Proteção de dados Archives - Página 2 de 2 - Protiviti

Sabemos que o Metaverso é um universo composto por plataformas de realidade virtual e inteligência artificial nas quais o usuário pode se conectar para viver experiências e realizar atividades semelhantes às do mundo real, porém dentro da sua própria casa ou no local que preferir. Mas, quando falamos desse conceito, quais são os quatro mitos que o envolvem e suas implicações acerca da LGPD (Lei Geral de Proteção de Dados)?

1. Existe Metaverso sem o mundo real?

Uma vez que se trata de uma realidade virtual, pode-se pensar que ela existirá sem a presença de um mundo real por trás, o que não é verdade, uma vez que, no cadastro, são necessários dados do usuário. Dessa forma, o tema privacidade está presente, visto que a LGPD abrange o tratamento de dados pessoais, tais como RG, CPF e e-mail.

2. O Metaverso opera sem dinheiro real?

Logo após o cadastro em alguma plataforma do Metaverso, o usuário poderá se deparar com uma infinidade de avatares, NFTs (token não fungível), terrenos e lojas virtuais e diversos produtos para o consumo. Nesse momento, ele poderá acessar sua carteira virtual, comprada com uma moeda fiduciária real, e adquirir o item que escolher. Ou seja, não existe Metaverso sem dinheiro real.

3. Deverão ser implementadas medidas de segurança reais no mundo virtual?

Uma vez que o usuário se insere em uma plataforma do Metaverso, ele passará a compartilhar uma série de dados pessoais, já que poderão ser coletados informações para monitorar respostas fisiológicas, expressões faciais e sinais vitais, entre outros. Tais dados são considerados sensíveis pela LGPD, exigindo que princípios relacionados à segurança sejam obedecidos. Portanto, as empresas que adentrarem a esse universo deverão estruturar medidas rígidas de segurança em suas plataformas, como gestão de acesso e controle e prevenção a vazamento de dados, ou seja, ações de proteção do indivíduo no mundo real.

Nesse contexto, é importante determinar o responsável por implementar a segurança dos dados, uma vez que a plataforma do Metaverso poderá ser centralizada ou descentralizada, ou seja, uma ou mais empresas por trás do seu desenvolvimento e manutenção, respectivamente. Após a identificação, o responsável deverá proporcionar todas as medidas de segurança para prevenir o tratamento indevido e o vazamento de dados.

4. Os titulares de dados poderão solicitar seus direitos para as plataformas de realidade virtual?

Sabendo que o Metaverso trata dados de pessoais reais, os titulares, de acordo com a LGPD, poderão solicitar seus direitos e as empresas deverão estar preparadas para responder às demandas do usuário de forma completa e dentro do prazo estipulado pela Lei. É importante lembrar que os questionamentos poderão envolver desde solicitações simples de confirmação de dados até os mais complexos, que envolvem o entendimento sobre o tratamento automatizado das informações e o direcionamento de perfis.

Portanto, as empresas que operarem no Metaverso precisarão se adequar e cumprir todas as exigências da LGPD e, em caso de descumprimento, as penalidades serão as mesmas, ou seja, advertência, multa de até 2% do faturamento – limitado a R$ 50 milhões, publicização da infração, bloqueio dos dados pessoais até a regularização e eliminação dos dados pessoais a que se referem a infração.

* Vania Freitas é gerente de Data Privacy na ICTS Protiviti.

Fonte: Olhar Digital
https://olhardigital.com.br/2022/06/28/colunistas/4-mitos-sobre-o-metaverso-e-suas-implicacoes-diante-a-lgpd/

A Lei Geral de Proteção de Dados (LGPD) trouxe uma necessidade prática de nomeação de um encarregado do tratamento de dados pessoais, conhecido como Data Protection Officer (DPO), para atuar de forma profissional e especializada nessa pauta.

Os principais desafios dessa nomeação envolvem a necessidade de conhecimentos que se dividem em aspectos regulatórios, legais, de segurança da informação e de governança capazes de harmonizar os objetivos do negócio e a proteção aos dados pessoais dos titulares envolvidos.

A Associação Internacional de Profissionais de Privacidade (IAPP) estimou que a demanda mundial pode chegar a 75 mil profissionais, escassez que se justifica pela dificuldade de encontrar todas essas habilidades em um único profissional, sobretudo no Brasil, que tem como agravante uma legislação recente e, portanto, pouca experiência no tema. Levando em consideração esse contexto, o modelo “as a service”, ou como serviço, pode ser uma excelente opção.

A modalidade traz a possibilidade de a empresa contratante ganhar experiência de forma quase que instantânea, acelerando a conformidade ao mesmo tempo em que mitiga os riscos regulatórios e os investimentos desnecessários.

