terça-feira, 31 de julho de 2018

Impacto da lei de proteção de dados


Coletar dados sem o consentimento do consumidor ou incluir um endereço eletrônico (ie. e-mail) na lista de SPAM para marketing digital sem autorização do internauta, que são atividades comuns para quem trabalha no mundo do comércio eletrônico, estão com os dias contados agora que o Congresso aprovou a lei de proteção de dados no Brasil.

Apesar de ainda faltar a confirmação do presidente Michel Temer, a “GDPR brasileira” deve ser sancionada sem grandes mudanças e passará a valer 18 meses após a publicação no Diário Oficial da União. Um ano e meio para as empresas, principalmente do e-commerce, se adaptarem às novas diretrizes.

Antes da legislação, se vivia em uma terra sem lei, ou seja, se fazia aquilo que parecia razoável do ponto de vista moral [com os dados], mas isso tinha um fundo muito mais econômico do que qualquer outro. Haverá uma restrição para o tratamento, que tornará [certas atividades] irregulares assim que a lei for sancionada pelo presidente”, afirma Ricardo Oliveira, advogado e sócio do escritório Cots Advogados, que acompanhou de perto as discussões sobre a lei no Congresso Nacional.

A partir de agora, toda vez que um site captar dados que identifiquem um usuário – ou que o tornem identificável -, ele precisará informar ao internauta qual a base jurídica para ter em sua posse essas informações.

O projeto prevê a criação de uma agência fiscalizadora, que terá autorização para penalizar quem desrespeitar as regras.

Segundo o advogado, se o lojista tem uma base de dados cuja origem ele não sabe exatamente qual é – por exemplo, se uma informação vem do comércio físico ou do cadastro do consumidor na internet, ou se foram comprados e adquiridos de terceiros -, ele vai precisar sanear essa base para conseguir separar as informações e identificar claramente qual a sua base legal antes de continuar o tratamento de dados.

Outra novidade trazida pela lei é a necessidade de aperfeiçoar o consentimento, também chamado de opt-in no e-commerce. A partir do momento em que entrar em vigor, não bastará só colher o consentimento, será necessário também informar ao consumidor quais dados serão recolhidos, o porquê e o que será feito com eles.

Uma boa notícia é que não deve haver conflito entre a lei de proteção de dados e a obrigatoriedade de guardar informações para determinados órgãos – como a Receita Federal.

Growth hacking

Empresas que aplicam técnicas de growth hacking como estratégia também precisarão se adaptar à nova realidade.

Algumas táticas para crescimento exponencial, como capturar leads no Facebook sem informar ao internauta – por meio dos comentários de postagens ou por meio do Messenger, por exemplo – serão considerados irregulares.

A multa para quem desrespeitar o tratamento de informações pode chegar a 2% do faturamento da empresa ou até a suspensão do banco de dados.

Se você não tem uma base legal, a prática de coleta de dados vai ser considerada irregular. Logo, todo ato nesse sentido [utilizado atualmente] com certeza perderá importância no futuro, porque ninguém vai se submeter a ser autuado por tratar os dados de uma forma equivocada ou irregular”, adverte Oliveira.

Personalização

Quem trabalha com personalização, inclusive de preços, também precisará se adaptar. De acordo com o Instituto Brasileiro de Defesa do Consumidor (Idec), a diferenciação de preços no e-commerce poderá ocorrer somente com consentimento do consumidor.

A discriminação de preços não estará proibida, mas os consumidores deverão ter mais controle e informação sobre a relação entre certos tipos de dados coletados e a formação dos valores individualizados.

Se um site de compra online quiser realizar diferenciação de preços com base na localização, registro de busca ou outras informações relacionadas ao consumidor, deve informá-lo, explicitamente, da existência de coleta e tratamento dos dados e sua finalidade, para permitir a escolha do titular”, explica a entidade em nota divulgada no seu site.

Percebida a realização de diferenciação de preços sem o seu consentimento, o consumidor pode requerer indenização junto aos órgãos de defesa do consumidor, ou à própria empresa.”

Adaptação

Como existem poucas leis específicas sobre o tratamento de dados pessoais na internet no País – ao menos até a aprovação da “GDPR brasileira” -, muita gente vai ter de se adaptar a esse novo cenário. Embora não se espere que o custo da transição seja elevado, a adequação deve gerar bastante trabalho.

