preloader
Português
Your address will show here +12 34 56 78
Legislação, LGPD
O direito digital é uma área que tem ganhado cada vez mais espaço e importância para empresas e dentro do mundo jurídico em geral.

Por isso, independente de trabalhar diretamente com a área ou não, é importante conhecer alguns conceitos principais.

Listamos abaixo 6 conceitos básicos para quem se interessa pela área. No entanto, lembramos que quem quer realmente se especializar na área deve se aprofundar muito mais em cada um dos itens.

Isso porque o mundo digital é muito novo, complexo e diferente de tudo que o direito está acostumado a lidar.

Para o profissional, será preciso entender a fundo questões técnicas da tecnologia e outras áreas com as quais talvez não tenha tanta afinidade hoje.

Marco Civil da Internet

O Marco Civil da Internet é relevante porque foi a primeira legislação pensada para regular o mundo digital. Todo profissional do direito digital deve conhecer essa legislação fundamental.

Quanto ao compliance, é também imprescindível conhecer a fundo, visto que sua obrigação é primariamente manter a empresa em conformidade com as leis.

O que diz o Marco Civil da Internet?

O Marco Civil aborda tópicos gerais, como direitos básicos dos usuários da internet e liberdade de expressão. Por exemplo:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

IV – não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

Etc.

A lei também aborda a proteção de dados pessoais de forma superficial:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

LGPD

A LGPD é outra legislação muito relevante para o direito digital, e principalmente para o compliance.

A Lei Geral de Proteção de Dados Pessoais aprofunda questões abordadas no Marco Civil. É específica em relação ao uso de dados pessoais em meios digitais, e é um guia de como empresas devem atuar nesse meio e dos direitos dos usuários.

Apresentou diversos novos termos e profissionais, como o DPO, que devem ser de interesse de qualquer profissional que deseja trabalhar na área.

O uso dos dados pessoais vai nortear a atuação de empresas nos mais diversos setores, e são um altíssimo risco não só de non-compliance para a empresa, mas também de processos e outros problemas jurídicos.

Direitos autorais

Outro conceito que ficou muito mais complexo com o mundo digital é o de direitos autorais. Com a demora em regular a internet, o espaço digital se tornou um “buraco negro” de produção e reprodução de conteúdo sem muitos limites.

Não existe uma legislação específica que ajude a entender qual o limite do direito atual especificamente no mundo digital. Existe apenas a Lei de Direitos Autorais, aplicável a qualquer circunstância.

No entanto, sabemos que as coisas não costumam ser simples assim na internet. Muitas vezes é difícil encontrar o autor de algum conteúdo, o caminho que percorreu, e mais difícil ainda iniciar algum processo contra o autor.

O que diz a Lei de Direito Autoral?

A única indicação de que a lei deve ser seguida da mesma forma para os meios digitais e não digitais é:

Art. 7º
São obras intelectuais protegidas as criações do espírito, expressas por qualquer meio ou fixadas em qualquer suporte, tangível ou intangível, conhecido ou que se invente no futuro

É possível notar que o trecho não é especialmente específico, e que a realidade do mundo material é diferente do digital.

Por isso, o profissional de direito digital precisa usar criatividade e cautela na hora de orientar sobre o tema, criar salvaguardas e navegar casos envolvendo esse conceito em geral dentro de empresas. 

Negócios digitais

Outro motivo de preocupação e estudo para os profissionais do direito digital são os negócios digitais. Esses negócios podem ser e-commerces, startups, aplicativos e outras empresas que possuem atuação total ou muito presente no digital.

Esse tipo de negócio introduz uma série de questões novas e difíceis de navegar devido à incerteza, falta de legislação ou regulamentação e falta de jurisprudência. Alguns exemplos são:

  • Direitos do consumidor
  • Limites da inovação
  • Transações financeiras online
  • Proteção de dados


Internet das coisas

A Internet das Coisas, ou IOT (Internet of Things) é uma área da tecnologia que liga a internet a outros objetos, principalmente dentro de casas. Essas seriam as “Smart Houses”, ou casas inteligentes.

Com esse tipo de tecnologia, é possível fazer compras de supermercado usando uma tela na geladeira, ligar o aquecedor antes de chegar em casa usando um smartphone, acionar sistema de segurança à distância, etc.

Como é uma tecnologia recente, também não há muito regulação nem experiência com o tema. O grande perigo digno de atenção dos profissionais do direito digital é o cuidado e a atenção com o avanço da internet das coisas, potenciais usos e problemas e como o uso vai se desenrolar.

Compliance e direito digital

E onde o compliance entra nisso tudo? A missão principal do compliance é eliminar os riscos regulatórios das empresas.

Por isso, uma função do compliance digital que utiliza esses conceitos do direito digital é conhecer bem todas as legislações relacionadas.

