RESUMO: O presente artigo inicia tratando sobre questões gerais da Lei Geral de Proteção de Dados Pessoais, apresentando alguns elementos básicos da lei. Em seguida, realiza-se a contextualização destacando a importância da proteção de dados pessoais aos escritórios de advocacia, que por dever ético já possuem a responsabilidade de manutenção de sigilo sobre as informações que são tratadas em sua rotina. Após, evidencia-se o que a legislação entende por tratamento de dados pessoais, destacando as bases legais para tratamento, também em relação aos dados sensíveis e dados pessoais de crianças e adolescentes. Todo este caminho é percorrido para se chegar ao planejamento de adequação de conformidade à LGPD, passando pela importância de se organizar um Comitê e de envolver todos os colaboradores do escritório como fator indutor de mudança cultural. Após, demonstra-se a importância de se realizar um diagnóstico amplo do ciclo de vida dos dados pessoais dentro do escritório de advocacia, e de se mapear os fatores de risco, que envolvem os equipamentos e sistemas, as políticas e procedimentos e o pessoal para que seja possível, então, elaborar um plano de ação no qual serão definidas as prioridades de adequação e a cotação de investimentos necessários à conformidade. Na conclusão, reforça-se a importância de estar em conformidade à nova cultura de proteção de dados pessoais.

Palavras-chave: Legislação. Proteção de dados pessoais. Escritórios de advocacia. Planejamento.

Sumário: 1. Introdução; 2. Contexto e importância da LGPD para escritórios de advocacia; 3. Conceito de tratamento de dados e bases legais para tratamento, 3.1. O que é tratamento de dados, 3.2. Fundamentos legais para o tratamento de dados; 4. Planejamento de adequação, 4.1. Estruturação de Pessoal, 4.2. Mapear os dados, 4.3. Mapear os fatores de risco, 4.4. Elaboração de um plano de ação; 5. Conclusão.

1. INTRODUÇÃO

Editada em 14 de agosto de 2018 a Lei Geral de Proteção de Dados (LGPD), com forte influência da legislação de proteção de dados da comunidade europeia (GDPR), é uma legislação de interesse nacional e observância obrigatória pela União, Estados, Distrito Federal e Municípios e de alcance extraterritorial, ou seja, mesmo fora do território brasileiro pode gerar efeitos. Esta lei traz um impacto na sociedade como poucas normas antes trouxeram, criando uma nova abordagem sistemática para o uso de dados pessoais no Brasil, seja online ou offline, em meios físicos ou digitais, em todos os setores da economia e impulsionando uma mudança cultural em relação ao tema da proteção de dados pessoais no Brasil.

Seus objetivos principais são a transparência em relação ao tratamento dos dados pessoais, proteção dos direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. E seus princípios fundamentais, estampados na legislação, passam pelos princípios da boa-fé, que deve reger todas as relações jurídicas, da finalidade, no sentido de que o tratamento dos dados deverá ter propósitos legítimos, específicos, explícitos e informados ao titular, limitando-se o mínimo necessário para a realização de sua finalidade, da transparência que deve garantir ao titular informações claras, precisas e de fácil acesso sobre o tratamento realizado e sobre o agente de tratamento que o realizou e da responsabilização e prestação de contas pelos agentes de tratamento da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, dentre outros princípios também muito relevantes.

A Lei não pretende proibir o tratamento de dados, mas sim regulamentar de forma rigorosa a proteção de dados pessoais evitando, assim, o uso, o compartilhamento e a comercialização de forma abusiva, sob pena incorrer em sanções administrativas diversas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados, observados, sempre, os princípios do contraditório e da ampla defesa. Contudo, convém ressaltar que as sanções administrativas não afastam a possibilidade de responsabilização em relação a incidentes envolvendo dados pessoais nos âmbitos cível, penal, trabalhista, mas certamente a pior punição possível está relacionada ao dano à imagem e à reputação da empresa ou do profissional. E aqui arriscase a afirmar que o principal fiscal será o próprio titular!

Dentre os principais impactos práticos que se verificam pela nova legislação estão a consolidação de direitos e garantias para os titulares dos dados pessoais que poderão obter do controlador a qualquer momento e mediante requisição diversas atividades relacionadas aos seus dados, tal como confirmação de existência, acesso, correção, portabilidade, revogação de consentimento, etc.; o surgimento de novas obrigações aos agentes de tratamento de dados em atendimento aos direitos e deveres expressos na legislação; e a formalização de uma nova função profissional que surge pela figura do encarregado de proteção de dados ou DPO (Data Protection Officer) como é chamado na legislação estrangeira, que basicamente possui a responsabilidade de incentivar e zelar pelo cumprimento da lei.

A LGPD traz em seu artigo 5º uma série de definições legais cujo conhecimento e compreensão tornam-se a partir de agora imprescindíveis, tais como a definição do que é “dado pessoal”, “dado pessoal sensível”, “tratamento de dados”, “agentes de tratamento”, “titular de dados” são exemplos desses conceitos.

A lei coloca em evidência a necessidade de seguir várias obrigações legais, que antes eram apenas boas práticas no trato da informação e daí surgem as principais vantagem de se estar em conformidade com a legislação, passando pela redução do risco de sua atividade e das possibilidades de vazamento de dados pessoais, com a definição clara de quem serão os responsáveis nestes casos, e principalmente pela transmissão de maior confiança e credibilidade aos clientes, o que gera uma vantagem competitiva no atual cenário econômico, consolidando posição no mercado e abrindo novas oportunidades de negócios para aqueles que estiverem adaptados.

2. CONTEXTO E IMPORTÂNCIA DA LEI GERAL DE PROTEÇÃO DE DADOS PARA ESCRITÓRIOS DE ADVOCACIA

Os dados são ativos muito importantes nos escritórios de advocacia. Todo dado tratado se transforma em informação. E a análise correta destas informações, além de ser uma ferramenta de negócios poderosíssima, pode gerar diversas novas formas de atuação para os escritórios de advocacia auxiliando na construção do negócio do próprio cliente. Um escritório sério que preza pela sua reputação no mercado, se preocupa com a sua base de dados. E isto porque o dano decorrente da exposição pública de informações confiadas ao advogado, que em sua essência já possuem o caráter de sigilosidade como obrigação ética, é incalculável podendo acarretar prejuízos enormes para o escritório, não só financeiros, mas afetando irreversivelmente a credibilidade e reputação do profissional. Nesse contexto resta evidente a fundamental importância da Lei Geral de Proteção de Dados (LGPD) para os escritórios de advocacia.

A lei dita normas sobre tratamento de dados pessoais apenas de pessoas físicas, porém, possui uma abrangência ampla e atinge diretamente todos os advogados, independentemente da área em que atuam e do porte do escritório. A proteção de dados pessoais, sob a guarida da LGPD, vai envolver as relações entre os parceiros de negócios, clientes e colaboradores.

É evidente que toda mudança traz resistência e as medidas que um escritório de advocacia deve adotar para estar em conformidade com a Lei Geral de Proteção de Dados Pessoais não são tão simples e, a depender da complexidade da estrutura do escritório, o processo pode ser realmente trabalhoso e intricado, mas o resultado a longo prazo certamente vai ser positivamente surpreendente. Cada escritório terá seus próprios desafios. Não existe um roteiro pronto a ser seguido. A trilha da conformidade é um caminho continuado, é um processo a ser seguido e sempre revisitado e não se encerrará do dia para noite. Ademais, tão importante quanto estar em conformidade com a legislação é se manter em conformidade, e por isso se diz ser um programa a ser implementado dentro da organização.

