Português
  • Português
Your address will show here +12 34 56 78
Legislação
A Lei Geral de Proteção de Dados – LGPD ( Lei nº 13.709/2018) é uma realidade no Brasil. No momento em que a sociedade está cada vez mais digital, ela atribui responsabilidades às empresas e garante mais segurança aos cidadãos.

A LGPD determina como devem ser tratados os dados pessoais de consumidores, funcionários e parceiros coletados pelas empresas. A lei foi criada em 2018, mas garantiu o prazo de dois anos para que as organizações pudessem se adaptar.

As empresas que prezam pela conformidade à legislação já vivem esse processo, afinal, a relação entre o compliance e a LGPD é intrínseca. Hoje, todas as ações de uma empresa devem considerar a proteção de dados.

Portanto, vivemos agora uma fase de consolidação. É o momento de aprimorar as técnicas e garantir que a lei seja colocada em prática com eficiência. E, para isso, mais do que nunca, as empresas precisam investir em tecnologia.

A anonimização dos dados é uma estratégia que vem sendo cada vez mais utilizada por empresas do exterior para aumentar a segurança no tratamento dos dados. Mas será que essa técnica pode contribuir para a eficiência da LGPD no Brasil?

Reunimos as principais informações sobre a anonimização de dados nesse post. Confira!

Quais são os dados pessoais recolhidos por empresas?

A LGPD define como dado pessoal qualquer “informação relacionada à pessoa natural identificada ou identificável”.

Portanto, o dado pessoal é aquele que permite identificar diretamente o titular ou, em conjunto com outras informações, torna o indivíduo identificável.

Dentre eles, podemos citar:

  • Nome;
  • Data de nascimento;
  • Gênero;
  • Filiação;
  • Endereço;
  • E-mail;
  • Telefone;
  • RG, CPF e outros documentos;
  • Dados bancários (Agência, conta, número do cartão e outras informações).


 

Por que as empresas coletam dados pessoais?

Para as empresas, esse tipo de informação é fundamental para:

  1. entender o comportamento do público-alvo e traçar estratégias de marketing;
  2. ter o feedback sobre como foi a experiência do consumidor após uma compra ou prestação de serviços;
  3. realizar operações do dia a dia, como pagamento e entrega de produtos.
  4. quando integram o setor financeiro: os bancos e instituições financeiras lidam com uma quantidade de informações pessoais ainda maior e mais sensíveis. Isto porque para a abertura de uma conta bancária, a aprovação de crédito – seja empréstimo, financiamentos ou cartões – e outras ações, é necessária a apresentação de diferentes documentos.

O que é a anonimização de dados

De acordo com a LGPD, a anonimização pode ser compreendida como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.”

Na prática, isto significa que o dado não permite mais a identificação do titular. Desta forma, ele deixa, inclusive, de receber a aplicação da LGPD.

O artigo 12 diz que “os dados anonimizados não serão considerados dados pessoais para o fim desta lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando com esforços razoáveis puder ser revertido”.

A anonimização é um processo que garante a segurança necessária para o uso dos dados. É uma estratégia recomendada pela LGPD, embora a lei não detalhe quais ferramentas devem ser utilizadas ou os padrões a serem seguidos para realizá-la.

Como a anonimização pode ser feita?

A LGPD estabelece que a Autoridade Nacional de Proteção de Dados (ANPD) dê as definições sobre o assunto. No entanto, é fato que as técnicas para a anonimização estão atreladas à tecnologia.

Tomando como exemplo a experiência do regulamento europeu sobre proteção de dados, há três técnicas que vem sendo mais utilizada por empresas no exterior:

  1. Supressão de dados: exclui dígitos das informações numéricas e nomes para que não seja possível a identificação;
  2. Encobrimento de caracteres: É usada quando parte da informação tem relevância para a empresa;
  3. Generalização: há a substituição do dado pessoal por uma informação mais genérica como, por exemplo, em vez da idade, inclui-se a faixa etária; em vez do endereço, coloca-se apenas a cidade.

anonimização lgpd dados compliance

Motivos para se adequar à LGPD

A conformidade à LGPD é uma forma das empresas garantirem:

  • Maior segurança para a coleta e o uso de dados pessoais de terceiros;
  • Respaldo jurídico;
  • Evita o prejuízo financeiro por conta de multa, sanção e processos;
  • Reduz o risco de fraudes;
  • Aumenta a credibilidade no mercado;

Então, por que optar pela anonimização dos dados?