Isso inclui entender todas essas regulações, mas também perceber onde há a falta dela, como na IOT, por exemplo.

Nesses casos, o compliance deve se antecipar às leis que com certeza virão com o tempo, como a LGPD, e criar processos e políticas que norteiem a empresa de acordo com a ética e boas práticas.

Assim, estarão mais preparados para a contínua e cada vez maior regulamentação do meio digital.
0

Legislação, LGPD
No geral, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a General Data Protection Regulation (GDPR) são muito próximas. Afinal, a lei brasileira foi baseada na europeia. No entanto, existem algumas diferenças e considerações importantes para profissionais do compliance entenderem.

Abrangência


O principal fator, e o mais óbvio, é que, por ser uma legislação europeia, a princípio é referente a mais países. No entanto, a LGPD também foi razoavelmente abrangente no que diz respeito a quem pode ser afetado por ela.

Essa lei afeta todos aqueles que possuam alguma etapa do processo de tratamento de dados no Brasil. Ou seja, mesmo que a empresa seja do exterior, se o titular dos dados for brasileiro, a Lei se aplica a ela.

Já a GDPR é semelhante. Todas as empresas que tenham alguma parte do processo de tratamento dos dados na União Europeia terão que se adequar às normas dela. Ou seja, empresas brasileiras agora precisam se preocupar com a LGPD, e a GDPR se eles forem o detentor dos dados, o controlador ou o titular.

O texto

O texto das leis também é muito parecido. A grande diferença é que a LGPD é muito mais curta e muito menos específica. Por exemplo, a GDPR usa exemplos para explicar situações enquanto a LGPD deixa cenários mais abertos.

Outra coisa deixada em aberto pela lei brasileira é o prazo para entregar solicitações à autoridade competente (no nosso caso, a ANPD, provavelmente). Ela simplesmente diz “em um prazo razoável”. Já a Lei Europeia especifica que a entrega deve ser feita em, no máximo, 72 horas.

Quando o tratamento de dados é considerado legal?

Outra diferença importante que costuma ser citada é as hipóteses de legalidade. São os momentos em que é considerado legal fazer o tratamento de dados, independente das considerações da lei. 

Hipóteses de legalidade LGPD:

  • Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador.
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
  • Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
  • Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
  • No exercício regular de direitos em processo judicial, administrativo ou arbitral.
  • Para a proteção da vida ou da integridade física (do titular ou de terceiro).
  • Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
  • Para a proteção do crédito.

Na GDPR, as hipóteses de legalidade são as mesmas, tirando a última, em situações de proteção de crédito.

Faço meu programa de compliance digital baseado na GDPR ou na LGPD?

Como vimos, a GDPR é mais rígida e bem detalhada do que a LGPD. Além disso, empresas brasileiras em muitos casos terão que estar em compliance com a GDPR também. Por isso, recomendamos basear a atuação e os processos da sua empresa na legislação europeia.
No entanto, não deixe de conhecer bem a brasileira, porque ela pode conter algumas pequenas particularidades.
0

Legislação, LGPD
Decidimos reunir uma lista de termos e destaques para ajudar a entender melhor o que é a LGPD. O conteúdo é baseado em material feito por Marcos Sêmola, sócio da Ernst & Young para Cybersecurity.

Sobre a LGPD

A Lei se aplica a: Empresas estabelecidas no Brasil e empresas que ofereçam serviços a brasileiros.

A Lei não se aplica a: Dados corporativos e de negócio, dados para fins particulares e não econômicos e dados para fins jornalísticos, artísticos, acadêmicos, penais, investigativos, e de segurança pública.

Termos

Dado pessoal: Informação relacionada à uma pessoa natural identificada ou identificável;

Dado pessoal sensível: Raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico ou dados de crianças;

Dado anonimizado: Aquele cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Uma vez anonimizado, o dado não é mais considerado pessoal salvo quando o processo de anonimização puder ser revertido;

Estado dos dados: Podem ser: em uso, em movimento, em nuvem, em repouso, estruturados e não estruturados;

Tratamento de dados pessoais: Se refere à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados;

Titular do dado: Pessoa natural que detém direitos estabelecidos pela LGPD sobre seus dados pessoais;

Controlador do dado: Pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais;

Operador do dado: Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

Siglas:

ROPA (Record of Processing Activities) – Registro de operações: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem desde a sua coleta até a sua exclusão, indicando quais dados serão coletados, sua base legal, finalidades, tempo de retenção, e as práticas de segurança;

DPIA (Data Protection Impact Assessment) – Relatório de impacto: Ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD.

