Prévia do material em texto
3 DICAS PARA ADVOGAR NA PROTEÇÃO DE DADOS Profa. Gabriela Glitz Sobre a autora A professora Gabriela Glitz é sócia do Escritório Cabanellos Advo- cacia e da Dogma, responsável pela área de contencioso corporati- vo e direito digital. Especialista em proteção de dados e privacida- de pelo Insper. Mestranda em Direito na área de Proteção de Dados Pessoais pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) com bolsa CAPES. MBA em Gestão Empresarial pela FGV. Pós-graduada em Ciências Penais pela Pontifícia Universidade Ca- tólica do Rio Grande do Sul. Julgadora da 5ª Turma do Tribunal de Ética e Disciplina da OAB. Mentora do Escritório de Carreiras da PUCRS. Membro do Grupo de Trabalho Regulamentação em Prote- ção de Dados da AB2L e da Federasul. Mentora do WLM Brasil e Membro do elas_inTech. Sumário 5 conceitos essenciais da LGPD Quem é quem na LGPD 3 dicas para advogar na proteção de dados Dica 1 - Ter um parceiro na área de TI Dica 2 - Utilizar sistemas gratuitos que façam o diagnóstico Dica 3 - Metodologia de trabalho 01 04 07 5 CONCEITOS ESSENCIAIS DA LGPD 02 5 conceitos essenciais da LGPD Ao iniciarmos o estudo a respeito da Lei Geral de Proteção de Dados, a famosa LGPD, precisamos compreender 5 conceitos essenciais. Através deles iniciamos o nosso mergulho no mundo da proteção de dados e vamos com eles compreendendo este importante ecossistema. O primeiro deles é a o conceito de dado pessoal. Toda a LGPD tem por objetivo a proteção dos dados pessoais, mas na verdade o que são dados pessoais? Dado pessoal é toda informação identi�cada ou identi�cável relacionada a uma pessoa física. A nossa legislação adotou o conceito expansionista de dado pessoal, que está relacionado a informação identi�cável. Assim, pode-se considerar dado pessoal desde o nome, CPF, RG, endereço, como até mesmo uma geolocalização ou IP de computador, informações estas que a priori não são identi�cadas a uma pessoa natural, porém com alguns cruzamentos de informações conseguimos identi�car o dono delas. Outro conceito essencial para a compreensão da LGPD é o de dado sensível. Dados sensíveis são todos aqueles dados pessoais que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, �liação a sindicato ou a organização de caráter religioso, �losó�co ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II da LGPD). A grande importância dos dados sensíveis está justamente pelo fato que eles podem gerar algum tipo de discriminação quando do seu tratamento, podendo acarretar riscos e vulnerabilidades mais gravosos aos direitos e liberdades fundamentais. Justamente por isso necessitam de maior proteção e cuidado por parte dos controladores e operadores de dados. 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz Além dos conceitos de dados pessoais e dados sensíveis o conceito de tratamento de dados é fundamental para a boa compreensão da legislação. Assim, pode-se entender tratamento como toda operação realizada com dados pessoais e aqui o conceito é amplo mesmo e está previsto no artigo 5º, X da LGPD. Armazenar, coletar, utilizar, acessar, reproduzir, transmitir, distribuir, processar são exemplos de tratamento de dados. Desta forma, toda e qualquer operação que envolva dados pessoais deve ser entendida como tratamento de dados. Dentre os conceitos essenciais não se poderia deixar de mencionar a ANPD, a Autoridade Nacional de Proteção de Dados, que é o órgão da administração pública responsável por zelar, implementar e �scalizar o cumprimento desta lei. Neste ecossistema de proteção de dados a ANPD é considerada a "última palavra" sobre o tema, sendo responsável por suprir lacunas da legislação e também por aplicar a política pública de proteção de dados no Brasil. Por �m, e não menos importante, não podemos deixar de mencionar a quem a LGPD se destina: o titular de dados. O ponto central de toda a legislação é a pessoa natural a quem se referem os dados pessoais que são objeto do tratamento (art. 5º, V da LGPD). Ao iniciarmos o estudo a respeito da Lei Geral de Proteção de Dados, a famosa LGPD, precisamos compreender 5 conceitos essenciais. Através deles iniciamos o nosso mergulho no mundo da proteção de dados e vamos com eles compreendendo este importante ecossistema. O primeiro deles é a o conceito de dado pessoal. Toda a LGPD tem por objetivo a proteção dos dados pessoais, mas na verdade o que são dados pessoais? Dado pessoal é toda informação identi�cada ou identi�cável relacionada a uma pessoa física. A nossa legislação adotou o conceito expansionista de dado pessoal, que está relacionado a informação identi�cável. Assim, pode-se considerar dado pessoal desde o nome, CPF, RG, endereço, como até mesmo uma geolocalização ou IP de computador, informações estas que a priori não são identi�cadas a uma pessoa natural, porém com alguns cruzamentos de informações conseguimos identi�car o dono delas. Outro conceito essencial para a compreensão da LGPD é o de dado sensível. Dados sensíveis são todos aqueles dados pessoais que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, �liação a sindicato ou a organização de caráter religioso, �losó�co ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II da LGPD). A grande importância dos dados sensíveis está justamente pelo fato que eles podem gerar algum tipo de discriminação quando do seu tratamento, podendo acarretar riscos e vulnerabilidades mais gravosos aos direitos e liberdades fundamentais. Justamente por isso necessitam de maior proteção e cuidado por parte dos controladores e operadores de dados. 