No dia 14 de setembro de 2021, foi transmitido através do canal do Youtube da Autoridade Nacional de Proteção de Dados (ANPD) a Audiência Pública sobre a regulamentação da aplicação da LGPD para micro e empresas de pequeno porte. A minuta de proposta da ANPD tem como objetivo facilitar e flexibilizar a adequação desses agentes à LGPD, de forma a não os onerar ou eventualmente inviabilizar negócios.

 

O tema em discussão faz parte da Agenda Regulatória da ANPD e o expediente da Audiência Pública integra o processo de regulamentação, que segue as seguintes etapas:

 

 

A Audiência Pública contou com a participação do Diretor-Presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, e com uma breve exposição da minuta de regulamentação pelo Relator Arthur Pereira Sabbat. Após, integrantes da Coordenação-Geral de Normatização (CGN) esclareceram os estudos e análises realizados nas etapas anteriores do processo de regulamentação e que resultaram no texto submetido à Consulta Pública, sendo os principais destaques:

 

1. Finalidade da Regulamentação: editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam se adequar à referida lei.

 

2. Processo de Regulamentação: para a elaboração da minuta do Projeto de Regulamentação foi executado um processo complexo e minucioso, sendo realizada a primeira medida adotada pelo CGN a Tomada de Subsídios, com o intuito de identificar os aspectos relevantes ao tema, e assim, a CGN contou com o envio e análise de 65 contribuições realizadas por agentes econômicos, consumidores e demais entes interessados da Sociedade. No processo, também foram consultadas entidades representativas de empresas, entidades de pesquisas, órgãos públicos, escritórios de advocacia, além da análise comparativa de experiências internacionais quanto ao tema.

 

3. Tomada de Subsídios: durante a etapa de Tomada de Subsídios, foram identificados como principais pedidos para flexibilização questões relativas ao encarregado, registro de operações de tratamento de dados e Relatório de Impacto à Proteção dos Dados Pessoais (RIDP). Também foram arguidas outras questões, como a definição de agente de pequeno porte, a segurança da informação e governança de dados e a possibilidade de portabilidade.

 

4. Análise de Impacto Regulatório: a finalidade desta etapa do processo de regulamentação era a de realizar a análise de possíveis impactos do Projeto, com o intuito de orientar e subsidiar as tomadas de decisões pela ANPD. Foi realizada a avaliação de impacto regulatório de 03 (três) temas: (1) definição de microempresa, empresa de pequeno porte e Startups, (2) conformidade das obrigações da LGPD pelas microempresas, empresas de pequeno porte e startups e pessoas naturais que tratam dados pessoais, (3) segurança da informação para proteção de dados pessoais e boas práticas. A avaliação contemplou a análise: (a) problemas a serem solucionados, (b) competência da ANPD para solucionar os problemas, (c) existência de experiência internacional, (d) necessidade da intervenção regulatória, (e) grupos afetados. Por fim, foram realizadas propostas de alternativas para cada um dos temas e que integraram a minuta do Projeto de Regulamentação.

 

5. Agentes de Tratamento de Pequeno Porte: são considerados nesta definição: microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos, pessoas naturais e entes despersonalizados.

 

6. Dispensas e Flexibilizações de Obrigações: a proposta do Projeto de Regulamentação prevê a dispensa e flexibilização de obrigações para agentes de tratamento de pequeno porte que não realizem tratamento de alto risco e em larga escala para titulares, conforme critérios previstos na Regulamentação, e assim, prevendo a possibilidade de:

Dispensa

Flexibilização

Conferir portabilidade dos dados do titular a outro fornecedor de serviço ou produto Fornecimento de declaração ao titular dos dados que esclareça a origem dos dados, inexistência de registro, critério e utilizados e a finalidade do tratamento Registro das operações de tratamento de dados pessoais Indicação do encarregado (DPO)

Facultado, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com a LGPD Relatório de Impacto à Proteção de Dados Pessoais simplificado Procedimento simplificado de comunicação de incidente de segurança, que poderá até mesmo ser dispensada pela ANPD, conforme regulamentação específica Política de Segurança da Informação simplificada, que garanta requisitos mínimos de segurança da informação para proteção dos dados pessoais, conforme guia orientativo a ser elaborado pela ANPD Prazo em dobro para atendimento de solicitações de titulares, comunicações de ocorrência de incidência de segurança e para apresentação de documento, informações, relatórios e registros solicitados pela ANPD

 

Concluída a breve exposição sobre a formulação do Projeto de Regulamentação, iniciou-se a exposição de membros da Sociedade inscritos, seguindo ordem alfabética das instituições inscritas, seguida da ordem alfabética das pessoas naturais, sendo concedido a cada expositor o tempo de 5 (cinco) minutos para manifestação.