Para o especialista Ricardo Oliveira, sócio do escritório Cots Advogados, mais do que financeiramente custosa, a adaptação corre o risco de ser trabalhosa, justamente por causa da cultura de usar indiscriminadamente os dados pessoais. “Com a nova lei, tudo precisará mudar, e isso envolve os contratados, os fornecedores, os empregados em geral”, complementa.

Mesmo que a mudança pareça trazer dor de cabeça, o especialista orienta os lojistas a pensarem de forma positiva.

Na sua opinião, há duas formas de ver uma legislação nova, que regula um tema até então não regulado: de que aquilo é uma barreira para o seu negócio ou é uma segurança para o negócio.

Não gostamos muito de tratar a questão como se fosse uma barreira e tentamos olhar sempre o lado mais positivo, ou seja, havendo regras claras sobre o tratamento de dados no Brasil, esse tratamento acontecerá de uma forma mais segura. Tanto startups, e-commerces, quanto as empresas em geral, vão poder atuar, no que se refere ao tratamento de dados, com muito mais segurança com relação aquilo do que pode e o que não pode fazer”, conclui Oliveira.

Por Caio Colagrande, da redação do E-Commerce Brasil
REF: https://www.ecommercebrasil.com.br/noticias/advogado-explica-as-consequencias-da-lei-de-protecao-de-dados-para-o-e-commerce/

Senado aprova projeto de lei sobre proteção de dados pessoais

O plenário do Senado aprovou no dia 10/07/2018 o Projeto de Lei número 53, da Câmara, que disciplina a proteção dos dados pessoais e define as situações em que estes podem ser coletados e tratados tanto por empresas quanto pelo Poder Público. O texto foi aprovado nos termos do conteúdo votado na Câmara dos Deputados no fim de maio.

Com isso, o Brasil se junta a diversos países do mundo, que já possuem legislação sobre o tema. O projeto agora vai a sanção do presidente Michel Temer.

O texto disciplina a forma como as informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicadas em redes sociais. A proposta foi mantida na semana passada pela Comissão de Assuntos Econômicos (CAE), conservando o conteúdo da Câmara e indicando regime de urgência para votação na casa. A urgência foi apresentada em plenário, mas não chegou a ser apreciada.

O senador Ricardo Ferraço (PSDB-ES), relator do projeto na Comissão de Assuntos Econômicos, destacou que a regulação do tema já é uma realidade no resto do mundo. “Mais de 100 países já colocaram de pé leis e diretrizes de proteção de dados no ambiente da internet. A internet não pode ser ambiente sem regras. A privacidade é um valor civilizatório”, salientou.

O senador Eduardo Braga (MDB-AM), nomeado relator em plenário, defendeu a importância da proposta. “Na era digital dados são considerados grande ativo e patrimônio. Dados devem receber grau mínimo de proteção jurídica. Dados trafegam pelas redes e sem consentimento acabam sendo comercializados, em contraposição aos preceitos constitucionais, que garantem o direito à vida privada”, comentou.

“Todas as entidades, sem nenhuma exceção, foram partícipes na construção do projeto de lei e estamos votando algo que é uma unanimidade”, afirmou a senadora Vanessa Grazziotin (PCdoB-AM). “Estamos vivendo a revolução das redes sociais. Agora vamos ter marco regulatório que permite que cidadão possa acionar aqueles que fizerem mau uso de seus dados”, acrescentou o senador Jorge Viana (PT-AC).

Entenda o projeto

O PLC 53 considera dados pessoais a informação relacionada a uma pessoa que seja “identificada” ou “identificável”. Ou seja, o projeto de lei regula também aquele dado que, sozinho, não revela a quem estaria relacionado (um endereço, por exemplo) mas que, processado juntamente com outros, poderia indicar de quem se trata (o endereço combinado com a idade, por exemplo).

Foi criada uma categoria especial, denominada dados “sensíveis”, que abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, já que traz riscos de discriminação e outros prejuízos à pessoa. Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).

O projeto de lei abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Assim, por exemplo, por mais que o Facebook recolha registros de brasileiros e faça o tratamento em servidores nos Estados Unidos, ele teria de respeitar as regras. Também é permitida a transferência internacional de dados (como no exemplo citado), desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.

