LGPD - prazo de 72 horas para notificar incidentes com dados pessoais

ANPD estabelece medida que exige resposta rápida e gera impacto direto nas Autoridades de Registro da ICP-Brasil

A Autoridade Nacional de Proteção de Dados (ANPD) passou a exigir que empresas e órgãos públicos comuniquem à entidade incidentes de segurança envolvendo dados pessoais em até três dias úteis, contados a partir do conhecimento do incidente. A exigência está prevista na Resolução CD/ANPD nº 15/2024, em vigor desde abril de 2024, mas vem sendo aplicada com rigor no segundo semestre de 2025.

A medida da ANPD tem como objetivo reforçar a transparência e proteger os direitos dos titulares diante da intensificação de ataques cibernéticos e falhas operacionais. A norma se aplica somente quando o incidente representa risco ou dano relevante aos titulares, por exemplo, envolvendo dados sensíveis, financeiros, de autenticação ou de menores de idade, e também pode envolver tratamento em larga escala.

Se uma avaliação preliminar indicar falta de informações completas, é possível realizar uma comunicação inicial, seguida de complementação dentro de 20 dias úteis.  Ainda que o incidente não precise ser reportado, o controlador deve manter registro interno pelo prazo mínimo de cinco anos.

Fonte: Crypto ID, com edição do texto pela M&M Assessoria Contábil

LGPD - Associação não terá de cumprir norma coletiva que fere Lei Geral de Proteção de Dados

Cláusula previa fornecimento de dados pessoais considerados sensíveis

Resumo:

·       A norma coletiva previa o repasse de dados pessoais de empregados à empresa gestora de um cartão de descontos.

·       A empresa justificou que deveria zelar pela privacidade de seus empregados.

·       Segundo a 1ª Turma, a exigência é ilegal porque não houve consentimento dos trabalhadores.

A Primeira Turma do Tribunal Superior do Trabalho rejeitou recurso de um sindicato dos empregados, que pretendia que uma tradicional Associação enviasse a uma empresa administradora de cartão de descontos dados pessoais de seus empregados.  Segundo o colegiado, a medida fere a Lei Geral de Proteção de Dados Pessoais (LGPD - 13.709/2018), por se tratar de privacidade, direito fundamental indisponível.

Dados iriam para administradora do cartão

As convenções coletivas da categoria vigente entre 2019 e 2023 previam um benefício chamado "Bem-Estar Social", cujo objetivo seria conceder vantagens por meio de um cartão de descontos administrado por um Clube de Benefícios Sociais. Para a emissão do cartão, mediante mensalidade paga pelo empregador, este teria de informar, por e-mail,  nome completo, CPF, telefone, e-mail, data de nascimento e nome da mãe de cada empregado. 

Em junho de 2022, o sindicato ajuizou a ação informando que a associação não vinha cumprindo essa cláusula da norma coletiva. Disse que tentou várias vezes entrar em acordo nesse sentido, mas a instituição sempre ofereceu resistência, recusando as tentativas de conciliação.  

A associação, em sua defesa, sustentou, entre outros pontos, argumentou que as informações exigidas eram classificadas pela LGPD como "dados sensíveis", e os empregadores, de acordo com a lei, têm o dever de resguardar os dados pessoais de seus funcionários e zelar pela sua privacidade.

Sem sucesso na primeira e segunda instância, o sindicato tentou a análise do caso pelo Tribunal Superior do Trabalho, sustentando que a convenção coletiva de trabalho reflete a realidade e os interesses legítimos dos empregados, e a cláusula visa à melhoria dos benefícios aos trabalhadores. "É preciso garantir a prevalência da vontade coletiva expressa na cláusula normativa", defendeu.

Acordo coletivo não pode dispor sobre direitos indisponíveis

Para relator do recurso, ministro Amaury Rodrigues, a exigência é ilegal. Ele explicou que a LGPD, em sua parte geral, entrou em vigor em agosto de 2020 e prevê que o tratamento de dados pessoais exigirá o consentimento do seu titular - no caso, dos empregados da associação. Não se aplica ao caso, a seu ver, a tese do Supremo Tribunal Federal (Tema 1.046) sobre a validade das normas coletivas. "O que se discute são os direitos relacionados à privacidade de dados pessoais dos empregados", afirmou, lembrando que a proteção específica à intimidade e à vida privada é um direito indisponível, que não pode ser negociado. 

A decisão foi unânime.

Nota M&M: Destacamos que esta decisão foi aplicada neste processo específico, e pode servir como um norteador para futuras sentenças. Porém, situações semelhantes poderão ter decisões diferentes, especialmente nas esferas de primeiro e segundo graus.

Fonte: Tribunal Superior do Trabalho, Processo: Ag-AIRR-1000888-31.2022.5.02.0088, com edição do texto e "nota" da M&M Assessoria Contábil

LGPD - Glossário de termos jurídicos e técnicos essenciais para a interpretação e aplicação da Lei Geral de Proteção de Dados

O glossário tem o objetivo de consolidar, em um único instrumento, conceitos de uma variedade de atos normativos e orientações expedidos pela ANPD. Dessa forma, o acesso e a compreensão de termos jurídicos e técnicos essenciais para a interpretação e aplicação da Lei Geral de Proteção de Dados (LGPD) terão o acesso e à atualização simplificados.  

Elaborado pela Coordenação-Geral de Normatização (CGN), o documento é dinâmico e será atualizado segundo as novidades do setor. Trata-se, ainda, de medida que vai ao encontro da difusão de conhecimento sobre a proteção de dados pessoais e da padronização de procedimentos que facilitem o controle dos dados pessoais pelos titulares. 

Acesse o Glossário clicando no link: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/glossario-anpd

Fonte: ANPD

LGPD - Lei Geral de Proteção de Dados

PARA QUE SERVE A LGPD?

A Lei Geral de Proteção de Dados (LGPD) foi criada para que o cidadão brasileiro tenha controle sobre seus dados pessoais e para estabelecer as regras quanto ao tratamento de tais dados por organizações públicas e privadas. Com a lei, o cidadão recebeu o direito de saber exatamente quais dados estão sendo coletados, o porquê e quem está compartilhando, e, de maneira mais abrangente, como esses dados estão sendo tratados.

QUAIS OS DIREITOS DOS USUÁRIOS?

O direito de ter confirmação da existência de tratamento;

- acesso aos dados;

- correção de dados incompletos, inexatos ou desatualizados;

- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em
desconformidade com a Lei;

- portabilidade dos dados;

- informação sobre o compartilhamento dos dados;

- e outros que podem ser conferidos na lei.

QUAIS OS BENEFÍCIOS PARA AS EMPRESAS?

Para as empresas, sejam elas pequenas ou grandes ou o próprio poder público, a LGPD traz mais segurança jurídica e, com isso, permite que se faça uma gestão mais eficiente dos riscos, além de promover um aumento no padrão do serviço e da competitividade, dentro e fora do Brasil.


Por isso é importante ficar de olho nas obrigações que a LGPD trouxe para as empresas, sendo algumas delas:

- Manter Registro das operações de tratamento de dados;

- Informar ao titular sobre possíveis violações de dados;

- Confirmar a existência e tratamento de dados de um cliente;

- Indicar o encarregado ou contatos para os clientes;

- Orientar funcionários e/ou terceiros sobre as boas práticas do tema.

O tema deve ser tratado diariamente no seu negócio, no sentido de preservação de fundamentos relacionados a lei, como:

- O respeito à privacidade;

- A liberdade de expressão, de informação, de comunicação e de opinião;

- A inviolabilidade da intimidade, da honra e da imagem;

Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Fonte: Sebrae/RS

ANPD fixa nova interpretação sobre dados de crianças e adolescentes

ANPD destaca a preponderância do melhor interesse da criança e do adolescente como critério fundamental para a avaliação de operações de tratamento de dados

A Autoridade Nacional de Proteção de Dados (ANPD) publicou um enunciado que pretende uniformizar a interpretação da Lei Geral de Proteção de Dados Pessoais (LGPD) quanto às hipóteses legais que autorizam o tratamento de dados de crianças e adolescentes. De maneira geral, o enunciado estabelece que o melhor interesse das crianças e dos adolescentes deve ser sempre priorizado.

A publicação do enunciado é um marco importante na proteção dos dados pessoais de crianças e adolescentes no Brasil e representa a primeira iniciativa da ANPD nesse tema. 

O artigo 14 da LGPD prevê que o tratamento de dados pessoais de crianças deve ser feito com consentimento dos pais ou responsável legal. Ao permitir o tratamento apenas com consentimento, a lei se tornava um potencial obstáculo entre o melhor interesse da criança e o consentimento.

"Desde a edição da LGPD, convivíamos com incerteza nesse ponto, diante da frieza da previsão do artigo 14, que aparentemente impunha insuperável exigência de consentimento para tratamento de dados de crianças", explica Paulo Vidigal, sócio do escritório Prado Vidigal Advogados, especializado em Direito Digital, Privacidade e Proteção de Dados. "Exigência essa que permanecia apenas no papel, já que é inviabilizadora de muitas atividades essenciais que não poderiam se sujeitar à autorização do titular", completa. 

De acordo com o enunciado, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, como nos casos de consentimento fornecido pelo titular, de cumprimento de obrigação legal, de proteção à vida ou de atendimento a interesse legítimo do controlador. Em qualquer situação, o melhor interesse da criança e do adolescente deve prevalecer, exigindo avaliação cautelosa por parte do controlador. 

"Em suma, o enunciado busca promover a segurança jurídica e a proteção adequada dos dados pessoais de crianças e adolescentes, reforçando o princípio do melhor interesse e contribuindo para um ambiente digital mais seguro para o futuro", afirma Antonielle Freitas, DPO (Data Protection Officer) do escritório Viseu Advogados. 

No entanto, Paulo Vidigal alerta que "o enunciado não pode ser tomado como um cheque em branco, pois, independentemente da base legal utilizada, competirá ao controlador demonstrar a observância e prevalência do melhor interesse do menor".

Coleta de dados pessoais de crianças no Brasil

Uma pesquisa realizada pelo Human Rights Watch no final do ano passado apontou que ferramentas de educação online, incluindo duas criadas por secretarias estaduais de educação, coletaram dados de crianças no Brasil. 

Esses sites não apenas monitoraram as crianças em suas salas de aula virtuais, mas também as acompanharam enquanto navegavam na internet, fora do horário escolar, mergulhando profundamente em suas vidas privadas. 

"Crianças e adolescentes, bem como suas famílias são mantidas no escuro sobre a vigilância de dados praticada em salas de aula online", disse Hye Jung Han, pesquisadora de tecnologia e direitos da criança da Human Rights Watch. "Em vez de proteger crianças e adolescentes, governos estaduais permitiram deliberadamente que qualquer pessoa as vigiasse e coletasse suas informações pessoais online".

A investigação realizada pela organização de direitos humanos descobriu que: 

Quatro sites aplicaram técnicas de rastreamento particularmente intrusivas para vigiar estudantes de forma invisível e de maneiras impossíveis de se evitar ou se proteger. 

Um site usou a gravação de sessão, técnica que permite que terceiros assistam e registrem o comportamento de um usuário em uma página web, incluindo cliques do mouse e movimentos em sites.

De 2021 a 2023, sites educacionais pertencentes e operados pelas próprias secretarias de educação de Minas Gerais e São Paulo enviaram dados pessoais de crianças e adolescentes para empresas de tecnologia de publicidade. 

Quatro sites rastreiam crianças e adolescentes com mais intensidade do que normalmente um adulto é rastreado ao navegar na Internet.

A Human Rights Watch argumentou que a criação de perfis, o direcionamento e a publicidade para crianças e adolescentes nestes moldes violam de forma inadmissível sua privacidade, pois não são ações proporcionais ou necessárias para que esses sites funcionem ou forneçam conteúdo educacional. 

Por isso, a organização pede que os legisladores brasileiros promovam adequações na lei para estabelecer regras abrangentes de proteção de dados infantis, incluindo a proibição de publicidade comportamental e o uso de técnicas de rastreamento intrusivas para crianças e adolescentes. 

"Essas regras também deveriam exigir que todos os atores que ofereçam serviços online para crianças e adolescentes forneçam os mais altos níveis de proteção de dados e de privacidade às crianças e adolescentes", afirmam.

Fonte: LexLatin

Como pequenas empresas devem registrar operações de tratamento de dados pessoais?

Em cumprimento ao Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte (ATPP), a Autoridade Nacional de Proteção de Dados (ANPD) publicou o modelo de registro simplificado das operações de tratamento de dados pessoais para pequenas empresas.

O modelo contém apenas os campos considerados essenciais para que a Coordenação-Geral de Fiscalização da ANPD, caso necessite, receba desses agentes as informações básicas para o exercício das atividades fiscalizatórias. 

A LGPD prevê a criação de orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e startups possam se adequar à lei. Isso porque a complexidade e especificidade das obrigações da lei pode necessitar, em algumas situações, de elevado investimento, podendo causar um impacto financeiro em agentes de tratamento de pequeno porte.

"Em relação ao registro em si, ele é bom porque facilita que essas empresas de pequeno porte cumpram a LGPD sem ser oneradas em demasia e não torna o cumprimento legal algo impossível para essas empresas. E também é bom para o titular porque mesmo quando seus dados são tratados por essas empresas de pequeno porte, os seus direitos fundamentais que estão previstos na LGPD continuam garantidos", explica Marcelo
Cárgano, advogado especialista em direito digital no escritório Abe Advogados. 

O regulamento não abarca empresas que fazem tratamentos de alto risco, lembra o advogado. "Empresas que façam tratamento automatizado de milhões de usuários ou que tratam dados pessoais sensíveis não podem se beneficiar porque o tratamento que elas fazem oferece alto risco aos cidadãos. Mas, de maneira geral, muitas empresas de pequeno porte, startups, por exemplo, ou microempresas, que não realizam tratamento de alto risco, vão poder se beneficiar desses procedimentos simplificados. Então, é uma boa notícia da ANPD para quem lida com dados pessoais", afirma Marcelo Cárgano.

O documento traz oito campos de preenchimento, como: informações de contato da instituição; categorias de titulares de dados pessoais; dados pessoais; compartilhamento de dados; medidas de segurança; período de armazenamento dos dados pessoais; processo, finalidade e hipótese legal; e observações. 

Nádia Cunha, coordenadora da área de Contratos e Compliance em Proteção de Dados, do escritório Jorge Advogados Associados, destaca a informação quanto ao compartilhamento de dados, que é uma das mais frequentes violações à lei.

"Embora conste o compartilhamento em políticas de muitas empresas, elas não especificam exatamente para onde esses dados vão e para qual finalidade, bem como vinculam o consentimento do titular ao aceite geral da política, sem permitir que haja discordância. O rastreamento é essencial para que os responsáveis por compartilhamentos indevidos sejam identificados e punidos, quando o caso, e esse registro é importante para que isso ocorra", argumenta.

No campo de compartilhamento, a ANPD orienta as empresas a descrever o fluxo de compartilhamento para fora da organização e o nome dos terceiros, com quem os dados foram compartilhados e qual a finalidade do compartilhamento.

"Principalmente em se tratando de agentes de pequeno porte, orientações vindas do agente regulador, como a publicação deste modelo, é de grande valia e inclinam ao cumprimento da lei", conclui a advogada.

Fonte: LexLatin

A coleta e uso de dados pelas farmácias e a Lei Geral de Proteção de Dados (LGPD)

Após estudar a coleta e uso de dados no setor farmacêutico e o recebimento de denúncias de titulares de dados e de investigações jornalísticas sobre o tema, o Conselho Diretor da Agência Nacional de Proteção de Dados (ANPD) determinou a instauração de procedimento fiscalizatório pela
Coordenação-Geral de Fiscalização (CGF) e a análise dos limites do consentimento como hipótese legal na concessão de descontos pelo setor, especialmente em programas de fidelização, em cooperação com a Secretaria Nacional do Consumidor.  

Com os insumos, a Coordenação-Geral de Normatização (CGN) poderá elaborar medidas orientativas direcionadas ao setor. Um primeiro raio X das farmácias está na Nota Técnica nº 4/2022/CGTP/ANPD, que traz uma série de constatações sobre o uso de dados pessoais no setor farmacêutico.  

Esse estudo começou em 2020, também a partir de denúncias. As principais constatações mostram que algumas práticas de tratamento de dados pessoais ainda não estavam em completa conformidade com a legislação, incluindo o tratamento de dados pessoais para finalidades diferentes daquelas indicadas aos titulares e indícios de coleta excessiva de dados pessoais, incluindo dados pessoais sensíveis, sem informações claras sobre como esses dados são tratados. 

Outra questão identificada foi a falta de transparência em relação ao compartilhamento de dados com prestadores de serviços e demais parceiros comerciais, como os responsáveis pelos programas de fidelização, que criam perfis comportamentais em suas interações com clientes e permitem que os titulares de dados acumulem e resgatem pontos a partir de suas compras.  

Em geral, a participação nesses programas e a concessão de descontos está condicionada ao tratamento de dados pessoais e dados sensíveis mediante o uso do consentimento, o que pode envolver falta de informação e de liberdade pelos titulares de dados. 

O estudo concluiu que há baixa maturidade dos agentes de tratamento do setor de varejo farmacêutico no que se refere à proteção da privacidade e dos dados pessoais, o que tem prejudicado o direito à informação dos titulares. 

Fonte: Convergência Digital, com edição do texto pela M&M Assessoria Contábil

LGPD não protege dados de pessoas falecidas

Ao responder uma consulta feita pela Polícia Rodoviária Federal, a Autoridade Nacional de Proteção de Dados firmou um posicionamento de que a Lei Geral de Proteção de Dados (Lei 13.709/18) não alcança dados relativos a pessoas já falecidas. Os dispositivos da LGPD, portanto, só protegem os vivos. 

"A LGPD se aplica apenas a informac?o~es relacionadas a pessoas naturais, ou seja, vivas, identifica?veis ou identificadas. Os dados relativos a uma pessoa falecida na~o constituem dados pessoais para fins de LGPD e, portanto, na~o esta~o sujeitos ao ni?vel de protec?a~o da LGPD", diz a ANPD na Nota Técnica 3/23, da Coordenação Geral de Fiscalização. 

A análise da Autoridade foi provocada a partir de uma consulta feita pela PRF, que pretende criar uma página na web com nomes e fotos de ex-servidores já falecidos, a título de homenagem. 

Segundo a avaliação da ANPD, a Lei de proteção de dados "foi editada para regulamentar o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa juri?dica de direito pu?blico ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". 

"Nesse caso, pressupo~e-se que a sua incide^ncia se da? no a^mbito do tratamento de dados pessoais de pessoas naturais, ou seja, vivas, ja? que, de acordo com o art. 6o do Co?digo Civil, a existe^ncia da pessoa natural termina com a morte. A protec?a~o post mortem dos direitos da personalidade dos titulares de dados pessoais na~o estaria, enta~o, abarcada pela LGPD, pois na~o mais ha? desenvolvimento de personalidade", diz a Nota Técnica. 

A ANPD aponta que existem pelo menos sete projetos de lei no Congresso Nacional que tratam do direito à "herança digital" - ou seja, a transmissão aos herdeiros de "conteúdos, contas e arquivos digitais do autor da herança". 

