Privacidade e Proteção de Dados Pessoais: Estratégias para fortalecer a confiança do cliente
Você sabe como o desenvolvimento da cultura interna, posicionamento no mercado e investimento em privacidade e proteção de dados pessoais impacta na relação do seu negócio com os seus clientes? De acordo com o benchmark recentemente publicado pela CISCO, a forma como as empresas utilizam os dados pessoais dos seus clientes é um dos fatores determinantes para estabelecer uma relação de confiança e fidelidade no consumo dos seus produtos e serviços. Benefícios do investimento em privacidade apontados pelas empresas: Fidelidade e confiança; Mitigação de incidentes; Agilidade e inovação; Eficiência Operacional; Tornar a Organização mais atrativa. Sob a perspectiva corporativa, 94% das empresas que participaram do estudo conduzido pela CISCO apontaram que os seus consumidores não utilizariam os seus serviços/produtos caso não possam assegurar a proteção de dados pessoais. Além disso, 49% das Organizações entrevistadas reportam que o ROI (Retorno Sobre o Investimento) em privacidade é em média de 1.6 vezes. Os dados divulgados no benchmark demonstram que com o aprimoramento da cultura de privacidade e proteção de dados pessoais, as Organizações que investem em privacidade percebem impactos e benefícios significativos em relação ao investimento em privacidade e o aumento de confiança e fidelidade dos seus clientes. Na mesma esteira, quando olhamos para Organizações que consideram que o seu Programa de Privacidade e Proteção de Dados Pessoais está acima da média dos seus concorrentes, a percepção da correlação entre privacidade x confiança e fidelidade dos seus clientes aumenta para 92%. Ao passo que, para os consumidores, o respeito à privacidade e proteção de dados pessoais pelas Organizações vai além de um dever legal. Na opinião de 81% dos consumidores, o posicionamento das empresas sobre o tema aliado à forma como os seus dados pessoais são efetivamente utilizados se revelam como fortes indicativos sobre como a empresa enxerga e respeita os seus consumidores. Em igual sentido, os dados das pesquisas realizadas pela CISCO ainda em 2020, Mckinsey em 2022 já demonstravam a preocupação e conscientização dos consumidores sobre privacidade e proteção de dados pessoais. (Mckinsey) 85% dos consumidores declararam que a proteção de dados pessoais é um fator importante para decidir se relacionar, adquirir produtos e serviços de um negócio; (CISCO) 42% dos consumidores trocaram de prestadores de serviço e fornecedores de produto em função das políticas de privacidade e proteção de dados pessoais adotadas por essas empresas, o que representa uma perda relevante de uma fatia do mercado. De acordo com os consumidores os principais fatores que contribuem o aumento de confiança nas empresas são: Disponibilizar informação clara sobre a utilização dos seus dados; Não vender os dados pessoais coletados; Cumprir com a legislação sobre privacidade e proteção de dados pessoais; Possibilitar que o consumidor decida sobre as suas preferências de privacidade; Assegurar a adoção de medidas de segurança para evitar incidentes com dados pessoais. Outro dado relevante apresentado pelo benchmark publicado pela CISCO ainda em 2020, aponta que devido à falta de confiança sobre a forma que os seus dados pessoais são utilizados, no Brasil 47% dos consumidores optaram por trocar de prestadores de serviço. Esse é um número expressivo, especialmente considerando que a média global reportada é de 37%. A ausência de credibilidade no que tange à privacidade e proteção de dados pessoais, pode, inclusive, representar a redução do valor de mercado de um negócio. A Gartner, por exemplo, estima que o fomento da cultura interna aliada a adoção de ferramentas voltadas à privacidade e proteção de dados pessoais impacta diretamente o valuation das empresas. Além disso, a falta de transparência e o tratamento inadequado de dados pessoais figuram entre as principais queixas dos consumidores quando o assunto é privacidade. À título exemplificativo, de acordo com os dados divulgados pela ANPD – Autoridade Nacional de Proteção de Dados Pessoais, durante o ano de 2022 foram encaminhadas à Coordenação Geral de Fiscalização 425 petições de titulares e denúncias contra controladores de dados pessoais. Cabe esclarecer, que a Coordenação Geral de Fiscalização é a responsável pela análise das petições e denúncias e decidir sobre a abertura de processo administrativo para apurar as infrações comunicadas e, eventualmente, determinar a aplicação das sanções estabelecidas pela Lei Geral de Proteção de Dados Pessoais. Ainda na mesma toada, 40% das consultas atendidas pela Ouvidoria da ANPD em 2022 foram para orientar os interessados sobre como enviar a petição contra controladores para ANPD. Ao passo que, de acordo com o relatório divulgado em dezembro/2023 pela ANPD, houve um aumento de 8% das denúncias de violações de dados pessoais em relação a 2022. E o que a sua empresa pode fazer para estabelecer e fortalecer a relação de confiança com os seus consumidores? Os principais motivos que frustram os consumidores com relação à sua autonomia e controle dos seus dados pessoais concernem a falta de transparência sobre como as atividades envolvendo seus dados são