Baixe o app para aproveitar ainda mais
Prévia do material em texto
130 Unidade III Unidade III Nesta unidade, vamos tratar de temas mais objetivamente relacionados com a proteção de dados e de seus titulares. Para isso, é importante conhecermos dois marcos regulatórios recentes no Brasil: o Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD). Em seguida, vamos estudar as normas de segurança da informação, as normas ISO 27000 e as políticas, os procedimentos e os padrões nacionais e internacionais de segurança da informação. 5 MARCO CIVIL DA INTERNET – LEI N. 12.965 DE 2014 A Lei n. 12.965, de 23 de abril de 2014 (BRASIL, 2014), trata dos princípios, das garantias, dos direitos e deveres para o uso da internet no Brasil e determina as diretrizes para a atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria. A lei determina os parâmetros que serão aplicados no Brasil ao uso dessa rede de computadores de alcance mundial, que convencionamos chamar de internet. Como estamos diante de temas novos que utilizam terminologia própria, a Lei n. 12.965, de 2014, utiliza um pequeno glossário para que todos compreendam da mesma forma os termos por ela utilizados. Assim, o artigo 5º especifica que: Art. 5º – Para os efeitos desta Lei, considera-se: I – internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes; II – terminal: o computador ou qualquer dispositivo que se conecte à internet; III – endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais; IV – administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País; 131 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO V – conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP; VI – registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados; VII – aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e VIII – registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP (BRASIL, 2014). A lei determina que o uso da internet no Brasil terá como fundamento a liberdade de expressão, que, como vimos, é um direito fundamental garantido pela lei mais importante do país, a Constituição Federal. Além da liberdade de expressão, são fundamentos da utilização da internet no Brasil, conforme o artigo 2º (BRASIL, 2014): • O reconhecimento da escala mundial da rede. • Os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania por meios digitais. • A pluralidade e a diversidade. • A abertura e a colaboração. • A livre iniciativa, a livre concorrência e a defesa do consumidor. • A finalidade social da rede. Todos esses aspectos são tratados pela Constituição Federal brasileira, como estudamos anteriormente. Direitos humanos são tratados no Brasil como direitos fundamentais individuais e coletivos; a personalidade da pessoa natural, seu direito ao nome, à honra, à dignidade e à privacidade são protegidos pela Constituição Federal e pelo Código Civil; a livre iniciativa e a livre concorrência também são objeto de proteção na Constituição Federal, porque são princípios da ordem econômica; e o direito do consumidor e, consequentemente, os deveres dos fornecedores de produtos e serviços também foram estudados por nós. A finalidade social da rede é um princípio que vem ao encontro da função social da propriedade e dos contratos, como vimos nos estudos de direito constitucional, de direito civil e de direito do 132 Unidade III consumidor. De fato, não há nenhuma atividade praticada na sociedade brasileira que possa descumprir a finalidade social, ou seja, que possa ser praticada sem respeitar os princípios que protegem as pessoas naturais, seus vínculos como família, trabalho e qualquer outra atividade que realizam no âmbito da vida social. Não seria diferente com a rede mundial de computadores, que, afinal, é também uma forma de relacionamento social que estabelecemos, embora não seja presencial, e sim digital. O Marco Civil da Internet estabelece, também, princípios que deverão ser expressamente respeitados em todas as atividades que forem realizadas na rede. São eles: • Garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal. • Proteção da privacidade. • Proteção dos dados pessoais, na forma da lei. • Preservação e garantia da neutralidade de rede. • Preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas. • Responsabilização dos agentes de acordo com suas atividades, nos termos da lei. • Preservação da natureza participativa da rede. • Liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nessa lei. Esses princípios, segundo determina a lei, não excluem outros igualmente previstos no ordenamento jurídico brasileiro e que se relacionam com a matéria. Não excluem, também, os tratados internacionais sobre a matéria dos quais o Brasil seja signatário, ou seja, tenha assinado e se comprometido a cumprir. O professor Celso Antonio Pacheco Fiorillo, sobre o princípio da neutralidade da rede, explica que: O que pretende o aludido artigo é assegurar que todas as informações que trafegam na rede devam ser tratadas da mesma forma, navegando à mesma velocidade, sendo referido princípio que garantiria o livre acesso a qualquer tipo de informação na rede. Daí a inclusão de Seção específica (Seção I – Da Neutralidade na Rede – art. 9º), que procura estabelecer regras jurídicas destinadas a assegurar a referida neutralidade da rede visando uma internet com tecnologia livre e aberta e possibilitando uma comunicação democrática dentro de uma interpretação isonômica destinada a observar o uso do conteúdo. Claro está que o princípio da preservação e garantia da neutralidade da rede deverá necessariamente ser observado em face do 133 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO princípio da responsabilização dos agentes de acordo com suas atividades, conforme indica o inciso VI do artigo 3º da Lei n.º 12.965 de 2014 [...] (FIORILLO, 2015, p. 38). De fato, a responsabilidade dos agentes por danos decorrentes de conteúdo gerado por terceiros é tratada em campo específico da lei, artigo 18 e seguintes, como veremos, e é um dos temas de maior relevância no Marco Civil da Internet. Também é importante a garantia da liberdade de modelos de negócios promovidos na internet, sabido que, na atualidade, por múltiplos motivos, as compras on-line alcançam cada vez maior volume de adesão no Brasil e tendem a se tornar importantes nas diferentes atividades econômicas. É preciso que haja garantia de que serão exercidas com respeito à legislação existente e às normas de segurança da informação. O Marco Civil da Internet regula, também, os direitos e as garantias dos usuários de internet e considera que o acesso à rede é essencial para o exercício da cidadania; por isso, os usuários devem estar sempre protegidos. Os principais direitos e garantias dos usuários fixados na lei são: • Inviolabilidadeda intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação. Observe que esse direito tem total correlação com a necessidade de mecanismos eficientes de segurança da informação. • Inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo quando houver ordem judicial para quebra desse sigilo, em razão de necessidade que contemple interesse público, que, como vimos, sempre se sobrepõe ao interesse privado. • Inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial que viabilize o acesso a esses dados. • Não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização, ou seja, pelo não pagamento dos valores dos serviços contratados junto ao servidor. • Manutenção da qualidade contratada da conexão à internet. • Informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade. Ou, em outras palavras, o contrato não deve pactuar apenas dimensões técnicas e condições de pagamento, mas, também, a proteção dos registros de conexão e acesso, o que é muito relevante para a proteção do usuário. • Não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei. Aqui, também é um direito do usuário diretamente decorrente da necessidade de mecanismos eficientes de segurança da informação. 