Notícias LGPD
O Plenário do Senado Federal aprovou, no último dia 21, o PL 6.557/2019 que altera o artigo 39 do Estatuto da Igualdade Racial, para o fim de obrigar os setores público e privado a registrarem o segmento étnico e racial a que os seus trabalhadores pertencem. O objetivo da iniciativa é subsidiar a execução de políticas públicas pelo poder público. A proposta aguarda sanção do presidente da República.
Com a medida, a indicação passa a ser obrigatória nos seguintes documentos:
- Formulários de admissão e demissão no emprego;
- Formulários de acidente de trabalho;
- Instrumentos de registro do Sistema Nacional de Emprego (Sine), ou de estrutura que venha a suceder-lhe em suas finalidades;
- Relação Anual de Informações Sociais (Rais), ou outro documento criado posteriormente com conteúdo e propósitos a ela assemelhados;
- Documentos, inclusive os disponibilizados em meio eletrônico, destinados à inscrição de segurados e dependentes no Regime Geral de Previdência Social;
- Questionários de pesquisas levadas a termo pela Fundação Instituto Brasileiro de Geografia e Estatística (IBGE), ou por órgão ou entidade posteriormente incumbida das atribuições imputadas a essa autarquia.
A proposta também impacta diretamente os programas de conformidade à LGPD implementados ou que estão em processo de implementação pelas cooperativas. Isso porque, a partir da sanção do projeto, os agentes de tratamento de dados pessoais precisarão tratar adicionalmente o dado “raça” em algumas rotinas administrativas que envolvem a gestão de pessoas, como admissão de colaboradores, comunicação de acidentes de trabalho, inserção obrigatória de dados em sistemas públicos, etc. Desta forma, será necessário atualizar os registros de operações de tratamento de dados pessoais (ROT/RoPA), considerando a alteração de diversos processos.
Para lembrar! Registro de Operações de Tratamento de Dados Pessoais (ROT/RopA): documento obrigatório e explicitamente indicado na LGPD, que pode ser definido como a compilação estruturada das operações de tratamento de dados pessoais realizadas dentro da estrutura organizacional das cooperativas.
Saiba mais sobre este e outros documentos essenciais para a conformidade das cooperativas.
Importante destacar também que o dado “raça” passará a ser coletado pelas cooperativas em razão de obrigação legal estabelecida no Estatuto da Igualdade Racial e que, nesse caso, a hipótese legal de tratamento será a indicada no artigo 11, inciso II, alínea a, da LGPG. Conheça as 10 hipóteses que a LGPD autoriza o tratamento de dados pessoais.
Além disso, observa-se a necessidade das cooperativas monitorarem constantemente as alterações legislativas promovidas pelo Poder Legislativo (Nacional, Estadual e Municipal) e que podem impactar, ainda que indiretamente, nos programas de governança e conformidade com a LGPD, já que muitas delas podem exigir movimentos internos de adequação de rotinas, processos e/ou documentos.
Gostou do tema? Nos acompanhe, continuaremos publicando conteúdos acerca de movimentos legislativos em matéria de proteção de dados pessoais que podem trazer impactos nas rotinas das cooperativas.
“É imprescindível que as cooperativas tratem as ações de adequação à LGPD [Lei Geral de Proteção de Dados Pessoais] como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das falhas identificadas nos processos que envolvem o tratamento desses dados.”
Ana Paula Andrade Ramos, Assessora Jurídica da OCB
A recomendação da Assessora Jurídica da Organização das Cooperativas Brasileiras (OCB), Ana Paula Andrade Ramos, refere-se à aplicação das penalidades administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), que passou a ser possível com a recente publicação da resolução que regulamenta o cálculo e aplicação de sanções administrativas para quem descumprir as regras previstas na LGPD.
O Sistema OCB, por sua vez, disponibilizou texto sobre como funcionará a apuração dos fatos denunciados por meio de processo de fiscalização e do processo administrativo sancionador, pela ANPD. As regras de aplicação das penalidades por descumprimento da LGPD estão previstas no chamado regulamento de dosimetria das penalidades. As empresas do Brasil, e mesmo as que estão fora do Brasil, mas que se relacionam com cidadãos brasileiros, estarão sujeitas à atuação da ANPD e à LGPD, independentemente do seu porte.