Algumas premissas devem ser consideradas ao longo da fase de planejamento de adequação à lei, dentre elas, talvez hoje o elemento mais importante, deva ser o foco na mudança de cultura. A lei preceitua a necessidade de se construir uma cultura de valoração dos dados pessoais. Está-se diante de um novo paradigma. A conscientização sobre a importância e necessidade de se proteger tais dados exigirá uma mudança cultural e comportamental, evidenciando a necessidade de abandonar velhos hábitos e adquirir outros novos. Cultura é a totalidade de padrões aprendidos e desenvolvidos pelo ser humano – ou seja, não é algo inerente ou imutável, mas sim algo que pode ser modificado, segundo conceito da antropologia. E para que seja possível modificar a cultura organizacional é necessário, de forma básica, idealizar a nova cultura, compartilhar esta visão com toda a equipe e começar a implementação da mudança de forma efetiva.

Será importante ao profissional investir nos canais de comunicação com o público para manter um diálogo aberto e possibilitar o gerenciamento das demandas do titular de dados, principalmente ao se considerar que dentre as garantias do titular expressamente previstas na legislação está o direito de ter acesso aos dados, exigir correções e revogar o consentimento de uso. E nesse sentido, também para esse fim de comunicação com o público, a utilização da tecnologia deve ser maximizada como fator de indução de mudanças.

Outra premissa que deverá ser observada pelos escritórios é o foco no risco do negócio, cabendo aos “agentes de tratamento” a realização de um inventário sobre o ciclo de vida dos dados pessoais desde a sua entrada no escritório até o seu descarte, elaborando um inventário detalhado de como a lei impacta no seu dia a dia. Entender os riscos da quebra de privacidade da atividade do escritório vai auxiliar na definição de prioridades e no discurso para conscientização e engajamento de todos os colaboradores.

3. CONCEITO DE TRATAMENTO DE DADOS E BASES LEGAIS PARA TRATAMENTO

3.1 O QUE É TRATAMENTO DE DADOS

A legislação [BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasilía, DF:Presidência da República [2019].  define de forma bem genérica o conceito de tratamento em seu art. 5º, inciso X abrangendo, assim, as diversas possibilidades de ação em relação aos dados pessoais. “Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Assim, como exemplo, toda atividade que envolva a coleta de dados, desde o início do atendimento do cliente com a obtenção de dados pessoais para cadastro, elaboração de contrato ou de procuração, passando por todo o ciclo de vida destes dados dentro do escritório até o fim do contrato de prestação de serviço advocatícios deve ser objeto de conformidade com a legislação. Também os dados pessoais coletados de colaboradores, parceiros e fornecedores que sejam objeto de utilização, acesso, reprodução ou compartilhamento devem ser objeto de conformidade com a legislação.

Importante destacar que o descarte, o armazenamento, o arquivamento e a guarda de dados pessoais, ainda que em arquivo morto, seja em meio físico ou digital, também se incluem no conceito de tratamento.

O término do tratamento de dados pessoais ocorrerá quando a finalidade for alcançada ou quando verificado que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; quando houver o fim do período de tratamento; quando houver a comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou ainda mediante determinação da autoridade nacional, nos casos de violação legal.

Após o término do tratamento dos dados estes deverão, em regra, ser eliminados autorizada a conservação para o cumprimento de obrigação legal ou regulatória pelo controlador; o estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; a transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos em Lei; ou para uso exclusivo pelo controlador, vedado seu acesso por terceiro, e desde que os dados sejam anonimizados.

Portanto, pelo conceito amplo da lei, toda ação realizada com os dados pessoais, tratados de maneira provisória ou permanente, estão protegidos pela LGPD.

3.2. FUNDAMENTOS LEGAIS PARA O TRATAMENTO DE DADOS

De acordo com a lei, o tratamento de dados pessoais somente poderá ser realizado com base nas seguintes 10 hipóteses legais:

• mediante o fornecimento de consentimento pelo titular, que deverá ser fornecido por escrito, e neste caso, deverá constar de cláusula destacada das demais cláusulas contratuais, ou por outro meio que demonstre a manifestação de vontade do titular;
• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
• para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, e nesse caso somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam ao apoio e promoção de atividades do controlador; e a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais; ou
• para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Nos casos de amparo do tratamento de dados pessoais na base legal do consentimento, se o escritório ou o profissional, na posição de controlador, desejar comunicar ou compartilhar os dados pessoais com outros advogados, como por exemplo os advogados credenciados (se na posição de controladores), deverão obter consentimento específico do titular para esse fim.

Quanto ao consentimento, mister ressaltar que deverá referir-se a finalidades determinadas, sendo vedado o tratamento de dados pessoais mediante vício de consentimento e consideradas nulas as autorizações genéricas, e nulo o consentimento quando as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca, ou se houver mudanças da finalidade para o tratamento de dados pessoais que não compatíveis com o consentimento original.

Contudo, a base legal do consentimento dentre as outras 9 é a mais frágil, pois o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, razão pela qual orienta-se a sua utilização de forma excepcional e somente após descartadas as demais possibilidades de embasamento nas outras hipóteses disponíveis.

Destaque-se, ainda, que quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular deverá ser informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os seus direitos, sendo aconselhável a inclusão de cláusula específica sobre este ponto nos contratos que vierem a ser firmados pelo escritório ou profissional.

3.3. FUNDAMENTOS LEGAIS PARA O TRATAMENTO DE DADOS SENSÍVEIS

Conforme definição legal são considerados dados sensíveis os dados relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. E conforme definição legal, por merecerem uma proteção especial, aqui a situação se inverte, devendo ser o consentimento a principal base legal de proteção do tratamento, que deverá de forma específica e destacada e para finalidades específicas. O tratamento destes dados somente será possível sem o consentimento e em determinadas situações específicas e somente quando for imprescindível, conforme definido no art. 11 da LGPD:

• cumprimento de obrigação legal ou regulatória pelo controlador;
• tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
• realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
• exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral,
• proteção da vida ou da incolumidade física do titular ou de terceiro;
• tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
• garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Em relação aos dados de crianças e adolescentes o tratamento poderá se dar somente em seu melhor interesse. E quando os dados pessoais tratados forem de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, salvo quando forem utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o referido consentimento. A finalidade do tratamento sem o consentimento é justamente obter esse consentimento. É um fim em si mesmo.

Especificamente nesses casos as informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

4. PLANEJAMENTO DE ADEQUAÇÃO

Planejamento consiste na tomada antecipada de decisões. Trata-se de decidir agora o que fazer antes que ocorra a ação necessária. Não se trata de previsão das decisões que serão tomadas no futuro, mas da tomada de decisões que produzirão efeitos e consequências futuras [CHIAVENATO, Idalberto. Gestão de Pessoas e o Novo Papel dos Recursos Humanos nas Organizações. Rio de Janeiro: Elsevier, 2004.].

O planejamento tem como objetivo prever e minimizar os fatores que podem inibir o resultado e prever e potencializar os elementos facilitadores durante o processo, garantindo assim que a tomada de decisão seja mais assertiva. É o projeto básico no qual se definem os objetivos e traçam se as metas de como atingi-los.

Para entrar em conformidade são necessários alguns passos iniciais, conforme preceitua a doutrina:

(…) para iniciar a implementação dos requisitos de conformidade à LGPD, o primeiro passo é a realização de um levantamento. Ou seja, deve-se fazer uma análise de diagnóstico para identificar como a instituição está no tocante aos indicadores de conformidade e o que falta para atender aos controles exigidos. Para tanto, a primeira atividade é fazer o inventário dos dados pessoais (quais são e onde estão). Depois, deve-se montar a matriz de tratamento dos dados pessoais (quais os tipos de tratamento e para que finalidades). Em seguida, como está sendo feito o controle de gestão de consentimentos. Com este panorama, é desenvolvido o mapa de risco e elaborado o plano de ação, que permite fazer a cotação dos investimentos necessários às conformidades, implementadas, em geral, em quatro níveis: no nível técnico (ferramentas), documental (atualizar normas, políticas, contratos), procedimental (adequar a governança e a gestão dos dados pessoais) e cultural (realizar treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes) [3 PINHEIRO, Patricia Peck. Proteção de Dados Pessoais: Comentarios a Lei n. 13.709/2018 (LGPD). 2ª Ed. São Paulo: Saraiva Educação, 2020.].

