. Parcerias com empresas de móveis planejados, por exemplo, são frequentes e agregam valor ao negócio, mas é necessário garantir que o compartilhamento de informações pessoais com essas empresas seja realizado de maneira transparente e em conformidade com a LGPD. Isso significa que os clientes devem ser informados sobre esse compartilhamento desde o início da relação e que seus direitos sejam garantidos, como o de solicitar a oposição à tal compartilhamento ou de não ser contatado, devem ser respeitados. O sucesso das parcerias no setor está diretamente relacionado à cooperação entre os agentes de tratamento de dados e ao comprometimento de todos com a transparência e a proteção dos direitos dos titulares. Portanto, a gestão da privacidade e da proteção de dados no setor de incorporação imobiliária exige uma abordagem integrada e contínua. A conformidade com a LGPD não pode ser vista apenas como uma obrigação legal, mas como uma oportunidade de fortalecer a confiança dos clientes e melhorar a reputação das empresas no
Incorporadores imobiliários e proteção de dados: Como funciona a responsabilidade em casos de vazamento
No cenário atual, a proteção de dados e informações pessoais se tornou uma preocupação central para as empresas, incluindo os incorporadores imobiliários. O vazamento de informações de cadastro pode acarretar graves consequências para as partes afetadas e entender as implicações da responsabilidade civil solidária e subsidiária nesse contexto é fundamental. Este artigo explora como essas modalidades de responsabilidade se aplicam a situações de vazamento de informações de cadastro envolvendo incorporadores imobiliários. O mercado imobiliário lida com uma grande quantidade de informações pessoais e financeiras dos clientes, como dados de cadastro e informações bancárias. O vazamento dessas informações pode resultar em danos significativos, como fraudes e roubo de identidade. Quando ocorre um vazamento, a questão da responsabilidade civil torna-se crucial, especialmente no que diz respeito a quem deve ser responsabilizado e como a responsabilidade é compartilhada entre diferentes partes envolvidas. O papel da responsabilidade solidária em casos de vazamento de dados imobiliários No contexto de vazamento de informações, a responsabilidade solidária pode se aplicar em situações em que múltiplos atores estão envolvidos, como: Parcerias e contratos de prestação de serviços: Se um incorporador imobiliário utiliza serviços de terceiros para gestão de dados (por exemplo, empresas de TI ou consultorias), todos os envolvidos na cadeia de gestão e segurança de dados podem ser responsabilizados solidariamente. Se houver um vazamento, o incorporador e seus parceiros podem ser igualmente responsáveis pela reparação dos danos; Responsabilidade compartilhada: Quando há várias entidades envolvidas na coleta, armazenamento e processamento de dados, a responsabilidade pode ser solidária, especialmente se o vazamento resultar de falhas em diferentes níveis do sistema de proteção de dados; Responsabilidade subsidiária: Implicações para incorporadores e prestadores de serviço; A responsabilidade subsidiária, por outro lado, pode ocorrer nas seguintes circunstâncias: Subcontratação de serviços de TI: Se o vazamento de dados ocorrer devido a falhas de um subcontratado (por exemplo, uma empresa especializada em segurança cibernética), o incorporador pode ser responsabilizado subsidiariamente, após esgotar as possibilidades de responsabilizar diretamente o prestador de serviços; Garantias e contratos de serviço: Caso o incorporador tenha garantias ou contratos que cobrem falhas de segurança de dados, ele pode ser responsável subsidiariamente se esses recursos não forem adequados para cobrir o total do dano. LGPD e outras normas na proteção de dados no setor imobiliário A responsabilidade civil em casos de vazamento de dados é regida por diversas normas, incluindo: LGPD: A LGPD (lei 13.709/18) estabelece regras sobre a coleta, armazenamento e proteção de dados pessoais no Brasil. Em caso de vazamento, a LGPD prevê a responsabilidade do controlador de dados, que pode incluir incorporadores imobiliários, e define as medidas corretivas e compensatórias a serem adotadas. Código Civil Brasileiro: Define a responsabilidade civil solidária e subsidiária e pode ser aplicado em casos de violação de contratos e falhas na proteção de dados. Código de Defesa do Consumidor: Protege os direitos dos consumidores e pode ser invocado em casos em que o vazamento de dados cause danos aos consumidores. A responsabilidade civil solidária e subsidiária dos incorporadores imobiliários em casos de vazamento de informações de cadastro envolve complexidades que exigem uma compreensão detalhada das obrigações legais e contratuais. A responsabilidade solidária pode surgir quando múltiplos atores estão envolvidos na gestão de dados, enquanto a responsabilidade subsidiária pode se aplicar quando o incorporador deve responder após esgotar as opções de responsabilização direta dos prestadores de serviços. Implementar práticas eficazes de proteção de dados e ter contratos bem elaborados são passos essenciais para mitigar riscos e garantir conformidade com a legislação vigente.
