AULA 04 - DIR E TEC

Prévia do material em texto

AULA 04 – 
PARTE I: ATIVIDADE – ANÁLISE DE TRÊS POLÍTICAS DE PRIVACIDADE
	POLÍTICA DE PRIVACIDADE DAS AMERICANAS.COM: A MAIS SIMPLES E ACESSÍVEL AO PÚBLICO, ENTRETANTO, É TAMBÉM A MAIS OMISSA NO QUE TANGE À APRESENTAÇÃO DE INFORMAÇÕES – SOBRETUDO SOB QUAIS BASES LEGAIS OS DADOS SÃO TRATADOS. 
	Linguagem mais direta, objetiva e acessível ao público;
Apesar de mais curta, é omissa na exposição do tratamento de informações;
Discorre sobre conceitos importantes para facilitar a compreensão dos leitores da política de privacidade (lembra muito o art. 5 da LGPD); 
Preza pelos princípios consagrados na LGPD, sobretudo os princípios da finalidade, necessidade, segurança e transparência. Busca-se, destarte, esclarecer como a empresa coleta dados pessoais e a finalidade do uso dos dados, limitando-se ao mínimo necessário para o propósito almejado (preza pelo uso proporcional e não excessivo); 
Fala também de quais são as empresas parceiras das americanas que têm acesso aos dados tratados por ela e através das quais ela pode coletar dados. 
6. por quanto tempo armazenamos dados pessoais? Armazenamos as informações dos Clientes de acordo com as normas de prescrição do Direito brasileiro extremamente raso, uma vez que não especifica o prazo nem cita qual (is) norma(s) discorrem sobre tal tempo. Desse modo, a americanas.com não explicita quais são as bases legais utilizadas para o tratamento de dados (embora nem a LGPD nem a ANPD obriguem a indicação das bases legais, essa é uma prática de mercado). 
“Se você bloquear ou rejeitar nossos cookies, não poderá adicionar itens ao seu carrinho de compras, prosseguir para o checkout ou usar nossos produtos e serviços que exijam login.” (coerção – não há a opção de prosseguir em uma compra caso discorde da política de privacidade – neste caso, dos cookies dados colocados no computador ou em dispositivo para reconhecer o perfil do consumidor (as suas preferências, o que tem no carrinho, etc.) 
Atualizado recentemente: 26 de novembro de 2021; 
	POLÍTICA DE PRIVACIDADE DA L’OREAL BRASIL (português) – A MELHOR POLÍTICA DE PRIVACIDADE NO QUE TANGE À RIQUEZA DE DETALHES, ENTRETANTO, É MUITO EXTENSA E POUCO ACESSÍVEL À POPULAÇÃO (NÃO SOMENTE NO QUE DIZ RESPEITO ÀQUELAS COM BAIXO ÍNDICE DE ESCOLARIDADE). 
	Extremamente detalhista e contém alguns exemplos para facilitar a compreensão dos leitores; 
Por outro lado, totaliza 25 páginas – o que dificulta a leitura integral; 
Não esclarece conceitos como controlador, operador, etc – como visto nas políticas de privacidade das Americanas e da Agilize Contabilidade (linguagem mais voltada para operadores do Direito e de ciência da computação); 
Preocupação em assegurar princípios da LGPD (tais como a transparência, a segurança e a qualidade de dados): “Para mais informações sobre nossas práticas de privacidade, definimos abaixo quais os tipos de dados pessoais que podemos coletar ou armazenar sobre você, como podemos usá-los, com quem podemos compartilhá-los, como os protegemos e os mantemos seguros e seus direitos com relação aos seus dados pessoais.” 
Diferentemente das americanas.com, discorre sobre as bases legais que permitem a coleta de dados sem consentimento do titular (melhoria dos produtos e serviços da empresa, prevenção de fraudes, proteção das ferramentas da empresa) 
“ente guardamos os seus dados pessoais pelo tempo que for necessário para atingir a finalidade para a qual os coletamos ou armazenamos, para atender às suas necessidades, ou para cumprir nossas obrigações legais ou regulatórias.” ponto melhor em comparação com às lojas americanas (discorre mais detalhadamente sobre o tempo utilizado dos dados); 
Tabela detalhada, para explicar pontos extremamente relevantes: quais os dados coletados, de que forma os dados são coletados, qual a finalidade do uso desses dados coletados, como eles são tratados e sob quais bases legais.
