proteção de dados

A Lei Geral de Proteção de Dados (lei nº 13.709/18) traz uma nova abordagem sistemática para o uso de dados pessoais no Brasil, quando realizado por pessoa natural ou por pessoa jurídica, de direito público ou privado, seja em meios físicos ou digitais, em todos os setores da economia.

As novas regras tem por objetivo trazer um equilíbrio entre a proteção dos direitos fundamentais da liberdade, da privacidade e do livre desenvolvimento da personalidade da pessoa natural, e ao mesmo tempo incentivar o desenvolvimento econômico, tecnológico e a inovação.

Para tanto a lei define as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelece mecanismos para proteção dos titulares dos dados contra usos inadequados.

 

O alerta à importância da proteção de dados

Os recorrentes casos de vazamentos de dados e fraudes na internet nos últimos anos ligaram o alerta de governos, empresas e da sociedade no mundo todo. Fato é que a LGPD é um tema recente e, por isso, ainda gera muitas dúvidas.

Foi sancionada em 14/08/2018 e teve sua vigência iniciada em 18/09/2020. As sanções administrativas entram em vigor apenas em 01/08/2021.

Contudo, a sua aplicação nos âmbitos do direito civil, consumerista, penal e trabalhista já tem sido evidente, inclusive com reflexos econômicos e financeiros para os envolvidos. Além, é claro, do impacto negativo que pode gerar na própria imagem da marca e/ou reputação daquele que se utiliza dos dados pessoais em contrariedade à legislação.

Sobre o setor imobiliário

Profissionais e empresas de todos os ramos de atividades e portes têm sido impactadas pela necessidade de adequação à LGPD. E para o setor imobiliário não poderia ser diferente. Inclusive para corretores autônomos que tratam dados pessoais de forma profissional.

Imobiliárias, construtoras, incorporadoras e corretores têm em suas mãos os dados pessoais dos seus clientes, colaboradores e fornecedores. Lidam diariamente e diretamente com informações que identificam ou que podem identificar alguém, tais como nomes, endereços, informações bancárias, entre outras informações que são necessárias para comprar ou alugar um imóvel, para estabelecer parcerias comerciais com fornecedores e, claro, para contratar funcionários.

E atenção. É muito importante saber com quem você compartilha dados: o compartilhamento de dados entre imobiliárias e corretores, por exemplo, também deve estar de acordo com a lei para evitar desdobramentos negativos.

Tanto nas atividades profissionais autônomas quanto nas empresas existem vários fluxos de dados. Cada processo que envolva dados deve ser revisto para que seja tratado de acordo com as disposições legais. Para a realização de todas as atividades diárias é necessário entender quais são os dados pessoais em jogo, qual o fluxo percorrido dentro do modelo de negócio de cada um, identificar eventuais riscos e falhas de segurança para então revisar os procedimentos para adaptá-los à nova regulamentação. Somente assim será possível antecipar situações e criar um plano de contingenciamento.

Dentro de uma mesma empresa ou negócio, a depender do poder decisório sobre o tratamento dos dados, pode-se exercer o papel de controlador ou de operador. Cada um tem o seu papel. Saber o conceito dessas duas figuras principais e identificar qual função você desempenha em relação ao uso de determinado dado é fundamental para definir as diferentes responsabilidades em relação às obrigações de cada uma das partes. E quanto mais dados tratados maior será a responsabilidade pela sua proteção!

Uma imobiliária quando trata dados de seus colaboradores age como controladora, porém quando recebe em compartilhamento dados para tratamento sob a responsabilidade de  outra pessoa, como por exemplo de uma construtora, pode estar exercendo o papel de operador.

Adaptar-se é simples

O caminho para se adaptar à lei geral de proteção de dados é simples, mas trabalhoso: envolve planejamento, dedicação e foco no objetivo. O sucesso do programa de adequação está amparado no tripé: conscientização, orientação jurídica e segurança da informação. É um processo contínuo que não se encerra; é dinâmico, deve sempre ser revisitado.

Estamos passando por uma mudança de cultura, que envolve a tomada de consciência das pessoas sobre a importância de proteger os seus dados pessoais. Da mesma forma como nos adaptamos às regras criadas em 1990 relacionadas ao direito do consumidor, também nos adaptaremos, e certamente com maior velocidade em razão da época em que vivemos atualmente, às novas regras sobre proteção de dados pessoais. Aqui, mais uma vez a história se repete, o principal fiscal das irregularidades será a pessoa natural – o titular dos dados – que empoderado em seus direitos irá fazê-los prevalecer.