A resposta é simples: a anonimização de dados diminui os riscos de não conformidade à LGPD. Então, ao investir nesta técnica, as empresas já garantem todas as vantagens mencionadas anteriormente de forma mais tranquila.

A clickCompliance oferece soluções tecnológicas para os programas de compliance e integridade, o que permite a automatização dos processos internos e facilita a conformidade à LGPD, à Lei Anticorrupção e outros textos.

Para saber mais informações sobre as ferramentas disponíveis, agende uma demonstração!
 
0

Legislação, Legislação, Legislação, Programa de Integridade

Em meio ao processo de digitalização vivido pela sociedade, as empresas precisaram se adaptar.

As marcas compreenderam a importância de estarem presentes na internet para serem lembradas, de otimizarem os processos por meio da tecnologia para ganharem agilidade, de oferecerem canais on-line para facilitar o contato com o consumidor.

Durante a pandemia da Covid-19, o processo de digitalização ganhou mais um viés. Com a necessidade de isolamento social para frear a disseminação da doença, o home office foi a solução para muitas empresas. Em alguns casos, esse formato de trabalho será mantido mesmo após o controle epidemiológico.

É neste contexto que o compliance digital mostra-se uma ferramenta de extrema relevância. Mas o que este termo significa exatamente?

Para ajudar no entendimento sobre o assunto, reunimos cinco dicas. Confira!


Compreenda o conceito de compliance

Para entender o que é o compliance digital, antes de tudo, é preciso retomar o conceito de compliance, que pode ser compreendido como um conjunto de normas e procedimentos adotados por uma organização com a finalidade de garantir a conformidade com a legislação que abrange o negócio.

O compliance possui várias vertentes, sendo uma delas o compliance digital. Confira:

  • Compliance fiscal: garante que os processos fiscais e contábeis estejam de acordo com a legislação. Inclui tarefas como avaliar os contratos para a compra de insumos e assegurar o envio das informações à Receita Federal dentro dos prazos estipulados.
  • Compliance tributário: assegura o cumprimento das obrigações tributárias. O trabalho engloba a organização, a execução e o registro dessas ações.
  • Compliance trabalhista: tem como função assegurar a ética nas relações e a conformidade às leis trabalhistas, desde a contratação até o desligamento do funcionário. Também tem a responsabilidade de fiscalizar as condições de trabalho no dia a dia da empresa.
  • Compliance ambiental: tem como propósito promover boas práticas ambientais e o respeito às leis dessa área, tanto no dia a dia da empresa quanto na execução de projetos externos.
  • Programa de integridade: atua diretamente na prevenção, identificação e combate de atos ilícitos e comportamentos antiéticos, como fraudes, corrupção e assédio.
  • Compliance digital: assegura a conformidade da empresa com as leis que regem o ambiente digital. O trabalho pode ser realizado em diferentes setores da empresa, desde que envolvam a tecnologia em seus procedimentos.

compliance digital

Saiba como é a aplicação do compliance digital

Depois de compreender o conceito de compliance digital, é importante saber como é a sua aplicação prática.
A proposta é assegurar que o uso da tecnologia esteja alinhado com a legislação vigente, evitando que irregularidades possam acontecer no ambiente corporativo.

Para isso, o primeiro passo é fazer um diagnóstico da empresa. Nesta etapa serão identificados os setores que envolvem mais processos digitais e, portanto, precisam se adequar às leis sobre o tema.

Após esta análise, serão criadas normas e procedimentos internos que garantam a conformidade no dia a dia de trabalho, além de estratégias de monitoramento e fiscalização.

Informe-se sobre a LGPD e as outras leis do ambiente digital

Para a implantação do compliance digital, é necessário conhecer a legislação que aborda o uso da tecnologia.

A Lei Geral de Proteção de Dados – LGPD ( Lei nº 13.709/2018) é um dos principais textos sobre o assunto, uma vez que dispõe sobre o tratamento que deve ser dado pelas empresas às informações pessoas de clientes, funcionários e parceiros, inclusive no ambiente digital.

