Tópicos | LGPD

A Lei Geral de Proteção de Dados (LGPD) completou cinco anos recentemente e está presente em nosso dia a dia, ao mudar a forma de tratamento de dados pessoais no Brasil. Um dos problemas é que empresas não estão dando importância a esta lei, pois tem despertado dúvidas sobre a que ela se aplica, já que neste ano, a Autoridade Nacional de Proteção de Dados (ANPD) iniciou as fiscalizações e está aplicando multas e advertências às instituições que ainda não se adequaram à LGPD. 

Vale ressaltar que as regras também valem para a área de estética e beleza, tanto para estabelecimentos físicos quanto para e-commerces e perfis de redes sociais. O Brasil é o quarto maior país do mundo neste mercado, atrás apenas de Estados Unidos, China e Japão e, economicamente, movimentou US$ 29,2 milhões nos primeiros quatro meses de 2023, segundo o último levantamento realizado pela empresa Euromonitor International. Sendo assim, os profissionais deste setor devem ficar atentos às regras e adequações.

##RECOMENDA##

Uma vez que também lidam com pacientes, são responsáveis tanto pelos procedimentos realizados e produtos vendidos, quanto pelos resultados obtidos. Pensando nisso, a advogada especialista em LGPD e Beauty Law e Sócia Proprietária do Escritório Faleiros Niemann Sociedade de Advogados, Simone Faleiros, listou cinco dicas e curiosidades que todo profissional de estética e beleza deve saber sobre a LGPD. Confira a seguir: 

Nomeação do encarregado de dados (DPO) 

A nomeação de um encarregado de dados, também conhecido por DPO (Data Protection Officer), é uma exigência legal para todas as empresas que lidam com dados pessoais. O DPO é responsável por supervisionar a conformidade com a LGPD e deve ser o ponto de contato para questões relacionadas à privacidade de dados como, fazer valer os direitos dos titulares de dados, tais como, o direito de acesso, correção, exclusão e portabilidade de seus dados. A presença de um DPO configura a prática para manutenção do programa de conformidade da clínica de estética. 

Treinamento de equipe 

Existem várias pesquisas que apontam que a maior causa dos problemas relacionados a vazamento de dados se dá por causa humana. Portanto, é importante que todos os funcionários da clínica recebam treinamento adequado em privacidade de dados para entender a LGPD e suas responsabilidades. 

Termo de consentimento 

A clínica deve obter o consentimento claro e específico dos clientes antes de coletar e processar seus dados pessoais. O consentimento deve ser informado e documentado. É importante ressaltar, que o consentimento previsto na LGPD não se confunde com o termo de consentimento para a utilização de produtos em procedimentos estéticos. Suas finalidades são distintas. 

Política de privacidade 

Mesmo que a clínica seja pequena e não possua site, é importante que tenha uma Política de Privacidade, que informe de maneira clara aos seus clientes, como seus dados serão tratados. Agindo assim, a clínica cumprirá os princípios da boa-fé e da transparência, ambos previstos na lei.  

Segurança dos dados 

A clínica deverá implementar uma Política de Segurança de Dados para proteger os dados pessoais contra acessos não autorizados, divulgação, alteração ou destruição. A maior parte dos dados tratados numa clínica de estética, são dados sensíveis. Portanto, a gestão do acesso dos dados é importante na medida em que minimiza a possibilidade de acessos indevidos e possíveis vazamentos de dados. 

 

Ser vítima de um golpe pode ser considerado uma das piores sensações para qualquer pessoa, não é mesmo? A sensação de impotência que atinge quem acaba perdendo algum bem e na maioria das vezes dinheiro é quase que total. 

Com o advento da internet, leia-se meios digitais para negociações, parte desses golpes aumentou consideravelmente e não é difícil conhecer ou até mesmo ouvir falar de alguém que acabou sendo vítima desse crime. 

##RECOMENDA##

Porém, segundo a advogada Dra. Lorrana Gomes, referência em cyber crimes, que diz respeito aos golpes no meio digital, estamos tendo avanço na legislação e isso tem sido um facilitador para recuperação dos valores que são perdidos. Para exemplificar, ela citou o caso de golpes por meio de boletos falsos que chegam na casa de clientes de empresas de telefonia. 

Conforme ela, o que acontece é o seguinte: com a chegada da Lei Geral de Proteção de Dados (LGPD), muitas empresas começaram a ser responsabilizadas quando as pessoas são vítimas de golpes. 

“Porque para que os dados da vítima cheguem aos golpistas precisa haver um vazamento. Muita gente recebia boletos, por exemplo, fraudulentos que vinham com data de vencimento, valor, nome, endereço, enfim, tudo idêntico ao que realmente é descrito no boleto real”, falou.  Segundo a advogada, também por conta da chegada da LGPD e por temerem punições, as empresas estão mais colaborativas. 

“Então quando ocorre um golpe, se a pessoa agir rapidamente, é mais fácil ela conseguir reaver/recuperar esses valores porque as empresas estão mais ativas em bloquear imediatamente a conta bancária do receptor dos valores (golpista), ou, muitas vezes, se a conta tem um valor muito alto, é necessário uma liberação específica para que o saque daquele valor depositado por meio do pagamento do boleto. Nesse meio tempo, se a pessoa que for vítima agir rapidamente requisitando esse bloqueio de retirada desse valor, fazendo B.O e todo os trâmites necessários, ela pode conseguir recuperar parcialmente ou até integralmente esse valor”, finalizou Dra. Lorrana.

*Da assessoria 

 A empresa de tecnologia da informação do Governo Federal, O Serpro, firmou parceria com a Escola Virtual.Gov (EV.G) para oferecer o curso gratuito sobre a Lei Geral de Proteção de Dados (LGPD). As inscrições podem ser realizadas pelo site da EV.G.  