É a documentação com as atividades de tratamento de dados que podem gerar riscos aos titulares, bem como informações sobre a implementação de medidas de mitigação de danos;

ANPD (Autoridade Nacional de Proteção de Dados): É uma autoridade pública federal independente estabelecida para supervisionar e fiscalizar a execução da Lei Geral de Proteção de Dados (13.709/2018).

Deverá funcionar da mesma forma que outras agências reguladoras, podendo estabelecer diretrizes para a proteção de dados pessoais no Brasil.

Será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

Enquanto a ANPD não estiver formada, o decreto que estrutura a ANPD ainda pode sofrer alterações. Até aqui, ele traz três eixos temáticos: normatização, educação e articulação institucional, e fiscalização e supervisão;

DPO (Data Protection Officer): Pessoa física ou jurídica nomeada pelo controlador, que atuará como um canal de comunicação entre o controlador, os titulares dos dados e a autoridade de proteção de dados (no caso do Brasil a ANPD).
2

Legislação, Programa de Integridade
O assédio em geral é uma prática, infelizmente, corriqueira nas empresas. Funcionários estão mais do que familiarizados com os sintomas: isolamento, sensação de inutilidade, ansiedade, e muito mais.

É um mal que chega a atingir até a saúde física. Então como nada é feito para evitar? Como ainda é tão comum nas empresas? Afinal, assédio moral é crime?

A boa notícia é que depois de 17 anos, o projeto de lei que tipifica o assédio moral no trabalho como um crime no Código Penal finalmente foi aprovado pela Câmara dos Deputados. No entanto, ainda falta ser aprovada no senado.

A Lei

De acordo com o projeto de lei, o assédio moral é definido como “ofensa reiterada da dignidade de alguém que cause danos ou sofrimento físico ou mental no exercício do emprego, cargo ou função”. A pena é detenção de um a dois anos e multa. Essa pena pode ser agravada em até um terço se a vítima for menos de 18 anos.

É importante lembrar que o assédio nem sempre ocorre de patrão para funcionário. Pode, e muitas vezes é, entre funcionários. E, apesar de mais raro, pode até ser de funcionário para patrão. Veja abaixo os 4 tipos de assédio no trabalho.

• Assédio moral vertical descendente: quando o colaborador em nível hierárquico mais alto pratica a violência contra subordinados
• Assédio moral vertical ascendente: quando o subordinado pratica o assédio contra seu superior
• Assédio moral horizontal: praticado por colaboradores em mesmo nível hierárquico, não havendo relações de subordinação
• Assédio moral misto: quando há um assediador vertical e horizontal. O assediado é atingido por todos, desde colegas de trabalho até gestores.

Assédio em empresas

Recentemente, o Grupo de Planejamento fez uma pesquisa sobre assédio em uma das áreas mais notórias em relação ao ambiente de trabalho, as empresas de comunicação. Foram entrevistados 1400 funcionários em São Paulo e os números foram ainda maiores do que já se esperava. Ao serem perguntados, 100% responderam não só que existe assédio na empresa, como é comum. E além disso, 90% das mulheres já tinham sofrido algum tipo de assédio (moral ou sexual). Entre os homens, o número também era alto: 76%.


o que é assédio sexual?

Compliance e o combate ao assédio

Mas essas práticas não são de longe algo restrito às empresas de comunicação. Ao que tudo indica, o assédio moral vai se tornar crime. Por isso, todas as empresas vão precisar mais do que nunca se atentar a estratégias para evitar esse tipo de comportamento. O Compliance sempre inclui em suas políticas e campanhas o esforço por um ambiente saudável de trabalho e o combate a assédio, por exemplo.

Uma das principais ferramentas para isso é o Canal de Denúncias. No estudo citado antes, apenas 5% dos funcionários sabiam que existia um canal em que poderiam denunciar, ou como deveriam fazer para denunciar. Não é coincidência que o percentual de ocorrências era tão alto, quando o incentivo à denúncia era tão baixo. Dentre as denúncias no Brasil, práticas abusivas como assédio são a principal atividade reportada. E o assédio moral ainda é a mais recorrente dessas práticas, com 82%

O Compliance sempre terá um papel na manutenção do ambiente do trabalho, e no que diz respeito à conformidade com leis. Teste gratuitamente o nosso novo Canal de Denúncias e veja como ele pode se encaixar na sua empresa.
0

Legislação
Um dos objetivos do livro “Responsabilidade penal de dirigentes de empresas por omissão” é fazer uma reflexão sobre o papel da alta administração e das posições de gerência no combate à corrupção nas empresas. Na responsabilidade penal omissiva, um gestor é considerado responsável pelas ações de seus subordinados. Por exemplo, um gestor ou diretor deve ter ciência do que seu subordinado faz, faz parte de seu trabalho. E, se este subordinado cometer um ato corrupto, é dever desse gestor tomar ações preventivas para evitar este comportamento. Se não, ele pode ser sujeito a uma responsabilidade penal por omissão.

