A ANPD publicou no dia 17/07/2024 a Resolução CD/ANPD n°18 que dispõe sobre a atuação do encarregado sobre o tratamento de dados pessoais.
Confira os principais pontos da resolução:
Da indicação do Encarregado
Forma da indicação: ato formal, ou seja, documento escrito, datado e assinado, demonstrando a indicação.
Agente de pequeno porte: nos casos em que tenha dispensa de nomeação do Encarregado, este deve possuir canal de comunicação disponibilizado ao titular de dados.
Operadores: a indicação de encarregado por operadores é facultativa, mas será considerada política de boas práticas.
Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por substituto formalmente designado.
Da Identidade e das informações de contato
A identidade e as informações de contato do encarregado deverão se públicas, de forma clara e objetiva, em local de fácil acesso no sítio eletrônico do agente de tratamento (caso não tenha sítio eletrônico, a informação de identidade e contato deve ser divulgada em qualquer meio de comunicação disponível, especialmente os utilizados como contato com os titulares). A divulgação da identidade deve seguir o seguinte padrão:
Pessoa natural: nome completo.
Pessoa jurídica: nome empresarial ou título do estabelecimento e nome completo da pessoa natural responsável.
Além da identidade, deve-se disponibilizar as informações de contato que viabilize no mínimo o exercício de direitos dos titulares.
Dos deveres dos agentes de tratamento
Prover meios para as atribuições do encarregado.
Solicitar assistência e orientação do encarregado na realização de atividades e tomada de decisões estratégicas relacionadas ao tratamento de dados pessoais.
Garantir autonomia técnica ao encarregado.
Assegurar aos titulares meios eficazes e céleres para a comunicação com o encarregado e exercício de direitos.
Garantir ao encarregado o acesso direto a pessoas com nível hierárquico maior e responsáveis por decisões estratégicas relacionadas a tratamento de dados pessoais.
Do encarregado
Das características
Pode ser pessoa natural ou jurídica.
Deve ser capaz de comunicar-se com os titulares e ANPD em língua portuguesa.
O exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.
Das atividades e atribuições
Destacamos as seguintes:
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis.
Receber comunicações da ANPD e adotar providências.
Fornecer orientação e assistência ao agente de tratamento, incluindo os casos de registro e comunicação de incidente, registro das operações de tratamento de dados pessoais, relatório de impacto, regras e boas práticas em governança de privacidade, processos e políticas internas, dentre outros.
indicar o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando não for exercido pelo próprio encarregado.
O desempenho das atividades e das atribuições acima não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.
Do conflito de interesse
O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.
Como pode se configurar o conflito de interesse?
entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos.
acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.
Se constatado o conflito de interesse no caso concreto, poderá resultar em aplicação de sanção. Assim, o encarregado deve declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse.
A Lei de Serviços Digitais (DSA, na sigla em inglês) entrou em vigor na União Europeia em novembro de 2022, com o objetivo de regular o conteúdo online e tornar as big techs mais responsáveis pelo que é publicado nas plataformas.
A lei obriga que empresas como Meta (Facebook/Instagram), X (antigo Twitter) e Google removam rapidamente conteúdos ilegais em suas plataformas, sob risco de multas que podem chegar a 6% do faturamento global. Além disso, o regulamento busca combater a disseminação de desinformação e conteúdo prejudicial.
Esse novo marco regulatório já começou a ser testado com o recente conflito entre Israel e Palestina. Diante do aumento de publicações antissemitas sobre a guerra, o comissário europeu Thierry Breton solicitou que as big techs removessem determinados conteúdos rapidamente, utilizando a DSA como argumento legal.
Nesse contexto, as empresas teriam que agir de forma mais rápida contra a proliferação de conteúdos impróprios a fim de evitar possíveis multas milionárias. Exemplos recentes dessa iniciativa incluem o Facebook remover posts contendo discursos de ódio contra israelenses e o TikTok banir hashtags que promoviam informações falsas sobre o conflito na Faixa de Gaza.
Diante desses fatos, é seguro afirmar que a DSA pode exercer pressão sobre as empresas de tecnologia, forçando-as a moderar conteúdos danosos de maneira mais proativa e poupar a disseminação de violência, fake news, entre outros incidentes. Por outro lado, essa mudança também levanta determinadas preocupações sobre um potencial processo de censura e uma certa limitação da liberdade de expressão entre os usuários e os criadores de conteúdo.
Segundo levantamento da Poynter Institute, escola de jornalismo e organização de pesquisas americana, com apoio do Google, quatro em cada 10 pessoas afirmaram receber notícias falsas todos os dias no Brasil. Ainda conforme o estudo, o número é ainda mais expressivo quando se trata de brasileiros que receiam receber conteúdo de fake news ou que seus parentes sejam alvos, somando 65% do índice da pesquisa.
Diante disso, assim como a GDPR (Regulamento Geral sobre a Proteção de Dados), implementada na Europa em 2018 e replicada no Brasil em 2020 por meio da Lei Geral de Proteção de Dados, a DSA também tende a servir de modelo para regulações semelhantes ao redor do mundo.
Convém assinalar que tramita no Congresso Nacional o Projeto de Lei 2630/2020, conhecido como ‘Lei das Fake News’, que busca combater a desinformação online. Embora haja debates polêmicos em torno da aprovação desta lei, tudo indica que existe uma tendência de aumento da pressão regulatória sobre plataformas digitais também no país.
