Natan Falbo: encarregado de dados da Fundação Ceperj sobre Lei Geral de Proteção de Dados Divulgação
A internet acelerou a comunicação entre as pessoas, mas também o compartilhamento de dados, inclusive pessoais. Você não imagina a quantidade de informações que as empresas têm sobre você. E é isso que a Lei de Proteção de Dados (LGPD) quer regular. Segundo o encarregado de dados da Fundação Ceperj (Centro Estadual de Estatísticas, Pesquisas e Formação de Servidores Públicos do Rio de Janeiro), Natan Falbo, "a LGPD garante que o titular de dados, ou seja, um cidadão como eu e você, possa ter garantias quanto à privacidade de seus dados.
A ideia é coibir e responsabilizar organizações e pessoas que façam uso indevido de dados pessoais do cidadão para fins comerciais ou até mesmo para fins escusos", explica em entrevista ao O DIA. "Aceitar qualquer tipo de acordo de serviço sem tomar ciência do instrumento é um grave risco, tendo em vista que algumas empresas podem utilizar dados pessoais para fins comerciais sem sequer prestar contas ao titular. Ao aceitar os famosos “Termos de Uso” sem que se tome ciência do teor, a pessoa poderá abrir mão de sua privacidade", alerta.
O que é preciso saber sobre a nova Lei de Proteção de Dados?
A LGPD estabelecerá um novo regramento para coleta, tratamento e armazenamento de dados pessoais nas empresas e órgãos públicos. Sua inspiração é na General Data Protection Regulation (GDPR), que entrou em vigor em maio de 2018 em toda União Europeia. A LGPD garante que o titular de dados, ou seja, um cidadão como eu e você, possa ter garantias quanto à privacidade de seus dados. A ideia é coibir e responsabilizar organizações e pessoas que façam uso indevido de dados pessoais do cidadão para fins
comerciais ou até mesmo para fins escusos. Embora a LGPD tenha sido promulgada em 2018, seus efeitos legais começaram em 2020. Hoje, sua implementação é obrigatória tanto no setor público quanto no privado. A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal que será responsável pela regulação e aplicação desta Lei no Brasil. A ANPD poderá, no âmbito de suas atribuições, editar normativos, fiscalizar e sancionar quem descumprir a LGPD no Brasil.
A LGPD estabelecerá um novo regramento para coleta, tratamento e armazenamento de dados pessoais nas empresas e órgãos públicos. Sua inspiração é na General Data Protection Regulation (GDPR), que entrou em vigor em maio de 2018 em toda União Europeia. A LGPD garante que o titular de dados, ou seja, um cidadão como eu e você, possa ter garantias quanto à privacidade de seus dados. A ideia é coibir e responsabilizar organizações e pessoas que façam uso indevido de dados pessoais do cidadão para fins
comerciais ou até mesmo para fins escusos. Embora a LGPD tenha sido promulgada em 2018, seus efeitos legais começaram em 2020. Hoje, sua implementação é obrigatória tanto no setor público quanto no privado. A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal que será responsável pela regulação e aplicação desta Lei no Brasil. A ANPD poderá, no âmbito de suas atribuições, editar normativos, fiscalizar e sancionar quem descumprir a LGPD no Brasil.
A Lei Geral de Proteção de Dados foi sancionada em 2018, houve um tempo para adequação e só agora os órgãos poderão ser punidos por descumprimento. Qual é o tipo de punição que podem receber?