O curso apresenta conceitos geria da LGPD, aborda os impactos da Lei em processos rotineiros pessoas e empresas e fomenta o debate sobre a proteção de dados pessoais e segurança da informação. O treinamento é dividido em quatro módulos, um total de 15 horas.  

##RECOMENDA##

Os alunos da capacitação vão aprender a aperfeiçoar o conhecimento sobre privacidade e tratamento de dados, direito do titular, dados sensíveis e compartilhamento e transferência de dados. Desde dezembro de 2021, o curso já contribuiu para a formação de quase 4 mil pessoas, com mais de 24 mil inscrições.  

 

Incomodado pelo telemarketing insistente de operadoras, um consumidor descobriu que seus dados pessoais, como nome, CPF e endereço vazaram sem sua autorização. Ele foi informado que o compartilhamento entre as empresas de telefonia é uma "prática comum". Procuradas pelo LeiaJá, a CLARO e a TIM não revelaram quem presta o serviço.

De mudança para um novo endereço, o designer Pedro Muniz entrou em contato com a CLARO para fechar um pacote de internet e confirmou a visita de instaladores para o dia seguinte. Cerca de 1h depois, recebe a ligação de uma atendente - que dizia ser da CLARO -, que o orienta a cancelar a contratação pois a cobertura da área não garantia a qualidade do serviço. Ela repassa seus dados. Ele confia e segue o recomendado.

##RECOMENDA##

Aproximadamente 30 minutos após cancelar com a CLARO, a TIM liga para ele, confirma seu nome e CPF e, coincidentemente, apresenta um pacote de internet. A demanda de trabalho faz Pedro aceitar a proposta e a instalação fica combinada para a tarde do dia seguinte.

De manhã, ele é surpreendido pela chegada dos funcionários da CLARO, que pedem autorização para a instalar os fios e explicam que a solicitação não foi cancelada no sistema. Sem entender o que estava se passando, Pedro conversa com a atendente da CLARO pelo WhatsApp. A funcionária comunicou que a operadora não teria entrado em contato após a contratação e que o compartilhamento de dados dos clientes era comum entre as operadoras, que são atendidas pela mesma gerenciadora de banco de dados.

Posicionamento das operadoras

Diante da exploração das informações pessoais, que podem ser expostas na internet como já ocorreu em outros episódios, o consumidor descreveu seu sentimento de insegurança ao LeiaJá

A reportagem buscou as operadoras e tentou por diversas vezes confirmar a terceirizada responsável pelos dados dos milhões de clientes. Foi indicado que se tratava de um "assunto delicado" e ficou exposto que a negligência com as informações estava alinhada ao interesse de blindar a empresa parceira.

A Claro deixou de responder os e-mails após receber mais detalhes sobre o assunto. Em nota, a Tim garantiu que "pratica os mais altos padrões de governança para a proteção de dados dos seus clientes e que todas as suas ações comerciais estão em consonância com a legislação vigente". 

A reportagem tinha interesse em confirmar o nome da terceirizada, algo aparentemente simples, mas ambas não repassaram a informação, nem pontuaram sobre a "operação compartilhada".

O sindicato das empresas de telecomunicação, a Conexis Brasil Digital preferiu não se posicionar sobre a denúncia e reiterou que o assunto é de competência individual das operadoras.

LeiaJá também: Saiba como denunciar ligações abusivas de telemarketing

Crime contra do consumidor e LGPD

Ao LeiaJá, o gerente Jurídico do Programa de Proteção e Defesa do Consumidor de Pernambuco (Procon-PE), Ricardo Faustino, comprovou que a prática é passível de advertência e multa de até R$ 50 milhões, conforme a Lei Geral de Proteção de Dados (LGPD).

A Legislação também admite o bloqueio da utilização dos dados e até mesmo a exclusão da base de cadastros das empresas. 

A exploração de informações pessoais também infringe a Lei de Proteção e Defesa do Consumidor e o cliente pode ajuizar um processo por danos morais e financeiros. "Quando há um vazamento a gente não tem como mensurar como o consumidor tomou de prejuízo", avalia.  

“Há um crime contra as relações de consumo por expor as informações de forma indevida para outro fornecedor, que não autorizado por parte do consumidor. Até então ele não tinha conhecimento dessa forma de tratativa que a empresa se utiliza com os dados dos seus clientes e da forma que cede a informação para os seus parceiros”, repreendeu.

Em casos de suspeita desse tipo de compartilhamento criminoso, ele orienta que os consumidores busquem orientações no Procon do seu Estado.

Embora a Lei Geral de Proteção de Dados (LGPD) esteja em vigência desde 2020, somente no mês de agosto deste ano uma de suas determinações mais importantes passou a ser válida. Trata-se dos artigos que deliberam sobre as sanções administrativas - também conhecidas como multas - a que empresas dos setores público e privado estão sujeitas em caso de infrações confirmadas pela Agência Nacional de Proteção de Dados (ANPD).

Segundo observa a advogada e professora doutora da Universidade Católica de Pernambuco (UNICAP), Paloma Saldanha, a atuação do órgão, que foi criado para, entre outras coisas, monitorar o cumprimento da Lei Geral de Proteção de Dados, não deve partir de uma premissa estritamente acusatória, mas sim, ancorada nas possibilidades de defesa e diálogo.

##RECOMENDA##

“É importante lembrar que a Agência é um órgão recém-criado da administração pública federal e toda a fiscalização, como a própria Lei estabelece, deve acontecer por meio administrativo de modo a garantir o contraditório, a ampla defesa e o direito de recurso, caso a decisão administrativa não seja o esperado pela empresa supostamente infratora”, ponderou a especialista, que também é Presidente da Comissão de Direito da Tecnologia e da Informação (CDTI) na OAB de Pernambuco.

Além dos aspectos ligados às punições, que incluem advertências, multas de até 2% do faturamento (limitadas a R$ 50 milhões), ou até o bloqueio de dados da empresa, a ANPD também é responsável por promover ações socioeducativas, visto que, o debate sobre privacidade e compartilhamento de dados ainda é considerado “novo” na sociedade brasileira.