134 Unidade III • Informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que justifiquem a coleta, não sejam vetadas pela legislação e estejam especificadas nos contratos de prestação de serviços, ou em termos de uso de aplicações da internet. • Consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; ou seja, o usuário deve consentir de forma expressa, o que significa dizer, por escrito ou de outra forma que se possa provar, que seus dados pessoais podem ser utilizados, mesmo que seja apenas para armazenamento. • Exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas na lei; ou seja, o dados só poderão permanecer armazenados durante o período de tempo em que tiverem utilidade para o consentimento que foi dado. Depois disso, devem ser excluídos de forma definitiva, com total segurança. • Publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet. É direito do usuário saber que determinada informação é publicitária e, ainda, quais as políticas de uso dos provedores de conexão à internet, para que possa ter segurança sobre a prestação de serviços contratada. • Acessibilidade para viabilizar a utilização em respeito às características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; ou seja, respeito às necessidades específicas dos usuários. • Aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet, ou, em outras palavras, as normas e os princípios do CDC deverão ser respeitados nas relações entre o prestador de serviços e o usuário de internet. Ainda no tocante aos direitos e às garantias, o Marco Civil da Internet faz expressa referência, no artigo 8º, à garantia ao direito, à privacidade e à liberdade de expressão nas comunicações, cujos principais conceitos e princípios são os mesmos adotados pela Constituição Federal, pelo CDC e pelo Código Civil, todos na proteção dos direitos da dignidade humana e da personalidade. Cabe destacar, ainda, o tratamento dado pelo Marco Civil da Internet à responsabilidade por danos decorrentes de conteúdo gerado por terceiros, que não será do provedor de conexão da internet. Essa é a regra que, no entanto, comporta uma importante exceção que a lei contempla no artigo 19: o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos de seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente. Imagine que o provedor de internet XTPX que viabiliza acesso a usuários foi citado em ação judicial movida por um usuário, que deseja a retirada de um conteúdo claramente racista que foi enviado como 135 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO publicidade para ele. A ordem judicial deverá ser imediatamente cumprida, até porque deverá trazer identificação clara e específica do conteúdo apontado como infringente da lei. Caso o provedor se recuse a cumprir a ordem judicial ou deixe de fazê-lo por qualquer outra razão, inclusive por esquecimento, responderá pelos danos materiais ou morais que o usuário tiver sofrido. O artigo 20 da lei determina que, sempre que tiver informações de contato do usuário diretamente responsável pelo conteúdo impróprio, caberá ao provedor de aplicações de internet comunicar-lhe os motivos e as informações relativas à indisponibilização de conteúdo, com informações que permitam o contraditório e a ampla defesa em juízo, salvo expressa previsão legal ou expressa determinação judicial fundamentada em contrário. Dessa forma, fica viabilizado ao terceiro que apresente suas razões, inclusive para defender que o conteúdo não é impróprio ou que não houve intenção de causar danos a ninguém. Com isso, ficam garantidos o direito à ampla defesa, o respeito ao princípio do contraditório e a utilização dos meios lícitos para provar as alegações. Lembrete A Constituição Federal garante os princípios da ampla defesa, do contraditório e do devido processo legal como direito fundamental. Determina a lei, ainda, que o provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo. Faz todo o sentido que a responsabilidade alcance também o provedor de internet nos casos em que houve divulgação indevida de conteúdos de nudez ou de atos sexuais e que, mesmo avisado pelo usuário ou por seu representante legal, o provedor não adotar providências técnicas eficientes para indisponibilizar o conteúdo. Esses são os principais aspectos do Marco Civil da Internet, lei que continua em vigor apesar da aprovação da LGPD, que vamos estudar agora. 5.1 Introdução à Lei Geral de Proteção de Dados (LGPD) A Lei n. 13.709, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados Pessoais (BRASIL, 2018), é conhecida pela sigla LGPD. Ela está dividida em dez capítulos e contém princípios e definições para a correta compreensão de seus objetivos e suas finalidades. A LGPD entrará em vigor em agosto de 2020, e esse período, conhecido como vacacio legis ou vacância da lei, foi adotado para que as empresas públicas e privadas e as pessoas naturais tenham tempo de se adequar às suas exigências. 136 Unidade III A lei foi aprovada após a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD)da União Europeia, em maio de 2018, que motivou empresas de todo o mundo que têm negócios com empresas europeias a se adequarem àquele regulamento, de forma que pudessem continuar realizando atividades comerciais. O RGPD europeu é aplicável a situações em que o tratamento de dados acontece nas atividades de uma empresa que está estabelecida em países que compõem a União Europeia e se aplica às empresas que não estão na União Europeia, mas que oferecem produtos e serviços para lá. A necessidade de algumas empresas adequarem suas atividades ao RGPD da União Europeia contribuiu para que o legislativo brasileiro agilizasse o debate sobre a lei geral de proteção de dados brasileira, que já tinha projetos de lei em andamento há alguns anos. A proteção de dados pessoais é muito importante na sociedade contemporânea. Todos somos portadores de dados e, diariamente, fornecemos esses dados em muitas situações diferentes, como no supermercado, no atendimento médico, na academia, para táxis ou serviços de aplicativo, nas compras pela rede mundial de computadores, nas redes sociais, nas transações bancárias, nos diversos aplicativos que utilizamos, entre outras muitas situações. Nossos dados pessoais são utilizados tanto para transações de alto valor, como a obtenção de empréstimo para compra de imóveis, quanto para transações de pequeno valor, como a compra de medicamentos na farmácia. Por isso, é preciso proteger os dados pessoais para que não ocorra má utilização, porque os transtornos são enormes quando isso acontece. Em geral, todas as empresas estão suscetíveis a vazamento de dados pessoais de seus consumidores e usuários. Por isso, foi preciso criar uma legislação para estabelecer regras claras para a coleta e o tratamento de dados, bem como punições para as práticas que descumprirem a legislação em vigor. No âmbito da segurança da informação, conhecer a LGPD é muito relevante; por isso, vamos nos dedicar a esse estudo. 5.1.1 LGPD: principais aspectos Tratamento de dados é toda operação realizada com dados pessoais, como a de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Essa definição foi a adotada pela LGPD e é importante para compreender a aplicabilidade da lei. Sempre que uma pessoa natural ou jurídica, pública ou privada, solicitar os dados pessoais de alguém – nome, endereço, número de documentos, estado civil, identificação de gênero (masculino, feminino ou outros) –, deverá cumprir a LGPD. A LGPD se aplica, portanto, às pessoas naturais ou jurídicas, da área pública ou privada, que atuem com dados pessoais em qualquer meio, inclusive digital. 137 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO O objetivo da lei é proteger o titular dos dados pessoais para não haver utilização de dados sem consentimento, nem excessiva, desnecessária ou, ainda, que seja prejudicial ao seu titular. Assim, se alguma pessoa natural ou jurídica de direito privado ainda atuar com dados pessoais arquivados em papel, meio físico, também terá que cumprir a lei da mesma maneira, porque ela também será aplicada a essas situações. Aqueles que atuam com uso de meio digital, mais comum em nossos dias, igualmente estão obrigados a cumprir a lei. A LGPD será aplicada a todas as operações de tratamento de dados realizadas em território nacional; ou quando os dados tenham sido coletados para a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e nas situações em que os dados pessoais objetos do tratamento tenham sido coletados no território nacional. Mesmo que a pessoa natural ou jurídica, de direito público ou privado, tenha sua sede em outro país, se a operação de tratamento de dados se realizar no Brasil, a LGPD será aplicada. Não importa que os dados sejam coletados de pessoas físicas estrangeiras, porque se elas estiverem no Brasil no momento da coleta dos dados também é a lei brasileira que será utilizada para sua proteção. Lembrete A lei brasileira prevalece sobre qualquer outra em território nacional. A pessoa natural cujos dados foram coletados em território nacional pode já ter ido embora do país, e, mesmo assim, será aplicada a LGPD se, por acaso, os dados tiverem sido tratados aqui. 5.2 Termos técnicos utilizados pela LGPD O uso de dados pessoais para realização de negócios ou para atendimento no setor público já é feito há muitos anos. Tornou-se comum o fato de as pessoas fornecerem seu endereço, número de telefone, número de documentos pessoais, dados bancários, dados pessoais como gênero, estado civil, entre tantos outros, para serem atendidas em suas necessidades pelos setores público e privado. O fornecimento de dados cresceu exponencialmente nos últimos anos, porque a internet passou a ser utilizada para muitas atividades que antes só eram feitas presencialmente, como: comprar uma televisão, um sofá ou um livro; assinar um jornal ou uma revista eletrônicos; comprar passagens aéreas e reservar hotéis para viagens de negócios ou de férias; contratar um plano de saúde ou seguro de vida; contribuir com uma associação não governamental; contratar acesso a canais de entretenimento para assistir a filmes, séries, ouvir música etc. Não há limite para o que pode ser feito pela internet. Em todos esses momentos, as pessoas disponibilizam dados pessoais que são coletados e armazenados pelo fornecedor de produtos e serviços. Por vezes, somos nós mesmos que, em nossa atividade profissional, coletamos e armazenamos dados pessoais de clientes ou usuários, necessários para o trabalho que fazemos. 