Direito Digital

Adequar-se à LGPD vai muito além da instalação de softwares.

A Lei Geral de Proteção de Dados (LGPD) já é uma realidade. Dentro de menos de um ano, as empresas brasileiras começarão a ser fiscalizadas sobre os dados pessoais que coletam dos seus clientes e consumidores, devendo requerer autorização bem como dar satisfação sobre o uso dessas informações. As penalidades para ausência de uma política de transparência e proteção ou falha nesses procedimentos vão de notificações a milhões de dólares, tal como tem sido visto mundo afora com o Googlee Facebook, por exemplo.

Contudo, mais do que um processo de adaptação visando apenas “fuga das multas”, a nova legislação busca trazer uma nova relação de confiança entre usuários e as empresas. É uma mudança positiva de mentalidade, que deve ser implantada (o quanto antes) em empresas de todos os portes, a fim de demonstrar o cuidado pelas informações de clientes e usuários.

Muito além de manter ativo um antivírus para evitar “hackeamento”, as empresas de todos os setores (saúde, eventos, direito, gestão, RH, TI e outras) devem criar uma política organizacional na qual a segurança de dados seja prioridade, trazendo toda responsabilidade social perante os dados para sua organização e para o setor.

É saber quais informações são necessárias tanto do usuário interno (sim, a medida inclui documentos pessoais de funcionários) quanto externo, e para qual finalidade serão utilizados, sendo responsáveis pelos conteúdos, podendo assim direcionar vendas ou serviços, prevenindo-se também a quebras de sistema ou perdas de dados.

Sem dúvidas, é uma transformação também na cultura organizacional que passa a reavaliar a infraestrutura de TI, estabelecer um workflow seguro, monitorar a segurança do sistema, tudo para fornecer um ambiente muito mais seguro para os dados.

A nova regra traz questões administrativas e técnicas para a discussão, tudo para proteger os dados minerados ou tratados em nosso território nacional. Hoje, por exemplo, os empresários devem avaliar quais dados têm armazenados, quais são redundantes, obsoletos ou até triviais que já não são mais necessários, e descartá-los, pois são desnecessários para a operação e podem colocar em risco a empresa e o usuário, ambas sendo responsabilidades do detentor/coletor.

Fala-se muito do tratamento dos dados, porém, é necessário rever todo o ciclo que estes passam em seu processo de tratamento para que haja de fato uma melhoria nesse processo. Reavaliar todas essas informações, apesar de “doloroso” pode trazer uma imensa limpeza e isto será muito positivo para a segurança e gestão de dados de sua empresa.

Artigos:

• Uma Visão Macro sobre a Lei Geral de Proteção de Dados
• Adequação à LGPD começa do Básico
• O Diagnóstico e a LGPD
• Quanto Custaria um Vazamento de Dados para sua Empresa?

Reforçar a segurança das informações no âmbito empresarial não é um tema recente, contudo, com cada vez mais organizações coletando e utilizando dados dos usuários, surgiu a necessidade de se regulamentar essa prática. A Lei Geral de Proteção de Dados (LGPD) promulgada em agosto de 2018, trouxe à tona a importância da confidencialidade das informações coletadas dos cidadãos.

Nesse tocante, será necessário a adequação das empresas às exigências da Lei, e uma pergunta bastante comum circula no meio empresarial, - Por onde começar? A resposta é simples, pelo básico.

A Microsoft a partir de janeiro de 2020 deixará de prestar suporte ao consagrado sistema operacional Windows 7, que pasmem, atualmente conta com aproximadamente 40% do total de usuários da marca de Bill Gates.

Embora haja versões disponíveis recentes do Sistema Operacional Windows, cerca de 41% dos consumidores continuam usando sistemas operacionais desatualizados ou próximos de perder o suporte técnico, como o Windows XP ou o Windows 7. Ao mesmo tempo, 40% das microempresas e 48% das pequenas e médias empresas e grandes corporações ainda utilizam esses sistemas.

O uso de Sistemas Operacionais defasados é preocupante, principalmente pela falta de investimentos em suporte. Um sistema operacional sem correções representa um risco de cibersegurança; o custo de um incidente, à luz da Lei Geral de Proteção de Dados pode ser significativamente maior que o investimento na modernização dos sistemas.

É altamente recomendável que as empresas migrem, o quanto antes, para as versões com suporte e garantam que as ferramentas adicionais de segurança estejam em atualizadas na fase migratória.

Apesar de aparentemente complexas, as rotinas de adequação à Lei de Proteção de Dados brasileira requer rotinas simples, mas que darão segurança à titulares e agentes de tratamento.

Qual será o Impacto?

As empresas que atuam na área de medicina diagnostica trabalham com um elevado fluxo de dados pessoais, com destaque para os dados pessoais classificados como sensíveis pela Lei Geral de Proteção de Dados. Incluem-se nesse rol os procedimentos de análises clinicas, diagnósticos por imagem, exames laboratoriais e medicina genômica.

Portanto, a LGPD impactará diretamente tais profissionais e atividades.

COM O QUE PRECISO EFETIVAMENTE ME PREOCUPAR?

• Coleta de dados pessoais de usuários/clientes;
• Compartilhamento de dados com demais agentes da cadeia de saúde;
• Desenvolvimento de novos produtos e serviços ;
• Relacionamento com profissionais da saúde;
• Utilização de dados genéticos;
• Realização de pesquisas clínicas;

DICAS DE ADEQUAÇÃO E CONFORMIDADE:

• Incorporar os conceitos de Privacy by Design e Privacy by Default nas áreas de Analytics para minimizar os impactos à privacidade e proteção de dados, bem como evitar a coleta de dados desnecessários ou excessivos.
• Observar as regras das pesquisas clínicas, destacando o Termo de Consentimento Livre e Esclarecido.
• Atentar-se ao processo de seleção de fornecedores e parceiros, priorizando aqueles que estão adequados ou que pelo menos estejam em processo de adequação à LGPD.
• Realizar treinamentos periódicos com os colaboradores, criando assim a cultura de proteção de dados dentro da empresa.

Você já se perguntou quais as consequências de um incidente envolvendo os dados coletados pela sua empresa?