Além disso, a Autoridade entende que existem outros instrumentos, como o direito sucessório e os direitos de personalidade, que incluem o direito ao nome e à imagem (art. 16 e 20, Código Civil). 

"Nesse cenário, quando aplicáveis, os direitos de personalidade podem ser utilizados como ferramentas de proteção dos interesses das pessoas falecidas, sendo a proteção de dados seara inadequada para defesa desses interesses", complete a ANPD. 

Fonte: Convergência Digital

LGPD - Alerta: Encarregado de dados não precisa de registro ou entidade

A Autoridade Nacional de Proteção de Dados publicou uma nota de esclarecimento sobre a atividade do Encarregado de Dados. Trata-se de interpretação com objetivo de orientar empresas e profissionais uma vez que ainda não foram publicadas regras específicas sobre essa atividade. 

Em especial, a ANPD aponta que não há validade em normas criadas por entidades privadas, visto a ausência das regras específicas, bem como não existe exigência legal de registro profissional ou de atuação por meio de associação ou entidades. Diz a ANPD: 

"Diante de dúvidas sobre as competências e a atuação do Encarregado, a Autoridade Nacional de Proteção de Dados - ANPD, como órgão central de interpretação da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), informa que:  

- As competências do encarregado estão descritas nos incisos I a IV do § 2º do art. 41 da LGPD, cabendo exclusivamente à ANPD, segundo o § 3º do mesmo artigo, "estabelecer normas complementares sobre a definição e as atribuições do encarregado".  

- A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação futura, conforme previsto na Agenda Regulatória para o biênio 2023-2024.  

- Por isso, até a presente data, não há reconhecimento oficial, pela ANPD, quanto à validade de qualquer norma ou procedimento de conduta estabelecidos por entidades privadas com o objetivo de nortear a atuação dos profissionais que atuam como encarregado. 

- Ademais, não há qualquer exigência legal de que o relacionamento entre titulares de dados e o encarregado, ou entre o encarregado e a ANPD, se dê por meio de entidades intermediárias ou representativas. À luz da LGPD, o encarregado pode se relacionar diretamente com a ANPD e com os titulares de dados. 

- Não existe qualquer exigência legal de registro, perante a ANPD ou perante associações privadas, de profissionais de proteção de dados ou de encarregados como condição para o exercício da profissão ou como requisito para sua contratação. Tampouco há reconhecimento oficial da ANPD quanto a eventuais mecanismos de registro privado desses profissionais. 

- A ANPD esclarece que atualmente não credencia ou reconhece entidades ou empresas para a emissão de selos que possam atestar a adequação à LGPD, e tampouco para a homologação de softwares ou aplicativos em conformidade com a lei.  

- Desta forma, para fins de cumprimento da LGPD, também não há exigência legal de selos de conformidade à LGPD ou de homologações de software ou aplicativos. Tais instrumentos, se oferecidos por entidades privadas, não constituem garantia oficial de conformidade à legislação de proteção de dados pessoais."

Fonte: Convergência Digital

LGPD em pauta: sanções administrativas já podem ser aplicadas em território nacional

Autoridade Nacional de Proteção de Dados (ANPD) define regras para aplicar punições por descumprimento de à Lei Geral de Proteção de Dados.

Apesar de a Lei Geral de Proteção de Dados (LGPD) estar em vigor desde 2020, somente no final de fevereiro de 2023 a Autoridade Nacional de Proteção de Dados (ANPD) divulgou a resolução que define os parâmetros para aplicação das punições pecuniárias e não pecuniárias relacionadas ao não-cumprimento da legislação.

Durante entrevista com o presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, afirmou que a primeira sanção deve ocorrer nos próximos três meses, há oito processos em fase final de análise e, além desses, a autarquia já tem outras seis mil denúncias na fila. 

Graziele França, especialista contábil da WK, empresa referência em ERP, explica que a Resolução ANPD 04//2023 também consolidou as formas de dosimetria para o cálculo do valor-base das multas e reforça a importância da adequação para evitar transtornos e contribuir até para a competitividade. 

"Todas as empresas precisam reavaliar a forma como estão gerenciando dados pessoais e sensíveis de seus clientes, fornecedores e colaboradores. Além de evitar o risco de sanções administrativas, as marcas que tratam os dados com segurança também são melhor vistas pelos consumidores", observa.

Pesquisa realizada pela Cisco em 26 países, incluindo o Brasil, apurou que empresas estão alcançando resultados significativos com o investimento em privacidade e, dentre as principais vantagens observadas, está a confiança dos clientes.

Entre as instituições que atuam no país, o retorno médio é de 2,8 vezes o valor investido, acima da média internacional, de 1,8 vez. Vale lembrar que, além de multa, as penalidades previstas na LGPD também incluem: advertência; possibilidade de publicização da infração; bloqueio dos dados pessoais envolvidos; eliminação dos dados pessoais envolvidos; suspensão parcial, por até 06 (seis) meses do banco de dados envolvido; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O ERP é uma ferramenta para reforçar a proteção, armazenamento e o correto manejo e distribuição dos dados das organizações. Se estiver buscando um software, é importante garantir que ele tenha os recursos abaixo, destacados pela especialista contábil Graziele França, da WK, empresa referência em ERPs. Confira:

Estratégia para tratamento de dados

Para se manter em conformidade com a LGPD, uma das estratégias mais seguras adotadas pelas empresas é optar por um sistema de gestão empresarial (ERP) atualizado, integrado e que esteja de acordo com as novas regras. A especialista contábil aponta alguns dos atributos e ferramentas que devem ser observados na escolha e implementação deste tipo de sistema:

Banco de dados próprio e criptografado

Para garantir a segurança dos dados de um sistema é necessário criptografar as informações. Assim, caso ocorra um ataque, todos os elementos no software vão estar ilegíveis, e, portanto, protegidos. É uma medida relativamente simples, mas extremamente eficaz. 

Permissão de acesso por usuários

Outra questão importante que o ERP pode sanar é a segregação de funções, ou o permissionamento de usuários.Se as funções estiverem mais restritas, é mais fácil notar que houve tentativas externas de acesso. Além disso, o permissionamento impede que os colaboradores tenham acesso a dados pessoais de outros funcionários da empresa, como folha de pagamento, CPF, endereço, informações sobre familiares, etc.

Registro de logs

Por meio do registro logs é possível identificar qual usuário acessou os dados, se ele foi alterado ou excluído, em qual data é um recurso que traz bastante transparência para a organização, que consegue saber exatamente como as informações estão sendo manipuladas - e com qual propósito. Assim fica mais fácil identificar falhas e até possíveis casos de má-fé.

Relatório flexível para extração de dados pessoais

A LGPD determina que, se o titular dos dados quiser, ele pode entrar em contato com a empresa e pedir uma apresentação de quais dados pessoais/sensíveis ela tem em seu poder e com qual finalidade eles são usados.

Ter um software que faça esse relatório de forma automatizada facilita e garante que o usuário vai ter seus dados em um sistema seguro, em conformidade com a lei.

Gestão Eletrônica de Documentos

Alguns ERPs tem o módulo de Gestão Eletrônica de Documentos (o GED), que permite que uma infinidade de documentos sejam armazenados de forma digital, criptografados e com o permissionamento correto de usuários. Assim, é possível fazer a gestão de contratos, informações de clientes, dados sensíveis de colaboradores, etc, de forma muito mais segura.

Anonimização de dados

Um dos itens bem explícitos da LGPD é sobre o direito do titular dos dados à anonimização. Isso quer dizer que o titular pode pedir, caso a controladora dos dados não tenha nenhuma previsão legal que a impeça, que os mesmos sejam anonimizados.

Fonte: Portal Contábeis / Fenacon

LGPD descomplicada: cinco ações para aplicar no seu negócio

Empreendedores que descumprirem a LGPD podem estar sujeitos a multas e suspensão de atividades relacionadas a tratamento de dados, dentre outras sanções

A segurança da informação vem ocupando cada vez mais espaço dentro da gestão empresarial, principalmente em razão da crescente dependência que os empreendimentos vêm tendo das tecnologias de informação e comunicação. Ainda assim, a adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) encontra desafios nas empresas brasileiras e, em especial, nos pequenos negócios. Nada obstante, as penalidades impostas pelo descumprimento da legislação podem consistir em multas consideráveis (com base no faturamento dos empreendimentos, por exemplo), em advertências ou mesmo na proibição parcial ou total das atividades relacionadas ao tratamento de dados pessoais.

De acordo com a LGPD, são considerados dados pessoais informações como nome, RG, data e local de nascimento, localização via GPS, prontuário de saúde, histórico de pagamentos, entre outros, estejam eles em meio físico ou digital. Se as empresas não zelarem pela privacidade e pelos demais direitos dos titulares de dados pessoais, poderão ser penalizadas por usarem esses dados de maneira indevida.

O Sebrae acompanha de perto a repercussão da LGPD na micro e pequena empresa e no Microempreendedor Individual (MEI) e tem atuado junto à Autoridade Nacional de Proteção de Dados (ANPD) e à sociedade para garantir um tratamento diferenciado aos pequenos negócios, mantendo a sustentabilidade do setor, informa o Encarregado pelo Tratamento de Dados Pessoais do Sebrae Nacional (também chamado de Data Protection Officer ou DPO), Diego Almeida.

Por falta de conhecimento, muitos empreendedores não investem em processos que garantam a segurança de dados, para minimizar os riscos de um ataque cibernético (perigo que ronda qualquer negócio, independentemente do seu tamanho ou visibilidade). Para ajudar o empresário que não sabe por onde começar, o especialista do Sebrae lista cinco medidas iniciais:

1. Entender a LGPD 

É importante que os empresários compreendam as disposições da lei e seus objetivos, a fim de identificar que obrigações que são aplicáveis ao seu negócio.

2. Identificação 

Os empreendedores precisam identificar quais são os dados pessoais tratados pela empresa; assim, será possível entender todo o ciclo de vida dos dados pessoais (da coleta ao armazenamento ou exclusão), compreender para que eles são utilizados e definir quais são as proteções necessárias, bem como as medidas que serão adotadas para resguardar esses dados de acessos indevidos ou perda, por exemplo.

3. Medidas de segurança 

É importante que esses empresários entendam quais são as medidas de segurança que eles podem adotar para proteger os dados pessoais utilizados em seu negócio. Por exemplo, criptografia, backup regular e controle de acesso, para evitar qualquer tipo de vazamento, tanto físico quanto digital. Conhecer minimamente as opções disponíveis possibilita identificar quais melhor se adequam à realidade do negócio, evitando custos desnecessários.

4. Treinar a equipe 

É importante que todo o time da empresa conheça a LGPD e as obrigações por ela estabelecidas, de forma a ajudar a garantir que todos sigam as regras adotadas nos processos de adequação.

5. Revisar os contratos 

É importante que, durante a adequação da empresa à LGPD, os empresários revejam contratos já existentes com parceiros e fornecedores para garantir que a LGPD esteja sendo cumprida e, para além disso, aproveitar o momento para renegociar e obter alguma vantagem competitiva diante de seus concorrentes.

Fonte: Agência Sebrae

Maioria das ações judiciais sobre LGPD envolve crédito e exclusão de dados

A Autoridade Nacional de Proteção de Dados promete publicar a última peça normativa relacionada a sanções até o fim de fevereiro. Mas se as sanções administrativas ainda não são uma realidade, o Judiciário vem tratando do tema, especialmente a partir de titulares de dados que buscam indenização por danos materiais e morais e, especialmente, a exclusão de dados. 

A primeira constatação é de que a maior parte (57%) das decisões na segunda instância não resultaram em condenações. Exclusão de dados é o assunto em 64% das decisões, com 97% de condenações. Quase metade (45%) dos casos que chegam à segunda instância envolve cobrança ou proteção ao crédito. 

Dados como esse estão em um raio X de como os tribunais brasileiros vêm tratando demandas relacionadas à Lei Geral de Proteção de Dados (13.709/19), elaborado pelo Opice Blum Advogados. O Relatório Anual de Jurimetria de 2022 (em PDF) analisa 438 decisões em segunda instância de sete tribunais estaduais (BA, GO, SP, RJ, DF, PR, SC), além do Superior Tribunal de Justiça, tomadas ao longo do ano passado. Segundo esse relatório: 

1. Maioria dos processos envolvendo a LGPD não resulta em condenação 

Cerca de 57% das decisões em segunda ou superior instância que trataram da matéria trazida pela Lei Geral de Proteção de Dados não resultaram em qualquer condenação (mantendo-se ou determinando a improcedência ou extinção do feito). 

2. Decisões não tendem a gerar obrigações de fazer ou não fazer 

Em 41% dos casos, as condenações somente geraram indenização pecuniária (não houve obrigações de fazer ou não fazer). Já em 20% dos casos, as condenações somente geraram obrigações de fazer ou não fazer (não houve indenização pecuniária). No entanto, 39% das decisões tiveram tanto indenização pecuniária quanto obrigação de fazer ou não fazer. 

3. Compartilhamento de dados pessoais com terceiros para fins de cobrança ou proteção do crédito dispensa o consentimento do titular 

O compartilhamento de dados pessoais com terceiros, com o objetivo de cobrança ou proteção ao crédito, é considerado legítimo pelos magistrados, independentemente do consentimento. Em 53% desses casos foi expressamente destacado que o consentimento é dispensado para essa situação. Da mesma forma, quando o mesmo compartilhamento não é considerado legítimo, isso se dá por outros motivos, e raramente leva em consideração a ausência do consentimento do titular (6% dos casos). 

4. Situações em que há desvio de finalidade no tratamento geram maior risco quando não há a devida transparência perante o titular dos dados pessoais 

82% das situações em que se identifica o tratamento de dados pessoais para finalidades inadequadas ao contexto dado ao tratamento geraram algum tipo de condenação, porém, quando essas decisões também identificam a falta da devida transparência sobre o tratamento, o número sobe para 91%. 

5. Incidentes envolvendo dados pessoais não são a maior motivação das ações que chegaram à segunda instância 

45% das decisões em segunda ou superior instância que envolveram a Lei Geral de Proteção de Dados foram motivadas por algum tipo de situação envolvendo cobrança ou proteção ao crédito. 

6. Danos morais devem ser comprovados na maior parte dos casos para gerar condenação 

Em geral, cerca de 65% das decisões em segunda ou superior instância exigiram comprovação do dano moral, indicando tendência de que ele não possui natureza in re ipsa (dano presumido). Quando causados por incidentes, a exigência de comprovação é feita em 80% dos casos, porém, quando causados por compartilhamento ou divulgação de dados pessoais, o número cai para 45%, o que indica a dispensa de comprovação na maior parte desses casos. 

7. O direito à exclusão é o mais pleiteado 

Nas decisões sobre os direitos dos titulares (art. 18), o direito à eliminação (incisos IV e VI da LGPD) foi o mais pleiteado, sendo mencionado em 64% delas, com índice de 97% de condenação. 

Fonte: Convergência Digital

Começam a ser aplicadas as multas por infrações à LGPD

O presidente da Autoridade Nacional de Proteção de Dados, Waldemar Gonçalves, afirmou, que o regulamento de dosimetria de sancões entrou na reta final, tem novo relator definido e deverá ser aprovado inda em fevereiro/2023. 

"Em termos de dosimetria, já estamos chegando no ponto final. Em fevereiro, faremos a entrega dessa norma e nossa fiscalização terá as ferramentas necessárias à aplicação de sanções. Temos oito processos que aguardam a norma, mas diversas ações fiscalizadoras já têm sido tratadas", afirmou Gonçalves, em diferentes eventos promovidos em comemoração do Dia Internacional da Proteção de Dados, 28 de janeiro de 2023. 

"A grande expectativa pela dosimetria foi confirmada na atenção especial, para a qual tivemos 2.504 sugestões. A sociedade, as empresas, participaram. Nesta semana já tivemos a designação do diretor Arthur Sabbat como relator. No mês  de fevereiro teremos a publicação da norma", emendou o presidente da ANPD. 

"Preferimos que empresas, órgãos, governos, desempenhem suas atividades de dados pessoais em conformidade com a Lei Geral de Proteção de Dados. É o mundo ideal. Mas para aqueles que não entenderem essa mensagem, a nossa fiscalização estará pronta para atuar", disse Gonçalves. 

Segundo ele, a ANPD recebeu, até agora, cerca de 6,9 mil denúncias. Mas destacou que a proteção de dados começa com os próprios titulares.

"Um objetivo maior é a mudança da cultura de proteção de dados no Brasil. Muitas vezes o titular se sente lesado, mas saiu distribuindo seus dados pessoais sem nenhum questionamento a diversas plataformas, a diversos sites. Sempre que algo não tem custo, não significa que é gratuito. O custo é a própria entrega de dados pessoais. Queremos que se questione qual a finalidade dos dados, se é adequado, que o dado seja tratado como algo precioso."

Fonte: Convergência Digital

LGPD - Promulgada lei que transforma Autoridade Nacional de Proteção de Dados em autarquia

Objetivo é evitar a descontinuidade administrativa da ANPD e trazer mais confiabilidade ao sistema regulatório de proteção de dados

O presidente do Congresso Nacional, senador Rodrigo Pacheco, promulgou a Lei 14.460/22, que transforma a Autoridade Nacional de Proteção de Dados (ANPD) em uma autarquia.

A nova lei é decorrente da Medida Provisória 1124/22, aprovada neste mês pela Câmara dos Deputados e pelo Senado Federal. O texto foi publicado na edição desta quarta-feira (26/10/2022) do Diário Oficial da União.

A ANPD é o órgão federal responsável por fiscalizar a aplicação da Lei Geral de Proteção de Dados Pessoais. Ela nasceu vinculada à Presidência da República, mas desde 2019 já existia a possibilidade legal de transformá-la em autarquia especial. Assim, ela terá autonomia administrativa e financeira.

O objetivo da mudança, segundo a explicação do Poder Executivo, é evitar a descontinuidade administrativa da ANPD e trazer mais confiabilidade ao sistema regulatório de proteção de dados. No novo formato, ele será compatível com outros regimes regulatórios e experiências internacionais, alega o Executivo.

A lei cria ainda, sem aumento de despesa, um cargo comissionado para o diretor-presidente da ANPD e aloca os atuais servidores na nova autarquia. A iniciativa também prevê outras mudanças estruturais para viabilizar o funcionamento da nova entidade administrativa como: regras para requisição de pessoal, transferência de patrimônio e de pessoal de outros órgãos ou entidades da administração pública.

A regulamentação da transição do órgão vinculado à Presidência para autarquia independente será feita em ato conjunto do secretário-geral da Presidência e do diretor-presidente da ANPD.

Fonte: Agência Câmara de Notícias / Agência Senado / Fenacon

Aprovado o regulamento da LGPD

Aprovado o Regulamento do Processo de Fiscalização e do Processo Administrativo da LGPD, através da Resolução CD/ANPD nº 1/2021, cujo texto completo encontra-se  a seguir:

RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021

Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados.