138 Unidade III Cada vez mais, as diferentes atividades profissionais praticadas no mercado exigem a coleta e o tratamento de dados dos clientes; por isso a importância de que essa atividade seja realizada corretamente, ou seja, de acordo com a lei e com as melhores técnicas de segurança da informação. A LGPD, além de criar objetivos e princípios que serão de cumprimento obrigatório para todos que utilizem dados pessoais, cuidou de uniformizar as expressões que deverão ser utilizadas por todas as pessoas físicas, jurídicas, públicas e privadas que utilizam dados pessoais em suas atividades. A terminologia está no artigo 5º da LGPD (BRASIL, 2018), assim organizada: • Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Pessoa natural e pessoa física têm o mesmo sentido, ou seja, o ser humano que se torna sujeito de direitos e deveres em conformidade com a lei. Pessoa jurídica é aquela composta por uma ou mais pessoas físicas, que se organizam para exercer atividades econômicas (empresas) ou sociais (associações, sindicatos, organizações não governamentais, clubes desportivos, entre outras). • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que uma pessoa nem sempre deseja que sejam compartilhados ou mesmo que se tornem conhecidos para outras pessoas, seja para fins empresariais, seja para pessoas de seu convívio social e familiar. A denominação sensível indica que são dados que, para serem tratados por pessoa natural ou jurídica, pública ou privada, vão demandar muito maior cuidado e especificidade. • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. • Anonimização de dados: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, através dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Exemplo:o dado pessoal passa a ser tratado de forma que não se possa identificar seu titular. Em lugar de constar o nome e o endereço do titular, a anonimização fará constar: gênero masculino, 44 anos, casado, motorista de Uber, renda na faixa de R$ 3.000,00, domicílio no bairro da Zona Norte de Belo Horizonte, casa própria financiada no Sistema Financeiro da Habitação. Os dados pessoais estão colocados, porém não será possível individualizar o titular desses dados. • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Exemplo: dados utilizados por hospitais, clínicas, academias, escolas, universidades, lojas físicas e virtuais, serviços de compartilhamento de transporte, médicos, dentistas, advogados e muitas outras atividades. São dados de clientes e usuários que são tratados em bancos de dados que precisam ser legalmente organizados. É importante reparar que a LGPD tem determinações para bancos de dados que podem estar em meio físico ou eletrônico e, em ambas as situações, a lei deverá ser cumprida. Muitas empresas menores, como escritórios de advocacia e contabilidade, ou oficinas mecânicas e de marcenaria, 139 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO que trabalham com fichas físicas guardadas em arquivos de aço, deverão ficar atentas para a necessidade de se adequar às novas regras determinadas pela LGPD, porque os arquivos físicos também estão regulados por ela. • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Todas as pessoas naturais possuem dados pessoais dos quais são titulares e que só poderão ser compartilhados mediante seu consentimento expresso e específico. • Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. É importante que fique claro que não é qualquer forma de consentimento que pode ser interpretada como adequada à lei; somente o consentimento prestado de forma livre, informada e inequívoca, que não crie dúvida de que se trata de consentimento para tratamento de dados pessoais. • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou jurídica, pública ou privada, for obrigada a suspender, em caráter temporário, o tratamento de dados organizados em seu banco. A ordem de bloqueio virá de decisão judicial, embora também possa ser resultado de um acordo entre as partes para cumprir um objetivo fixado por elas. Uma financeira faz acordo com uma loja para que o banco de dados de clientes da loja que utilizaram financiamento com aquela empresa fique bloqueado, não possa ser utilizado durante um determinado período, ou até para que seja apurada uma irregularidade que a loja está investigando em decorrência de inconsistências no seu balanço ou relatório de resultados financeiros. Por acordo da loja e da financeira, o banco de dados de clientes ficará bloqueado, sem que ninguém possa utilizá-lo. • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. A eliminação ocorrerá a pedido do titular com concordância dos agentes de tratamento; ou por ordem judicial que determine a eliminação. Poderão ser eliminados bancos de dados eletrônicos ou físicos. • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou para algum organismo internacional do qual o país seja membro, como a ONU ou a Organização Internacional do Trabalho (OIT). A necessidade de transferência de dados pessoais para país 140 Unidade III estrangeiro poderá ocorrer, por exemplo, em casos de acidentes naturais como enchentes, passagem de tornados, terremotos, pandemias; ou em acidentes como queda de aviões, atos terroristas, incêndios, explosões, e em todos os outros casos em que os dados sejam importantes para localizar e/ou identificar as vítimas de danos físicos ou de óbito. • Agentes de tratamento: o controlador e o operador. • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais em uma empresa privada ou um órgão público. • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Observação É importante observar que a LGPD permitiu que o controlador e o operador fossem pessoas jurídicas, ou seja, empresas contratadas para executarem essa atividade; e não impediu que fossem a mesma pessoa para exercer as tarefas ao mesmo tempo, o que pode significar, para empresas menores, custos na contratação de profissional para essa tarefa. • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado poderá ser pessoa natural ou jurídica, e não é preciso que seja uma pessoa com atividade específica; pode exercer outra atividade profissional na empresa e acumular com essa. Também poderá ser empresa contratada para atuar como encarregado perante a ANPD. • Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. É o órgão federal que terá a incumbência de regular e fiscalizar o tratamento de dados no Brasil, inclusive para aplicar as sanções previstas na lei. Sua composição, organização e funcionamento serão semelhantes às agências já existentes no país, como a ANS, a Anvisa, a Agência Nacional de Aviação (Anac), entre outras. • Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Sendo o controlado o agente de tratamento de dados responsável pelas decisões, será dele a responsabilidade pela construção do relatório de impacto à proteção de dados, com o objetivo de descrever os processos utilizados para tratamento de dados pessoais, assim como todas as medidas adotadas para prevenir a ocorrência dos riscos a que os bancos de dados estão sujeitos. • Órgão de pesquisa: órgão ou entidade da administração pública, direta ou indireta, ou pessoa jurídica de direito privado, sem fins lucrativos, legalmente constituída sob as leis brasileiras, com 141 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO sede e foro no país, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. A sigla DPO não está no glossário que a LGPD criou em seu artigo 5º, porém tem sido muito utilizada nas atividades empresariais privadas para designar o profissional responsável pela implementação da lei na empresa e que, depois disso, terá a responsabilidade por toda a gestão da proteçãode dados. DPO é a sigla para Data Protection Officer, expressão em inglês que significa: a pessoa designada na empresa privada ou pública para ser a responsável – diretor, gerente ou superintendentes – que cuidará de toda a gestão de proteção de dados. 