Serasa Experian deve suspender a comercialização de dados pessoais de consumidores

Embora a ANPD ainda não esteja desenvolvendo suas atividades, empresas já podem ser condenadas por conta de violações à LGPD.

Recentemente, por exemplo, o Ministério Público do Distrito Federal moveu uma Ação Civil Pública contra a Serasa Experian, por conta de operações de venda de dados de consumidores.

O processo ainda se encontra em fase inicial, mas na última terça-feira, dia 24, o TJDF, em sede de agravo de instrumento, concedeu tutela antecipada para impedir que a empresa continue realizando a comercialização dos dados até o julgamento do feito.

A LGPD E OS CONCEITOS DE PRIVACY BY DESIGN E PRIVACY BY DEFAULT

A Lei Geral de Proteção de Dados importou da norma europeia uma série de novos conceitos e princípios que se relacionam com a proteção de dados e privacidade.

Dentre estes princípios, dois deles, até então pouco conhecidos no país, serão objeto de estudo neste artigo.

Estamos falando do “Privacy by Design” e “Privacy by Default” que, em poucas palavras, podem ser definidos como a forma que o tratamento de dados pessoais deverá ser pensado em cada processo e criação empresarial.

As expressões “Privacy by Design” e “Privacy by Default” vêm sendo amplamente citadas, pois são meios de conceber, criar e configurar os sistemas que se utilizam dos dados pessoais, em conformidade com as normas vigentes.

O termo “Privacy by Design” está relacionado à preocupação de que os sistemas possam resguardar a privacidade dos titulares de dados desde antes do início da própria coleta dos dados, e não apenas no curso do tratamento.

Assim, as empresas devem assegurar, por meio de desenvolvimento de seus sistemas de tecnologia, a implementação nas suas práticas comerciais e processos internos, a segurança das informações em todo o processo, observando todas as suas etapas, com o objetivo de proteger a privacidade e os dados dos titulares.

Nesse contexto, foram desenvolvidos em torno do conceito do “Privacy by Design”, 7 (sete) princípios relacionados à proteção de dados, utilizando a ideia da privacidade “desde a concepção”. São eles:

  1. Proativo, não reativo: Devem ser antecipadas as medidas para evitar os problemas com riscos relacionados à privacidade, como por exemplo, vazamento de dados.
  2. Privacidade por padrão (“as the Default Setting”): são as regras padrão. Os dados estarão protegidos automaticamente em qualquer sistema, sem que seja necessária qualquer ação por parte do indivíduo. Além disso, pode-se mencionar como exemplo deste princípio a regra geral no sentido de que os funcionários de uma empresa somente deverão ter acesso a dados pessoais quando for indispensável ao desempenho das tarefas que são de sua responsabilidade.
  3. Privacidade Embutida no Design: a privacidade deve ser totalmente integrada aos sistemas de tecnologia, práticas comerciais e processos internos das empresas.
  4. Funcionalidade Total: o “privacy by design” visa acomodar todos os interesses de forma a somar múltiplas funcionalidades ao projeto.
  5. Segurança de ponta-a-ponta: garantia, do início ao fim, do gerenciamento seguro do ciclo de vida das informações.
  6. Visibilidade e Transparência: garante a todas as partes interessadas que, seja qual for a prática comercial ou tecnologia envolvida, a operação ocorrerá de acordo com as promessas e objetivos declarados.
  7. Respeito à privacidade do usuário: exige que arquitetos e operadores mantenham os interesses do indivíduo em primeiro lugar, oferecendo medida com padrões seguros de privacidade, aviso apropriado, informações corretas e atualizadas.

Estes princípios deverão ser observados em todos os tipos de tratamentos de informações pessoais, mas deve ser aplicado com rigor especial a dados sensíveis, tendo em vista os impactos que os incidentes de privacidade relacionados a tal espécie de dados podem causar.

Já o “Privacy by Default”, ou “privacidade por padrão”, decorre do “Privacy by Design” por assim dizer. O conceito está relacionado, por exemplo, à ideia de que os produtos ou serviços oferecidos devem ter suas programações de privacidade restritas (forma mais restrita possível), cabendo ao próprio usuário, quando for a hipótese, liberar ou autorizar a coleta de informações e dados complementares.

Assim, os aplicativos, sites e sistemas oferecidos aos usuários apenas poderiam coletar o extremamente necessário e aquilo que fosse objeto de autorização pelo próprio usuário, mediante a informação pelo próprio sistema sobre quais informações estariam sendo objeto da coleta e para qual propósito estariam sendo utilizadas, salvo quando existente alguma outra base legal autorizadora.