O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, exercendo as competências normativas, fiscalizatórias e sancionatórias, instituídas pelo art. 55-J, IV, e §2º da Lei nº 13.709, de 14 de agosto de 2018, pelos arts. 2º, IV, e 29 do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, e previstas no Regimento Interno da Autoridade Nacional de Proteção de Dados, aprovado pela Portaria nº 1, de 8 de março de 2021,

CONSIDERANDO o constante dos autos do Processo nº 00261.000089/2021-76 e

CONSIDERANDO a deliberação tomada no Circuito Deliberativo nº 15/2021, resolve:

Art. 1º Aprovar o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, na forma do Anexo a esta Resolução.

Art. 2º Esta Resolução entra em vigor na data de sua publicação.

WALDEMAR GONÇALVES ORTUNHO JUNIOR

Diretor-Presidente

ANEXO

REGULAMENTO DO PROCESSO DE FISCALIZAÇÃO E DO PROCESSO ADMINISTRATIVO SANCIONADOR NO ÂMBITO DA ANPD

TÍTULO I

DISPOSIÇÕES GERAIS

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Este Regulamento tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela Autoridade Nacional de Proteção de Dados (ANPD).

§ 1º As disposições deste regulamento aplicam-se aos titulares de dados, aos agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado e demais interessados no tratamento de dados pessoais, nos termos do art. 13.

§ 2º As disposições da Lei nº 9.784, de 29 de janeiro de 1999, aplicam-se subsidiariamente a este Regulamento.

Art. 2º A fiscalização compreende as atividades de monitoramento, orientação e atuação preventiva, conforme os procedimentos previstos neste Regulamento.

§ 1º A aplicação de sanção ocorrerá em conformidade com a regulamentação específica, por meio de processo administrativo sancionador, definido neste Regulamento.

§ 2º A atividade de fiscalização da ANPD terá por finalidade orientar, prevenir e reprimir as infrações à Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

Art. 3º A ANPD atuará para a proteção dos direitos dos titulares de dados, para promover a implementação da legislação de proteção de dados pessoais, e para zelar pelo seu cumprimento.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 4º As seguintes definições são adotadas neste Regulamento:

I - agentes regulados: agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais;

II - autuado: agente regulado que, uma vez identificados indícios suficientes de conduta infrativa, tem instaurado processo administrativo sancionador contra si, por meio de auto de infração;

III - denúncia: comunicação feita à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a legislação de proteção de dados pessoais do País, que não seja uma petição de titular;

IV - obstrução à atividade de fiscalização: ato, comissivo ou omissivo, direto ou indireto, da fiscalização ou de seus pressupostos, que impeça, dificulte ou embarace a atividade de fiscalização exercida pela ANPD, mediante o oferecimento de entrave à situação dos agentes, a recusa no atendimento, e o não envio ou envio intempestivo de quaisquer dados e informações pertinentes à obrigação do agente regulado;

V - petição de titular: comunicação feita à ANPD pelo titular de dados pessoais de uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação, nos termos do inciso
V do art. 55-J da LGPD; e

VI - requerimento: conjunto de tipos de comunicação, compreendendo a petição de titular e a denúncia.

CAPÍTULO III

DOS DEVERES DOS AGENTES REGULADOS

Art. 5º Os agentes regulados submetem-se à fiscalização da ANPD e têm os seguintes deveres, dentre outros:

I - fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas
pela ANPD;

II - permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;

III - possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;

IV - submeter-se a auditorias realizadas ou determinadas pela ANPD;

V - manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e

VI - disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.

§ 1º Os documentos, dados e as informações requisitados, recebidos, obtidos e acessados pela ANPD nos termos deste Regulamento são aqueles necessários ao exercício efetivo das suas atribuições, bem como aqueles sujeitos às regras de acesso e classificação de sigilo previstas em regulamentação específica.

§ 2º Cabe ao agente regulado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial.

§ 3º Os documentos apresentados sob a forma digitalizada deverão cumprir os requisitos estabelecidos pelo Decreto nº 10.278, de 18 de março de 2020.

§ 4º O agente regulado, por intermédio de representante indicado, poderá acompanhar a auditoria da ANPD, ressalvados os casos em que a prévia notificação ou o acompanhamento presencial sejam incompatíveis com a natureza da apuração ou em que o sigilo seja necessário para garantir a sua eficácia.

Art. 6º O não cumprimento dos deveres estabelecidos no art. 5º poderá caracterizar obstrução à atividade de fiscalização, sujeitando o infrator a medidas repressivas, sem prejuízo da adoção das medidas necessárias com o objetivo de concluir a ação de fiscalização obstruída por parte da ANPD.

CAPÍTULO IV

DAS DISPOSIÇÕES PROCESSUAIS

Art. 7º As disposições processuais deste Capítulo aplicam-se às interações realizadas entre as unidades da ANPD e os agentes regulados nas hipóteses deste Regulamento.

Seção I

Da Contagem dos Prazos

Art. 8º Os prazos definidos neste regulamento começam a correr a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia de vencimento.

§ 1º O prazo para a prática de ato será prorrogado para o primeiro dia útil seguinte, caso no dia de seu vencimento não haja expediente na sede da ANPD ou este for encerrado antes do horário.

§ 2º O prazo também será prorrogado, na forma do § 1º, em caso de comprovada indisponibilidade do sistema eletrônico de peticionamento:

I - por período superior a três horas, ininterruptas ou não, se ocorrida entre 6h00 e 23h00; ou

II - caso a indisponibilidade ocorra entre 23h00 e 24h00.

Seção II

Da Comunicação dos Atos

Art. 9º A expedição dos atos administrativos ocorrerá por determinação motivada pela autoridade competente.

Intimação

Art. 10. Os atos administrativos serão comunicados por intermédio de intimação, nos termos do art. 12 deste Regulamento, que deverá conter:

I - a identificação do intimado;

II - a finalidade da intimação e a informação de continuidade do processo independentemente do seu comparecimento;

III - a data, a hora e o local, ou o prazo para tomada da providência, quando houver;

IV - a informação se o intimado deve comparecer pessoalmente, fazer-se representar, manifestar-se ou apresentar defesa ou recurso no processo ou, ainda, cumprir diligência; e

V - a indicação dos fatos e fundamentos legais pertinentes.

Meios de prática dos atos

Art. 11. Os atos administrativos serão realizados, preferencialmente, por meio eletrônico,em regra, adotado pela ANPD, podendo ocorrer, inclusive, mediante videoconferência ou outro recurso tecnológico de transmissão de sons e imagens em tempo real.

Parágrafo único. Excepcionalmente, a ANPD poderá expedir comunicação por suporte físico, ou por qualquer outro recurso que assegure a certeza da ciência do interessado.

Data de efetivação das comunicações

Art. 12. Considera-se efetuada a ciência oficial com a intimação:

I - por meio eletrônico, na data em que o usuário realizar a consulta ao documento correspondente ou, caso não realizada a consulta, dez dias úteis após o envio da intimação;

II - por via postal, na data de recebimento do Aviso de Recebimento (AR) ou documento equivalente;

III - pessoalmente, na data da ciência do intimado, seu representante, preposto ou, no caso de recusa de ciência, na data declarada pelo servidor que efetuar a intimação;

IV - quando a parte comparecer, pessoalmente ou devidamente representada, para tomar ciência do processo ou justificar sua omissão, a partir desse momento;

V - por edital, na data de sua publicação;

VI - por outro meio, que assegure a certeza da ciência do interessado; e

VII - por mecanismos de cooperação internacional, na forma estabelecida no Decreto nº 9.734, de 20 de março de 2019 ou norma que lhe suceder.

§ 1º Frustrada a tentativa por via postal ou quando desconhecido ou incerto o endereço do intimado, circunstância que será certificada nos autos, a intimação será feita por edital publicado no Diário Oficial da União.

§ 2º O interessado deve informar, na primeira oportunidade em que se manifeste no processo, endereço eletrônico válido em que receberá as comunicações.

Seção III

Dos Interessados

Art. 13. São interessados nos processos administrativos de que trata este regulamento, observados o segredo comercial e o industrial:

I - pessoas naturais ou jurídicas, que o iniciem como titulares de direitos, com interesses individuais ou no exercício do direito de representação;

II - aqueles que, sem terem iniciado o processo, têm direitos ou interesses que possam ser afetados pela decisão a ser adotada;

III - as organizações e associações representativas, no tocante a direitos e interesses coletivos; e

IV - as pessoas ou as associações legalmente constituídas quanto a direitos ou interesses difusos, incluindo as instituições acadêmicas.

Seção IV

Do Atendimento Prioritário

Art. 14. Será conferida prioridade na tramitação dos processos conforme hipóteses previstas em lei, sempre que requerida pelo interessado e comprovado o atendimento aos requisitos aplicáveis.

§ 1º A autoridade competente para apreciar o pedido de que trata ocaputdeterminará as providências a serem cumpridas na tramitação do processo.

§ 2º Deferida a prioridade, os autos receberão identificação própria que evidencie o regime de tramitação prioritária.

TÍTULO II

PROCESSO DE FISCALIZAÇÃO

CAPÍTULO I

DISPOSIÇÕES GERAIS

Objeto da atuação responsiva

Art. 15. A ANPD adotará atividades de monitoramento, de orientação e de prevenção no processo de fiscalização e poderá iniciar a atividade repressiva.

§ 1º A atividade de monitoramento destina-se ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado.

§ 2º A atividade de orientação caracteriza-se pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.

§ 3º A atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.

§ 4º A atividade repressiva caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.

Meios de atuação da fiscalização

Art. 16. No exercício de sua competência fiscalizatória, a ANPD poderá atuar:

I - de ofício;

II - em decorrência de programas periódicos de fiscalização;

III - de forma coordenada com órgãos e entidades públicos; ou

IV - em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

Parágrafo único. A fiscalização da ANPD promoverá, junto aos titulares de dados e aos agentes de tratamento, o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, de forma a disseminar boas práticas, nos termos da LGPD.

Premissas da fiscalização

Art. 17. O processo de fiscalização da ANPD observará as seguintes premissas:

I - alinhamento com o planejamento estratégico, com os instrumentos de monitoramento das atividades de tratamento de dados e com a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

II - priorização da atuação baseada em evidências e riscos regulatórios, com foco e orientação para o resultado;

III - atuação integrada e coordenada com órgãos e entidades da administração pública;

IV - atuação de forma responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados;

V - estímulo à promoção da cultura de proteção de dados pessoais;

VI - previsão de mecanismos de transparência, de retroalimentação e de autorregulação;

VII - incentivo à responsabilização e prestação de contas pelos agentes de tratamento;

VIII - estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo controlador, observados os princípios e os direitos do titular previstos na LGPD;

IX - exigência de mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais; e

X - exercício das atividades fiscalizatórias que melhor se adequem às competências da ANPD.

CAPÍTULO II

DA ATIVIDADE DE MONITORAMENTO

Art. 18. A Coordenação-Geral de Fiscalização realizará o monitoramento das atividades de tratamento de dados pessoais, observados os limites previstos nos arts. 3º e 4º da LGPD, com intuito de:

I - planejar e subsidiar a atuação fiscalizatória com informações relevantes;

II - analisar a conformidade dos agentes de tratamento no tocante à proteção de dados pessoais;

III - considerar o risco regulatório em função do comportamento dos agentes de tratamento, de modo a alocar recursos e adotar ações compatíveis com o risco;

IV - prevenir práticas irregulares e fomentar a cultura de proteção de dados pessoais; e

V - atuar na busca da correção de práticas irregulares e da reparação ou minimização de eventuais danos.

Art. 19. O Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários são instrumentos de monitoramento.

Parágrafo único. O ciclo de monitoramento será anual, podendo ser estabelecido prazo superior por decisão do Conselho Diretor.

Seção I

Do Relatório de Ciclo de Monitoramento

Art. 20. O Relatório de Ciclo de Monitoramento é instrumento de avaliação, prestação de contas e planejamento da atividade de fiscalização da ANPD.

§ 1º O Relatório de Ciclo de Monitoramento:

I - avaliará as atividades de fiscalização realizadas no ciclo de monitoramento, inclusive dos temas prioritários, apresentando indicadores e resultados;

II - direcionará a estratégia de atuação orientativa, preventiva e repressiva e as medidas a serem adotadas, inclusive ao longo do ciclo seguinte; e

III - consolidará as informações obtidas a partir de requerimentos e comunicações de incidentes, bem como de outras fontes de insumos recebidos pela Coordenação-Geral de Fiscalização.

§ 2º O Relatório de Ciclo de Monitoramento será submetido à deliberação do Conselho Diretor ao final do ciclo e poderá indicar outras necessidades de atuação da ANPD, além de suas competências fiscalizatória e sancionadora.

Seção II

Do Mapa de Temas Prioritários

Art. 21. O Mapa de Temas Prioritários será bianual e estabelecerá os temas prioritários que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização no período.

Art. 22. O Mapa de Temas Prioritários utilizará como critérios o risco, a gravidade, a atualidade e a relevância e englobará:

I - a memória do processo decisório do qual decorreu a seleção e priorização dos temas, inclusive as metodologias de priorização empregadas;

II - os objetivos a serem alcançados e os parâmetros ou indicadores usados para medir a consecução desses objetivos, quando cabível;

III - cronograma de sua execução; e

IV - a indicação da necessidade de interação com outros entes ou órgãos da administração pública, bem como com autoridades de proteção de dados de outros países.

Art. 23. A Coordenação-Geral de Fiscalização elaborará o Mapa de Temas Prioritários com o apoio das demais áreas técnicas da ANPD e o submeterá à aprovação do Conselho Diretor.

Parágrafo único. A Coordenação-Geral de Fiscalização ou os Diretores poderão, na hipótese de ocorrência de fatos novos e urgentes, motivadamente, propor alterações no Mapa de Temas Prioritários para deliberação pelo Conselho Diretor.

Seção III

Do Recebimento de Requerimentos

Art. 24. A ANPD estabelecerá e divulgará os meios para recebimento dos requerimentos.

Art. 25. Observado o disposto nos artigos 17 e 26, a admissibilidade dos requerimentos será realizada pela Coordenação-Geral de Fiscalização, que verificará:

I - a competência da ANPD para apreciar a matéria;

II - a identificação do requerente ou se cabível o anonimato na hipótese;

III - a legitimidade do requerente;

IV - a identificação do suposto agente de tratamento, quando for o caso; e

V - a descrição do fato certo.

§ 1º Além dos requisitos de admissibilidade indicados no caput deste artigo, a petição de titular deverá ser acompanhada de comprovação de que foi previamente submetida ao controlador e não solucionada no prazo estabelecido em regulamentação, admitida a autodeclaração do titular quando não for possível apresentar outro meio de prova.

§ 2º Os requerimentos integrarão o cálculo dos indicadores do ciclo de monitoramento vigente na data de seu registro nos sistemas da ANPD.

§ 3º A denúncia anônima será recebida e processada quando for verificada a verossimilhança das alegações nela constantes e não for necessária a identificação do denunciante para a apuração dos fatos.

§ 4º Em caso de apresentação de denúncia, a identificação do requerente poderá ser considerada informação pessoal protegida com restrição de acesso, na forma da legislação em vigor.

Art. 26. Os requerimentos serão analisados de forma agregada e as eventuais providências deles decorrentes serão adotadas de forma padronizada.

§ 1º A Coordenação-Geral de Fiscalização poderá, excepcionalmente, determinar a análise individualizada de requerimento por meio de decisão motivada, considerando as circunstâncias relevantes do caso e sua potencial repercussão sobre interesses coletivos e difusos.

§ 2º O tratamento de requerimentos individuais pela ANPD será endereçado em regulamentação própria.

CAPÍTULO III

DA ATIVIDADE DE ORIENTAÇÃO

Art. 27. A ANPD promoverá medidas visando à orientação, à conscientização e à educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tratamento de dados pessoais.

Art. 28. As medidas aplicadas ao longo da atividade de orientação não constituem sanção ao agente regulado.

Art. 29. Constituem medidas de orientação:

I - elaboração e disponibilização de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento;

II - sugestão aos agentes regulados da realização de treinamentos e cursos;

III - elaboração e disponibilização de ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento;

IV - reconhecimento e divulgação das regras de boas práticas e de governança;e

V - recomendação de:

a) utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais;

b) implementação de Programa de Governança em Privacidade; e

c) observância de códigos de conduta e de boas práticas estabelecidas por organismos de certificação ou outra entidade responsável.

§ 1º Poderão ser adotadas outras medidas não previstas neste artigo desde que compatíveis com o disposto nos arts. 27 e 28.

§ 2º Os agentes regulados, ou suas associações representativas, poderão sugerir a adoção das medidas de orientação listadas acima, sujeita à avalição da ANPD.

CAPÍTULO IV

DA ATIVIDADE PREVENTIVA

Art. 30. A atividade preventiva visa reconduzir o agente de tratamento à plena conformidade ou evitar ou remediar situações que acarretem risco ou dano aos titulares de dados pessoais.

Art. 31. As medidas aplicadas pela Coordenação-Geral de Fiscalização ao longo da atividade preventiva não constituem sanção ao agente regulado.

Art. 32. São consideradas medidas preventivas:

I - divulgação de informações;

II - aviso;

III - solicitação de regularização ou informe; e

IV - plano de conformidade.

Parágrafo único. Poderão ser adotadas outras medidas não previstas neste artigo, se compatíveis com o disposto nos arts. 30 e 31.

Seção I

Da Divulgação de Informações

Art. 33. A ANPD poderá divulgar informações e dados setoriais agregados e de desempenho em seu sítio eletrônico como medida preventiva, como a taxa de resolução de problemas e pedidos de titulares atendidos.

Parágrafo único. A ANPD poderá determinar ao agente regulado a divulgação das informações e dados setoriais agregados de que trata este artigo de forma agregada ou restrita às suas atividades.

Seção II

Do Aviso

Art. 34. O aviso conterá a descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias.

Seção III

Da Solicitação de Regularização e do Informe

Art. 35. A solicitação de regularização e o informe destinam-se a situações em que a regularização deva ocorrer em prazo determinado e cuja complexidade não justifique a elaboração de plano de conformidade.

§ 1º O informe será usado quando ocorrer infração em decorrência do tratamento de dados pessoais por órgãos públicos.

§ 2º A solicitação de regularização ou o informe conterá a descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias, devendo comprovar a regularização dentro do prazo determinado.

§ 3º O agente de tratamento poderá requerer prorrogação do prazo uma única vez por igual período, desde que sejam apresentadas as justificativas que ensejaram a não regularização da situação dentro do prazo determinado.

§ 4º O não atendimento da solicitação de regularização ou do informe enseja a progressão da atuação da ANPD para, a seu critério, adotar outras medidas preventivas ou para a atuação repressiva, com a adoção das medidas compatíveis, e será considerado agravante caso seja instaurado o processo administrativo sancionador.

Seção IV

Do Plano de Conformidade

Art. 36. O plano de conformidade deverá conter, no mínimo:

I - objeto;

II - prazos;

III - ações previstas para reversão da situação identificada;

IV - critérios de acompanhamento; e

V - trajetória de alcance dos resultados esperados.

§ 1º O plano de conformidade não exime o agente de tratamento do cumprimento das obrigações previstas na regulamentação.