5.3 Objetivos da lei A LGPD estabelece como seus objetivos: • Respeito à privacidade: todo titular de dados pessoais tem direito de ser respeitado em sua privacidade, de compartilhar dados apenas com as pessoas que ele escolher e para atender a objetivos específicos. Exemplo: o entregador de pizza que leva o produto à casa de alguém não está autorizado a fornecer esse dado para ninguém, e nem a pizzaria onde ele trabalha pode fornecer esse endereço para a loja de roupas, que é sua vizinha, para que eles mandem uma mala direta de publicidade da loja. Ao compartilhar seu estado civil para um contrato de prestação de serviço bancário, ninguém está autorizando que aquele dado seja fornecido para uma agência de viagem oferecer viagens para solteiros em um cruzeiro. Os dados são fornecidos com uma finalidade, e ela deve ser respeitada, sob pena de descumprimento da lei e das sanções que poderão ser aplicadas. • Autodeterminação informativa: autodeterminação é a capacidade de uma pessoa decidir, de forma livre e autônoma, o que é melhor para ela. Autodeterminação informativa é o poder para decidir quais informações e para quem se deseja fornecê-las. A lei proíbe o compartilhamento de informações sem o consentimento do titular dos dados, em respeito ao princípio da autodeterminação informativa. O consentimento do titular de dados pessoais é essencial em qualquer atividade pública ou privada de tratamento de dados. • Liberdade de expressão, informação, comunicação e opinião: esses são direitos fundamentais previstos na Constituição Federal. A LGPD, em conformidade com o disposto na Constituição Federal, tem expressa previsão de proteção desses direitos fundamentais. • Inviolabilidade da intimidade, da honra e da imagem: esses são direitos protegidos pela Constituição Federal e pelo Código Civil. Por isso, a LGPD garante que ninguém poderá ser invadido ou incomodado em sua intimidade, honra ou imagem pela divulgação de dados que não tenham sido expressamente autorizados. A nenhuma empresa, por exemplo, será possível divulgar dados pessoais sem que isso tenha sido autorizado. • Desenvolvimento econômico e tecnológico e inovação: a necessidade de proteção de dados pessoais não pode impedir que o Brasil tenha desenvolvimento econômico, tecnológico e de inovação. A LGPD não pode dificultar o desenvolvimento econômico, porque isso seria contrário 142 Unidade III à Constituição Federal, que garante a proteção à livre iniciativa e à livre concorrência. Porém, é importante salientar que o desenvolvimento econômico e tecnológico que o Brasil pretende ter está diretamente relacionado com a proteção de dados pessoais, porque, na atualidade, em quase todo o mundo, existem leis de proteção de dados pessoais, em especial na União Europeia, e nenhuma empresa ou governo vai se relacionar com países que não tenham essa mesma preocupação – proteger dados pessoais –, porque seria um risco maior do que o eventual lucro que as transações econômicas pudessem gerar. • Livre iniciativa, livre concorrência e defesa do consumidor: são princípios constitucionais que igualmente deverão ser respeitados pela LGPD. Por esses princípios, garante-se o equilíbrio entre a necessidade de desenvolvimento econômico pelas empresas privadas e o respeito aos consumidores, que não poderão ter seus dados pessoais utilizados de forma indevida nas atividades empresariais. Uma empresa que utilizar indevidamente dados pessoais poderá ser acusada de concorrência desleal e punida por isso, além da punição pelo descumprimento da LGPD. • Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais: a LGPD adota esses objetivos para que possa estar em consonância com a Constituição Federal, com o Código Civil e com o CDC. A dignidade da pessoa humana é um fundamento da República Federativa do Brasil, disposto no artigo 1º da Constituição Federal, e se aplica a todas as relações públicas ou privadas em que uma pessoa estiver envolvida. Não há atividade pública ou privada que não tenha que respeitar e proteger a dignidade da pessoa humana. A disseminação de dados pessoais tem sido intensa na sociedade contemporânea. Dados pessoais são utilizados por milhares de empresas em todo o mundo para viabilizar o acesso a produtos e serviços, em especial para consumo, educação, serviços bancários, financeiros, de crédito, seguros, assistência médica, entretenimento, entre outros. Também os setores públicos coletam e utilizam dados pessoais, como acontece com a receita federal, a receita estadual e municipal, o poder judiciário, as polícias federal e estadual, os serviços de expedição de documentos como cédula de identidade, a carteira nacional de habilitação, a expedição de passaportes, a educação pública, as unidades de atendimento do Sistema Único de Saúde (SUS), entre muitas outras situações em que os dados pessoais são indispensáveis para a garantia do atendimento. Se é preciso utilizar dados pessoais em tantas situações diferentes, é importante contar com uma estrutura legal de proteção para coleta e tratamento de dados pessoais, a fim de proteger seus titulares contra uso indevido que possa ser feito por terceiro e contra danos materiais e imateriais consequentes. 5.4 Princípios da LGPD A LGPD adotou princípios que deverão ser cumpridos pelas pessoas físicas ou jurídicas, públicas ou privadas, que realizarem tratamento de dados pessoais. Os princípios estão no artigo 6° da lei (BRASIL, 2018) e são: 143 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO • Boa-fé: determina que as partes deverão agir sempre com honestidade e transparência na realização de tratamento de dados pessoais para fins públicos ou privados. • Finalidade: a utilização dos dados pessoais terá que ser feita sempre com propósitos legais, específicos e informados ao titular dos dados. Coletados os dados para uma finalidade específica, não poderão ser utilizados para outra. Assim, quando a operadora de cartão de crédito coleta seus dados para a formalização do contrato de prestação de serviços, não poderá fornecer esses dados para a companhia de seguros, para que esta utilize-os para fornecer proposta de contratação de seguro de vida ou de automóvel. • Adequação: representa que os dados coletados deverão ser tratados em conformidade com a finalidade para a qual foram obtidos. Novamente, aqui, fica vetada a obtenção para finalidade e uso inadequados. • Necessidade: os dados pessoais coletados deverão ser tratados de forma limitada ao mínimo necessário para que os objetivos sejam corretamente atingidos; isto é, deverão ser usados na quantidade mínima necessária para o cumprimento da finalidade a que eles se destinam. Por exemplo: é preciso saber o estado civil de alguém para contratar uma compra on-line parcelada? É preciso saber quantas pessoas moram com você para contratar os serviços de um cartão de crédito? Cada situação requer uma quantidade de dados pessoais, e eles devem ser solicitados sempre tendo o mínimo como parâmetro, e não o máximo. Poderão ser coletados apenas os dados necessários para a operação pública ou privada que vai ser realizada; nada além disso se justifica. • Livre acesso: os titulares dos dados pessoais terão direito à consulta facilitada e gratuita de seus dados durante todo o período de duração da utilização deles. A consulta poderá ser integral, ou seja, a todos os dados que foram coletados pela pessoa natural ou jurídica, pública ou privada, que solicitou esses dados para utilização em suas atividades; ou poderá ser parcial, por exemplo, referente apenas à última operação realizada com o banco ou o cartão de crédito. A consulta de dados por parte dos titulares nãopoderá sofrer nenhum tipo de obstáculo desestimulante, como demora no atendimento ou no envio da relação de dados solicitados ou exigência de qualquer contrapartida para isso. • Qualidade dos dados: a lei obriga as pessoas naturais ou jurídicas, públicas ou privadas, que tratam dados pessoais a garantir a exatidão, clareza, relevância e atualização dos dados, em conformidade com as necessidades e finalidades do tratamento. As pessoas físicas e jurídicas, públicas ou privadas, que utilizam dados pessoais, devem coletá-los de forma objetiva, exata, clara, e mantê-los atualizados para que nenhum resultado adverso atinja o titular dos dados apenas por falta de atualização ou clareza. Se uma pessoa deixa de pagar no prazo uma parcela de seu financiamento da casa própria e esse dado é coletado pelo agente financeiro, no momento exato em que o pagamento for feito, ele deverá atualizar o cadastro de dados, para que nenhum prejuízo possa decorrer do dado incorreto que