Nessa terceirização, a empresa contratante, além de ter o benefício da orientação técnica atualizada e alinhada às melhores práticas de mercado, não precisa depender de orçamento para montar uma equipe de especialistas e investir em formação e certificações constantes, usufruindo da flexibilidade da modalidade enquanto amadurece a necessidade de institucionalizar e internalizar a função.

Outro ganho notado é a autonomia para implementar as boas práticas de proteção de dados, aspecto que tem sido considerado em penalidades e multas no contexto do regulamento europeu que inspirou a LGPD. Sendo assim, a terceirização mitiga o risco do conflito de interesses, que é comum na nomeação de profissionais internos.

Mas, para o modelo “as a service” ter sucesso, é fundamental o patrocínio executivo para o engajamento de todas as partes interessadas e a escolha de empresas com profissionais certificados e suficientemente experientes em proteção de dados, privacidade e segurança da informação.

DPO: situação das pequenas empresas

Neste cenário, surge a dúvida sobre as empresas de pequeno porte. Neste caso, a nomeação de um DPO é necessária? A Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um regime jurídico diferenciado para agentes de pequeno porte, dispondo algumas regras que facilitaram a adequação, dentre elas a dispensa da nomeação de um DPO.

Porém, é preciso cautela. A resolução traz exceções de forma que nem todas as empresas de pequeno porte e startups estão isentas da obrigatoriedade do DPO. Nesse sentido, é necessária uma avaliação especializada para entender se a empresa é elegível ao benefício de simplificação e para o correto entendimento dos outros diversos dispositivos legais que permanecem aplicáveis.

O fato é que as obrigações para a manutenção da conformidade com a LGPD podem ser objeto de um contrato “as a service”, mesmo com a dispensa do DPO. Não restam dúvidas de que o ecossistema de proteção de dados das empresas no Brasil, com raríssimas exceções, é jovem, mas pode ganhar muito valor usufruindo do modelo “como serviço”.

* Bruno Santos, Gerente de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Fonte: Law Innovation
https://lawinnovation.com.br/por-que-terceirizar-o-profissional-de-dpo/

O curso da história tem nos mostrado que o ser humano precisa do convívio social. Podemos afirmar que o homem não conseguiria subsistir com a ausência do auxílio recíproco entre os indivíduos. Deste modo, como os propósitos, valores e crenças são diferentes, faz-se necessário estabelecer um “padrão médio de comportamento”, de forma a respeitar a individualidade de cada ser humano. A Proteção de Dados como Direito Fundamental deve ser parte dessa conversa.

Da mesma forma que o convívio social precisa ser respeitado, existindo diversas regras, algumas positivadas e outras não, podemos dizer que a privacidade e a proteção de dados merece o mesmo tratamento. Samuel Warren e Louis Brandeis, trouxeram através da obra “The right to privacy” a ideia do “direito de estar só”. Em outras palavras, o direito de não ter sua intimidade, sua vida privada, invadida ou violada.

Na mesma linha de raciocínio, Rony Vainzof, através da obra Lei Geral de Proteção de Dados Comentada, trouxe à baila uma reflexão sobre a proteção da privacidade ser um elemento indissociável da dignidade da pessoa.

Primeiras discussões sobre a proteção de dados

Um fato de grande repercussão no Brasil relacionado à privacidade e à proteção de dados, que deu origem ao art. 154A do Código Penal Brasileiro, foi quando a atriz Carolina Dieckmann teve fotos copiadas e divulgadas sem a devida autorização.

Deste modo, atos da sociedade influenciam diretamente o direito. Como assegura André Franco Montoro: “O direito nasce da sociedade. Em cada momento ele é resultado de um complexo de fatores sociais”.

Portanto, com o objetivo de atender a uma demanda social e criar mecanismos de proteção à privacidade, surge a Proposta de Emenda à Constituição (PEC), Nº 17/2019, de autoria do Senador Eduardo Gomes.

Entendendo a PEC: a proteção de dados como direito

A PEC tem como objetivo instituir o direito fundamental à proteção de dados pessoais, e disciplinar a competência para legislação do tema. O documento que apresentou como justificação:

o avanço da tecnologia, por um lado, oportuniza racionalização de negócios e da própria atividade econômica: pode gerar empregabilidade, prosperidade e maior qualidade de vida. Por outro lado, se mal utilizada ou se utilizada sem um filtro prévio moral e ético, pode causar prejuízos incomensuráveis aos cidadãos e à própria sociedade, dando margem, inclusive, à concentração de mercados”.