Nesse sentido, Paloma Saldanha destaca ainda que a expectativa é de que o órgão “assuma agora o papel de orientar, educar e sanar dúvidas da sociedade civil em geral, antes de, necessariamente, iniciar o processo punitivo com multa por violação ao estabelecido na Lei”. Segundo ela, “assim como já vem acontecendo, as pessoas que se sentirem lesadas em seus direitos poderão procurar o Poder Judiciário, o Ministério Público ou o PROCON para solucionar a questão”.

Preciso implementar a LGPD na minha empresa. E agora?

O Sebrae estima que o Brasil tenha cerca de 19 milhões de empreendimentos. Destes,  6,5 milhões figuram na classificação dos micro-negócios, enquanto outros 900 mil são EPPs (empresas de pequeno porte). Diante da LGPD, é certo que todos os negócios precisam se adaptar, contudo, o processo enfrentado por empresas com pouca estrutura jurídica e tecnológica pode ser ainda mais desafiador.

No intuito de orientar sobre a “tratativa dos dados”, ou seja, assegurar que as informações dos clientes estejam protegidas de acordo com o que determina a lei, serviços de assessoria jurídica têm se multiplicado pelo país. A advogada Roberta Lôbo, especialista em LGPD no escritório Pontes e Lôbo, explica que “esses profissionais vão ajudar a entender as mudanças que a lei propõe, quais são os pontos mais relevantes para o negócio e quais consequências a lei pode gerar em cada caso”.

“Para isso, os profissionais irão acompanhar cada fase do planejamento, sugerindo mudanças e adequações. Além de alterar processos já existentes, criar novos procedimentos, emitir relatórios, criar protocolos, auditar e atuar na crise, quando ocorrer o vazamento de dados”, explicou.

Lôbo destaca ainda os seis tipos de penalidades ou multas previstas na LGPD:

Advertência:

Essa modalidade virá com um prazo para que a empresa se adeque à legislação. Caso não corrija no prazo estipulado, haverá penalidade.

Multa simples em cima do faturamento ou multa diária:

A multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração. A punição diária também será limitada a 50 milhões de reais.

Publicização da infração:

Neste caso, a infração se tornará pública e os prejuízos à imagem da empresa são incalculáveis.

Bloqueio dos dados pessoais:

A sanção administrativa impede que as empresas utilizem os dados pessoais coletados até a situação se regularizar.

Eliminação dos dados pessoais:

A sexta penalidade prevista na LGPD obriga a empresa a eliminar por completo os dados coletados em seus serviços, causando danos à operação da empresa.

Setores jurídico e de T.I precisam estar alinhados

Apenas a atuação individual de juristas especializados na legislação de dados não é o suficiente para garantir o integral cumprimento da LGPD nas empresas. Por isso, de acordo com Paloma Saldanha, é preciso que exista “uma parceria entre jurídico, negócio, e T.I [Tecnologia da Informação]”.

Os setores tecnológicos da empresa, geralmente posicionados na linha de frente no que se relaciona ao recebimento de dados dos consumidores, necessitam seguir a tendência de regulamentação. ”O não ‘cometimento de infrações’ está diretamente ligado ao comprometimento da alta gestão e dos colaboradores com o funcionamento da cultura de proteção de dados estabelecida no ambiente”, enfatiza Saldanha.

Na balança dos prejuízos ocasionados pela infração da lei, segundo ela, o fechamento de contratos pode ser ainda pior que as multas aplicadas pelo órgão responsável. A especialista também cita outro importante aspecto sobre a relação de fornecimento de dados que pode existir entre empresas parceiras.

“De nada adianta a empresa X estar em conformidade com a LGPD e legislações afins se a empresa Y, fornecedora/parceira da empresa X, estiver em desconformidade. As duas estarão automaticamente em desconformidade e isso gera perdas contratuais de todas as espécies”, ressalta.

O que prevê a LGPD

Aprovada e sancionada sob a perspectiva de evitar o vazamento de dados e garantir o respeito à privacidade e outras garantias individuais, a Lei Geral de Proteção de Dados regula as operações realizadas pelos setores público e privado com dados pessoais, a exemplo de coleta, uso e armazenamento dessas informações.

“A lei define regras, princípios e fundamentos que devem ser observados por todas as pessoas físicas ou jurídicas que optam por tratar dados pessoais, em território nacional, com finalidade econômica. Assim, a definição de diretrizes diminui a incidência de violações a direitos constitucionalmente estabelecidos, por exemplo, e empodera o(a) titular dos dados – eu e você – a partir do momento que estabelece, no corpo do texto, os direitos nos cabem e as obrigações dos agentes de tratamento em fazer cumprir esses direitos”, detalha Saldanha.

 

A partir deste mês, a Lei Geral de Proteção de Dados (LGPD), que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, principalmente no ambiente digital, começa a aplicar punições no Brasil. A medida estava em vigor desde setembro de 2020, mas sem aplicar sanções.

Com o fim do período de adequação, empresas de todos os portes e segmentos são obrigadas a seguir regras com relação a informações de clientes e fornecedores. As empresas podem ser multadas de 2% do seu faturamento bruto até R$ 50 milhões por infração. 

##RECOMENDA##

Apesar do fim do prazo, a expectativa é que a Autoridade Nacional de Proteção de Dados (ANPD), ligada à Presidência da República, tenha uma postura mais educativa no início. Portanto, nesse primeiro momento as empresas irregulares devem receber apenas advertência.

Em comunicado, a ANPD destaca que a aplicação de sanções requer criteriosa apreciação e ponderação de diversas circunstâncias, dentre as quais "a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas."

A população pode fazer denúncias por meio de um canal de reclamações relacionadas ao descumprimento da LGPD. Antes de registrar a denúncia, é preciso fazer contato direto com o controlador dos dados, ou seja, a empresa responsável por armazenar ou utilizar os dados. 