Qual seria o impacto para seu negócio se todos os dados e sistemas fossem expostos, abertos para a concorrência? Como seria perder as informações de seus clientes e comprometer a privacidade de assuntos sigilosos e estratégicos para o futuro da empresa?

Em uma realidade cada vez conectada, sofrer um ataque virtual realmente pode provocar consequências drásticas para qualquer negócio, independentemente de seu porte ou segmento.

Estima-se que, somente em 2018, os crimes virtuais tenham gerado perdas de aproximadamente dois trilhões de dólares em todo o mundo, sem contar com os estragos na reputação de grandes empresas ao redor do planeta.

O principal tipo de ataque de um passado recente teve como alvo justamente o ransonware (sequestro de informações de usuários e empresas). Estamos falando das ações de phishing, que usam iscas para contaminar as máquinas onde, hoje, armazenamos informações de todos os tipos.

O objetivo dessas ações é roubar/se apropriar informações sigilosas, sobretudo das empresas, não importa o seu porte. Informações essa que possivelmente serão oferecidas à concorrência e/ou solicitado um “resgate” para sua devolução.

É essencial garantir que links suspeitos não sejam acessados. A instrução dos usuários é uma etapa vital na promoção de boas práticas que precisa ser incentivada dentro das empresas. Se os colaboradores não conhecem os riscos e não estão em conformidade com as regras criadas para promover mais segurança para as informações confidenciais, a empresa estará em risco.

Outro fato tão importante quanto a conscientização, é implementação de uma boa infraestrutura de tecnologia e segurança da informação.

Redes desprotegidas e mal configuradas criam riscos e podem ser a porta de entrada para ataques às informações da empresa. Sem muito esforço, é possível encontrar diversas manchetes online noticiando vazamentos de dados envolvendo organizações de todo porte.

Os números mostram porque as empresas precisam se adequar para esse cenário de evolutivo. Os líderes corporativos precisam entender que investir em segurança digital tem influência direta no desempenho e envolve cada um dos dispositivos e itens conectados às redes.

Por isso, a preocupação com a segurança na internet não deve ser um tema restrito apenas à área de tecnologia. Hoje, os dados fazem parte dos negócios, como uma matéria-prima essencial para a análise e evolução real das companhias.

Manter em segurança essas informações com o apoio de parceiros, sistemas, tecnologias e serviços que previnam possíveis roubos de dados ou brechas de privacidade é uma ação essencial para a continuidade da empresa.

Existe um limite?

Incidentes de vazamento de dados pessoais de usuários de redes sociais são constantes ao redor do mundo e, sendo uma situação perigosa, que vem sendo duramente punida pelas autoridades responsáveis. Recentemente mais de 540 milhões de pessoas com contas no Facebook tiveram seus dados expostos em servidores na nuvem, sem qualquer tipo de proteção.

Atualmente, é de conhecimento geral que, uma vez que as redes sociais disponibilizam “gratuitamente” seus serviços à todos que desejarem usufruí-los, a forma de monetização dessas empresas ocorre através de anúncios publicitários em suas plataformas. E partindo desse princípio, quando não pagamos por um produto, nós somos o produto.

As informações coletadas dos usuários são importantes ativos de publicidade, marketing, direcionamento de vendas e a calibração do perfil do usuário (potencial consumidor), pois através do tratamento desses dados, as empresas conseguem traçar o perfil de cada usuário e assim prestar serviços e oferecer produtos cada vez mais sob medida, conforme as preferencias individuais.

Quando se entra no bojo da Lei Geral de Proteção de Dados, iniciará sua vigência em agosto de 2020, as organizações serão responsabilizadas por qualquer tipo incidente (vazamento), seja lá qual for o método de coleta. É um desafio para as organizações a adaptação em relação ao armazenamento dessas informações, em vista que é uma nova prática a se adotar. A privacidade quanto ao uso de dados agora é muito mais rígida e delimitado por lei, bastante rígida por sinal, evitando assim interpretações que fujam ao legislado.

Para a pessoa física, a implementação da Lei Geral de Proteção de Dados facilita o controle sobre seus dados junto às empresas, há qualquer momento, ou até a exclusão destes, haja vista que essa é uma garantia prevista em Lei.

Para as empresas, chegou a hora de modificar o modo de operação e aderir à cultura de transparência, realizando um mapeamento interno, realizar um plano de ação para execução das adequações necessárias, investir em segurança da informação, desenvolver contratos e termos de uso do serviço, tanto para clientes como para fornecedores, de maneira clara, objetiva e sem entrelinhas.

Ser transparente com seu público, não é mais opcional, e sim uma obrigação, independente do seu ramo de atuação, tamanho ou localização.

Você já analisou que por meio de situações corriqueiras, o consumidor fornece a terceiros vários dados pessoais como o CPF, o número do cartão de crédito, senhas, endereço, e-mail, telefones, datas de aniversário, dentre outros. Hoje, os dados pessoais são ativos estratégico para as organizações.

Dados obtidos de consumidores podem ser e são utilizados em inúmeras ações, como o direcionamento de propagandas e anúncios específicos para determinado perfil de pessoa, a depender das páginas que são visitadas na internet. Pode-se identificar a preferência ideológica ou mesmo sexual de pessoas por meio da análise dos gastos com cartão de crédito. Os exemplos, para o bem e para o mal, são praticamente inesgotáveis.

Nesta toada temos um cenário imenso e inexplorado para novas demandas indenizatórias a serem ajuizadas por consumidores, que poderão se utilizar do argumento da falta de consentimento ou base legal para questionar situações da vida, como a dificuldade de acesso a crédito, emprego ou serviços, ou ainda, o vazamento de seus dados pessoais, o que tem sido cada vez mais comum no Brasil.

É incontestável que as disposições da Lei Geral de Proteção de Dados fornecem mais segurança jurídica para o mercado de consumo. Entretanto, escancara as portas do Judiciário para um novo tipo de demanda, o contencioso de dados envolvendo consumidores considerados lesados pelo tratamento indevido de seus dados pessoais.

Evidentemente as empresas devem se adequar às regras da LGPD no tocante ao tratamento de dados dos consumidores (sem ignorar os dados de seus próprios empregados, de fornecedores e prestadores de serviços, por exemplo), sob pena de sujeitarem-se às penalidades administrativas previstas na própria lei, sem prejuízo da existência de medidas judiciais para reparação de danos causados em razão do tratamento inadequado dos dados de seus titulares.