§ 2º Caberá ao agente de tratamento comprovar o atendimento ao resultado esperado, além das medidas adotadas para reversão da situação dentro do prazo estabelecido.

§ 3º O não cumprimento do plano de conformidade enseja a progressão da ANPD para a atuação repressiva, com a adoção das medidas compatíveis, e será considerado agravante caso seja instaurado procedimento sancionador.

TÍTULO III

DA ATIVIDADE REPRESSIVA

CAPÍTULO I

DO PROCESSO ADMINISTRATIVO SANCIONADOR E SUAS FASES

Art. 37. O processo administrativo sancionador destina-se à apuração de infrações à legislação de proteção de dados de competência da ANPD, nos termos do artigo 55-J, IV, da LGPD, podendo ser instaurado:

I - de ofício pela Coordenação-Geral de Fiscalização;

II - em decorrência do processo de monitoramento; ou

III - diante de requerimento em que a Coordenação-Geral de Fiscalização, após efetuar a análise de admissibilidade, deliberar pela abertura imediata de processo sancionador.

Art. 38. Não cabe recurso administrativo contra o despacho de instauração do processo administrativo sancionador.

Art. 39. Na condução dos processos administrativos de que trata este Regulamento, a ANPD obedecerá, dentre outros, aos princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência e observará os seguintes critérios:

I - atendimento a fins de interesse geral;

II - adequação entre meios e fins, vedada a imposição de obrigações, restrições e sanções em medida superior àquelas estritamente necessárias ao atendimento do interesse público;

III - observância das formalidades essenciais à garantia dos direitos dos interessados;

IV - adoção de formas simples, suficientes para propiciar adequado grau de certeza, segurança e respeito aos direitos dos interessados;

V - impulsão, de ofício, do processo administrativo, sem prejuízo da atuação dos interessados; e

VI - interpretação da norma administrativa da forma que melhor garanta o atendimento do fim público a que se dirige, vedada aplicação retroativa de nova interpretação.

Seção I

Do Procedimento Preparatório

Art. 40. A Coordenação-Geral de Fiscalização poderá, de ofício ou diante de requerimento, mediante procedimento preparatório, efetuar averiguações preliminares, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador.

Parágrafo único. O procedimento preparatório poderá tramitar em sigilo, no interesse das investigações, a critério da Coordenação-Geral de Fiscalização.

Art. 41. Quando necessário para o esclarecimento da demanda, a Coordenação-Geral de Fiscalização poderá determinar a realização de diligências, conforme disposto na LGPD, no Decreto nº 10.474, de 2020, e no Regimento Interno da ANPD.

Art. 42. Concluída a fase de instrução do procedimento preparatório, a Coordenação-Geral de Fiscalização poderá arquivá-lo ou instaurar processo administrativo sancionador, sem prejuízo da adoção de medidas de orientação e prevenção, conforme o caso.

Parágrafo único. A Coordenação-Geral de Fiscalização poderá instaurar processo administrativo sancionador de imediato, independentemente de procedimento preparatório ou da adoção de medidas de orientação e prevenção, em razão da gravidade e da natureza das infrações, dos direitos pessoais afetados, da reincidência, do grau do dano ou do prazo de prescrição administrativa aplicável.

Termo de ajustamento de conduta

Art. 43. O interessado poderá apresentar à Coordenação-Geral de Fiscalização proposta de celebração de termo de ajustamento de conduta.

§ 1º A proposta será submetida ao Conselho Diretor para deliberação, observando-se as disposições do Regimento Interno da ANPD.

§ 2º A suspensão do processo terá início após a assinatura do termo de ajustamento de conduta.

§ 3º O processo administrativo sancionador será arquivado após verificado o cumprimento integral do termo de ajustamento de conduta.

Art. 44. O termo de ajustamento de conduta seguirá regulamentação própria da ANPD e legislação aplicável.

Seção II

Das Fases de Instauração e de Instrução

Lavratura do auto de infração

Art. 45. O processo administrativo sancionador será instaurado pela Coordenação-Geral de Fiscalização, garantindo-se ao acusado o contraditório e a ampla defesa.

Art. 46. O auto de infração será lavrado e conterá os seguintes elementos:

I - identificação da pessoa natural ou jurídica infratora;

II - enunciação da suposta conduta ilícita imputada ao autuado, com a indicação dos fatos a serem apurados; e

III - dispositivo legal ou regulamentar relacionado à suposta infração.

Art. 47. Em caso de decisão de lavratura do auto de infração, a Coordenação-Geral de Fiscalização intimará o agente de tratamento interessado para apresentar defesa no prazo máximo de dez dias úteis, na
forma indicada na intimação.

Art. 48. A ANPD poderá realizar diligências e juntar novas provas aos autos, independentemente do prazo de defesa do autuado, visando à celeridade processual e à mitigação de riscos, assegurado o contraditório.

§ 1º O autuado poderá juntar as provas que julgar necessárias à sua defesa.

§ 2º Quando for necessária a prestação de informações ou a apresentação de provas adicionais pelo autuado, serão expedidas intimações para esse fim.

§ 3º Não sendo atendida a intimação, a Coordenação-Geral de Fiscalização poderá, se entender relevante a matéria, suprir de ofício a omissão, não se eximindo de proferir a decisão.

§ 4º A ANPD poderá admitir a utilização de prova produzida em outro processo, administrativo ou judicial, inclusive por autoridades de proteção de dados de outros países, atribuindo-lhe o valor que considerar adequado, observados o contraditório e a ampla defesa.

Art. 49. A ANPD poderá solicitar ou admitir a participação de interessado com representatividade adequada na condição de terceiro interessado.

§ 1º A pertinência da participação será avaliada considerando a relevância da matéria, a especificidade do tema objeto da demanda ou a repercussão social da controvérsia em análise no processo administrativo sancionador.

§ 2º A admissibilidade e, em caso de deferimento, os poderes do terceiro interessado e os prazos para sua manifestação, serão definidos por decisão administrativa irrecorrível.

§ 3º O terceiro interessado receberá o processo no estado em que se encontra e terá acesso apenas aos documentos e peças processuais públicas.

Defesa do autuado

Art. 50. Cabe ao autuado a prova dos fatos que alegar, sem prejuízo do dever atribuído ao órgão competente para instrução.

Parágrafo único. Qualquer que seja a fase do processo, nele poderá intervir o revel, sem direito à repetição de qualquer ato já praticado.

Art. 51. Os pedidos de produção de prova serão analisados pela Coordenação-Geral de Fiscalização e poderão ser indeferidos.

Art. 52. Caso seja deferida a produção de prova pericial, os peritos prestarão compromisso de bem e fielmente desempenhar o seu encargo, observando-se o seguinte:

I - a Coordenação-Geral de Fiscalização definirá os requisitos relevantes para a instrução processual e os quesitos a serem respondidos pelo perito;

II - o autuado poderá formular quesitos suplementares e requerer esclarecimentos ao perito; e

III - a perícia poderá ser realizada por autoridade ou servidor da ANPD, especificamente designado para este fim pelo Conselho Diretor, ou de qualquer órgão público, ou por profissional objeto de Termo de Cooperação previamente celebrado, ou, ainda, por profissional especialmente contratado para tal fim, sendo possível ao interessado a indicação de assistente técnico.

Direito a alegações finais

Art. 53. É facultado prazo de dez dias úteis para manifestação do autuado antes da elaboração do Relatório de instrução, se entre a defesa e a instrução processual forem produzidas novas provas.

Relatório de Instrução

Art. 54. Transcorrido o prazo de defesa, independentemente da sua apresentação, será elaborado relatório de instrução que subsidiará a decisão de primeira instância e o processo será concluso à Coordenação-Geral de Fiscalização para decisão.

Parágrafo único. O relatório de instrução encerra a fase de instrução, salvo se a análise processual indicar que o processo não se encontra suficientemente instruído, hipótese em que será emitido despacho
determinando as diligências a serem realizadas.

Seção III

Da Fase de Decisão pela Coordenação-Geral de Fiscalização

Art. 55. Finda a instrução processual, a Coordenação-Geral de Fiscalização proferirá a decisão de primeira instância, cujo resumo será publicado no Diário Oficial da União.

Parágrafo único. A decisão será motivada, com indicação dos fatos e dos fundamentos jurídicos, bem como aplicará a respectiva sanção, quando cabível, seguindo os parâmetros e critérios definidos no §1º do art. 52 da LGPD e na regulamentação expedida pela ANPD.

Art. 56. Caso a decisão de primeira instância decrete a aplicação de sanção administrativa, a intimação prevista no art. 58 também determinará o cumprimento da sanção pelo autuado e o respectivo prazo para a execução.

Parágrafo único. Transitada em julgado a decisão e transcorrido o prazo para cumprimento da sanção administrativa pecuniária sem a sua respectiva comprovação, o processo será remetido para cobrança e execução, observado o disposto no art. 67.

Art. 57. É possível a reunião para julgamento conjunto dos processos que possam gerar risco de prolação de decisões conflitantes ou contraditórias caso decididos separadamente, mesmo sem conexão entre eles, seja na fase de decisão em primeira instância ou recursal.

Seção IV

Da Fase de Recurso

Recurso ao Conselho Diretor da ANPD

Art. 58. O autuado será intimado para cumprir a decisão de primeira instância ou interpor recurso administrativo ao Conselho Diretor, como instância administrativa máxima, no prazo de dez dias úteis, contados da intimação da decisão.

§ 1º A intimação do autuado encerra a fase de decisão.

§ 2º O recurso administrativo deverá ser dirigido à autoridade que proferiu a decisão e deverá ser protocolizado na forma indicada na intimação.

Art. 59. Caso a decisão seja pelo arquivamento do processo administrativo, a Coordenação-Geral de Fiscalização informará terceiros interessados habilitados no processo, que poderão recorrer ao Conselho Diretor no prazo de até dez dias úteis da notificação.

Efeito suspensivo

Art. 60. O recurso administrativo terá efeito suspensivo limitado à matéria contestada da decisão, ressalvadas as hipóteses de fundado receio de prejuízo de difícil ou incerta reparação decorrente da execução da decisão recorrida.

Recurso não conhecido

Art. 61. O recurso não será conhecido quando interposto:

I - fora do prazo;

II - por quem não seja legitimado;

III - após exaurida a esfera administrativa.

IV - por ausência de interesse recursal;

V - contra atos de mero expediente ou preparatórios de decisões, bem como em face de análises técnicas e pareceres ou decisões irrecorríveis.

Parágrafo único. O não conhecimento do recurso não impede a ANPD de rever de ofício o ato ilegal.

Juízo de reconsideração

Art. 62. Recebido o recurso administrativo, a Coordenação-Geral de Fiscalização poderá reconsiderar sua decisão, de forma fundamentada.

§ 1º O exercício do juízo de reconsideração a que se refere ocaputensejará a expedição de uma nova decisão, a qual opera efeito substitutivo em relação à decisão recorrida, devendo o autuado ser intimado da nova decisão.

§ 2º Do exercício do juízo de reconsideração não poderá resultar agravamento da sanção originalmente aplicada.

§ 3º Mantida ou reconsiderada parcialmente a decisão, a Coordenação Geral de Fiscalização remeterá o processo ao Conselho Diretor para prosseguimento.

§ 4º Em caso de reconsideração parcial, a decisão deve explicitar a parte reconsiderada, bem como a ratificação dos demais termos da decisão recorrida.

§ 5º No caso da reconsideração resultar na exoneração total da sanção originalmente aplicada, a nova decisão proferida estará sujeita a reexame necessário pelo Conselho Diretor.

Relatoria

Art. 63. O procedimento de distribuição e processamento do recurso seguirá as regras do Regimento Interno da ANPD.

Art. 64. O Diretor relator poderá remeter o processo à Assessoria Jurídica ou a outros órgãos da ANPD para análise e manifestação, nos termos do Regimento Interno.

Julgamento do recurso

Art. 65. Para a deliberação do Conselho Diretor, o Diretor Relator se manifestará sobre a admissibilidade e sobre o provimento total ou parcial, ou indeferimento do recurso, fundamentando seu voto e, em seguida, os demais Diretores votarão conforme os fundamentos legais e regulamentares.

§ 1º Se da apreciação do recurso puder decorrer gravame à situação do recorrente, este deverá ser intimado para formular suas alegações no prazo máximo de dez dias úteis, antes da decisão.

§ 2º A decisão do Conselho Diretor será publicada na forma da lei, intimando-se os interessados para fins de ciência e cumprimento da decisão, conforme o caso.

Seção V

Do Cumprimento da Decisão e da Inscrição na Dívida Ativa

Art. 66. O processo será encaminhado para a Coordenação-Geral de Fiscalização para acompanhamento do cumprimento da decisão.

Art. 67. A Coordenação-Geral de Fiscalização adotará as providências necessárias ao cumprimento da decisão.

§ 1º Cumprida a decisão e não havendo outras providências a serem adotadas, os autos serão arquivados.

§ 2º Havendo sanção pecuniária não paga até a data do vencimento, o devedor será intimado sobre a existência do débito, fornecendo-se todas as informações pertinentes à dívida, e sobre a sua inscrição no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin), no prazo de setenta e cinco dias contados dessa intimação, bem como que o débito será encaminhado para inscrição na Dívida

Ativa da União.

§ 3º Restando débito vencido e não pago, o processo será encaminhado ao órgão competente da Advocacia-Geral da União.

Seção VI

Da Revisão

Art. 68. Os processos administrativos que resultem sanções poderão ser revistos, a qualquer tempo, a pedido ou de ofício, quando surgirem fatos novos ou circunstâncias relevantes suscetíveis de justificar a inadequação da sanção aplicada.

Art. 69. O pedido de revisão será recebido como novo procedimento e autuado em autos próprios, cabendo ao interessado instruir o feito com cópia integral ou dos principais documentos do processo cuja revisão se pleiteia.

§ 1º O pedido de revisão será distribuído a Diretor que não tenha atuado como relator no processo objeto da revisão.

§ 2º A apresentação de pedido de revisão não suspenderá os efeitos da sanção aplicada por decisão administrativa transitada em julgado, especialmente a adoção das medidas necessárias à constituição, cobrança e execução do crédito não tributário decorrente da aplicação de sanção de multa.

§ 3º A Coordenação Geral de Fiscalização exercerá o juízo de admissibilidade do processo de revisão, apontando o atendimento ou não dos requisitos legais e, em seguida, o remeterá para conhecimento e decisão do Conselho Diretor, apensando o processo principal.

§ 4º Da revisão do processo sancionador não poderá resultar agravamento da sanção.

§ 5º A revisão seguirá o mesmo rito do recurso administrativo.

TITULO IV

DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 70. O primeiro ciclo de monitoramento terá início a partir de janeiro de 2022.

Art. 71. É facultado ao Conselho Diretor a edição de Portaria a fim de estabelecer instruções complementares ao disposto neste Regulamento.

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

A Lei Geral de Proteção de Dados (LGPD) e as Pequenas Empresas

Conforme tem sido divulgado pela imprensa, bem como em nossos informativos, site e redes sociais da M&M Assessoria Contábil, foi sancionada e já está em vigor a Lei Geral de Proteção de Dados (LGPD), sendo que a aplicação de multas (que podem chegar a R$ 50 milhões), assim como das demais sanções passam acontecer a partir de 1º de agosto de 2021. Portanto, todas as empresas, independentemente do seu ramo de atividade e/ou porte, devem observá-la.

Embora o tema LGPD ( Lei Geral de Proteção de Dados ) refira-se às politicas que devem ser adotadas pelas empresas quanto aos processos relativos ao tratamento de dados, portanto, mas voltado a área de informática e não a área de contabilidade, que é a  especialidade da M&M, apenas a título informativo, ressaltamos que a lei é bastante extensa, porém, destacamos os principais aspectos que as empresas deverão ficar atentas e, se necessário, providenciar a adequação:

O que é a LGPD?

A Lei 13.709/2018 (link para o texto completo da lei no final deste comunicado) regula as atividades de tratamentos de dados pessoais, por pessoas físicas e jurídicas. Seu objetivo central é proteger os direitos fundamentais de liberdade e privacidade.

A lei estabelece que dado pessoal é toda informação relacionada a pessoa natural "identificada" ou "identificável" e determina que o tratamento desses dados deve considerar os princípios de privacidade descritos na lei.  Destaca-se que estão sujeitos a LGPD tanto os dados armazenados em meios eletrônicos, como em meios físicos (papéis).

Na prática, a lei determina que todos os dados pessoais (nome, gênero, idade, estado civil, ocupação, documentos, etc.) só podem ser coletados mediante a algumas hipóteses, entre elas, o consentimento do usuário. 

Também, destaca-se que uma categoria especial foi criada para dados pessoais "sensíveis" que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas. A lei estabelece condições específicas para tratamento dessa categoria de dados, como por exemplo, a obtenção de consentimento do titular antes do tratamento.

Impactos da LGPD nas empresas

Os efeitos da LGPD nas empresas começam pela própria mudança de mentalidade, pois deverão dispensar mais atenção e cuidado com os dados coletados, pois toda empresa armazena dados de pessoas, incluindo colaboradores, clientes e parceiros. Logo, o tratamento de informações deverá ser adaptado, em todo o seu ciclo de vida do dado (coleta, armazenamento, transmissão e descarte).

As mudanças alteram significativamente as obrigações das empresas quanto ao tratamento de informações pessoais. Seja o manuseio feito por colaboradores, funcionários de empresas terceirizadas, clientes e fornecedores. A finalidade é aumentar a proteção à privacidade dos indivíduos e o controle sobre seus próprios dados.

Além disso, deverão informar devidamente aos titulares sobre as condições em que seus dados são coletados e utilizados. Do contrário, o consentimento pode não ser válido. Esta autorização pode ainda ser revogada a qualquer momento. Neste caso, as empresas se não tiverem nenhuma base legal que justifique o processo deverão interromper a coleta ou utilização de dados daquele titular.

Para se adaptar à LGPD será necessário 'colocar ordem na casa': mapear os dados, classificá-los, organizá-los de acordo com a lei que autoriza o seu tratamento e torná-los mais seguros.

As empresas deverão, ainda, garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador e ao titular dos dados.

Outra mudança significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos responsáveis Legais antes da coleta dos dados.

Lembrando que a lei trata especificamente dos dados pessoais, que considera "toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc.". No caso, as informações da pessoa jurídica, como razão social, CNPJ e endereço comercial, não são considerados dados pessoais. 

Texto da Lei, palestra sobre o tema e mais informações sobre a LGPD

O texto completo e atualizado da Lei Geral de Proteção de Dados (LGPD) pode ser acessado a partir do link: https://www.mmcontabilidade.com.br/Materia.aspx?id=20160

Outras matérias publicadas pela M&M sobre a LGPD onde trazem uma visão mais ampla sobre o assunto podem ser acessadas a partir do link:

https://www.mmcontabilidade.com.br/Materia.aspx?AREA=Outras+%c3%81reas&SECAO=Lei+Geral+de+Prote%c3%a7%c3%a3o+de+Dados

A M&M Assessoria Contábil está promovendo uma palestra online e gratuita: NOÇÕES BÁSICAS SOBRE A LGPD E AS PEQUENAS EMPRESAS, na terça-feira, 10/8/2021, das 14h às 15h30. Interessados devem fazer suas inscrições prévias pelo link: https://www.mmcontabilidade.com.br/Palestra.aspx?id=118  ou pelo telefone (51) 3349-5050, com Gabriela. Mais próximo a data da palestra, os inscritos receberão o link de acesso.