Privacidade e Proteção de Dados Pessoais: Estratégias para fortalecer a confiança do cliente
Você sabe como o desenvolvimento da cultura interna, posicionamento no mercado e investimento em privacidade e proteção de dados pessoais impacta na relação do seu negócio com os seus clientes? De acordo com o benchmark recentemente publicado pela CISCO, a forma como as empresas utilizam os dados pessoais dos seus clientes é um dos fatores determinantes para estabelecer uma relação de confiança e fidelidade no consumo dos seus produtos e serviços. Benefícios do investimento em privacidade apontados pelas empresas: Fidelidade e confiança; Mitigação de incidentes; Agilidade e inovação; Eficiência Operacional; Tornar a Organização mais atrativa. Sob a perspectiva corporativa, 94% das empresas que participaram do estudo conduzido pela CISCO apontaram que os seus consumidores não utilizariam os seus serviços/produtos caso não possam assegurar a proteção de dados pessoais. Além disso, 49% das Organizações entrevistadas reportam que o ROI (Retorno Sobre o Investimento) em privacidade é em média de 1.6 vezes. Os dados divulgados no benchmark demonstram que com o aprimoramento da cultura de privacidade e proteção de dados pessoais, as Organizações que investem em privacidade percebem impactos e benefícios significativos em relação ao investimento em privacidade e o aumento de confiança e fidelidade dos seus clientes. Na mesma esteira, quando olhamos para Organizações que consideram que o seu Programa de Privacidade e Proteção de Dados Pessoais está acima da média dos seus concorrentes, a percepção da correlação entre privacidade x confiança e fidelidade dos seus clientes aumenta para 92%. Ao passo que, para os consumidores, o respeito à privacidade e proteção de dados pessoais pelas Organizações vai além de um dever legal. Na opinião de 81% dos consumidores, o posicionamento das empresas sobre o tema aliado à forma como os seus dados pessoais são efetivamente utilizados se revelam como fortes indicativos sobre como a empresa enxerga e respeita os seus consumidores. Em igual sentido, os dados das pesquisas realizadas pela CISCO ainda em 2020, Mckinsey em 2022 já demonstravam a preocupação e conscientização dos consumidores sobre privacidade e proteção de dados pessoais. (Mckinsey) 85% dos consumidores declararam que a proteção de dados pessoais é um fator importante para decidir se relacionar, adquirir produtos e serviços de um negócio; (CISCO) 42% dos consumidores trocaram de prestadores de serviço e fornecedores de produto em função das políticas de privacidade e proteção de dados pessoais adotadas por essas empresas, o que representa uma perda relevante de uma fatia do mercado. De acordo com os consumidores os principais fatores que contribuem o aumento de confiança nas empresas são: Disponibilizar informação clara sobre a utilização dos seus dados; Não vender os dados pessoais coletados; Cumprir com a legislação sobre privacidade e proteção de dados pessoais; Possibilitar que o consumidor decida sobre as suas preferências de privacidade; Assegurar a adoção de medidas de segurança para evitar incidentes com dados pessoais. Outro dado relevante apresentado pelo benchmark publicado pela CISCO ainda em 2020, aponta que devido à falta de confiança sobre a forma que os seus dados pessoais são utilizados, no Brasil 47% dos consumidores optaram por trocar de prestadores de serviço. Esse é um número expressivo, especialmente considerando que a média global reportada é de 37%. A ausência de credibilidade no que tange à privacidade e proteção de dados pessoais, pode, inclusive, representar a redução do valor de mercado de um negócio. A Gartner, por exemplo, estima que o fomento da cultura interna aliada a adoção de ferramentas voltadas à privacidade e proteção de dados pessoais impacta diretamente o valuation das empresas. Além disso, a falta de transparência e o tratamento inadequado de dados pessoais figuram entre as principais queixas dos consumidores quando o assunto é privacidade. À título exemplificativo, de acordo com os dados divulgados pela ANPD – Autoridade Nacional de Proteção de Dados Pessoais, durante o ano de 2022 foram encaminhadas à Coordenação Geral de Fiscalização 425 petições de titulares e denúncias contra controladores de dados pessoais. Cabe esclarecer, que a Coordenação Geral de Fiscalização é a responsável pela análise das petições e denúncias e decidir sobre a abertura de processo administrativo para apurar as infrações comunicadas e, eventualmente, determinar a aplicação das sanções estabelecidas pela Lei Geral de Proteção de Dados Pessoais. Ainda na mesma toada, 