A LGPD trará transformações significativas em matéria de proteção dos dados pessoais no Brasil, acarretando impactos para inúmeras empresas, de pequeno ou grande porte e também para outras instituições, inclusive para a Administração Pública. Apesar da vacância estabelecida, muitos controladores e operadores de dados pessoais ainda não se adequaram às determinações da lei.

Não é difícil imaginar, nessas circunstâncias, que inúmeras ações sejam individuais ou coletivas surgirão com amparo na LGPD, sendo alvo fácil e com poucas chances de defesa, uma empresa que ainda não tenha se adequado a esta nova realidade.

Qual o papel do Encarregado segundo a LGPD?

A Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/18, cuja entrada em vigor se dará em agosto de 2020, tem despertado amplos debates sobre as melhores práticas de implementação das profundas mudanças legais, procedimentais e culturais por ela propostas.

Dada a inexistência de uma lei tão abrangente na proteção dos dados pessoais no nosso ordenamento, grandes mudanças foram trazidas pela LGPD. Dentre elas se destaca a criação da figura do data protection officer, também conhecido como “DPO”, por aqui conhecido como “encarregado”.

“Encarregado” aparece 07 vezes no texto da Lei, que traz ainda, em seu artigo 5º, inciso VIII, a definição legal, sendo a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).”

A instituição de um encarregado será obrigatória para as pessoas naturais, empresas (Art. 41) e pelo Poder Público (art. 23, III) que realizam tratamento de dados pessoais, e representa uma função crucial na conformidade das práticas previstas na Lei Geral Proteção de Dados, haja vista as pesadas sanções em caso de descumprimento.

Nesta cenário, em analise à Lei Geral de Proteção de Dados, é possível chegarmos a algumas conclusões iniciais sobre a atuação do encarregado:

• Ao encarregado deve ter plena autonomia no desempenho de suas funções, não se admitindo que seja penalizado em razão do desempenho destas. Diante destas garantias, podendo inclusive, ser integrante da organização ou prestador de serviços externo.
• A função de encarregado pode ser exercida por pessoa natural ou jurídica, existindo possibilidade de criação de novos modelos de negócios empresariais com dedicação exclusiva à função de Data Protection Officer.
• É imprescindível que o encarregado tenha comprovado conhecimento jurídico específico sobre proteção de dados, bem como noções sobre o funcionamento da tecnologia utilizada no tratamento dos dados.
• O encarregado, incialmente, não poderá ser responsabilizado por eventual aplicação de sanção ou responsabilidades ao controlador por violações à LGPD, isso porque a sua função é de consultoria, não cabendo ao encarregado adotar nenhuma medida junto a qualquer operação de tratamento de dados. Cabe ao controlador adotar, ou não, as orientações do encarregado, ciente dos riscos.
• Entretanto, não se pode admitir a completa isenção de responsabilidades do encarregado, devendo somente ser responsabilizado em casos excepcionais, onde haja comprovadamente dolo no sentido de induzir o controlador a adotar atitude manifestamente contrária ao texto da LGPD.

Pelo exposto, temos uma noção preliminar da importância e relevância do papel do encarregado de dados na atuação em conformidade com a Lei Geral de Proteção de dados que passa a viger a partir de Agosto de 2020.

Estamos a menos de 01 ano para vigência da Lei.

A menos de um ano para a entrada em vigência da Lei Geral de Proteção de Dados é comum o questionamento “abrasileirado” de – “Será que essa Lei vai pegar?” Particularmente acho um péssimo termo, mas que devido à nossa cultura, o transformou em um jargão comum.

Entretanto, recentemente o Youtube foi notificado pela SENACON – Secretaria Nacional do Consumidor, relativamente à uma suposta coleta irregular de dados de crianças e adolescentes por meio de seus aplicativos, sem que fosse dado conhecimento aos pais, fato esse que contraria o Art. 14 § 1º e § 5º.

Ainda para que não haja dúvidas quanto ao fato da Lei “pegar” ou não, temos a SENACON como um Órgão Público diretamente ligado ao Ministério da Justiça, o que reforça o já exposto na Lei 13.853/2019 que instituiu a ANPD – Agência Nacional de Proteção de Dados a qual está diretamente ligada ao Governo Federal tendo sua atuação prevista de forma concorrente com demais entidades e autarquias.

Importante destacar que a notificação do governo brasileiro ocorre dias após o Youtube receber uma multa de US$ 170 milhões do governo dos EUA, justamente, por violar regras de privacidade infantil ao coletar dados de menores de 13 anos para utilização em sua plataforma de publicidade.

Fora a pena pecuniária, também foi exigido que a plataforma utilize de sistemas que impeçam a exibição de propagandas inapropriadas para crianças, interrompa a segmentação de anúncios para esse público e ofereça recursos que permita aos donos de canais indicarem quando suas produções são direcionadas a menores de 13 anos. Além disso, a companhia deverá criar sistemas que permitam aos pais dar o consentimento para a coleta de informações.

Em uma rápida comparação é possível constatar que todas as exigências impostas pelo governo americano estão previstas no Artigo 14 da LGPD brasileira. O Youtube tem 10 dias para responder à notificação do Ministério da Justiça.

O termo compliance significa “estar em conformidade com”, obedecer, satisfazer o que foi imposto, comprometer-se com a integridade. No âmbito corporativo, uma Organização “em compliance” é aquela que, por cumprir e observar rigorosamente a legislação à qual se submete e aplicar princípios éticos nas suas tomadas de decisões, preserva ilesa sua integridade e resiliência, assim como de seus colaboradores e da Alta Administração.

O compliance tem a função de monitorar e assegurar que todos os envolvidos com uma empresa estejam de acordo com as práticas de conduta da mesma. Essas práticas devem ser orientadas pelo Código de Conduta e pelas Políticas da Companhia, cujas ações estão especialmente voltadas para o combate à corrupção.

Importante ainda destacar que no cenário atual, as práticas de compliance estão completamente vinculadas às praticas de proteção de dados pessoais que passarão a ser obrigatórias a partir de Agosto de 2020 com a entrada em vigor da LGPD.