estava registrado no cadastro de dados. • Transparência: significa que os titulares dos dados pessoais deverão ter a garantia de que as informações disponíveis a seu respeito são claras, precisas, facilmente acessíveis para qualquer 144 Unidade III verificação necessária, sempre respeitados os segredos industriais e comerciais utilizados pelos organizadores da coleta e do tratamento de dados, ou seja, pelas pessoas físicas ou jurídicas, públicas ou privadas, que utilizam aqueles dados em suas atividades. A exigência da transparência não pode ser superior ao direito que as pessoas físicas ou jurídicas têm em relação a suas patentes de invenção ou de modelo de utilidade, ou, ainda, ao direito de proteção a suas fórmulas ou direitos autorais sobre programas de computação, entre outros que são expressamente protegidos por lei. O titular de dados pessoais tem direito de saber quais os dados que foram coletados a seu respeito, mas não tem direito de saber como funciona o sistema de cadastro da pessoa natural ou jurídica que coletou seus dados e os tem sob sua guarda. Há limites para a informação que será fornecida aos titulares de dados pessoais, para proteger a atividade da pessoa natural ou jurídica, pública ou privada, que coleta e armazena os dados. • Segurança: o titular de dados pessoais tem que ter a garantia, por parte daquele que coleta e utiliza os dados, de que serão utilizadas todas as medidas técnicas e de gestão que permitam a efetividade da proteção dos dados pessoais e, principalmente, que impeçam acessos não autorizados; ou, ainda, que previnam as hipóteses de acessos acidentais ou ilícitos que resultem na destruição, perda, alteração, comunicação ou difusão de dados de maneira indevida. Esse é o ponto principal para os gestores e profissionais de segurança da informação. Todas as pessoas naturais e jurídicas que operam com dados pessoais terão que comprovar a eficiência e eficácia de seus sistemas de segurança da informação, assim como terão que comprovar que a governança e a compliance que adotam são suficientes para impedir ataques para acesso indevido ou, quando acontecerem, que dispõem de mecanismos para suportar os danos materiais e morais que afetarem o detentor dos dados pessoais. A segurança é uma questão fundamental para a LGPD, e a implantação de sistemas de segurança da informação confiáveis será um intenso trabalho que as pessoas naturais e jurídicas, públicas e privadas, terão que adotar. • Prevenção: consiste na obrigatoriedade da adoção de medidas para prevenir qualquer fato ou ato que propicie danos aos titulares de dados pessoais. A prevenção é um papel que deverá ser exercido pelos gestores de segurança da informação. Esse princípio da LGPD, aliado ao da transparência e segurança, demonstra claramente os objetivos da lei: regular o tratamento de dados por pessoas naturais e jurídicas, públicas e privadas, não apenas para que existam regras de utilização, mas também para que a prevenção de danos decorrentes de uso indevido de dados pessoais se torne obrigatória para todos que os utilizarem. É, sem dúvida, uma forma de responsabilizar quem utiliza dados pessoais em suas atividades, bem como tornar mais seguro o compartilhamento de dados. Com isso, o Brasil avança no sentido de se tornar um país confiável para transações privadas e públicas que utilizem dados pessoais e se iguala a outros países do mundo. • Não discriminação: a coleta de dados pessoais não pode ser realizada com finalidade discriminatória, por exemplo, para segregar raças, gêneros, hábitos alimentares, tipo físico, religiosidade etc. O tratamento de dados não pode, de nenhuma forma, estimular práticas de discriminação. • Responsabilização e prestação de contas: o agente, pessoa natural ou jurídica, pública ou privada, que coleta e trata dados pessoais tem que adotar todas as medidas legais e técnicas 145 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO necessárias para a proteção desses dados e será responsabilizado caso ocorram danos. Além disso, tem a obrigação legal de prestar contas de seus atos sempre que solicitado pelo titular dos dados, como autoridades com poderes para verificar a coleta e o tratamento de dados pessoais. Os princípios são diretrizes obrigatórias para a organização da atividade de tratamento de dados pessoais, para proteger seus titulares e garantir a segurança de todos, tanto das atividades econômicas desenvolvidas quanto da sociedade. É importante destacar que os princípios não são obstáculos para a efetividade das atividades econômicas e empresariais que utilizam dados pessoais. A expectativa é positiva, ou seja, que essas atividades continuem sendo realizadas e em conformidade com a LGPD. É por isso que a segurança da informação será cada vez mais requisitada pelas pessoas naturais e jurídicas, públicas e privadas, que têm necessidade de tratamento de dados pessoais em suas atividades, porque a lei é rigorosa ao exigir segurança, transparência e, principalmente, prevenção de problemas para os titulares que tenham fornecido seus dados pessoais. 5.5 Requisitos para tratamento e compartilhamento de dados pessoais A LGPD regula dois importantes aspectos que precisamos conhecer: os requisitos para tratamento de dados pessoais e a possibilidade de compartilhamento de dados. Vamos estudá-los. 5.5.1 Requisitos para tratamento de dados pessoais A LGPD estabeleceu que os dados pessoais só poderão ser tratados por uma pessoa natural ou jurídica, pública ou privada, em situações específicas: • Mediante o fornecimento de consentimento pelo titular dos dados. • Para cumprimento de obrigação legal ou regulatória pelo controlador. • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. • Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados pessoais, a pedido deste. 146 Unidade III • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, o último nos termos da Lei de Arbitragem. • Para a proteção da vida ou da incolumidade física do titular ou de terceiros. • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou de autoridade sanitária. • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. • Para a proteção do crédito, em consonância com a legislação existente sobre o assunto. A utilização de dados pessoais fora dessas hipóteses estará em confronto com a legislação e poderá gerar a aplicação de sanções e, se provadaa ocorrência de danos, a obrigação de indenizar por parte do responsável. 5.5.2 Requisitos para compartilhamento de dados pessoais Em muitas situações da vida empresarial, é necessário compartilhar dados pessoais de clientes. Nesses casos, a LGPD determina que o controlador que precisar comunicar ou compartilhar dados pessoais com outros controladores deverá ter o consentimento específico do titular para essa finalidade, salvo os casos em que a lei expressamente dispensar necessidade de consentimento. A LGPD estabelece, também, que o titular dos dados tem direito de saber sobre o compartilhamento e sua finalidade. Em quase todos os setores econômicos, o compartilhamento de dados pessoais é feito de forma usual em muitas situações diferentes. Dados pessoais são compartilhados entre o banco e as operadoras de cartão de crédito para débito em conta corrente; entre os prestadores de serviços – médicos, hospitais, laboratórios de exames clínicos – e as operadoras de saúde; e também entre empresas do mesmo grupo econômico para fins negociais, como a loja de departamentos e a agência de viagem do mesmo grupo. Em todas essas hipóteses, o compartilhamento deverá ser autorizado expressamente e informado ao titular de dados pessoais. Existe previsão legal de que o titular seja informado e dê seu consentimento para a utilização de seus dados pessoais para finalidades previstas na lei. Porém, quando se tratar de compartilhamento de dados pessoais, o consentimento deve ser informado e específico. No preenchimento de documentos de autorização, em meio físico ou digital, a existência de dois campos específicos de consentimento poderá suprir o problema: um campo para que o titular autorize o tratamento de dados pessoais e um campo específico para que ele autorize o compartilhamento de dados. 