O Marco Civil da Internet (Lei nº 12.695/2014) é outro texto que deve ser considerado pelo compliance digital, pois estabelece os princípios, as garantias, os direitos e os deveres para o uso da internet no Brasil.

O Código de Defesa do Consumidor – CDC (Lei nº 8.078/1990) é responsável por regulamentar as relações de consumo. O documento traz informações não apenas para as compras e a prestação de serviços em estabelecimentos físicos, mas também no ambiente on-line.

O Decreto nº 7.962/2013, popularmente conhecido como Lei do E-commerce, complementa as informações do CDC, trazendo detalhes como as políticas para sites e recomendações para o marketing digital, dentre outras informações.

O Marco Legal das Startups (Lei Complementar nº 182/2021) é um texto direcionado às empresas de base tecnológica que aborda questões tributárias e outras especificidades.

É necessário que o setor de compliance realize o filtro sobre quais leis, decretos e resoluções atravessam a realidade do negócio.

compliance digital

Analise as tecnologias utilizadas pela sua empresa

Uma dúvida comum é se o compliance digital é restrito ao e-commerce ou às empresas que estão em home office. A resposta é não.

Hoje, qualquer empresa, independente do porte ou setor de atuação, utiliza alguma tecnologia e, portanto, precisa estar de acordo com a legislação.

Se a empresa tem apenas um site, por exemplo, é necessário assegurar o compliance com relação às políticas estabelecidas pelo Decreto nº 7.962/2013.

Se realiza vendas pela internet, precisa ter conhecimento sobre a política de troca, o direito ao arrependimento do consumidor, dentre outras informações descritas no CDC.

Se disponibiliza um formulário para algum tipo de cadastro que solicita dados pessoais, deve estar em conformidade com a LGPD.

Neste sentido, é importante mapear quais são as tecnologias usadas pela empresa antes de imaginar que o compliance digital não se aplica ao seu negócio.

Conheça os benefícios do compliance para o seu negócio

Estar em conformidade garante muitos benefícios para qualquer empresa. Confira:

  • Evita prejuízos financeiros por conta de multas, sanções e processos devido ao descumprimento de leis;
  • Protege a reputação da empresa contra fraudes, escândalos de corrupção e outras irregularidades;
  • Garante segurança jurídica;
  • Promove o engajamento dos funcionários;
  • Cria um diferencial competitivo no mercado;
  • Aumenta a satisfação e atrai mais clientes;
  • Fortalece a imagem institucional;
  • Promove relações duradouras de parceria;
  • Aumenta o interesse dos investidores;
  • Garante o crescimento sustentável;
  • Constrói e consolida uma cultura organizacional ética, responsável e transparente.

A tecnologia e o compliance caminham juntos para a otimização de processos e a realização do trabalho de prevenção, identificação e combate de irregularidades.

A clickCompliance oferece soluções digitais para os programas de compliance e integridade. Para saber mais, agende uma demonstração!
 
0

Fique por Dentro, Programa de Integridade, Programa de Integridade
Em 2022, alguns assuntos deverão ser priorizados pelo setor de compliance das organizações. No momento em que o Brasil vive uma fase de consolidação dos programas de integridade, estar atento a essas tendências é uma forma de assegurar a conformidade em diferentes frentes.

As mudanças das relações de trabalho por conta da pandemia da Covid-19, a maior atenção de toda a sociedade com as questões ambientais e sociais, a tecnologia e o uso dos dados são questões que atravessam o compliance.

Por isso, é preciso entender os reflexos de cada uma dessas situações nos ambientes internos das organizações para, assim, haver a adaptação da estrutura do compliance. 

Confira as quatro principais tendências para este ano.

1. Adaptação ao home office ou sistema híbrido de trabalho

Diante da necessidade do isolamento social para conter a propagação da Covid-19 no país, muitas empresas optaram pelo teletrabalho. Em alguns casos, a experiência foi tão positiva que a proposta é manter os colaboradores em home office ou criar um sistema híbrido, mesmo após o controle da pandemia.