Os principais pontos a serem observados na implementação de um sistema de compliance são:

• Planejamento e Documentação

Criar um arquivo de banco de dados unitário, onde serão arquivados todos os dados coletados, servindo como base legal para documentar as medidas de segurança tomadas bem como para em caso de eventual vazamento, dimensionar o tamanho do dano.

• Data Protection Officer

Exigência expressa da LGPD, o DPO (Data Protection Officer) ou traduzindo, o encarregado pela proteção dos dados é figura central na adequação à Lei, sendo o mesmo o responsável direto pelo tratamento dos dados, garantia de aplicação da Lei e contato com os titulares.

• Identificação e Mapeamento

Manter o registro de todos os dados coletados (remissão passo 01) inclusive registro de sua origem, mantendo-os protegidos e organizados.

Essa medida organiza o fluxo de dados coletados e tratados, dando uma ampla visão do negócio e facilitando a identificação e prevenção de riscos.

• Classificação dos Dados

Fazer a classificação dos dados nas formas descriminadas na Lei (pessoais, sensíveis, anonimizados e etc).

A classificação é primordial, uma vez que a LGPD prevê tratamento diferenciado para cada tipo de dado pessoal coletado. Um exemplo são os dados pessoais de crianças e adolescentes, os quais exigem termo de consentimento dos pais ou responsáveis.

Esse tipo de classificação permite estabelecer planos de ação e de proteção atendendo as exigências específicas de cada categoria.

• Mapeamento do Consentimento

Além de mapear, identificar e classificar os dados coletados, imprescindível também é a autorização do titular para coleta e tratamento de cada um deles.

No termo de consentimento deve estar previsto de forma clara e objetiva a forma de coleta, de tratamento e a finalidade específica a qual se destinarão os dados do titular.

• Estruturação dos Termos de Consentimento

Os termos de autorização para coleta de dados não são ad eternum e nem de abrangência geral, ou seja, eles tem validade e finalidade específica.

Portanto é importante criar mecanismos para saber quando renová-los, alterá-los junto ao titular quando outros dados precisarem ser coletados ou a finalidade do tratamento precisar ser revista (ampliada ou reduzida).

• Política de Informação

Manter os titulares periodicamente informado acerca dos dados que estão em poder da empresa além de demonstrar sua preocupação com a segurança, reforça a relação de confiança junto ao titular.

Além disso, na hipótese de um eventual incidente, essa prática pode atenuar uma condenação, caso venha a ocorrer.

• Correção dos Dados

Na Lei Geral de Proteção de Dados também existe previsão de responsabilidade pela correção dos dados.

Dessa forma, quando informado pelo titular a inconsistência de seus dados, é necessária a efetiva alteração/correção, bem como a comunicação ao titular que seus dados foram atualizados.

• Não Conformidade

É preciso evitar ao máximo um passivo jurídica em relação à LGPD. Mas nas situações onde efetivamente não for possível a adequação, é fundamental ter ciência inequívoca de quais dados ou quais setores estão em desacordo com a Lei.

De posse dessas informações, é preciso redobrar o monitoramento desses dados e criar estratégias para contenção de eventuais incidentes e mitigar os riscos, umas vez que a Agencia Nacional de Proteção de Dados frequentemente realizará trabalho de fiscalização.

• Segurança

Política de segurança de dados não é custo, é investimento. Criar e implementar regras de segurança da informação é essencial nesse novo cenário.

A utilização de logins e senhas nos sistemas que deem acesso aos dados de clientes e funcionários é obrigatório.

Instituir hierarquia de logins e senhas, limitando o acesso à sistemas, de acordo com a nivelação do funcionário dentro da empresa ajuda a monitorar a fonte de um possível incidente de vazamento.

Criptografia de banco de dados também é uma forte aliada das empresas.

• Finalizando o Tratamento

A LGPD que após o concluída a finalidade para qual os dados foram coletados, os mesmos devem ser eliminados.

É preciso regras claras e a comunicação junto ao titular acerca do tempo em que serão utilizados bem como o prazo para sua eliminação. Importante lembrar que para manutenção dos dados após atingida a finalidade da coleta, é necessário autorização do titular.

Continuar armazenando os dados coletados após finalizado o prazo para sua eliminação é erro fatal.

• Treinamento de Equipe

É um novo cenário para todos, inclusive para a equipe que precisará estar alinhada na aplicação das exigências da LGPD.

Treinamentos periódicos, elaboração de rotinas e documentos são altamente recomendáveis.

• Registro de Incidentes

No caso de um eventual incidente de vazamento de dados, é preciso estar atento ao que dispõe a Lei. Este é o caso mais grave!

O incidente deve ser registrado, em seus mínimos detalhes, de forma clara e objetiva, contendo informações acerca de onde partiu o vazamento, quais dados foram envolvidos, quais ações estão sendo tomadas para mitigação dos riscos e comprovação de comunicação ao titular.

• Privacy by Design

Criação de rotinas de privacidade desde a concepção do projeto ou serviço. A estruturação de proteção dos dados.

Avaliação e implementação de medidas e procedimentos técnicos e organizacionais adequados desde o início para garantir que o tratamento está em conformidade com a LGPD.

• Segurança

Criação e execução de rotinas de backup é uma ação importantíssima, pois auxilia no monitoramento dos dados coletados e tratados, o que auxilia inclusive no mapeamento, identificação e traz mais agilidade no processo de informação ao titular.

Encriptação dos dados, incluindo os backups é medida OBRGATÓRIA.

• Segurança da Segurança

Mapeamento e Identificação de risco de incidentes envolvendo os procedimentos de segurança (impressão e cópias não autorizadas de backup, utilização indiscriminada de pendrives, câmeras de monitoramento).

Identificação de quais funcionários tem acesso às informações e a quais informações eles possuem acesso (hierarquia de senhas).

Identificação do patrimônio empresarial através do número de série do equipamento que tenham acesso ao banco de dados e backup’s, é essencial em casos de apuração de responsabilidade.

São formas de mitigação dos riscos e que auxiliam em uma rápida e completa identificação de um incidente.

• Política de Privacidade

Rever e atualizar a política de privacidade de todos os documentos e contratos com clientes, inclusive com funcionários e prestadores de serviço.

• Revisão e Fiscalização

Após a implementação de todos os passos, é necessário uma revisão constante bem como a checagem da aplicação correta de cada um deles.