As sanções administrativas previstas nos Artigos 52, 53 e 54 da LGPD passaram a vigorar em 1º de agosto de 2021. Existe um rol variado de sanções administrativas que podem ser aplicadas de forma gradativa. Primeiro, aplica-se uma advertência, depois a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados, e assim por diante. Sendo assim, é de suma relevância que a LGPD seja amplamente difundida entre todos os colaboradores de uma instituição, com treinamentos específicos, bem como a implementação de uma nova governança e gestão de dados pessoais. Digo isso porque a
proibição total do exercício das atividades de tratamento de dados, por exemplo, poderá significar até mesmo o encerramento de atividades empresariais. É possível enumerar as seguintes sanções administrativas: advertência, multa simples (limitada a 2% do faturamento, não ultrapassando o valor de cinquenta milhões de reais), multa diária, publicização da infração após apuração e confirmação de veracidade, bloqueio ou eliminação de dados pessoais referentes à infração, suspensão parcial do funcionamento de seis meses, suspensão do exercício da atividade de tratamento dos dados pessoais e,
por fim, proibição parcial ou total do exercício de atividades relacionadas ao tratamento de
dados.
proibição total do exercício das atividades de tratamento de dados, por exemplo, poderá significar até mesmo o encerramento de atividades empresariais. É possível enumerar as seguintes sanções administrativas: advertência, multa simples (limitada a 2% do faturamento, não ultrapassando o valor de cinquenta milhões de reais), multa diária, publicização da infração após apuração e confirmação de veracidade, bloqueio ou eliminação de dados pessoais referentes à infração, suspensão parcial do funcionamento de seis meses, suspensão do exercício da atividade de tratamento dos dados pessoais e,
por fim, proibição parcial ou total do exercício de atividades relacionadas ao tratamento de
dados.
O que o cidadão pode fazer para denunciar caso entenda que seus dados foram usados de forma indevida, tanto por um órgão público quanto privado?
O canal de denúncia é a ANPD. Basta acessar o site e fazer o seguinte caminho: Canais de Atendimento > Cidadão/Titular de Dados > Reclamação do titular contra controlador de dados. O cidadão também pode utilizar o site FALA.BR, da Controladoria Geral da União. Em âmbito Estadual, pode-se utilizar o site do e-SIC. Através deste canal, o requerente ou denunciante poderá enviar sua manifestação ao órgão ou diretamente para a Controladoria Geral do Estado para provimento de ação em relação a sua solicitação. Contudo, o ideal é que se utilize os canais da ANPD e FALA.BR, tendo em vista que a ANPD é o órgão
fiscalizador e sancionador da LGPD. Os cidadãos também podem buscar seus direitos na Justiça.
E como o cidadão pode proteger seus dados?
O cidadão deve estar consciente de que a LGPD entrou em vigor justamente para permitir que haja mais controle sobre suas informações pessoais. Dessa forma, o usuário deve ter ciência de que é necessária uma autorização explícita para uso de seus dados pessoais, com possibilidade de visualização, correção e exclusão a qualquer momento. São exemplos de dados abarcados pela proteção da LGPD: nome completo, sexo, gênero, estado civil, data de nascimento, RG, CPF, endereço, telefone, profissão, entre outros. Além disso, a lei protege os chamados dados sensíveis, ou seja, aqueles cuja proteção é maior diante da possibilidade de serem usados como forma de discriminação. São eles: dados sobre origem racial, opinião política, convicção religiosa e orientação sexual, saúde e genética.
O cidadão deve estar consciente de que a LGPD entrou em vigor justamente para permitir que haja mais controle sobre suas informações pessoais. Dessa forma, o usuário deve ter ciência de que é necessária uma autorização explícita para uso de seus dados pessoais, com possibilidade de visualização, correção e exclusão a qualquer momento. São exemplos de dados abarcados pela proteção da LGPD: nome completo, sexo, gênero, estado civil, data de nascimento, RG, CPF, endereço, telefone, profissão, entre outros. Além disso, a lei protege os chamados dados sensíveis, ou seja, aqueles cuja proteção é maior diante da possibilidade de serem usados como forma de discriminação. São eles: dados sobre origem racial, opinião política, convicção religiosa e orientação sexual, saúde e genética.
A Fundação Ceperj lançou um curso prático gratuito sobre a Lei Geral de Proteção de Dados. Qual é o conteúdo?