 

A Audiência Pública ainda prossegue no dia 15 de setembro de 2021 através do canal do Youtube da Autoridade Nacional de Proteção de Dados – ANPD, além disso, é possível apresentar contribuições até o dia 29 de setembro de 2021 através do canal Participa + Brasil, no qual também é possível a consulta à íntegra do Projeto, bem como aos documentos que embasaram a proposta.

 

É importante esclarecer que a minuta do Projeto de Regulamentação que se encontra em consulta pública não é o texto final da regulamentação quanto ao tema e nem se encontra em vigência. Após concluído o debate, o texto com as contribuições passará por uma análise jurídica e posterior deliberação do Conselho Diretor da ANPD.

 

Por Vanessa Naunapper

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) trouxe a inauguração de alguns conceitos, como é o caso dos agentes de tratamento de dados, que podem ser classificados como controladores, operadores, encarregados e titulares de dados. O texto prevê responsabilidades e obrigações de cada espécie segmentada, assim como quem é passível de receber cada função. 

 

Frente a esse cenário, é importante que o avançar das operações econômicas e comerciais que tratam dados pessoais realizem uma correta definição acerca das responsabilidades destes agentes, que precisam, inclusive, ser delimitadas em contratos das mais diversas naturezas, com objetivo de proporcionar às partes a segurança jurídica adequada, e de facilitar eventuais penalizações em caso de incidentes que, devido à falta de jurisprudências disponíveis como consequência da recente promulgação da Lei, seguem a GDPR, lei de privacidade e segurança de dados da União Européia, por analogia. 

 

Todavia, embora os agentes estejam corretamente especificados em documentos que regulam a relação entre as partes, a mera definição em contrato de quem são os agentes de tratamento de dados pessoais não será suficiente numa discussão jurídica, devendo a autoridade nacional avaliar o contexto prático da situação. É possível, ainda, que em algumas hipóteses estes papéis se confundam, isto é, a prática em países desenvolvidos mostrou que é possível que dois ou mais agentes atuem na figura de Controladores.

 

Este fato apenas corrobora com a necessidade de se olhar a correta definição dos agentes de tratamento de dados, tanto sob o prisma da situação prática, quanto da contratual. 

 

Nesta última, a correta definição das partes e agentes de tratamento é indispensável e de extrema importância. Por mais complexa que possa ser, tal exercício é necessário para garantir segurança jurídica aos envolvidos. Neste aspecto, inclusive, é de se esperar que a Autoridade Nacional de Proteção de Dados (ANPD), supra estas lacunas interpretativas deixadas pelo legislador, assim como fizeram as autoridades europeias através do Article 29 Data Protection Working Party:

“O Working Party reconhece as dificuldades em aplicar as definições da Diretiva em um ambiente complexo, no qual podem ser previstos vários cenários envolvendo controladores e operadores, de forma independente ou conjunta, com diferentes níveis de autonomia e responsabilidade.”

 

Conclui-se, portanto, que resta clara a importância da devida atenção a este ponto, tendo em vista as consequências que decorrem desta questão, seja em razão da correta alocação de responsabilidades entre os agentes, seja em caso de aplicação da lei por parte de autoridade competente. 

 

Recomenda-se, então, analisar os cenários a partir dos julgados brasileiros para entender como adequar e interpretar as relações entre os agentes de tratamento de dados pessoais, garantindo aos mais diversos indivíduos a máxima segurança jurídica possível.

 

Por Lucas Willian Farias

 

¹ Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. p. 1. Tradução livre. Texto original: “The Working Party recognizes the difficulties in applying the definitions of the Directive in a complex environment, where many scenarios can be foreseen involving controllers and processors, alone or jointly, with different degrees of autonomy and responsibility”.