A autenticação via Blockchain é juridicamente aceita?

Muito tem se discutido acerca da validade de provas obtidas no meio digital. O Novo Código de Processo Civil em seu artigo 384 prevê que a existência e o modo de existir de algum fato podem ser atestados ou documentados, a requerimento do interessado, mediante ata lavrada por tabelião, o que é valido também para imagens e sons gravados em arquivos eletrônicos.

Mas o questionamento fica na seara de, somente será possível atribuir validade jurídica a documentos obtidos no meio digital através de Ata Notarial?

Apesar de atualmente muito se falar a respeito da tecnologia Blockchain, pouquíssimas vezes as discussões avançam a mera especulação, ainda mais quando se trata de sua utilização na prática jurídica.

DECISÃO TJSP

Entretanto, recentemente o Tribunal de Justiça do Estado de São Paulo adotou uma postura vanguardista, aceitando a tecnologia Blockchain como válida para comprovar a existência de conteúdo em meio digital.

O caso em que tal decisão foi adotada é a ação do ex-governador de Goiás, o qual alega a existência de publicações em páginas do Facebook, Instagram e Twitter de “conteúdos inverídicos e ofensivos, com o objetivo de produzir o descrédito do autor junto à opinião pública”.

Em pedido liminar, Perillo requereu a intervenção da corte para evitar que os responsáveis pelo conteúdo fossem informados de demanda, evitando assim se desfizessem das postagens. No entanto, a desembargadora Fernanda Gomes Camacho entendeu não ser a intervenção necessária, visto que o autor já havia tomado providências para garantir a sua preservação em blockchain.

Segue a Decisão:

(…) não se justifica a pretensão de abstenção de comunicação de terceiros a respeito dos requerimentos do agravante e dos termos da demanda, inclusive porque o próprio recorrente afirmou que “a partir do conhecimento dos fatos, o Autor providenciou a preservação de todo o conteúdo via Blockchain, junto à plataforma OriginalMy, hábil a comprovar a veracidade e existência dos conteúdos”.

MAS O QUE É BLOCKCHAIN ?

A tecnologia blockchain, conforme indicado na decisão acima, surge como uma alternativa rápida para documentação de crimes contra a honra, bullying ou fake news difundidos por meios eletrônicos.

Ela é uma base de dados distribuída, que roda em vários computadores diferentes ao redor do mundo ao invés de estar armazenada em um único local, e na qual dados podem apenas ser adicionados, mas não alterados ou removidos. Além disso, dados são adicionados ao sistema de forma linear e sequencial, formando uma “cadeia de blocos”.

Duas particularidades a tornam imprescindível para a coleta de provas sobre conteúdo online. Primeira, como dados adicionados ao blockchain são imutáveis, a modificação indevida da prova certificada torna-se impossível.

Segundo, cada arquivo no sistema possui um carimbo de tempo (timestamp), que diz com precisão a data e horário em que ele foi adicionado, e uma assinatura digital exclusiva (conhecida como hash, um conjunto de 64 algarismos em hexadecimal), que contribuem para um grau de segurança que supera inclusive a análise humana do tabelião.

MAS E A VALIDADE JURÍDICA DO BLOCKCHAIN ?

Esse questionamento ainda costuma ser uma preocupação que impede a utilização da certificação de provas em blockchain em nosso ordenamento jurídico.

Importante destacar que ainda não existe nenhuma previsão no ordenamento brasileiro que impeça tal uso. Ao contrário, existem previsões expressas que autorizam esse tipo de possibilidade.

O CPC/2015, traz o princípio da atipicidade das provas, prevendo que “as partes têm o direito de empregar todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, para provar a verdade dos fatos em que se funda o pedido ou a defesa e influir eficazmente na convicção do juiz”.

• Art. 369, CPC/2015: As partes têm o direito de empregar todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, para provar a verdade dos fatos em que se funda o pedido ou a defesa e influir eficazmente na convicção do juiz.

Com o avançar do tempo será cada vez mais comum o emprego de novas tecnologias no cenário jurídico nacional, sendo o blockchain uma alternativa rápida, segura, viável e completamente possível para certificação de documentos obtidos de forma digital

A LGPD sem dúvida impactará a forma como os dados são coletados e tratados no território nacional. É preciso estar atento às suas particularidades.

A LGPD é um novo conjunto de regras destinadas a dar aos cidadãos mais controle e efetiva informação acerca dos dados pessoais coletados tanto por organizações públicas quanto privadas. Destacamos alguns pontos essenciais trazidos pela Lei:

A Lei se Aplica à TODOS: A lei é aplicada a todos os setores da economia; possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela;

Autorização: Dentre as bases legais para o tratamento de dados pessoais de forma legal, o Consentimento do titular para utilização de seus dados deve ser expressa, livre e inequívoca, devendo os dados serem utilizados tão somente para a finalidade específica autorizada.

Data Protection Officer: A partir de agora, as organizações devem estabelecer procedimentos internos de Segurança da Informação, visando a proteção dos dados coletados, devendo ser nomeado profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei.

Direitos dos Titulares: Os titulares dos dados terão amplo acesso à informação, que deverá ocorrer de forma clara, precisa e facilitada, sendo possível a qualquer tempo seu acesso, retificaçao, oposição, portabilidade e cancelamento.

Incidentes: A LGPD impõe, em caso de qualquer incidente de segurança envolvendo dados pessoais, a comunicação OBRIGATÓRIA aos titulares e à Autoridade Nacional. Tal comunicação deve descrever o incidente ocorrido, bem como quais dados do titular foram colocados em risco.

Sanções: As penalidades por descumprimento da LGPD variam desde advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. Destaque-se que as multas podem chegar até 2% do faturamento do ano anterior limitada a R$50.000.000,00 (cinquenta milhões de reais) por descumprimento, sem prejuízo de sanções de natureza obrigacional.

Prazo: As mudanças são impactantes e a LGPD entra em vigor a partir de Agosto de 2020.

Qual a importância da adequação empresarial?

Com a amplitude de atuação atribuída à LGPD, é preocupante que tanta coisa fique sob responsabilidade das empresas. Não o que se discutir, ainda empresas off-line, que se mantém alheias ao uso da tecnologia serão submetidas ao crivo da nova lei. São dados, afinal, independente do formato em que eles são resguardados.