A ANPD informou também que a Coordenação-Geral de Fiscalização é a unidade que vai monitorar o cumprimento da LGPD, receber denúncias e aplicar as sanções. Os cargos previstos para realização dessa atividade, três ao todo, estão preenchidos.

Confira as sanções previstas na lei: 

-  advertência, com indicação de prazo para adoção de medidas corretivas;

- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

- multa diária, observado o limite total a que se refere o inciso II;

- publicização da infração após devidamente apurada e confirmada a sua ocorrência;

- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

- eliminação dos dados pessoais a que se refere a infração;

- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

Neste sábado (15) o WhatsApp apresentará uma atualização dos seus Termos de Serviço e a Política de Privacidade. Após cláusulas controversas e contestações da comunidade brasileira e internacional, a empresa aceitou estender o prazo de aceitação das novas condições para os usuários brasileiros por 90 dias. O texto contestado trazia menções polêmicas, como o compartilhamento de dados do mensageiro com o Facebook, que pertence ao mesmo executivo.

A decisão de manter o app funcionando por mais três meses para quem não aceitar os termos foi definida em acordo com a Secretaria Nacional do Consumidor (Senacon), a Autoridade Nacional de Proteção de Dados (ANPD), o Ministério Público Federal (MPF) e o Conselho Administrativo de Defesa Econômica (Cade).

##RECOMENDA##

O novo prazo será utilizado para que esses os órgãos continuem a apurar toda situação e nesse período não vai haver consequências para aqueles que ainda não aceitaram o contrato. Na última sexta-feira (7), o WhatsApp havia afirmado que não apagaria nenhuma conta que não tivesse aceito os novos termos. Algumas funções deixariam de funcionar com o passar do tempo, a empresa, porém, não mencionou quais e nem por quanto tempo.

A atualização dos termos de serviço determina que empresas que contratem o Facebook para gerenciar as conversas com clientes, por meio da API do WhatsApp Business, tenham acesso às conversas. Na comunicação entre contatos comuns (como amigos e familiares), nada muda. O WhatsApp não vai aumentar o compartilhamento de dados com outras empresas do Facebook. O conjunto de dados compartilhados segue o mesmo desde 2016.

A atualização dos termos passaria a valer em fevereiro, mas foi postergada para maio. Antes do acordo, estava estabelecido que usuários teriam "algumas semanas" para se adequar sem ter o serviço interrompido.

Em audiência pública da Câmara dos Vereadores do Rio de Janeiro na última segunda-feira (19), o vereador Carlos Bolsonaro (Republicanos-RJ) confundiu o debate sobre a LGPD (Lei Geral de Proteção de Dados) com a discussão acerca de pautas para a sigla LGBT (Lésbicas, Gays, Bissexuais e Transexuais). O caso repercutiu nas redes sociais, onde o segundo filho do presidente foi rápido para desmentir a confusão, chamando a imprensa e os internautas de “mentirosos”.

"Confundi porcaria alguma. Estava ciente dos dois projetos em discussão. Quanto ao de proteção de dados me posicionei favorável e quanto ao segundo levantei questões e confeccionei emenda para tal proposta. Mentirosos descarados!", escreveu.

##RECOMENDA##

O episódio aconteceu durante uma audiência pública virtual da Casa. Carlos, ao ouvir a discussão acerca de um artigo sobre “autodeterminação informativa”, pensou que a pauta se tratava da autodeclaração de identidade de gênero, o que chamou de uma “aberração gigantesca”. Ele ainda afirma que há um “tom delicado no inciso” e que não queria ter sua fala deturpada, mas que ainda é preciso levar em consideração a biologia do ser humano.

"Na autodeterminação você vê por aí gente que, inclusive, se autodenomina tigre, leão, jacaré, papagaio, periquito. Novamente repito, isso não é piada. Então, a partir do momento que você coloca, ignorando legislações superiores que caracterizam o sexo da pessoa como homem e mulher, X e Y, baseado na ciência, e você entra com uma característica de autodeterminação, fica algo muito vago", disse o filho do presidente Bolsonaro.

Os projetos discutidos durante a sessão parlamentar eram de autoria do vereador Tarcísio Motta (PSOL) e outro do também vereador Carlo Caiado (DEM) e não diziam respeito às pautas LGBT. Na realidade, a autodeterminação informativa diz respeito ao direito dos cidadãos terem controle sobre o uso dos seus dados pessoais. Carlos Bolsonaro foi corrigido durante a sessão pelo procurador do estado Rodrigo Valadão, convidado da sessão.

No começo de janeiro, o WhatsApp anunciou uma modificação na sua política de compartilhamento de dados que ampliará o acesso de empresas parceiras do Facebook às informações de seus usuários. A decisão pegou muita gente de surpresa, principalmente, por conta da obrigatoriedade do termo e acabou gerando rumores falsos sobre o que seria ou não compartilhado pela companhia de Mark Zuckerberg. Para esclarecer qual o real impacto da atualização, o LeiaJá conversou com Gabriel Vasconcelos, advogado especialista em proteção de dados e membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).

WhatsApp: ame-o ou deixe-o

##RECOMENDA##

“Essa política de compartilhamento entre o WhatsApp e o Facebook já existe desde 2016. Quem entrou no mensageiro depois dessa data, ela já era padrão”, explica Vasconcelos. De acordo com o advogado, na época em que a pergunta sobre compartilhar ou não os dados com as empresas pertencentes ao Facebook foi feita, o usuário tinha o poder de escolher se permitiria ou não a troca. “A mudança que está ocorrendo nos termos de usuário é que agora essa política de privacidade passará a ser obrigatória e não mais opicional”, afirma. 