40% das consultas atendidas pela Ouvidoria da ANPD em 2022 foram para orientar os interessados sobre como enviar a petição contra controladores para ANPD. Ao passo que, de acordo com o relatório divulgado em dezembro/2023 pela ANPD, houve um aumento de 8% das denúncias de violações de dados pessoais em relação a 2022. E o que a sua empresa pode fazer para estabelecer e fortalecer a relação de confiança com os seus consumidores? Os principais motivos que frustram os consumidores com relação à sua autonomia e controle dos seus dados pessoais concernem a falta de transparência sobre como as atividades envolvendo seus dados são conduzidas. As queixas versam sobre a dificuldade de compreender para quais finalidades e como as empresas utilizam os seus dados, desconhecem ou não são informados sobre a possibilidade de se recusar informar dados ou até mesmo não confiam que as empresas seguem as políticas de privacidade divulgadas. Portanto, considere adotar a privacidade e proteção de dados pessoais como um dos pilares do desenvolvimento do seu negócio. Além disso, algumas medidas simples podem gerar um impacto altamente positivo na sua relação com os clientes, como: Disponibilizar informações claras e em linguagem simplificada sobre como os dados dos seus clientes serão utilizados; Informar sobre o eventual compartilhamento dos dados coletados; Indicar os motivos e finalidades da utilização dos dados pessoais; Esclarecer sobre quais direitos o cliente possui em relação aos seus dados e como podem ser exercidos; Treinar e orientar os seus colaboradores sobre os cuidados com a privacidade e proteção de dados pessoais; Cabe destacar que as medidas acima exemplificadas devem ser acompanhadas por um profissional da área de privacidade e implementadas em conjunto com o desenvolvimento de um Programa de Privacidade e Proteção de Dados Pessoais. E a sua empresa? Faz parte dos 94% indicado pela CISCO que se preocupam com a privacidade e
Privacidade e Telecom: Desafios e Perspectivas na Era das Conexões Móveis
À medida que os serviços de telecomunicações se tornam cada vez mais integrados ao nosso dia a dia, sendo inclusive considerado como serviço essencial à época da pandemia do Covid19 – por meio do já revogado Decreto 10.282/20, que definiu os serviços públicos e as atividades essenciais, em atenção à Lei 13.979/20, que dispõe sobre as medidas para enfrentamento da emergência de saúde pública – é imprescindível que o setor considere e se atente às questões referentes à privacidade e proteção de dados. A Importância da Privacidade nos Serviços de Telecomunicações Buscando ser o mais didático possível, a cadeia de serviços de telecomunicações móvel começa com a produção dos dispositivos móveis, tais como celulares e smartphones, que são equipados com SIMs / eSIMs e a eles são atribuídos IMEIs exclusivos. Os dispositivos são então disponibilizados ao seu mercado consumidor, que ao adquirir o dispositivo móvel devem ativar os serviços de telecomunicações com base em sua operadora. Durante o uso dos serviços por seus consumidores, as operadoras registram todas as atividades de comunicação dos usuários nos CDRs e IPDRs, permitindo uma operação eficiente e uma melhor experiência do usuário. LEIA TAMBÉM: Anomalia Magnética do Atlântico Sul: Desafios para a Segurança Tecnológica e Jurídica no âmbito das Telecomunicações – PDK Advogados No complexo ecossistema operacional das telecomunicações, uma série de siglas e conceitos frequentemente confunde até mesmo os mais dedicados. Dentre as siglas mais faladas, destacam-se: CDR, IPDR, IMSI, eSIM, IMEI e EID, elementos cruciais na operação da cadeia de serviços, que conectam os usuários às redes de telecomunicações e à internet, e que são capazes de auxiliar na compreensão de temas sensíveis e críticos, que podem alimentar políticas públicas ou ações privadas mais direcionadas estrategicamente, tais como: Estatísticas de deslocamento e desastres; Mapeamento dinâmico da população; Medição de aspectos relacionados à sociedade da informação; Estatísticas de migração; Estatísticas de turismo; Transporte e deslocamento. Portanto, diante dos casos apresentados, é necessário regulamentar a operação de uso compartilhado de dados, garantindo a devida transparência, em que de um lado há os “produtores dos dados”, em que podemos enquadrar: As operadoras de telefonia móvel e os seus consumidores, enquanto do outro há os “interessados nos dados” produzidos, como governo, entes privados e organizações sociais, sendo estritamente necessário a elaboração de acordos de tratamento de dados, com a finalidade de prever como os dados serão acessados, processados e para