multas da LGPD – Lunardi Advocacia

Vazamento de Dados: Compreenda os riscos e obrigações sobre eles

No último dia 21 de outubro, um incidente no banco de dados da plataforma Hariexpress, que integra marketplaces de diversas empresas, expôs cerca de 1,75 bilhão de dados pessoais de usuários. Uma configuração incorreta na base de dados da empresa tornou pública informações que incluem nomes, telefones e endereços de vendedores e clientes.

Apesar de a Lei Geral de Proteção de Dados Pessoais, a LGPD, não estabelecer uma definição do que seria um incidente de segurança, a sua fonte inspiradora, a General Data Protection Regulation (Regulamento Geral de Proteção de Dados, em livre tradução – ou GDPR), norma da União Europeia define como: “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.

Portanto, trata-se de um evento que pode ocorrer de diversas maneiras e ir muito além de um pequeno erro temporário. Além da violação de privacidade, existem muitas consequências possíveis que podem, inclusive, colocar a vida de pessoas, negócios e governos em risco a depender de quem tiver acesso aos dados vazados ou a que tipo de informação tiverem alcance.

Desse modo, a LGPD, apesar da ausência de uma definição específica, possui regras características de prevenção e resposta para casos de incidentes como esses. “A LGPD estabelece que os controladores e o operadores de dados devam adotar formas de proteger os dados pessoais que tratam”, explica Fernando Bousso, sócio e head de privacidade e proteção de dados da Baptista Luz Advogados. “O controlador pode responder pelos danos decorrentes da violação da segurança dos dados caso deixe de adotar as medidas de segurança adequadas”.

Além disso, a LGPD também aponta como norma a entrega do relatório de impacto à proteção de dados pessoais, conhecido também como DPIA – sigla em inglês para avaliação de impacto à proteção de dados. “O relatório visa documentar as atividades de tratamento de dados de um produto ou serviço específico, buscando compreender quais são os demais agentes envolvidos, os riscos atrelados, as medidas técnicas, administrativas e organizacionais que devem ser implementadas e, conforme o caso, o risco residual que será assumido pela empresa”, afirma Bousso.

O que fazer em caso de um incidente de vazamento de dados?

Caso seja constatado um incidente de segurança os passos a serem tomados são de extrema importância para não agravar a situação. “Quando o incidente puder acarretar risco ou dano relevante para os titulares, o controlador deve informar a sua ocorrência à autoridade nacional e aos titulares”, alerta o advogado. “O aviso deve ser feito dentro de um prazo razoável e apresentar as informações relevantes sobre o fato, como a descrição da natureza dos dados afetados e os riscos relacionados ao incidente”, completa.

Diante disso, conforme o parágrafo dois do artigo 48, a autoridade nacional verificará a gravidade do incidente e poderá determinar ao controlador a adoção de providências, como ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente. “Quando a autoridade investigar a gravidade do ocorrido, o nível de segurança conferido ao tratamento de dados será levado em conta para determinar se haverá ou não a aplicação de alguma sanção”, finaliza Bousso.

O Baptista Luz foi fundado em 2004 e se notabilizou, ao longo desses anos, por sua profunda expertise nos setores que envolvem aceleradoras de investimentos, mercado financeiro e de capitais, investidores-anjo, venture capital, startup, fintechs, mobile, e-commerce, publicidade e cosméticos.

Fonte: Rede Jornal Contábil .

3 benefícios da LGPD que vão além do compliance

Em vigor desde 2020, a Lei Geral de Proteção de Dados (LGPD) é frequentemente atrelada às multas e sanções administrativas. Mas também há, na lei, aspectos positivos para as empresas. Segundo uma pesquisa realizada pela Fundação Dom Cabral (FDC), 61% dos entrevistados consideram que a LGPD traz valor para as empresas e não a veem como obstáculo burocrático.

Foto: Marcello Casal jr/Agência Brasil

A IOB, uma marca da ao³, referência nas áreas contábil, fiscal, tributária e trabalhista, listou três benefícios de estar em conformidade. Confira:

1. Melhora a segurança

A LGPD veio para ajudar a prevenir os temidos ataques cibernéticos, uma vez que obriga a organização a rever suas regras de privacidade e segurança. Por exemplo, é recomendável pelas boas práticas de segurança que ferramentas tecnológicas sejam escolhidas dentro dos três pilares da segurança da informação, o chamado CID:

1. Confidencialidade: seja restrito apenas para usuários autorizados, com logins, senhas e mecanismos que assegurem a confidencialidade das informações;
2. Integridade: garante que todas as informações sejam preservadas em seus formatos originais, sem alterações e sem desviar dos objetivos para os quais foram coletadas. Resumindo, elas devem permanecer íntegras, sem sofrer interferências externa
3. Disponibilidade: precisa estar disponível 24 horas por dia, sete dias por semana, para que possa ser acessada quando necessário.