Porém, não é apenas com as empresas que fazem parte do Facebook que Mark quer compartilhar seus dados. A atualização adiciona à lista companhias que possuem páginas comerciais na rede social e que vão passar a utilizar um serviço de gerenciamento de mensagens oferecido pelo próprio Facebook. Quem não aceitasse a mudança até o dia 8 de fevereiro perderia acesso à sua conta do WhatsApp. 

Mas o tiro acabou saindo pela culatra. O prazo apertado e a falta de informações sobre o que seria ou não compartilhado as empresas fizeram com que milhares de usuários procurassem alternativas em outras plataformas de mensagens, como Telegram e Signal. A debandada acabou fazendo com que o WhatsApp adiasse a implementação da obrigatoriedade para o dia 15 de maio.

[@#video#@]

Pode o WhatsApp obrigar o usuário a aceitar os novos termos?

De acordo com Gabriel Vasconcelos, “a Lei Geral de Proteção de Dados (LGPD) diz que o consentimento tem que ser livre, o usuário dá se quiser". "Se ele não quiser, ele não autoriza, mas aí ele não vai usar a plataforma”, acrescenta. No entanto, o especialista alerta: “A partir do momento em que o WhatsApp se vale dessa figura de domínio e nos obriga, o usuário não está fazendo isso de livre e espontânea vontade, ele está sendo forçado”. Para ele, o ônus de deixar de usar o aplicativo é muito grande, o que acabaria colocando o usuário em uma situação de imposição. “A gente entende que o WhatsApp não está observando a LGPD porque ele está, sim, obrigando o usuário”, afirma.

Lojas terão acesso a quais dados?

Caso o usuário aceite o compartilhamento de dados com as lojas parceiras, elas poderão analisar informações sobre o seu telefone, incluindo marca, modelo e operadora, número de IP da conexão de internet e qualquer transação financeira realizada através do aplicativo. Além disso, seu nome e foto do perfil também ficarão visíveis para a companhia. É importante ressaltar que esses dados já são compartilhados com as empresas do próprio Facebook, como Instagram, por exemplo.

Como as lojas podem usar os dados coletados? 

O Facebook explica que esses dados poderão ser coletados a partir do momento em que o usuário interaja com uma empresa via anúncio na rede social. No anúncio, haverá um botão para que o possível cliente possa falar com a loja anunciada pelo mensageiro. Assim que abrir o chat, a empresa terá acesso aos dados citados e poderá enviar, no futuro, ofertas e propagandas dentro daquela conversa, além de usar informações trocadas na plataforma para fins de marketing e publicidade criadas para o Facebook.

Anúncios como os vistos no Instagram e na própria rede social de Mark Zuckerberg não devem acontecer no WhatsApp. Todos os dados coletados serão usados para entender o comportamento do usuário dentro do Facebook. 

O que o Facebook não vai fazer

O Facebook afirmou que não vai ler ou ouvir suas conversas mesmo em grupos; não vai ver se você compartilhar a sua localização em conversas privadas; não vai salvar nenhum registro das pessoas com quem você está interagindo, seja por ligação ou mensagens; e não vai compartilhar a sua lista de contatos com empresas para mandar anúncios. Apenas as contas comerciais não terão o chat com criptografia de ponta, para que seja possível salvar e usar a comunicação feita naquela janela para interesses da companhia. 

“Em uma seção de perguntas e respostas o WhatsApp recomendou que quem não se sentisse confortável, que deixasse de conversar com contas comerciais. Usasse o aplicativo apenas para [se comunicar com] contas pessoais”, disse Vasconcelos. 

Você sabe o que é feito com os dados que você cadastra na internet? Seu e-mail, nome completo, endereço, documentos ou até mesmo o número de CPF solicitado na farmácia? Sabe para onde vão as informações? A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor na última sexta-feira (18), chega para garantir que todos os cidadãos brasileiros saibam, exatamente, para onde vão suas informações pessoais e o que empresas de todos os tamanhos estão fazendo com elas.

Para jogar uma luz sobre esse assunto ainda tão pouco explorado, mas tão importante, o LeiaJá conversou com Raquel Saraiva, advogada, mestre e doutoranda em Ciência da Computação e Presidenta e do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec).

##RECOMENDA##

“Eu considero a LGPD uma vitória da sociedade civil. Porque a gente, enquanto usuário de tecnologia e enquanto consumidor, é justamente quem sai perdendo quando os dados pessoais são usados para fins abusivos”, diz Raquel Saraiva. Ela também explica que lei chega justamente para proibir esse tipo de prática.

“A LGPD vai regular o tratamento dos dados pessoais, ela conceitua o que é dado pessoal e faz a regulação desse mercado, para que a gente enquanto consumidor tenha a possibilidade de brigar, de exigir, de se defender quando a gente se sentir prejudicado”, acrescentou.

O que são dados pessoais?

De acordo com a LGPD, dado pessoal é “a informação relacionada à pessoa natural identificada ou identificável”, ou seja, todas as informações que identificam diretamente alguém ou que podem levar a esta identificação com a combinação de dados chave. Dentro da lei é possível encontrar outras subdivisões como Dados Sensíveis, por exemplo, que precisam de ainda mais proteção e com os quais se identificam a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, entre outros detalhes do cidadão. 

De acordo com Raquel, uma das formas em que a LDPD se propõe a proteger os dados dos consumidores é a transparência. “Se uma empresa está vendendo [seus dados] para outra empresa como, por exemplo, a farmácia que pede o CPF para dar o desconto, se ela está vendendo meu documento para qualquer outra companhia ela tem que pedir autorização para fazer isso, que é o que chamamos de ‘consentimento", explicou.

Com a vigência da Lei Geral de Proteção de dados, companhias de todos os tamanhos, tenham suas sedes no Brasil ou não, agora também são obrigadas a mostrar, de forma clara, para onde vão os dados coletados e por que eles foram necessários para aquele serviço. Para se adaptarem, as empresas precisam ter cláusulas de privacidade, dizendo aos cidadãos o que elas fazem exatamente com os dados coletados, incluindo as farmácias.