conduzidas. As queixas versam sobre a dificuldade de compreender para quais finalidades e como as empresas utilizam os seus dados, desconhecem ou não são informados sobre a possibilidade de se recusar informar dados ou até mesmo não confiam que as empresas seguem as políticas de privacidade divulgadas. Portanto, considere adotar a privacidade e proteção de dados pessoais como um dos pilares do desenvolvimento do seu negócio. Além disso, algumas medidas simples podem gerar um impacto altamente positivo na sua relação com os clientes, como: Disponibilizar informações claras e em linguagem simplificada sobre como os dados dos seus clientes serão utilizados; Informar sobre o eventual compartilhamento dos dados coletados; Indicar os motivos e finalidades da utilização dos dados pessoais; Esclarecer sobre quais direitos o cliente possui em relação aos seus dados e como podem ser exercidos; Treinar e orientar os seus colaboradores sobre os cuidados com a privacidade e proteção de dados pessoais; Cabe destacar que as medidas acima exemplificadas devem ser acompanhadas por um profissional da área de privacidade e implementadas em conjunto com o desenvolvimento de um Programa de Privacidade e Proteção de Dados Pessoais. E a sua empresa? Faz parte dos 94% indicado pela CISCO que se preocupam com a privacidade e
Privacidade e Telecom: Desafios e Perspectivas na Era das Conexões Móveis
À medida que os serviços de telecomunicações se tornam cada vez mais integrados ao nosso dia a dia, sendo inclusive considerado como serviço essencial à época da pandemia do Covid19 – por meio do já revogado Decreto 10.282/20, que definiu os serviços públicos e as atividades essenciais, em atenção à Lei 13.979/20, que dispõe sobre as medidas para enfrentamento da emergência de saúde pública – é imprescindível que o setor considere e se atente às questões referentes à privacidade e proteção de dados. A Importância da Privacidade nos Serviços de Telecomunicações Buscando ser o mais didático possível, a cadeia de serviços de telecomunicações móvel começa com a produção dos dispositivos móveis, tais como celulares e smartphones, que são equipados com SIMs / eSIMs e a eles são atribuídos IMEIs exclusivos. Os dispositivos são então disponibilizados ao seu mercado consumidor, que ao adquirir o dispositivo móvel devem ativar os serviços de telecomunicações com base em sua operadora. Durante o uso dos serviços por seus consumidores, as operadoras registram todas as atividades de comunicação dos usuários nos CDRs e IPDRs, permitindo uma operação eficiente e uma melhor experiência do usuário. LEIA TAMBÉM: Anomalia Magnética do Atlântico Sul: Desafios para a Segurança Tecnológica e Jurídica no âmbito das Telecomunicações – PDK Advogados No complexo ecossistema operacional das telecomunicações, uma série de siglas e conceitos frequentemente confunde até mesmo os mais dedicados. Dentre as siglas mais faladas, destacam-se: CDR, IPDR, IMSI, eSIM, IMEI e EID, elementos cruciais na operação da cadeia de serviços, que conectam os usuários às redes de telecomunicações e à internet, e que são capazes de auxiliar na compreensão de temas sensíveis e críticos, que podem alimentar políticas públicas ou ações privadas mais direcionadas estrategicamente, tais como: Estatísticas de deslocamento e desastres; Mapeamento dinâmico da população; Medição de aspectos relacionados à sociedade da informação; Estatísticas de migração; Estatísticas de turismo; Transporte e deslocamento. Portanto, diante dos casos apresentados, é necessário regulamentar a operação de uso compartilhado de dados, garantindo a devida transparência, em que de um lado há os “produtores dos dados”, em que podemos enquadrar: As operadoras de telefonia móvel e os seus consumidores, enquanto do outro há os “interessados nos dados” produzidos, como governo, entes privados e organizações sociais, sendo estritamente necessário a elaboração de acordos de tratamento de dados, com a finalidade de prever como os dados serão acessados, processados e para qual fim serão utilizados. Regulamentação do Uso Compartilhado de Dados: Transparência e Privacidade Segundo o Guia¹ publicado pela United Nations Statistics Division acerca da metodologia para a utilização de dados de operadoras móveis, o modelo de processamento de dados móvel inclui o tratamento de informações tanto sobre clientes, como também sobre o próprio negócio. E, portanto, o correto tratamento de dados – que deve ser compreendido como toda e qualquer operação com o dado, isto é, desde o momento da coleta do dado, do trânsito em sua infraestrutura, do compartilhamento com terceiros, da utilização do dado para o processo de cobrança/faturamento, do armazenamento seguro, até o efetivo descarte – deve ser encarado como uma etapa crucial para concretizar informações estratégicas sobre o segmento e clientes. As operadoras de rede móvel, por exemplo, realizam tratamento de dados em que é possível compreender informações sobre as atividades dos seus usuários/assinantes, assim como sobre as atividades do sistema operacional, sempre norteado – em um primeiro momento – para a finalidade de: Realizar o faturamento; A manutenção da rede; O cumprimento de obrigações legais, coletando os registros detalhados de chamadas (CDRs) e os registros