Com base em um levantamento da Comissão de Valores Mobiliários (CVM), as notificações referentes a ataques cibernéticos, no Brasil, cresceram 220% no primeiro semestre deste 2021, em comparação com o mesmo período de 2020. Por essa razão, proteger os dados é vital para garantir a continuidade dos negócios, minimizar danos e eventuais prejuízos financeiros. Lembrando que todos os incidentes relativos aos dados pessoais devem ser notificados à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares, independentemente do grau de criticidade.

2. Aumenta a credibilidade

Ao proteger os dados respeitando a lei, a empresa também demonstra que se preocupa com a privacidade dos seus clientes, colaboradores e parceiros comerciais. Isso aumenta a confiança do mercado podendo inclusive atrair mais negócios.

O ponto principal é que esse cuidado, aliado à uma relação transparente, melhora a reputação e a imagem do negócio, já que as pessoas não querem consumir produtos ou serviços de empresas que têm histórico de vazamento. É preciso lembrar que cuidar da imagem não pode ser algo apenas nas mídias sociais, mas sim, um cuidado com toda a operação.

3. Traz mais competitividade

O processo de adequação exige organização da casa. Ou seja, mapeamento e melhoria de processos, identificação de possíveis falhas e pontos de melhoria na operação. São medidas capazes de ajudar no planejamento estratégico e influenciar no crescimento do negócio.

Rever os processos também pode trazer benefícios financeiros. Por exemplo, armazenar documentos sem controlar o tempo, previsto em lei, que eles devem ficar guardados, pagando um espaço físico e/ou servidor a mais só para isso, é um custo que pode ser eliminado. Ao analisar esses documentos e notar que pela LGPD é possível descartá-los, a empresa pode enxugar custos e direcionar essa verba para investir internamente, destacando-se entre os concorrentes.

“A LGPD contribui para que profissionais e empresas possam expandir, crescer e oferecer melhores produtos e serviços. Investir na privacidade é mais do que estar em compliance, é uma estratégia de negócio, que ajuda a melhorar eficiência operacional e gera maior fidelidade e confiança dos clientes”, afirma Clayton Lourenço, Gerente de Segurança/Proteção de Dados Pessoais e DPO da ao³.

A ao³ potencializa negócios de mais de 110 mil micro, pequenas e médias empresas e 20 mil escritórios de contabilidade por meio de tecnologia e atitude de mais de 1.000 colaboradores.

Fonte: Rede Jornal Contábil .

LGPD: Veja os mitos e verdades sobre a lei que está impactando muitas empresas

O aumento dos casos de vazamento de dados, principalmente, durante a pandemia tornou-se uma preocupação cada vez maior para a população e, principalmente, para as empresas. Com quase dois meses desde o início da vigência plena, a LGPD (Lei Geral de Proteção de Dados) trouxe mudanças importantes para a coleta, o tratamento e o armazenamento de dados pessoais pelas companhias. A preocupação com o tema acabou criando, também, alguns mitos, que cercam as empresas que precisam urgentemente implantar ou aperfeiçoar seus sistemas.

Embora seja urgente essa adaptação, estudo recém-divulgado da Fundação Dom Cabral (FDC), feito com 207 companhias brasileiras que têm conselho de administração ou consultivo em suas estruturas, mostra que no 1º semestre deste ano 40% delas admitiram não estar ajustadas às novas exigências.

Para Sylvio Sobreira, CEO da SVX Corporate, consultoria em Governança, Proteção de Dados e Inovação, “as empresas que ainda não se moldaram, devem começar o quanto antes a implantar esse procedimento, pois demandará um trabalho amplo e complexo, cujo não cumprimento implicará em multas que podem chegar a 2% do faturamento da organização”.

O executivo esclarece alguns mitos e verdades que irão auxiliar de maneira objetiva as empresas a direcionar esforços e investimentos de modo assertivo nessa necessidade de ajustes:

• A LGPD veio para dificultar o uso de dados pessoais pelas empresas?

Mito! A Lei foi implementada para reformular a maneira com que as empresas trabalham com dados pessoais dos clientes. A normativa é bem rígida com relação à privacidade dos usuários, mas também oferece benefícios como fornecer mais segurança jurídica e traz mais transparência para o relacionamento cliente – empresa. Além de facilitar a gestão de dados.

• A principal regra da legislação é pedir o consentimento para tratar dados pessoais?

Mito! A normativa traz dez bases legais para argumentar o tratamento de dados pessoais, sendo o consentimento apenas uma delas. Ou seja, o consentimento do cliente é essencial, quando não é possível enquadrar o tratamento em nenhuma das outras bases previstas.

• Todas as informações pessoais dos usuários devem ser eliminadas dos bancos de dados das empresas de maneira definitiva?

Verdade! A LGPD traz como um direito para os titulares que seus dados sejam eliminados, só poderão ser armazenados caso exista alguma obrigação legal que a empresa necessita cumprir (por exemplo: um funcionário com seus dados trabalhistas). Ou o registro de uma compra em que existem prazos específicos estabelecidos pela Secretaria da Fazenda. Caso contrário, as empresas que receberem este tipo de solicitação, deverão ser capazes de atender e demonstrar evidências.

• Dados guardados em arquivos físicos não se enquadram na lei?