147 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO 5.6 Direitos do titular de dados pessoais A LGPD especifica direitos que o titular de dados pessoais possui e que deverão ser respeitados por todos os que trabalhem com tratamento de dados. O princípio que rege esse direito é o do livre acesso, o que significa que o titular de dados poderá requerer informações a respeito de seus dados pessoais sempre que desejar, sem precisar justificar as razões do pedido. Esse é, aliás, o direito mais importante que o titular de dados pessoais possui: o acesso facilitado às informações sobre o tratamento de seus dados. As informações solicitadas pelo titular de dados pessoais deverão ser prestadas de forma clara, adequada e ostensiva sobre: • Finalidade específica do tratamento: objetivo que motivou o tratamento dos dados. • Forma e duração do tratamento, observados os segredos comercial e industrial: de que maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento poderá preservar os segredos comercial e industrial de sua atividade, porém, precisará informar quais instrumentos irá utilizar para tratamento de dados. • Identificação do controlador: responsável pelas decisões. • Informações de contato do controlador: de que forma o titular de dados pessoais poderá ter contato com o controlador (acesso por telefone gratuito, como 0800, por endereço eletrônico, por aplicativo de mensagens ou outros meios devidamente informados para o titular de dados pessoais). • Informações acerca do uso compartilhado de dados pelo controlador e finalidade: é preciso informar se haverá compartilhamento de dados, com quem e com qual finalidade. • Responsabilidades dos agentes que realizarão o tratamento: quem serão os responsáveis pelo tratamento dos dados pessoais. • Direitos do titular: a LGPD tem um artigo específico – artigo 18 – para tratar de direitos dos titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o controlador da empresa que trata seus dados pessoais, terá direito a receber informações sobre o conjunto de direitos elencados no artigo 18 da LGPD. O objetivo é que os agentes de dados da empresa – controlador e operador –, bem como todos aqueles que atuam na equipe, estejam aptos a fornecer informações corretas e esclarecer sobre direitos do titular de dados pessoais. A resposta à consulta feita pelo titular de dados pessoais deverá confirmar ou negar a existência de dados pessoais e ser redigida de forma simples, clara e completa, que permita a imediata compreensão da origem dos dados pessoais, a finalidade do tratamento ou a inexistência. 148 Unidade III A resposta deverá ser fornecida para o titular de dados no prazo máximo de 15 (quinze) dias contados da data do requerimento do titular. Em caso de existência de dados, a resposta deverá especificar quais são os dados pessoais que estão cadastrados. A falta de cumprimento desse prazo poderá ensejar aplicação de sanções, como multa. Por isso, é fundamental que as pessoas naturais ou jurídicas, públicas ou privadas, que operam com dados pessoais estejam organizadas para que seus fluxos de gestão permitam atender corretamente o prazo fixado em lei. A informação solicitada pelo titular de dados pessoais poderá ser fornecida por meio eletrônico, seguro e idôneo para essa finalidade, ou na forma impressa. A escolha da forma da resposta será do responsável pelo tratamento de dados, sempre respeitados os limites de acessibilidade do titular de dados pessoais. Assim, se um titular de dados pessoais declarar expressamente que não possui acesso a computador ou a aparelho de celular com acesso à rede mundial de computadores, o responsável pelo tratamento de dados não poderá fornecer informações por meio eletrônico, porque o titular dos dados pessoais não conseguirá acessar a resposta. Nos casos em que o tratamento de dados pessoais tiver origem no consentimento do titular ou em um contrato, como ocorre nos contratos de seguros, planos de saúde ou bancos, o titular terá direito de solicitar cópia integral de seus dados pessoais, respeitados os segredos comercial e industrial que fundamentam a operação da empresa que utiliza os dados pessoais em sua atividade. O titular de dados pessoais poderá solicitar revisão de decisões tomadas com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive aquelas que criaram seu perfil pessoal, profissional, de consumo, de crédito ou de aspectos de sua personalidade, conforme determina o artigo 20 da LGPD. Assim, se uma empresa resolver não fornecer crédito com base em dados pessoais do titular e este tiver motivos para pedir a revisão da decisão, poderá fazê-lo com a apresentação de argumentos ou de novos dados que levem à conclusão de que a decisão está equivocada. Muitas empresas, na atualidade, já utilizam o instrumento da inteligência artificial, que são programas de computadores que, a partir da análise dos dados disponíveis, definem características de grupos ou de pessoas. Esses programas analisam dados de consumo, de opção por entretenimento (viagens ou lazer), dados de crédito e bancários, e criam perfis que são utilizados para novos produtos ou serviços que serão oferecidos aos titulares dos dados pessoais; ou, ainda, indicam opções que não deverão ser oferecidas, porque não são de interesse daquele grupo ou daquela pessoa em particular. Se o titular de dados pessoais tiver elementos que permitam solicitar a mudança do perfil automatizado, ele poderá solicitar que isso seja feito, mas apenas para os perfis construídos de forma automatizada, por instrumentos semelhantes à inteligência artificial. O artigo 18 da LGPD determina que são direitos dos titulares de dados pessoais: • Confirmação da existência de tratamento de dados pessoais. • Acesso aos dados pessoais que estão sendo tratados. 149 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO • Correção de dados incompletos, inexatos ou desatualizados. • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD. • Portabilidade dos dados a outrofornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação que será criada pela Autoridade Nacional. • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses em que a LGPD prevê a conservação dos dados (artigo 16). • Informação das entidades públicas e privadas com as quais o controlador fez uso compartilhado de dados. • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa. • Revogação do consentimento. É importante lembrar que o titular de dados pessoais tem direito a revogar seu consentimento, e, se isso ocorrer, o contrato formalizado entre as partes poderá ser rescindido, se os dados pessoais forem essenciais para a correta formalização do instrumento contratual. Também se o titular não quiser informar dados pessoais relevantes para a operação comercial, ou se, tendo informado, quiser revogar o consentimento, o contrato poderá ser rescindido de pleno direito. Nessa situação, no entanto, o operador de dados deverá demonstrar que os dados pessoais são essenciais para a concretização do contrato ou do negócio jurídico. Dados pessoais são essenciais para a formalização de muitos contratos, como os bancários, de financiamento, de seguros, de crédito pessoal, de cartão de crédito, com operadoras de planos de saúde, operadoras de saúde, serviços de internet, entre tantos outros. Por essa razão, é importante que os agentes de tratamento de dados informem o titular dos dados pessoais sobre as consequências de não fornecer o consentimento para o tratamento. Em muitos contratos, a falta de fornecimento de dados pessoais inviabilizará a realização do contrato ou, se concedida a autorização e depois revogada, ensejará a rescisão do contrato sem ônus para o fornecedor de produtos ou serviços, diante da inviabilidade de prosseguir com as obrigações oriundas do instrumento contratual sem os dados pessoais essenciais do titular e contratante. Outro aspecto importante é que o titular dos dados pessoais não pode abusar de seu direito de pedir informações sobre os dados pessoais que estão sendo tratados. Essa é uma hipótese típica do artigo 187 do Código Civil brasileiro, que determina que comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes. 150 Unidade III Se o titular de dados pessoais fizer um grande número de consultas, de forma excessiva e claramente sem finalidade, poderá ser responsabilizado por seus atos com fundamento no disposto no Código Civil, por haver caracterizado a conduta abusiva no exercício de direitos. O pedido para acesso aos dados pessoais poderá ser feito pelo próprio titular ou por um representante legalmente autorizado. O requerimento feito pelo titular de dados pessoais, ou por seu representante legal, não poderá ser objeto de cobrança de nenhum valor e, exatamente por isso, não poderá ser solicitado de forma excessiva ou sem finalidade justificada. Caso o pedido para verificação de dados não seja atendido de imediato pelos agentes de tratamento de dados, o titular de dados pessoais ou seu representante legal poderá comunicar o fato à ANPD ou aos órgãos de proteção e defesa do consumidor pertencentes ao SNDC, do Ministério da Justiça. 