 

Publicado em https://juristas.com.br/2021/11/01/os-impactos-da-lei-geral-de-protecao-de-dados-para-o-setor-imobiliario/

proteção de dados

Estar em conformidade com a lei geral de proteção de dados – Lei 13.709/2018 – é fundamental para todas as empresas. Trata-se de uma imposição legal. Parcialmente em vigor desde agosto/2020, restam ainda pendentes de vigência para agosto/2021 tão somente os artigos referentes às sanções administrativas.

A lei visa criar mecanismos de controle e proteção à utilização de dados pessoais, tendo como fundamento, dentre outros, a autodeterminação informativa com base no conhecimento e consentimento dos titulares.

Seja como um diferencial competitivo ou para evitar prejuízos à imagem ou às finanças empresariais – que podem decorrer de impactos tanto no âmbito administrativo, civil, consumidor e/ou penal – o foco no programa de integridade à proteção dos dados pessoais deve ser priorizado.

A função da LGPD mostra-se cada vez mais importante, ainda mais diante dos diversos mega vazamentos de dados noticiados recentemente, que exponencializam as possibilidades de casos de fraude digital.

Dentre os princípios destacam-se o da finalidade, que garante ao titular de dados o tratamento com propósitos legítimos, específicos, explícitos e informados, o da necessidade, que limita o tratamento ao mínimo necessário, de forma proporcional e não excessiva, para atingir a finalidade a que se destina, e da transparência que garante ao titular ter acesso a informações claras e precisas sobre o tratamento conferido aos seus dados.

Assim, em síntese, o titular de dados pessoais tem o direito de saber o motivo da solicitação de determinado dado, quem o solicita, com quem ele será compartilhado e como será utilizado.

E para as empresas surgem, em decorrência, diversas obrigações, dentre as quais a de garantir ao titular o livre acesso aos dados coletados, que deverão ser mantidos em sua qualidade e integridade, de forma segura e preventiva – pelo emprego de medidas aptas a coibir acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados pessoais tratados. Devendo prestar contas das medidas adotadas e de sua eficácia, sob pena de responsabilização.

Por sua vez, a lei também cria regras ao tratamento de dados pessoais pelo poder público, que deverá sempre observar a finalidade e o interesse públicos, podendo inclusive lhes ser impostas medidas para fazer cessar uma eventual violação. E nesse contexto também estão abrangidos os órgãos da administração tributária, como a SRF, a PGFN e o CARF.

Assim, pode-se afirmar que a lei geral de proteção de dados interfere no direito tributário em várias frentes.

Sigilo fiscal e a proteção dos dados pessoais

O Fisco tem autorização para tratar dados pessoais, sem consentimento do titular, ainda que deva fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e práticas utilizadas para a execução das atividades de tratamento dos dados pessoais.

Contudo, abusos quanto a utilização dos dados, tal como o tratamento indevido, excessivo,  com desvio de finalidade e sem amparo em base legal, acesso a um volume muito grande e desproporcional de dados, facilitação da utilização dos dados para outra finalidade que não a informada ou para cruzamentos com outros objetivos que não os expostos ao titular, poderão ser objeto de contestação perante a administração pública, com aplicação de sanções e responsabilização.

Em relação à atividade de fiscalização, o Fisco vem exigindo cada vez mais dados do contribuinte e de terceiros, em obrigações acessórias cada vez mais completas, tais como ECF, ECD, Speds e notas eletrônicas (eventualmente tratando dados alheios ao interesse da própria fiscalização).

Nesse sentido, a lei vem para impor à administração fazendária o dever de garantir o sigilo ainda mais amplo sobre os dados por ela tratados do contribuinte e de terceiros. O tratamento dos dados deve estar alinhado com o interesse público e com a finalidade do órgão, sob pena de responsabilização, inclusive pessoal do agente, e possível indenização.

Protegidos pela lei geral de proteção de dados pessoais contribuintes eventualmente poderão se negar a apresentar e compartilhar dados à fiscalização que não justifiquem a pertinência daquela exigência. Exemplo do processo de adequação da Receita Federal às exigências da Lei Geral de Proteção de Dados (LGPD) são as alterações efetuadas na Portaria RFB nº 2.189/2017, revogando a autorização para disponibilização de acesso por terceiros ao conjunto de dados e informações relativos à Nota Fiscal Eletrônica (NF-e).

Nos tribunais e sessões de julgamento a divulgação de dados tem sido cada vez mais ampla, uma vez que são transmitidas em tempo real e são abertas ao público. E isso mesmo nos casos em que há informações relevantes dos contribuintes sendo relatadas, tais como operações com cartão de crédito, declarações de serviços médicos, nomes de pacientes e estágio de doenças. Acórdãos dos processos com dados estratégicos, sigilosos ou sensíveis dos contribuintes tem sido de livre acesso.