Diante dos dois principais fatores que deram origem à PEC, proteção de dados pessoais como direito fundamental, e competência para legislação, sobre o primeiro, cabe relembrar o que seria um direito fundamental à luz da Constituição.

Em uma rápida explicação, podemos definir como direitos fundamentais os direitos do ser humano que se encontram positivados na Constituição de um determinado Estado. A relevância do assunto é tamanha que o coloca no nível mais elevado dentro da hierarquia das normas jurídicas.

Quanto ao segundo fator, relacionado à competência de legislar, um dos pontos levantados foi a preocupação de se manter a segurança jurídica dos assuntos desta natureza.

De acordo com a PEC, caso não se limite a competência de legislação para o âmbito federal, diversas leis, estaduais ou municipais, poderiam disciplinar sobre a matéria, gerando diversos tipos de entendimento, e enormes problemas jurídicos.

A proteção de dads como direito fundamental pela constituição

Diante do exposto até o momento, a discussão proposta pela PEC é coerente, pois estamos diante de um cenário que não tem possibilidade de retorno. O avanço tecnológico tem feito parte da vida do ser humano, proporcionando diversas conquistas, em diversas áreas.

Dentro do mesmo pensar, o deputado Orlando Silva citou em um Requerimento Interno encaminhado ao Presidente da Câmara que:

O uso e a exploração dos dados pessoais, por pessoas, empresas e governos, tanto localmente quanto de maneira global, impacta diretamente e de maneira decisiva a vida das pessoas. O tratamento de dados pode servir para se aceder a um benefício social, realizar um cadastro de compras ou se autenticar em um sistema de segurança. Mas também pode ser utilizado para negar acesso à saúde, encarecer propostas de seguro ou proibir o uso de determinados produtos ou serviços. O direito a proteção dos dados se torna, assim, uma necessidade para a autodeterminação informativa, para a liberdade de expressão, para a manutenção da intimidade, da honra e da imagem”.

Por fim, diante da relevância do assunto, entendemos que trazer o tema para uma pauta Constitucional é coerente, pois trata-se de um assunto ímpar que impacta a vida da coletividade. Ademais, S. Tomás, conceituado a palavra lei, registrou que “lei vem do verbo ‘ligare’, que significa ‘ligar’, ‘obrigar’, ‘vincular’. A lei obriga ou liga a pessoa a uma certa maneira de agir”.

Entendendo que a norma social é uma forma de conduta que precisa ser respeitada pelo coletivo, André Franco Montoro conceituou que “A norma jurídica é, em primeiro lugar, uma regra de conduta social. Seu objetivo é regular a atividade dos homens em suas relações sociais”.

Desta forma, inserir o tema na Constituição é garantir o direito à privacidade, contribuindo desta forma com a dignidade da pessoa humana.

O tema da privacidade no Brasil e no mundo

Nesse sentido, observa-se que a Lei Geral de Proteção de Dados (13.709/18), traz para os holofotes o tema privacidade no Brasil, abarcando princípios para garantir que a privacidade e proteção de dados pessoais sejam garantidas. Ela tambem faz com que o sujeito, dono daquele dado, seja amplamente informado e tenha direitos sobre o uso das suas informações.

A raiz dessa Lei brasileira que trata do direito à privacidade e a proteção de dados de forma tão incisiva está em solo estrangeiro.

Em meio ao caos gerado pelo escândalo da Cambridge Analytica (a empresa usou dados do Facebook dos americanos para direcionar propagandas políticas adequadas a seus perfis psicológicos mapeados), o mundo atentou-se ao fato que: dados de pessoas tinham se tornado o ativo mais caro do mundo (valores mais altos que petróleo).

O que isso significou, à época do escândalo, foi a urgente necessidade de uma regulamentação para esse mercado de alto valor, que até então navegava conforme queria.

Nesse contexto, nasceu a GDPR (General Data Protection Regulation), a Lei Geral de Proteção de Dados Europeia, que criou, entre suas normas, a obrigatoriedade de transferência internacional de dados pessoais apenas com países com legislações de privacidade e proteção de dados adequadas. Isso gerou uma corrida em diversos países para acompanhar a Europa em suas regulamentações.

O Brasil foi um desses países. Apesar de algumas diferenças, a LGPD trata o tema de forma muito similar (e atenta) as exigências da GDPR. O assunto já era legislado no Brasil em algumas legislações de forma não robusta, como por exemplo o Marco Civil da Internet e o Código de Defesa do Consumidor.

Porém, a LGPD concentra a temática de privacidade e proteção de dados pessoais, cria diretrizes específicas. Ela também prevê, além da possibilidade de aplicação de sanções, a criação da Agência Nacional de Proteção de dados como órgão inteiramente responsável pela regulação e fiscalização do tema no Brasil.