Poderia utilizar uma linguagem menos engessada e, portanto, mais acessível à população, transmitindo as informações de forma clara, direta e objetiva. 
Assim como nas americanas, há uma coerção para o uso de cookies (somente se pode acessar determinadas ferramentas, caso se aceite os cookies): “Muitos cookies são usados para melhorar a utilização e funcionalidade dos sites/apps, portanto, a desativação dos cookies pode impedi-lo de utilizar determinadas partes dos nossos sites/apps, conforme detalhado em nossa Tabela de Cookies.”  
Traz uma tabela bem detalhista e que esclarece os clientes acerca dos seus direitos e as consequências provenientes de tais escolhas – como o direito de desativar os cookies pode ocorrer o impedimento de utilizar determinadas partes dos sites/apps 
	POLÍTICA DE PRIVACIDADE DA AGILIZE CONTABILIDADE: UMA BOA POLÍTICA DE PRIVACIDADE, COM EXTENSÃO MÉDIA, MAIS COMPLETA EM RELAÇÃO ÀS LOJAS AMERICANAS, PORÉM MENOS DETALHISTA EM COMPARAÇÃO COM A L’OREAL BRASIL. 
	Disse explicitamente, diferentemente das outras duas empresas que se omitiram, que coleta a voz dos clientes;
 
Traz definições de forma bem organizada acerca de conceitos importantes (lembra o art. 5 da LGPD e a política de privacidade das americanas); 
Coerção explícita no que tange ao consentimento sobre a política de privacidade adotada: “Caso o Usuário ou o Cliente não concorde com esta Política de Privacidade, não deverá utilizar os serviços.” 
Admite a possibilidade de ser controladora em determinadas ocasiões e controladoras em outros momentos “Apesar de, na maioria dos casos, atuarmos como Operadora no tratamento dos dados pessoais, em algumas situações a Agilize atua como Controladora”; 
Lista os subprocessadores que podem ter acessos aos dados do titular;
Lista diversos direitos dos titulares de dados;
Demonstra expressamente – através de menção a artigos – o vínculo da política de privacidade com a LGPD; 
OBS: Algumas empresas têm inovado e criado políticas de privacidade no formato de vídeo com uma linguagem acessível com o fito de aproximar a linguagem dogmática do Direito dos titulares de dados. Entretanto, a parte majoritária tende a não abrir mão de documento formal e escrito pois este é, justamente, o que concede segurança jurídica a essas empresas. 
CONTINUAÇÃO DO CONTEÚDO... 
1. Responsabilidade solidária dos operadores: 
Tanto o controlador quanto o operador estão solidariamente responsabilizados pelos danos causados um pelo outro (art. 42 – LGPD) – de acordo com a regra geral, o controlador pode responder por erros do operador e vice-versa, isto é, o operador por erros do controlador.
Art. 42 – LGPD: O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Observa-se que, no geral, o titular de dado que sofrer um dano pode, em virtude da responsabilidade solidária do controlador e do operador, exigir a reparação do dano de forma integral para qualquer um dos dois. 
Entretanto, o inciso I do referido artigo da LGPD nos mostra a existência de uma exceção para tal regra. Quando o operador não tiver seguido as instruções lícitas do controlador, ou seja, agiu por conta própria e gerou danos a algum titular, o operador responderá sozinho e é equiparado ao controlador. Destarte, o controlador por equiparação é o operador que age em desconformidade com as instruções passadas pelo controladore dessa forma, assume a responsabilidade de ser controlador para aquele tratamento – devendo responder sozinho aos danos causados aos titulares.
Relembrando o caso da agência de viagens que compartilhava dados com o hotel e a companhia aérea. Pode ser que, durante esse compartilhamento ocorra um vazamento de dados pelo hotel ou pela companhia aérea e, como esses são solidariamente responsabilizados um pelos outros, a agência de viagens pode vir a responder, também, pelos danos causados ao titular.
Art. 43 – LGPD: Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
2. Portabilidade de dados: 
Art. 40 – LGPD: A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
 
A Anatel admitiu que o número de telefone é um dado pessoal e não “propriedade” das operadoras telefônicas.
Essa portabilidade se refere a todo e qualquer dado pessoal e não somente a dados telefônicos (dados telefônicos, dados bancários, dados de consumo de internet, dados contábeis, dados jurídicos...)