Em um escritório de advocacia, independentemente do tamanho que tenha, o primeiro passo para planejar um programa de implementação de adequação à lei geral de proteção de dados é envolver todos os colaboradores.

4.1. ESTRUTURAÇÃO DO PESSOAL

4.1.1. Criar um Comitê de Crise e Definir as Atividades de Cada Membro

O primeiro passo é compor um comitê com pessoas responsáveis que tenham competência para adotar medidas operacionais, sistêmicas, estratégicas e jurídicas na maior brevidade possível. Nesta equipe é fundamental que um dos membros tenha poder decisório e acesso a todos os níveis hierárquicos dentro do escritório. A equipe deve ser composta por pessoas com conhecimentos multidisciplinares que envolvam a parte jurídica, conhecimentos em tecnologia da informação e segurança da informação. Além de familiaridade com questões relativas à proteção de dados, reputação digital e compliance. É necessário definir dentro deste comitê a responsabilidade de cada membro em relação condução do programa de adequação.

4.1.2. Nomear um Encarregado de Proteção de Dados (EPD)

Considerando que a LGDP determina de forma incondicionada a necessidade de indicação por todas as empresas da figura do Encarregado de Proteção de Dados, ou DPO, cujas informações devem ser divulgadas publicamente, com clareza e objetividade no site do controlador, é mister que seja indicada uma pessoa pelo escritório que tenha condições de exercer tal função, devendo ter habilidades para interagir entre diferentes áreas. Por definição legal, encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Esta função, em razão da ausência de maiores definições por parte da Autoridade Nacional de Proteção de Dados (ainda não instituída formalmente), pode ser exercida por uma pessoa destacada desta mesma equipe (pessoa física) ou por um prestador de serviço externo (pessoa jurídica). Em linhas gerais, o encarregado será a pessoa dentro da empresa responsável por zelar pela aplicação da lei e disseminar boas práticas em relação ao tratamento de dados.

De acordo com a LGPD (art. 41, § 2º), esse profissional será responsável por:

• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Não há na legislação a exigência de que o encarregado seja um bacharel em Direito ou detentor de conhecimento jurídico-regulatório. Contudo, esta função deve ser ocupada por quem tenha qualificação suficiente de forma a garantir que o escritório consiga entrar em conformidade com a lei.

4.1.3 Colaboradores

Além do encarregado de proteção de dados, o escritório de advocacia preparado para LGPD deve contar com a colaboração de toda a equipe que deve ser capacitada e alinhada aos conceitos legais. E isto porque nem o comitê, nem o encarregado sozinho, são capazes de implementar um plano efetivo de conformidade à LGPD, considerando que o negócio jurídico envolve muitas nuances.

De nada adianta estruturar toda a atividade de adequação à lei se os demais profissionais envolvidos no dia a dia do escritório não sabem como agir e reagir diante dela. Por esta razão é tão relevante que os responsáveis pelo programa de adequação à LGPD trabalhem no sentido de capacitar os demais colaboradores do escritório.

Algumas opções são os treinamentos de fácil compreensão sobre a lei, além da realização de cursos com conteúdo direcionado para cada área do escritório, tal como os recursos humanos, financeiro, administrativo e marketing.

A capacitação deve ser mais completa para os profissionais que lidam diariamente com as carteiras de clientes e processos onde haja maior interface com os dados pessoais.

Uma dica interessante, que visa documentar a capacitação dos colaboradores é a realização de testes de conhecimento antes e após os cursos realizados, medindo, assim, a evolução do conhecimento aplicado.

4.2. MAPEAR OS DADOS

O próximo passo no planejamento de adequação à Lei Geral de Proteção de Dados é o diagnóstico dos dados. Inicialmente deve-se visualizar onde e como ocorre a coleta e o uso de dados pessoais, ou seja, qual é o ciclo dos dados dentro do escritório. Entender, por exemplo, como os dados circulam, quem lida com eles e para onde são encaminhados. Este é o momento de avaliação inicial, em que se deve efetuar o levantamento e coleta de material prévio, tal como amostras dos contratos com clientes, colaboradores fornecedores, etc. Este é o momento de se conhecer qual a natureza dos dados, qual a finalidade dos dados tratados, qual a base legal do processamento, qual a sua forma de coleta, qual a sua forma de armazenamento e qual dado pode ser descartado, etc. E aqui se inicia a composição da tabela de prazos prescricionais para armazenamento dos documentos. Deve-se verificar nesse momento qual a importância e necessidade de se manter certos documentos em meio físico ou em formato digital.

Em regra, como exemplo, em um escritório de advocacia os dados pessoais circulam por meio de contratos; fichas cadastrais; e-mails; boletos de pagamento; nos processos; formulários; arquivos de mídia. As pessoas que tratam esses dados são estagiários, assistentes, recepcionistas, colaboradores, advogados, credenciados, peritos, prestadores de serviços. Os tipos de tratamentos de dados realizados são o envio de mensagens; arquivamento de conteúdos; anexação de documentos nos sistemas; consulta de dados; emissão de relatórios; cópias em dispositivos. Os dados pessoais ficam em contas pessoais de e-mail; sistemas especializados; bases de dados na nuvem; servidores locais; discos rígidos de desktops e notebooks; pendrives, CDs e DVDs; Backups.

Cumpre relembrar que a lei define a existência de dados considerados sensíveis, que podem gerar danos imediatos em casos de incidentes de segurança. Estes dados requerem cuidados especiais e só devem ser solicitados para finalidades específicas. Também o tratamento de dados de crianças e adolescente deve ser alvo de atenção especial, pois requer cuidados adicionais e só podem ser tratados com consentimento específico do responsável.

4.3. MAPEAR OS FATORES DE RISCO

Depois de compreender a lógica de circulação dos dados pelo escritório, chega a hora de mapear os riscos. Nesse ponto a noção de risco está diretamente ligada às chances de uma informação vazar, de ser conhecida por quem não deveria, serem modificados em sua integridade, ou seja, sofrerem modificação indevida de seu conteúdo, ou ainda sofrerem abalo em sua disponibilidade, podendo ser excluídos ou encriptados – como faz o ransomware. Incidentes de dados pessoais são uma espécie de Incidentes de Segurança da Informação. A perda da Confidencialidade, Integridade e Disponibilidade pode ser causada por fatores humanos ou não, acidentais ou não. Neste momento deve-se repensar os processos de dentro para fora do escritório, propondo ajustes nas falhas e riscos internos e na relação do escritório com os demais parceiros de negócio, fornecedores e interessados. Com base neste mapeamento de riscos será possível efetuar a cotação dos investimentos necessários à conformidade. Existem vários fatores de riscos num escritório, mas geralmente se delimitam em torno de quatro pontos principais: (i) equipamentos e sistemas; (ii) políticas e procedimentos; (iii) pessoas.

4.3.1. Equipamentos e Sistemas

Neste momento é oportuno verificar se a rede, computadores e demais equipamentos estão protegidos adequadamente com firewall, armazenamento em nuvem, backup automático, a atualização de sistemas, manutenção de equipamentos, e outros dispositivos de segurança. Trabalhando em conjunto com o profissional de tecnologia da informação, o gestor do escritório deverá avaliar a sua infraestrutura de equipamentos e sistemas, a fim de identificar a complexidade do seu ambiente tecnológico e verificar possíveis vulnerabilidades. Com base nestes elementos poder-se-á estabelecer uma política de segurança de tecnologia efetiva, que variará de acordo como nível de segurança exigido por cada tipo de escritório, revisando política atual em contraste com as normas da Lei Geral de Proteção de Dados Pessoais. Para este ponto é recomendável a contratação de profissional especializado em tecnologia da informação e segurança da informação, que poderá sugerir o nível de segurança adequado.