03 5 conceitos essenciais da LGPD Além dos conceitos de dados pessoais e dados sensíveis o conceito de tratamento de dados é fundamental para a boa compreensão da legislação. Assim, pode-se entender tratamento como toda operação realizada com dados pessoais e aqui o conceito é amplo mesmo e está previsto no artigo 5º, X da LGPD. Armazenar, coletar, utilizar, acessar, reproduzir, transmitir, distribuir, processar são exemplos de tratamento de dados. Desta forma, toda e qualquer operação que envolva dados pessoais deve ser entendida como tratamento de dados. Dentre os conceitos essenciais não se poderia deixar de mencionar a ANPD, a Autoridade Nacional de Proteção de Dados, que é o órgão da administração pública responsável por zelar, implementar e �scalizar o cumprimento desta lei. Neste ecossistema de proteção de dados a ANPD é considerada a "última palavra" sobre o tema, sendo responsável por suprir lacunas da legislação e também por aplicar a política pública de proteção de dados no Brasil. Por �m, e não menos importante, não podemos deixar de mencionar a quem a LGPD se destina: o titular de dados. O ponto central de toda a legislação é a pessoa natural a quem se referem os dados pessoais que são objeto do tratamento (art. 5º, V da LGPD). 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz QUEM É QUEM NA LGPD 05 A LGPD trouxe importantes conceitos para o ecossistema da proteção de dados dentre eles três relevantes personagens para a legislação: o controlador, o operador e o encarregado. Todos possuem suas de�nições no artigo 5º da Lei 13.709/2018 e possuem destaque quando realizamos um processo de implementação da LGPD, pois torna-se de suma importância saber o papel de cada um no tratamento de dados, já que através desta identi�cação, responsabilidades também são alocadas. Estes dois agentes de tratamento, controlador e operador, possuem uma íntima ligação, pois respondem solidariamente pelos danos causados pelo tratamento de dados. No caso, o operador será responsabilizadoquando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que será igualado ao controlador. Diante desta íntima relação entre controlador e operador é indispensável que haja um contrato bem claro entre eles, limitando as responsabilidades de cada um para evitar qualquer problema futuro no andamento das atividades. Exemplos de operadores seriam empresas de armazenamento em nuvem e empresas que o controlador compartilha os dados para a realização do tratamento de dados pessoais. Ao controlador, pessoa natural ou jurídica, de direito público ou privado, competem as decisões sobre o tratamento de dados pessoais, ou seja, ele que tem o poder de de�nir como o tratamento será feito, de que forma e de que jeito. Em virtude disso, é o responsável pelo enquadramento das bases legais, deve indicar o encarregado, possui o ônus de provar o consentimento do titular e também será sancionado administrativamente em razão de infrações cometidas. Quem é quem na LGPD Já o operador, por sua vez, é quem realiza o tratamento de dados em nome do controlador. Salienta-se que o operador pode ser tanto pessoa natural quanto jurídica, porém não possui autonomia sobre a tomada de decisão no tratamento de dados. O operador também deve manter registro das operações de tratamento que realiza, na mesma linha do controlador. Além disso, é responsabilizado civilmente em razão do exercício da sua atividade de tratamento de dados pessoais, caso haja violação à LGPD. 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz 06 Hoje a legislação não diferencia quem deve e quem não deve ter uma DPO, sendo exigida este indicação de toda e qualquer empresa, independentemente de seu tamanho, porém espera-se que a Autoridade Nacional de Proteção de Dados venha para esclarecer esta situação e colocar um ponto de corte. O fato é que toda empresa que realize um tratamento de dados signi�cativo terá a necessidade de ter um DPO e com isso muitas oportunidades se abrem. O que se imagina é que as empresas de médio e pequeno porte busquem o serviço de DPO terceirizado, enquanto que as empresas de grande porte tenham um funcionário destinado para esta atividade. Isso acontece justamente pelas atribuições do DPO e pelo grau de exigência que ele terá em grandes corporações, sendo praticamente impossível a sua terceirização. Por �m, não podemos deixar de falar sobre o encarregado, o DPO (Data protection O�cer). Segundo o artigo 5º, VIII da LGPD, ele é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, titulares de dados e ANPD. De acordo com a LGPD o DPO pode ser tanto uma pessoa física quanto uma pessoa jurídica, abrindo a possibilidade de que os advogados prestem o serviço de DPO de forma terceirizada, ou seja, mais uma grande oportunidade para nós! 