qual fim serão utilizados. Regulamentação do Uso Compartilhado de Dados: Transparência e Privacidade Segundo o Guia¹ publicado pela United Nations Statistics Division acerca da metodologia para a utilização de dados de operadoras móveis, o modelo de processamento de dados móvel inclui o tratamento de informações tanto sobre clientes, como também sobre o próprio negócio. E, portanto, o correto tratamento de dados – que deve ser compreendido como toda e qualquer operação com o dado, isto é, desde o momento da coleta do dado, do trânsito em sua infraestrutura, do compartilhamento com terceiros, da utilização do dado para o processo de cobrança/faturamento, do armazenamento seguro, até o efetivo descarte – deve ser encarado como uma etapa crucial para concretizar informações estratégicas sobre o segmento e clientes. As operadoras de rede móvel, por exemplo, realizam tratamento de dados em que é possível compreender informações sobre as atividades dos seus usuários/assinantes, assim como sobre as atividades do sistema operacional, sempre norteado – em um primeiro momento – para a finalidade de: Realizar o faturamento; A manutenção da rede; O cumprimento de obrigações legais, coletando os registros detalhados de chamadas (CDRs) e os registros detalhados de protocolo internet (IPDRs), assim como dados de localização, obtido diretamente de sinais de transmissão da rede de rádio. Os CDRs e IPDRs gerados por interações/eventos em dispositivos móveis podem incluir diversos dados e metadados, tais como: Identificador (ID) do usuário/assinante, hora e local da ocorrência da interação/evento. O identificador dos usuários é necessário justamente para que se possa individualizar, perfilar os usuários, enquanto o tempo/hora é obrigatório para fins de controle de faturamento e deve sempre incluir a hora de início e término do evento, bem como a sua duração. A localização é sempre vinculada dentro da LAI -identificação da área de localização ou TAI – identificação da área de rastreamento. O LAI/TAI estruturam o MCC – Mobile Country Code, no MNC – Mobile Network Code, um código de identificação de dois ou três dígitos específico para a operadora de rede móvel. Além disso, CDRs e IPDRs também podem incluir atributos adicionais, como o tipo de atividade, por exemplo, uso de dados, mensagens ou chamadas, se a chamada foi recebida ou enviada, tecnologia de rede (2G, 3G, 4G e 5G) e o equipamento usado. Portanto, as informações técnicas, como CDR, IPDR, IMSI, eSIM, IMEI e EID, são fundamentais para a operação das redes de telecomunicações, mas também – a depender do contexto da operação – podem ser consideradas dados pessoais, pois são informações capazes de tornar uma pessoa identificável, definir hábitos comportamentais, de deslocamento, perfil de consumo ou, até mesmo, identificar diretamente uma pessoa, no caso, os usuários dos serviços de telecomunicações, como por exemplo quando há o registros das atividades dos usuários de telefones celulares e das localizações. Tais dados são altamente críticos e devem ser tratados com extremo cuidado por operadoras de redes móveis que, se estiverem na posição de controlador de dados – isto é, àquele que determina a finalidade pela qual o dado será tratado – devem seguir estritamente todos os procedimentos internos já em vigor, inclusive com o devido cuidado quando compartilhar com terceiros, em especial concedendo a devida transparência sobre a forma como os dados transitam por meio da sua estrutura organizacional e seus possíveis impactos. Conceitos Importantes Compreender tais conceitos e tantas possibilidades é fundamental para entender como os serviços de telecomunicações funcionam e como as informações técnicas podem – a depender do contexto analisado e da atividade de tratamento de dados desempenhada – ser consideradas dados pessoais e, ainda, como podem ser mais bem aproveitadas em um cenário público e privado, com ganhos e benefícios extremamente importantes para qualquer nação. CDR –
ANPD Apresenta Novas Considerações sobre o PL de Inteligência Artificial