4.3.2. Políticas e Procedimentos

Uma das exigências mais importantes da Lei Geral de Proteção de Dados é a exigência de manutenção de registros escritos e procedimentos claros. Nesse aspecto é fundamental o entendimento das políticas e procedimentos internos que são adotados pelo escritório visando definir novas regras em conformidade com a LGPD. E aqui fica o alerta de que tudo deverá ser documentado, desde a orientação mais simples ao colaborador sobre organização de mesa e a geração e utilização de senhas, até a modo sobre como agir em caso de constatação de algum incidente de vazamento de dados pessoais. Deve-se coletar também neste momento, por exemplo, as informações sobre como tem sido as orientações repassadas às recepcionistas sobre como se portar ao receber determinada documentação, como devem ser registradas as informações de um novo prospect ou cliente e como vem sendo eliminados os documentos impressos.

Com base nesta verificação será possível diagnosticar e prescrever como deverão ser ajustadas as regras relacionadas às políticas e procedimentos do escritório.

Em especial, quando o escritório efetuar o tratamento de dados sensíveis e de crianças e adolescentes, deverá formalizar seus próprios termos de procedimentos para obter consentimento para uso de tais dados pessoais, sejam nos contratos ou nos instrumentos de procuração, relembrando aqui que, em regra, se houver o compartilhamento de tais com outros controladores, como pode ser o caso de advogados credenciados, deverá haver registro expresso desta situação, inclusive quanto a previsão de descarte após o cumprimento da finalidade específica.

O mais importante é identificar as várias situações em que será necessário a obtenção de consentimento específico ou a necessidade de inclusão de cláusula especial dos contratos e instrumentos de procuração para que sejam adotadas as medidas necessárias.

4.3.3. Pessoas

Via de regra, as pessoas são os elos mais frágeis de uma cadeia de segurança a melhor forma de lidar com esta questão é a capacitação. E a capacitação deve abranger desde as informações mais básicas até os elementos mais complexos sobre a conformidade com a Lei Geral de Proteção de Dados. Além disso, as pessoas devem ser sistematicamente avaliadas. A VOLUME 5 199 legislação traz várias exigências sobre este tema, valorizando a adoção de medidas neste sentido, inclusive como critério atenuante de penalidade. A lei preceitua a necessidade de se construir uma cultura de valoração dos dados pessoais!

5.ELABORAÇÃO DE UM PLANO DE AÇÃO

Os dados todos coletados durante a fase de diagnóstico devem ser todos registrados, conforme metodologia de data mapping definida pela lei, devendo manter-se tal registro até a sua exclusão em toda e qualquer atividade de tratamento de dados pessoais, indicando (i) quais dados serão coletados, (ii) a base legal que autoriza seu uso, (iii) as suas finalidades, (iv) o tempo de retenção, (v) as práticas de segurança de informação implementadas no armazenamento, e (vi) com quem os dados podem ser eventualmente compartilhados. Ou seja, o trabalho consiste em detalhar, organizar e manter registros dessas operações. Com base no diagnóstico efetuado até então deve-se agora estruturar o plano de ação. Este plano permitirá a priorização das medidas e a cotação de investimentos necessários à conformidade. Este plano deverá contemplar também a gestão do compliance de fornecedores e parceiros de negócios, bem como a gestão de crise em caso de vazamento de dados; deverá prever a revisão dos mecanismos adotados pelo escritório sobre a coleta de dados pessoais e sobre a obtenção de consentimento para tratamento de dados sensíveis e de crianças e adolescentes. Agora será hora de revisar o tratamento de dados, a obtenção de consentimento, as políticas de uso e privacidade. É importante que o plano de ação contenha cronograma com fases, metas e prazos bem definidos. E o mais importante de tudo é manter-se a avaliação sistemática do programa em prol da cultura de proteção de dados pessoais.

6. CONCLUSÃO

Grande parte das empresas de pequeno e médio porte relatam terem sofrido em 2019 ao menos 1 incidente de vazamento de dados, sejam eles relacionados ao furto ou roubo de dispositivos móveis, sejam relacionados aos ataques às redes ou ainda relacionados a simples remessa de e-mail contendo dados pessoais de clientes para o destinatário errado. Pesquisas demonstram, ainda, que incidentes de segurança muitas vezes partem de pessoas internas à própria organização.

Em recente pesquisa realizada em 2020 pela CISCO com mais de 2800 profissionais de segurança em organizações de vários tamanhos em 13 países obteve-se o relato de que 70% dos entrevistados perceberam benefícios empresariais como resultado dos investimentos em privacidade de dados, em especial em relação a maior confiabilidade do cliente. 82% dos entrevistados entendem que Certificações de Privacidade de dados pessoais estão se tornando um fator importante no momento da escolha de um fornecedor de produto ou serviço. Por fim, destaca-se que, dentre os entrevistados, verificou-se que em média a cada um dólar investido obteve-se o retorno de 2.7 dólares na operação.

Esta nova era de proteção de dados pessoais é permanente e o único caminho possível é o da adequação à Lei Geral de Proteção de Dados. Aqueles que perceberem que estar em conformidade com a legislação de proteção de dados pessoais é mais do que simplesmente a imposição de novas obrigações ao escritório, compreendendo a importância da proteção dos dados pessoais, estarão à frente da concorrência e terão a possibilidade os novos nichos de mercado que estão surgindo em decorrência desta nova era de cultura de proteção de dados pessoais advindos da edição da LGPD.

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasilía, DF:Presidência da República [2019].

CHIAVENATO, Idalberto. Gestão de Pessoas e o Novo Papel dos Recursos Humanos nas Organizações. Rio de Janeiro: Elsevier, 2004.

PINHEIRO, Patricia Peck. Proteção de Dados Pessoais: Comentários a Lei n. 13.709/2018 (LGPD). 2ª Ed. São Paulo: Saraiva Educação, 2020.

 

Autoras:

Patrícia Gonçalves dos Santos Advogada, pós-graduada em Estado Democrático de Direito pela Fempar, pós-graduanda em Direito Penal e Direito Processual Penal pela LFG. Membro da Comissão de Inovação e Gestão da OAB/PR.

Rafaela Vialle Strobel Dantas Advogada. MBA em Direito da Economia e da Empresa pela FGV/RJ. Especialização em Direito Administrativo pela UNICURITIBA. Liderança integral pelo Integral Leadership Program – ILP – FAE/NOVA School of Business and Economics de Lisboa. Tributação de Negócios da Economia Digital, pela FGV/SP. Membro da Comissão de Inovação e Gestão da OAB/PR. rafaela@strobeldantas.adv.br

 

Publicado em https://www.oabpr.org.br/wp-content/uploads/2021/10/e-book-direto-e-inovacao-vol-5.pdf

 

Visando contribuir com a Autoridade Nacional de Proteção de Dados na Tomada de Subsídios nº 1/2021, para regulamentação da Lei Geral de Proteção de Dados em relação à microempresas e empresas de pequeno porte, iniciativas empresariais de caráter incremental ou disruptivo, startups ou empresa de inovação e pessoas físicas que tratam dados pessoais com fins econômicos, em fevereiro de 2021 participamos do trabalho de pesquisa organizado pela Comissão e Inovação e Gestão da OAB/PR, apresentando contribuições que foram levadas pela Presidência à Autoridade Nacional de Proteção de Dados (1).