Nas eleições 2018, por exemplo, proliferaram pelas redes sociais brasileiras diversos conteúdos falsos contra diferentes candidatos, que geraram forte engajamento entre os eleitores. Este fato motivou o Tribunal Superior Eleitoral (TSE) a criar uma coordenação exclusiva dedicada ao combate à desinformação na internet durante o pleito de 2022.
Com isso, a aplicação de uma lei nos mesmos moldes da DSA europeia, poderia trazer avanços na moderação de conteúdo ilegal e discurso de ódio online no país. Em contrapartida, um dos principais desafios é garantir que a regulação não represente censura ou limitação excessiva da liberdade de expressão. Ou seja, o diálogo sobre o tema deve ser levantado em todas as frentes para que um comum acordo seja implementado para a regulamentação das big techs no país.
No geral, a Lei de Serviços Digitais tem potencial para mitigar problemas sérios como disseminação de ódio e desinformação online. No entanto, implementar no Brasil uma regulação com tal alcance, não é tarefa trivial. A implementação da lei em território brasileiro exigiria adaptações cuidadosas à realidade nacional e mecanismos eficazes para prevenir abusos e censura.
*Aline Noleto é consultora pleno de Data Regulation da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 2018, e o Marco Legal da IA (Inteligência Artificial), ainda em discussão no Congresso, trazem novos desafios para o uso de técnicas de enriquecimento de dados, que consiste em agregar informações externas a um banco de dados, a fim de torná-lo mais completo e eficaz para análises, aprimorando a tomada de decisões nas companhias.
Esse processo de aprimoramento de informações pode abranger, por exemplo, as preferências do cliente, o histórico de compras e os dados demográficos e de geolocalização. No entanto, o enriquecimento de dados pode entrar em conflito com princípios de privacidade e proteção de dados pessoais.
Um dos pilares da LGPD é a garantia de transparência aos indivíduos sobre como seus dados pessoais são tratados. Ou seja, a Lei possui como objetivo proporcionar às pessoas maior controle sobre seus próprios dados pessoais. Logo, no contexto de enriquecimento de dados pessoais, é preocupante que informações adicionais sejam incorporadas sem uma autorização explícita do titular de dados.
Além disso, nem sempre é possível rastrear a origem desses novos dados agregados. Nesse sentido, o consentimento do titular configura como forma mais transparente e direta para o enriquecimento de seus dados, permitindo-lhe concordar com o processo ou recusá-lo.
Outro princípio fundamental da legislação consiste na finalidade. Isso quer dizer que os dados só podem ser usados para propósitos específicos e legítimos. Desta forma, as informações sobre a finalidade do enriquecimento e quais dados serão enriquecidos devem ser claras, garantindo-se transparência ao titular sobre como suas informações estão sendo utilizados. O enriquecimento, no entanto, não pode abrir espaço para o uso de dados pessoais para finalidades não previamente informadas ao titular, e, caso este recuse o enriquecimento de seus dados, sua decisão deve ser respeitada.
Veja também: Por que o Marco Legal da IA é importante?
O Marco Legal da IA também traz parâmetros para uso ético e responsável de dados e estabelece, por exemplo, que sistemas de IA devem ser guiados por fundamentos e princípios como transparência, não discriminação e responsabilização dos desenvolvedores e usuários de IA. O enriquecimento de dados, por vezes, contradiz esses princípios por envolver combinação de bancos de dados nem sempre auditáveis e potencialmente enviesados. Isso implica que as organizações que empregam Inteligência Artificial para aprimorar seus conjuntos de dados devem garantir que seus algoritmos sejam justos, não discriminatórios e que expliquem claramente como as informações são enriquecidas.
É importante destacar que o Marco Legal da IA prevê, como direito das pessoas afetadas por sistemas de IA, a privacidade e a proteção de dados pessoais, assim como o direito à informação prévia quanto às interações com sistemas de IA. Em paralelo aos benefícios relacionados à melhoria da qualidade dos dados, trazidos pela utilização de IA no processo de enriquecimento de dados, o Marco Regulatório da IA traz riscos relacionados a não demonstração de conformidade, o que evidencia a necessidade das empresas de investir em expertise em IA.
Diante desses desafios, fica evidente que o enriquecimento de dados requer uma abordagem cautelosa e responsável, dentro dos limites éticos e legais estabelecidos pela LGPD e pelo Marco Legal da IA. Isso inclui transparência sobre a origem dos dados agregados, consentimento dos titulares quando possível, uso responsável visando o bem comum e mecanismos de governança para avaliar e mitigar riscos à privacidade. Encontrar o equilíbrio entre inovação e proteção de direitos será fundamental nesse novo contexto.
*Aline Noleto e Patrícia Domingues são consultoras de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Após a promulgação da Lei Geral de Proteção de Dados (LGPD), a privacidade e a proteção dos dados pessoais ganharam espaço no dia a dia dos brasileiros. Diante desse cenário, convivemos e reconhecemos a importância do momento de escolher, por exemplo, quais permissões conceder a um aplicativo, quais cookies permitir o acesso a um site ou quais checkboxs marcar ao final de um formulário. Isso exige uma nova cultura de privacidade.