No dia 24 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou sua segunda análise do Projeto de Lei nº 2338/2023, que trata da regulamentação da Inteligência Artificial (IA) no Brasil. Nesta nova análise, são apresentadas diversas propostas de alterações ao PL, visando destacar atividade da ANPD sobre a regulamentação, com o objetivo de garantir que a futura lei esteja alinhada com os princípios e diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD). A ANPD propõe a criação de um modelo institucional de regulação de sistemas de IA organizado em quatro instâncias complementares com a ANPD como órgão regulador central. Esse modelo prevê uma atuação coordenada entre órgãos do Poder Executivo, reguladores setoriais e a criação de um Conselho Consultivo. Este conselho seguiria o modelo do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD), mas com foco exclusivo na regulamentação da IA no Brasil. É importante destacar que autoridades de países como a França já adotam esse modelo, o que tem contribuído para reduzir a burocracia e agilizar os processos regulatórios. A nota técnica também propõe que a competência para elaborar, gerir, atualizar e implementar a Estratégia Brasileira de Inteligência Artificial (EBIA) seja atribuída ao Poder Executivo, e não à autoridade competente como previsto na redação atual do projeto de lei. Dessa forma, a ANPD contribuiria nesse processo apenas dentro de suas atribuições específicas. Durante audiência pública no Senado, a diretora da ANPD, Miriam Wimmer, defendeu a implementação de uma autoridade central com uma abordagem regulatória mais unificada. O objetivo é fornecer orientações claras e consistentes para todos os setores e partes envolvidas, eliminando possíveis ambiguidades e divergências interpretativas que poderiam causar insegurança jurídica. A ANPD também propõe a criação de um Fórum de Órgãos Reguladores Setoriais para promover a cooperação entre o órgão central e os órgãos setoriais. Em síntese, a proposta da ANPD para a regulamentação da IA no Brasil é um avanço importante, que alinha a legislação futura com os princípios da Lei Geral de Proteção de Dados Pessoais (LGPD). A centralização da regulação, juntamente com a cooperação entre diferentes órgãos, é essencial para garantir uma implementação eficaz e harmoniosa da IA no país. Veja a nota na íntegra: https://www.gov.br/anpd/pt-br/assuntos/noticias/Nota_Tecnica_16ANPDIA.pdf Para mais informações, entre em contato com nossos especialistas.
Publicada a Resolução CD/ANPD nº 15, de 24 de abril de 2024, aprovando o Regulamento de Comunicação de Incidente de Segurança
No dia 26 de abril a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD nº 15/2024, que aprovou o Regulamento para a Comunicação de Incidente de Segurança. O Regulamento tem por objetivo estabelecer os procedimentos para se efetuar a comunicação de incidentes que possam acarretar riscos ou danos relevantes aos titulares de dados. É importante destacar alguns apontamentos quanto à resolução: 1. Prazo de Comunicação a ANPD ou aos Titulares Anteriormente a ANPD recomendava o prazo de comunicação do incidente em até 2 (dois) dias úteis da ciência do fato. De agora em diante, segundo a Resolução, a Comunicação se dará em até 03 (três) dias úteis da ciência do incidente afetou dados pessoais. Apesar de conceder um maior prazo, todos conhecemos a dificuldade em se cumprir com tal prazo, especialmente pela complexidade e variedade de informações necessárias quando do conhecimento de um incidente que envolva dados pessoais e que devem constar em Relatório de Tratamento de Incidente. 2. Informações Complementares Importante observar que o prazo para informações complementares foi de 30 dias corridos para 20 dias úteis, a contar da comunicação preliminar. 3. Categoria de Dados Pessoais Interessante observar as categorias de dados pessoais trazidas pela Resolução como exemplificativa: dados de autenticação em sistemas (credenciais de acesso), dados financeiros (transações), dados pessoais (gênero das categoriais e espécies: simples ou sensíveis), dado protegido por sigilo legal, judicial ou profissional. 4. Clareza na Análise de Risco de um Incidente A ANPD trouxe de forma clara àquilo que deve ser considerado como um incidente com dados pessoais que deve ser comunicado: Sempre que afetar, cumulativamente: · Direitos e liberdades fundamentais, tais como direito à liberdade, discriminação, violação à integridade física, ao direito à imagem, dentre outros. · Dados pessoais sensíveis, dados de vulneráveis como: crianças, de adolescentes ou de idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional ou dados em larga escala. 5. Quem pode comunicar? Aqui não temos grandes novidades e somente o Encarregado de Dados Pessoais, com vínculo contratual, empregatício ou funcional, ou Representante Legal constituído, com poderes de representação junto à ANPD, poderão fazer a comunicação. Tais documentos comprobatórios deverão acompanhar a comunicação do incidente. 6. Do Registro de Incidente O Registro de Incidentes, inclusive daqueles não comunicados, deverão ser mantidos por 05 (cinco) anos pelo Controlador. Para mais informações, consulte nossos especialistas em Privacidade e Proteção de Dados Pessoais.