Como exemplo, os chamados “cookies” existentes nos sites de internet. Para o “Privacy by Default”, essa ferramenta deve estar desativada “por padrão”, cabendo ao usuário ativá-los de forma voluntária e decidir quais são os dados que deseja compartilhar naquela oportunidade específica.

Tanto o “Privacy by Design” quanto o “Privacy by Default”, foram introduzidos na “GDPR” (General Data Protection Regulation), lei de proteção de dados europeia, como, por exemplo, consta na literalidade do seu artigo 25, intitulado “Data protection by design and by default”., que trata sobre o dever do controlador de implementar medidas técnicas e organizacionais apropriadas para que a proteção de dados seja eficaz e integre as salvaguardas necessárias ao processamento.

Já na Lei Brasileira, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), tais conceitos não foram citados expressamente, entretanto, em alguns de seus dispositivos legais, estes se encontram implícitos.

Como exemplo, pode-se destacar o artigo 46, §2º da Lei nº 13.709/2018, cujo texto prevê expressamente que as medidas de segurança deverão ser observadas “desde a fase de concepção do produto ou do serviço até a sua execução”, em nítido alinhamento com o “Privacy by Design”, senão vejamos.

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

  • 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
  • 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”. (destaques nossos)

O conceito de “Privacy by Default” ou “privacidade por padrão”, na LGPD, está relacionado no artigo 6º, III, que assim prevê:

“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

(…)

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados””.

Além disso, diversos outros princípios constantes na LGPD se comunicam com o conceito de “privacidade por padrão”, como o da finalidade, o da adequação e o da necessidade, por exemplo.

Assim, os conceitos de “privacidade desde a concepção” e “privacidade por padrão” são essenciais para que as empresas tenham conhecimento das adequações que precisarão ser implementadas nos seus processos internos, a partir da entrada em vigor da Lei Geral de Proteção de Dados.

Portanto, a proteção de dados terá que ser pensada, também, a partir da criação dos processos empresariais, como parte integrante do desenvolvimento dos sistemas, para que as empresas possam se adequar à Lei e, assim, adotar as melhores práticas para sua atuação.

Priscila Vasconcelos De Mello Vieira

OAB/BA 27.278

LGPD E A MINIMIZAÇÃO DOS DADOS

Ludmila Faria Mayer

A LGPD (Lei Geral de Proteção de Dados) incluiu no ordenamento jurídico diversas disposições que disciplinam o tratamento de dados pessoais, inclusive digitais.

Entre as novas normas estão as responsabilidades daqueles que realizam os tratamentos e as sanções decorrentes dos tratamentos em desconformidade com a lei.

Objetivando nortear as atividades envolvendo o tratamento de dados pessoais, a LGPD, além de citar a boa-fé, enquanto princípio geral que rege as relações jurídicas, traz, em seu artigo 6º, um rol de dez princípios que precisam ser observados em todas as operações que envolvam essa espécie de informação, quais sejam: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

O presente artigo tem como objetivo destacar o Princípio da Necessidade, previsto no inciso III, do artigo acima citado. Vejamos o diz a Lei sobre o referido princípio:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

O princípio da necessidade é também conhecido como princípio da minimização, pois assim foi denominado no Regulamento Geral de Proteção de Dados, versão portuguesa da norma europeia de proteção de dados (GDPR – art. 5º/1,c) e que inspirou a nossa legislação.

O princípio da minimização pode ser analisado sob três aspectos: quanto à quantidade/espécies de dados coletados, quanto ao tempo de guarda dos dados coletados e quanto ao número de tratamentos realizados com os dados coletados, aqui incluído o número de compartilhamento com terceiros.

Segundo o conceito geral, o processo de minimização consiste no ato ou efeito de minimizar, de reduzir em proporções mínimas.

Nesse sentido, sabemos que o tratamento de dados pessoais em excesso é uma prática muito comum, mas com o advento da LGPD, será necessário repensar a forma de tratar os dados pessoais.

Estamos diante de uma verdadeira mudança de cultura, onde será necessário introjetar a prática da minimização dos dados e tratamentos, a fim de mitigar os riscos e os prejuízos.

Assim, antes de coletar qualquer tipo de dado, será essencial fazer uma análise sobre a necessidade de se coletar “aquele dado”, verificando se ele é realmente necessário, se é indispensável para atingir o objetivo do tratamento proposto.

No mesmo sentido, uma vez coletado determinado dado pessoal, será necessário realizar uma constante análise para verificar se o armazenamento ou qualquer outro tratamento daquele dado ainda é realmente necessário, providenciando o correto descarte de dados armazenados por prazo além do necessário.