Essas palavras ganharam espaço também no mundo corporativo, trazendo para o território nacional discussões e práticas aplicadas em outros países, como aqueles sob a abrangência da General Data Protection Regulation (GDPR), regulamento aplicado à União Europeia. Acompanhamos com a LGPD a crescente implantação de avisos e políticas de privacidade, criação de novos canais de comunicação com os titulares, além do crescimento de algumas áreas, dedicadas a cultivar e manter uma cultura de privacidade nas organizações.
A missão de fomentar essa cultura pode parecer estar ao encargo da área de privacidade ou ser absorvida por áreas como segurança da informação, jurídico e compliance, entre outras. Contudo, as atividades que tratam dados pessoais não são desempenhadas apenas por essas áreas, mas por uma diversidade de áreas a depender da natureza do negócio. A coleta, o uso e o descarte adequados dos dados pessoais estão nas mãos de cada colaborador da organização que lida com tais informações.
Por isso, a construção de uma nova consciência voltada para a proteção dos dados de titulares e das operações da organização somente será possível com a colaboração de todas as partes. A integração entre as áreas de negócio e a área de privacidade deve ser constante, ou seja, desde a concepção das operações, serviços e produtos que envolvem dados pessoais, deve-se colocar em prática os Princípios de Privacy by Design, propostos por Ann Cavoukian.
Dessa forma, as práticas elencadas a seguir, agregando parte dessas recomendações, podem ser implementadas pela organização, contribuindo para a vivência da cultura de privacidade.
Buscar apoio com os times de segurança da informação e privacidade para avaliar fornecedores e sistemas antes da contratação, além de identificar possíveis vulnerabilidades que possam levar à exposição indevida de dados, bem como estabelecer cláusulas contratuais de proteção de dados com fornecedores e parceiros são ações essenciais para ajudar a prevenir e antecipar possíveis incidentes.
Identificar todos os dados necessários para a atividade em execução e os usos pretendidos para esses dados. Consultar o time de privacidade para alinhar as finalidades e propósitos legítimos, além de estruturar como essas finalidades serão informadas aos titulares por meio de avisos e políticas de privacidade, por exemplo, são medidas importantes para mitigar riscos.
Estruturar a coleta, o armazenamento e o compartilhamento dos dados sempre considerando aqueles estritamente necessários para a atividade, armazená-los somente pelo tempo necessário para atingir os objetivos almejados, além de compartilhá-los unicamente com as pessoas, fornecedores e parceiros envolvidos na atividade.
Atuar com responsabilidade, transparência e segurança no uso dos dados pessoais é essencial. Portanto, o fluxo de dados, ou seja, o caminho percorrido desde sua coleta até seu descarte, deve ser registrado, documentado e avaliado pelo time de privacidade. E, as medidas técnicas e organizacionais de segurança devem ser incorporadas às atividades.
A princípio são atividades corriqueiras, naturais na vida de qualquer organização, e, de fato, são. Contudo, o maior desafio está na incorporação do olhar de proteção de dados nas atividades realizadas pelas áreas, fomentando, dessa forma, a identificação de oportunidades de melhorias nos processos atuais e de cultivo dessa nova consciência, pois, como declarado por Tim Cook, “proteger os dados de outra pessoa é proteger a todos nós”.
*Hizadora D´Ambros é consultora pleno e Tainã Dias é gerente de Data Privacy. Ambas atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Assunto ainda relativamente recente no Brasil, a Privacidade de Dados é tópico de interesse para toda a sociedade. Nesse sentido, promover discussões e trocas de ideia entre o setor é indispensável para encontrar os melhores caminhos e práticas para garantir a proteção dos dados no Brasil. Para incentivar esse diálogo e trazer luz aos principais tópicos relacionados à privacidade de dados no Brasil, convidamos Waldemar Gonçalves, Diretor-Presidente da ANPD (Autoridade Nacional de Proteção de Dados) para uma entrevista exclusiva.
Nessa entrevista, abordamos tópicos que ainda geram dúvidas no mercado sobre o cumprimento das normas e o setor como um todo, além de buscar compreender os próximos passos da proteção e privacidade de dados no Brasil. Confira a seguir a íntegra.
[Protiviti] Em casos práticos, vemos profissionais dedicados à privacidade de dados no Brasil, à segurança da informação ou ao jurídico acumularem também a função de Encarregado. A ANPD entende que pode haver conflito de interesses a depender do cargo do Encarregado de Dados?
[ANPD – Waldemar Gonçalves] A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação, conforme previsto na Agenda Regulatória para o biênio 2023-2024.
Importante salientar que o agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses. Presume-se o conflito de interesses no acúmulo da função de encarregado com aquela em que haja responsabilidade pelas decisões referentes ao tratamento de dados pessoais.
O essencial é que o encarregado seja a pessoa responsável por ser o canal de comunicação entre a instituição/empresa na qual atua, os indivíduos e a Autoridade Nacional de Proteção de Dados. Além de ser responsável por conscientizar e orientar o controlador de dados pessoais e os funcionários sobre as boas práticas em proteção de dados pessoais.
O encarregado deve ser a figura que busca garantir uma comunicação adequada, para o atendimento aos direitos dos titulares, e que oriente sobre as práticas de governança de dados pessoais.