Ficaram de fora das obrigações o tratamento para fins pessoais, jornalísticos e artísticos. Também não são cobertos o processamento de informações em atividades de segurança nacional, segurança pública e repressão a infrações. O texto indica que esses temas devem ser tratados em uma lei específica. O Poder Público ganhou também a possibilidade de tratar dados sem consentimento das pessoas, em determinadas situações, como na execução de políticas públicas. Para isso, o órgão deve informar em seu site em que hipótese o processamento de dados é realizado, sua finalidade e quais são os procedimentos adotados. Essas regras especiais se aplicam também aos cartórios.

Obrigações e direitos

Para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular, que deve ser livre e informado. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim o desejar.

O projeto prevê, contudo, algumas situações em que este não é necessário, como a proteção da vida, o cumprimento de obrigação legal e procedimento de saúde. A exceção mais polêmica é chamada de “legítimo interesse”, que na prática permite a uma empresa coletar um dado para um propósito e usá-lo para outro, desde que para “finalidades legítimas” e a “partir de situações concretas”. Nesse caso, somente os dados “estritamente necessários” podem ser manejados.

Outra obrigação das empresas incluída no relatório do deputado Orlando Silva (PCdoB-SP) é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. Caso haja algum incidente de segurança que possa acarretar dano ao titular da informação, a empresa é obrigada a comunicar à pessoa e ao órgão competente.

A redação prevê uma série de direitos ao titular, que pode solicitar acesso às informações que uma empresa tem dele - incluindo a finalidade, a forma e a duração do tratamento - e se houve uso compartilhado com algum outro ente e com qual finalidade. Também é possível requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço. Ou seja, o usuário de uma conta de e-mail pode ter todas as suas mensagens, caso deseje abrir conta em outro serviço deste tipo. O titular também pode solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo.

Fiscalização e órgão regulador

O relatório de Silva propõe a criação da Autoridade Nacional de Proteção de Dados, que ficará responsável pela edição de normas complementares e pela fiscalização das obrigações previstas na lei. Essa autoridade terá poder, por exemplo, para exigir relatórios de impacto à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos. Ou seja, se o órgão suspeitar que em alguma empresa há risco de problemas no tratamento dos dados, o relatório reúne informações necessárias para uma primeira apuração. Pode também fazer uma auditoria, em que se verifique no local da empresa se o manejo dos dados está sendo realizado corretamente.

Se constatar alguma irregularidade em qualquer atividade de tratamento, a autoridade pode aplicar uma série de sanções, entre as quais está prevista multa de até 2% do faturamento da empresa envolvida, com limite de R$ 50 milhões, o bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento. O substitutivo também institui o Conselho Nacional de Proteção de Dados, formado por 23 representantes do Poder Público, da sociedade civil, de empresas e de instituições científicas e tecnológicas. O colegiado tem como atribuições propor diretrizes estratégicas sobre o tema e auxiliar a autoridade nacional.

Apoios

O PLC tem apoio de diversas entidades, como a Associação Brasileira de Emissoras de Rádio e TV (Abert), a Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Brasscom) e a Coalizão Direitos na Rede, que reúne entidades de defesa de direitos dos usuários de internet. Mas encontrava resistência em organizações do ramo financeiro, como a Federação Brasileira de Bancos (Febraban) e a Confederação Nacional de Seguradoras.

“Este projeto é fundamental para o desenvolvimento da economia digital no Brasil porque ele alcança equilíbrio entre a proteção do direito do cidadão em um arcabouço que ajude as empresas a inovarem”, avaliou a diretora jurídica da Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Brasscom).

“Essa discussão contou com dezenas de entidades da sociedade civil mas também com inúmeras entidades do setor empresarial, que entenderam que a proteção de dados é princípio que deve ser garantido na legislação brasileira”, comentou Marcos Urupá, do Coletivo Intervozes, entidade integrante da Coalizão Direitos na Rede, que reúne organizações de defesa de direitos dos usuários.


Publicado em 10/07/2018 - 17:22
Por Jonas Valente – Repórter Agência Brasil
REF: http://agenciabrasil.ebc.com.br/geral/noticia/2018-07/senado-aprova-projeto-de-lei-de-protecao-de-dados-pessoais

quarta-feira, 13 de junho de 2018

Serviço Federal de Processamento de Dados (Serpro) pode ter violado sua privacidade

O governo pode estar ganhando dinheiro com suas informações. A Comissão de Proteção de Dados do Ministério Público do Distrito Federal e Territórios abriu uma investigação contra o Serviço Federal de Processamento de Dados (Serpro). De acordo com os promotores, a estatal estaria vendendo dados pessoais de brasileiros – como nome completo, CPF, data de nascimento, sexo e até endereço – presentes nas bases da Receita Federal, para empresas públicas e privadas.