 

Ontem, 26/08, o Senado impugnou o trecho da Medida Provisória 959/2020 que adiava para janeiro de 2021 o início da vigência da Lei Geral de Proteção de Dados – LGPD, que regulamenta a política de proteção de dados pessoais e privacidade. Com isso, a lei entrará em vigor assim que for sancionada pelo Presidente da República, o que poderá ocorrer em até 15 dias úteis.

 

Vale destacar que, neste momento, não haverá penalidades, uma vez que, conforme dispõe o Projeto de Lei 1.179/20, já sancionado pelo Presidente, só serão aplicadas a partir de agosto de 2021.

 

Também na data de ontem, foi publicado o Decreto 10.474/20 que estrutura a Autoridade Nacional de Proteção de Dados como órgão integrante da Presidência da República. No entanto, somente entrará em vigor na data em que for publicada a nomeação do Diretor-Presidente da ANPD, cuja data é desconhecida.

 

Considerando esse contexto, em que a ANPD está em vias de ser constituída e que a LGPD passa a valer assim que o texto final da MP for sancionada pelo Presidente, estar em compliance é crucial para as empresas.

 

Fonte: Senado Notícias

(mais…)

A Lei Geral de Proteção de Dados (LGPD) está prestes a entrar em vigor e alterará de maneira significativa a forma como as empresas desenvolvem o tratamento de dados.

 

Muitos serão os efeitos e estar em desconformidade acarretará penalidades àqueles que não se adequarem à legislação.

 

Preparamos um material onde trataremos das sanções sob a ótica da General Data Protection Regulation (GDPR), apresentaremos estatísticas, bem como possíveis aplicações pela Autoridade Nacional de Proteção de Dados (ANPD).

 

Continue a leitura clicando no botão abaixo.

 

[fusion_button link="http://5884200.hs-sites.com/gdpr-sancoes-anpd" text_transform="" title="" target="_self" link_attributes="" alignment="" modal="" hide_on_mobile="small-visibility,medium-visibility,large-visibility" class="" id="" color="default" button_gradient_top_color="" button_gradient_bottom_color="" button_gradient_top_color_hover="" button_gradient_bottom_color_hover="" accent_color="" accent_hover_color="" type="" bevel_color="" border_width="" border_radius="" border_color="" border_hover_color="" size="" stretch="default" icon="" icon_position="left" icon_divider="no" animation_type="" animation_direction="left" animation_speed="0.3" animation_offset=""]Continuar lendo[/fusion_button]

Vazamento de dados pessoais clientes da Tim

 

Pode-se dizer que hoje, esse risco está nas mãos de todos aqueles que prestam serviço através de plataforma online, no Brasil e no mundo, e que tenha como atividade principal ou acessória a coleta ou tratamento de dados de seus usuários.

 

No caso do vazamento ocorrido no site Celular Direto, os dados continham registros de diversos cidadãos no que concerne ao nome completo, endereço de e-mail, telefone celular, telefone residencial, CEP, cidade, bairro, nome da rua e número da residência, dados esses que à luz da Lei Geral de Proteção de Dados - LGPD, são considerados dados pessoais, conforme dispõe o seu artigo 5º:

 

Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

 

Desta forma, analisando esta situação, caso a LGPD já estivesse em vigor, listamos algumas das ações que a empresa deveria adotar: 1.a figura do "controlador", a quem compete as decisões referentes ao tratamento de dados pessoais, deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; 2. Adoção imediata de providências para cessar o vazamento, bem como para reverter ou mitigar os efeitos do prejuízo; 3. Adoção de medidas voltadas a minimizar, bem como para reverter ou mitigar os efeitos do incidente.

 

Importante também esclarecer que a empresa que adota meios preventivos para minimizar o risco da exposição de dados, pode ter esse aspecto levado em consideração pela ANPD como uma atenuante na mensuração do valor da multa caso uma situação desta natureza ocorra.

 

Portanto, diante dessa notícia, vale lembrar que, estar preparado desde a fase de concepção do produto ou serviço em relação à #lgpd é fundamental para proteger os titulares dos dados, bem como para afastar ou reduzir eventual responsabilidade daqueles que possuem operação de tratamento ou coleta de dados!

 

Fique atento às novas regras!