detalhados de protocolo internet (IPDRs), assim como dados de localização, obtido diretamente de sinais de transmissão da rede de rádio. Os CDRs e IPDRs gerados por interações/eventos em dispositivos móveis podem incluir diversos dados e metadados, tais como: Identificador (ID) do usuário/assinante, hora e local da ocorrência da interação/evento. O identificador dos usuários é necessário justamente para que se possa individualizar, perfilar os usuários, enquanto o tempo/hora é obrigatório para fins de controle de faturamento e deve sempre incluir a hora de início e término do evento, bem como a sua duração. A localização é sempre vinculada dentro da LAI -identificação da área de localização ou TAI – identificação da área de rastreamento. O LAI/TAI estruturam o MCC – Mobile Country Code, no MNC – Mobile Network Code, um código de identificação de dois ou três dígitos específico para a operadora de rede móvel. Além disso, CDRs e IPDRs também podem incluir atributos adicionais, como o tipo de atividade, por exemplo, uso de dados, mensagens ou chamadas, se a chamada foi recebida ou enviada, tecnologia de rede (2G, 3G, 4G e 5G) e o equipamento usado. Portanto, as informações técnicas, como CDR, IPDR, IMSI, eSIM, IMEI e EID, são fundamentais para a operação das redes de telecomunicações, mas também – a depender do contexto da operação – podem ser consideradas dados pessoais, pois são informações capazes de tornar uma pessoa identificável, definir hábitos comportamentais, de deslocamento, perfil de consumo ou, até mesmo, identificar diretamente uma pessoa, no caso, os usuários dos serviços de telecomunicações, como por exemplo quando há o registros das atividades dos usuários de telefones celulares e das localizações. Tais dados são altamente críticos e devem ser tratados com extremo cuidado por operadoras de redes móveis que, se estiverem na posição de controlador de dados – isto é, àquele que determina a finalidade pela qual o dado será tratado – devem seguir estritamente todos os procedimentos internos já em vigor, inclusive com o devido cuidado quando compartilhar com terceiros, em especial concedendo a devida transparência sobre a forma como os dados transitam por meio da sua estrutura organizacional e seus possíveis impactos. Conceitos Importantes Compreender tais conceitos e tantas possibilidades é fundamental para entender como os serviços de telecomunicações funcionam e como as informações técnicas podem – a depender do contexto analisado e da atividade de tratamento de dados desempenhada – ser consideradas dados pessoais e, ainda, como podem ser mais bem aproveitadas em um cenário público e privado, com ganhos e benefícios extremamente importantes para qualquer nação. CDR –
ANPD Apresenta Novas Considerações sobre o PL de Inteligência Artificial
No dia 24 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou sua segunda análise do Projeto de Lei nº 2338/2023, que trata da regulamentação da Inteligência Artificial (IA) no Brasil. Nesta nova análise, são apresentadas diversas propostas de alterações ao PL, visando destacar atividade da ANPD sobre a regulamentação, com o objetivo de garantir que a futura lei esteja alinhada com os princípios e diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD). A ANPD propõe a criação de um modelo institucional de regulação de sistemas de IA organizado em quatro instâncias complementares com a ANPD como órgão regulador central. Esse modelo prevê uma atuação coordenada entre órgãos do Poder Executivo, reguladores setoriais e a criação de um Conselho Consultivo. Este conselho seguiria o modelo do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD), mas com foco exclusivo na regulamentação da IA no Brasil. É importante destacar que autoridades de países como a França já adotam esse modelo, o que tem contribuído para reduzir a burocracia e agilizar os processos regulatórios. A nota técnica também propõe que a competência para elaborar, gerir, atualizar e implementar a Estratégia Brasileira de Inteligência Artificial (EBIA) seja atribuída ao Poder Executivo, e não à autoridade competente como previsto na redação atual do projeto de lei. Dessa forma, a ANPD contribuiria nesse processo apenas dentro de suas atribuições específicas. Durante audiência pública no Senado, a diretora da ANPD, Miriam Wimmer, defendeu a implementação de uma autoridade central com uma abordagem regulatória mais unificada. O objetivo é fornecer orientações claras e consistentes para todos os setores e partes envolvidas, eliminando possíveis ambiguidades e divergências interpretativas que poderiam causar insegurança jurídica. A ANPD também propõe a criação de um Fórum de Órgãos Reguladores Setoriais para promover a cooperação entre o órgão central e os órgãos setoriais. Em síntese, a proposta da ANPD para a regulamentação da IA no Brasil é um avanço importante, que alinha a legislação futura com os princípios da Lei Geral de Proteção de Dados Pessoais (LGPD). A centralização da regulação, juntamente com a cooperação entre diferentes órgãos, é essencial para garantir uma implementação eficaz e harmoniosa da IA no país. Veja a nota na íntegra: https://www.gov.br/anpd/pt-br/assuntos/noticias/Nota_Tecnica_16ANPDIA.pdf Para mais informações, entre em contato com nossos especialistas.