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Texto atualizado da Lei Geral de Proteção de Dados (LGPD)

Acesse o texto atualizado da Lei Geral de Proteção de Dados,  a partir do link:

https://www.mmcontabilidade.com.br/mm.asp?meio=https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

Saiba mais sobre a LGPD, acessando o nosso site:

https://www.mmcontabilidade.com.br/Materia.aspx?AREA=Outras+%c3%81reas&SECAO=Lei+Geral+de+Prote%c3%a7%c3%a3o+de+Dados+(LGPD)

Fonte: M&M Contabilidade

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Governo lança plataforma de educação em LGPD

Na próxima quinta-feira, 25/2/2021, o governo federal lança uma plataforma de capacitação e certificação profissional sobre temas ligados à Lei Geral de Proteção de Dados (LGPD). O evento de apresentação vai reunir autoridades públicas e empresários para discutir questões relacionadas à proteção de dados, conformidade e experiência na implementação do GDPR, a norma da União Europeia que regula proteção de dados. A plataforma foi desenvolvida pelo Serpro em parceria com a empresa portuguesa Datashield, que possui experiência em oferecer soluções integradas para adaptação a leis de proteção e segurança de dados.

A cerimônia de lançamento acontece das 15h às 17h30 e será transmitida pelo canal do Serpro no Youtube. Dentre os convidados estão o presidente do Serpro, Gileno Barreto, o secretário Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia, Caio Paes de Andrade, o consultor português em GDPR, Jorge Pires, e o diretor jurídico da Federação Brasileira de Bancos (Febraban), Vicente Chiara.

Os temas discutidos serão: "Privacidade e Proteção de Dados Pessoais na Administração Pública"; "Ações educacionais para adequação das organizações à LGPD: o que a Europa tem a ensinar ao Brasil?" e "Os desafios da adequação à LGPD nas instituições públicas e privadas: por onde começar?".

Plataforma

Voltada tanto para o setor público quanto o privado, a plataforma de educação em LGPD oferece cursos remotos, com aulas ao vivo e a distância, com material pré-gravado. O público-alvo são colaboradores das empresas e instituições de diversos segmentos, como Recursos Humanos, Saúde, Finanças, entre outros. Para os participantes, serão emitidas certificação profissional de dois tipos: encarregado de tratamento e gestor de dados pessoais.

Fonte: TIinside

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

LGPD exige adequações de empresas a dados de clientes. Veja o que muda

A Lei Geral de Proteção de Dados passa a valer em 2020 e os pequenos negócios precisam se adequar quanto a cadastros e comunicação com clientes.

A Lei Geral de Proteção de Dados (LGPD) foi criada pela Lei 13.709/2018 com vigência das exigências já em 2020.

Rastrear todos os cliques do seu cliente, mandar mensagens para ele a qualquer hora do dia, encher a caixa de entrada dele de e-mails e outras ações comuns em pequenos negócios precisam agora respeitar a nova Lei.

O que são dados pessoais e por que precisamos proteger esses dados?

O conceito de Dado Pessoal está no artigo 5° da LGPD e diz que é toda informação que torna a pessoa identificada ou identificável, ou seja, que permite saber quem você é. Esse dado é relacionado somente a pessoa natural (física).

O artigo 5° traz também outros conceitos, como o de Dado Pessoal Sensível, que são mais relacionadas a intimidade do cidadão e por isso eles te mandam uma proteção maior, como orientação sexual, origem racial ou orientação política. Outro conceito é o de Dado Anonimizado, que não permite identificar a pessoa que fornece esse dados, e se ela se identificar, algum dado será ocultado.

A importância de proteger esses dados está difundida no conceito, afinal são direitos fundamentais da pessoa, muitas vezes relacionadas à liberdade, à intimidade, e à privacidade em si. Essa lei foi criada inclusive porque os dados pessoais são grandes riquezas que pertencem ao indivíduo.

Qual o impacto desta lei no dia-a-dia da minha empresa e mais: como posso alcançar meu cliente sem violar a privacidade dele?

A lei possui 10 hipóteses em que eu posso coletar os dados do cliente de forma lícita, e quase todas elas se aplicam a realidade das empresas, sejam públicas ou privadas. Mas não vai existir necessariamente uma hipótese específica para você. Quando isso acontecer sempre vai existir o consentimento de forma específica, clara e explícita. Uma outra via de coleta e tratamento de dados pessoais é o legítimo interesse.

Quais os 4 principais impactos da LGPD na rotina da minha empresa?

1 - Impacto na relação e na comunicação com o cliente:

é como você vai fazer para montar a sua estratégia de negócio, de modo a conseguir os dados que você precisa sem perder esse cliente de vista. Para isso é preciso construir a sua política de proteção e segurança de dados de forma clara concisa, e com linguagem acessível, que ele possa compreender e confiar no que você está dizendo.

2 - Impacto direto na coleta e na análise desses dados pessoais:

Talvez você precise desprender um pouco de recurso para tornar a proteção desses dados efetiva e para tornar a sua base de dados segura de modo que não haja violação, porque a violação gera sanção e pode gerar prejuízo. Então é mais vantajoso investir em proteção de dados do que arriscar uma eventual finalidade.

3 - Impactos na rotina dos colaboradores da empresa:

é importante determinar os princípios básicos da Lei e manter o seu corpo de colaboradores atualizado sobre o que a lei diz, para que o seu cliente se sinta seguro em fornecer os dados e para que você tem uma base de dados segura.

4 - Impacto nos custos:

Você pode ter custo com adequação das dicas na sua empresa ou com multas e penalidades, portanto é melhor investir em prevenção, para proteger os dados do seu cliente e ter uma base de dados segura, do que arriscar sofrer uma penalidade.

Fonte: Sebrae RS / Saulo Roberto Henrich Morschel

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei Geral de Proteção de Dados (LGPD): Empresas devem ficar atentas

A Lei 13.709/18 estabelece que dado pessoal é toda informação relacionada a pessoa natural "identificada" ou "identificável" e determina que o tratamento desses dados deve considerar os princípios de privacidade descritos na lei.  Destaca-se que estão sujeitos a LGPD tanto os dados armazenados em meios eletrônicos, como em meios físicos (papéis).

As empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra mudança significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.

Uma categoria especial foi criada para dados pessoais "sensíveis" que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas. A lei estabelece condições específicas para tratamento dessa categoria de dados, como por exemplo, a obtenção de consentimento do titular antes do tratamento.

Os dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.

A lei também prevê que o órgão regulador poderá solicitar relatórios de riscos de privacidade para certificar-se de que as organizações estão tratando o tema internamente. As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração) e poderão ser aplicadas a partir de agosto/2021.

O primeiro passo para adequação é realizar um mapeamento detalhado dos dados pessoais tratados e o seu ciclo de vida. Saber onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior e quais riscos associados ao ciclo de vida, são algumas perguntas essenciais que todas as empresas devem responder antes estabelecer o programa de implementação.

As tecnologias também serão um dos componentes importantes para as organizações, uma vez que a nova lei traz desafios de gestão e governança de privacidade tais como: a gestão de consentimentos (e respectivas revogações), gestão das petições abertas por titulares (que, em alguns casos, devem ser respondidas imediatamente), gestão do ciclo de vida dos dados pessoais (data mapping & data discovery) e implementação de técnicas de anonimização (os dados anonimizados não serão considerados dados pessoais pela lei desde que o processo não seja reversível).

Nota M&M 1: A M&M Assessoria Contábil sempre adotou políticas internas na proteção dos dados de seus clientes. Porém, com a vigência da LGPD estamos trabalhando para atender as determinações da nova lei. Com isso, alguns procedimentos no relacionamento M&M (x) Cliente poderão ser alterados. Contamos com a sua compreensão.

Nota M&M 2: Mais matérias sobre o tema poderão ser acessadas em nosso site (www.MMcontabilidade.com.br), "consultoria eletrônica", em "outras áreas", na seção "Lei Geral de Proteção de Dados".

Link para Qr Code

https://www.mmcontabilidade.com.br/Materia.aspx?AREA=Outras+%c3%81reas&SECAO=Lei+Geral+de+Prote%c3%a7%c3%a3o+de+Dados

Fonte: PWC, com adequações da M&M Assessoria Contábil.

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei Geral de Proteção de Dados: Juíza condena construtora que não protegeu dados de cliente

É a primeira decisão a se valer da LGPD de que se tem conhecimento em São Paulo

Compartilhar dados do consumidor com empresas estranhas à relação contratual viola dispositivos da Lei Geral de Proteção de Dados - LGPD (Lei 13.709/19) -, além de direitos previstos pela própria Constituição, tais como a honra, a privacidade, a autodeterminação informativa e a inviolabilidade da intimidade, gerando o dever de indenizar.

O entendimento é da juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo. É a primeira decisão a se valer da LGPD de que se tem conhecimento em São Paulo. Na sentença, proferida nesta segunda-feira (29/9/2020), a magistrada condenou uma construtora, companhia do ramo imobiliário, a indenizar em R$ 10 mil um cliente que teve informações pessoais enviadas a outras empresas.

O autor comprou um apartamento em novembro de 2018. No mesmo ano, ele começou a ser assediado por instituições financeiras e firmas de decoração, que citavam sua recente aquisição com a parte ré.

"'Parceiros' [da construtora] obtiveram os dados do autor para que pudessem fornecer a ele serviços estranhos aos prestados pela própria requerida [...] Cientes especificamente do empreendimento em relação ao qual o autor adquiriu uma unidade autônoma. Inclusive com propostas para pagamento do preço do imóvel por financiamento ou consórcio e compra e instalação de móveis planejados para o bem", afirma a decisão.

A magistrada afirma que, além da LGPD, a ré violou o Código de Defesa do Consumidor e dispositivos da Constituição Federal, dentre os quais aqueles que preconizam o respeito à dignidade (Artigo 1º, III); construção de uma sociedade livre, justa e solidária (artigo 3º, I); e a promoção do bem de todos, sem preconceitos (3º, IV).

"O rol do artigo 5º da CF apresenta diversos direitos fundamentais, que devem ser garantidos e protegidos pelo Estado, bem como observados pelos particulares em suas relações, o que sequer demanda mediação pela via da legislação ordinária. São direitos fundamentais a honra, o nome, a imagem, a privacidade, a intimidade e a liberdade, o que é complementado pelo tratamento despendido pelas normas infraconstitucionais", afirma a juíza.

Segundo o advogado Mario Filipe Cavalcanti de Souza Santos, que atuou no caso defendendo o consumidor, a Construtora afirmou não ter responsabilidade sobre a violação dos dados e que o processo tinha sido ajuizado para que o autor "ganhasse fama" às custas da reputação de sua marca. Assim, solicitou a condenação do reclamante por danos morais.

A juíza, entretanto, julgou o pedido reconvencional improcedente, considerando que eventual mancha na reputação da ré advém de sua própria conduta. As solicitações do autor foram julgadas totalmente procedentes. Assim, a Construtora foi condenada na ação e na reconversão.

Fonte: Contábeis, com adequações no texto pela M&M Assessoria Contábil

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei Geral de Proteção de Dados entra em vigor

Entenda mais sobre o imbróglio legislativo para a validade desta lei

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18/9/2020 com a sanção da Lei 14.058/2020, originada da Medida Provisória (MP) 959/20, que trata da operacionalização do Benefício Emergencial (BEm) pago a trabalhadores com redução de jornada e suspensão de contrato durante a pandemia do novo coronavírus.

Ao editar a MP, em abril de 2020, o governo incluiu, em seu Artigo 4º, um dispositivo que previa o adiamento da entrada em vigor da LGPD, para maio de 2021. Como tem força de lei, assim que foi publicada a MP, a vigência da LGPD foi adiada. Entretanto, ao passar pela análise do Congresso Nacional, esse dispositivo não foi aprovado.

Com isso, a última legislação ainda válida sobre o tema é a da própria LGPD - Lei nº 13.709, de 2018 -, que prevê a entrada em vigor em agosto de 2020. Entretanto, como este prazo foi alterado pela MP, foi necessária a sanção, sem esse dispositivo, para que a LGPD entrasse em vigor.

A LGPD foi aprovada em 2018, no governo Michel Temer, e modificada em 2019. O texto define direitos de indivíduos em relação às suas informações pessoais e regras para quem coleta e trata esses registros. O objetivo é proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade dos cidadãos (outros aspectos práticos da lei - alguns cuidados que as empresas devem observar - ainda nesta matéria, no sub tópico "Saiba mais sobre a LGPD - Lei Geral de Proteção de Dados"

Com isso, há a necessidade de criação da Autoridade Nacional de Proteção de Dados (ANPD), que vai atuar como agência reguladora do tema. Na prática, somente a partir daí haverá a efetiva aplicação da lei.

Em agosto/2020 o governo aprovou a estrutura regimental e quadro de cargos, mas a nomeação do Conselho Diretor e do diretor-presidente, órgão máximo de direção da ANPD, ainda deve passar pela aprovação do Senado Federal.

Saiba mais sobre a LGPD - Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, veio regulamentar a forma como as empresas tratam os dados pessoais no Brasil, tendo por objetivo proteger a honra, intimidade e imagem, bem como, também protege o desenvolvimento econômico e a livre iniciativa das empresas. Os dados pessoais são aqueles que permitem identificar uma pessoa ou torná-la identificável, como exemplo, temos o nome, endereço, RG, CPF, CNH. Por sua vez, existem os dados pessoais identificados como "sensíveis" que, demandam mais proteção do um dado pessoal comum. São estes dados: sobre origem racial ou étnica, convicção religiosa, opinião política, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Evidente o tratamento dos dados pessoais no ambiente de trabalho. Portanto, no mínimo, é recomendável: revisão dos processos seletivos e os dados pessoais requisitados em currículos ou em sites; ao adequado armazenamento de currículos para eventos futuros, o que requer consentimento expresso para esta finalidade e prazo definido; ajustes em contratos, inclusive de terceirizados, de modo a atender às exigências legais; realização de treinamento de funcionários, colaboradores e terceirizados sobre a LGPD para garantir a governança e a segurança da informação; revisão de documentos internos, a exemplo de Códigos de Conduta, Políticas de Segurança da Informação e Privacidade, de modo a garantir a informação e conscientização dos colaboradores sobre dados pessoais. Violações à LGPD poderão ser objeto de fiscalização pela Autoridade Nacional de Proteção de Dados, bem como, sujeitar as empresas à processos, sanções e multas que podem chegar a 50 milhões de reais.

Fonte: Agência Brasil/Rannow Advogados, com adaptações da M&M Assessoria Contábil.

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei Geral de Proteção de Dados - Lei nº 14.010/2020 prorroga a aplicação das penalidades para 2021

As empresas ganharam mais tempo para se adaptarem à Lei Geral de Pro­teção de Dados ("LGPD"). Sancionada em agosto de 2018, mas com data para entrar em vigor em 16/8/2020, esta Lei tem sido objeto de discussão pela sociedade e em­presários devido aos impactos da Covid-19 nos negócios, no fluxo de caixa e na redu­ção de crédito disponível no mercado, e em decorrência da necessidade de investimen­tos financeiros para que se realize uma im­plantação multidisciplinar que garanta a gestão e proteção de dados privados por parte das empresas.

Em decorrência do contexto de incertezas, o Presidente da República emitiu a Medida Provisória ("MP") nº 959/2020, publicada no Diário Oficial da União de 29/4/2020, que postergou a entrada em vigor da LGPD para 3/5/2021. A MP encontra-se em tramitação no Congresso Nacional, sendo necessária a sua apreciação e conversão em Lei até 26/8/2020.

Em paralelo, o Presidente da República promulgou a Lei nº 14.010/2020 (Projeto de Lei nº 1.170/2020), conforme Diário Oficial da União de 12/6/2020, que postergou a vi­gência para aplicação das penalidades da LGPD (arts 52, 53 e 54 da Lei nº 13.709) para 1/8/2021.

Esta situação trouxe uma certa incerteza quanto à real data de entrada em vigor da LGPD, sendo necessário que as empresas estejam atentas à tramitação da MP junto ao Legislativo. Atualmente temos os seguintes cenários:

É importante ressaltar que apesar da ex­tensão do prazo, as medidas de isolamen­to social impostas para o enfrentamento à Covid-19 atingiram o meio corporativo, que precisou se adaptar repentinamente a este ambiente, alterando sua forma de atuação e instituindo o tele trabalho. Tendo em vista estas mudanças, é importante que a empre­sa avalie novamente os riscos cibernéticos aos quais está exposta, bem como revise as suas políticas, procedimentos e determine quais ferramentas serão necessárias para a proteção dos dados privados.

As penalidades previstas para quem des­cumprir a LGPD serão:

·   Advertência, com indicação de prazo para adoção das medidas corretivas;

·   Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo, ou conglomerado no Brasil, no último ano de exercício, podendo chegar a R$ 50 milhões de reais por infração;

·   Multa diária;

·   Divulgação pública (publicização da infra­ção);

·   Bloqueio dos dados pessoais envolvidos na infração;

·   Eliminação desses dados pessoais da base de dados da instituição.

Fonte: Bakertilly Brasil

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

O que você precisa saber sobre LGPD (Lei Geral de Proteção de Dados)

Com o intuito de proteger os dados pessoais das pessoas físicas, no ano de 2018, foi publicada a Lei nº 13.709 - Lei Geral de Proteção de Dados Pessoais (LGPD), que tem como fundamentos: > o respeito à privacidade; > a autodeterminação informativa; > a liberdade de expressão, de informação, de comunicação e de opinião; [.]

Compartilhe:

Com o intuito de proteger os dados pessoais das pessoas físicas, no ano de 2018, foi publicada a Lei nº 13.709 - Lei Geral de Proteção de Dados Pessoais (LGPD), que tem como fundamentos:

> o respeito à privacidade;

> a autodeterminação informativa;

> a liberdade de expressão, de informação, de comunicação e de opinião;

> a inviolabilidade da intimidade, da honra e da imagem;

> o desenvolvimento econômico e tecnológico e a inovação;

> a livre iniciativa, a livre concorrência e a defesa do consumidor;

> os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para preservar esses fundamentos e, consequentemente, alcançar seu principal objetivo, que é proteger os dados pessoais das pessoas físicas, existem diretrizes e regras a serem seguidas, as quais, já adianto, serão um bom desafio para aqueles que precisam se adequar, como por exemplo: advogados, contadores, empresas pequenas, médias e grandes.

A boa notícia é que as regras de proteção e adequação para a proteção dos dados estavam previstas para entrarem em vigor em 15 de agosto de 2020 e com a publicação de uma Medida Provisória, seu prazo foi prorrogado para maio de 2021.