O curso e seu conteúdo inicialmente visam atender as demandas dos órgãos da administração pública estadual e prefeituras. A capacitação auxilia não só os Encarregados de Dados, mas todos os profissionais que lidam com dados. O conteúdo é: Como os órgãos poderão elaborar seus relatórios de impacto à proteção de dados pessoais (RIPD) conforme orienta o Art. 5º, inciso XVII, LGPD; Como o Inventário de Dados Pessoais pode ser elaborado (item que compõem o RIPD); Implementação de frameworks para o mapeamento e identificação de processos (BPMN - Business Process Model and Notation); Gestão de
riscos aplicada à LGPD e práticas de governança; Tópicos de segurança da informação.
Quando um usuário entra em um site onde precisa fazer cadastro, ele se depara com um "termo de uso" que as pessoas costumam aceitar sem ler. Quais os riscos disso?
Aceitar qualquer tipo de acordo de serviço sem tomar ciência do instrumento é um grave risco, tendo em vista que algumas empresas podem utilizar dados pessoais para fins comerciais sem sequer prestar contas ao titular. Ao aceitar os famosos “Termos de Uso” sem que se tome ciência do teor, a pessoa poderá abrir mão de sua privacidade. É comum, por exemplo, que aplicativos de celular capturem informações pessoais do usuário e que depois as utilize para fins comerciais. Lembre-se: quando o serviço é gratuito, o produto
muitas vezes é você. Aplicativos de celular podem ter acesso a galeria de fotos, a históricos de localização e navegação, a lista de contatos… Todas essas informações privativas podem ser utilizadas para revenda. O risco pode ser mais alto quando se trata de menores de idade que ainda não possuem maturidade para entender estas questões. Os escândalos envolvendo a Cambridge Analytica nos Estados Unidos é um excelente estudo de caso para entendermos esses riscos. Ao lançar um App para teste psicológico em uma rede social, a empresa coletou um volume gigantesco de dados com o objetivo de criar um modelo de
análise de dados que fosse usado para influenciar a escolha dos eleitores. As empresas
chamadas de Big Techs, ou Gigantes da Tecnologia, são especialistas em coleta e tratamento de dados. Nossas vidas digitais hoje são armazenadas nestas empresas. Atualmente é possível ter acesso a tudo o que estas empresas armazenam sobre nós. Basta requisitar os relatórios em seções específicas de Privacidade que você poderá ter uma amostra do quanto uma empresa dessas sabe sobre sua vida. Será que vale a pena abrirmos mão de nossa privacidade por aceitarmos os “Termos de Uso” sem ler o seu teor?
Aceitar qualquer tipo de acordo de serviço sem tomar ciência do instrumento é um grave risco, tendo em vista que algumas empresas podem utilizar dados pessoais para fins comerciais sem sequer prestar contas ao titular. Ao aceitar os famosos “Termos de Uso” sem que se tome ciência do teor, a pessoa poderá abrir mão de sua privacidade. É comum, por exemplo, que aplicativos de celular capturem informações pessoais do usuário e que depois as utilize para fins comerciais. Lembre-se: quando o serviço é gratuito, o produto
muitas vezes é você. Aplicativos de celular podem ter acesso a galeria de fotos, a históricos de localização e navegação, a lista de contatos… Todas essas informações privativas podem ser utilizadas para revenda. O risco pode ser mais alto quando se trata de menores de idade que ainda não possuem maturidade para entender estas questões. Os escândalos envolvendo a Cambridge Analytica nos Estados Unidos é um excelente estudo de caso para entendermos esses riscos. Ao lançar um App para teste psicológico em uma rede social, a empresa coletou um volume gigantesco de dados com o objetivo de criar um modelo de
análise de dados que fosse usado para influenciar a escolha dos eleitores. As empresas
chamadas de Big Techs, ou Gigantes da Tecnologia, são especialistas em coleta e tratamento de dados. Nossas vidas digitais hoje são armazenadas nestas empresas. Atualmente é possível ter acesso a tudo o que estas empresas armazenam sobre nós. Basta requisitar os relatórios em seções específicas de Privacidade que você poderá ter uma amostra do quanto uma empresa dessas sabe sobre sua vida. Será que vale a pena abrirmos mão de nossa privacidade por aceitarmos os “Termos de Uso” sem ler o seu teor?