5.7 Agentes de tratamento de dados pessoais e responsabilidades 5.7.1 Agentes de tratamento A LGPD determina que o controlador e o operador designados pela pessoa natural ou jurídica, de direito público ou privado, deverão manter o registro das operações de tratamento de dados pessoais que realizarem, principalmente quando esse tratamento for fundamentado em legítimo interesse, como ocorre com os setores empresariais – bancos, financeiras, seguradoras, operadoras de saúde, hospitais, clínicas, laboratórios de exames –, que precisam manter dados pessoais arquivados para cumprimento de disposições das leis que regem suas atividades e de seus órgãos reguladores – Banco Central, Superintendência de Seguros Privados, ANS, Anvisa, entre outros. As atividades de controlador e operador poderão ser objeto de relatório solicitado pela ANPD, inclusive em relação a dados sensíveis, e o relatório deverá conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Sendo necessárias, outras informações poderão ser solicitadas pela ANPD no exercício de sua atividade regulamentadora e fiscalizadora. O operador de tratamento de dados pessoais é a pessoa encarregada de realizar o tratamento em conformidade com as instruções do controlador. Por essa razão, cabe ao próprio controlador verificar se suas instruções estão sendo cumpridas corretamente e, principalmente, se estão adequadas ao que determina a legislação. O controlador também tem a responsabilidade de indicar quem será o encarregado pelo tratamento de dados pessoais, fornecer os dados sobre sua identidade e todas as informações para que seja possível o contato de forma pública, preferencialmente pelo site do controlador. Pela LGPD, as principais atividades do encarregado são: 151 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. • Receber comunicações da autoridade nacional e adotar providências. • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. • Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares que venham a ser criadas, principalmente pela ANPD. 5.7.2 Responsabilidade dos agentes de tratamento de dados pessoais As atividades do controlador e do encarregado poderão gerar responsabilidades e, consequentemente, a obrigação de reparar danos materiais e imateriais dos quais forem vítimas os titulares de dados pessoais. As duas principais causas de danos para tratamento de dados pessoais são: • Deixar de observar as determinações da LGPD. • Tratar dados sem segurança técnica adequada para a finalidade a que se destina. Os agentes de tratamento de dados pessoais – ou qualquer outra pessoa autorizada por eles que seja responsável pelo tratamento de dados pessoais – têm obrigação de garantir a segurança da informação em todas as fases, o que inclui responsabilidade mesmo após o término da finalidade que dava sustentação ao tratamento. O operador responderá solidariamente pelos danos que causar aos titulares de dados pessoais nos casos em que comprovadamente não cumprir as determinações da lei ou as instruções do controlador. O controlador, por sua vez, responderá solidariamente quando estiver diretamente envolvido no tratamento de dados do qual resultaram danos para o titular. Responsabilidade solidária é um instituto de direito civil que determina que todos os responsáveis por uma obrigação respondem juntos por ela, sem divisão em relação ao credor; e, quando um deles quitar integralmente, terá direito de se ressarcir dos demais devedores solidários em relação às suas cota-partes. Assim, se o prejuízo for no valor de dez mil reais, o controlador e o agente serão responsáveis perante o titular de dados prejudicado por esse valor integral. Se o controlador efetuar o pagamento, terá direito de se ressarcir de cinco mil reais em relação ao agente. O titular de dados pessoais terá, em seu benefício, o instituto da inversão do ônus da prova, previsto expressamente em favor do consumidor no CDC. É importante observar que não haverá responsabilidade em todas as situações comprovadas em que: 152 Unidade III • Os agentes não realizarem o tratamento de dados pessoais que lhes foi atribuído. • Embora os agentes tenham realizado o tratamento de dados pessoais, não ficar demonstrada aviolação da LGPD. • O dano alegado pelo titular de dados pessoais decorrer de sua ação exclusiva ou de terceiro que não tem nenhum relacionamento com os agentes de tratamento de dados pessoais; por exemplo, uma pessoa próxima do titular de dados, amigo ou parente, que houver utilizado indevidamente seus dados pessoais. A segurança no tratamento de dados pessoais é fundamental para que não ocorram hipóteses de responsabilidade a ser reparada por danos causados ao titular dos dados. Todos os dispositivos de segurança técnica deverão ser utilizados com a finalidade de proteger o tratamento de dados contra vazamento e outras possibilidades que causem prejuízos aos titulares. Nesse aspecto, a atividade do gestor de segurança da informação é essencial, e, quanto melhor preparado estiver esse profissional, melhor será o trabalho de todos, especialmente dos agentes de tratamento de dados pessoais. 5.8 Segurança no tratamento de dados Esse é um ponto fundamental para a nossa compreensão, porque os riscos para as pessoas físicas ou jurídicas, públicas ou privadas, que tratam dados pessoais têm aumentado muito nos últimos anos. Saiba mais Veja uma notícia sobre o vazamento de dados de usuários do Facebook. Vazaram fotos, vídeos, informações sobre amigos, músicas, reservas de voos e hotéis, entre outros dados importantes: 540 MILHÕES de dados de usuários do Facebook ficam expostos em servidores da Amazon. G1, 4 abr. 2019. Disponível em: https://g1.globo.com/ economia/tecnologia/noticia/2019/04/04/dados-de-540-milhoes-de-usuarios- do-facebook-ficam-expostos-em-servidor.ghtml. Acesso em: 9 jul. 2020. A LGPD determina que os agentes de tratamento – controlador e operador – deverão adotar as medidas de segurança, técnicas e administrativas para proteger os dados pessoais de: • acessos não autorizados; • situações acidentais ou ilícitas que possam causar destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito. Para tornar o tratamento de dados pessoais seguro para os titulares e agentes de tratamento, a ANPD poderá determinar padrões técnicos mínimos aplicáveis à natureza das informações tratadas, em especial com relação aos dados pessoais sensíveis. 153 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO 5.9 Comunicação imediata de riscos ou danos O controlador de tratamento de dados pessoais está obrigado por lei a comunicar à ANPD e ao titular dos dados pessoais todo o incidente de insegurança que potencialmente possa causar riscos ou danos relevantes aos titulares. Essa hipótese será aplicada apenas nos casos em que os riscos ou danos sejam relevantes, como nos de vazamentos de dados ou de acesso indevido feito por pessoas não autorizadas. A LGPD determina que a comunicação deverá ser feita em um prazo razoável, e, embora não haja estipulação do prazo em dias ou horas, é possível interpretar que esse prazo deverá ser estabelecido para cada situação concreta e aplicado sempre com critério de maior brevidade possível para transmissão da informação. Não é recomendável que seja tão rápido que a informação não seja confirmada, nem tão lento de forma que não seja mais possível tomar providências de gerenciamento de crise e prevenção de extensão de danos. Os agentes de tratamento de dados, ao prestarem informação à ANPD e ao titular dos dados pessoais sobre situações de risco ou de danos, deverão repassar obrigatoriamente os seguintes dados: • A descrição da natureza dos dados pessoais afetados. • As informações sobre os titulares envolvidos. • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial. • Os riscos relacionados ao incidente. • Os motivos da demora, no caso de a comunicação não ter sido imediata. • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Ao ter conhecimento da informação sobre riscos, a ANPD deverá avaliar a gravidade do fato ocorrido, levando em conta as medidas técnicas que tenham sido adotadas para tornar os dados ininteligíveis para terceiros não autorizados ao tratamento. Após a avaliação técnica, a ANPD poderá determinar as seguintes providências: • Ampla divulgação do fato em meios de comunicação. • Medidas para reverter ou mitigar os efeitos do incidente. 