Qual é a relação entre ondas cerebrais e a Lei Geral de Proteção de Dados Pessoais (LGPD)?
Ondas cerebrais podem ser consideradas dados pessoais sensíveis? Os Estados Unidos alcançaram um marco significativo ao serem os primeiros a categorizar dados obtidos através de ondas cerebrais como informações pessoais sensíveis, sob a recém implementada Lei de Privacidade do Colorado. Esta legislação, em vigor desde 2023, implica que as empresas agora devem, em certos casos, obter autorização explícita das pessoas para o uso de seus dados cerebrais. Esta medida não apenas estende a proteção de informações biométricas para incluir dados cerebrais coletados por dispositivos de neurotecnologia, como interfaces cérebro-computador (BCIs) não invasivas, como das companhias Emotiv ou Neurosky, mas também antecipa um movimento mais amplo em direção à regulamentação da neurotecnologia, tendo expectativas de que outras medidas de regulamentação sejam implementadas no futuro. À medida que mais países consideram a implementação de legislações similares, a NeuroRights Foundation emerge como uma força motriz por trás desses esforços, buscando salvaguardar os direitos individuais na era da neurotecnologia. Jared Genser, cofundador da organização, destaca a importância desse avanço ao reconhecer a sensibilidade dos dados extraídos do cérebro humano. Embora essa legislação ainda tenha seus limites, não abrangendo precisamente todos os dados coletados para esses fins, representa um passo significativo, especialmente considerando o crescimento projetado do mercado de neurotecnologia nos próximos anos, estimado em 15 bilhões de dólares até 2024, com projeções de expansão contínua. Para mais informações, entre em contato com nossos especialistas.
Desafios Empresariais: Cumprimento de Prazos para Retenção e Descarte Seguro de Dados Pessoais
Empresas enfrentam desafios crescentes em garantir segurança e privacidade de dados. O cumprimento de princípios legais e internos, incluindo retenção e descarte seguro, é crucial, especialmente para multinacionais. Com o avanço da tecnologia e a crescente conscientização e preocupação da Sociedade com a segurança das informações, a privacidade e a proteção dos dados pessoais, as empresas enfrentam um desafio cada vez maior em garantir o cumprimento dos princípios fundamentais de segurança, bem como de privacidade e proteção de dados pessoais. Princípios que vão desde a garantia da confidencialidade, integridade, disponibilidade e autenticidade das informações, permeando também por àqueles elencados pela LGPD, tais como: finalidade, adequação e necessidade. É justamente por meio da prática operacional, dos princípios de segurança da informação e de proteção de dados pessoais, que se extraí o desafio e a necessidade em respeitar os prazos legais de guarda da informação, muitas vezes estabelecidos pelas normas do nosso ordenamento jurídico. Um dos percalços que surge ao longo do processo de consolidação e gestão de um Programa de Governança em Segurança da Informação ou em Privacidade e Proteção de Dados Pessoais passa por: (i) compreensão dos prazos legais de retenção de dados, bem como a definição de prazos internos de guarda – quando não houver imposição legal – e (ii) pelo método de descarte seguro, após o atingimento do prazo legal ou da finalidade estabelecida para o tratamento. Os prazos fixados de forma interna, quando não há imposição legal, podem variar dependendo do tipo de dado e da finalidade para a qual foram coletados, tornando a tarefa em determinar a sua o prazo de retenção ainda mais complexa. Além disso, para empresas multinacionais, isto é, presentes em vários países e jurisdições, o nível de complexidade fica ainda maior, o que dificulta ainda mais o processo de gestão. Um exemplo prático dos desafios enfrentados pelas empresas em relação aos prazos de retenção de dados são os sistemas de CFTV – Circuitos Fechados de Televisão. De acordo com o ordenamento jurídico brasileiro, esta matéria é de