[@#video#@] 

Crianças, adolescentes e as redes sociais

Plataformas como Tik Tok, Twitter, Twitch e YouTube estão entre as preferidas dos jovens. Tanto que, de 2019 para cá, os donos dessas redes precisaram rever suas políticas de privacidade e uso de inteligência artificial para lidar melhor com este público. Para o YouTube, o Google tornou mais rígidas os conteúdos veiculados e proibiu vídeos que induzissem, mesmo que indiretamente, crianças a se interessarem por jogos ou brinquedos. 

As redes do Facebook são proibidas para menores de 13 anos, mesmo com o consentimento dos pais. Há diretrizes que seguem a COPPA (Ato de Proteção Online à Criança, na sigla em inglês), uma lei de proteção à vida privada das crianças na internet. No Brasil, essa proteção ganha o reforço da LGPD que exige que a coleta de dados infantis só pode ser feita com o consentimento específico de seus responsáveis legais. 

Além disso, as empresas não podem armazenar essas informações ou repassá-las para outras pessoas assim como não é permitido condicionar o consumo de jogos, aplicativos e outras ferramentas com base nos dados captados. 

A chave está no consentimento 

Para todos os pedidos, seja de cadastro para pegar o cartão de consumo no bar ou para começar a usar um aplicativo no celular, a empresa terá que explicar o porquê precisa daquela informação. Além disso, caso você não concorde com o uso, ou desista de fazer parte de uma rede social, por exemplo, pode pedir para que todas as suas informações sejam excluídas em definitivo. 

“Se ela não excluir você pode entrar com uma ação judicial e caso haja algum dano, exigir reparação”, afirma a advogada. Ela diz que as sanções só serão aplicadas a partir de agosto de 2021, mas que já é possível fazer uma denúncia. “Ela começa com advertência, depois poderá ser obrigada a reconhecer publicamente que houve vazamento de dados [por exemplo], até uma multa de 2% do faturamento da empresa”, explica.

Raquel também cita que é preciso ter um pouco mais de senso crítico na hora de aceitar as permissões de um aplicativo. “Se eu tenho um app de lanterna e ele pede para acessar os meus contatos, é claramente abusivo. Não é possível que uma lanterna só funciona se ela tiver acesso aos meus contatos”, disse.

Quando é possível usar os dados sem pedir permissão

Mas como tudo na vida, existem exceções. É possível que órgãos públicos ou privados tenham acesso aos seus dados  - sem o seu consentimento -, mas só quando isso for indispensável. Ou seja, para cumprir uma obrigação legal, executar uma política pública, defender direitos em processo, prevenir fraudes e crédito, preservar a vida e a integridade física, entre outras situações.

“A LGPD não vai impedir as empresas de tratarem esses dados, ela regula o mercado para que haja transparência nesse processo e para que a gente possa questionar quando se sentir abusado. E tudo isso protegendo um direito fundamental que é um direito à privacidade”, afirmou Raquel.

Na semana passada, o WhatsApp começou a exibir uma mensagem dentro do aplicativo informando sobre as novas regras da Lei Geral de Proteção de Dados (LGPD), que começou a valer oficialmente no último dia 14 de agosto. O aviso, que é exibido acima das conversas, acabou assustando alguns usuários que passaram a avisar seus contatos de que o anúncio se trataria de um golpe para clonar o telefone. 

“Se aparecer isso no celular de vcs não clique pois isso ‘clona’ o celular. É um novo golpe cuidado”, diz a mensagem compartilhada com uma foto de onde estaria o anúncio. O alerta, porém, é falso. Apesar de, muitas vezes, cibercriminosos tentarem utilizar as redes sociais para roubar dados, desta vez a mensagem é realmente dada pelo WhatsApp e informa sobre uma pequena mudança na política de privacidade da empresa para se adequar a legislação brasileira. 

##RECOMENDA##

Ao clicar no anúncio - que aparece apenas uma vez - o usuário é redirecionado para uma página do próprio mensageiro explicando a mudança. Não há risco de clonagem, vírus ou outro tipo de golpe. "De acordo com a Lei Geral de Proteção de Dados (LGPD) do Brasil, você tem o direito de acessar, corrigir, portar, eliminar seus dados, além de confirmar que tratamos seus dados. Saiba mais sobre seus direitos e como você pode exercê-los acessando nossos artigos de ajuda para iPhone, Android e KaiOS”, diz parte da mensagem enviada pelo WhatsApp.  

A Lei Geral de Proteção de Dados (LGPD) deve começar a vigorar no segundo semestre de 2020. Para ajudar o público a entender melhor o que muda, principalmente para empresas, a HSBS está oferecendo um curso gratuito para explicar o funcionamento e diretrizes básicas expostas na Lei.

A empresa do Grupo Nagem oferecerá um minicurso online introdutório sobre LGPD no próximo dia 11 de junho, das 14h às 16h30. Tudo de graça e com certificação de participação. A intenção da companhia é preparar empresas para que estejam prontas quando a LGPD entrar em vigor - além de envolver os diversos setores (gestão, RH, atendimento ao cliente, vendas, TI e mais) em uma ação conjunta.

##RECOMENDA##

Os temas abordados serão o entendimento da Lei e do que ela trata, as principais diretrizes e multas e sanções previstas. As inscrições podem ser feitas até o dia 11 de junho, dia do minicurso, através do link.

Na próxima quinta-feira (12), acontece em Recife a Um Telecom, evento para discutir a implantação da Lei Geral de Proteção de Dados (LGPD). O encontro acontecerá na Amcham Recife, no Pina, Zona Sul do Recife. A entrada para quem quiser conferir as palestras é gratuita. 