Sob esse enfoque a expectativa da LGPD é de que os processos eletrônicos garantam o sigilo de dados pessoais, sensíveis e estratégicos, inclusive por ocasião do julgamento, prolação de decisões, sentenças e acórdão e as suas publicizações.

Investimentos no programa de adequação

Para as empresas, a organização de um bom programa de adequação impõe  investimentos relevantes, podendo gerar gastos significativos e custos elevados.

Nesse aspecto há a possibilidade de se pleitear o aproveitamento de créditos de PIS e COFINS na sistemática de apuração não cumulativa dessas contribuições. Seja dentro dos critérios de insumos aferidos à luz da essencialidade e relevância – imprescindibilidade ou importância de determinado bem ou serviço – para o desenvolvimento da atividade econômica desempenhada (REsp n° 1.221.170, STJ), seja por imposição legal, por analogia a diversos casos em que a própria Receita Federal já reconheceu a possibilidade de que gastos do contribuinte com itens que, uma vez suprimidos, podem causar danos à coletividade e, sobretudo, gerar sanções à empresa, sejam entendidos como insumos para fins de crédito de PIS/COFINS não cumulativo.

Casos de fraude digital

Em relação aos casos de fraudes digitais, relevante destacar os seus efeitos fiscais e das perdas por chargeback. A operação que aparentemente é uma transação comercial válida, posteriormente é identificada como uma fraude digital, vício que invalida o negócio jurídico e que poderá ter tratamento de abatimento da receita.

A invalidade do negócio traz prejuízos para diversos elos da cadeia comercial, gerando, em especial, para as empresas o cancelamento da compra com prejuízos financeiros e fiscais, uma vez que cada elo da transação normalmente já reconheceu uma receita operacional prévia e a ofereceu à tributação, segundo o critério de competência, a depender da sistemática de tributação adotada. Minimizar esses prejuízos é possível mediante trabalho de análise e categorização material criteriosa do tipo de perda, a fim de que seja realizado da forma juridicamente mais segura e com mecanismos de prova para futura evidenciação –  sob risco de representar um contingente relevante.

Desafio

E os que nos espera? O desafio que estamos enfrentando está em harmonizar a irreversível utilização de  big data voltado, dentre outros, para o desenvolvimento da política tributária; com a observância e respeito ao sigilo fiscal e às garantias e responsabilidades reforçadas pela lei geral de proteção de dados pessoais; com a transparência característica e necessária dos atos públicos; e o cumprimento das inexoráveis obrigações legais, nos âmbitos fiscal e de privacidade e proteção de dados pessoais, pelos empresários. Certamente será uma “nova era” para o direito tributário.

 

Publicado em https://juristas.com.br/2021/11/01/breves-consideracoes-sobre-a-interface-da-lei-geral-de-protecao-de-dados-com-o-direito-tributario/

proteção de dados

 

Novas tecnologias alteram os riscos de privacidade e proteção de dados que enfrentamos de maneira bilateral: embora surjam novos riscos, a tecnologia também pode ajudar a minimizar ou evitar riscos à privacidade e à proteção de dados.

A ideia de moldar a tecnologia de acordo com os princípios de privacidade é discutida há muitos anos. A privacidade por design foi apresentada pela primeira vez pela Comissária de Informações e Privacidade de Ontário, Canadá, Ann Cavoukian, que em meados de 1990 idealizou a noção de incorporar medidas de privacidade e tecnologias de aprimoramento da privacidade (PETs) diretamente no design de tecnologias e sistemas de informação. O termo PETs (Privacy Enhancing Technologies) abrange uma ampla gama de tecnologias projetadas para oferecer suporte à privacidade e proteção de dados.

Atualmente, privacidade por design é considerada um conceito multifacetado, envolvendo vários componentes tecnológicos e organizacionais, que implementam princípios de privacidade e proteção de dados em sistemas e serviços.

Essa análise está em contexto com a crescente e ampla necessidade de fundamentação do desenvolvimento tecnológico com valores e ética humanos. Uma implementação eficaz do princípio da privacidade by design e by default representa um importante marco em direção à tecnologia baseada em valores humanos.

A proteção de dados por design e por padrão exige que se implemente medidas técnicas e organizacionais apropriadas para implementar os princípios de proteção de dados e proteger os direitos individuais. Em essência, proteção de dados por padrão significa integrar proteção de dados em suas atividades de processamento e práticas de negócios, desde o estágio de design até o ciclo de vida. A proteção de dados por design consiste em considerar antecipadamente os problemas de proteção e privacidade de dados em tudo o que se faz, garantindo o cumprimento dos princípios e requisitos fundamentais da proteção de dados e tendo como foco a prestação de contas.