Publicada a Resolução CD/ANPD nº 15, de 24 de abril de 2024, aprovando o Regulamento de Comunicação de Incidente de Segurança
No dia 26 de abril a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD nº 15/2024, que aprovou o Regulamento para a Comunicação de Incidente de Segurança. O Regulamento tem por objetivo estabelecer os procedimentos para se efetuar a comunicação de incidentes que possam acarretar riscos ou danos relevantes aos titulares de dados. É importante destacar alguns apontamentos quanto à resolução: 1. Prazo de Comunicação a ANPD ou aos Titulares Anteriormente a ANPD recomendava o prazo de comunicação do incidente em até 2 (dois) dias úteis da ciência do fato. De agora em diante, segundo a Resolução, a Comunicação se dará em até 03 (três) dias úteis da ciência do incidente afetou dados pessoais. Apesar de conceder um maior prazo, todos conhecemos a dificuldade em se cumprir com tal prazo, especialmente pela complexidade e variedade de informações necessárias quando do conhecimento de um incidente que envolva dados pessoais e que devem constar em Relatório de Tratamento de Incidente. 2. Informações Complementares Importante observar que o prazo para informações complementares foi de 30 dias corridos para 20 dias úteis, a contar da comunicação preliminar. 3. Categoria de Dados Pessoais Interessante observar as categorias de dados pessoais trazidas pela Resolução como exemplificativa: dados de autenticação em sistemas (credenciais de acesso), dados financeiros (transações), dados pessoais (gênero das categoriais e espécies: simples ou sensíveis), dado protegido por sigilo legal, judicial ou profissional. 4. Clareza na Análise de Risco de um Incidente A ANPD trouxe de forma clara àquilo que deve ser considerado como um incidente com dados pessoais que deve ser comunicado: Sempre que afetar, cumulativamente: · Direitos e liberdades fundamentais, tais como direito à liberdade, discriminação, violação à integridade física, ao direito à imagem, dentre outros. · Dados pessoais sensíveis, dados de vulneráveis como: crianças, de adolescentes ou de idosos, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal, judicial ou profissional ou dados em larga escala. 5. Quem pode comunicar? Aqui não temos grandes novidades e somente o Encarregado de Dados Pessoais, com vínculo contratual, empregatício ou funcional, ou Representante Legal constituído, com poderes de representação junto à ANPD, poderão fazer a comunicação. Tais documentos comprobatórios deverão acompanhar a comunicação do incidente. 6. Do Registro de Incidente O Registro de Incidentes, inclusive daqueles não comunicados, deverão ser mantidos por 05 (cinco) anos pelo Controlador. Para mais informações, consulte nossos especialistas em Privacidade e Proteção de Dados Pessoais.
Desafios Empresariais: Cumprimento de Prazos para Retenção e Descarte Seguro de Dados Pessoais
Empresas enfrentam desafios crescentes em garantir segurança e privacidade de dados. O cumprimento de princípios legais e internos, incluindo retenção e descarte seguro, é crucial, especialmente para multinacionais. Com o avanço da tecnologia e a crescente conscientização e preocupação da Sociedade com a segurança das informações, a privacidade e a proteção dos dados pessoais, as empresas enfrentam um desafio cada vez maior em garantir o cumprimento dos princípios fundamentais de segurança, bem como de privacidade e proteção de dados pessoais. Princípios que vão desde a garantia da confidencialidade, integridade, disponibilidade e autenticidade das informações, permeando também por àqueles elencados pela LGPD, tais como: finalidade, adequação e necessidade. É justamente por meio da prática operacional, dos princípios de segurança da informação e de proteção de dados pessoais, que se extraí o desafio e a necessidade em respeitar os prazos legais de guarda da informação, muitas vezes estabelecidos pelas normas do nosso ordenamento jurídico. Um dos percalços que surge ao longo do processo de consolidação e gestão de um Programa de Governança em Segurança da Informação ou em Privacidade e Proteção de Dados Pessoais passa por: (i) compreensão dos prazos legais de retenção de dados, bem como a definição de prazos internos de guarda – quando não houver imposição legal – e (ii) pelo método de descarte seguro, após o atingimento do prazo legal ou da finalidade estabelecida para o tratamento. Os prazos fixados de forma interna, quando não há imposição legal, podem variar dependendo do tipo de dado e da finalidade para a qual foram coletados, tornando a tarefa em determinar a sua o prazo de retenção ainda mais complexa. Além disso, para empresas multinacionais, isto é, presentes em vários países e jurisdições, o nível de complexidade fica ainda maior, o que dificulta ainda mais o processo de gestão. Um exemplo prático dos desafios enfrentados pelas empresas em relação aos prazos de retenção de dados são os sistemas de CFTV – Circuitos Fechados de Televisão. De acordo com o ordenamento jurídico brasileiro, esta matéria é de competência legislativa dos estados da Federação. E, portanto, os vídeos capturados por câmeras de segurança devem ser mantidos apenas pelo período necessário para atender à finalidade original da sua coleta, bem como o prazo de guarda legal, que pode variar dependendo do Estado em que se encontra a operação. Por exemplo, no Estado do Rio de Janeiro não existem leis estaduais específicas no que regulam o tempo de armazenamento de imagens de câmeras de segurança para estabelecimentos comerciais. Por