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz Quem é quem na LGPD 3 DICAS PARA ADVOGAR NA PROTEÇÃO DE DADOS 08 3 dicas para advogar na proteção de dados 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz A área de proteção de dados pessoais vem crescendo de forma exponencial no mercado jurídico. A Lei Geral de Proteção de Dados chega com o objetivo de reforçar ainda mais este cenário, dando força ao ecossistema e sinalizando sobre a importância do tema. Muito embora a temática da proteção de dados já seja abordada de forma ampla em nosso ordenamento, CF, CDC, CC, Marco Civil da Internet entre outras leis, a LGPD vem com o objetivo de nivelamento da proteção de dados pessoais, reforçando que este direito traz impactos on-lines e o�-lines. Advogar na área de proteção de dados pessoais é mais do que um nicho do momento, mas uma oportunidade que veio para �car. Os dados pessoais são o novo petróleo da economia e ganham cada vez mais força no cenário econômico, por sua capacidade expressiva de monetização. Considerando este cenário, quem estiver preparado para assumir este espaço no mercado jurídico certamente sairá na frente e terá melhores resultados que os colegas que não visualizaram esta oportunidade. Partindo-se desta premissa, a quali�cação é essencial para todo e qualquer advogado que pretende atuar neste nicho, mas além disso, que é fundamental, preparamos três importantes dicas para quem quer trabalhar na área de proteção de dados pessoais a partir de agora. Conheça elas a seguir. 09 3 dicas para advogar na proteção de dados 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz Dica 1 - Ter um parceiro na área de TI O projeto de implementação da LGPD dentro de uma empresa envolve desde aspectos jurídicos, como aspectos técnicos e procedimentais. Muito mais que uma revisão de instrumentos jurídicos é necessário que haja um repensar sobre a proteção de dados dentro da empresa, uma mudança de cultura e também ajustes técnicos imprescindíveis. Para que haja uma implementação adequada, é necessária a interação entre a área jurídica e a área de TI e muitas vezes para que estes ajustes sejam feitos da forma devida é necessária uma atuação mais efetiva de um pro�ssional da área de TI com conhecimento sobre proteção de dados. Aqui ressalta-se que não basta ter um parceiro da área de TI, mas sim uma pessoa que conheça de fato o tema de proteção de dados e que consiga sugerir e implementar esta temática dentro da empresa. A ideia principal desta dica é apresentar uma proposta completa de implementação e com isso tornar-se mais atrativo aos olhos do cliente, resolvendo o problema proteção de dados de ponta a ponta. 10 3 dicas para advogar na proteção de dados 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz Dica 2 - Utilizar sistemas gratuitos que façam o diagnóstico O diagnóstico da empresa pode ser feito de várias formas, como através de questionários, entrevistas e ferramentas tecnológicas. Os questionários são limitados e acabam não sendo amplos o su�ciente para a avaliação; as entrevistas são demoradas e muitas vezes não nos levam a lugar nenhum, fora que atrasam o processo como um todo; e as ferramentas tecnológicas? As ferramentas tecnológicas podem ser grandes aliados neste processo! O grande motivo é que elas conseguem fazer, de forma ágil, um diagnóstico da empresa. Nada mais é do que a con�rmação de que se tem o problema, através de um resultado, de um material que explique isso. As empresas de forma geral sabem que não estão preparadas para encarar os desa�os da LGPD e ferramenta, ao fazer o diagnóstico da empresa, con�rma isso através da conclusão do diagnóstico. Este material via de regra explica o passo a passo do que deve ser feito, elegendo prioridades e pontos de atenção. Além disso, materializa esta situação para o cliente e �ca mais fácil a venda do serviço, já que evidenciado o problema através da documentação. 11 3 dicas para advogar na proteção de dados 3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz Dica 3 - Metodologia de trabalho A metodologia de trabalho é peça chave para um processo de implementação bem sucedido. Hoje a implementação é feita passo a passo, através de etapas que vão desde o diagnóstico, passam pelo data mapping, gap analysis e acabam com a entrega do programa de implementação. As etapas são fundamentais para o cronograma e para o controle de entregas do projeto, já que marcam etapas importantes. A partir do momento que estas etapas são bem estabelecidas, claras e acompanhadas pelo responsável pelo projeto, cria-se uma metodologia de trabalho que pode, e deve, ser replicada para os demais clientes atendidos. Obviamente que o tamanho do projeto, assim como o tipo de cliente (B2B ou B2C) afetam nas horas de trabalho alocadas e também no valor a ser cobrado, mas a bem da verdade a metodologia é replicável e será utilizadapor todos eles. Portanto, invista em criar um formato de atuação capaz de abranger todos os escopos do projeto e também indicar um passo a passo a ser seguido, o que é essencial para a criação de uma metodologia. https://www.ibijus.com/