Dentre as perguntas que a ANPD buscava resposta estavam algumas relacionadas à experiência internacional aplicável a estes agentes de tratamento, tal como descritos no art. 55-J, XVIII, e sobre como a União Europeia tem atuado para que eles estejam em conformidade com o General Data Protection Regulation (GDPR).

Nos apontamentos que efetuamos na oportunidade iniciamos pela reflexão de que o GDPR apesar de ter entrado em vigor somente a partir de 2016, com aplicação a partir de 2018, traduz matéria regulamentada há longa data dentro da União Europeia. Em regra, o Parlamento e o Conselho Europeu fazem uso de Diretivas para exigir que os Estados-membros alcancem determinados resultados, deixando às instâncias nacionais a competência quanto à forma e aos meios. Para que a Diretiva produza efeitos a nível nacional, os Estados-membros devem editar uma Lei para sua transposição. A transposição nacional é obrigatória e caso um país não a realize a Comissão poderá iniciar um processo por infração junto ao Tribunal de Justiça da União Europeia.

E foi assim que o tema da proteção de dados foi tratado na comunidade Europeia desde 1995. A Diretiva 1995/46 foi a primeira a tratar sobre o direito à proteção de dados na União Europeia. Com 72 “considerandos” e 34 artigos determinava que os Estados-membros editassem leis nacionais sobre a proteção de dados para assegurar a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

A Diretiva vigorou por mais de 20 anos quando, então, em 2016, foi revogada pelo GDPR, muito em razão das mudanças tecnológicas ocorridas uma vez que foi editada em um momento ainda incipiente da internet. Nos termos do Considerando 9º do GDPR, os princípios da Diretiva continuam valendo, mas o GPPR traz novos conceitos e adapta a legislação às novas tecnologias, bem como harmoniza a legislação sobre proteção de dados nos Estados-membros.

O GDPR, assim como a LGPD, não traz em seu texto o conceito de microempresa e empresa de pequeno porte, mas a Comunidade Europeia define em outros normativos parâmetros para classificação das empresas como microempresas, empresas de pequeno porte e médias empresas . E da mesma forma que a LGPD, o GDPR não isenta essas empresas de cumprir com as suas obrigações, mas permite que as suas características peculiares sejam observadas no momento da aplicação das regras sobre privacidade e proteção de dados.

Como regra as ME e EPP são obrigadas a garantir aos seus titulares de dados os direitos básicos listados no GDPR; isso implica que as ME e EPP devem garantir que existam sistemas e processos implementados para que esses direitos sejam cumpridos dentro do prazo legal estabelecido. Uma vez mapeados os dados tratados, até mesmo as ME e EPP são obrigadas pelo GDPR a avaliar quais tipos de processamento de dados podem resultar em um alto risco para os indivíduos.

Porém, é incentivado que as instituições, os órgãos da União, os Estados-Membros e as suas autoridades de controle levem em consideração as necessidades específicas das ME e EPP no âmbito de aplicação do GDPR. Em alguns casos é permitida a flexibilização de medidas específicas, conforme as necessidades das ME e EPP, dentre elas:

a) Códigos de Conduta: No considerando 98 e no art. 40, o GPDR determina que os Estados-membros, as autoridades de controle, o Comitê, a Comissão, as associações ou entidades representantes de categorias de controladores e operadores deverão elaborar Códigos de Conduta com o objetivo de facilitar a sua aplicação efetiva. Esses códigos devem levar em conta as características do tratamento por setor e as necessidades específicas das micro, pequenas e médias empresas.

b) Execução de competências da Comissão: Os Estados-membros devem tomar medidas de direito interno necessárias para que sejam executados os atos juridicamente vinculativos da União Europeia. A Comissão detém a competência para estabelecer condições uniformes de execução desses atos. O Considerando 167 do GDPR prevê que para assegurar condições uniformes para sua execução a Comissão deverá ponderar medidas específicas para as micro, pequenas e médias empresas.

c) Emissão de Certificações: O art. 42, do GPDR determina que serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas nos procedimentos de certificação em matéria de proteção de dados, para efeitos de comprovação da conformidade das operações ao Regulamento.

d) Registro de atividades: No Considerando 13 e no art. 30, 5º, do GDPR, é prevista uma derrogação para as organizações com menos de 250 funcionários relativamente à conservação do registro de atividades de tratamento de dados. Ou seja, empresas com menos de 250 funcionários não têm que manter registros de suas atividades de processamento de dados pessoais, a menos que o processamento seja uma ocorrência/atividade regular que represente ameaça potencial aos direitos e liberdades dos indivíduos ou inclua dados confidenciais ou registros criminais. Importante salientar que essa é a única hipótese do GDPR que fornece isenção com base em critério quantitativo.

e) Nomeação de encarregado: Em relação à nomeação do encarregado de proteção de dados, também chamado de DPO, as ME e EPP seguem a mesma regra das demais, prevista no art. 37, I, do GDPR.

No caso das ME e EPP sempre haverá a obrigatoriedade de nomear um DPO ou encarregado quando o tratamento e dados exigirem um controle regular e sistemático que possa representar ameaça aos direitos e liberdades do indivíduo e quando o processamento for seu principal negócio, realizado em grande escala.

Há inclusive recomendação específica para nomeação de encarregado sempre que (i) se processe dados pessoais para direcionar publicidade, por meio de motores de busca com base no comportamento online de indivíduos e quando (ii) se processe dados relacionados à genética e saúde para hospitais.

f) Aplicação de multas: Em relação às multas, o GDPR, no art. 83, 4º e 5º, prevê limites máximos de 20 milhões de euros ou 4% do volume de negócios global. Porém, os valores das multas poderão variar conforme a legislação nacional. Na Lei portuguesa (Lei n. 59/2019), por exemplo, existem valores mínimos previstos. Segundo o art. 52, em caso de infração grave a multa mínima é de 1000 euros e de infrações muito graves 2000 euros para as PME. A fixação do valor caberá à CNPD que tem em conta, entre outros critérios, o volume de negócios, o balanço anual e a dimensão (nº de trabalhadores e natureza dos serviços prestados) da empresa, assim como o caráter continuado da infração.

Consulta Pública da minuta de Resolução.
Agora em 30 de agosto de 2021 a Autoridade Nacional de Proteção de Dados – ANPD publicou Consulta Pública sobre a minuta de Resolução que regulamenta a aplicação da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, nos termos do art. 55-J, inciso XVIII da lei, editada com base nos subsídios colhidos na Tomada de Subsídios nº 1/2021. O tema estará aberto a debates pelos próximos 30 dias.

A minuta de Resolução proposta reconhece que a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento destes agentes e, consequentemente, do desenvolvimento do país, e portanto, propõe equilibrar a flexibilização da adaptação deste grupo à LGPD de acordo com o porte do agente de tratamento ao mesmo tempo que garante os direitos dos titulares.

Dentre os principais pontos de destaque da minuta de Resolução estão:
• Define como “agentes de tratamento de pequeno porte” as microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, além de trazer outras definições interessantes em seu art. 2º.
• Determina que a dispensa e a flexibilização das obrigações previstas na resolução não são aplicáveis aos “agentes de tratamento de pequeno porte” que realizem tratamento de alto risco e em larga escala para os titulares.
• Considera como tratamento de alto risco aquele que utiliza dados sensíveis ou de vulneráveis (crianças e adolescentes), de vigilância ou controle, de uso de tecnologia emergente que possam ocasionar danos materiais ou morais aos titulares e àqueles para fins de definição de perfil (pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade).
• A organização que for caracterizada como “agente de tratamento de pequeno porte” estará dispensada de manter o registro das atividades de tratamento de dados pessoais.
• A organização que for caracterizada como “agente de tratamento de pequeno porte” estará dispensada da indicação de Encarregado, devendo sempre disponibilizar um canal de comunicação com o titular de dados.
• Se a organização for caracterizada como “agente de tratamento de pequeno porte” poderá apresentar o Relatório de Impacto à proteção de dados pessoais de forma simplificada quando for exigido.
• Os “agentes de tratamento de pequeno porte” terão prazo em dobro no atendimento das solicitações dos titulares, comunicação de incidentes e em outros prazos que futuramente vierem a ser estabelecidos pela ANPD.