[Protiviti] Em paralelo com as regulamentações de privacidade de outros países, a Autoridade tem expectativas para uma atualização na LGPD incluindo a necessidade de o Controlador emitir declaração para comprovar que um direito requerido pelo titular foi atendido? Como, por exemplo, em casos de anonimização, bloqueio ou eliminação de dados?
[ANPD – Waldemar Gonçalves] A LGPD só pode ser modificada ou atualizada pelo legislador, cabendo à Autoridade Nacional de Proteção de Dados apenas a regulamentação dos ditames da lei. Nesse sentido, a ANPD acompanha a atividade parlamentar junto ao Congresso Nacional e procura apoiar decisões dentro dos limites da sua responsabilidade e competência.
A respeito da anonimização e pseudonimização, a Agenda Regulatória 2023-2024 prevê a elaboração de documento que visa orientar e esclarecer o uso dessas técnicas. Essa ação já foi iniciada e será concluída até 2024.
[Protiviti] A Coordenação-Geral de Fiscalização é responsável por analisar as petições dos titulares que possam conter denúncias de descumprimento da LGPD. Tendo em vista a possibilidade de receber diversas petições, a Coordenação prevê estabelecer critérios de priorização para iniciar uma investigação sobre um incidente envolvendo dados pessoais ou demais violações à lei?
[ANPD – Waldemar Gonçalves] Todo processo fiscalizatório realizado pela ANPD é precedido por um monitoramento preliminar. A partir das informações levantadas no monitoramento, a Autoridade decide se estabelece ou não um processo de fiscalização propriamente dito. Ou seja: a fiscalização acontece quando há subsídios para tal e a norma de fiscalização atualmenteestabelece critérios de priorização para a avaliação do tratamento de dados pessoaispelos agentes de tratamento. Além disso, a Agenda Regulatória 2023-2024 também prevê a normatização de critérios para a comunicação de incidentes de segurança envolvendo dados pessoais e o processo de fiscalização desses incidentes.
Recentemente, a ANPD encerrou Consulta Pública sobre a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais, que contou com 1.491 contribuições da sociedade.
Isso nos revela que os cidadãos estão preocupados com o tema e estão contribuindo com a ANPD para a elaboração de uma norma justa e democrática.
[Protiviti] No ano de 2021, a ANPD e a SENACON estabeleceram um Acordo de Cooperação Técnica com o objetivo de proteger os dados pessoais dos consumidores. Com base nisso, há planos para ampliar esses acordos de parceria, a fim de alcançar um entendimento padronizado sobre questões relacionadas à privacidade e proteção de dados pessoais em demais setores, como também evitar a duplicidade de esforços em termos de fiscalização?
[ANPD – Waldemar Gonçalves] Sim, queremos ampliar nossos acordos de cooperação. A Autoridade está em constante diálogo com outras instituições para aprimorar as suas próprias práticas e para melhor resguardar os direitos dos titulares de dados pessoais. Neste sentido, a ANPD possui sete Acordos de Cooperação Técnica e Convênios já estabelecidos e outros em fase de elaboração. A Autoridade se articula com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação, conforme previsto na LGPD.
[Protiviti] Segundo dados divulgados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais de 15% da população brasileira não utilizou a internet em 2021, meio imprescindível para inclusão social e conscientização da população. Os principais motivos apontados foram de ordem técnica (não saber usar a internet) ou econômica (serviço de acesso ou equipamentos eletrônicos considerados caros). Considerando que as vulnerabilidades sociais se somam ou são potencializadas pelas vulnerabilidades digitais, como a ANPD tem enfrentado o desafio de disseminar ações educativas a grupos mais vulneráveis quanto a temas como proteção de dados pessoais?
[ANPD – Waldemar Gonçalves] Esse é um dos maiores desafios que temos, além de o tema “Proteção de Dados Pessoais e Privacidade” ser algo novo, também necessita de amadurecimento e fomento para a formação de uma cultura de proteção de dados pessoais em nosso País.
Por isso, a ANPD atua fortemente na produção de Guias Orientativos para elucidar sobre os diversos assuntos que permeiam a proteção de dados pessoais. E com isso, estamos dispostos a encarar esses desafios e criar meios de consolidar essa cultura de proteção de dados pessoais no Brasil.
[Protiviti] O uso de inteligência artificial cada vez mais disseminado entre crianças e adolescentes como, por exemplo, assistentes virtuais, tem se demonstrado um grande desafio frente a vulnerabilidade inerente a esse público. Há expectativa da ANPD de uma atuação preventiva para proteção de dados pessoais de crianças e adolescentes no uso desse tipo de tecnologia?
[ANPD – Waldemar Gonçalves] A ANPD atua de forma responsiva, que engloba a prevenção, o monitoramento, a orientação e a sanção por descumprimento da LGPD.
Para todos os casos atuamos desta forma e já estamos avançando mais na fiscalização desde que o Regulamento de Dosimetria e Sanções Administrativas foi publicado.
Estamos atuando de forma preventiva em diversas áreas que envolvem a proteção de dados pessoais, independente da tecnologia utilizada, incluindo a proteção de dados pessoais de crianças e adolescentes, cabendo destacar que a Agenda Regulatória da ANPD também prevê a regulamentação deste tema.
[Protiviti] Quais são as expectativas da ANPD quanto ao uso do legítimo interesse como base legal para o tratamento de dados pessoais de crianças e adolescentes, e como a Autoridade planeja equilibrar os interesses das organizações e os direitos de privacidade dos menores nesse contexto?