Quem for conferir o evento poderá assistir a palestra da advogada Carmina Hissa, especialista em LGPD, e Vitor Vale, Engenheiro de Sistemas da Fortinet para a região Nordeste. O evento começa a partir das 8h, e as inscrições devem ser feitas pelo link do evento.

##RECOMENDA##

A LGPD é a legislação brasileira que vai regular as atividades de tratamento de dados pessoais feitas pelas organizações. Isso significa que as empresas devem adequar a forma de coleta de dados a fim de que todos os dados pessoais (como nome, idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário. O texto começa a valer em  2020.

Em agosto de 2020, entrará em vigor no Brasil a Lei Geral de Proteção de Dados, aprovada em 2018. Mas até lá, ainda há diversos desafios e medidas que devem ser tomadas. A recomendação é de autoridades e pesquisadores na área que participaram de audiência pública na Comissão de Defesa do Consumidor da Câmara dos Deputados nesta terça-feira (18). Entre as principais preocupações apresentadas estiveram a formação da Autoridade Nacional de Proteção de Dados e a garantia de sua independência.

A Lei Geral de Proteção de Dados (No 13.709) define os direitos dos titulares de dados e de que maneira empresas e órgãos públicos podem coletar e tratar informações das pessoas e organizações.

##RECOMENDA##

A LGPD foi aprovada pelo Congresso em julho de 2018 com alguns vetos do então presidente Michel Temer que, em dezembro do ano passado, enviou uma Medida Provisória (869) com alterações. A MP foi aprovada pelo Congresso em maio deste ano mudando diversos trechos. Ela ainda precisa ser sancionada pelo presidente Jair Bolsonaro.

Na avaliação dos participantes da audiência, um dos principais desafios será a composição e implantação da Autoridade Nacional de Proteção Dados (ANPD), órgão regulador criado na Lei responsável pela normatização, fiscalização de agentes públicos e privados e punição de violações constatadas.

Independência

O secretário nacional de Defesa do Consumidor do Ministério da Justiça, Luciano Benetti Timm, manifestou preocupação com os riscos de captura do órgão. Isso porque as empresas reguladas são grandes companhias globais (como Google, Facebook, Amazon e Microsoft) e o Conselho Nacional de Proteção de Dados (instância consultiva associada à autoridade) ficou com uma composição com mais representantes de empresas do que da sociedade civil.

“A captura ocorre quando o regulado é tão grande que captura o regulador. O capitalismo do século XXI é das gigantes de tecnologia. São empresas com muito poder de mercado, com riscos para a democracia. Estamos ainda com uma defesa do consumidor pensando no século XX, que é a indústria da engenharia, mas não a indústria da economia digital”, comentou.

O presidente da Associação Brasileira de Procons, Filipe Vieira, também pontuou a necessidade de assegurar independência da Autoridade Nacional de Proteção de Dados, ainda mais em um cenário em que consumidores se tornam mercadoria e suas informações, bens valiosos que muitas vezes são repassados apenas com um clique em um termo de uso sem que a pessoa tenha sequer lido.

“É interessante que esta formatação da Autoridade Nacional se faça o ideal nos moldes do Conselho Administrativo de Defesa Econômica [Cade], que guarda consigo independência e poder investigativo que falta ao Procon, como fazer uso de medidas cautelares”, defendeu o presidente do PROCONSBRASIL.

Competências

A professora de direito da Universidade de Brasília Amanda de Oliveira também apontou preocupações com a montagem da Autoridade, especialmente no alinhamento da sua atuação em relação a outros órgãos que também podem atuar sobre proteção de dados, como os de defesa do consumidor (como a Secretaria Nacional do Consumidor e os Procons) ou de concorrência (como o Cade).

“Uma convergência entre as três agências é fundamental. Se Cade, Senacom e Autoridade Nacional não estiverem alinhados poderemos causar estragos. A gente terá que enfrentar numa fase inicial uma questão relacionado à definição de atribuições, até onde vai a de uma e começa a de outra. Teremos que entender como ficará situação em que mesmo fato é de consumo e acobertado pela LGPD”, avaliou a professora.

Preparação

O Coordenador da Comissão Especial em Segurança da Informação e de Sistemas Computacionais (CESeg), Altair Santin, destacou como desafio a adequação das empresas aos requisitos estabelecidos na lei, especialmente na segurança necessária aos dados, governança destes processos, definição das equipes responsáveis e criação de cultura interna entre gestores e funcionários.

“As empresas não se preocupavam tanto com a privacidade. O backup, a retenção, uma série de coisas que eram feitas sem preocupação agora passam a ter importância. A Lei Geral trouxe necessidades que empresas não se deram conta do custo que isso vai gerar para elas”, assinalou o especialista em ciência da computação.

 

O governo deve sancionar nos próximos dias a Medida Provisória (MP) 869, de 2018, que altera a Lei Geral de Proteção de Dados (13.709/18). A LGPD disciplina como empresas e entes públicos podem coletar e tratar informações de pessoas, estabelecendo direitos, exigências e procedimentos nesses tipos de atividades.

Na quarta-feira (29) o Senado Federal aprovou a matéria que também cria a Autoridade Nacional de Proteção de Dados (ANPD), ente responsável pela fiscalização da LGPD, além de definir sua estrutura e prerrogativas. Além disso, a MP alterou trechos da lei, como na flexibilização do tratamento de dados pelo Poder Público, na revisão de decisões automatizadas, no compartilhamento de dados de saúde e na diferenciação do alcance da lei para pequenas empresas de tecnologia.

##RECOMENDA##

A LGPD foi aprovada em julho do ano passado definindo direitos de pessoas e organizações, limites a empresas e governos no momento de coletar e tratar dados, além de formas de fiscalização e punição em caso de violação à Lei, prerrogativas que ficariam a cargo de uma Autoridade Nacional de Proteção de Dados.