Percebe-se que houve a preocupação em conceituar os “agentes de tratamento de pequeno porte” e a criação de regras de flexibilização da aplicação da LGPD que além de adotar o critério de porte do agente considera o risco que o tratamento de dados possa causar ao titular, com o objetivo de facilitar a adequação destes agentes sem, contudo, deixar de levar em consideração o risco que o tratamento realizado pode causar aos titulares de dados pessoais.

Como se pode perceber o porte do agente de tratamento não tem o condão de modificar o direito do titular à proteção de seus dados pessoais, nem de desobrigar os agentes a observância da boa-fé e dos princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, todos expressamente previstos na LGPD.

Conclusão.
Na Europa, estima-se que 23 milhões de pequenos negócios tenham sido impactados com o GDPR. Entre as maiores dificuldades para adequação estão questões ligadas a tecnologia como segurança da informação e armazenamento . Um estudo realizado pelo GDPR.EU em 2019 , um ano após o GPDR passar a valer, estimou que a maioria (86%) dos pequenos negócios haviam investido no compliance de proteção de dados. Dentre as razões para o investimento estavam as seguintes: (i) porque é a Lei; (ii) não queriam ser multados; (iii) é bom para os negócios; (iv) acreditam no direito à privacidade. A pesquisa também concluiu que entre os principais investimentos estão a contratação de treinamentos e consultorias, seguido por softwares e equipamentos.
Aqui no Brasil, conforme dados disponibilizados pelo Sebrae existem aproximadamente 19.228.025 empresas, das quais 85,27% são MEI ou ME. Segundo levantamento da Abstarups existem mais de 12.700 empresas classificadas como startups. Se as dificuldades que vem sendo enfrentadas na Europa são enormes, as que enfrentaremos por aqui não tendem a ser menores.
Portanto, a toda evidência, a flexibilização das regras para facilitar a implementação da LGPD pelos “agentes de tratamento de pequeno porte” é medida fundamental para o sucesso da Lei Geral de Proteção de Dados no Brasil. Mas não só isso. A mudança de paradigma somente ocorrerá pela capacitação dos indivíduos e da sociedade em relação à lei da empatia.
Muitas lacunas sobre questões específicas relacionadas à aplicação da lei ainda permanecem e críticas quanto a isto no meio jurídico tem sido implacáveis.
Porém de forma granular, a ANPD tem aplicado esforços para cumprir com as suas obrigações de zelar e implementar a Lei Geral de Proteção de Dados no país. Não podemos esquecer que a Europa vem lidando com o tema de forma estruturada há pelo menos 25 anos e nós estamos apenas iniciando a mudança cultural sobre a importância da proteção dos dados pessoais.

 

(1) https://www.oabpr.org.br/wp-content/uploads/2021/02/Tomada-de-Subs%C3%ADdios-ANPD-Contribui%C3%A7%C3%B5es-OABPR-e-CIG-OABPR_assinado-1.pdf

Publicado em: https://juristas.com.br/2021/09/14/aplicacao-da-lei-geral-de-protecao-de-dados-lgpd-aos-agentes-de-tratamento-de-pequeno-porte/

 

***

Autoras:

Rafaela Vialle Strobel Dantas – Advogada com atuação nacional em direito empresarial com foco em inovação, tecnologia, liderança e nos impactos da economia digital no âmbito jurídico. MBA em Direito da Economia e da Empresa pela FGV/RJ. Especialista em Direito Público pela ESMAFE-PR. Pós-graduação em Direito Administrativo pela UNICURITIBA. Formação em liderança integral pelo Programa ILP, da FAE Business School e NOVA de Lisboa. Membro da Comissão de Inovação e Gestão da OAB/PR. rafaela@strobeldantas.adv.br

Dafini Boldrini – Advogada, com atuação focada em proteção de dados e terceiro setor. Pós-graduada em Compliance e Governança Jurídica pela Fae Business School. Especialista em LGPD pela NextLaw Academy. Membro do Instituto Nacional de Proteção de Dados e do Compliance Women Comittee. Pesquisadora do Grupo de Discussão Permanente da Comissão de Inovação e Gestão da OAB/PR, com o tema Direitos dos Titulares. dafiniboldrini@gmail.com

A Lei Geral de Proteção de Dados (lei nº 13.709/18) traz uma nova abordagem sistemática para o uso de dados pessoais no Brasil, quando realizado por pessoa natural ou por pessoa jurídica, de direito público ou privado, seja em meios físicos ou digitais, em todos os setores da economia.

As novas regras tem por objetivo trazer um equilíbrio entre a proteção dos direitos fundamentais da liberdade, da privacidade e do livre desenvolvimento da personalidade da pessoa natural, e ao mesmo tempo incentivar o desenvolvimento econômico, tecnológico e a inovação.

Para tanto a lei define as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelece mecanismos para proteção dos titulares dos dados contra usos inadequados.

 

O alerta à importância da proteção de dados

Os recorrentes casos de vazamentos de dados e fraudes na internet nos últimos anos ligaram o alerta de governos, empresas e da sociedade no mundo todo. Fato é que a LGPD é um tema recente e, por isso, ainda gera muitas dúvidas.

Foi sancionada em 14/08/2018 e teve sua vigência iniciada em 18/09/2020. As sanções administrativas entram em vigor apenas em 01/08/2021.

Contudo, a sua aplicação nos âmbitos do direito civil, consumerista, penal e trabalhista já tem sido evidente, inclusive com reflexos econômicos e financeiros para os envolvidos. Além, é claro, do impacto negativo que pode gerar na própria imagem da marca e/ou reputação daquele que se utiliza dos dados pessoais em contrariedade à legislação.

Sobre o setor imobiliário

Profissionais e empresas de todos os ramos de atividades e portes têm sido impactadas pela necessidade de adequação à LGPD. E para o setor imobiliário não poderia ser diferente. Inclusive para corretores autônomos que tratam dados pessoais de forma profissional.

Imobiliárias, construtoras, incorporadoras e corretores têm em suas mãos os dados pessoais dos seus clientes, colaboradores e fornecedores. Lidam diariamente e diretamente com informações que identificam ou que podem identificar alguém, tais como nomes, endereços, informações bancárias, entre outras informações que são necessárias para comprar ou alugar um imóvel, para estabelecer parcerias comerciais com fornecedores e, claro, para contratar funcionários.

E atenção. É muito importante saber com quem você compartilha dados: o compartilhamento de dados entre imobiliárias e corretores, por exemplo, também deve estar de acordo com a lei para evitar desdobramentos negativos.

Tanto nas atividades profissionais autônomas quanto nas empresas existem vários fluxos de dados. Cada processo que envolva dados deve ser revisto para que seja tratado de acordo com as disposições legais. Para a realização de todas as atividades diárias é necessário entender quais são os dados pessoais em jogo, qual o fluxo percorrido dentro do modelo de negócio de cada um, identificar eventuais riscos e falhas de segurança para então revisar os procedimentos para adaptá-los à nova regulamentação. Somente assim será possível antecipar situações e criar um plano de contingenciamento.