[ANPD – Waldemar Gonçalves] A ANPD publicou em maio deste ano, o primeiro Enunciado que trata sobre as hipóteses legais que autorizam o tratamento de dados de crianças e adolescentes.
Este Enunciado representa uma primeira iniciativa da ANPD relacionada à proteção de dados pessoais de crianças e de adolescentes e fixa entendimento da Autoridade acerca das possibilidades interpretativas do artigo 14 da LGPD.
De acordo com o Enunciado, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, como nos casos de consentimento fornecido pelo titular, de cumprimento de obrigação legal, de proteção à vida ou de atendimento a interesse legítimo do controlador. Em qualquer situação, o melhor interesse da criança e do adolescente deve prevalecer, exigindo avaliação cautelosa por parte do controlador.
Também, com relação ao tema, estamos trabalhando na elaboração de um Guia Orientativo sobre Legítimo Interesse, documento que trará orientações específicas para o tratamento de dados pessoais de crianças e adolescentes com base nessa hipótese legal, em conformidade com o princípio do melhor interesse.
[Protiviti] Como a ANPD espera superar o desafio de regular a transferência internacional de dados segura, sem impactar o desenvolvimento econômico e a inserção de empresas brasileiras no mercado global?
[ANPD – Waldemar Gonçalves] A regulamentação da proteção de dados de uma maneira geral impacta positivamente na inserção das empresas brasileiras no cenário global, aumentando sua competitividade. O estabelecimento de regras claras para proteção de dados pessoais aumenta a segurança jurídica, que, por sua vez, é requisito para o crescimento econômico do País.
A regulamentação das transferências internacionais é apenas uma das muitas dimensões da regulamentação da proteção de dados. Nesse aspecto, a ANPD tem procurado delinear regras mais convergentes possíveis com o que é feito no cenário internacional, de forma a garantir que as regras brasileiras sejam interoperáveis com os diversos sistemas de proteção de dados no mundo.
Além disso, está aberta para contribuições da sociedade consulta pública, que tem o intuito de receber subsídios da sociedade que são essenciais para o aprimoramento do Regulamento, a partir de contribuições valiosas por parte de variados segmentos da sociedade.
[Protiviti] Há previsão para acordos de cooperação entre países, em caso de necessidade de troca de informações entre autoridades, em situações, por exemplo, de incidentes envolvendo dados pessoais?
[ANPD – Waldemar Gonçalves] Sim. A ANPD está trabalhando para estabelecer uma rede de cooperação que possa viabilizar o enforcement extraterritorial da LGPD. A troca de informações entre autoridades é peça essencial nesse esforço. A Autoridade vem atuando junto a autoridades de outros países para o estabelecimento de alianças e troca de informações a respeito das transferências internacionais de dados pessoais.
Atualmente, temos um memorando de entendimentos com a Agência Espanhola de Proteção de Dados (AEPD) com intuito de garantir a colaboração entre os países e uma cooperação conjunta em matéria de proteção de dados pessoais e fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades técnicas de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.
[Protiviti] Qual é a responsabilidade do Encarregado pelo Tratamento de Dados Pessoais em caso de violação de dados pessoais? Haverá algum tipo de direito de regresso contra o Encarregado, em caso de responsabilização do controlador ou do operador?
[ANPD – Waldemar Gonçalves] A Lei Geral de Proteção de Dados Pessoais trata exclusivamente sobre o papel do Encarregado e todas as suas atividades estão elencadas em seu art. 41. A Lei não prevê responsabilidade direta do encarregado. A responsabilidade, em regra, é dos agentes de tratamento, isto é, o controlador ou o operador, conforme o caso. O Encarregado poderá responder por atos ilícitos conforme as normas aplicáveis a funcionários de empresas, por exemplo.
Com relação ao direito de regresso, a LGPD também não estabelece regramento específico sobre eventual direito de regresso contra o Encarregado, nos casos de responsabilização do controlador ou operador. Assim, aplicam-se as normas usuais nestes casos, como as que regem as relações entre funcionários e empresas.
O tema está previsto para ser regulamentado na Agenda Regulatória 2023-2024. Após a publicação do regulamento será possível responder questões mais específicas sobre a atuação do encarregado de dados pessoais.
Os indicadores, sejam eles simples ou complexos, sem dúvida nos auxiliam na tomada de decisões rápidas. Com alertas sobre as condições em tempo real, eles nos permitem avaliar dados passados para identificar as possíveis tendências futuras. Por meio do monitoramento constante, é possível identificar eventuais falhas ou suspeitas que possam levar a situações que exigem alertas, permitindo a correção de forma mais efetiva e ágil.
O uso de indicadores simples ou complexos vai depender do tipo de operação que está sendo analisada. No mercado financeiro, por exemplo, o churning – prática de negociação para a geração de maiores receitas de corretagem, é um procedimento que precisa ser analisado por meio de indicadores complexos.
Isso porque, algumas negociações de alta intensidade, feitas por gestores, servem, na verdade, para alcançar uma maior taxa ou comissão, ou seja, para o seu próprio benefício, o que acaba colocando os verdadeiros interesses dos clientes de lado. A complexidade dessa operação acaba abrindo espaço para falhas e, neste caso, o uso de indicadores simples poderia reduzir a detecção de margens de erro no processo.