De acordo com a comissão, as informações seriam vendidas para o site Consulta Pública, que teve o domínio congelado por fornecer informações atualizadas dos cidadãos, o que, de acordo com a investigação, sugeriu que a origem dos dados era pública.

Esse site teria sido o “fio da meada” para a investigação que chegou ao Serpro. De acordo com o MPDFT, a estatal pode ter vendido informações também para a administração pública, que podem podem ter chegado a R$ 1,3 milhão. O MPDFT afirma que questionou a estatal a respeito desses contratos, mas a empresa afirmou que as informações eram sigilosas e que não iria responder aos questionamentos. Diante da falta de respostas, os promotores encaminharam o caso ao Ministério Público Federal. 

Ferramentas de consulta de dados

No ano passado, o Serpro anunciou o lançamento de ferramentas que permitem o acesso a informações disponíveis em bancos de dados do governo, que poderiam ser contratadas por empresas, por exemplo, de análise de crédito.

O absurdo, da resposta abusiva do Serpro

Questionada, a estatal afirmou que “há uma distorção que vem sendo feita a respeito de sua atuação na prestação de serviços ao governo e à sociedade” e que nunca contratou ou repassou dados ao site Consulta Pública.

“O que é chamado ‘venda de informações’ é, na verdade, um procedimento legal e legítimo amparado por lei de disponibilização, previamente autorizada, de dados e informações já públicos, pertencentes aos órgãos e entidades da administração, procedimento que, em nenhuma medida, atenta contra o sigilo de dados do cidadão”, afirma, em comunicado.

Eu nunca autorizei o Serpro ou qualquer orgão público ou privado a disponibilizar meus dados privativos.  Por acaso o Serpro pode provar isto ?

REF: https://br.financas.yahoo.com/noticias/governo-pode-estar-faturando-com-seu-cpf-entenda-como-144727929.html

sexta-feira, 8 de junho de 2018

Lei de Dados Pessoais é aprovada finalmente na Câmara dos Deputados

As discussões em torno de uma Lei de Proteção de Dados Pessoais chegaram ao fim na Câmara dos Deputados na noite de terça-feira (29). De forma consensual, o Plenário aprovou o PL (Projeto de Lei) nº 4060/2012, de acordo com o substitutivo apresentado pelo deputado Orlando Silva, relator do projeto. Hoje, o Idec divulgou uma análise do projeto, considerando-o forte e solicitando a sua aprovação no Senado.

O texto é fruto do trabalho de dois anos da Comissão Especial de Tratamento e Proteção de Dados Pessoais, formada após o agrupamento de dois projetos que tratam sobre o tema: o PL 4060/12, de autoria do deputado Milton Monti, e o PL 5276/16, da ex-Presidenta Dilma Rousseff. A comissão realizou 11 audiências públicas desde sua criação em agosto de 2016.

Nos últimos meses, o Idec trabalhou em conjunto com entidades da Coalizão Direitos na Rede no envio de contribuições ao substitutivo preparado pelo relator. Em abril, Rafael Zanatta, advogado e pesquisador em direitos digitais do Instituto defendeu a priorização da lei de dados pessoais antes da votação da reforma do Cadastro Positivo.
 
“Com uma legislação forte sobre dados pessoais e normas executáveis por uma autoridade distinta do Banco Central, o cadastro positivo geraria menos riscos coletivos em sua tentativa de democratização das finanças”, afirmou o pesquisador na época.

De acordo com o Instituto, a aprovação da Lei de Dados Pessoais na Câmara avança no controle de riscos coletivos e se aproxima do sistema adotado na União Europeia.

O Idec ainda considera que desde o escândalo Facebook, que ocorreu em março de 2018, cresceu a consciência pública sobre a necessidade de direitos básicos e maior controle sobre o modo como dados pessoais são utilizados e compartilhados com terceiros.

O que o Idec defendeu e o que foi aprovado?
Desde 2011, o Idec tem lutado para aprovação de uma Lei Geral de Proteção de Dados Pessoais no Brasil, produzindo pesquisas, matérias, eventos, oficinas e textos de posição para o Congresso.