Dentro de uma mesma empresa ou negócio, a depender do poder decisório sobre o tratamento dos dados, pode-se exercer o papel de controlador ou de operador. Cada um tem o seu papel. Saber o conceito dessas duas figuras principais e identificar qual função você desempenha em relação ao uso de determinado dado é fundamental para definir as diferentes responsabilidades em relação às obrigações de cada uma das partes. E quanto mais dados tratados maior será a responsabilidade pela sua proteção!

Uma imobiliária quando trata dados de seus colaboradores age como controladora, porém quando recebe em compartilhamento dados para tratamento sob a responsabilidade de  outra pessoa, como por exemplo de uma construtora, pode estar exercendo o papel de operador.

Adaptar-se é simples

O caminho para se adaptar à lei geral de proteção de dados é simples, mas trabalhoso: envolve planejamento, dedicação e foco no objetivo. O sucesso do programa de adequação está amparado no tripé: conscientização, orientação jurídica e segurança da informação. É um processo contínuo que não se encerra; é dinâmico, deve sempre ser revisitado.

Estamos passando por uma mudança de cultura, que envolve a tomada de consciência das pessoas sobre a importância de proteger os seus dados pessoais. Da mesma forma como nos adaptamos às regras criadas em 1990 relacionadas ao direito do consumidor, também nos adaptaremos, e certamente com maior velocidade em razão da época em que vivemos atualmente, às novas regras sobre proteção de dados pessoais. Aqui, mais uma vez a história se repete, o principal fiscal das irregularidades será a pessoa natural – o titular dos dados – que empoderado em seus direitos irá fazê-los prevalecer.

 

Publicado em https://juristas.com.br/2021/11/01/os-impactos-da-lei-geral-de-protecao-de-dados-para-o-setor-imobiliario/

Estar em conformidade com a lei geral de proteção de dados – Lei 13.709/2018 – é fundamental para todas as empresas. Trata-se de uma imposição legal. Parcialmente em vigor desde agosto/2020, restam ainda pendentes de vigência para agosto/2021 tão somente os artigos referentes às sanções administrativas.

A lei visa criar mecanismos de controle e proteção à utilização de dados pessoais, tendo como fundamento, dentre outros, a autodeterminação informativa com base no conhecimento e consentimento dos titulares.

Seja como um diferencial competitivo ou para evitar prejuízos à imagem ou às finanças empresariais – que podem decorrer de impactos tanto no âmbito administrativo, civil, consumidor e/ou penal – o foco no programa de integridade à proteção dos dados pessoais deve ser priorizado.

A função da LGPD mostra-se cada vez mais importante, ainda mais diante dos diversos mega vazamentos de dados noticiados recentemente, que exponencializam as possibilidades de casos de fraude digital.

Dentre os princípios destacam-se o da finalidade, que garante ao titular de dados o tratamento com propósitos legítimos, específicos, explícitos e informados, o da necessidade, que limita o tratamento ao mínimo necessário, de forma proporcional e não excessiva, para atingir a finalidade a que se destina, e da transparência que garante ao titular ter acesso a informações claras e precisas sobre o tratamento conferido aos seus dados.

Assim, em síntese, o titular de dados pessoais tem o direito de saber o motivo da solicitação de determinado dado, quem o solicita, com quem ele será compartilhado e como será utilizado.

E para as empresas surgem, em decorrência, diversas obrigações, dentre as quais a de garantir ao titular o livre acesso aos dados coletados, que deverão ser mantidos em sua qualidade e integridade, de forma segura e preventiva – pelo emprego de medidas aptas a coibir acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados pessoais tratados. Devendo prestar contas das medidas adotadas e de sua eficácia, sob pena de responsabilização.

Por sua vez, a lei também cria regras ao tratamento de dados pessoais pelo poder público, que deverá sempre observar a finalidade e o interesse públicos, podendo inclusive lhes ser impostas medidas para fazer cessar uma eventual violação. E nesse contexto também estão abrangidos os órgãos da administração tributária, como a SRF, a PGFN e o CARF.

Assim, pode-se afirmar que a lei geral de proteção de dados interfere no direito tributário em várias frentes.

Sigilo fiscal e a proteção dos dados pessoais

O Fisco tem autorização para tratar dados pessoais, sem consentimento do titular, ainda que deva fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e práticas utilizadas para a execução das atividades de tratamento dos dados pessoais.

Contudo, abusos quanto a utilização dos dados, tal como o tratamento indevido, excessivo,  com desvio de finalidade e sem amparo em base legal, acesso a um volume muito grande e desproporcional de dados, facilitação da utilização dos dados para outra finalidade que não a informada ou para cruzamentos com outros objetivos que não os expostos ao titular, poderão ser objeto de contestação perante a administração pública, com aplicação de sanções e responsabilização.

Em relação à atividade de fiscalização, o Fisco vem exigindo cada vez mais dados do contribuinte e de terceiros, em obrigações acessórias cada vez mais completas, tais como ECF, ECD, Speds e notas eletrônicas (eventualmente tratando dados alheios ao interesse da própria fiscalização).

Nesse sentido, a lei vem para impor à administração fazendária o dever de garantir o sigilo ainda mais amplo sobre os dados por ela tratados do contribuinte e de terceiros. O tratamento dos dados deve estar alinhado com o interesse público e com a finalidade do órgão, sob pena de responsabilização, inclusive pessoal do agente, e possível indenização.

Protegidos pela lei geral de proteção de dados pessoais contribuintes eventualmente poderão se negar a apresentar e compartilhar dados à fiscalização que não justifiquem a pertinência daquela exigência. Exemplo do processo de adequação da Receita Federal às exigências da Lei Geral de Proteção de Dados (LGPD) são as alterações efetuadas na Portaria RFB nº 2.189/2017, revogando a autorização para disponibilização de acesso por terceiros ao conjunto de dados e informações relativos à Nota Fiscal Eletrônica (NF-e).

Nos tribunais e sessões de julgamento a divulgação de dados tem sido cada vez mais ampla, uma vez que são transmitidas em tempo real e são abertas ao público. E isso mesmo nos casos em que há informações relevantes dos contribuintes sendo relatadas, tais como operações com cartão de crédito, declarações de serviços médicos, nomes de pacientes e estágio de doenças. Acórdãos dos processos com dados estratégicos, sigilosos ou sensíveis dos contribuintes tem sido de livre acesso.

Sob esse enfoque a expectativa da LGPD é de que os processos eletrônicos garantam o sigilo de dados pessoais, sensíveis e estratégicos, inclusive por ocasião do julgamento, prolação de decisões, sentenças e acórdão e as suas publicizações.

Investimentos no programa de adequação

Para as empresas, a organização de um bom programa de adequação impõe  investimentos relevantes, podendo gerar gastos significativos e custos elevados.

Nesse aspecto há a possibilidade de se pleitear o aproveitamento de créditos de PIS e COFINS na sistemática de apuração não cumulativa dessas contribuições. Seja dentro dos critérios de insumos aferidos à luz da essencialidade e relevância – imprescindibilidade ou importância de determinado bem ou serviço – para o desenvolvimento da atividade econômica desempenhada (REsp n° 1.221.170, STJ), seja por imposição legal, por analogia a diversos casos em que a própria Receita Federal já reconheceu a possibilidade de que gastos do contribuinte com itens que, uma vez suprimidos, podem causar danos à coletividade e, sobretudo, gerar sanções à empresa, sejam entendidos como insumos para fins de crédito de PIS/COFINS não cumulativo.

Casos de fraude digital

Em relação aos casos de fraudes digitais, relevante destacar os seus efeitos fiscais e das perdas por chargeback. A operação que aparentemente é uma transação comercial válida, posteriormente é identificada como uma fraude digital, vício que invalida o negócio jurídico e que poderá ter tratamento de abatimento da receita.