E quando estamos falando do mundo da privacidade, proteção de dados e segurança das informações, é possível afirmar que existe um único indicador que possa nos mostrar se a empresa passa por um ataque cibernético e que a segurança dos dados dos clientes está vulnerável? Acreditamos que não. Neste caso, provavelmente, a análise do consumo de rede pode indicar que haja uma eventual transferência de dados sendo realizada para um ambiente externo ao da empresa.
E se um indicador, simples, como um termômetro, fosse usado como ferramenta de monitoramento do CEO da empresa? Informações valiosas não seriam perdidas. Caso haja um comportamento atípico no tráfego de rede, por exemplo, a informação relevante chegaria de forma mais rápida ao executivo, permitindo acionar times responsáveis, tomar decisões mais efetivas para proteger a empresa contra ameaças, garantir a continuidade dos negócios e, eventualmente, acompanhar as investigações.
O que propomos é que indicadores sejam simples de serem interpretados e alertas sejam acionados pelos profissionais que serão ouvidos. Por meio desse mecanismo, o CEO possui acesso facilitado sobre informações relevantes que podem impactar no negócio, projetando uma visão mais sólida de um status futuro e, assim, tomar a melhor decisão de quais eventuais correções devem ser feitas. Alguém duvida que um aviso de um CEO não será tratado?
Outro exemplo que podemos citar é do desastre do ônibus espacial Challenger, o qual entrou para história como uma das mais salientes tragédias reportadas pela NASA. Tudo aconteceu após 73 segundos de decolagem, no centro espacial Kennedy, na Florida. Uma explosão culminou com a morte de astronautas e especialistas, além de todo o trabalho realizado pela equipe de engenharia. Tudo foi completamente engolido pelas chamas do fogo. Mas, o mais intrigante deste fato foram os questionamentos levantados após o ocorrido.
Um dos engenheiros chefes do projeto, Roger Boisjoly, meses antes do lançamento oficial, criou um indicador de possibilidade de rompimento de vedação. Por meio dele, era possível alertar para o desastre e preveni-lo com os ajustes técnicos necessários nos anéis de borracha do foguete. Mas os avisos foram totalmente ignorados pelos gestores da companhia espacial, juntamente com o resto da equipe de engenheiros, e por conta da fatídica decisão de continuar com as peças para arranjo do foguete, a nave explodiu.
Sendo assim, a história nos ensina que os indicadores são essenciais para a tomada de decisão, pois eles nos dão uma visão clara sobre onde estamos e para onde devemos ir. No entanto, às vezes precisamos de algo a mais, como entender o que está diante de nós e prever o que está por vir. Com a capacidade de desenvolver essa habilidade, poderíamos tomar decisões mais informadas e reduzir os riscos associados às nossas escolhas.
*Julia Pereira e Alexandre Tamura atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
A profissão de DPO (Data Protection Officer) ou Encarregado de Dados se tornou conhecida no Brasil com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD), tendo sido incluída, em 2022, na Classificação Brasileira de Ocupações (CBO) pelo Ministério do Trabalho.
Um DPO é a pessoa física ou jurídica responsável por realizar a comunicação entre o controlador, a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares de dados. Nas organizações, exceto nas de pequeno porte, conforme Resolução CD/ANPD nº 2/2022, a nomeação deste profissional é obrigatória perante à LGPD. Mas, além da responsabilidade como agente de tratamento inerente à comunicação, o DPO enfrenta desafios no exercício da sua função que exigem atuação multidisciplinar.
Posto isso, a ele cabe a promoção da cultura de Privacidade e Proteção de Dados Pessoais na organização para que as políticas e os procedimentos internos sobre privacidade sejam seguidos em todos os níveis organizacionais.
O profissional também precisa estar sempre atento às orientações da Autoridade Nacional (ANPD), tomar as devidas providências diante das situações que envolvem tratamento de dados pessoais, prestar esclarecimentos aos titulares de dados, dar respaldo no que tange às reclamações e comunicações e orientar colaboradores sobre boas práticas, bem como monitorar a conformidade da empresa em relação às obrigações legais.
Para tanto, é necessário engajamento com diferentes áreas para que a cultura da privacidade seja estabelecida de forma efetiva e contínua. Na análise de um incidente, por exemplo, é possível e necessário envolver mais de uma área para além da atuação do DPO, como a Segurança da Informação, que irá aplicar medidas técnicas de contenção e avaliação do incidente. O jurídico, por sua vez, emitirá um parecer sobre as eventuais consequências jurídicas, e as áreas de negócio serão acionadas em caso de informações adicionais.
Nos casos de treinamentos aos colaboradores, é necessário o envolvimento do RH para promover o engajamento. Já no que tange à avaliação de fornecedores, é preciso contar com a área de suprimentos para garantir que a avaliação de privacidade faça parte do fluxo de contratação e de renovações.
Esses são alguns dos casos nos quais é possível perceber a necessidade de atuação de um DPO com conhecimento dos processos internos da organização, desenvolvimento interpessoal e capacidades técnicas que vão além de privacidade.
Essa abordagem multidisciplinar permite mitigar os riscos no que diz respeito à privacidade e à proteção de dados pessoais a partir de uma análise mais completa e efetiva sobre os impactos do tratamento das informações.