O trabalho de adequação à Lei consiste em levantamento e identificação dos dados pessoais que possui, de conhecimento dos fluxos de informação na empresa e em caso de envolvimento de terceiros, com os quais a empresa realmente necessite dividir esses dados, revisão de medidas de segurança de informação adotadas e de contratos com terceiros, bem como a adoção de políticas corporativas de proteção de dados e de avisos de privacidade para informar as pessoas afetadas sobre o que será feito com seus dados.

COMPLIANCE?

Atualmente inúmeras empresas vem adotando, a implementação da prática de compliance, que consiste em definir uma equipe e gestão específica destinada a gerenciar os procedimentos de rotina da empresa.

Organizações que detêm esse tipo de setor comumente se encontram em constante revisão de seus passos dentro da lei vigente, a fim de que cada ação, voluntária ou acidental, não pise nos indevidos calos nem traga maiores problemas.

MAS POR QUE MINHA EMPRESA PRECISA DISSO?

A partir do inicio da vigência da LGPD, denúncias de descumprimento da Lei podem partir de vários lugares, inclusive simultaneamente, sendo levadas até o conhecimento da ANPD – Agência Nacional de Proteção de Dados.

Mas essa agência, será capaz de fiscalizar efetivamente todo o território nacional?

A ANPD terá autonomia para trabalhar em conjunto com bases de dados oriundas de Estados e Municípios. Isso quer dizer que, a Agência Nacional de Proteção de Dados pode eventualmente delegar a função de fiscalização para entidades como PROCON, Órgãos de Classe, Ministério Público dentre outras, para que dentro de sua área de atuação fiscalizem e enviem relatórios contendo eventuais infrações à ANPD.

É imprescindível que o empresariado desperte para a importância da Lei Geral de Proteção de Dados e desde logo inicie o mapeamento dos procedimentos internos visando efetivamente estabelecer o grau de risco em que a empresa encontra-se e iniciar o projeto de adequação.

Reforçar a segurança das informações no âmbito empresarial não é um tema recente, contudo, com cada vez mais organizações coletando e utilizando dados dos usuários, surgiu a necessidade de se regulamentar essa prática. A Lei Geral de Proteção de Dados (LGPD) promulgada em agosto de 2018, trouxe à tona a importância da confidencialidade das informações coletadas dos cidadãos.

A referida Lei, entrará em vigência em agosto de 2020, e possibilitará que todos tenham conhecimento de como as empresas, públicas ou privadas, efetuam o tratamento de seus dados. Essa é uma oportunidade para que as organizações reflitam a forma e o manejo dessas informações e se elas são utilizadas em consonância com a legislação.

Hoje, o conhecimento do consumidor é o produto mais valioso. Um ponto fundamental na jornada de adaptação à LGPD é ter uma visão analítica dos dados de forma que a empresa alcance os resultados pretendidos. Ou seja, para que as operações sejam otimizadas, esse entendimento deve se estender a todas as áreas da companhia já que, dependendo da sua função, operações diferentes serão adotadas.

Muitas empresas e departamentos ainda lidam com dados armazenados em documentos impressos, o que é arriscado. É importante ter a ferramenta certa para conseguir fazer a gestão da informação compartilhada adequadamente.

Considerar as regulamentações que já estão em vigor em outros países, como o GDPR - Regulamento Geral sobre a Proteção de Dados da União Europeia, em vigor desde o ano passado, também nos ajuda a entender o que funciona e qual a melhor maneira de se adaptar.

Quando a legislação entrou em vigor na Europa, por exemplo, as empresas tiveram dois anos de adaptação e muitas ainda continuam enfrentando problemas nessa transição. Um desafio que causa essa dificuldade é entender que tipo de dados você tem, como eles são usados e como eles são armazenados na organização. Sem esse conhecimento, haverá falhas em qualquer segurança de acesso implementada e os dados podem ser expostos sem que a companhia esteja totalmente ciente disso.

No Brasil, apesar do tempo de adaptação exigido ser menor, podemos otimizar nossas ações com base nesse exemplo do GDPR. Vale observar o que já funciona e avaliar os impactos dessa lei no Brasil, mesmo que não estejamos na Europa. Se você for fornecedor de soluções, basta que um dos seus clientes esteja no continente europeu para que suas ferramentas tenham que estar em conformidade com as leis daquele país.

Mas antes de se atentar na proteção desses dados, é essencial implementar o processo correto para gerenciá-las. Por isso, a importância do uso de tecnologias seguras, capazes de garantir o acesso e uso controlado da informação. O primeiro passo para essa segurança é construir processos de negócios transparentes que envolvam a entrada, processamento e saída de informações dentro da organização.

Existem hoje opções para compartilhamento de arquivos de forma segura, com diretrizes e boas práticas para a troca de informação dentro da empresa e entre seus colaboradores. Além disso, vale sempre pensar no backup de todas as informações da companhia. Para dados mais sensíveis e confidenciais, é possível ainda recorrer para criptografia de documentos – uma forma eficaz de garantir o acesso aos materiais apenas para quem tem determinado nível de permissão.

A adaptação à LGDP é tema prioritário para as organizações e essa adaptação é a oportunidade para que as empresas vislumbrem novas formas de negócios.

O que acontece com a minha foto de idoso?

O FaceApp é um serviço russo que surgiu em 2017 e utiliza inteligência artificial para modificar o rosto das pessoas de forma divertida. Ele permite deixar o indivíduo com aparência envelhecida, rejuvenescida, experimentar diferentes cortes de cabelo etc.

Nos últimos dias, a internet brasileira parece ter se tornado um “lar da melhor idade”. Várias pessoas, inclusive famosos, passaram a postar selfies com suas versões idosas. O FaceApp, apesar de se apresentar como um aplicativo aparentemente inocente, pode ser extremamente invasivo em relação à privacidade.

O FaceApp possui uma política de privacidade bastante genérica. A política de privacidade, aquela que nenhum de nós lê, do aplicativo em questão permite além da coleta das fotos inseridas para aplicação dos filtros outras informações sensíveis como, identificadores do aparelho celular, e-mail, dados de localização.

Ao utilizar o FaceApp, o usuário além de concordar com a coleta dos dados acima, também concordam com o compartilhamento dessas informações com serviços do mesmo grupo e ainda com “afiliados”, o quais não informados pelo app.