Desta forma, o setor de compliance precisa de uma reestruturação para adaptar-se à nova realidade. É necessário mensurar os riscos dessa nova relação e criar mecanismos para mitigá-los. É preciso assegurar que, mesmo à distância, haja o repasse correto das informações e o engajamento da equipe. Também é importante estabelecer métodos de avaliação e monitoramento. 

No regime de teletrabalho, o compliance deve redobrar a atenção para prevenir e coibir o assédio moral e sexual no ambiente virtual. É aconselhável aprofundar os estudos sobre o assunto para impedir este tipo de violação. 

2. Proteção e segurança de dados

A criação da Lei n.º 13.709/2018, chamada de Lei Geral de Proteção de Dados (LGPD), determina o comprometimento das empresas com o tratamento correto e responsável dos dados de terceiros (clientes, parceiros e colaboradores).

O texto possui dez capítulos e 65 artigos. Na prática, para garantir a conformidade à LGPD, as empresas devem estabelecer uma cultura organizacional que priorize a segurança dos dados, inclusive no ambiente digital. Isto inclui a implantação de um programa de governança em privacidade.

A LGPD entrou em vigor em setembro de 2020, e é aplicável tanto às empresas nacionais quanto àquelas com sede no exterior, mas que têm a operação de dados no Brasil. O descumprimento da lei implica infrações de advertência e até multa, que pode chegar a R$ 50 milhões por dia. 

Com o aumento do uso da internet pelos cidadãos, a necessidade de reforçar as políticas de privacidade e segurança de dados, sobretudo no ambiente digital, ganha destaque. É neste contexto que 2022 deve ser o ano de consolidação da LGPD no Brasil. 

3. Foco no ESG

Cada vez mais, há o entendimento de que as organizações devem fazer mais pelas causas sociais e ambientais, independente do setor em que atuam. Neste sentido, o ESG – que vem do inglês “Environmental, Social and Governance” e pode ser traduzido como “Ambiental, Social e Governança” – tem um papel fundamental.

O ESG define os pilares para a construção da sustentabilidade das organizações, mas não apenas no aspecto financeiro. O conceito trata, sobretudo, dos impactos da atividade no meio ambiente e na sociedade como um todo.

Neste sentido, é preciso pensar ações que reduzam o desperdício, promovam o uso consciente dos recursos naturais e impeçam impactos negativos ao meio ambiente. 

Também é necessário adotar estratégias para promover a inclusão, a diversidade e o respeito às leis trabalhistas, bem como ações que possam contribuir para as causas sociais.

Além de garantir a conformidade à legislação que trata desses assuntos, o compliance pode contribuir com a implantação e gestão de um canal de denúncias para o recebimento de informações sobre irregularidades praticadas no ambiente corporativo.

4. Atenção às licitações

A Nova Lei das Licitações (Lei n.º 14.133/2021) foi criada no ano passado e, por isso, ainda pode provocar dúvidas. O texto estabelece novas regras para a contratação de empresas pela Administração Pública. Uma delas é a exigência de programa de integridade para as contratadas para concorrências de grande vulto.

Cabe ao profissional de compliance assegurar a compreensão da legislação, avaliar as medidas necessárias para mitigar os riscos, repassar as informações aos colaboradores e, assim, garantir que a organização esteja em conformidade. 


Para saber mais sobre os programas de compliance e integridade, acesse o nosso blog!

O clickCompliance oferece soluções tecnológicas que otimizam a gestão do compliance. Entre em contato com a gente e agende uma demonstração.
2

Canal de Denúncias, Como fazer, Governança de Documentos, LGPD, Treinamento de Compliance
2020 foi um ano com muitas novidades e complicações. Para as equipes de compliance não foi diferente, e 2021 vai ser mostrar um ano agitado e cheio de novos planos e inovações baseado nas mudanças do último ano. Mas de todas essas novidades, tem uma que vai dominar o compliance em 2021: o compliance digital.

O principal motivo para essa novidade é o disparo na quantidade de fraudes digitais no último ano, causado por dois fatores: o aumento do home office e a passagem de muitos processos do dia a dia para o ambiente digital (como compras online).