Portanto, apenas o conhecimento teórico do DPO, sem a atuação focada nas várias áreas correlacionadas ao desenvolvimento das ações de privacidade e proteção de dados e sem um bom entendimento da estrutura organizacional da empresa, o programa de privacidade não será efetivo.
*Tainã Dias e Evelliza Dornela são consultoras de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
As soluções DLP – ou Data Loss Prevention – impedem que informações sensíveis ou confidenciais sejam compartilhadas ou vazadas fora da organização. Com elas, é possível monitorar e analisar os dados à medida que são transmitidos ou compartilhados, assim detectando e bloqueando quaisquer dados confidenciais que estejam sendo transmitidos sem autorização.
Os sistemas DLP podem ser implementados de várias maneiras, inclusive por meio de dispositivos de hardware, aplicativos de software ou como um serviço em nuvem. Ou seja, com eles é possível monitorar e proteger dados em vários formatos diferentes, incluindo e-mail, transferências de arquivos, tráfego da Web e mais.
Com o DLP, aumenta a proteção contra violações de dados, acesso não autorizado a informações confidenciais e para cumprir regulamentos e padrões do setor. Por isso, é uma ferramenta importante para ajudar as organizações a proteger seus dados e manter a confidencialidade e integridade das informações.
Entre os vários tipos de prevenção contra perda de dados (DLP) que as organizações podem usar para proteger suas informações sigilosas e confidenciais, destacam-se:
DLP de rede: o DLP de rede monitora o tráfego de rede e o analisa em busca de dados confidenciais. Com isso, ele pode bloquear a transmissão de dados pela rede ou alertar os administradores se dados confidenciais forem detectados.
Endpoint DLP: O Endpoint DLP é instalado em computadores ou dispositivos individuais e monitora os dados à medida que são acessados, transmitidos ou compartilhados. Dessa forma ele pode impedir que dados confidenciais sejam copiados ou compartilhados sem autorização.
Cloud DLP: Cloud DLP é um serviço baseado em nuvem que monitora os dados à medida que são transmitidos de ou para uma plataforma de nuvem, pois pode impedir que dados confidenciais sejam compartilhados ou vazados fora da organização.
Além desses três principais, também existem outros tipos especializados de Data Loss Protection projetados para dados ou ambientes específicos. Um exemplo é o DLP móvel, projetado para proteger dados em dispositivos móveis. Também existe o DLP com reconhecimento de conteúdo, projetado para proteger especificamente contra o compartilhamento acidental ou intencional de conteúdo.
Perda de Dados Internos
A perda de dados internos refere-se ao acesso não autorizado ou compartilhamento de informações sensíveis ou confidenciais dentro de uma organização. Isso pode ocorrer quando um funcionário ou outro membro interno da organização acessa ou compartilha dados confidenciais sem a devida autorização. Além disso, violações de segurança interna ou outros problemas também podem ser a causa das perdas. Problemas técnicos, como senhas fracas, dispositivos inseguros ou práticas de segurança inadequadas, também levam a vazamentos e riscos.
Isso pode ter sérias consequências para as organizações, incluindo perdas financeiras, danos à reputação e possíveis penalidades legais. Por isso, é importante que as organizações tenham fortes controles internos para evitar a perda de dados internos e proteger suas informações confidenciais. Isso pode incluir medidas como treinamento sobre políticas de manipulação de dados, implementação de políticas de senha forte e uso de tecnologias como prevenção contra perda de dados (DLP) para monitorar e proteger dados.
Etapas para implementar o DLP em sua empresa
Algumas etapas para implementar um sistema de prevenção contra perda de dados (DLP) são:
Identifique e classifique dados confidenciais: a primeira etapa na implementação do DLP é identificar e classificar os dados confidenciais que precisam ser protegidos. Isso pode incluir dados financeiros, informações pessoais, propriedade intelectual e outros tipos de informações confidenciais. É importante entender onde esses dados estão localizados, como estão sendo usados e quem tem acesso a eles.
Determine o escopo da implementação do DLP: a próxima etapa é determinar o escopo da implementação do DLP. Isso inclui decidir quais sistemas, redes e armazenamentos de dados precisam ser cobertos pelo sistema DLP, bem como quais tipos de dados precisam ser monitorados e protegidos.
Escolha uma solução DLP: existem muitas soluções diferentes disponíveis, incluindo dispositivos de hardware, aplicativos de software e serviços baseados em nuvem. É importante escolher uma solução adequada às necessidades e ao orçamento da organização.
Configure o sistema DLP: uma vez escolhida uma solução, ela precisa ser configurada para atender às necessidades específicas da organização. Isso pode incluir a configuração de políticas e regras para monitorar e bloquear dados, bem como configurar alertas e notificações para quando dados confidenciais forem detectados.
Teste e ajuste o sistema DLP: antes de implantar o sistema em toda a organização, é importante testá-lo e ajustá-lo para garantir que esteja funcionando corretamente e protegendo dados confidenciais com eficiência. Isso pode envolver a execução de testes-piloto, o monitoramento do desempenho do sistema e a realização de quaisquer ajustes necessários.
Implemente e monitore o sistema DLP: uma vez que o sistema foi testado e ajustado, ele pode ser distribuído para o resto da organização. É importante monitorar o sistema regularmente para garantir que esteja funcionando corretamente e para fazer os ajustes necessários conforme necessário.