Das eleições de 2018 para cá, vimos uma forte presença das campanhas eleitorais na internet. Como é a aplicação da LGPD no âmbito eleitoral?
Inicialmente, é importante destacar que a LGPD trouxe implicações bastante relevantes no âmbito das eleições, principalmente em razão dos novos desafios para a obtenção de votos, dentro de um cenário pandêmico, dando cada vez maior importância das campanhas virtuais para difusão da pauta dos candidatos. Visando resguardar a atuação dentro do setor eleitoral, o Tribunal Superior Eleitoral editou a Resolução 23.610/19, passando a dispor sobre o uso e a cessão de dados pessoais em campanhas eleitorais, de maneira que o tratamento de dados pessoais, inclusive sua cessão ou doação por pessoa jurídica ou
natural será regido pelo disposto na LGPD. Sendo assim, são vários os destaques referentes às novas disposições de proteção de dados. Um dos exemplos de ordem relevante é o fato de que dados ligados à opinião política e filiação partidária ou ainda dados considerados estratégicos para mapeamento eleitoral, tais como orientação sexual e religiosa, são considerados sensíveis, com regramento especial trazido pelo art.5, II, LGPD. Outro destaque é o da prática de crowdfunding, conhecido como financiamento coletivo de
campanhas, autorizado pela Lei 13.488/2017 e pela Resolução 23.607/19, de forma que
será necessário a coleta, compartilhamento e processamento de dados pessoais dos
doadores para que não sejam utilizados, por exemplo, para outras atividades relacionadas à
campanha eleitoral.
natural será regido pelo disposto na LGPD. Sendo assim, são vários os destaques referentes às novas disposições de proteção de dados. Um dos exemplos de ordem relevante é o fato de que dados ligados à opinião política e filiação partidária ou ainda dados considerados estratégicos para mapeamento eleitoral, tais como orientação sexual e religiosa, são considerados sensíveis, com regramento especial trazido pelo art.5, II, LGPD. Outro destaque é o da prática de crowdfunding, conhecido como financiamento coletivo de
campanhas, autorizado pela Lei 13.488/2017 e pela Resolução 23.607/19, de forma que
será necessário a coleta, compartilhamento e processamento de dados pessoais dos
doadores para que não sejam utilizados, por exemplo, para outras atividades relacionadas à
campanha eleitoral.
As empresas precisam contratar profissionais que tenham compreensão da lei?
Sim. Conforme o artigo 41 da LGPD, “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”. Contudo, a ANPD abriu consulta pública para revisar as regras da LGPD para micro e pequenas empresas, incluindo startups, em 30/08/2021.Conforme o processo de fiscalização da ANPD for evoluindo, a figura do Encarregado de Dados ganhará cada vez mais destaque. Inclusive, vale ressaltar que este não será apenas um personagem conhecedor da lei. O Encarregado de Dados deverá dominar minimamente
outros conhecimentos como tópicos em Segurança da Informação, Gestão de Riscos e Governança Corporativa.
Sim. Conforme o artigo 41 da LGPD, “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”. Contudo, a ANPD abriu consulta pública para revisar as regras da LGPD para micro e pequenas empresas, incluindo startups, em 30/08/2021.Conforme o processo de fiscalização da ANPD for evoluindo, a figura do Encarregado de Dados ganhará cada vez mais destaque. Inclusive, vale ressaltar que este não será apenas um personagem conhecedor da lei. O Encarregado de Dados deverá dominar minimamente
outros conhecimentos como tópicos em Segurança da Informação, Gestão de Riscos e Governança Corporativa.
Os comentários não representam a opinião do jornal e são de responsabilidade do autor.