Por fim, também a minimização do número de tratamentos realizados com aqueles dados também deverá ser observada, evitando compartilhamentos, transferências, cópias, armazenamentos ou quaisquer outras operações desnecessárias.

É importante lembrar que quem realiza o tratamento da informação tem o dever de proteger ao máximo a privacidade do titular e os dados coletados, visto que pode ser responsabilizado por qualquer prejuízo causado, inclusive por eventual operação indevida ou em desconformidade com a lei.

Observe-se, por fim, que quanto mais dados são tratados pelo agente, maior será a sua responsabilidade, inclusive em casos de vazamentos e incidentes de segurança, sendo este mais um argumento em torno da importância de se coletar somente os dados necessários para determinado fim.

A necessidade de adequação à LGPD é latente e necessária, o que requer que todos aqueles que lidam com dados pessoais observem as suas normas, o que contempla a necessidade de se realizar o tratamento do menor número possível de informações e pelo menor prazo possível, visando uma maior segurança e adequação da empresa.

Esse texto foi escrito por Ludmila Faria Mayer, sócia de Guimarães e Meireles Advogados Associados S/C 

Contract Design na prática: Objeto do Contrato

A partir de hoje, faremos, periodicamente, algumas publicações tratando da elaboração contratos, principalmente à luz da teoria do Contract Design, abordando alguns aspectos importantes de como se elaborar um contrato mais claro e com maior segurança jurídica para as partes contratantes.

Para a teoria do Contract Design[1] , o contrato é visto como um instrumento de antecipação de conflitos de modo que, durante sua elaboração, as partes já devem prever as possíveis soluções que desejam para os possíveis problemas que podem ocorrer durante a sua execução.

O tema de hoje será: OBJETO DO CONTRATO

O Objeto do contrato é o seu cerne e a sua adequada descrição permite a interpretação de outras cláusulas nele inseridas.

As situações que constituem o objeto do contrato se identificam com a operação econômica visada pelas partes e sobre as quais o contrato versará[2].

Construiu-se uma teoria, inclusive, partindo-se, principalmente das ideias do Jurista Italiano Enzo Roppo,  no sentido de que o contrato é “a veste jurídico-formal de operações econômicas[3].

Desse modo, o advogado deverá conhecer, a fundo, o contexto no qual o contrato se insere, a sua finalidade econômica e todas as características da operação que as partes contratantes pretendem realizar ao celebrarem um contrato.

Quando consultado, o advogado deve ter conhecimento, a fundo, destes detalhes para que, assim, possa descrever o objeto, com suas especificidades, da forma mais adequada possível.

Muitas vezes, é necessária a inserção de um PREÂMBULO no qual as partes inserem alguns considerandos que serão decisivos na interpretação de contratos na hipótese de litígios futuros.

Estes considerandos auxiliarão o intérprete a reconstituir o interesse originário das partes na celebração dos contratos e as premissas com base nas quais foram constituídas as obrigações previstas para cada uma delas.

A previsão de anexos ao contrato também se torna bastante útil quando necessária a sua interpretação à luz de elementos técnicos que escapam do plano puramente jurídico. É o caso de memoriais descritivos, projetos ou qualquer outro elemento técnico que será melhor compreendido se figurar como anexo ao contrato e não reduzido a, apenas, uma ou algumas cláusulas do mencionado instrumento.

A utilização de termos precisos e uniformes se afigura muito importante na redação de um contrato e, a depender do grau de sua complexidade, pode-se até mesmo fazer um glossário de forma a explicitar o sentido que as partes pretenderam conferir a determinadas expressões utilizadas ao longo do instrumento contratual.

Com a precisa identificação do objeto do contrato, auxiliado pelo preâmbulo, glossário e  instrumentos anexos, as partes poderão elaborar um contrato refletindo suas reais intenções e, desse modo, evitar litígios futuros em face do eventual desencontro de expectativas entre elas.

Ana Cristina Costa Meireles, sócia de Guimarães e Meireles. Curso de Contract Design pela FGV LAW SP.

[1] Cf. Robert E. Scott and George G. Triantis, Anticipating Litigation in Contract Design, The Yale Law Jorunal, pp. 814-879.

[2] Roppo, Enso. O CONTRATO. Edições Almedina, S/a, Janeiro 2009. P. 8.

[3] Ob. Cit. p. 11

Dados Anonimizados LGPD

Você sabia que existe uma espécie de dado que não se submete à Lei Geral de Proteção de Dados?