A implementação de um sistema DLP requer um planejamento cuidadoso e atenção aos detalhes, mas é uma maneira eficaz de as organizações protegerem informações sigilosas e confidenciais.
Serviços gerenciados de segurança: vantagens de terceirizar o DLP
Há vários benefícios em usar serviços de segurança gerenciados (MSS) para executar sistemas de prevenção contra perda de dados:
Especialização: os provedores de MSS geralmente têm uma equipe de especialistas em segurança treinados e experientes na implementação e gerenciamento de sistemas DLP. Isso pode ajudar a garantir que o sistema DLP seja instalado e configurado corretamente e que esteja sendo usado de forma eficaz para proteger os dados da organização.
Custo-benefício: usar MSS para executar DLP pode ser mais econômico do que contratar pessoal interno ou construir e manter um sistema por conta própria. Os provedores de MSS geralmente oferecem vários planos de preços e podem ajudar as organizações a escolher o plano certo para suas necessidades e orçamento.
Escalabilidade: os provedores de MSS normalmente podem dimensionar seus serviços para atender às necessidades de organizações de qualquer tamanho. Isso é importante porque as necessidades de DLP podem mudar ao longo do tempo à medida que uma organização cresce ou muda.
Tecnologia atualizada: os provedores de MSS geralmente têm acesso às tecnologias mais recentes e podem ajudar as organizações a se manterem atualizadas com novos desenvolvimentos e práticas recomendadas.
Monitoramento contínuo: os provedores de MSS podem fornecer monitoramento contínuo de sistemas para garantir que estejam funcionando corretamente e protegendo os dados da organização. Isso pode ajudar a identificar e resolver quaisquer problemas ou vulnerabilidades em tempo hábil.
O uso do MSS pode ajudar as organizações a aproveitar os benefícios do DLP sem precisar investir para gerenciar o sistema internamente. Isso também ajudar organizações a utilizarem os sistemas DLP corretamente e protejam informações sigilosas e confidenciais.
Sabemos que o Metaverso é um universo composto por plataformas de realidade virtual e inteligência artificial nas quais o usuário pode se conectar para viver experiências e realizar atividades semelhantes às do mundo real, porém dentro da sua própria casa ou no local que preferir. Mas, quando falamos desse conceito, quais são os quatro mitos que o envolvem e suas implicações acerca da LGPD (Lei Geral de Proteção de Dados)?
1. Existe Metaverso sem o mundo real?
Uma vez que se trata de uma realidade virtual, pode-se pensar que ela existirá sem a presença de um mundo real por trás, o que não é verdade, uma vez que, no cadastro, são necessários dados do usuário. Dessa forma, o tema privacidade está presente, visto que a LGPD abrange o tratamento de dados pessoais, tais como RG, CPF e e-mail.
2. O Metaverso opera sem dinheiro real?
Logo após o cadastro em alguma plataforma do Metaverso, o usuário poderá se deparar com uma infinidade de avatares, NFTs (token não fungível), terrenos e lojas virtuais e diversos produtos para o consumo. Nesse momento, ele poderá acessar sua carteira virtual, comprada com uma moeda fiduciária real, e adquirir o item que escolher. Ou seja, não existe Metaverso sem dinheiro real.
3. Deverão ser implementadas medidas de segurança reais no mundo virtual?
Uma vez que o usuário se insere em uma plataforma do Metaverso, ele passará a compartilhar uma série de dados pessoais, já que poderão ser coletados informações para monitorar respostas fisiológicas, expressões faciais e sinais vitais, entre outros. Tais dados são considerados sensíveis pela LGPD, exigindo que princípios relacionados à segurança sejam obedecidos. Portanto, as empresas que adentrarem a esse universo deverão estruturar medidas rígidas de segurança em suas plataformas, como gestão de acesso e controle e prevenção a vazamento de dados, ou seja, ações de proteção do indivíduo no mundo real.
Nesse contexto, é importante determinar o responsável por implementar a segurança dos dados, uma vez que a plataforma do Metaverso poderá ser centralizada ou descentralizada, ou seja, uma ou mais empresas por trás do seu desenvolvimento e manutenção, respectivamente. Após a identificação, o responsável deverá proporcionar todas as medidas de segurança para prevenir o tratamento indevido e o vazamento de dados.
4. Os titulares de dados poderão solicitar seus direitos para as plataformas de realidade virtual?
Sabendo que o Metaverso trata dados de pessoais reais, os titulares, de acordo com a LGPD, poderão solicitar seus direitos e as empresas deverão estar preparadas para responder às demandas do usuário de forma completa e dentro do prazo estipulado pela Lei. É importante lembrar que os questionamentos poderão envolver desde solicitações simples de confirmação de dados até os mais complexos, que envolvem o entendimento sobre o tratamento automatizado das informações e o direcionamento de perfis.
Portanto, as empresas que operarem no Metaverso precisarão se adequar e cumprir todas as exigências da LGPD e, em caso de descumprimento, as penalidades serão as mesmas, ou seja, advertência, multa de até 2% do faturamento – limitado a R$ 50 milhões, publicização da infração, bloqueio dos dados pessoais até a regularização e eliminação dos dados pessoais a que se referem a infração.
* Vania Freitas é gerente de Data Privacy na ICTS Protiviti.