outro lado, existe a lei 7.209/16, que estabelece aos bancos a preservação das imagens de câmeras de segurança por 2 anos. No Estado da Bahia a lei estadual 9.675/23 estabelece um prazo mínimo de 365 dias para o armazenamento de conteúdo de monitoramento captado por câmeras de vídeo e áudio em estabelecimentos e locais privados. É possível observar, portanto, a dificuldade que as empresas enfrentam em reter e descartar, de acordo com a norma legal, as informações e os dados coletados por meio de câmeras de vigilância e monitoramento, e circuitos fechados de televisão. Nas situações em que não existem prazos legais de retenção de dados e informações, é fundamental que as empresas desenvolvam e implementem uma Norma de Retenção e Descarte Seguro das Informações, bem como desenvolvam a sua Matriz de Temporalidade. Esta matriz consiste em um inventário de dados, informações e/ou documentos, com os devidos prazos de retenção para os diferentes tipos e classificações, levando em consideração fatores como a natureza dos dados, a finalidade da sua coleta e as melhores práticas do setor. Ao estruturar o Processo de Retenção e Descarte Seguro de Informação, as empresas não só buscam garantir que os dados pessoais sejam retidos pelos departamentos de acordo com tempo necessário para cumprir suas finalidades legais ou internas, minimizando riscos associados ao tratamento indevido de dados, por conta de uma eventual retenção excessiva de informações, como também devem almejar a sustentabilidade ambiental e econômica, por meio da melhor compreensão do aproveitamento dos recursos naturais e matéria prima, bem como da otimização dos processos e menor dependência da matéria prima. É justamente por meio de uma matriz bem definida que o processo de descarte seguro de dados ocorrerá, garantindo que as informações sejam eliminadas de forma eficaz e em conformidade com as normas legais ou definições internas. O descarte seguro de informações é igualmente importante para garantir a governança da segurança da informação, da privacidade e da proteção de dados pessoais. Métodos inadequados de descarte podem resultar em vazamentos de dados e exposição indevida de informações, colocando em risco a reputação da empresa e sujeitando-a às sanções legais. Existem diversas técnicas de descarte seguro que as empresas podem adotar, incluindo a destruição física de mídias de armazenamento, como discos rígidos e dispositivos de armazenamento USB, trituradores dos mais variados níveis e complexidades, bem como a utilização de software especializado para classificar as informações e eliminar os dados de sistemas digitais. No entanto, as empresas enfrentam desafios na implementação dessas práticas devido à falta de conhecimento técnico e preocupações com a sustentabilidade ambiental. As práticas ambientais sustentáveis, hoje, devem fazer parte da Norma de Retenção e Descarte Seguro. Portanto, a adequada governança de retenção e descarte seguro é um grande desafio para as empresas que almejam atingir, de forma efetiva, o cumprimento com as normas legais e princípios de segurança da informação, privacidade e proteção de dados pessoais, bem como a sustentabilidade corporativa, no que tange à inserção da organização, cada vez mais, em uma economia circular, em que se busca um novo relacionamento com os recursos naturais e a sua utilização pela sociedade, garantindo o uso e a recuperação inteligente dos recursos. Para mais informações, entre em contato com nossos especialistas.
A Lei das Bets e a Privacidade e Proteção de Dados Pessoais
A recém-sancionada Lei 14.790/23, também conhecida como “Lei das Bets”, estabeleceu critérios e parâmetros normativos para regular o mercado de apostas esportivas no Brasil, bem como alterou as Leis nºs 5.768/1971 e 13.756/2018 e a Medida Provisória nº 2.158-35/2001. A natureza das apostas, especialmente àquelas que processam-se em plataformas online, sendo esportivas ou não, envolve a coleta e o processamento de dados pessoais dos usuários, como detalhes de pagamento, histórico de apostas e preferências esportivas. Dessa forma, do ponto de vista da Privacidade e Proteção de Dados Pessoais, os direitos fundamentais dos titulares de dados, a exemplo da liberdade, intimidade e a privacidade, dispostos na Lei Geral de Proteção de Dados (“LGPD”), devem ser assegurados em face da possibilidade de seus dados serem utilizados de forma indevida, não autorizada ou, até mesmo, em face de possíveis incidentes de segurança. A conformidade com a legislação não apenas protege os direitos dos titulares, como também promove maior confiança e integridade ao mercado de apostas, fatores essenciais para atrair Investimentos e garantir a participação dos consumidores a longo prazo. Assim, as empresas interessadas em se tornar operadores de apostas esportivas devem gerir seus negócios em observância à LGPD. Isso implica, portanto, na adoção de um programa de Governança de Dados Pessoais, a implementação de medidas de segurança dos dados pessoais e adesignação de um Encarregado de Proteção de Dados Pessoais. Nossa equipe multidisciplinar e com experiência neste mercado está pronta para assessorar o desenvolvimento da jornada de sua empresa no âmbito da Privacidade e Proteção de Dados Pessoais. Assessoramos no desenvolvimento de sua jornada de Governança em Dados Pessoais e gerenciamos e monitoramos os processos de gestão em privacidade e proteção de dados, assumindo como DPO AS A SERVICE de sua organização. Para mais informações, entre em contato com nossos especialistas.