A invalidade do negócio traz prejuízos para diversos elos da cadeia comercial, gerando, em especial, para as empresas o cancelamento da compra com prejuízos financeiros e fiscais, uma vez que cada elo da transação normalmente já reconheceu uma receita operacional prévia e a ofereceu à tributação, segundo o critério de competência, a depender da sistemática de tributação adotada. Minimizar esses prejuízos é possível mediante trabalho de análise e categorização material criteriosa do tipo de perda, a fim de que seja realizado da forma juridicamente mais segura e com mecanismos de prova para futura evidenciação –  sob risco de representar um contingente relevante.

Desafio

E os que nos espera? O desafio que estamos enfrentando está em harmonizar a irreversível utilização de  big data voltado, dentre outros, para o desenvolvimento da política tributária; com a observância e respeito ao sigilo fiscal e às garantias e responsabilidades reforçadas pela lei geral de proteção de dados pessoais; com a transparência característica e necessária dos atos públicos; e o cumprimento das inexoráveis obrigações legais, nos âmbitos fiscal e de privacidade e proteção de dados pessoais, pelos empresários. Certamente será uma “nova era” para o direito tributário.

 

Publicado em https://juristas.com.br/2021/11/01/breves-consideracoes-sobre-a-interface-da-lei-geral-de-protecao-de-dados-com-o-direito-tributario/

 

Novas tecnologias alteram os riscos de privacidade e proteção de dados que enfrentamos de maneira bilateral: embora surjam novos riscos, a tecnologia também pode ajudar a minimizar ou evitar riscos à privacidade e à proteção de dados.

A ideia de moldar a tecnologia de acordo com os princípios de privacidade é discutida há muitos anos. A privacidade por design foi apresentada pela primeira vez pela Comissária de Informações e Privacidade de Ontário, Canadá, Ann Cavoukian, que em meados de 1990 idealizou a noção de incorporar medidas de privacidade e tecnologias de aprimoramento da privacidade (PETs) diretamente no design de tecnologias e sistemas de informação. O termo PETs (Privacy Enhancing Technologies) abrange uma ampla gama de tecnologias projetadas para oferecer suporte à privacidade e proteção de dados.

Atualmente, privacidade por design é considerada um conceito multifacetado, envolvendo vários componentes tecnológicos e organizacionais, que implementam princípios de privacidade e proteção de dados em sistemas e serviços.

Essa análise está em contexto com a crescente e ampla necessidade de fundamentação do desenvolvimento tecnológico com valores e ética humanos. Uma implementação eficaz do princípio da privacidade by design e by default representa um importante marco em direção à tecnologia baseada em valores humanos.

A proteção de dados por design e por padrão exige que se implemente medidas técnicas e organizacionais apropriadas para implementar os princípios de proteção de dados e proteger os direitos individuais. Em essência, proteção de dados por padrão significa integrar proteção de dados em suas atividades de processamento e práticas de negócios, desde o estágio de design até o ciclo de vida. A proteção de dados por design consiste em considerar antecipadamente os problemas de proteção e privacidade de dados em tudo o que se faz, garantindo o cumprimento dos princípios e requisitos fundamentais da proteção de dados e tendo como foco a prestação de contas.

LGPD

Seguindo a tendência mundial, em especial as disposições da GDPR, a Lei Geral de Privacidade de Dados Brasileira, também dispôs expressamente sobre o tema em seu art. 46, que assim prevê:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.”

A quem se aplica? 

A legislação determina a aplicação a todos os responsáveis pelo tratamento de dados e a todos os responsáveis pelo cumprimento da legislação. Se aplica à toda a organização para a proteção de dados e a inclusão de considerações de privacidade em qualquer atividade de processamento realizada. Dependendo das circunstâncias, podem existir requisitos diferentes para diferentes áreas da organização.  Portanto, não se aplica apenas às organizações que possuem seus próprios desenvolvedores de software e arquitetos de sistemas.

Portanto se aplica também àquela organização contratada por outra organização para processar dados pessoais, os quais também devem possuir política com recursos suficientes e garantias para atender aos requisitos de adequação à legislação.

Assim, ao considerar quais produtos e serviços são necessários no dia a dia deve-se escolher aqueles em que os designers e desenvolvedores levaram em consideração a proteção de dados.

O que deve ser feito?

Deve-se implementar medidas técnicas e organizacionais apropriadas, projetadas para implementar os princípios de proteção de dados e proteger os direitos individuais.

Não existe um método ‘tamanho único’ para fazer isso e nenhum conjunto de medidas que você deve implementar. Depende das suas circunstâncias.

A chave é que você considere os problemas de proteção de dados desde o início de qualquer atividade de processamento e adote políticas e medidas apropriadas que atendam aos requisitos de proteção de dados por design e por padrão. Alguns exemplos de como você pode fazer isso incluem, exemplificativamente, (i) minimizar o processamento de dados pessoais; (ii) pseudonimização de dados pessoais o mais rápido possível; (iii) garantir a transparência no que diz respeito às funções e tratamento de dados pessoais; (iv) permitir que indivíduos monitorem o processamento; e (v) criar e melhorar recursos de segurança.

Isto não é uma lista exaustiva. A conformidade com a proteção de dados por design e por padrão pode exigir que você faça muito mais do que o descrito acima.

Quando deve ser feito?

Deve-se iniciar a proteção de dados por design na fase inicial de qualquer sistema, serviço, produto ou processo. Deve-se começar considerando as atividades de processamento pretendidas, os riscos que eles podem representar para os indivíduos e as possíveis medidas disponíveis para garantir que se cumpra os princípios de proteção de dados e proteja os direitos individuais. Essas considerações devem cobrir (i) o estado da arte e os custos de implementação de quaisquer medidas; (ii) a natureza, escopo, contexto e objetivos do seu processamento; e (iii) os riscos que o seu processamento representa para os direitos e liberdades dos indivíduos. Isso é semelhante à avaliação de risco das informações que você deve fazer ao considerar suas medidas de segurança.

Essas considerações levam à segunda etapa, na qual você implementa medidas técnicas e organizacionais reais para implementar os princípios de proteção de dados e integrar salvaguardas ao seu processamento.

É por isso que não existe uma solução ou processo único que se aplique a todas as organizações ou atividades de processamento, embora existam vários pontos em comum que podem se aplicar às suas circunstâncias específicas.

Como fazer na prática?

Um meio de colocar esses conceitos em prática é desenvolver um conjunto de diretrizes práticas e acionáveis ​​que possam ser usadas na organização, enquadradas por sua avaliação dos riscos e das medidas disponíveis. A maneira como se fará depende das circunstâncias concretas – quem é a empresa, o que está fazendo, os recursos disponíveis e a natureza dos dados que processa.

A chave é adotar uma abordagem organizacional que atinja certos resultados, tendo como garantia que sejam (i) considerados os problemas de proteção de dados como parte do design e implementação de sistemas, serviços, produtos e práticas de negócios; (ii) torne a proteção de dados um componente essencial da funcionalidade principal de seus sistemas e serviços de processamento; (iii) sejam processados apenas os dados pessoais necessários em relação aos seus propósitos e que apenas os utiliza para esses fins; (iv) os dados pessoais sejam automaticamente protegidos em qualquer sistema de TI, serviço, produto e / ou prática comercial, para que os indivíduos não precisem tomar nenhuma ação específica para proteger sua privacidade; (v) a identidade e as informações de contato dos responsáveis ​​pela proteção de dados estão disponíveis na sua organização e para indivíduos; (vi) se adote uma política de ‘linguagem simples’ para qualquer documento público, para que as pessoas entendam facilmente o que você está fazendo com seus dados pessoais; (vii) seja fornecido aos indivíduos ferramentas para que eles possam determinar como você está usando os dados pessoais deles e se você está aplicando corretamente suas políticas; e (viii) sejam oferecidos altos padrões de privacidade, opções e controles fáceis de usar e respeita as preferências do usuário.