Neste artigo, vamos abordar os principais conceitos, o passo a passo para implementação e a prorrogação da Lei Geral de Proteção de Dados, conhecida pela sigla LGPD. Vamos lá?

Princípios da Lei Geral de Proteção de Dados (LGPD)

Uma das premissas básicas estabelecidas na Lei é a boa fé no tratamento de dados pessoais que, para isso, deve observar os princípios, previstos em seu artigo 6º:

> finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

> adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

> necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

> livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

> qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

> transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

> segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

> prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

> não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
> responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

O passo inicial da adequação é analisar a aderência da empresa nesses princípios e, a partir daí, tomar as medidas necessárias para a conformidade.

Passo a passo para adequação

A legislação não traz um roteiro sobre como a Lei Geral de Proteção de Dados Pessoais (LGPD) deve ser implementada dentro dos escritórios e empresas, mas, deixa claro algumas exigências específicas, bem como todos os fundamentos e princípios que devem ser considerados, os quais já mencionamos.

De toda forma, listamos alguns procedimentos que entendemos que devem ser observados para fins de adequação à lei. Nesse contexto, nossa sugestão é a seguinte:

> Ciência e análise das regras da legislação dos envolvidos/áreas envolvidas;

> Mapeamento e classificação dos dados abrangidos pela lei que são tratados pelo interessado;

> Identificação dos acessos e fluxo dos dados abrangidos pela lei;

> Análise e verificação a respeito do consentimento do titular;

> Revisão do contrato;

> Elaboração dos relatórios exigidos pela lei para fins de comprovação;

> Meios de disponibilização dos acessos/ informações, conforme exigido pela lei.

DISCLAIMER: Apenas esclarecendo, não foi nossa intenção exaurir ou tratar sobre todas as obrigatoriedades dos procedimentos, pois existem muitas atividades que podem exigir adequações mais específicas.

Consentimento exigido pela Lei Geral de Proteção de Dados (LGPD)

Um dos pontos de atenção da lei se refere ao consentimento, isto é, a lei exige a solicitação da autorização do titular dos dados, antes do tratamento ser realizado. Essa autorização deve ser por escrito, em cláusula destacada no contrato, se for o caso, ou por outro meio que demonstre a manifestação de vontade do titular. Além disso, também é exigido que o consentimento esteja vinculado a finalidades determinadas.

Outro ponto de atenção sobre o consentimento se refere às hipóteses em que ele não é necessário e, portanto, sua dispensa é explicitamente prevista na lei. Para este caso, destacamos a situação em que o tratamento/uso dos dados é indispensável para cumprir obrigações legais.

Prorrogação

A vigência da lei estava prevista para o dia 15 de agosto de 2020, 2 anos após sua publicação.

Apesar de alguns parlamentares entenderem que era tempo suficiente para que todos se adequassem à lei, considerando uma possível incapacidade de parcela da sociedade em razão dos impactos econômicos e sociais da crise provocada pela pandemia do Covid19, por meio da Medida Provisória nº 959, a lei foi prorrogada.

Desta forma, atualmente, em relação às necessidades de adequação das empresas e quaisquer pessoas envolvidas, ficou estabelecido que a Lei Geral de Proteção de Dados entrará em vigor no dia 3 de maio de 2021.

Fonte: Prosoft

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?
Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:
https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Prorrogada a entrada em vigor da Lei Geral de Proteção de Dados Pessoais - LGPD

A  MP 959/2020  prevê também o adiamento da Lei 13.709/2018, a qual discorre sobre como os dados dos brasileiros devem ser coletados, tratados, armazenados e protegidos, prevendo punições para descumprimento em casos de vazamentos, ou outras irregularidades.

A citada lei estabelece regras sobre coleta e manutenção das informações de cidadãos brasileiros e de pessoas que estejam no território nacional, que deve ser feita sempre com o consentimento dos usuários, salvo em casos de mandados judiciais ou para garantir a segurança pública e/ou do Estado, no caso de investigações criminais.

Vale tanto para dados digitais conseguidos pela internet como através de outros meios.

De acordo com o art. 4º da MP 959/2020,  a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) foi adiada para 3 de maio de 2021.

Fonte: Medida Provisória 959/2020 - Adaptado pelo Guia Trabalhista.

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Principais pontos da Lei Geral de Proteção de Dados

Foi publicada, em 09/07/2019, a Lei nº 13.853/2019 (antes projeto de Lei de Conversão 7/2019 ou MP nº 869/2018), a qual alterou a Lei nº13.709/2018 que dispõe sobre a proteção de dados pessoais e criou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), novo órgão da administração pública federal.

Você sabe o que é a LGPD?

Através da Lei nº 13.853/2019, a ementa da Lei nº 13.709/2018 passou a vigorar com o título de Lei Geral de Proteção de Dados (LGPD), normativo esse que tem por objetivo regular a coleta e o tratamento de dados pessoais de clientes, pelas empresas públicas e privadas.

A Lei nº 13.709/2018 foi inspirada na General Data Protection Regulation (GDPR, Lei europeia de proteção de dados) que surgiu em resposta a diversos escândalos de vazamentos de dados que atingiram milhares de usuários, sendo o caso mais famoso do Facebook, que forneceu  informações de milhões de usuários para a Empresa de marketing político Cambridge Analytica.

O objetivo da Lei nº 13.709/2018 é de proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa  natural,  bem como indicar quando, e como os dados podem ser coletados, tratados, armazenados e transferidos.

A Lei nº 13.709/2018 contém diversas regulamentações para que se tenha a privacidade respeitada, possui texto  extenso, e esclarece que a empresa que desejar coletar dados sensíveis de seus clientes, deverá obter o consentimento dos titulares dessas informações. De acordo com a Lei nº 13.709/2018, o consentimento deverá ser através "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para

uma finalidade determinada".

Os impactos da Lei nº 13.709/2018 serão maiores para as pequenas e médias empresas, incluindo as Startups, uma vez que precisarão se preocupar com questões técnicas de segurança da informação, compliance e de governança corporativa.

As principais sanções administrativas aplicáveis para o descumprimento da LGPD são:

.   Advertência, com indicação de prazo para adoção de medidas corretivas;

.   Multa simples de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, podendo chegar a R$ 50 milhões por infração;

.   Multa diária;

.   Divulgação pública (publicização) da infração após devidamente apurada e confirmada a sua ocorrência;

.   Bloqueio dos dados pessoais envolvidos na infração até a sua regularização; e

.   Eliminação dos dados pessoais envolvidos na infração.

A Autoridade Nacional de Proteção de Dados (ANPD), criada através da Lei nº13.853/2019, será o órgão responsável por editar normas e fiscalizar os procedimentos de proteção de dados, a quem competirá, dentre outras disposições:

I.  zelar pela proteção dos dados pessoais e pela observância dos segredos comercial e industrial, observadas as demais disposições;

II.elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

III.    fiscalizar e aplicar sanções em caso  de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; e

IV.   editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios  gerais de proteção de dados pessoais previstos na Lei.

Todas as empresas, independente do ramo de atividade ou porte, lidam com dados pessoais, como por exemplo: dados relacionados com os seus clientes, colaboradores, coleta de currículos, entre outros.

Diante disso será necessário que as empresas, em especial as que lidam com inovação e dados, passem por um processo de conscientização quanto a necessidade de uma gestão de riscos cibernéticos e o desenho de um sistema de segurança da informação, que assegure a coleta, manuseio, processamento, armazenamento, integralidade e confidencialidade dos dados, reduzindo a exposição das empresas a perdas de todos os tipos, exposições negativas na mídia e danos à sua reputação.

Prazo:

A LGPD entrará em vigor a partir de agosto de 2020, ou seja, ainda resta mais de um ano para que as empresas realizem projetos de adequação de suas políticas, processos e controles.

Fonte: Publicação Informe Bakertilly nº 03

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei de Proteção de Dados traz desafios a empresas e cidadãos

Novas regras entrarão em vigor em agosto de 2020

A Lei Geral de Proteção de Dados (No 13.709 de 2018) estabelece regras de coleta e tratamento de informações de pessoas, empresas e instituições públicas, os direitos de titulares de dados, as responsabilidades de quem processa esses registros e as estruturas e formas de fiscalização e eventuais reparos em caso de abusos nesta prática.

Contudo, as novas regras só entrarão em vigor em agosto de 2020. O período de adaptação foi definido pelos legisladores com o argumento de que os diversos atores envolvidos precisavam de tempo para se organizarem de modo a dar conta das exigências. Chegado ao meio deste caminho, sobram desafios para empresas, cidadãos, órgãos públicos e autoridades regulatórias.

Cidadãos

Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de "dado sensível", informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Mas quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma valerá para coletas operadas em outro país desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Mas há exceções, como a obtenção de informações pelo Estado para segurança pública.

Ao coletar um dado, as empresas deverão informar a finalidade. Se o usuário aceitar repassar suas informações, como ao concordar com termos e condições de um aplicativo, as companhias passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que em conformidade com a lei. A Lei previu uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de "legítimo interesse" desses, embora essa hipótese não tenha sido detalhada, um dos pontos em aberto da norma.

De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por "legítimo interesse") e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).

Fiscalização

A fiscalização ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD). Após vetos, uma Medida Provisória (No 869 de 2018) editada e aprovada (na forma da Lei No 13.353 de 2019) mudando a Lei e novos vetos pelo presidente Bolsonaro, a Autoridade perdeu poderes frente ao previsto na primeira redação da Lei aprovada pelo Congresso em 2018. Diferentemente da versão do Parlamento, o órgão não terá uma estrutura independente, mas ficará subordinado à Presidência da República, com um compromisso de revisão de sua natureza institucional após dois anos.

As sanções também sofreram mudanças com a MP No 869. Ao fim, a Autoridade poderá aplicar multas de até 2% do faturamento da empresa (com limite de R$ 50 milhões) e bloqueio ou eliminação dos dados relacionados a uma infração. A suspensão parcial ou total de banco de dados de um ente que violar a Lei havia sido prevista na Lei de Conversão da MP (No 13.353 de 2019) foi um dos pontos vetados pelo presidente Jair Bolsonaro, que ainda passarão por análise do Congresso Nacional.

Empresas

O gerente executivo de política industrial da Confederação Nacional da Indústria (CNI), João Emílio Gonçalves, relata que a entidade tem recebido empresas preocupadas com a adaptação às exigências da lei. Muitos negócios que antes não se percebiam como relacionados à coleta e tratamento de dados estão percebendo seu envolvimento com essas atividades, especialmente na adoção de novos modelos.

Empresas de logística, exemplifica o executivo, passam a ter mecanismos de controle de frota, o que demanda o tratamento desses registros.

"Empresas estão olhando negócios em transformação pela possibilidade de passar a incorporar cada vez mais serviços que dependem muito da coleta e tratamento de dados Principalmente nas empresas líderes a gente vê uma atuação para se adaptar à lei. As empresas de maior porte elas mais ou menos atendem, estão mais preparadas para lidar com questão de tecnologia da informação (TI) e segurança da informação. Já firmas menores vão ter que fazer novos investimentos em TI. Acho que é um processo de aprendizado", comenta Gonçalves.

Segundo a Federação Brasileira de Bancos (Febraban), as instituições financeiras também estão se movimentando para se adaptar às obrigações da LGPD. Entre as medidas neste sentido estão a nomeação de responsáveis pela proteção de dados, a obtenção de consentimento dos clientes para a utilização de seus dados em diversas finalidades, a atualização de documentos como contratos e políticas internas, a adequação de contratos com fornecedores e a processos para atendimento aos novos direitos dos clientes.

Para o diretor-executivo no Brasil da empresa de segurança da informação Kaspersky, Roberto Rebouças, há ainda muita falta de compreensão de companhias sobre a adequação às regras da LGPD. "A sensação é que a gente tem que empresas acham que não serão afetadas, que não tem nada de muito extraordinário. Empresas têm funcionários, tem folha de pagamento, têm dados dos funcionários. Até mesmo um dentista tem que tomar cuidado com vazamento de dados do cliente dele", exemplifica.

Autoridade

Tanto para o gerente executivo da CNI quanto para o diretor-executivo da Kaspersky, o disciplinamento e a orientação da adequação às normas passam pela criação da Autoridade Nacional de Proteção de Dados. É a posição também do Google. "A Autoridade Nacional de Proteção de Dados terá um papel fundamental para guiar a interpretação da lei e unir os objetivos de inovação e supervisão regulatória eficaz, proporcionando transparência e confiança aos cidadãos", ressaltou a companhia em nota enviada à Agência Brasil. Na avaliação do advogado especialista em proteção de dados do escritório Pereira, Neto e Macedo Associados Rafael Zanatta, a eficácia dessas funções passa pela garantia de fato de independência técnica e funcional do órgão regulador, o que envolve a composição da sua direção e da equipe bem como a definição de como irá atuar.

"O desafio vai ser montar estrutura interna que demonstre funcionalidade. Pessoas capazes de produzir a parte burocrática, estrutura de recebimento de denúncias, investigações externas, processo administrativo, cooperação internacional. Mesmo com possibilidade de supervisão pela Casa Civil, a autoridade deve ter autonomia de fato", diz. Caso isso não ocorra, acrescenta, o vácuo pode ser ocupado por outros entes, como na fiscalização e punição pelo Ministério Público.

O líder do Programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Diogo Moyses, destaca que a Autoridade terá papel fundamental de disciplinar a adequação do tratamento dos dados à finalidade para a qual eles foram coletados e para evitar abusos em exceções previstas na Lei, como no caso do uso de informações de saúde ou das notas (scores) de crédito.

"No caso das empresas avaliadoras de risco de crédito, ainda é preciso delimitar com maior precisão quais dados podem ser utilizados e em quais circunstâncias o score do consumidor pode ser empregado como referência para relações de consumo. Esses são somente alguns exemplos das inúmeras tarefas que serão reservadas à ANPD, daí a importância de ela ser criada o mais rapidamente possível", defende Moyses.

Ele lembra que, enquanto a lei não entra em vigor, ainda assim o cidadão pode recorrer à legislação em vigor caso se sinta lesado, como é o caso do Marco Civil da Internet ou do Código de Defesa do Consumidor. Essa norma assegura ao cidadão direitos como à informação, à transparência e, de forma objetiva e a ser informado em caso de coleta de dados do consumidor. Já o Marco Civil prevê, na Internet, a obrigação de consentimento do usuário para a coleta de informações sobre ele. O indivíduo também pode cobrar juntamente à Justiça ou ao Ministério Público violações à privacidade e problemas como vazamento de dados.

Fonte: Agência Brasil

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei Geral de Proteção de Dados (LGPD) na Prática: Passos para se adequar à nova regulamentação

Como já é notório, recentes escândalos de vazamentos de dados deram vazão a uma onda global de edição de normas, dentre elas a tão famigerada General Data Protection Regulation (GDPR), aplicável a todos os cidadãos europeus.

Referidas regulamentações, sem sombra de dúvidas, contribuem para melhorar os mecanismos de segurança e processamento de dados com o objetivo de impedir que terceiros não autorizados tenham acesso a informações pessoais sem o consentimento do usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que faz com que estas, obrigatoriamente, implementem uma cultura de respeito pela privacidade dos dados pessoais de seus usuários, clientes e colaboradores.

O fenômeno chegou ao Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de 2018, norma brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados pessoais, a qual foi alterada no final do ano passado com a edição da Medida Provisória nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de 2020 para para que as empresas se ajustem às novas obrigações.

Não pretendo neste breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim esclarecer desde logo dois pontos que saltam aos olhos já num primeiro momento:

1. Quais são os direitos dos usuários?

Para responder a primeira pergunta, é necessário compreender que a norma: (i) define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração deste dado.

Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, com o objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas as operações de tratamento de dados deverão ser devidamente registradas em um Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador das boas práticas, pessoa física ou jurídica, denominado Encarregado de Proteção de Dados (DPO - Data Protection Officer) deverá ser nomeado para ser a interface da sua organização com a Agência Nacional de Proteção de Dados (ANPD), em especial naquelas empresas que tratem dados pessoais sensíveis, assim considerados aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. E não pára por aí: a empresa deverá adotar medidas de segurança efetivas para evitar que os dados pessoais sejam acessados indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo razoável (seja lá o que isso signifique).

Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade, permitindo que referidos dados possam ser encaminhados a outras empresas que também performem o seu tratamento.

Com base nas duas respostas acima, tem-se plena certeza de que a nova norma impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de pequenos artigos:

2. O que as empresas devem fazer para se adequar à Lei Geral de Proteção de Dados (LGPD) dentro do prazo legal?

Para responder a este terceiro questionamento, elenco a seguir 13 situações a serem observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados, com base no Framework Nymity*, as quais serão analisadas individualmente nos próximos capítulos desta série:

I - MANTER UMA ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes;

II - PRESERVAR UM INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS DE TRANSFERÊNCIA DE DADOS: Atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas;

III - IMPLEMENTAR UMA POLÍTICA DE PRIVACIDADE DE DADOS: Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos legais e mitigue riscos operacionais e de danos a indivíduos;

IV - INCORPORAR A PRIVACIDADE DE DADOS À SUAS OPERAÇÕES: Sustentar procedimentos operacionais consistentes com as normas internas e externas relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;

V - CUMPRIR UM CRONOGRAMA INTERNO DE TREINAMENTO E COMUNICAÇÃO: Fornecer treinamento e comunicação contínuos para promover a conformidade com as normas internas e externas relacionadas à privacidade de dados e a mitigação de riscos operacionais;

VI - GERENCIAR OS RISCOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO: Manter um Sistema de Segurança da Informação baseado nos requisitos legais e nos riscos a que a organização está submetida;

VII - ADMINISTRAR RISCOS DE TERCEIROS: Atestar que as contratações com terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao risco estabelecidos previamente;

VIII - PROVER AVISOS LEGAIS: Preparar avisos para usuários em consonância com a política de privacidade de dados, os requisitos legais e análise prévia de riscos;

IX - RESPONDER TEMPESTIVAMENTE ÀS SOLICITAÇÕES E RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos eficazes para interagir com os indivíduos acerca de seus dados pessoais;

X - MONITORAR NOVAS PRÁTICAS OPERACIONAIS: Observar novas práticas organizacionais para identificar eventuais novos processos ou mudanças nos processos existentes que estejam relacionados ao tratamento de dados, e garantir a implementação dos princípios de Privacidade por Design (Privacy by Design);

XI - CONDUZIR DE FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO DE VIOLAÇÕES DE PRIVACIDADE: Manter um efetivo sistema de averiguação e reparação de transgressões às normas e controles e incidentes relacionados à privacidade de dados;

XII - MENSURAR A EFETIVIDADE DOS PROCESSOS E CONTROLES INTERNOS: Verificar se as práticas operacionais estão em conformidade com a política de privacidade de dados, medir e relatar a eficiência dos processos e controles internos;

XIII - ACOMPANHAR A EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS MELHORES PRÁTICAS DE MERCADO: Rastrear novos requisitos de conformidade, expectativas e as melhores práticas de mercado.