Alerta Digital: Lei Exige Som de Câmera em Smartphones para Combater Assédio
A dinâmica evolutiva da tecnologia impacta diretamente a sociedade em diversos aspectos, muitas vezes exigindo uma legislação adequada para mitigar riscos e proteger os cidadãos. Um exemplo recente desse esforço legislativo é o Projeto de Lei 583/2020, que visa a alterar a Lei de Crimes Cibernéticos para exigir que os equipamentos fotográficos digitais, incluindo os dispositivos de smartphones, emitam um som similar ao das câmeras analógicas quando capturam imagens ou vídeos. A proposta, aprovada pela Comissão de Desenvolvimento Econômico da Câmara dos Deputados em 13 de abril de 2024, busca uma regulamentação que possa inibir ações ilícitas, especialmente no que diz respeito à captação não autorizada de imagens com fins predatórios, como o assédio sexual. De acordo com o texto do Projeto de Lei, os dispositivos fotográficos digitais deverão ser equipados com a funcionalidade de som de câmera fotográfica antes de serem comercializados, sendo proibida qualquer alteração ou eliminação dessa característica. Além disso, será necessário estabelecer regulamentos que garantam que esse som possa ser identificado a uma certa distância, assegurando sua eficácia como mecanismo de alerta. A Justificativa que constou registrada para tramitação do Projeto de Lei ressalta a crescente prevalência de smartphones e outros dispositivos digitais equipados com câmeras fotográficas, e como isso facilita a captação não autorizada de imagens de cunho sexual, muitas vezes perpetrada por predadores sexuais. A ausência de um som característico, como era comum nas câmeras analógicas, permite que essas ações ocorram de forma discreta, sem que a vítima tenha conhecimento de que está sendo fotografada. Esse movimento legislativo não é único ao Brasil. Países como Japão e Coreia do Sul já adotaram medidas semelhantes para enfrentar esse problema, exigindo que os dispositivos emitam sons ao capturar imagens. O objetivo é tornar a prática de captura não autorizada de imagens mais difícil e identificável, protegendo a privacidade e a segurança das pessoas. O Projeto de Lei 583/2020 representa, portanto, um esforço para adaptar a legislação brasileira às demandas da era digital, protegendo os cidadãos contra abusos e crimes cibernéticos. Sua aprovação e implementação efetiva certamente contribuirão para um ambiente online mais seguro e ético. Acompanharemos de perto a tramitação desse projeto, pois ele não apenas reflete a evolução da legislação digital, mas também tem o potencial de impactar diretamente a proteção dos direitos individuais no mundo digital. Para mais informações e atualizações sobre esse e outros assuntos relacionados ao direito digital, continue acompanhando nossos canais de comunicação.
Identidade Digital, Novas Formas de Controle e Censura
A digitalização das relações sociais e econômicas transformou profundamente a maneira como interagimos, comunicamos e conduzimos nossas relações e negócios. Transformação essa que carrega consigo desafios significativos, especialmente no que diz respeito à identidade digital das pessoas, frente ao direito fundamental, estabelecido pela Constituição Federal, da privacidade e da proteção dos dados pessoais, bem como a liberdade de expressão. Segundo o Data Privacy Research, em seu projeto “Defendendo o Brasil do tecnoautoritarismo”, o termo tecnoautoritarismo foi criado para “explicar os processos de expansão do poder estatal cujo objetivo é incrementar as capacidades de vigilância e controle sobre a população, mediante violação de direitos individuais ou ampliação importante dos riscos de violação a direitos fundamentais”. Com o expressivo avanço da tecnologia, que proporcionou alterações relevantes em todas as camadas socioeconômicas, há o entendimento consensual de que a estrutura digital atual, que dita a rotina das relações sociais e econômicas, é capaz de permitir um nível de vigilância e monitoramento massificado, por meio de celulares, câmeras e, em especial, através da internet, com o desenvolvimento contínuo de bases de dados orientada por opiniões políticas, hábitos de consumo, hábitos comportamentais, score de crédito e todo e qualquer dado ou informação pessoal que seja capaz de gerar algum conhecimento personalizado sobre os indivíduos que compõem a nossa sociedade atual. Ao rememorar como a vigilância e o monitoramento era executada ao longo dos anos, em outrora, existiam as redes de informantes que, vinculados aos governos, passavam informações de adversários políticos e de grupos sociais. Hoje, os tempos são outros, é impensável pensar neste método, apesar da China recentemente ter tentado criar uma rede de informantes, em que o Governo Chinês ofereceu dinheiro a funcionários do banco central em troca de dados internos, conforme relatório elaborado pelo Senado Norte-Americano, por meio do Comitê de Segurança Nacional e Assuntos Governamentais[1]. O tempo passou, a tecnologia avançou e os métodos de vigilância e monitoramento foram atualizados e se moldaram frente à nova estrutura socioeconômica, baseada em dados coletados