O aumento de fraudes em 2020

Diversas pesquisas demonstram que 2020 foi um ano de aumento de fraudes digitais. Por exemplo, de acordo com o a Federação Brasileira de Bancos (FEBRABAN), as fraudes e tentativas de golpes em instituições bancárias tiveram alta de 80% durante a pandemia COVID-19.

Já a revista Exame divulgou em junho que São Paulo fechou mais de 1.500 empresas por suspeitas de fraudes na pandemia. Além disso, um levantamento realizado pela Check Point, indicou que os crimes cibernéticos aumentaram em 60% no primeiro semestre de 2020, um ponto crítico da pandemia.

E os crimes desse tipo não são só prejudiciais a indivíduos. Também são muito prejudiciais às corporações. Tanto que, segundo a McAfee, só no Brasil as empresas perdem cerca de US$ 10 bilhões anualmente por conta de cibercrimes.

Se pessoas e empresas não se atentarem a aprender mais sobre segurança digital e de dados, a previsão é de que os crimes cibernéticos gerem um prejuízo de US$ 6 trilhões à economia global em 2021.

Compliance digital e proteção de dados: aprendendo com casos reais

Além de tudo isso, 2020 foi palco de alguns dos maiores e mais surpreendentes casos de fraude digital. Por um lado, é uma previsão do que está por vir em relação à maior criatividade dos riscos de fraude e roubo de dados. Por outro, é uma oportunidade de aprendermos e nos prepararmos melhor para as possibilidades.

Os dados sensíveis do ex-primeiro-ministro australiano

Um caso de fraude ou roubo de dados pode ser extremamente simples, como o que aconteceu em 2020 com o ex-primeiro-ministro australiano Tony Abbott. Um cidadão (bem intencionado, felizmente) descobriu o número de passaporte, telefone e outros dados sensíveis do político usando apenas as informações do cartão de bordo de um voo que ele postou na rede social Instagram.

O caso evidenciou as fragilidades e buracos em toda a estrutura do site da companhia aérea que permitiu que isso acontecesse. Se o objetivo fosse malicioso, poderia ainda acarretar em sérios problemas para a empresa que não identificou essa possibilidade de vazamento de dados em seu site tão facilmente.

O Twitter hackeado por um adolescente

O exemplo acima foi um caso inofensivo que foi uma lição de análise de riscos digitais. No entanto, esse tipo de insegurança de dados pode levar a consequências mais sérias, como um adolescente de 17 anos hackeando a conta do Twitter do homem mais rico do mundo.

Para conseguir o acesso à conta do CEO da Amazon, Jeff Bezos, o hacker utilizou técnicas como engenharia social para alcançar o painel de administradores do Twitter. Isso em si já é sério, no entanto foi agravado por uma falha na segurança digital da rede social: até funcionários de baixo escalão tinham direitos de acesso a todos os usuários da rede.

Com esse acesso, o hacker fez um post na conta do Jeff Bezos com um link para fazer depósito em uma conta de Bitcoin, alegando que retribuiriam o valor dobrado como ação filantrópica. Com isso, arrecadaram mais de $100 mil.

O que fazer?

Felizmente, vários conceitos básicos do programa de compliance podem ser replicados em uma estratégia de compliance digital. A seguir, mostramos como isso pode ser feito.

Parceria entre compliance e TI

O primeiro passo para garantir segurança de dados na sua empresa é formar uma parceria entre a equipe de compliance e a TI da empresa. Os exemplos que citamos eram vulnerabilidades na forma como os sites foram construídos (mas podem ser em produtos digitais e outros meios), e tradicionalmente fora do escopo de análise e especialidade do compliance.

O compliance precisa usar casos como esses que contamos como exemplo para as equipes de tecnologia. Além disso, deve explicar leis referentes à proteção de dados, para que desenvolvedores fiquem de olho para possíveis falhas, e também para que saibam o que procurar na hora de fazer análises de riscos.

Políticas corporativas

Políticas corporativas boas e bem distribuídas são um instrumento fundamental para ajudar funcionários de todos os tipos saberem como agir em relação a segurança de dados.

Por exemplo, funcionários não devem clicar em links suspeitos ou fazer compras pessoais utilizando o computador da empresa ou no e-mail corporativo, não devem discutir informações sensíveis de clientes em canais não seguros, produtos devem ser construídos conforme o Privacy by Design, etc.