E mais, o usuário concorda que os dados coletados podem ser utilizados nos EUA ou em qualquer outro país em que o FaceApp e seus provedores possuam instalações, inclusive para fins de informação personalizada para anúncios de marketing.

SEGURANÇA

Não espere segurança do FaceApp, pois consta expressamente em sua política de privacidade que o app "não pode garantir a segurança das informações que você transmite ao FaceApp ou garantir que essas informações no serviço não possam ser acessadas, abertas, alteradas ou destruídas".

LGPD

O FaceApp, caso estivesse disponível nas lojas de aplicativos brasileiras em agosto de 2020 obrigatoriamente teria de ser removido. O aplicativo colide frontalmente com a Lei Geral de Proteção de Dados que passará a vigorar a partir do próximo ano.

Princípios como finalidade, adequação, necessidade e transparência não são compatíveis com políticas tão amplas e genéricas como a do FaceApp. Isso sem mencionar a questão do consentimento do usuário, que deve ocorrer de forma inequívoca e para finalidades específicas.

RECONHECIMENTO FACIAL

Mas o que de ruim pode acontecer com o compartilhamento indiscriminado das minhas selfies?

A selfie que você tira pode ser usada principalmente para alimentar bancos de dados usados para treinar câmeras de reconhecimento facial. No mundo todo nossas imagens estão sendo utilizadas para treinar essas bases de dados sem nosso consentimento.

Recentemente no Rio de Janeiro uma pessoa foi confundida por um sistema de reconhecimento facial, sendo conduzida à delegacia por ser “suspeita do cometimento de delitos”.

Portanto, devemos ter cautela ao fornecer indiscriminadamente nossas informações e dados pessoais aos aplicativos do momento.

Principais impactos da Lei 13.853/2019

A ANPD tem sido alvo de intensos questionamentos desde a sua fase embrionária no Congresso Nacional.

Dois fatores entraram em conflito, sendo de um lado, o argumento de que diante da situação econômica do país e da inexistência de recursos suficientes para criação de mais uma agência reguladora, seria preciso pensar em alternativas, atribuindo e delegando as funções da Autoridade entre órgãos já existentes no Governo.

Por outro lado, a alegação de capacidade regulatória, sendo a autonomia e independência da Autoridade comum na experiência internacional, implicando assim em maior confiança e qualidade técnica em Autoridades independentes e autônomas.

A medida adotada foi a ligação temporária da ANPD à estrutura da Presidência, sendo vinculada à administração direta. Entretanto, após o período de dois anos, o Poder Executivo avaliará a viabilidade de mudança para um modelo de autarquia federal.

PRINCIPAIS OBSERVAÇÕES

Em 09 de julho de 2019 foi publicada a Lei 13.853/2019 com a criação da ANPD e algumas modificações ao texto da Lei Geral de Proteção de Dados.

A partir de agora clínicas, hospitais, laboratórios e planos de saúde poderão efetuar o compartilhamento de dados sensíveis entre si, desde que demonstrem benefício aos interesses de seus titulares bem como para portabilidade dos dados ou transações financeiras ou administrativas ocorrentes da prestação dos serviços.

Também houve flexibilização quanto a regra de revisão humana acerca de decisões tomadas de forma automatizada. Poderão ocorrer decisões de forma automatizada, somente baseando-se no tratamento dos dados coletados , desde que seja feita comunicação facilitada com os titulares.

Também foi definido que a Autoridade Nacional tem o papel de aditar regulamentos específicos sobre startups. Fato que não se pode ignorar é, que a ANPD inicialmente está vinculada à Presidência, fato esse que dá ao Governo alto controle sob a regulação deste tipo empresarial.

Também foi retirada da LGPD a sanção que suspendia parcialmente o funcionamento do banco de dados dos infratores da referida Lei, sob alegação de que tal medida poderia inviabilizar o negócio daqueles que descumprissem a previsão do texto Legal. Entretanto, tal medida colide diretamente com os principais pontos da LGPD.

Importante destacar ainda que, a depender do porte econômico da empresa infratora, a multa (em percentuais e valores mantidos) por descumprimento da Lei poderia também representar a inviabilidade do negócio.

Ademais, é necessário aguardar, na prática os efeitos da Lei Geral de Proteção de dados, bem como a atuação da Autoridade Nacional.

Foi dada a largada! a segurança da informação não é mais um mero projeto isolado, nem algo que possa ser feito futuramente, mas sim um requisito obrigatório, legal. O tratamento e proteção de dados deve estar no topo das prioridades de uma empresa, e isso não descarta hospitais e laboratórios.

Pode parecer improvável hospitais e laboratórios estejam sujeitos a um problema relacionado ao mau uso dos dados que coleta, mas a vulnerabilidade é maior do que se imagina. O vazamento de dados ocorridos no SingHealth (maior grupo de saúde de Singapura) evidencia a precariedade na proteção dos dados.

Os dados pessoais de 1,5 milhão pacientes passaram nas clínicas do grupo entre maio de 2015 e julho de 2018 foram obtidos por um grupo ainda não identificado.

Não é incomum encontrarmos, em muitos hospitais e laboratórios, computadores sem antivírus ou com sistemas desatualizados, redes wi-fi inseguras, servidores de e-mail desprotegidos ou equipes que compartilham informações de pacientes e médicos indiscriminadamente.

Esses estabelecimentos fazem o tratamento de dados pessoais sensíves, que dentre seu rol, enquandam-se aqueles referentes à saúde, genética e biométricos. Os hospitais e laboratórios precisam se adaptar à nova lei até Agosto de 2020, quando a LGPD entra em vigor. Quem não se adequar e descumprir regras mínimas pode pagar multa de até 2% do faturamento, limitada a R$ 50 milhões por infração.

Como surgem e qual o reflexo das falsas notícias no cotidiano.

A propagação de forma rápida e intensa das fake news[1] através das mais diversas redes sociais constituem um fenômeno dos dias atuais, que o Brasil e diversos outros países vem buscando criminalizar.

Até pouco tempo, as estratégias utilizadas no combate as notícias falsas ocorriam por meio de notas de esclarecimento, desmentidos, retratações e etc. Tais métodos sempre se mostraram pouco eficazes, dada a velocidade com as quais as fake News se espalham na rede mundial de computadores.