154 Unidade III 5.10 Boas práticas e governança A divulgação em meios de comunicação de grande circulação de riscos de vazamento de dados pessoais ou de acesso indevido, ou as notícias publicadas a esse respeito, representarão, quase sempre, um forte abalo à reputação da empresa que for obrigada a adotar essas medidas. Em áreas como bancos, cartões de crédito, financeiras, seguros, operadoras de saúde, laboratórios de exames clínicos, hospitais, escolas, universidades, clínicas médicas, entre outras semelhantes, o abalo reputacional provocará impacto negativo no vínculo de confiança, que é imprescindível para que o contratante escolha aquela empresa para contratar ou fazer negócios. Evitar os riscos aos dados pessoais é uma estratégia que todas as empresas deverão adotar com especial atenção e cuidado. Para que esse objetivo seja atingido, a LGPD determinou que regras para boas práticas e governança são imprescindíveis para os controladores e operadores de dados pessoais. As boas práticas e a governança terão regras construídas a partir da avaliação da natureza, do escopo, da finalidade, da probabilidade e da gravidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular. Determina a lei que as regras de boas práticas e de governança deverão estabelecer: • Condições de organização. • Regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares. • Normas de segurança. • Padrões técnicos. • Obrigações específicas para os diversos envolvidos no tratamento. • Ações educativas adotadas para os funcionários e prestadores de serviços das pessoas naturais ou jurídicas, públicas ou privadas, que utilizem tratamento de dados pessoais em suas atividades. • Mecanismos internos de supervisão e de mitigação de riscos. • Outros aspectos relacionados ao tratamento de dados pessoais. O controlador de dados pessoais avaliará a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos riscos que poderão ser causados aos titulares de dados pessoais, a fim de: • Implementar um programa de governança em privacidade. 155 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO • Demonstrar a efetividade de seu programa de governança em privacidade, a pedido da ANPD ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da LGPD. As regras adotadas pela empresa para boas práticas e governança na área de proteção de dados pessoais deverão ser publicadas e atualizadas periodicamente, e a ANPD poderá reconhecê-las e divulgá-las quando necessário. 5.11 Sanções aplicáveis aos agentes de tratamento de proteção de dados Determina a LGPD que, em razão das infrações cometidas por falta de cumprimento da lei, os agentes de tratamento de dados pessoais ficarão sujeitos a sanções, que poderão ser: • Advertência: com indicação de prazo para adoção de medidas corretivas. • Multa simples: de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. • Multa diária: observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais). • Publicização da infração: após devidamente apurada e confirmada a sua ocorrência. • Bloqueio dos dados pessoais: até a regularização. • Eliminação dos dados pessoais: somente os que tiverem sido a causa da infração. A ANPD promoverá processo administrativo para garantir a ampladefesa dos agentes de tratamento de dados pessoais, e só após a decisão do processo administrativo é que serão aplicadas as sanções, de forma gradativa, isolada ou cumulativa e de acordo com as particularidades de cada caso concreto. Para fixação da sanção, serão levados em conta, obrigatoriamente, os seguintes critérios: • Gravidade e natureza das infrações e dos direitos pessoais afetados. • Boa-fé do infrator. • Vantagem auferida ou pretendida pelo infrator. • Condição econômica do infrator. • Reincidência. • Grau do dano. 156 Unidade III • Cooperação do infrator. • Adoção de mecanismos de prevenção e minimização dos danos. • Política de boas práticas e governança. • Pronta adoção de medidas corretivas. • Proporcionalidade entre a gravidade da falta e a intensidade da sanção. É importante ressaltar que a LGPD não exclui a aplicação de sanções administrativas, civis ou penais definidas no CDC e em outras leis específicas sobre o tema da proteção de dados pessoais. Essas sanções poderão ser cumuladas com aquelas aplicadas pela LGPD, o que poderá representar um forte impacto negativo para as empresas, além do prejuízo para sua reputação. O valor arrecadado com as multas não se destina às vítimas de danos, mas ao Fundo de Defesa dos Direitos Difusos, que utilizará para a efetivação de projetos de educação e proteção nas áreas de meio ambiente, direitos do consumidor, proteção do patrimônio cultural, artístico e histórico, entre outras. Observação O Google foi multado pela Comissão Nacional de Informática e Liberdade (CNIL), órgão regulador francês para a área de privacidade. O valor da multa foi de 50 milhões de euros, e a infração foi caracterizada como: falta de transparência, informação insatisfatória e falta de consentimento válido para a personalização da publicidade. A multa foi aplicada com fundamento no RGPD da União Europeia e ficou conhecida como um dos primeiros casos em que esse regulamento foi aplicado. Saiba mais Leia mais em: GOOGLE multada em 50 milhões por violar RGPD em França. Dinheiro Vivo, 21 jan. 2019. Disponível em: https://www.dinheirovivo.pt/empresas/ google-multada-em-50-milhoes-de-euros-por-violar-rgpd-em-franca/. Acesso em: 31 maio de 2020. 157 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO 5.12 Autoridade Nacional de Proteção de Dados (ANPD) A ANPD é um órgão da administração pública federal vinculado à Presidência da República e tem várias competências estabelecidas pela lei. Entre elas, as mais relevantes são: • Zelar pela proteção dos dados pessoais, nos termos da legislação. • Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos da LGPD. • Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. • Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. • Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança. • Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade. • Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis. • Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional. • Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial. • Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD. • Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à LGPD. • Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento. 158 Unidade III • Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos. • Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento. • Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD. A ANPD atuará como órgão regulador e fiscalizador de todos os setores econômicos que atuem com tratamento de dados e será mais uma entidade administrativa à qual todos os que trabalham com dados pessoais deverão se reportar. A LGPD prevê, ainda, a criação de um Conselho Nacional de Proteção de Dados Pessoais e Privacidade, que terá 23 representantes, escolhidos entre membros do Legislativo, Executivo, Judiciário, Ministério Público, instituições científicas, sociedade civil, representação sindical, entre outros. 5.13 Tratamento de dados sensíveis e de dados de crianças e adolescentes Os dados pessoais sensíveis e os dados pessoais de crianças e adolescentes mereceram cuidados especiais que foram definidos na LGPD. 5.13.1 Dados pessoais sensíveis Dados sensíveis foram definidos pela própria LGPD como dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Como vimos, são dados que uma pessoa nem sempre deseja compartilhar, nem mesmo tornar conhecido para outras pessoas ou empresas, mas que, por alguma razão relevante, isso se torna necessário. O adjetivo “sensível” impõe que os dados pessoais sejam tratados com muito mais cuidado pelas pessoas naturais ou jurídicas, públicas ou privadas, porque o vazamento de dados poderá provocar danos gravíssimos. A professora Laura Schertel Mendes, a respeito de dados sensíveis, afirma: [...] parece haver um consenso de que o tratamento de dados sensíveis acarreta riscos, e, portanto, merece uma atenção especial do legislador. Mas quais são, de fato, os dados sensíveis e por que eles precisam de maior proteção? [...] 159 LEIS, POLÍTICAS E NORMAS DE SEGURANÇA DA INFORMAÇÃO Embora as listas variem de país para país, há várias categorias que se repetem, como os dados relativos à origem racial, vida sexual e convicções religiosas e políticas. Desse modo, para fins de sistematização dogmática, pode-se afirmar que a categoria dos dados sensíveis está relacionada à percepção de que o armazenamento, o processamento e a circulação de alguns tipos de dados podem se constituir em um risco maior à personalidade individual, especialmente se utilizados com intuito discriminatório. Os dados referentes a raça, opção sexual, saúde e religião são exemplos desse tipo (MENDES, 2014, p. 73). Para que fique ainda mais claro, vamos aprender com a lição do professor Danilo Doneda, um dos melhores pesquisadores na área de proteção de dados que temos no Brasil, que afirma: [...] a prática do direito da informação deu origem à criação de uma categoria específica de dados, a dos dados sensíveis. Estes seriam determinados tipos de informação que, caso sejam conhecidas e processadas, prestar-se-iam a uma potencial utilização discriminatória ou particularmente lesiva
Compartilhar