A ascensão das novas tecnologias possibilitou que o universo digital fosse mais bem explorado e desenvolvido. Em razão disso e de outros fatores, como a recente pandemia que impulsionou ainda mais tal processo, há uma tendência global dos novos negócios serem estruturados, desde o seu início, de modo inteiramente virtual. Este contexto, somado aos recentes incidentes ligados a vazamentos e utilizações indevidas de informações, gerou ainda maior preocupação com o tratamento e segurança dos dados.
Diversos países têm aprovado e colocado em prática algumas normas e determinações sobre o tratamento de dados. Nesse sentido, a legislação europeia, por exemplo, chamada de Regulamento Geral da Proteção de Dados (GDPR), válida em todos os países da União Europeia e do Espaço Econômico Europeu (EEE), inspirou a produção da própria legislação brasileira sobre o assunto, a conhecida Lei Geral de Proteção de Dados (LGPD).
Influência e pressão do Mercado
Além dos frameworks existentes, o próprio mercado, em especial grandes empresas, exige de seus parceiros, fornecedores e prestadores, compliance completo com as regulamentações de proteção de dados aplicáveis ao negócio, bem como padrões técnicos de segurança da informação, sob pena de, muitas vezes, não firmarem contratos com aqueles que estiverem em desacordo.
No dia 11 de março de 2022, a gigante chinesa Didi Global Inc., dona do famoso aplicativo de transportes “99”, teve queda de 44% no valor de suas ações na bolsa de Nova Iorque, após a empresa decidir suspender os preparativos para listar suas ações na bolsa de Hong Kong, de acordo com a Bloomberg.
O motivo desta decisão foi em razão de a Administração do Ciberespaço da China (Cyberspace Administration of China) ter informado aos executivos da Didi que as propostas e planos para evitar vazamentos de segurança e dados ficaram aquém dos requisitos estabelecidos.
Vale dizer que, em junho de 2021, a empresa já foi colocada sob uma investigação de segurança cibernética e teve seus serviços retirados de lojas chinesas de aplicativo. Agora, a insatisfação da agência regulatória da China aumentou a pressão em relação à Didi e levanta questões sobre eventuais penalidades a serem aplicadas.
Frente a esse cenário, a referida empresa de transportes enfrenta dias desafiadores, com: i) queda do valor das ações; ii) suspensão de comercialização de aplicativos em lojas virtuais; iii) risco de sofrer autuação e penalizações dos órgãos reguladores.
Fonte: Google
O conhecimento das Leis de Proteção de Dados aplicáveis ao seu negócio, bem como a respectiva implementação são requisitos obrigatórios, não só para cumprir com as exigências dos entes reguladores, dos formulários de compliance de clientes, parceiros e tomadores de serviço, mas para a pura sobrevivência da empresa.
É necessário estar muito bem aparelhado, não só com técnicas de segurança de informação robustas, mas muito bem instrumentalizado, com programa de Governança de Dados e Segurança da Informação, construído por um time multidisciplinar, com profissionais de TI certificados e uma assessoria jurídica especializada, com formação teórica e experiência prática em processos já implementados, consolidando o know-how necessário para planejar, diagnosticar e implementar as ações necessárias para conferir segurança à empresa perante o mundo virtual e, ainda, promover seu desenvolvimento.
Um bom exemplo dentro do contexto trabalhado neste artigo, sobre a importância do conhecimento a respeito das Leis de Proteção de Dados aplicáveis ao negócio é o caso da Startup Sizebay, quando procurou pela Vanzin & Penteado para a adequação dos documentos às legislações norte-americana e europeia. O case study está disponível neste link - https://www.vp.adv.br/case-study-sizebay-diagnostico-e-implementacao-da-lgpd/
Confira também nossos artigos especiais a respeito da LGPD e demais Legislações de Proteção de Dados ao redor do Mundo:
- A Regulamentação da Proteção de Dados ao Redor do Mundo: https://www.vp.adv.br/a-regulamentacao-da-protecao-de-dados-ao-redor-do-mundo/
- Implementação de LGPD: https://www.vp.adv.br/implementacao-da-lgpd-o-que-fazer-antes-de-contratar-uma-assessoria-juridica/
- Guia Completo de LGPD para Fintechs: https://materiais.transfeera.com/guia-completo-sobre-lgpd-e-fintechs
- LGPD para e-commerces: https://5884200.hs-sites.com/ebook-lgpd
____________
por Kael Moro e Gerson Vanzin
O “cookie” é um dado que os navegadores solicitam ao usuário para armazenamento na plataforma, site ou aplicativo. Isso permite com que o site lembre de suas ações ou preferências toda vez que for acessado.