Contudo, o então presidente Michel Temer vetou o artigo que criava a Autoridade Nacional, com a justificativa de que havia um problema legal na sua proposição pelo Congresso, o que seria consertado com uma MP. Esta veio às vésperas do fim do mandato, criando uma autoridade diferente da proposta na redação aprovada pelo Congresso e alterando outros pontos da Lei.

Autoridade Nacional

A LGPD propunha uma Autoridade Nacional com independência funcional e administrativa, vetada pelo presidente Michel Temer. Para preencher este vácuo, a MP de dezembro trouxe a proposta de uma Autoridade vinculada à Presidência da República e retirou algumas medidas fiscalizatórias previstas na redação original da Lei. A MP restabeleceu poderes à Autoridade Nacional, como para realizar auditorias e requerer informações a órgãos públicos sobre o tratamento de dados que realizam.

O texto aprovado ontem pelo Congresso criou uma solução alternativa, quanto à natureza da Autoridade: ela será vinculada à Presidência da República, mas com uma “natureza jurídica transitória”, podendo ser transformada em órgão da administração pública indireta em avaliação a ocorrer nos próximos dois anos. Ou seja, a depender da decisão do Executivo Federal, a ANPD, que deverá ser uma estrutura semelhante a uma secretaria, poderá se tornar uma autarquia, como as agências reguladoras.

Na avaliação do professor do Data Privacy Brasil Renato Leite, embora a criação da autoridade seja positiva, o modelo adotado não garantiu autonomia suficiente: “Isso vai dificultar o reconhecimento do Brasil pela União Europeia como país com nível com proteção adequada de dados, o que pode criar obstáculos ao livre fluxo de dados com a Comunidade Europeia”. Outra complicação, na avaliação do professor, é o risco de influência política de autoridades do Executivo nas investigações e sanções que a Autoridade possa vir a conduzir contra uma empresa por uma violação da lei.

A Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (Brasscom) avaliou positivamente a aprovação da MP, especialmente diante do prazo exíguo e do risco da medida caducar. Segundo o presidente-executivo da entidade, Sérgio Paulo Galindo, os investimentos na transformação digital dependem de segurança jurídica para as empresas que trabalham com tratamento de dados. “Se a gente não tivesse autoridade de dados, não teríamos o órgão regente da aplicação da Lei e teríamos alto grau de insegurança jurídica. A existência da autoridade transfere calma ao setor, pois agora teremos um farol”, argumenta.

Poder Público

A Lei Geral já trazia menos exigências ao Poder Público no tocante ao tratamento de dados, como o fato das regras não valerem para casos de Segurança Pública. A MP flexibilizou ainda mais as exigências, admitindo, por exemplo, que uma instituição pública compartilhe informações quando tal repasse estiver previsto em convênios ou contratos ou quando o objetivo for a prevenção de fraudes e irregularidades.

O advogado do escritório Pereira Neto e Macedo Associados Rafael Zanatta entende que um dos desafios será como a Autoridade conseguirá fiscalizar órgãos públicos do próprio governo federal, um dos maiores tratadores de dados pessoais (como as bases de documentos pessoais ou de dados fiscais).

“Com a Autoridade vinculada à Casa Civil [da Presidência da República], a grande questão é o quanto esse tipo de subordinação não impediria uma atuação mais vigorosa sobre atos ilegais cometidos por órgãos do Executivo”, pondera o advogado, especializado em direito digital.

Revisão de decisões automatizadas

A LGPD previa a possibilidade de que uma pessoa pudesse pedir a revisão de uma decisão automatizada, que é todo tipo de escolha feita por um sistema sem a intervenção de uma pessoa, podendo incluir questões como notas de crédito, concessão de empréstimos, oferta de preços de um produto ou serviço e até mesmo a remoção de uma publicação em uma rede social.

A MP editada por Temer retirou essa possibilidade. A redação final aprovada pelo Congresso retomou esse direito, mas submetendo-o a uma regulamentação da Autoridade Nacional. Ou seja, o ente regulatório vai decidir em que tipos de decisão o usuário poderá pedir revisão.

Dados de saúde

A LGPD proibiu a comunicação ou uso compartilhado de dados pessoais sensíveis referentes à saúde das pessoas (como diagnósticos e resultados de exames) para obter vantagem econômica, a não ser em caso de portabilidade. A MP abriu possibilidades dessa comercialização, na forma de “prestação de serviços de saúde”, “assistência farmacêutica” e “assistência à saúde”.

Diante das preocupações de que tais registros fossem usados por planos de saúde para definir preços, foi incluído um trecho vedando a operadoras desses serviços “o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”.

Pequenas empresas

Uma das novidades da redação aprovada ontem foi a possibilidade de a Autoridade Nacional editar normas e procedimentos simplificados e diferenciados “para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”.

Na avaliação da coordenadora do coletivo Intervozes Beatriz Barbosa, que acompanhou as negociações do texto, essa medida é preocupante. “Basta que qualquer empresa que faça tratamento de dados e trabalhe com tecnologia se declare uma empresa de inovação e passe a se beneficiar de um eventual regulamento mais flexibilizado da Autoridade. E todas as empresas que operam com tratamento de dados podem fazer essa autodeclaração”. A expectativa, completa Beatriz, é de que a ANPD restrinja esse tratamento diferenciado, sob risco das regras específicas da Lei passarem a ser descumpridas na prática.

Para o especialista em política e indústria da Confederação Nacional da Indústria (CNI) Fabiano Barreto, a medida foi positiva porque as micro e pequenas empresas não terão a mesma condição das grandes para entender e implementar a lei. “Esse tratamento diferenciado para essas empresas recebemos com muita felicidade”, comenta. À Agência Brasil, ele também elogiou o prazo de transição até a vigência, de 24 meses (com início da validade em agosto de 2020). “Que as empresas e a Autoridade consigam aproveitar este prazo maior para ver a interpretação da lei, como ela vai ser interpretada e cobrada”.

 

Leianas redes sociaisAcompanhe-nos!

Facebook

Carregando