Na atualidade, a principal ferramenta de defesa do indivíduo/empresa/instituição etc., lesados pelas falsas notícias está sendo o Poder Judiciário, na busca pela reparação aos eventuais danos causados, sejam eles patrimoniais ou extrapatrimoniais bem como pela identificação dos responsáveis pelo dano.

As notícias falsas são pensadas e estruturadas para atingir alguns objetivos específicos: levar o leitor ao erro, fomentar boatos, deturpar uma informação verdadeira, atingir a honra de alvos públicos e a manipulação da massa visando alcançar determinados resultados.

Mensurar os danos causados à Instituições por essas notícias ainda é uma tarefa difícil[2], onde se faz necessária uma detida análise do caso específico. Contudo, inegável o fato de que essa prática começa a fragilizar muitos valores da nossa sociedade, inclusive chegando ao ponto de colocar o próprio cidadão contra a Constituição Federal e o Estado Democrático de Direito.

É alarmante o poder destrutivo das fake News! É de conhecimento mundial o escândalo envolvendo o Facebook e a Cambridge Analytica[3], no último pleito eleitoral norte-americano, onde milhares de usuários da rede social de Zuckerberg tiverem seus dados vazados para produção de conteúdo previamente elaborado com base em suas preferências pessoais.

Fato importante é que, nossos Tribunais Superiores vem se posicionando de maneira firme acerca dos crimes digitais, (exatamente, a criação e a divulgação de noticias falsas são crimes em nosso ordenamento Jurídico), principalmente no Superior Tribunal de Justiça.

Outrora, o jornalismo conseguiu aumentar sua tiragem com a edição de notícias sensacionalistas, que não chegavam a ser falsas, mas ganhavam “cores exageradas”, que distorciam a objetividade dos fatos. Hoje temos como divulgadores das notícias falsas o acesso democratizado às redes sociais, a descentralização na produção de conteúdo e o compartilhamento descompromissado, formado por uma imensidão de usuários que, muitas vezes por inocência ou ignorância acerca dos temas difundidos, não levam em conta se a fonte é fidedigna.

As fake news chegaram ao patamar atual de disseminação com a ajuda da tecnologia das plataformas sociais. O usuário médio, sem perceber é inserido numa “bolha” onde o algoritmo escolhido faz as vezes de editor sobre quais publicações os usuários chegarão primeiro ao feed de usuário.

Dessa forma, se um usuário demonstra seu interesse (curtidas, compartilhamentos, comentários) sobre um determinado tema, ele será gradativamente “bombardeado” por postagens e opiniões de outros usuários que pensam de forma parecida, reduzindo assim cada vez mais seu senso crítico e inclusive o seu interesse por questionar se tal informação é verdadeira.

Essa é uma estratégia que busca aumentar a interatividade dos usuários e entregar somente assuntos que possam lhe interessar. A Inteligência Artificial é programada para agir a mediante comandos pré-estabelecidos, “viralizando” assim uma fake news.

Mas como saber se uma notícia é falsa? Geralmente às notícias falsas são redigidas com uma carga emergencial enorme, como por exemplo “compartilhe agora antes que retirem do ar”, “URGENTE”, “isso a mídia não mostra”, dentre outros superlativos que buscam aguçar a curiosidade do destinatário.[4]

E por que tendemos a acreditar nas fake News, mesmo com os indicativos descritos? Essa é uma pergunta interessante e com uma resposta bem simples. O “Efeito da Mídia Hostil”.

Uma mesma notícia pode ser vista de maneira diferentes por grupos que já tenham sua convicção formada sobre um determinado tema. Indivíduos com fortes preferências políticas estão tão convictos da supremacia de suas ideias e opiniões que enxergam uma notícia neutra como inadequada/incorreta, com intuito único e exclusivo de maquiar a realidade para atingir seus objetivos.

O fato é que o ser humano tem aceitação mais amistosa à notícias e coberturas jornalísticas que corroboram e favorecem sua opinião já formada. Ora, se em casos cientificamente comprovados como a evolução da espécie humana, promovem discussões acirradas, o que dizer de questões puramente subjetivas como posicionamento político, crenças religiosas e afins?

O campo subjetivo é o berço das fake News, onde os produtores de conteúdo, que não mais se limitam à imprensa convencional, utilizam-se desse comportamento de “melhor aceitação”, para divulgar notícias capazes de gerar engajamento, click’s, views, comentários, pois essa é a forma de sua subsistência.

Nesse ponto, temos hoje o paladino da polarização de grupos, o Facebook, que lidera o ranking mundial de redes sociais mais usadas no mundo, sendo no Brasil, sem dúvida alguma a mais difundida. O Facebook se preocupa em fornecer aos seus usuários “exatamente” o que eles procuram, através do seu algoritmo, anulando quase por completo postagens e matérias que se contrapõe às preferências do usuário.

Dessa forma, um indivíduo com pensamento político voltado para esquerda receberá em seu feed quase que exclusivamente notícias voltadas para o pensamento de esquerda, e vice versa, limando assim o senso crítico dos usuários, através da divulgação de notícias falsas.

O saldo deixado pelas fake news é a desinformação da sociedade, que acaba inserida num dilema sobre o que é falso ou verdadeiro, ajudando a minar nossa cidadania e o direito de acesso à informação e por muitas vezes colocando o cidadão contra a Constituição Federal.

Tal fato gera uma enorme insegurança, com terríveis repercussões para a vida das pessoas e instituições. É de importância vital que os Entes Públicos se manifestem de forma rígida contra a sensação de impunidade e anonimato que prevalece no mundo virtual, onde muitos usuários consideram um local onde tudo é permitido e que não pode ser atingido pelo ordenamento jurídico.

[1] http://portal.mackenzie.br/fakenews/noticias/arquivo/artigo/o-queefake-news/.

[2] http://www.valor.com.br/legislacao/5421595/empresas-buscamojudiciario-para-combater-noticias-falsas.

[3] https://g1.globo.com/economia/tecnologia/noticia/facebook-enfrentara-ação-coletiva-apos-cambridge-analytica.ghtml.

[4] http://infograficos.estadao.com.br/focas/politico-em-construção/materia/senso-criticoearma-para-combater-fake-news.