Treinamentos de compliance

Depois das políticas, os treinamentos de compliance são a principal ferramenta para consolidar o conteúdo das políticas. É possível mostrar exemplos de situações do dia a dia em que funcionários poderiam se encontrar.

Através de storytelling e treinamentos engajadores, funcionários aprendem como eles devem agir nessas situações apresentadas.

Canal de denúncias

O canal de denúncias também pode ser utilizado especificamente na sua estratégia de compliance digital. Por exemplo, no caso do ex-primeiro-ministro australiano, o cidadão que encontrou a falha de segurança levou vários meses para conseguir compartilhar o que descobriu com a empresa aérea e com a vítima.

Em vez de perder tempo com diversas ligações telefônicas e e-mails com diversas organizações, se tivesse um canal de denúncias funcional e a fácil acesso, tudo poderia ter sido investigado e resolvido em bem menos tempo.


 
0

Como fazer, Fique por Dentro, LGPD, Programa de Integridade
Com a nossa própria lei de proteção de dados entrando em vigor no início de 2021, se preocupar com a GDPR pode parecer um passo desnecessário. Afinal, é uma lei que diz respeito a empresas da União Europeia, e é mais complexa e de difícil aplicação.

Muitas empresas brasileiras podem cair nessa armadilha de que ela só vale ou só precisa ser olhada com atenção se a empresa for da UE. No entanto, o caso é muito mais perigoso. Basta que a sua empresa (grande ou pequena) processe os dados pessoais de cidadãos ou residentes da UE ou oferecer produtos ou serviços a essas pessoas para que a GDPR se aplique a você.

Por exemplo, se você tem algum cliente de e-commerce que por acaso mora na UE, se você envia e-mail marketing para alguém que mora na UE, ou mesmo que você tenha acesso a dados de um cidadão da UE que por acaso está no Brasil no momento.

Além disso, por ser um texto em que a LGPD foi baseada, porém mais rígido, ao estar em compliance com ela você estará preparando sua empresa para futuras mudanças na lei brasileira. O cenário que envolve a LGPD ainda é nebuloso, e por isso precisamos estar preparados para os cenários mais complexos.

A seguir, segue um resumo dos princípios, termos e pontos-chave da GDPR para que você profissional de compliance saiba com o que está lidando. Você também pode ler a lei completa.

Termos de destaque

Alguns termos novos foram colocados em destaque para que a GDPR seja mais bem compreendida. No entanto, este tópico é muito parecido com a LGPD, e nós fizemos uma lista completa com novos termos que o profissional de compliance precisa entender.

  • Data processing (Tratamento de dados): Qualquer ação executada nos dados, seja automática ou manual. Alguns exemplos são coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão e distribuição.
  • Personal data (Dados pessoais): qualquer informação relacionada a um indivíduo que permita a identificação direta ou indireta. Exemplos são nomes, endereços de e-mail, informações de localização, etnia, gênero, dados biométricos, crenças religiosas, cookies da web e opiniões políticas. Os dados pseudônimos também podem se enquadrar na definição se for relativamente fácil identificar alguém a partir dele.
  • Data subject (Titular dos dados): A pessoa cujos dados são processados, como clientes ou visitantes do site.
  • Data controller (Controlador dos dados): A pessoa que decide por que e como os dados pessoais serão processados. Por exemplo, proprietário ou funcionário da organização que lida com dados.
  • Data processor (Operador dos dados): Um terceiro que processa dados pessoais em nome de um controlador de dados. A GDPR possui regras especiais para esses indivíduos e organizações, que podem ser servidores em nuvem ou provedores de serviços de e-mail, por exemplo.

Efeitos da GDPR

Um motivo para se preocupar com o compliance à GDPR é o fato de a multa dela ser mais pesada que a da LGPD. De acordo com a lei brasileira, a multa pode chegar a 2% do faturamento, limitada a R$ 50 milhões. Empresas também podem ter suas atividades suspensas, parcial ou totalmente.

Já de acordo com a GDPR, a multa pode chegar até 4% da receita global ou €20 milhões (cerca de R$126 milhões). Outro fator de risco é que o(s) titular(es) afetado(s) podem buscar reparações pelos danos causados. Se forem muitos, pode acumular um valor alto com reparações e gastos jurídicos.

No entanto, antes de enfrentar essas multas e penalizações, você tem 72 horas para avisar aos titulares a respeito da falha na segurança. Esse requisito de notificação poderá ser dispensado se você usar salvaguardas tecnológicas, como criptografia, para tornar os dados inúteis para um invasor.

Princípios da GDPR

  • Legalidade, justiça e transparência: O processamento deve ser legal, justo e transparente para o titular dos dados.
  • Limitação de finalidade: Você deve processar os dados para os fins legítimos especificados explicitamente para o titular dos dados ao coletá-los.
  • Minimização de dados: Você deve coletar e processar apenas os dados absolutamente necessários para os fins especificados.
  • Precisão: Você deve manter os dados pessoais precisos e atualizados.
  • Limitação de armazenamento: Você só pode armazenar dados de identificação pessoal pelo tempo necessário para a finalidade especificada.
  • Integridade e confidencialidade (segurança): O processamento deve ser feito de forma a garantir segurança, integridade e confidencialidade adequadas (por exemplo, usando criptografia).
  • Prestação de contas: O controlador de dados é responsável por demonstrar a conformidade do GDPR com todos esses princípios.


O Data Protection Officer

O DPO é um profissional que também é recomendado na LGPD. Sua adoção não é totalmente obrigatória em nenhuma das duas. De acordo com a GDPR, os 3 casos em que a empresa precisa contratar este profissional são:

  • Se você é uma autoridade pública que não seja um tribunal que atue em capacidade judicial.
  • Quando suas atividades principais exigem que você monitore as pessoas sistematicamente e regularmente em larga escala (Ex: Google).
  • Quando suas atividades principais são o processamento em larga escala de categorias especiais de dados listadas no Artigo 9 do RGPD ou dados relacionados a condenações e ofensas criminais mencionados no Artigo 10 (Ex: consultório médico).

Em um blogpost nosso sobre o Data Protection Officer explicamos em quais casos a LGPD obriga empresas a contratarem este profissional.

Se você acha que está em compliance com a GDPR, mas não consegue mostrar como, você não está em compliance com a GDPR

Esta frase é extremamente importante, e foi retirada do próprio site da União Europeia sobre a nova lei. Ela mostra que não importa o quanto você se esforce para implementar processos e campanhas para melhorar sua proteção de dados se você não tem como mostrar isso ao público e às autoridades.

Ou seja, se você não consegue apresentar evidências da existência do seu programa de compliance digital, ele não será verdadeiramente eficaz. Existem algumas formas que você pode fazer isso.

Uma das principais formas é ter uma plataforma ou alguma ferramenta que você usa no seu programa de compliance que registra dados. Assim você terá acesso a planilhas, relatórios e gráficos sobre algumas ou todas as vertentes do seu programa para apresentar facilmente.

Outra forma é ter uma boa estrutura de políticas e relatórios (como o DPIA ou ROPA). Estes documentos também são provas tangíveis do trabalho do compliance.

 
0

Legislação, LGPD
O direito digital é uma área que tem ganhado cada vez mais espaço e importância para empresas e dentro do mundo jurídico em geral.

Por isso, independente de trabalhar diretamente com a área ou não, é importante conhecer alguns conceitos principais.

Listamos abaixo 6 conceitos básicos para quem se interessa pela área. No entanto, lembramos que quem quer realmente se especializar na área deve se aprofundar muito mais em cada um dos itens.

Isso porque o mundo digital é muito novo, complexo e diferente de tudo que o direito está acostumado a lidar.

Para o profissional, será preciso entender a fundo questões técnicas da tecnologia e outras áreas com as quais talvez não tenha tanta afinidade hoje.

Marco Civil da Internet

O Marco Civil da Internet é relevante porque foi a primeira legislação pensada para regular o mundo digital. Todo profissional do direito digital deve conhecer essa legislação fundamental.

Quanto ao compliance, é também imprescindível conhecer a fundo, visto que sua obrigação é primariamente manter a empresa em conformidade com as leis.

O que diz o Marco Civil da Internet?

O Marco Civil aborda tópicos gerais, como direitos básicos dos usuários da internet e liberdade de expressão. Por exemplo:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

IV – não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

Etc.

A lei também aborda a proteção de dados pessoais de forma superficial:

Art. 7º
O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:


VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

LGPD

A LGPD é outra legislação muito relevante para o direito digital, e principalmente para o compliance.

A Lei Geral de Proteção de Dados Pessoais aprofunda questões abordadas no Marco Civil. É específica em relação ao uso de dados pessoais em meios digitais, e é um guia de como empresas devem atuar nesse meio e dos direitos dos usuários.

Apresentou diversos novos termos e profissionais, como o DPO, que devem ser de interesse de qualquer profissional que deseja trabalhar na área.

O uso dos dados pessoais vai nortear a atuação de empresas nos mais diversos setores, e são um altíssimo risco não só de non-compliance para a empresa, mas também de processos e outros problemas jurídicos.

Direitos autorais

Outro conceito que ficou muito mais complexo com o mundo digital é o de direitos autorais. Com a demora em regular a internet, o espaço digital se tornou um “buraco negro” de produção e reprodução de conteúdo sem muitos limites.

Não existe uma legislação específica que ajude a entender qual o limite do direito atual especificamente no mundo digital. Existe apenas a Lei de Direitos Autorais, aplicável a qualquer circunstância.

No entanto, sabemos que as coisas não costumam ser simples assim na internet. Muitas vezes é difícil encontrar o autor de algum conteúdo, o caminho que percorreu, e mais difícil ainda iniciar algum processo contra o autor.

O que diz a Lei de Direito Autoral?

A única indicação de que a lei deve ser seguida da mesma forma para os meios digitais e não digitais é:

Art. 7º
São obras intelectuais protegidas as criações do espírito, expressas por qualquer meio ou fixadas em qualquer suporte, tangível ou intangível, conhecido ou que se invente no futuro

É possível notar que o trecho não é especialmente específico, e que a realidade do mundo material é diferente do digital.

Por isso, o profissional de direito digital precisa usar criatividade e cautela na hora de orientar sobre o tema, criar salvaguardas e navegar casos envolvendo esse conceito em geral dentro de empresas. 

Negócios digitais

Outro motivo de preocupação e estudo para os profissionais do direito digital são os negócios digitais. Esses negócios podem ser e-commerces, startups, aplicativos e outras empresas que possuem atuação total ou muito presente no digital.

Esse tipo de negócio introduz uma série de questões novas e difíceis de navegar devido à incerteza, falta de legislação ou regulamentação e falta de jurisprudência. Alguns exemplos são:

  • Direitos do consumidor
  • Limites da inovação
  • Transações financeiras online
  • Proteção de dados


Internet das coisas

A Internet das Coisas, ou IOT (Internet of Things) é uma área da tecnologia que liga a internet a outros objetos, principalmente dentro de casas. Essas seriam as “Smart Houses”, ou casas inteligentes.

Com esse tipo de tecnologia, é possível fazer compras de supermercado usando uma tela na geladeira, ligar o aquecedor antes de chegar em casa usando um smartphone, acionar sistema de segurança à distância, etc.

Como é uma tecnologia recente, também não há muito regulação nem experiência com o tema. O grande perigo digno de atenção dos profissionais do direito digital é o cuidado e a atenção com o avanço da internet das coisas, potenciais usos e problemas e como o uso vai se desenrolar.

Compliance e direito digital

E onde o compliance entra nisso tudo? A missão principal do compliance é eliminar os riscos regulatórios das empresas.

Por isso, uma função do compliance digital que utiliza esses conceitos do direito digital é conhecer bem todas as legislações relacionadas.

Isso inclui entender todas essas regulações, mas também perceber onde há a falta dela, como na IOT, por exemplo.

Nesses casos, o compliance deve se antecipar às leis que com certeza virão com o tempo, como a LGPD, e criar processos e políticas que norteiem a empresa de acordo com a ética e boas práticas.

Assim, estarão mais preparados para a contínua e cada vez maior regulamentação do meio digital.
0