Mito! A lei não distingue a forma como os dados pessoais são tratados (arquivo físico ou eletrônico). O que está bem claro é que todas as informações devem ser resguardadas e a maneira como a empresa usa essas informações deve ser transparente e explícita para os titulares.

A SVX Corporate está presente em 11 estados do Brasil, com mais de 60 projetos e 12 tipos de atividades, dedicados à serviços integrados em estratégia, marketing, organização, operações, tecnologia, fusões e aquisições, compliance, privacidade e proteção de dados.

Fonte: Rede Jornal Contábil .

LGPD: O inicio das Aplicações das multas

A Lei Geral de Proteção de Dados (LGPD) foi aprovada em agosto de 2020, contudo, os artigos que tratam das penalidades somente entraram em vigor em agosto.

Em resumo, agora é para valer!

Por causa desse atraso na aplicação das multas, poucas empresas se ocuparam da nova norma, seja ela pequena ou grande.

Pesquisas mostram que mais de 50% das companhias listadas na B3 da Bovespa ainda não se adaptaram.

“Nova norma” é um eufemismo: a lei n° 13.709 é de 2018, e a maior parte dos seus artigos entrou em vigor em 2020, ficando as penalidades para 2021 (artigos 52, 53 e 54).

Os jornais noticiaram recentemente ações de sindicatos contra empresas já exigindo penalidades para aquelas que expuseram os dados de seus funcionários.

Como já esperávamos, a lei será um motivador de litígios – alguns unicamente pecuniários.

Leis protetivas ajudam hipossuficientes eventualmente injustiçados, mas também atraem arrivistas e gananciosos, outro esporte no qual contamos com recordistas olímpicos em profusão.

Assim, recomenda-se dar atenção à lei e preparar a empresa para isso.

Nos processos recém ajuizados sobre o tema, livraram-se aquelas empresas que demonstraram a adoção de medidas e boas práticas visando o cumprimento das determinações legais; as outras estão sendo obrigadas a se adaptar em curto espaço de tempo, sob pena de multas diárias impostas pelo judiciário.

Para relembrar alguns pontos da lei, colocamos abaixo alguns conceitos relevantes e cuidados que toda empresa deve ter:

Os dados protegidos pela lei são aqueles das pessoas físicas somente, não das PJ.
Dado pessoal não se restringe àqueles mantidos em sistema de informática, mas é qualquer informação da pessoa física que seja controlada por uma pessoa jurídica: vai do atestado médico admissional ao boletim escolar, passando pela caderneta de vacinação dos filhos, dados de sócios em um contrato social, e o histórico de crédito, dentre outros.
Toda empresa precisa ter um encarregado de dados pessoais, pessoa assim nomeada para atuar como canal de comunicação entre o controlador dos dados e os seus titulares, bem como a ANPD – Autoridade Nacional de Proteção de Dados.
A utilização de dados pessoais deve ser precedida de consentimento por escrito do titular dos dados.
Exclui-se da necessidade de consentimento a utilização para fins jornalísticos, acadêmicos, cumprimento de obrigações legais, utilização judicial, execução de contratos, proteção do crédito dentre outros.
O compartilhamento dos dados deve também ser precedido de consentimento.
Encerramento o tratamento dos dados, os mesmos devem ser eliminados.
O titular dos dados pode, a qualquer momento, acessar os dados, confirmar a sua existência, portar os dados para outro fornecedor, revogar o consentimento e solicitar a sua eliminação.
Pode o controlador dos dados implementar programa de governança com regras próprias para o tratamento dos dados e seu acesso por terceiros, bem como o cumprimento da lei.
As penalidades por descumprimento da lei podem chegar a até 2% do faturamento, limitada a R$ 50 milhões por infração.

Como dito, tudo já estava valendo, menos as penalidades, que entram em vigor em agosto deste ano.

Para quem ainda não se adaptou, passou a hora.

Gasta-se energia, tempo e dinheiro; mas empresas pequenas e médias conseguem realizar um programa de governança de dados de maneira acessível.

O programa começa por um diagnóstico com a indicação dos pontos críticos, ou seja, identificando processos internos nos quais dados são tratados; em seguida, é hora de criar regras para esses processos.

Por fim, é o momento de adaptar seus documentos, contratos, e políticas internas para o atendimento da lei: inserção de cláusulas em contratos padrão, adoção de um termo de consentimento padrão, criação de uma política de privacidade, dentre outros.

Quem quiser, pode ainda realizar a certificação da ABNT específica para a LGPD, o que lhe garantirá uma prova documental da implementação de boas práticas.

Ela está chegando!

Por: Marco Aurélio Medeiros, advogado desde 1999. Pós-graduado em Direto da Economia e da Empresa e em Gestão Empresarial pela Fundação Getúlio Vargas – FGV, Mestrando em Contabilidade Tributária pela FUCAPE/RJ. Ex-professor de Direito Empresarial da Universidade Estácio de Sá e ex-auditor do Tribunal de Justiça Desportiva do RJ.

Fonte: Rede Jornal Contábil .