LGPD

Seguindo a tendência mundial, em especial as disposições da GDPR, a Lei Geral de Privacidade de Dados Brasileira, também dispôs expressamente sobre o tema em seu art. 46, que assim prevê:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.”

A quem se aplica? 

A legislação determina a aplicação a todos os responsáveis pelo tratamento de dados e a todos os responsáveis pelo cumprimento da legislação. Se aplica à toda a organização para a proteção de dados e a inclusão de considerações de privacidade em qualquer atividade de processamento realizada. Dependendo das circunstâncias, podem existir requisitos diferentes para diferentes áreas da organização.  Portanto, não se aplica apenas às organizações que possuem seus próprios desenvolvedores de software e arquitetos de sistemas.

Portanto se aplica também àquela organização contratada por outra organização para processar dados pessoais, os quais também devem possuir política com recursos suficientes e garantias para atender aos requisitos de adequação à legislação.

Assim, ao considerar quais produtos e serviços são necessários no dia a dia deve-se escolher aqueles em que os designers e desenvolvedores levaram em consideração a proteção de dados.

O que deve ser feito?

Deve-se implementar medidas técnicas e organizacionais apropriadas, projetadas para implementar os princípios de proteção de dados e proteger os direitos individuais.

Não existe um método ‘tamanho único’ para fazer isso e nenhum conjunto de medidas que você deve implementar. Depende das suas circunstâncias.

A chave é que você considere os problemas de proteção de dados desde o início de qualquer atividade de processamento e adote políticas e medidas apropriadas que atendam aos requisitos de proteção de dados por design e por padrão. Alguns exemplos de como você pode fazer isso incluem, exemplificativamente, (i) minimizar o processamento de dados pessoais; (ii) pseudonimização de dados pessoais o mais rápido possível; (iii) garantir a transparência no que diz respeito às funções e tratamento de dados pessoais; (iv) permitir que indivíduos monitorem o processamento; e (v) criar e melhorar recursos de segurança.

Isto não é uma lista exaustiva. A conformidade com a proteção de dados por design e por padrão pode exigir que você faça muito mais do que o descrito acima.

Quando deve ser feito?

Deve-se iniciar a proteção de dados por design na fase inicial de qualquer sistema, serviço, produto ou processo. Deve-se começar considerando as atividades de processamento pretendidas, os riscos que eles podem representar para os indivíduos e as possíveis medidas disponíveis para garantir que se cumpra os princípios de proteção de dados e proteja os direitos individuais. Essas considerações devem cobrir (i) o estado da arte e os custos de implementação de quaisquer medidas; (ii) a natureza, escopo, contexto e objetivos do seu processamento; e (iii) os riscos que o seu processamento representa para os direitos e liberdades dos indivíduos. Isso é semelhante à avaliação de risco das informações que você deve fazer ao considerar suas medidas de segurança.

Essas considerações levam à segunda etapa, na qual você implementa medidas técnicas e organizacionais reais para implementar os princípios de proteção de dados e integrar salvaguardas ao seu processamento.

É por isso que não existe uma solução ou processo único que se aplique a todas as organizações ou atividades de processamento, embora existam vários pontos em comum que podem se aplicar às suas circunstâncias específicas.

Como fazer na prática?

Um meio de colocar esses conceitos em prática é desenvolver um conjunto de diretrizes práticas e acionáveis ​​que possam ser usadas na organização, enquadradas por sua avaliação dos riscos e das medidas disponíveis. A maneira como se fará depende das circunstâncias concretas – quem é a empresa, o que está fazendo, os recursos disponíveis e a natureza dos dados que processa.

A chave é adotar uma abordagem organizacional que atinja certos resultados, tendo como garantia que sejam (i) considerados os problemas de proteção de dados como parte do design e implementação de sistemas, serviços, produtos e práticas de negócios; (ii) torne a proteção de dados um componente essencial da funcionalidade principal de seus sistemas e serviços de processamento; (iii) sejam processados apenas os dados pessoais necessários em relação aos seus propósitos e que apenas os utiliza para esses fins; (iv) os dados pessoais sejam automaticamente protegidos em qualquer sistema de TI, serviço, produto e / ou prática comercial, para que os indivíduos não precisem tomar nenhuma ação específica para proteger sua privacidade; (v) a identidade e as informações de contato dos responsáveis ​​pela proteção de dados estão disponíveis na sua organização e para indivíduos; (vi) se adote uma política de ‘linguagem simples’ para qualquer documento público, para que as pessoas entendam facilmente o que você está fazendo com seus dados pessoais; (vii) seja fornecido aos indivíduos ferramentas para que eles possam determinar como você está usando os dados pessoais deles e se você está aplicando corretamente suas políticas; e (viii) sejam oferecidos altos padrões de privacidade, opções e controles fáceis de usar e respeita as preferências do usuário.