Muito se fala sobre a Lei de Proteção de Dados (LGPD), correspondente à Lei nº 13.709/2018, responsável por regular as atividades de tratamento de dados pessoais em todo o território brasileiro. 

Trata-se de, muito mais do que um marco regulatório, uma grande mudança cultural para a sociedade e para as empresas, que vêm, desde a vigência da lei, reorganizando o tratamento de dados e processos internos das empresas para evitar ilicitudes e garantir as boas práticas. Mas como aplicar a LGPD nas empresas? Separamos, em linhas gerais, alguns passos importantes.

  1. Conheça a legislação;

O primeiro passo é conhecer a legislação e os campos em que ela se aplica. O correto entendimento permite a tomada de decisão adequada em relação ao que deve ou não ser mantido.

Vale destacar que, a depender da abrangência de atuação da empresa, não só a LGPD mas outras leis de proteção de dados de outros países podem impactar no negócio, como por exemplo a General Data Protection Regulation (GDPR) na Europa, Data Protection Privacy Act (DPPA) nos Estados Unidos, dentre outras.

Sendo assim, recomenda-se investir na capacitação dos principais líderes do negócio, bem como dos colaboradores, para que todos estejam “na mesma página" no que diz respeito à lei e suas exigências.  E, ainda, contratar assessoria jurídica e tecnológica especializada, com experiência real, para prover os melhores serviços no processo de implementação das regras da lei.

  1. Realize um Diagnóstico

Após a capacitação geral, é de praxe a constituição de um comitê que se envolverá no processo de implementação como um todo, representantes de cada área da empresa (RH, Financeiro, Comercial, Operação), assessoria em protocolos tecnológicos de cibersegurança e assessoria jurídica, afinal, trata-se de um processo multidisciplinar.

O comitê, então, realizará levantamento sobre o fluxo de informações que trafegam na empresa, inventário de dados, fornecedores  envolvidos na operação, dentre vários outros elementos para, após, apresentar um relatório com o diagnóstico atual da empresa e recomendações para adequação.

  1. Implementação

Com o relatório concluído, inicia-se a etapa de implementação, na qual muito mais do que apenas redigir instrumentos jurídicos adequados, há necessidade de alteração de fluxos, sistemas, procedimentos e cultura interna.

Tais ações, quando aplicadas em sua totalidade, garantirão o compliance com os requisitos e exigências da LGPD, possibilitando à empresa que alcance maior segurança interna e ofereça ambiente protegido aos seus clientes.

  1. Revisão e ajustes

Considerando o ritmo de inovação e transformação das empresas baseadas em tecnologia, bem como de eventuais mudanças na lei, é de extrema importância o acompanhamento constante destas variáveis e seus impactos no tratamento e proteção dos dados.

Sendo assim, profissionais internos das empresas, conjuntamente com assessorias jurídicas e tecnológicas, devem trabalhar frequentemente avaliando os novos fluxos e exigências legais, com objetivo de atualizar, sempre que necessário, processos internos e instrumentos jurídicos, para garantir o comprometimento e compliance com a regulamentação de proteção de dados.

  1. Gestão de incidentes.

Haja vista os prognósticos mais atuais sobre o panorama dos incidentes envolvendo dados, nota-se que não basta apenas evitar, mas também estar preparando para quando algo ocorrer.  A regra máxima é possuir um plano de ação, rápido, para garantir a resposta adequada a esse tipo de situação, com profissionais já treinados e fluxos bem estabelecidos.  Pois a forma pela qual a situação envolvendo dados foi tratada, é também levada em consideração pela Autoridade Nacional de Proteção de Dados (ANPD) na avaliação das práticas e cuidados implementados pela empresa, em eventual investigação.

É fundamental que estes cuidados passem a fazer parte da cultura da empresa, que deve ser cada vez mais cautelosa em relação à legislação, a fim de evitar danos temporários ou permanentes para com a credibilidade da marca.
Conte com uma equipe de consultoria jurídica apta a auxiliar no processo de implementação de políticas internas e externas para o tratamento de dados pessoais.

O “cookie” é um dado que os navegadores solicitam ao usuário para armazenamento na plataforma, site ou aplicativo. Isso permite com que o site lembre de suas ações ou preferências toda vez que for acessado.

Por se tratar de um armazenamento de dados, algumas legislações como a europeia (GDPR) indicam que os cookies apenas podem ser armazenados por um período de 30 dias. A Lei de Proteção de Dados (LGPD) não estabeleceu nenhum limite temporal, mas ainda assim, deve sempre se pautar pela necessidade. Se um dado não precisar ser armazenado, é melhor que não o seja, para evitar problemas de privacidade.

Um cookie pode gravar, por exemplo, preferências de idioma e de login, armazenar dados para apresentação de anúncios de acordo com seu perfil online, entre muitos outros dados. É possível excluí-los, revogá-los e apagá-los, com exceção aos cookies essenciais ao funcionamento do site. O usuário deve ter o maior controle possível sobre eles e deve estar de acordo com o armazenamento destes dados.

Inicialmente, havia apenas dois tipos: Cookies de First e Third Party, que podem ser traduzidos para Cookies de Primeira ou Terceira Pessoa. Os de primeira pessoa são aqueles gerados pelo próprio site, como as páginas visitadas, formulários preenchidos, informações salvas dentro do site, carrinhos de compra, etc. Já os de terceira pessoa são provenientes de fontes externas, e aceitavam que os anunciantes, por exemplo, mapeassem o histórico de navegação e o comportamento dos usuários dentro das páginas e não são mais permitidos pela LGPD.