Princípios da LGPD

Nesse sentido, é importante trazer a base principiológica da LGPD, na qual se pautam todas as determinações presentes na Lei. Esses princípios estão dispostos no art.6º, e são os seguintes:

O princípio da finalidade (Art.6º, I), garante que os dados sejam tratados para propósitos legítimos, específicos, explícitos, e informados ao titular, impossibilitando o tratamento posterior ao cumprimento desse propósito. Dessa forma, impede que empresas como a Cambridge Analytica, coletem dados de redes sociais (os quais pessoas expõe informações pessoais com uma finalidade específica) para vender seus perfis filosóficos à partidos políticos.

Já o princípio da adequação (Art.6º, II), exige a compatibilidade do tratamento com as finalidades informadas ao titular. Ou seja, a empresa deve informar explicitamente sobre o tratamento e cumprir com o informado ao titular, exigindo, inclusive, que caso isso de altere, o titular deve ser comunicado imediatamente.

Quanto ao princípio da necessidade (Art.6º, III), este limita o tratamento ao mínimo necessário para realização de suas finalidades, com a coleta de dados pertinentes, proporcionais e não excessivos. Ou seja, caso para realização de uma compra na internet, seja necessário apenas o nome e o endereço de entrega, não há por que coletar data de nascimento, CPF, RG, gênero, e média salarial, por exemplo.

O livre acesso (Art.6º, IV) é a garantia que o sujeito (dono do dado, referido neste artigo e na Lei como Titular) seja facilmente informado sobre o uso de seus dados e os propósitos de tratamento.

Em relação ao princípio da qualidade dos dados (Art.6º, V), este impõe que os dados sejam atualizados, exatos, claros e em acordo com a necessidade informada.

A transparência (Art.6º, VI) é justamente a base da obrigação da informação clara, precisa e de fácil acesso que deve ser fornecida ao titular.

A segurança e a prevenção (Art.6º, VII, VIII) exigem a adoção de medidas técnicas e ações de segurança das informações para garantir a restrição de acessos adequada, prevenir vazamento e prevenção de perdas e danos relacionados aos riscos técnicos de tratamento de dados pessoais.

A não discriminação (Art.6º, IX) é a garantia explícita legal de que nenhum dado pessoal poderá ser usado para discriminar pessoas. O amparo legal nesse sentido toma destaque também no que tange o art.11º, com as possibilidades legais de tratamento de dados pessoais sensíveis (que é o nome dado à um rol taxativo de tipos de dados que podem ser utilizados com caráter discriminatório).

Por fim, quanto ao princípio da responsabilização e prestação de contas (Art.6º, X), é relacionado às obrigações de comprovação do compliance com todos os requisitos legais e a eficácia das medidas. Ou seja, obriga as empresas a evoluir nos controles, documentação e criação de indicadores para amadurecer os Programas de Privacidade.

Os princípios traduzem as exigências trazidas pela Lei, em relação:

Isso direciona um novo caminho para muitas empresas, e principalmente para os titulares de dados.

Ademais, nós, como titulares, devemos nos preocupar com a forma que nossos dados estão sendo utilizados, questionando e refletindo antes de fornecer informações pessoais indiscriminadamente para qualquer fonte.

Hoje, depois de tantas discussões, escândalos de vazamento, e utilização dos nossos dados para finalidades questionáveis, devemos nos preocupar com cadastros em sites, e uso de aplicativos (Ex: FaceApp utiliza de forma duvidosa o mapeamento facial em uma política de privacidade confusa).

Vale ressaltar que os riscos dessa exposição são inimagináveis. Desde stalkers, até uso dos nossos dados para atividades ilícitas, manipulação de opinião (como no caso da Cambridge Analytica), discriminações. Ou seja, são infinitas possibilidades de usos indevidos de algo que tem tanto valor do mercado e vai muito além de um simples cadastro.

Assim, compreendendo a importância da privacidade e da proteção de dados como direito fundamental, bem como o contexto legislativo internacional e nacional, vê-se a importância da temática na construção de uma sociedade. Sendo esta cada dia mais tecnológica e com a privacidade e a proteção de dados ganhando cada vez mais os holofotes frente aos desafios e dúvidas sobre este importante direito atrelado à dignidade da pessoa humana.

Você também acha que a proteção de dados e a privacidade são direitos fundamentais? Opine! Deixe seu comentário no post.

* Brenda Rodrigues, consultora de Data Privacy na ICTS Protiviti e Alexandre de Araujo Bezerra, Contador, Especialista em Contabilidade Financeira e Auditoria da Brookfield Timber. Graduando em Direito.