a partir da digitalização das relações estabelecidas, o que por si só já é um enorme problema, pois, quanto maior a eficiência na coleta de dados, menos relevante é restringir a quantidade e os incentivos para limitar a coleta de dados pessoais ao mínimo necessário tornam-se menos atrativos[2]. Assim como é impensável pensar em um modelo de vigilância e monitoramento ultrapassado, como são as redes de informantes, também é impensável pensar em privacidade apenas como casa muradas, janelas fechadas, salas com trancas de porta, dentre outros meios para tornar algo privado, tal qual é impossível desvincular a privacidade dos indivíduos do conceito de autodeterminação informativa, que nada mais é do que a capacidade dos cidadãos de controlar os fluxos de dados e informações gerados. Sendo essa, portanto, a base que forma os cinco pilares do eixo central dos Fair Information Practices Principles (FIPPs)[3], que se consolidaram para concretizar àquilo que é necessário para legalizar a utilização de dados pessoais: propósito específico, limitado aos dados necessários, alinhado à expectativa da pessoa, com a garantia da transparência e a não criação de obstáculos para acesso à informação. Nos últimos 05 anos, desde a publicação do Decreto Executivo 10.046, em 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão (CBC) e o Comitê Central de Governança de Dados, muito se discutiu acerca da constitucionalidade do compartilhamento de dados na administração pública federal, por meio do CBC. Outra questão relevante traz à tona a capacidade do Poder Público em gerir tamanha base, isto é, aplicar na prática os princípios trazidos pela Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709 de 2018, em especial àqueles que necessitam ser observados em casos de uso secundário de dados pessoais, isto é, utilização de dados para uma finalidade secundária daquela utilizada no momento da coleta original, justamente pela falta de cultura, conhecimento técnico-operacional em Privacidade e Segurança da Informação e pela pobre sistemática criada no Decreto quanto às salvaguardas das informações, violando frontalmente os princípios e fundamentos da LGPD. Recentemente, em 2022, após diversas denúncias e manifestações sobre a incapacidade do Poder Público em operacionalizar e garantir as questões trazidas pela LGPD, em ação ajuizada pelo Conselho Federal da Ordem dos Advogados do Brasil – CFOAB, o Supremo Tribunal Federal (STF) julgou parcialmente procedente o pedido, decidindo que o compartilhamento de dados pessoais entre órgãos e entidades da administração pública pressupõe a necessidade de propósitos legítimos, específicos e explícitos, assim como deve sempre ser compatível com as finalidades informadas ao titular. O STF trouxe, ainda, em sua decisão, a necessidade de controles rigorosos de acesso aos dados presentes no CBC. Outro fato relevante, e que retrata o processo de expansão estatal com a finalidade de massificar a vigilância e o controle, é o desenvolvimento de um aparato paralelo de inteligência que, a partir de condutas executadas por agentes públicos e softwares tecnológicos, sem a devida transparência e conhecimento da sociedade, houve a: (i) coletar dados de dispositivos eletrônicos, nuvem, apps e redes sociais, (ii) estabelecer conexões entre pessoas e (iii) cruzar dados com outras bases, acarretando em impactos significativos à privacidade e aos dados pessoais daqueles que foram vigiados e monitorados, sem o devido respaldo legal. Mas como alinhar os mecanismos de identificação digital e autenticação aos princípios de privacidade e proteção de dados pessoais? E é justamente nesse ponto que aparece outro fato relevante e que merece comentários: a identificação civil nacional, estabelecida pela Lei 13.444/2017 que, assim como o Cadastro Base do Cidadão, também traz a centralização de dados e informações, desta vez com o objetivo de permitir a fácil identificação do cidadão em ambientes públicos e privados, em especial para simplificar e agilizar a prestação dos serviços públicos e de melhorar o ambiente de negócios e a eficiência da gestão pública. A centralização de base de dados, independente do objetivo, sempre merece grande atenção, ainda mais no contexto brasileiro que já passou diversos casos midiáticos de incidentes e de vazamentos de
TikTok é condenado em R$ 23 Milhões por tratamento ilegal de dados pessoais sensíveis