O Open banking (“sistema bancário aberto” em uma tradução para a língua portuguesa) admite que os titulares dos dados da conta são aos clientes e, portanto, não pertencem aos bancos. Quando ficar 100% concluído o Open banking vai ser possível a transferência de dados pessoais entre bancos e para outros tipos de empresa (como o GuiaBolso – aplicativo que auxilia na administração das finanças dos usuários). 
Interoperabilidade: Tecnologia comum que vai permitir que aquele dado seja acessado por qualquer remetente e qualquer destinatário do sistema financeiro (pode-se assim transferir dados entre bancos – como do Bradesco para o Itaú). 
A LGPD é uma lei genérica (geral) e que, desse modo, não se refere a setores específicos da sociedade. Existem normas setoriais que tratam especificamente da proteção de dados e que não necessariamente seguem a linguagem e os termos da LGPD (muito em virtude de serem anteriores à LGPD):
· Offline: Código de Defesa do Consumidor (CDC);
· Online: Marco Civil da Internet (MCI); 
· Seguros: Superintendência de seguros no Brasil (SUSEP); 
· Financeiro: Normas do Banco Central (LC 105/2001); 
· Educação: Normas do MEC (ECA, LDB, leis municipais e estaduais); 
· Crédito: Lei 12.414/11;
· Publicidade: CONAR;
· Saúde: CRM, MS e leis federais;
· Administração Pública; 
· E assim por diante; 
Para um aprofundamento na área de proteção de dados, é necessário compreender as peculiaridades do uso de dados pessoais em um determinado setor (como no âmbito da Saúde – normas de segurança de informações nesse âmbito, quais dados podem ser compartilhados ou não, por quanto tempo um hospital pode guardar os dados, como deve ser o descarte de dados, etc...). Desse modo, a LGPD apenas trata das normas gerais e não abrange os atos normativos setoriais.
3. O encarregado: 
Art. 5, VIII – LGPD: 
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
· Chamado em inglês de DPO (Data Protection Officer);
· Somente os controladores podem ter, a rigor da lei, um encarregado (art. 41, caput – LGPD) – mas tem se discutido se não valeria a pena, hoje em dia, estender essa regra para os operadores em virtude do volume de dados que alguns operadores possuem e dos iminentes riscos no tratamento desses dados; 
· Esse encarregado pode ser uma pessoa física ou jurídica. É muito comum que uma empresa contrate um escritório de advocacia para que este atue como o seu DPO;
· A LGPD não estipulou critérios para uma pessoa física ou jurídica ser indicada como encarregado pelo controlador. Entretanto, em termos práticos, o DPO deve conhecer as bases legais sobre o tratamento de dados e como os dados são tratados dentro daquela determinada organização;
· Controladores deverão fazer avaliações internas a respeito da necessidade ou não de nomear encarregado com base em tais regulamentos e documentar essa análise.
Art. 41 – LGPD: O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
O DPO tem quatro principais atribuições: 
· Se relaciona diretamente com os titulares dos dados no exercício dos direitos;
· É uma espécie de “líder” dentro do controlador para garantir o cumprimento de normas de proteção de dados naquela organização (o DPO que elabora o relatório de impacto, explicita o inventário, realiza auditorias periódicas); 
· Se relaciona com outros DPO’s; 
· Presta contas à ANPD (Autoridade Nacional de Proteção de Dados); 
Art. 41 – LGPD: 
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
4. Peculiaridades do encarregado: 
· É muito importante que não haja nenhum tipo de conflito de interesses, devendo o DPO exercer apenas a função de DPO para que ele fale com isenção sobre qualquer aspecto da empresa. Possa ser que caso ele seja simultaneamente, por exemplo, chefe de TI e DPO, ele não admita que houve um problema de TI. 
· Não é recomendável qualquer tipo de vínculo entre a remuneração e os resultados da empresa, bônus ou qualquer outra meta. Se o DPO receber uma quantia modificável, pode exercer mal o seu trabalho para beneficiar a empresa (omitir possíveis riscos, por exemplo). O DPO deve, portanto, possuir salário fixo; 
· Reporte direto à diretoria e presidência da empresa, com todos os recursos necessários para executar suas funções – visando à ampliação da autonomia profissional do DPO;