Em agosto de 2017, o Instituto participou do Seminário de Proteção de Dados Pessoais do Comitê Gestor da Internet e apresentou treze pontos fundamentais de uma legislação voltada aos cidadãos.

“O fato de o relator do projeto ter mencionado o papel da sociedade civil, dos acadêmicos e das empresas na construção da versão final da lei também fortalece a visão de que a criação dessas regras seguiu um processo multissetorial, como exigido pelo Marco Civil da Internet (Lei 12.965/14). Com a aprovação da lei de dados pessoais, o Brasil pode completar o “tripé regulatório” para a cidadania online: uma Lei de Acesso à Informação, um Marco Civil da Internet e uma Lei Geral de Proteção de Dados Pessoais”, comenta Zanatta. 

Clique aqui para ver de que modo a Lei de Dados Pessoais aprovada na Câmara dos Deputados se adequa a essas demandas. 

REF: https://idec.org.br/noticia/apos-anos-de-pressao-lei-de-dados-pessoais-e-aprovada-na-camara

Os EUA vão regular a proteção de dados pessoais?


Lia & Miriam
Lia & Miriam

Cresce a corrente dos que entendem que a autorregulação das empresas não consegue mais evitar vazamentos e uso indevido dos dados pessoais

Lia Ribeiro Dias

A autorregulação das empresas, tão ao gosto do mercado e do ideário liberal dos Estados Unidos, definitivamente não responde mais à proteção dos dados pessoais no mundo digital. Frente à pressão que enfrenta no Congresso norte-americano, seja em decorrência da notícia de que os dados de 87 milhões de usuários foram passados para uma empresa de campanha política, seja de que sua empresa foi permissiva no uso de suas páginas por empresas e cidadãos russos para fazer campanha política em favor de Donald Trump à presidência dos Estados Unidos, o próprio criador do Facebook, Mark Zuckerberg, já começa a admitir algum tipo de regulamentação para garantir a privacidade dos cidadãos na rede.

Os dados das pessoas estão cada dia mais vulneráveis a vazamentos, usos indevidos, roubo de identidades e acidentes diversos. Por mais que as empresas tentem aperfeiçoar suas configurações de privacidade, a maioria ainda é arcaica e complexa ao entendimento do cidadão, que concorda e autoriza o uso de seus dados sem ter a real dimensão com o que está concordando ou autorizando. E só a boa vontade do lado das empresas, já está claro aos políticos e reguladores, como vêm mostrando os debates e audiências no Congresso norte-americano, não consegue dar resposta a um problema complexo de proteção a direitos individuais, no caso de dados pessoais, e coletivos, de informações falsas.

De alguma forma — começam a se dar conta os políticos norte-americanos — é preciso criar uma estrutura regulatória com princípios gerais para as empresas que trafegam em massa dados de clientes. A Regulação Geral de Proteção de Dados da Comunidade Europeia (GDPR, na sigla em inglês), que entra em vigor a partir de maio e unifica a legislação dos países europeus sobre o tema, pode servir de inspiração ao debate nos Estados Unidos, embora alguns considerem o GDPR muito detalhista e de alto custo de conformidade para empresas pequenas.

Seja como for, a enorme concentração de poder da indústria da internet na mão de poucas empresas vem gerando um desbalanceamento de pesos de opiniões o que levou o criador da web, o físico Tim Berners-Lee, a defender em carta aberta, em março deste ano, a necessidade de uma mudança de rumo. Ele disse que essa concentração de poder criou um novo grupo de supervisores, permitindo que um punhado de plataformas controle as opiniões que são vistas e compartilhadas. Muito diferente do ideal de liberdade que orientou a criação da web.

Nesse cenário de existência de “supervisores da web”,  Berners-Lee admite que não se pode deixar apenas na mão das empresas todas as respostas à garantia da privacidade dos cidadãos, até porque, antes da defesa dos objetivos da comunidade da rede, elas visam lucro. “Um paradigma regulatório ou legal que leve em consideração esses objetivos sociais pode ajudar a diminuir essas tensões.”

Além da falta de controle sobre dados pessoais, os outros pontos apontados por Berners-Lee, em sua carta, envolveram a desinformação na web e a propaganda política como spam e sem transparência. Temas também objeto de audiências no Congresso norte-americano e em outros fóruns, e pano de fundo que vai movimentar os debates sobre a futura regulamentação sobre a proteção de dados nos Estados Unidos que, agora, parece ganhar corpo.