O Estado do Maranhão, por meio de Ação Civil Pública, proposta pelo INSTITUTO BRASILEIRO DE ESTUDO E DEFESA DAS RELAÇÕES DE CONSUMO, condenou a ByteDance, empresa chinesa dona do aplicativo TikTok, a pagar R$ 23 milhões de reais a título de dano moral coletivo, e R$ 500 reais a título de dano moral individual àqueles que ingressaram na plataforma até junho de 2021, data em que foi atualizada a Política de Dados da organização para coleta automática de dados biométricos (dados sensíveis) dos usuários. Além disto, o mais interessante da decisão é observar que a empresa está obrigada a: Abster-se de coletar e compartilhar dados pessoais biométricos sem o devido consentimento dos titulares; Explicitar aos usuários a forma pela qual o consentimento é obtido, com exposição das janelas, condições, línguas e caixas de diálogo em que são inseridos os termos deste consentimento, além de Implementar DE FORMA DESTACADA, COM TRANSPARÊNCIA E CLAREZA, ferramenta operacional para obter o consentimento do usuário da plataforma, com oportunidade do usuário autorizar ou não a coleta de dados. Fica evidente, diante da decisão, que as organizações precisarão – e muito – melhorar os seus mecanismos de gestão de consentimento, em especial em ambientes de interação digital com titulares de dados, sejam clientes, consumidores ou usuários de plataformas digitais. Conheça nosso serviço de DPO AS A SERVICE Isso porque, ainda por meio da decisão, é possível inferir que frente a uma coleta de dados pessoais sensíveis, neste caso, dados biométricos, o DANO MORAL É PRESUMIDO, pois, no contexto socioeconômico atual, a proteção de dados pessoais é a privacidade é um DIREITO FUNDAMENTAL cada vez MAIS RELEVANTE! Isso dito, a decisão traz ainda a não razoabilidade de se exigir do titular a comprovação do dano moral. Segundo a decisão: A MERA COLETA DE DADOS PESSOAIS SENSÍVEIS SEM AUTORIZAÇÃO CAUSA DANO MORAL. Número do processo: 0816292-73.2020.8.10.0001 Para mais informações, entre em contato com os nossos especialistas.
Vantagens do DPO as a Service
1- Atuação multidisciplinar, time dedicado ao Cliente. Nosso serviço de DPO as a Service dispõe de um squad multidisciplinar dedicado exclusivamente a suas necessidades de proteção de dados. Esse squad é composto por profissionais especializados em diversas áreas, como jurídica, tecnológica, segurança da informação, compliance, entre outras. A interdisciplinariedade contribuí para uma abordagem holística na implementação das medidas de conformidade com a LGPD, o que busca garantir que todas as dimensões do programa de proteção de dados sejam abordadas de forma eficaz e integrada. 2- Conflito de Interesse? Tô fora! A atuação como DPO demanda, antes de tudo, ausência de conflito de interesse. A autonomia na tomada de decisão, bem como a não vinculação a cargos de gestão nos possibilita ir além e nos permite fornecer orientação imparcial e independente, sem influências internas. Isso é fundamental para garantir que as decisões relacionadas à proteção de dados sejam tomadas com total transparência e em conformidade com os melhores interesses da organização e de seus stakeholders. Além disso, a ausência de conflitos de interesse também pode contribuir para a credibilidade e reputação da empresa perante seus clientes e parceiros de negócios. 3- Suporte com SLA definido de acordo com a urgência Um dos benefícios de contratar um DPO as a Service é a possibilidade de contar com suporte especializado integrado a um SLA (Service Level Agreement) definido, de acordo com a urgência de cada demanda. Isso significa que o cliente pode ter a garantia de que suas solicitações serão tratadas de forma rápida e eficiente, com prazos claros e transparentes. Seja para responder a uma consulta de um titular de dados, lidar com um incidente de segurança ou fornecer orientação sobre novas iniciativas de negócios, o cliente pode confiar que o DPO as a Service estará disponível para atender suas necessidades dentro dos prazos acordados. 4- Organização e gestão do programa da LGPD por meio de projetos O DPO as a Service oferece uma abordagem estruturada e organizada para a implementação e gestão do programa de conformidade com a LGPD. Isso é feito por meio de projetos cuidadosamente planejados e executados, cada um focado em áreas específicas de conformidade. Esses projetos podem incluir atividades como avaliação de riscos, elaboração de políticas e procedimentos, realização de treinamentos, revisão de contratos e processos internos, entre outros. Ao adotar uma metodologia baseada em projetos, o cliente pode garantir uma abordagem sistemática e eficaz para alcançar e manter a conformidade com a LGPD, minimizando riscos e otimizando recursos. O PDK atua buscando compreender as oportunidades em um Programa de Governança. É o que chamamos de ciclos de melhoria, isto é, uma visão que integra oportunidades de melhoria e gaps à ações e remediações da atividade como DPO. 5- Expertise Especializada em Proteção de Dados. Com um DPO as a Service, o cliente tem acesso imediato a uma expertise especializada em proteção de dados. Esses profissionais são altamente qualificados e possuem certificações reconhecidas internacionalmente, garantindo um conhecimento abrangente das melhores práticas e regulamentações relacionadas à privacidade e proteção de dados. Eles estão constantemente atualizados sobre as mudanças na legislação e nas tendências do mercado, o que permite uma abordagem proativa na implementação de medidas de conformidade. Além disso, sua vasta experiência em lidar com uma variedade de situações e desafios relacionados à proteção de dados garante que o cliente receba orientação especializada e estratégica para lidar com qualquer questão que surja. Para mais informações, entre em contato com os nossos especialistas em Privacidade e Proteção de Dados Pessoais.