Fonte: Código de Conduta.com

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei Geral de Proteção de Dados Pessoais

A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018^[1], é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.^[2]

O Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.^[3] Outros regulamentos similares à LGPD no Brasil são o General Data Protection Regulation (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia (UE), ^[4] e o California Consumer Privacy Act of 2018 (CCPA)^[5], nos Estados Unidos da América, implementado através de uma iniciativa em âmbito estadual, na Califórnia, onde foi aprovado no dia 28 de junho de 2018 (AB 375).^[6]

A legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos liberdade e dignidade das pessoas.

Seu texto determina que todos os dados pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário. Para realizar o tratamento de dados pessoais sem o consentimento do titular, a lei prevê hipóteses específicas em seu artigo 11, inciso II.

Histórico

Contexto da aprovação

O contexto no qual o projeto de lei sobre a proteção de dados foi aprovado pelo Poder Legislativo brasileiro foi fundamental para que sua tramitação tenha acontecido de maneira rápida.

Além do fato de o projeto de lei ter sido fruto da aglutinação de outras propostas que há muito tempo vinham tramitando paralelamente sobre o tema, os escândalos de privacidade do Facebook - em que a empresa Cambridge Analytica utilizou de dados dos usuários para que pudessem fazer uma campanha política mais assertiva e customizada na eleição de Donald Trump em 2016 - também trouxeram visibilidade para o assunto.

A segurança de dados e a privacidade passaram a ser pautas recorrentes, recaindo uma cobrança sobre os políticos brasileiros no sentido de tratar dessas questões, já que não havia no país legislação com objetivo específico de defender os dados dos usuários e definir responsabilidades relativas ao tratamento destes.

Há também investigações acontecendo no Brasil. Várias instituições tem se dividido na defesa dos dados pessoais. Muitas vezes são as instituições de São Paulo que atuam nos casos já que é o estado onde geralmente as multinacionais tem sua sede. No final de julho de 2019, o PROCON-SP cobrou explicações sobre coletas de dados ao FaceApp, Google e Apple. Em 2018 o Ministério Público Federal de São Paulo (MPF-SP) processou a Microsoft por coletas de dados dos usuários sem autorização explícita, também em julho o Ministério Publico do Distrito Federal e Territórios (MPDFT) sinalizou um possível comércio entre órgãos públicos, onde o produto são os dados das pessoas, obtidos através de informações pessoais como as informações da Carteira Nacional de Habilitação, sem que houvesse consentimento dos donos e que isso estaria violando o Marco Civil da Internet e a própria LGPD. O Serpro negou as acusações, alegando que disponibiliza por meio de um serviço e citando uma portaria do Ministério da Fazenda.^[7]

Tramitação no Congresso Nacional

Em novembro de 2010 teve início no Brasil o debate sobre a proteção de dados pessoais, com o propósito de se elaborar uma lei específica sobre o tema.^[8] Até abril de 2011 foram colhidas manifestações por meio de um blog mantido pelo Ministério da Justiça na plataforma Cultura Digital, do Ministério da Cultura. O resultado desse primeiro debate nunca chegou a ser enviado pelo Poder Executivo ao Congresso Nacional.

Em junho de 2012, o Deputado Milton Monti (PR-SP) apresentou na Câmara dos Deputados o Projeto de Lei nº 4060,^[9] como produto das discussões do V Congresso Brasileiro da Indústria da Comunicação.^[10] E em 2012, o Senador Vital do Rêgo apresentou o PLS 181/2014.

Em janeiro de 2015 o governo federal reiniciou, sob a gestão da Secretaria Nacional do Consumidor do Ministério da Justiça, o debate público para a elaboração de um anteprojeto de lei.^[11] As duas consultas públicas somaram 2.500 contribuições nacionais e internacionais, de todos os setores, além de incontáveis eventos presenciais de debate. O texto resultante foi apresentado publicamente em outubro do mesmo ano.^[12][13]

Em maio de 2016, na véspera de seu afastamento do governo, a então presidente Dilma Rousseff encaminhou ao Congresso, em regime de urgência, o anteprojeto de lei, recebido como Projeto de Lei nº 5276/2016.^[14] Em julho de 2016, o presidente interino Michel Temer retirou o regime de urgência e o PL 5276/16 tramitou formalmente na Câmara dos Deputados apensado ao 4060/12.^[15][16]

Em julho de 2018 o Projeto Lei da Câmara 53/2018^[17] foi aprovado no plenário do Senado. A Lei Geral de Proteção de Dados foi sancionada em 14 de agosto de 2018, publicada no Diário Oficial da União em 15 de agosto de 2018, e republicada parcialmente no mesmo dia, em edição extra. O início da vigência seria em 18 meses^[18] desde a publicação.

O projeto sofreu vetos. Sob a alegação, bastante questionada,^[19][20] de vício de iniciativa, Temer vetou a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão de fiscalização.^[21]

Em dezembro de 2018, Temer editou a Medida Provisória nº 869, de 27 de dezembro de 2018, prevendo a criação da ANPD e alterando o início da vigência da lei para agosto de 2020.^[22][23]

Definições estabelecidas pela LGPD

·  Dados pessoais: é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.

·  Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

·  Titular: pessoa natural a quem se referem os dados pessoais.

·  Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

·  Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

·  Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

·  Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

·  Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

·  Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.

·  Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.

Direito dos titulares dos dados pessoais

Em seu artigo 18, a LGPD traz os direitos dos titulares de dados pessoais. Os titulares poderão solicitar, a qualquer momento:

·  Confirmação da existência de tratamento.

·  Acesso aos seus dados.

·  Correção de dados incompletos, inexatos ou desatualizados.

·  Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.

·  Portabilidade dos dados a outro fornecedor de serviço ou produto.

·  Eliminação dos dados pessoais tratados.

·  Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.

·  Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

·  Revogação do consentimento.

·  Revisão por pessoa natural de decisões automatizadas.

Fiscalização

A lei entrará em vigor 24 meses após a sua publicação no Diário Oficial da União, ou seja, a partir de agosto de 2020. As infrações deverão ser aplicadas pela ANPD.^[17] A criação da ANPD havia sido vetada pelo presidente Michel Temer,^[21] criando o questionamento sobre a efetividade da lei caso a autoridade nacional não fosse criada.^[24][25]

Autoridade Nacional de Proteção de Dados

Após o veto às disposições relacionadas à Autoridade Nacional de Proteção de Dados (ANPD) originalmente previstas na Lei Geral de Proteção de Dados, o então presidente Michel Temer editou a medida provisória nº 869, de 27 de dezembro de 2018^[26], que criou a ANPD e tratou do tema separadamente.

Antes da aprovação pelo Congresso Nacional, a medida provisória sofreu várias alterações, nos termos do Projeto de Lei de Conversão nº 7 de 2019^[27].

Em julho de 2019 foi sancionada pelo presidente Jair Bolsonaro como Lei nº 13.853^[28], com veto a nove dispositivos.^[29]

A Lei nº 13.853, de 8 de julho de 2019

Na Lei nº 13.853, de 8 de julho de 2019, foi atribuída à Autoridade Nacional de Proteção de Dados natureza transitória de órgão da administração pública federal, vinculado à Presidência da República, podendo ser transformada em autarquia após dois anos, a critério do Poder Executivo.

Apesar da vinculação administrativa da ANPD à Presidência, a lei assegura sua autonomia técnica e decisória.

Quanto à organização interna da ANPD, esta deverá seguir a seguinte estrutura:

·  Um Conselho diretor (órgão máximo de direção).

·  Um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

·  Uma Corregedoria.

·  Uma Ouvidoria.

·  Um Órgão de assessoramento jurídico próprio.

·  Unidades administrativas e especializadas necessárias à aplicação do disposto na lei.

Os diretores, que integrarão o Conselho Diretor da ANPD, terão mandatos fixos e serão escolhidos pelo Presidente da república, embora sujeitos à aprovação pelo Senado Federal.  

Dentre as competências da ANPD estabelecidas na legislação, estão a de zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da legislação, promover o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade; realizar auditorias e celebrar compromissos para eliminação de irregularidades. A lei entrou em vigor na data de sua publicação (9 de julho de 2019).

Os vetos do presidente Jair Bolsonaro

Todos os nove vetos promovidos pelo presidente Jair Bolsonaro se referiram a dispositivos adicionados pelo Congresso por meio do Projeto de Lei de Conversão nº 7 de 2019.

Dentre as matérias que sofreram vetos, um dispositivo proibia os órgãos públicos de compartilharem dados pessoais de cidadãos que utilizarem a Lei de Acesso à Informação (Lei n° 12.527, de 18 de novembro de 2011).

Outros dispositivos aumentavam rol de sanções administrativas possíveis de serem aplicadas pela Autoridade Nacional. Somente restaram previstas, na lei, as punições de advertência e multa de até 2% da organização que realize tratamento indevido de informações, sendo excluídas as seguintes:

·  Suspensão parcial do funcionamento do banco de dados por seis meses.

·  Suspensão do exercício da atividade de tratamento dos dados pessoais também por até seis meses.

·  Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Também foram vetados dispositivos que permitiam à ANPD cobrar pelos serviços prestados.

Os vetos devem ser analisados pelo Congresso, sendo necessária uma quantidade mínima de 257 votos dentre os deputados e 41 dentre os senadores para derrubar um veto presidencial.

A atuação do MPDFT

A Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec)^[30] do Ministério Público do Distrito Federal e Territórios (MPDFT) foi a primeira iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros. O MPDFT já instaurou ações contra Uber^[31] e Netshoes^[32] em casos de vazamento de dados pessoais de usuários.

Sanções

As sanções administrativas para o descumprimento da LGPD estão previstas no art. 52.^[33] São elas:

·  Advertência, com indicação de prazo para adoção de medidas corretivas.

·  Multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração.

·  Multa diária.

·  Publicização da infração após devidamente apurada e confirmada a sua ocorrência.

·  Bloqueio dos dados pessoais envolvidos na infração até a sua regularização.

·  Eliminação dos dados pessoais envolvidos na infração.

Proteção de dados como direito fundamental

No início de julho de 2019, em meio as notícias de vazamentos do ministro da justiça Sérgio Moro, o Senado aprovou uma proposta de emenda à Constituição, PEC 17/2019^[34]. Essa PEC classifica a proteção de dados como direito fundamental. Alterando o inciso XII do art. 5º, que define como "inviolável" o sigilo de correspondência e de comunicações telegráficas, de dados e comunicações telefônicas. Resta agora a aprovação na Câmara dos Deputados.

Referências

1.«LEI Nº 13.709, DE 14 DE AGOSTO DE 2018». www.planalto.gov.br. Consultado em 30 de março de 2019 

2. ALECRIM, EMERSON. Technoblog, ed. «O que você deve saber sobre a lei de proteção de dados pessoais do Brasil». Consultado em 22 de julho de 2018 

3. ALECRIM, EMERSON. Technoblog, ed. «O que você deve saber sobre a lei de proteção de dados pessoais do Brasil». Consultado em 22 de julho de 2018 

4. Comissão Europeia (ed.). «Proteção de dados». Comissão Europeia. Consultado em 22 de julho de 2018 

5. Californians for Consumer Privacy (ed.). «Página Principal». Californians for Consumer Privacy. Consultado em 22 de julho de 2018 

6. California Legislative Information! (ed.). «AB-375 Privacy: personal information: businesses.». California Legislative Information!. Consultado em 22 de julho de 2018 

7. «O que diz o projeto de lei de proteção de dados que tramita no Senado» 

8. Jinkings, Publicado por Daniella (1 de dezembro de 2010). «Governo vai debater criação de marco legal para proteção de dados pessoais no Brasil». Rede Brasil Atual. Consultado em 2 de setembro de 2019 

9.«PL 4060/2012 - Portal da Câmara dos Deputados». Câmara dos Deputados. 13 de junho de 2012. Consultado em 2 de setembro de 2019 

10. Jotacom.com. «Deputado Milton Monti apresenta projeto de proteção de dados». Abemd. Consultado em 2 de setembro de 2019 

11.«Por que debater a Lei de Proteção de Dados Pessoais? - Link». Estadão. Consultado em 2 de setembro de 2019 

12.«MJ apresenta nova versão do Anteprojeto de Lei de Proteção de Dados Pessoais». Ministério da Justiça e Segurança Pública. Consultado em 2 de setembro de 2019 

13.disse, Cristiano de Noronha Lopes. «Conheça a nova versão do Anteprojeto de Lei de Proteção de Dados Pessoais». Proteção de Dados Pessoais. Consultado em 2 de setembro de 2019 

14.«PL 5276/2016». Câmara dos Deputados. Consultado em 2 de setembro de 2019 

15. «Histórico de Despachos - PL 5276/2016». Câmara dos Deputados. Consultado em 2 de setembro de 2019 

16. «Semana especial Proteção de Dados Pessoais». InternetLab. Consultado em 2 de setembro de 2019 

17. ^{Ir para: a b} Senado Federal do Brasil (ed.). «PLC 53/2018». Senado Federal. Consultado em 22 de julho de 2018 

18. MONTEIRO, RENATO LEITE. JOTA.Info, ed. «Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada». Consultado em 22 de julho de 2018 

19. «Há vício de iniciativa na criação da Autoridade Nacional de Proteção de Dados?». JOTA Info. Consultado em 2 de setembro de 2019 

20.«Qual a polêmica da lei de proteção de dados pessoais no Brasil». Tecnoblog. 17 de julho de 2018. Consultado em 2 de setembro de 2019 

21. ^{Ir para: a b} Mazui, Guilherme; Castilhos, Roniara (14 de agosto de 2018). «Temer sanciona com vetos lei de proteção de dados pessoais». G1. Consultado em 11 de novembro de 2018 

22. Braziliense, Correio; Braziliense, Correio (28 de dezembro de 2018). «Temer edita medida provisória que cria autoridade de proteção de dados». Correio Braziliense. Consultado em 2 de setembro de 2019 

23. «Medida Provisória cria Autoridade Nacional de Proteção de Dados». Migalhas. 28 de dezembro de 2018. Consultado em 2 de setembro de 2019 

24. Lemos, Ronaldo (20 de agosto de 2018). «Lei de dados nasceu desgovernada». Folha de S. Paulo. Consultado em 11 de novembro de 2018 

25. Monte-Serrat, Daniela (20 de agosto de 2018). «Brasil precisa de autoridade de dados para se manter próximo do mercado europeu». Jota.info. Consultado em 11 de novembro de 2018 

26. MEDIDA PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018

27. «PLV 7/2019». Consultado em 2 de setembro de 2019 

28. ^{Ir para: a b} [legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%2013.853-2019?OpenDocument «Lei nº 13.853, de 8 de julho de 2019»] Verifique valor |url= (ajuda). Consultado em 31 de julho de 2019 

29. «Lei que cria Autoridade Nacional de Proteção de Dados é sancionada com vetos». Senado Federal. Consultado em 2 de setembro de 2019 

30. «MPDFT - Unidade Especial de Proteção de Dados e Inteligência Artificial». www.mpdft.mp.br. Consultado em 30 de março de 2019 

31.«MPDFT - Uber termina de notificar usuários brasileiros afetados por vazamento de dados». www.mpdft.mp.br. Consultado em 30 de março de 2019 

32.«MPDFT - MPDFT e Netshoes firmam acordo para pagamento de danos morais após vazamento de dados». www.mpdft.mp.br. Consultado em 30 de março de 2019 

33.Subchefia para Assuntos Jurídicos, Presidência da República, Casa Civil. «LEI Nº 13.709, DE 14 DE AGOSTO DE 2018». www.planalto.gov.br. Consultado em 13 de abril de 2019 

34. «PEC 17/2019». Consultado em 1 de agosto de 2019 

Fonte: Wikipédia

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

O que é a Lei Geral de Proteção de Dados

Lei que regulamenta o tratamento de dados pessoais por empresas entra em vigor em agosto de 2020. Empresas do setor público e privado terão que se adaptar para atender à Lei Geral de Proteção de Dados Pessoais.

A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sancionada por Michel Temer em agosto de 2018 e entrará em vigor em agosto de 2020. Seu objetivo é regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas.

Com isso, a partir de 2020, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam - como nome e e-mail - deve seguir os procedimentos previstos na nova lei. As empresas ou grupos que não cumprirem com as novas exigências estarão sujeitas a uma multa que pode chegar a até R$ 50 milhões.

Como funciona o chamado tratamento de dados?

O tratamento de dados pode ser entendido como qualquer procedimento que envolva a utilização de dados pessoais, tais como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência, a eliminação, entre outras ações.

Todo esse processo exige a presença de três figuras centrais que as empresas deverão conter em seu quadro profissional: o controlador, o operador e o encarregado. O controlador é quem toma as decisões sobre o tratamento dos dados e suas orientações são colocadas em prática pelo operador.

Esses dois profissionais - controlador e operador - são os chamados agentes de tratamento. Por fim, há o encarregado, que tem a missão de fazer a "ponte" entre o controlador, a pessoa dona dos dados e a agência governamental responsável pela fiscalização da lei.

Quando a LGPD entra em vigor?

A lei está prevista para começar a vigorar em agosto de 2020, ou seja, dois anos depois de sua aprovação. Esse prazo foi dado para que as empresas tenham tempo suficiente para se estruturarem e conseguirem colocar em prática as novas exigências de proteção e transparência no tratamento das informações de seus clientes e usuários.

Como funciona a LGPD na Europa e quais as diferenças em relação à lei brasileira?

A União Europeia colocou em vigor no ano passado uma lei pioneira de proteção a dados pessoais e à privacidade. Os escândalos de vazamento e compartilhamento de dados sem consentimento dos titulares feitos por grandes empresas de tecnologia, como o Facebook, alavancou essa discussão entre legisladores europeus, que elaboraram e aprovaram a GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados), como ficou conhecida a lei.

Uma espécie de atualização da lei de privacidade da União Europeia vigente desde 1995, a nova lei se fez necessária para observar a nova dinâmica do uso de dados na rede, com a consolidação de grandes empresas baseadas exclusivamente na internet. Ela foi criada com a finalidade de oferecer uma salvaguarda jurídica de controle e transparência aos cidadãos em relação ao uso de suas informações pessoais armazenadas nos bancos de dados das empresas, principalmente as de tecnologia.

Em tese, a GDPR é válida apenas para as empresas baseadas na Europa, que atuam no continente ou que utilizam dados de cidadãos europeus. No entanto, as grandes empresas de tecnologia têm estendido o cumprimento das exigências a todos os seus usuários, independentemente do país de origem.

Para o advogado especialista em direito cibernético e ex-diretor de polícia forense da Interpol na França, Paulo Quintiliano, com a Lei de Proteção de Dados o Brasil se coloca no mesmo nível dos países da Europa e dos EUA em relação ao combate do tratamento indevido de dados pessoais por empresas.

A principal diferença entre a lei brasileira e a GDPR, para Quintiliano, é o nível de detalhamento. "A nossa lei cobre todos os aspectos que a GDPR cobre, mas de uma forma menos detalhada. Talvez algumas questões terão que ser disciplinadas posteriormente, mas em termos de abrangência eu entendo que são equivalentes", afirma.

Que cuidados as empresas devem tomar após a LGPD entrar em vigor?

Para se enquadrar nas exigências da lei, as empresas terão que fazer investimentos para a implementação de uma estrutura e uma política interna de compliance digital acerca do tratamento de dados de seus clientes. Isso vale tanto para empresas do setor público como do setor privado.