Por se tratar de um armazenamento de dados, algumas legislações como a europeia (GDPR) indicam que os cookies apenas podem ser armazenados por um período de 30 dias. A Lei de Proteção de Dados (LGPD) não estabeleceu nenhum limite temporal, mas ainda assim, deve sempre se pautar pela necessidade. Se um dado não precisar ser armazenado, é melhor que não o seja, para evitar problemas de privacidade.
Um cookie pode gravar, por exemplo, preferências de idioma e de login, armazenar dados para apresentação de anúncios de acordo com seu perfil online, entre muitos outros dados. É possível excluí-los, revogá-los e apagá-los, com exceção aos cookies essenciais ao funcionamento do site. O usuário deve ter o maior controle possível sobre eles e deve estar de acordo com o armazenamento destes dados.
Inicialmente, havia apenas dois tipos: Cookies de First e Third Party, que podem ser traduzidos para Cookies de Primeira ou Terceira Pessoa. Os de primeira pessoa são aqueles gerados pelo próprio site, como as páginas visitadas, formulários preenchidos, informações salvas dentro do site, carrinhos de compra, etc. Já os de terceira pessoa são provenientes de fontes externas, e aceitavam que os anunciantes, por exemplo, mapeassem o histórico de navegação e o comportamento dos usuários dentro das páginas e não são mais permitidos pela LGPD.
Atualmente, elenca-se uma variedade de espécies: cookies de sessão, cookies persistentes e cookies maliciosos.
A política de cookies serve para deixar o usuário ciente dos dados que podem ser armazenados e para qual ocasião poderão ser utilizados. Também deve conter informações sobre como excluí-los. Sua política deve se preocupar com transparência: o que está sendo registrado, para que será utilizado, para onde irão esses dados e por quanto tempo irão permanecer armazenados.
Importante salientar que um simples aviso quanto aos cookies não é suficiente; é necessário que o usuário seja compelido a aceitar ou não a política em um documento de conformidade claro e objetivo, que solicite a concordância expressa.
Para elaborar uma política de cookies, é necessário reunir algumas informações:
Se os cookies tem como principal objetivo reconhecer o usuário, a política de cookies tem por sua vez, como função, a regulamentação desse conhecimento e do armazenamento dos dados, que precisa se dar de modo claro e de acordo com a legislação. Trata-se de uma garantia de mão dupla: para os usuários, na medida em que detém conhecimento sobre seus dados; e para os provedores de sites e aplicativos, na medida em que podem garantir uma atuação legal e transparente.
A Sizebay, além de cliente, é uma das grandes parceiras da Vanzin & Penteado. Com uma ideia revolucionária e um timing impecável, os fundadores Janderson Araújo e Marcelo Motta desenvolveram uma plataforma de SAAS (software as a service) que garante maior segurança e qualidade de experiência de uso para consumidores de e-commerces.
O Provador Virtual, como é chamado, é capaz de recomendar um tamanho ideal para o corpo dos clientes que acessam o e-commerce. Para isso, o algoritmo precisa de dados pessoais como peso, altura e idade, com resultados positivos que, em pouco tempo, a Startup já chegou aos Estados Unidos e à Europa.
A Startup possui alto comprometimento com a segurança das informações, tanto perante os e-commerces que contratam o serviço, quanto aos consumidores finais que utilizam a ferramenta.
Por conta disso, os fundadores sempre atribuíram alto nível de atenção às discussões acerca das legislações, internacionais e nacional, de regulamentação de tratamento de dados, o que tornou o projeto ainda mais interessante para os nossos sócios.
Nesse sentido, procuraram a assessoria do escritório Vanzin & Penteado, para novos insights e aprimoramento dos controles já existentes. Foi quando, após a reunião inicial, definiu-se o escopo do projeto:
O projeto teve as seguintes etapas:
Eis que, após o diagnóstico, o relatório foi, então, apresentado à Sizebay, através de uma rica reunião virtual, em que dúvidas foram sanadas e outros insights foram levantados para depois serem adicionados aos documentos finais.
Finalizada a etapa de análise, a Vanzin & Penteado deu início à implementação e instrumentalização dos itens identificados no relatório. Com o apoio de um check-list detalhado, a Startup pode acompanhar o desenvolvimento do projeto que contou com: revisão e redação de documentos jurídicos, em português e inglês; alteração no fluxo; ajustes na coleta de dados através de cookies; e diversas outras boas práticas de segurança da informação.
A conclusão do projeto culminou, dentre outros pontos, na criação de uma legal page nas versões em inglês e em português, que você pode conferir no site da Sizebay ou no próprio aplicativo.
Ebook de LGPD para Ecommerce feito em parceria com a Sizebay, como resultado da Sizetalk entre o fundador Janderson Araújo e o sócio da Vanzin & Penteado, Kael Moro.
Case Study da Sizebay, envolvendo a revisão do documento DPA - Data Process Agreement para adequação às legislações internacionais.
© 2022 Vanzin & Penteado Advogados Associados.