A fragmentação natural da gestão nas empresas, usada para organizar e aumentar a eficiência da produção, aumenta o número de possíveis responsáveis. Setores dialogam cada vez mais, e por isso, mesmo que tenham pouco controle sobre certas atividades, diferentes membros herdam uma responsabilidade pela preservação da integridade na empresa e seus diferentes setores.  Por isso, é importante a empresa se adaptar para que sua estrutura não se torne um ônus em desfavor de terceiros que podem ter seus bens jurídicos afetados pelas atividades criminosas dentro da empresa.

“Todos aqueles com controle sobre atividades da empresa, ainda que parcial, têm o dever de agir para evitar a prática de crimes”

O livro também tem por objetivo pontuar aos dirigentes das empresas quando e por que eles podem ser sujeitos à uma responsabilidade por omissão. É um importante passo para a estruturação de um programa de compliance, por exemplo. Mesmo ainda engatinhando, o debate sobre o papel da alta direção e posições de gerência no combate a práticas ilícitas está cada vez mais presente na realidade das empresas. Isso fica evidente com o crescimento exponencial de setores de compliance e da profissão do Compliance Officer. Com eles, ficamos mais próximos de um ambiente corporativo anticorrupção mais integrado e profissionalizado.

*Heloisa Estellita é Doutora em Direito Penal pela Universidade de São Paulo, Professora da Escola de Direito de São Paulo da Fundação Getúlio Vargas e parecerista.
0

Legislação

Com o Decreto 8.420/2015 completando 3 anos neste mês de marco, há muito o que falar sobre o avanço dos programas de compliance ao longo deste período. O que começou muito tímido, com desconfiança sobre a efetiva aplicabilidade e necessidade de um programa, hoje tornou-se quase um mantra nas empresas e um desafio para os profissionais da área. A importância que o compliance tomou foi favorecida, principal e infelizmente, pelos recorrentes casos de corrupção, que provocaram mudanças positivas no ambiente de negócios.

Palavras como ética e integridade nunca foram tão utilizadas nas empresas. Dentre os diversos elementos de um programa de compliance, vamos focar, particularmente, na evolução da documentação dos programas. O primeiro e mais importante documento do programa de compliance é o Código de Ética e Conduta da organização. A tendência mais moderna é que os Códigos de Ética contenham a palavra do Presidente, princípios e valores da companhia, breve descrição dos direitos, obrigações e vedações aos funcionários, além dos contatos do Canal de Denúncias.

O Código de Ética e Conduta representa, então, um guia macro de regras e comportamentos específicos para cada empresa, ao qual todos os funcionários, do mais alto até o mais baixo escalão, devem aderir e entender para que a empresa trilhe um caminho ético e integro nos seus negócios. As demais políticas e procedimentos integrantes do programa de compliance, irão detalhar o Código de Ética e Conduta e complementá-lo.

Mas quais as políticas e procedimentos são necessárias ou suficientes para um programa de compliance? Não há uma resposta única a essa questão. As políticas visam prevenir, detectar e remediar riscos, assim, cada empresa deve avaliar previamente os riscos a que está exposta e desenvolver políticas e procedimentos que possibilitem o endereçamento dos mesmos. Isso significa que, uma empresa que não participa de licitações, por ex., não requer a criação de uma política que trate do assunto. Por outro lado, deve implementar uma política de contratação de terceiros, haja vista que toda a empresa se relaciona com fornecedores.  

Isto posto, toda a documentação do programa deve obedecer algumas regras, quais sejam:

  • ser escrita de forma clara e objetiva;

  • usar linguagem simples, sem dupla interpretação;

  • envolver, no processo de criação, as áreas que deverão cumprí-la (isso gera maior comprometimento);

  • observar um modelo padrão definido pela empresa e pelas melhores práticas;

  • ser aprovada no nível hierárquico mais alto da administração.

 Uma vez esse processo completado, as políticas ainda devem ser devidamente divulgadas, os funcionários e /ou terceiros treinados, implementado um sistema de monitoramento que permita mensurar e comprovar o alcance e eficácia das mesmas e, estar sujeitas a um processo periódico de revisão. Apenas com todas essas medidas implementadas é que se pode cogitar da eficácia deste quesito no programa de compliance.  

Morgana Casagrande, advogada e consultora de Compliance no Mota, Ferraz, Pinho, Almeida & Associados. Foi gerente de compliance do Comitê Organizador dos Jogos Olímpicos Rio 2016. É Certified Compliance and Ethics Professional – International (CCEP-I) pela Society of Corporate Compliance and Ethics.


0

POSTS ANTERIORESPage 1 of 2SEM NOVOS POSTS