A primeira ação a ser tomada é um diagnóstico da equipe de TI - da própria empresa ou terceirizada - com relatórios de análises de risco e de análises de impacto das novas exigências. Com isso, será possível verificar em qual estágio a empresa se encontra nesse sentido, quais são os pontos mais vulneráveis de seus sistemas e constatar quais são os maiores fatores de risco.

As empresas terão que ter, obrigatoriamente, em seu quadro de funcionários as figuras do controlador, do operador e do encarregado, responsáveis pelo tratamento de dados.

É recomendado também que as empresas criem um grupo ou comitê que atue exclusivamente na elaboração de políticas internas, metas e planos de gerenciamento de proteção de dados, assim como planos de emergência para gestão de crises envolvendo segurança e privacidade. É importante que membros da alta cúpula da empresa e com autonomia de decisão participem desse comitê, para que eventuais correções e aprimoramentos possam ser tomados de maneira ágil e eficiente.

Após essa estruturação de quadros e funcionários, é interessante que se crie uma cartilha de política interna com as diretrizes da empresa sobre esse assunto. Investir em programas de treinamento sobre a nova legislação e também sobre tratamento de dados é uma forma que as empresas têm para fortalecer essa nova política interna e ganhar pontos nesse novo cenário do mercado.

A empresa que descumprir a LGPD estará sujeita, além de outras penalidades previstas no texto, a uma multa de até 2% de seu faturamento, dependendo do grau e tipo de violação. O valor máximo da sanção é de R$ 50 milhões.

O que muda, na prática, com a nova Lei Geral de Proteção de Dados?

A principal premissa da lei é a proteção de dados e a garantia de um tratamento diferenciado de informações pessoais consideradas sensíveis. O texto da lei explicita quais informações são consideradas sensíveis: "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico".

Basicamente, a lei coíbe o uso indiscriminado de dados pessoais informados por meio de cadastros e garante ao cidadão o direito de estar ciente sobre como será feito o tratamento de suas informações e para qual finalidade específica elas serão usadas. A lei determina que a empresa deve explicar ao proprietário da informação a razão pela qual vai usar algum dado seu e deve haver um consentimento prévio expresso da pessoa antes da utilização, assim como a transferência de informações para outras empresas.

"O cidadão passa a ter maior controle de fiscalização, com possibilidade de pedido de descarte de uma informação que é enviada à empresa, que tem que comprovar como que o dado é armazenado, onde é armazenado e qual é o nível de segurança pelo qual ele é armazenado", explica Coriolano Camargo, presidente da Digital Law Academy e advogado especialista em Direito Digital.

A lei também exige uma notável atenção das empresas quanto ao relacionamento com seus clientes ou usuários, uma vez que a nova legislação garante novos direitos para o cidadão exigir a devida proteção e privacidade de seus dados. As pessoas poderão exigir que uma empresa informe se possui algum dado seu, assim como exigir que a empresa apague todos os seus dados que estão armazenados ali.

Alguns especialistas apontam que a abrangência da lei para qualquer tipo de empresa pode causar uma dificuldade ou até mesmo inviabilizar o negócio de pequenas empresas. Há o argumento de que não se deve dar o mesmo tratamento e rigor a grandes empresas multibilionárias e pequenas empresas, como ONGs, consultórios médicos e escolas particulares, uma vez que os potenciais danos do uso indevido de dados pessoais por multinacionais e grandes empresas de tecnologia não pode ser comparado ao cadastro de alunos de uma escola particular, por exemplo.

Quem fiscalizará a Lei quando começar a vigorar?

Uma MP aprovada no dia 29 de maio no Senado e que agora segue para a sanção do presidente da República alterou a lei de 2018 a fim de determinar a criação da Autoridade Nacional de Proteção de Dados (ANPD). O órgão será responsável por zelar e fiscalizar o cumprimento da LGPD, elaborar diretrizes para a lei e aplicar as sanções previstas para as empresas - públicas ou privadas - descumprirem as exigências.

No texto original sancionado em 2018, o trecho que previa a criação do órgão regulador foi excluído por ter sido considerado inconstitucional, já que, de acordo com a Constituição, o Legislativo não pode criar leis que gerem custos ao Executivo.

Com isso, criou-se uma movimentação no Congresso para que a instituição fosse criada por meio de uma Medida Provisória. A MP 869/2018 foi discutida em comissão mista composta por deputados e senadores, foi aprovada no plenário da Câmara e, na quarta-feira, 29, passou pelo Senado. O texto segue agora para sanção presidencial.

"A ANPD nada mais é que uma agência reguladora", diz o deputado Luiz Flávio Gomes (PSB-SP), que no dia 23 de maio convocou uma audiência pública com especialistas na área e membros do governo para discutir a criação do órgão. "Hoje nossos dados são o grande produto do século 21 e a ANPD é o coração de toda a sistemática e aplicação da lei que entra em vigor no próximo ano".

A agência reguladora será composta por um quadro técnico de 23 profissionais, sendo cinco deles membros do Conselho Diretor do órgão, que serão escolhidos e nomeados pelo presidente da República, após aprovação pelo Senado Federal, e ocuparão cargos comissionados.

A ANPD ficará subordinada diretamente à presidência da República nos dois primeiros anos de sua implementação e depois será transformada numa autarquia, com independência de atuação.

Acesse o texto completo da Lei Geral de Proteção de Dados (LGPD), clicando aqui

Fonte: Estadão, com adaptações da M&M Assessoria Contábil

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Perguntas frequentes sobre a Lei Geral de Proteção de Dados

O que estabelece a Lei de Proteção de Dados Pessoais?

Em linhas gerais, a Lei de Proteção de Dados Pessoais (LGPD) estabelece os princípios, direitos e deveres que deverão ser observados no tratamento de dados pessoais.

A quem deve ser aplicada a LGPD?

A Lei de Proteção de Dados Pessoais é aplicável aos dados de pessoas naturais e deve ser cumprida por pessoa natural e entidades públicas ou privadas, independentemente do país de sua sede ou de onde os dados estejam localizados, que realizem qualquer operação de tratamento de dados pessoais, tais como a coleta, armazenamento e compartilhamento de dados com terceiros, desde que esse tratamento: (i) seja realizado no território nacional,

(ii) tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou, ainda,

(iii) quando os dados pessoais tiverem sido coletados em território nacional.

Com a nova Lei, o que muda na prática para o cidadão?

Na prática, a mudança aumenta a transparência e o controle do titular sobre os seus dados. Quando a Lei de Proteção de Dados Pessoais entrar em vigor, o titular poderá requerer o acesso a todos os seus dados que estão sendo tratados por qualquer pessoa natural ou entidade - pública ou privada, bem como solicitar que eles sejam corrigidos ou atualizados, quando for o caso.

A medida empodera o cidadão em relação aos dados pessoais, uma vez que as empresas terão mais responsabilidades no tratamento desses dados, especialmente no que se refere à garantia de transparência e adoção de critérios e medidas mais rígidas de governança e segurança de dados.

Quais serão os direitos do cidadão?

Em linhas gerais, o titular tem o direito de obter a confirmação da existência de tratamento de dados e de acessá-los, de forma gratuita e facilitada. Se for o caso, o titular poderá requerer a correção de dados incompletos, inexatos ou desatualizados.

Quando o tratamento não observar os requisitos da Lei ou os dados forem considerados desnecessários ou excessivos, será possível requerer a sua anonimização, bloqueio ou eliminação.

O titular também poderá requerer a revisão manual de decisões automatizadas, revogar o consentimento por ele fornecido ou requerer a portabilidade de seus dados, cujos critérios ainda serão regulamentados pela Autoridade Nacional de Proteção de Dados (ANPD), entidade que será criada por Medida Provisória ou Projeto de Lei de iniciativa do Executivo.

Como fica o uso de dados da administração pública?

Os dados provenientes de fontes públicas, ou seja, os dados públicos, podem ser coletados ou fornecidos às entidades privadas quando estiverem publicamente acessíveis ou nas hipóteses de tratamento previstas na Lei de Proteção de Dados Pessoais, tais como a proteção ao crédito e o legítimo interesse do controlador ou de terceiros.

Nesse sentido, o uso desses dados deve respeitar o disposto na legislação, observados os direitos e princípios dos titulares de dados, especialmente em relação ao uso de acordo com as finalidades para as quais esses dados foram disponibilizados, a garantia de livre acesso e a minimização do tratamento, bem como a qualidade dos dados.

O que significa o consentimento do usuário?

O consentimento é a autorização do titular para o tratamento de dados para uma finalidade determinada, que deverá ser fornecida mediante manifestação livre, informada e inequívoca, por escrito ou qualquer outro meio que demonstre a sua manifestação de vontade. Caso seja fornecido por escrito, a cláusula deverá estar destacada das demais.

Como será possível fazer a revogação do consentimento?

Com a Lei de Proteção de Dados Pessoais, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular de dados, por procedimento gratuito e facilitado.

Há um marco legal sobre o uso de dados das pessoas?

Além da Constituição Federal, há diversas leis esparsas que tratam da proteção de dados pessoais, tais como o Código de Defesa do Consumidor (especialmente o artigo 43, que regulamenta as atividades dos bancos de dados de proteção ao crédito), a Lei de Acesso à Informação, a Lei do Cadastro Positivo e o Marco Civil da Internet.

Como ficam os termos de uso?

A LGPD estabelece que, quando for exigido, o consentimento deverá ser obtido por manifestação livre, informada e inequívoca do titular de dados, para uma finalidade determinada. Nesse sentido, os termos de uso não poderão ser generalistas, sob pena de serem considerados nulos, e deverão indicar com mais transparência como os dados serão tratados e armazenados, bem como as categorias de terceiros com os quais esses dados poderão ser compartilhados, se for o caso. Além disso, deverão indicar os direitos do titular, tais como a possibilidade de acessar os seus dados e de revogar o consentimento em processo gratuito e facilitado, bem como a informação sobre a possibilidade de não fornecer o consentimento e as consequências da negativa.

Como fica a questão de dados biométricos?

A LGPD classifica os dados biométricos como dados pessoais sensíveis, prevendo, ainda, mais rigor nos critérios aplicáveis ao seu tratamento. Todavia, o tratamento poderá ser realizado, dispensando-se o consentimento do titular, quando se tratar de hipóteses que abrangem o cumprimento de obrigação legal ou regulatória e também a prevenção à fraude e à segurança do titular, entre outras.

Como será esse relatório de impacto nos dados?

O relatório de impacto conterá a documentação com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, indicando, no mínimo, os tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

O relatório deverá ser elaborado sempre que for identificada a existência de tais riscos, podendo ainda ser exigido pela Autoridade Nacional de Proteção de Dados (ANPD), especialmente quando o tratamento de dados for baseado no legítimo interesse.

O que impactará o mercado de crédito no Brasil, principalmente a análise de crédito?

O inciso X do artigo 7º da LGPD estabelece que o tratamento de dados poderá ser realizado para a proteção do crédito, nos termos da legislação pertinente. Nesse sentido, a lei não altera as regras atuais, especialmente o Código de Defesa do Consumidor e a Lei do Cadastro Positivo.

Acesse o texto completo da Lei Geral de Proteção de Dados (LGPD), clicando aqui

Fonte: Serasa Experian, com adaptações da M&M Assessoria Contábil.

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Lei Geral de Proteção de Dados no Brasil: entenda como ela vai te beneficiar

Em 14/08/2018 foi sancionada a Lei 13.709/2018 que trata da proteção de dados pessoais em geral (LGPD). Foram oito anos de discussão até se chegar à aprovação da lei, que teve origem em projeto da Câmara dos Deputados aprovado por unanimidade e em regime de urgência pelo Senado em julho desse ano.

A urgência se deveu, principalmente, ao vazamento de dados dos usuários do Facebook, coletados pela empresa Cambrigde Analytica e usados nas últimas eleições nos Estados Unidos.

Afinal, o que é a LGPD e como ela poderá impactar nosso modo de viver na sociedade ultratecnológica atual, governada pela informática e pelos mecanismos de tecnologia da informação e da comunicação?

Não temos dúvida de que todas as nossas atividades são baseadas em dados produzidos incessantemente. Com isso, um vasto campo de responsabilidades se abriu e sinalizou a necessidade de uma norma própria para trazer diretrizes e comportamentos básicos para quem lida com os dados das pessoas (leiam-se das pessoas físicas).

Dados pessoais on-line e off-line

É importante dizer que a LGPD veio para proteger os dados pessoais, tanto no formato físico, quanto no digital. Ocorre que, com a facilidade e rapidez trazidas pela tecnologia que tornou instantânea a produção, troca e proliferação de dados, fica difícil desvincular a imagem dos dados pessoais dos meios digitais.

A LGPD veio para disciplinar o tratamento dos dados pessoais que dizem respeito a qualquer informação que identifique uma pessoa, como o nome e sobrenome, CPF e RG, além de dados como raça, religião, sexualidade e opinião política que são tidos como dados "sensíveis" e recebem proteção. São muitos os dados que podem ser acobertados pela lei.

E o que muda com a LGPD?

A maior mudança, sem dúvida, diz respeito ao controle dos cidadãos em razão da garantia de acesso às informações sobre os seus dados. Sem se falar na necessidade de autorização expressa de sua parte para que a coleta de dados ocorra.

Quando a lei entrar em vigor, em agosto de 2020, será garantida a todos a ampla informação sobre como empresas públicas e privadas tratam os nossos dados, ou seja, o modo e a finalidade da coleta, como esses dados ficam armazenados, por quanto tempo guardam e com quem compartilham.

Por parte das empresas o trabalho será garantir a transparência e o direito de acesso a essas informações. Tudo de forma clara, inteligível e simples. A nova lei atingirá toda e qualquer atividade que envolva utilização de dados pessoais, incluindo o tratamento pela internet, consumidores, empregados, entre outros.

Qual a mensagem que a sanção da LGPD traz?

A LGPD coloca o Brasil em posição de igualdade com muitos países que já possuem um tratamento bem definido sobre o tema e traz, de forma expressa, a importância da boa-fé no tratamento dos dados pessoais, exigindo-se bom senso e transparência de quem lida com esses dados, procurando penalizar excessos e abusos através da definição da responsabilidade e do dever de indenizar.

Acesse o texto completo da Lei Geral de Proteção de Dados (LGPD), clicando aqui

Fonte: Canal Tech, com adaptações da M&M Assessoria Contábil

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

População deve ser esclarecida sobre lei de proteção de dados

Especialistas ouvidos nesta terça-feira (17/9/2019) pela Comissão de Defesa do Consumidor da Câmara dos Deputados alertaram para a necessidade de se esclarecer a população sobre Lei Nacional de Proteção de Dados (Lei 13.709/18).

A legislação entra em vigor no ano que vem e tem como objetivo principal disciplinar o tratamento, por terceiros, de dados pessoais, como nome e sobrenome, CPF, RG; além de raça, religião, sexualidade e opinião política.

Para o presidente do Instituto Nacional de Defesa do Consumidor, Arthur Rollo, a nova lei só vai surtir os efeitos esperados se o consumidor for conscientizado sobre a necessidade de permitir ou não a utilização de suas informações.

"É só ter um aplicativo novo que te envelhece, que faz você ficar com cara de bichinho,  que todo mundo sai baixando, e é obvio que, por trás desses aplicativos gratuitos, o que existe é a utilização de dados do consumidor", alertou.

Rollo destacou ainda que um dos pontos nevrálgicos da lei de proteção de dados é justamente o livre consentimento do consumidor. "E ele precisa saber disso", completou.

O vice-Presidente da Associação Nacional do Ministério Público do Consumidor, Paulo Roberto Binicheski, lembrou que as empresas têm obrigação de informar e pedir permissão aos consumidores antes de utilizar seus dados.

O autor do requerimento para a realização da audiência, deputado Celso Russomanno (Republicanos-SP), afirmou que a utilização indevida de dados pode trazer enormes prejuízos para o consumidor e por isso deveria ser punida de forma mais severa, não apenas com multa.

"A responsabilização é muito branda, a responsabilização não é só da pessoa jurídica que vai arcar com os danos causados aos consumidores pelos vazamentos de dados. Mas, e aquele que deu causa e origem àquilo não vai responder criminalmente?", questionou.

Insumo

O diretor de relações institucionais da Associação Brasileira de Defesa do Consumidor (Proteste), Henrique Lian, destacou que os dados pessoais estão atualmente na base da economia mundial, com um mercado tão forte que sustenta sozinho o Facebook, uma empresa que lucra milhões de dólares anualmente em todo o mundo.

"Não se desenvolve nenhum produto e nenhum serviço mais sem a utilização, a análise e a mineração de dados individuais", disse.

Para Lian, o consumidor que que fornece o principal insumo para a indústria de produtos e serviços deveria estar no centro da nova economia recebendo um dividendo justo pelo seu insumo. "O que ainda não acontece, mas marcos regulatórios como a lei de proteção de dados caminham nesse sentido", avalia.

O especialista comparou os dados pessoais à moeda e a garantia dada pelo consumidor, ao lastro. "No momento em que os consumidores perderem a confiança nas empresas e retirarem os seus dados, não permitirem que seus dados sejam monetizados, a gente terá uma crise econômica semelhante à de 1929".

Fonte: Câmara dos Deputados

Maioria das empresas não está pronta para a Lei de Proteção de Dados

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!

Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020 determina que todas as empresas devem se adequar a ela, pois o não cumprimento pode gerar multas de até R$ 50 milhões.

Do que se trata?

A Lei 13.709/18 estabelece regras que empresas terão que seguir para garantir controle sobre a coleta, uso e transferência de dados pessoais no Brasil, disciplinando o tratamento de qualquer informação que identifique uma pessoa.

Isso significa que a partir de agosto de 2020, qualquer empresa pública ou privada precisará adequar seus processos para obter o consentimento explícito e assegurar a proteção dos dados de clientes na hora de coletar, armazenar e usar essas informações.

Além de aumentar o controle do titular (dono dos dados) sobre as informações, a lei traz mais transparência e segurança jurídica para as entidades dos setores público e privado.

Por isso é tão importante entender e investir, da adequação de equipamentos de TI e treinamento de funcionários a ações de combate a vazamento de dados, dentre outras ameaças virtuais.

Penalidades

A legislação estabelece ainda as penalidades aplicáveis no caso de descumprimento das regras nela estabelecidas, que variam desde advertência até multas (que podem ser diárias) de até 2% (dois por cento) do faturamento da pessoa jurídica até o limite R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Vale observar que o intuito da lei é criar uma cultura de governança no ambiente de negócios do país.

Dessa forma, as penalidades levarão em conta diversos critérios objetivos.

Acesse o texto completo da Lei Geral de Proteção de Dados (LGPD), clicando aqui

Fonte: Softwares em Risco, com adaptações da M&M Assessoria Contábil

Gostou da matéria e quer continuar aumentando os seus conhecimentos com os nossos conteúdos?

Assine, gratuitamente, a nossa Newsletter Semanal M&M Flash, clicando no link a seguir:

https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você acompanha as nossas atualizações em primeira mão!