Em continuidade à sua série de vídeos sobre a LGPD, a Dra. Bruna Jardim (@brunasjardim) fala, hoje, sobre Dados Anonimizados e dados pseudonimizados e a relação desses conceitos com o tratamento de dados e a segurança da informação!

https://www.instagram.com/tv/CHQEOhlDlRK/

ATAQUE HACKER E MEDIDAS ADOTADAS PELO STJ SERVEM DE ALERTA E DIRETRIZ PARA AS EMPRESAS QUE ESTÃO EM FASE DE ADEQUAÇÃO À LGPD

Conforme nota oficial divulgada pelo STJ, no dia 03/11/2020, houve um ataque hacker na rede de tecnologia da informação do Tribunal, durante o período da tarde, quando aconteciam as sessões de julgamento dos colegiados das seis turmas.

Por precaução, os prazos processuais foram suspensos até o dia 09/11/2020 (segunda-feira).

Também, todas as sessões de julgamento, virtuais e/ou por videoconferência, foram suspensas ou canceladas, até restabelecida a segurança do tráfego de dados nos sistemas do Tribunal.

Por fim, houve a recomendação da área de TI do STJ, aos usuários – ministros, servidores, estagiários e terceirizados – que não utilizem computadores, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da Corte, até que seja garantida a segurança do procedimento.

O incidente ocorrido com o STJ serve de alerta e diretriz em torno das normas trazidas pela Lei Geral de Proteção de Dados e que devem ser também observadas pelas empresas.

O fato demonstra necessidade das empresas estarem em conformidade com as normas da LGPD e de traçarem os planos de resposta a incidentes de segurança de dados pessoais.

Nesse sentido, a Lei Geral de Proteção de dados traz uma seção destinada às normas de segurança e sigilo dos dados, comprovando a característica interdisciplinar da norma, que demonstra a necessidade de envolvimento conjunto do corpo jurídico, área de segurança da informação e Compliance da empresa.

Segundo a LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Em ocorrendo algum incidente de segurança que possa acarretar risco ou dano relevante aos titulares, deverá o controlador comunicar tal fato à ANPD e ao titular.

A comunicação será feita em prazo razoável, conforme definido pela ANPD e deverá mencionar, no mínimo: (i) a descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os titulares envolvidos; (iii)  a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (iv) os riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A ANPD verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como: (i) ampla divulgação do fato em meios de comunicação; e (ii) medidas para reverter ou mitigar os efeitos do incidente.

No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Aqueles que realizam o tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela ANPD: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária, observado o limite total a que se refere o inciso II; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (vi) eliminação dos dados pessoais a que se refere a infração; (vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Observe-se que deve compor um projeto de implementação da LGPD a prévia elaboração de planos de resposta a incidentes de segurança, como o ocorrido com o STJ. Estes planos precisam ser previamente pensados, tendo em vista que a rapidez com que as empresas lidam com violações poderão influenciar na fixação de eventuais sanções a serem aplicadas pela ANPD, bem como em eventual ação judicial.

Traçar um plano de resposta significa preparar toda a empresa para agir em um momento de suspeita de incidente, de forma rápida e eficaz, minorando os danos dos titulares dos dados, impactando na fixação de sanções e preservando a imagem reputacional da empresa.

Assim, a nota oficial emitida pelo STJ demonstra a preocupação do Tribunal em estar em conformidade com a LGPD e demais normas de segurança da informação, hoje vigentes.

Segue, abaixo, trecho do comunicado.

NOTA OFICIAL

O Superior Tribunal de Justiça (STJ) comunica que a rede de tecnologia da informação do tribunal sofreu um ataque hacker, nessa terça-feira (3), durante o período da tarde, quando aconteciam as sessões de julgamento dos colegiados das seis turmas. A presidência do tribunal já acionou a Polícia Federal para a investigação do ataque cibernético.

A Secretaria de Tecnologia da Informação e Comunicação (STI) está trabalhando na recuperação dos sistemas dos serviços oferecidos pela Corte.

Por precaução, os prazos processuais seguem suspensos até a próxima segunda-feira (9). As demandas que importem em perecimento de direito (demandas urgentes, como liminares em habeas corpus) estarão centralizadas na presidência do STJ por igual prazo. As petições podem ser encaminhadas ao e-mail protocolo.emergencial@stj.jus.br.

Todas as sessões de julgamento, virtuais e/ou por videoconferência, estão suspensas ou canceladas até restabelecida a segurança do tráfego de dados nos nossos sistemas.

A área de TI do STJ recomendou aos usuários – ministros, servidores, estagiários e terceirizados – que não utilizem computadores, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da Corte, até que seja garantida a segurança do procedimento.

Ministro Humberto Martins

Presidente do STJ/CJF

Esse texto foi escrito por Bruna Jardim Freitas, sócia de Guimarães e Meireles Advogados Associados S/C