Atualmente, elenca-se uma variedade de espécies: cookies de sessão, cookies persistentes e cookies maliciosos.

A política de cookies serve para deixar o usuário ciente dos dados que podem ser armazenados e para qual ocasião poderão ser utilizados. Também deve conter informações sobre como excluí-los. Sua política deve se preocupar com transparência: o que está sendo registrado, para que será utilizado, para onde irão esses dados e por quanto tempo irão permanecer armazenados.

Importante salientar que um simples aviso quanto aos cookies não é suficiente; é necessário que o usuário seja compelido a aceitar ou não a política em um documento de conformidade claro e objetivo, que solicite a concordância expressa.

Para elaborar uma política de cookies, é necessário reunir algumas informações:

  1. Reúna, com um apoio técnico especializado, para quê seu site usará os cookies e como irá armazená-los.
  2. Explique ao seu usuário/visitante como você utilizará os cookies.
  3. Oriente o usuário sobre o gerenciamento destes. Precisa estar bastante claro com relação a como pagá-los, a qualquer tempo.

Se os cookies tem como principal objetivo reconhecer o usuário, a política de cookies tem por sua vez, como função, a regulamentação desse conhecimento e do armazenamento dos dados, que precisa se dar de modo claro e de acordo com a legislação. Trata-se de uma garantia de mão dupla: para os usuários, na medida em que detém conhecimento sobre seus dados; e para os provedores de sites e aplicativos, na medida em que podem garantir uma atuação legal e transparente.

(mais…)

Boa notícia para as fintechs!

 

Ontem o BACEN publicou os Editais de Consulta Pública 72 e 73/2019 que tratam do SANDBOX e OPEN BANKING, respectivamente.

 

O sandbox nasceu como resposta aos desafios associados a produtos e serviços financeiros que se baseiam em técnicas e infraestruturas inovadoras. Seu objetivo é flexibilizar os requisitos regulatórios por um período limitado, a fim de permitir que empresas testem seus serviços e produtos financeiros com um pequeno grupo de clientes.

 

Já o open banking é uma forma de compartilhamento de informações, serviços e produtos do sistema financeiro, a beneficio da sociedade e a critério do cidadão, isto porque, muitas pessoas estão vinculadas a um banco só. O open banking nada mais é que um mundo aberto dentro do sistema financeiro, em que informações do cliente, a seu critério, possam fluir para onde ele queira, o que possibilitará o acesso a outros tipos de serviços, que não só aqueles disponíveis no seu banco de relacionamento.

 

Contribua através dos links:

72/2019 | Detalhar consulta

73/2019 | Detalhar consulta

 

 

Fonte: https://www3.bcb.gov.br/audpub/HomePage?4

 

O que é a Lei geral de proteção de Dados?

 

Com a digitalização da sociedade e a popularização de tecnologias que se baseiam em dados, passou a ser necessário a regulamentação das atividades econômicas que, de alguma forma, fazem tratamento de dados pessoais.

 

Acompanhando um movimento que está ocorrendo no mundo, em 2018 foi aprovada a lei 13.709/2008, que tem por objetivo regular as atividades de tratamento de dados (LGPD). Muito tem se falado do impacto desta nova legislação ao consumidor, mas e para o empreendedor, o que muda?

 

É importante ter em mente que a LGPD não tem apenas o objetivo de proteção dos dados pessoais, mas também o” desenvolvimento econômico e tecnológico e a inovação”. Ou seja, ela também deve ser encarada como ferramenta de desenvolvimento de iniciativas inovadores e tecnológicas no país.

 

Quem está sujeito à nova lei?

 

Todo cidadão (pessoa natural) ou empresa (pessoa jurídica de direito público ou privado) que realiza operação de tratamento ou coleta de dados, bem como o fornecimento de bens e serviços em território nacional está sujeito a aplicação da lei.

 

A legislação já prevê alguns casos em que a lei não será aplicada. Entre as situações previstas temos o tratamento de dados realizado por individuo para fins domésticos, ou seja, não econômicos, fins jornalísticos, artísticos e acadêmicos.

 

A quem se aplica a nova lei?

 

A lei é aplicada aos dados de pessoas naturais, ou seja, pessoas físicas.  Não é aplicável aos dados de pessoas jurídicas, estes são tratados por outras regulamentações específicas.

 

 

 

Qual a definição de “Dados” para a LGPD?

 

 

 

*Muita atenção: Vale destacar que, estes dados não serão considerados dados pessoais para os fins da LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

 

 

No ato da coleta de dados:

 

 

 

 

Após a coleta:

 

 

 

Término do tratamento de dados:         

 

Após o término do tratamento os dados pessoais estes deverão ser eliminados, apenas mantidos para as seguintes finalidades:

 

 

 

 

 

Responsabilidade

 

É solidária, ou seja, os agentes de tratamento partilham da responsabilidade em caso de indenização de danos patrimoniais e morais, individuais ou coletivos;

Mas ela pode ser afastada, nas seguintes hipóteses:

 

 

 

 

Principais Dicas

 

 

 

 

 

 Quando a Lei passa a valer?

 

A lei aprovada em 2018 passará a ter efeitos a partir de agosto de 2020, ou seja, até lá indivíduos e empresas deverão se adaptar as novas regras.

 

 

Por Bruno Nassar e Kael Moro

© 2022 Vanzin & Penteado Advogados Associados.

crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram