A Lei Geral de Proteção de Dados (lei 13.709/2018) trouxe em seu texto dois termos técnicos que visam dar maior segurança ao tratamento de dados pessoais.

São eles a anonimização e a pseudonimização.

Os termos, até então desconhecidos pela grande maioria das empresas Brasileiras e pelos operadores de direito, devem ser utilizados como ferramentas em todo processo de adequação à LGPD.

A anonimização é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa de forma definitiva.

Essa técnica resulta em dados anonimizados, que não podem ser associados a nenhum indivíduo específico.

Nesse sentido, a anonimização ocorre com a remoção de informações de um documento, de forma que os dados ali contidos não são capazes de serem  vinculados a uma pessoa e, consequentemente, não são mais protegidos pela LGPD.

 Portanto, se após o ciclo de vida de determinado dado, a intenção do Controlador seja a de armazenar esses dados, uma medida que pode ser adotada para viabilizar esse armazenamento é a anonimização desse dado.

A pseudonimização, por sua vez, é uma técnica que substitui informações contidas num conjunto de dados que identifica um indivíduo por um outro identificador artificial, um pseudônimo.

Na pseudonimização, os dados pessoais são substituídos por esse identificador artificial e mantidos num banco de dados separado que liga dados pessoais e esse pseudônimo.

Podemos citar como exemplo de dados pseudoanonimizados um sistema de controle biométrico, no qual o funcionário pode ser identificado por um número ou código, ao invés de ter seu nome registrado.

Portanto, a pseudoanonimização também é uma importante técnica que pode e deve ser usada pelas empresas no processo de adequação, a fim de dar maior segurança ao tratamento de dados pessoais.

Quer saber mais? Entre em contato conosco.

Publicado por Daniel Cioglia Lobão em 22/04/2021

A Lei Geral de Proteção de Dados estabelece as bases legais que autorizam o tratamento de dados pessoais pelos controladores, sendo que para que qualquer pessoa, física ou jurídica possa realizar qualquer operação com um dado pessoal seja coletar, transmitir ou processar, é necessário possuir uma base legal presente na LGPD que justifique o tratamento desses dados.

Nos processos de adequação e mapeamento dos dados, o legítimo interesse tem sido comumente utilizado como hipótese que possibilita o tratamento, mormente quando nenhuma outra base legal é considerada adequada.

Na aprovação da Lei no congresso nacional, a discussão sobre a inclusão da base legal do legítimo interesse no rol das hipóteses que permitiriam o tratamento dos dados foi cercada por grandes discussões e controvérsias.

Contudo, o legislador optou por incluí-la, mas previu no texto legal algumas exigências específicas, evitando que a mesma seja utilizada de forma indiscriminada pelos controladores e operadores.

Assim, por ser o legítimo interesse a mais flexível das bases legais, o legislador exigiu que para a sua utilização como base legal, o controlador deve submeter o tratamento a um teste de proporcionalidade, LIA (Legitimate Interests Assessment), que tem o objetivo de analisar a viabilidade de sua utilização, os interesses da sua empresa, e os direitos e liberdades do titular dos dados pessoais.

No teste de proporcionalidade, o controlador deve documentar a finalidade do uso dos dados, a necessidade desse tratamento e quais medidas de segurança serão adotadas para proteger esse tratamento.

Além disso, deve ser avaliado se esse tratamento com base no legítimo interesse é compatível com a expectativa dos titulares e se está observando a transparência, a possibilidade de saída (opt-out), bem como quais medidas de segurança e redução de riscos estão sendo observadas. 

Não bastasse, vale lembrar que a autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais (RIPD), quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Assim, apesar das exigências trazidas pelo legislador, se utilizada com responsabilidade, a base legal do legítimo interesse pode ser uma grande aliada no processo de adequação, devendo ser feito sempre o teste de balanceamento, conforme acima mencionado, bem como o RIPD, para avaliação dos riscos desse tratamento. Sua empresa utiliza o legítimo interesse como base legal para tratamento de dados pessoais? Quer saber mais detalhes? Entre em contato conosco.

Publicado por Daniel Cioglia Lobão em 22/03/2021

Muito se fala que os dados pessoais são o novo petróleo e que por esse motivo controladores e operadores devem estar preparados par essa nova realidade, adotando um cuidado especial quando estiverem tratando dados de pessoas naturais.

Prova da importância dos dados pessoais no contexto atual, é que no dia 14 de janeiro de 2021 diversos sistemas de monitoramento de empresas privadas descobriram que um hacker tinha em mãos e estava comercializando em sites fora do país e na dark web dados de 223 milhões de brasileiros, incluindo dados de pessoas vivas e de pessoas que já faleceram.

As Informações vazadas desses milhões de cidadãos brasileiros, são referentes a dados colhidos por uma empresa pública ou privada entre os anos de 2008 e 2019 e incluem fotos, Imposto de renda, score de crédito, salário, nível de escolaridade, título de eleitor, último emprego, telefone, e-mail e foram roubados por esse hacker durante 18 meses sem que esse controlador tivesse conhecimento.

Os referidos dados estão sendo vendidos por meio de pacotes entre U$100,00 e U$500,00 que devem ser convertidos em bitcoins para pessoas mal-intencionadas que podem simplesmente se passar pelo titular de dados para efetuar uma compra, adquirir um cartão de crédito ou um financiamento, entre outras transações financeiras.

O cyber criminoso disse que invadiu a base de dados do Serasa Experian, contudo, a empresa negou qualquer incidente de segurança, não sendo possível afirmar o local em que ocorreu o vazamento de dados.

O STF e a Autoridade Nacional de Proteção de dados já solicitaram que a polícia federal inicie as investigações e agora teremos que aguardar os desdobramentos.

Sem sombra de dúvida esse é o maior vazamento de dados da história do Brasil, um dos maiores do mundo e reforça a necessidade dos setores público e privado se preocuparem com a segurança dos dados pessoais tratados em suas organizações, como determina a LGPD, adotando as melhores práticas de mercado em termos de segurança da informação, definindo uma política de privacidade, plano de contingenciamento e demais medidas físicas, organizacionais e técnicas.

Aos titulares de dados, pessoas naturais, cabe a mitigação dos riscos com medidas de segurança simples, mas que podem evitar prejuízos, tais como atualizar os sistemas, antivírus, alterar senhas das contas de e-mail com frequência, misturando letras maiúsculas, minúsculas números e símbolos, não abrir e-mails de procedência duvidosa, não executar programas, abrir links de e-mails desconhecidos, não efetuar compras com cartão de crédito em sites desconhecidos, utilizando sempre os cartões virtuais que estão disponíveis em aplicativos de bancos e cooperativas, sempre utilizar redes virtuais privadas, VPN, desconfiar de ligações feitas por instituições financeiras, públicas e concessionárias de água e energia elétrica, dentre outras.

Para enfrentar essa nova realidade, sua empresa possui um plano de contingenciamento? Quais as medidas físicas, técnicas e organizacionais foram adotadas?

Quer saber mais, entre em contato conosco.

Publicado por Daniel Cioglia Lobão em 16/02/2021

Com a vigência da Lei Geral de Proteção de Dados, Lei n.º 13.709/2018, atualmente, todas as empresas de qualquer porte devem nomear um encarregado pelo tratamento dos dados pessoais, também conhecido como Data Protection Officer (DPO), merecendo destacar que a própria LGPD estabelece que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, o que não ocorreu ainda.

Pela definição da Lei, o encarregado é o responsável por receber reclamações e comunicações dos titulares, prestar esclarecimentos, tomar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem adotadas em relação à proteção de dados, bem como pela comunicação entre o controlador (empresa), os titulares dos dados e a Autoridade Nacional de Proteção de Dados, sendo que sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site eletrônico do Controlador.

A LGPD não exige que encarregado seja necessariamente um funcionário do controlador dos dados.

Nesse sentido, várias empresas têm terceirizado esta função, contratando profissionais especializados em Direito e/ou Segurança da Informação para ocuparem a função de DPO.

Além disso, também não há quaisquer empecilhos para que o DPO seja uma pessoa jurídica, razão pela qual é possível contratar uma empresa terceirizada como encarregado.

O encarregado, seja pessoa física ou jurídica, deve ter conhecimento detalhado da LGPD, em segurança da informação, juntamente com experiência e visão estratégicas e em processos, para trabalhar em conjunto com o controlador e operador e atuar como canal de comunicação perante os titulares dos dados tratados.

Não bastasse, antes de nomear o encarregado a empresa deve certificar previamente se, no exercício de suas funções, o DPO pode ser submetido a situações de conflito de interesse.

Em maio de 2020 a Autoridade Belga de Proteção de Dados (DPA) tomou a decisão de multar uma empresa em 50 mil euros, por nomeação inadequada de seu Oficial de Proteção de Dados (DPO).

Para a Autoridade de Proteção de Dados da Bélgica havia conflito de interesse nos papéis exercidos pelo profissional, eis que foi constatada a impossibilidade da cumulação de funções do Chefe de Conformidade, Risco, Auditoria e Data Protection Officer (DPO).

Assim,  com o acúmulo de funções, o DPO não poderia supervisionar de forma  independente as atividades de tratamento de dados pessoais por ele mesmo exercidas.

A empresa argumentou que não haveria conflito de interesses entre essas funções, pois o DPO não estaria envolvido em nenhuma tomada de decisão em torno do processamento de dados pessoais.

Todavia, esse argumento não foi acolhido.

Esta decisão da Autoridade Belga, abriu um importante precedente que mudou os critérios de indicação do DPO em boa parte da Europa.

No Brasil, a LGPD não possui uma definição clara quanto ao acúmulo de funções ou sobre conflito de interesses dos cargos, nem tampouco quais empresas precisam de ter um encarregado, ficando essas definições para a ANPD.

De toda forma, como não existe definição por parte da ANPD, todas as empresas devem ter um encarregado nomeado e devem constar essas informações de forma clara em seus sites.

Sua empresa já nomeou o encarregado? Precisa de alguma ajuda? Entre em contato conosco.

Publicado por Daniel Cioglia Lobão em 20/01/2021

Muitas empresas e pessoas ainda acreditam que a LGPD regulamenta somente o tratamento de dados pessoais em formato digital e que, por terem apenas arquivos físicos, não precisam se adequar a esta nova legislação.

Entretanto, esta é uma interpretação equivocada já que a LGPD define o tratamento de dados pessoais como aquele que torne a pessoa identificável, ou seja, dados como nome, RG, CPF, CNH, e-mail, etc, bem como os dados pessoais sensíveis, definidos pela lei como dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, não definindo o seu formato.

Assim, os dados pessoais tratados tanto em formato digital, quanto em formato físico estão regulamentados por esta nova legislação e, nesse sentido, e-mails, mensagens de WhatsApp, formulários, telas de sistema, cartões de visita, currículos e contratos que contenham dados de pessoas físicas estão amparados pela LGPD, independentemente da forma de seu armazenamento.

Nesse sentido, o mapeamento dos dados, que já foi objeto de um post anterior, deve levar em consideração todos os tratamentos realizados, tanto em documentos físicos, quanto em documentos digitais.

Quer saber mais? Entre em contato conosco.

Publicado por Daniel Cioglia Lobão em 04/12/2020

Com a Pandemia, grande parte das empresas adotaram o trabalho em home office, como regra, adiantando, mesmo que momentaneamente, um processo de mudança cultural dentro das organizações que, segundo previsões anteriores ao Covid 19, só se consolidaria nos próximos 5 ou 10 anos. 

O modelo de trabalho em home office oferece algumas vantagens tanto para o profissional quanto para a organização, proporcionando redução de custos operacionais para as empresas, uma maior flexibilidade para o colaborador organizar o tempo, propiciando um ganho maior de produtividade, bem como possibilitando o trabalho de qualquer lugar do mundo além de um maior contato com a família, menos paralisações e maior concentração, sendo as exigências focadas nos resultados e não mais em um cumprimento de uma jornada de trabalho mínima, nos moldes que estávamos acostumados no século XX. 

Contudo, apesar desse modelo de trabalho trazer algumas vantagens tanto para empresas, quanto para os seus colaboradores, também possui alguns problemas de natureza social, trabalhista, sem contar os riscos para a segurança da informação que podem gerar sérios prejuízos para os titulares dos dados tratados, bem como para os Controladores e Operadores.

Assim, muito embora não se saiba ao certo quantas empresas irão manter essa prática que trouxe impactos de ordem econômica, social, jurídica, mormente nas relações de trabalho, as organizações que decidirem por implementar o Home Office de forma definitiva têm a necessidade imediata de se planejarem quanto a segurança da informação para este novo cenário, adotando medidas de ordem técnica, tecnológica e criando procedimentos internos, visando resguardar a privacidade e proteção dos dados que são tratados por seus colaboradores, a fim de evitar incidentes de vazamento de dados pessoais e de informações, com base em Certificações como ISO 27001, ISO 31000 e na Lei Geral de Proteção de Dados. 

Os incidentes de segurança podem ser decorrentes da instalação de uma ferramenta não autorizada, uso de pen drive, má utilização do sistema, vírus, códigos, acesso a sites e e-mails não seguros, engenharia social, etc. 

Nesse sentido, visando a segurança e atender as melhores práticas de gestão da segurança da informação, entendemos que devem ser adotadas as seguintes medidas:

1 – Treinar constantemente a equipe, demonstrando a importância de se proteger as informações e dados tratados; 

2 – Permitir o acesso de sua rede pelos colaboradores apenas por meio de redes criptografadas;

3 – Definir os requisitos mínimos de configuração das máquinas e auditá-las frequentemente;

4 – Proibir no sistema e em contrato com os seus funcionários e colaboradores o Print ou cópia das telas que têm acesso ou utilização de pen drives;

5 – Atualização frequente do sistema operacional, antivírus e efetuar backup diário;

6- Criar políticas internas para regulamentar o Home Office;

7 – Efetuar teste de vulnerabilidade em sua rede, bem como simulações de incidentes com os colaboradores;

8 – Criar um plano de contingenciamento;

9 – Adequação dos processos internos à LGPD e a certificações ISO 27001 e 31000;

Assim, empresas interessadas em implementar o Home Office, devem estar em conformidade com as melhores práticas de segurança da informação, bem como com a Lei Geral de Proteção de Dados e seus princípios, a fim de evitar que ocorram incidentes de segurança que podem gerar prejuízos de ordem moral aos titulares de dados, além de autuações por parte da ANPD na ordem de 2% do faturamento bruto do grupo econômico que podem chegar a 50 milhões de reais.

Sua organização já está preparada? 

Publicado por Daniel Cioglia Lobão em 04/11/2020

Nosso sócio Daniel Cioglia Lobão acaba de receber a certificação Privacy and Data Protection Essentials, ou PDPE, que faz parte do programa de certificação do EXIN, uma das empresas com maior reconhecimento em certificações no mercado de Tecnologia da Informação no mundo. 

A PDPE  é uma das certificações com foco em privacidade e segurança de dados oferecida pelo EXIN que visa validar o conhecimento do profissional quanto a organização da proteção de dados pessoais e a regras específicas da Lei Geral de Proteção de Dados.

O mapeamento dos dados ou data mapping é um dos mais importantes passos para a adequação à Lei Geral de Proteção de Dados. 

O data mapping consiste no levantamento de todos os dados que são tratados pelo Controlador, tanto físicos quanto digitais, contratos, formulários, fichas, recibos, cadastros e deve conter o caminho percorrido pelo dado pessoal dentro da empresa, incluindo os processos, pessoas e locais pelos quais o dado transita. 

No mapeamento deve ser definida a porta de entrada do dado, a base legal que respalda o tratamento deste dado pessoal, a classificação do dado, o nível de segurança da base de dados a qual o dado pertence, o ciclo de vida do dado, dentre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas. 

Com o data mapping, o Controlador terá um panorama geral do inventário dos dados tratados e poderá definir quais dados são desnecessários, quais dados devem ser armazenados, por quanto tempo esses dados devem ser guardados, quais dados são sensíveis, quais dados precisam de consentimento e qual a base legal do tratamento. 

Assim, o mapeamento de dados revela-se como a um documento essencial quando estamos no processo de adequação às normas de proteção de dados, como a LGPD no Brasil. 

Quer saber mais?

Entre em contato conosco.

Publicado por Daniel Cioglia Lobão em 30/09/2020

A Lei Geral de Proteção de Dados (Lei 13709/2018) que “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” gerará grande impacto ao setor de Saúde Suplementar.

Segundo o art. 5º, inciso X da Lei, o tratamento de dado deve ser compreendido como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

A Agência Reguladora (ANS) já estabelece algumas regras específicas para as operadoras de plano de saúde, beneficiários e prestadores envolvendo dados sensíveis, como nos casos de transmissão do Sistema de Informações do Beneficiário – SIB (RN 295), compartilhamento da gestão de riscos (RN 430), transparência das informações e Portal de Informações do Beneficiário da Saúde Suplementar – PIN-SS (RN 389), instituição de ouvidorias (RN 323), preenchimento de Declaração de Saúde (RN 162), Troca de Informação na Saúde Suplementar – Padrão TISS (RN 305), dentre outras.

Além da Agência Nacional de Saúde Suplementar, outras entidades como o Conselho Federal de Medicina já emitiram resoluções pautadas na ética da profissão e no sigilo de informações de pacientes, como é o caso da revelação de ficha e prontuários médicos (Resolução CFM 1605/2009) e a digitalização e uso dos sistemas informatizados para a guarda e manuseio de documentos dos prontuários de paciente (Resolução CFM 1821/2007).

No entanto, com a LGPD o objetivo é bem mais amplo do que o abordado pelas normas já existentes, visando garantir que de fato nenhuma informação seja compartilhada para outra finalidade diversa daquela para a qual foi fornecida.

A regra geral é a de que toda transação que envolva dados pessoais identificados passa a ser proibida sem o consentimento expresso e por escrito do paciente. Porém, a coleta de informações pessoais de saúde para a tutela da saúde dispensa a necessidade de consentimento formal.

Até atividades envolvendo o faturamento de contas hospitalares, por exemplo, precisarão de uma análise criteriosa quanto ao envio de informações com ou sem o consentimento, visto que poderão conter dados clínicos detalhados do paciente.

O fato é que o setor certamente precisará de imediato buscar uma consultoria especializada a fim de conhecer o ambiente legal e regulatório para ao desenvolvimento de suas atividades, entendendo o que precisará ser feito para se adequar às bases legais que autorizam o tratamento de dados.

Posteriormente, se monstra necessário a criação de fluxos rígidos para se adequar a LGDP, investir em tecnologias, buscar auditorias internadas de especialistas de segurança da informação e proteção de dados pessoais, como forma de não ser surpreendido com as rigorosas sanções que poderão ser aplicadas em caso de descumprimento da norma.

Publicado por Lunna Gabrielle Vasconcelos Barbosa em 23/12/2019

A Lei Geral de Proteção de Dados – LGPD traz o consentimento como um conceito central.

Na LGPD fica em evidência que o verdadeiro dono do dado não é aquele que o utiliza ou o armazena em algum banco de dados, o dado pertence exclusivamente à pessoa a quem ele diz respeito. Nesse sentido, a Lei estabelece que todo tipo de dado poderá ser tratado quando houver consentimento específico por parte do seu titular.

Para os fins da LGPD, o consentimento é a manifestação livre, expressa e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Quando fornecido por escrito, o consentimento deve constar, inclusive, em cláusula destacada das demais cláusulas contratuais.

Até existe circunstâncias que autorizam que o tratamento de dados ocorra sem consentimento específico. Tais hipóteses são definidas em Lei por meio de um rol taxativo. Ocorre que o mais seguro é que o tratamento seja sempre informado e solicitado ao titular, mesmo nas situações em que a Lei dispensar.

Quando há consentimento para o tratamento de dados reduzem-se as chances de que o titular suscite eventual violação à Lei, uma vez que o tratamento estará sendo realizado a partir de sua própria autorização. Portanto, o recomendável é que este consentimento seja sempre providenciado.

Publicado por Iná Santos Aleixo em 14/10/2019