competência legislativa dos estados da Federação. E, portanto, os vídeos capturados por câmeras de segurança devem ser mantidos apenas pelo período necessário para atender à finalidade original da sua coleta, bem como o prazo de guarda legal, que pode variar dependendo do Estado em que se encontra a operação. Por exemplo, no Estado do Rio de Janeiro não existem leis estaduais específicas no que regulam o tempo de armazenamento de imagens de câmeras de segurança para estabelecimentos comerciais. Por outro lado, existe a lei 7.209/16, que estabelece aos bancos a preservação das imagens de câmeras de segurança por 2 anos. No Estado da Bahia a lei estadual 9.675/23 estabelece um prazo mínimo de 365 dias para o armazenamento de conteúdo de monitoramento captado por câmeras de vídeo e áudio em estabelecimentos e locais privados. É possível observar, portanto, a dificuldade que as empresas enfrentam em reter e descartar, de acordo com a norma legal, as informações e os dados coletados por meio de câmeras de vigilância e monitoramento, e circuitos fechados de televisão. Nas situações em que não existem prazos legais de retenção de dados e informações, é fundamental que as empresas desenvolvam e implementem uma Norma de Retenção e Descarte Seguro das Informações, bem como desenvolvam a sua Matriz de Temporalidade. Esta matriz consiste em um inventário de dados, informações e/ou documentos, com os devidos prazos de retenção para os diferentes tipos e classificações, levando em consideração fatores como a natureza dos dados, a finalidade da sua coleta e as melhores práticas do setor. Ao estruturar o Processo de Retenção e Descarte Seguro de Informação, as empresas não só buscam garantir que os dados pessoais sejam retidos pelos departamentos de acordo com tempo necessário para cumprir suas finalidades legais ou internas, minimizando riscos associados ao tratamento indevido de dados, por conta de uma eventual retenção excessiva de informações, como também devem almejar a sustentabilidade ambiental e econômica, por meio da melhor compreensão do aproveitamento dos recursos naturais e matéria prima, bem como da otimização dos processos e menor dependência da matéria prima. É justamente por meio de uma matriz bem definida que o processo de descarte seguro de dados ocorrerá, garantindo que as informações sejam eliminadas de forma eficaz e em conformidade com as normas legais ou definições internas. O descarte seguro de informações é igualmente importante para garantir a governança da segurança da informação, da privacidade e da proteção de dados pessoais. Métodos inadequados de descarte podem resultar em vazamentos de dados e exposição indevida de informações, colocando em risco a reputação da empresa e sujeitando-a às sanções legais. Existem diversas técnicas de descarte seguro que as empresas podem adotar, incluindo a destruição física de mídias de armazenamento, como discos rígidos e dispositivos de armazenamento USB, trituradores dos mais variados níveis e complexidades, bem como a utilização de software especializado para classificar as informações e eliminar os dados de sistemas digitais. No entanto, as empresas enfrentam desafios na implementação dessas práticas devido à falta de conhecimento técnico e preocupações com a sustentabilidade ambiental. As práticas ambientais sustentáveis, hoje, devem fazer parte da Norma de Retenção e Descarte Seguro. Portanto, a adequada governança de retenção e descarte seguro é um grande desafio para as empresas que almejam atingir, de forma efetiva, o cumprimento com as normas legais e princípios de segurança da informação, privacidade e proteção de dados pessoais, bem como a sustentabilidade corporativa, no que tange à inserção da organização, cada vez mais, em uma economia circular, em que se busca um novo relacionamento com os recursos naturais e a sua utilização pela sociedade, garantindo o uso e a recuperação inteligente dos recursos. Para mais informações, entre em contato com nossos especialistas.