Cenário
Segundo o escritório Mattos Filho, foi identificado um crescimento nas ações judiciais de 500%, uma vez que saltou de 20 para 120 ações judiciais que discutem a aplicação da Lei Geral de Proteção de Dados Pessoais entre 2020 e 2022. O presidente da ANPD, Waldemar Gonçalves, ressaltou que já há diversas ações fiscalizadoras em andamento e que, em janeiro, durante as comemorações do Dia Internacional da Proteção de Dados, oito processos administrativos aguardavam o regulamento de dosimetria para aplicação das sanções.
Até o momento, a autoridade já recebeu mais de 6 mil denúncias, e o movimento crescente tem sido notado pelo Judiciário.
“Em 2021, no início da aplicação da lei, eram mais de 600 ações que discutiam questões relacionadas com as normas. Recentemente, foi identificado um crescimento de mais de 500% no volume de processos julgados pelos tribunais envolvendo temas relacionados com a LGPD.”
Ana Paula Andrade Ramos, Assessora Jurídica da OCB.
A Assessora Jurídica ressalta, ainda, que não é apenas o vazamento de dados pessoais que se caracteriza como infração à LGPD. Inúmeras outras situações podem gerar a aplicação das penalidades estabelecidas na legislação, como:
- Ausência de elaboração e atualização do Registro de Operações de Tratamento de Dados Pessoais;
- Ausência de elaboração e atualização de Relatórios de Impacto à Proteção de Dados Pessoais;
- Ausência de nomeação de Data Protection Officer (DPO) - encarregado de proteção de dados- exceto para agentes de tratamento de pequeno porte;
- Ausência de canal de atendimento de direitos dos titulares; e
- Não treinar colaboradores e prestadores de serviços sobre o tema.
Já não é mais novidade que as cooperativas que realizam tratamento de dados pessoais (ou seja, dados de pessoas físicas) devem se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD). Essa necessidade ganhou ainda mais força com a recente publicação de resolução da Autoridade Nacional de Proteção de Dados (ANPD), que regulamenta o cálculo e aplicação de sanções administrativas (Confira nossa matéria sobre a publicação do regulamento), norma complementar ao processo fiscalizatório finalizado em 2021.
O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador estabelece uma lógica de regulação responsiva, ou seja, prevê atividades de monitoramento, orientativas, preventivas e, se necessário, de repressão.
Cada fase do processo fiscalizatório possui ações específicas que devem ser observadas para a instauração ou não do Processo Administrativo Sancionador.
Veja de forma resumida como a ANPD atuará em cada uma dessas fases:
- Atividades de monitoramento: nesta fase é realizado o levantamento de informações e dados relevantes para auxiliar a sua tomada de decisão sobre instaurar ou não processo administrativo;
- Atividades orientativas: são promovidas ações e atividades de orientação, conscientização e educação dos agentes de tratamento, titulares e demais integrantes ou interessados no tratamento de dados pessoais. No escopo destas ações estão a elaboração e disponibilização de guias, modelos de documentos, orientações para utilização de padrões técnicos, bem como a sugestão de cursos e treinamentos, entre outros;
- Atividades preventivas: a ANPD e as organizações (agentes de tratamento de dados pessoais) que realizam o tratamento de dados pessoais elaboram conjuntamente soluções e medidas que possibilitem reconduzir à plena conformidade, evitar e remediar situações de risco ou danos aos titulares de dados pessoais ou outros agentes de tratamento;
- Atividades repressivas: a autoridade atua coercitivamente para interromper situações de dano ou risco aos titulares de dados pessoais com aplicação das sanções previstas na legislação. A sua atuação repressiva ocorrerá por meio do chamado Processo Administrativo Sancionador.
Após a ANPD identificar situação que pode representar uma violação à LGPD, poderá ser instaurado processo administrativo para apuração da infração, de acordo com as etapas abaixo:
Fase 01 – Procedimento preparatório
Nesta etapa são realizadas as averiguações preliminares, sendo que a ANPD determinará a realização de diligências e o procedimento poderá tramitar em sigilo. O interessado poderá apresentar proposta de Termo de Ajustamento de Conduta (TAC), o qual será avaliado pela Coordenação-Geral de Fiscalização. Ao final desta fase, poderá ocorrer o arquivamento (com a aprovação do TAC proposto) ou a instauração do Processo Administrativo Sancionador.
Fase 02 – Instauração e instrução
É a fase em que a ANPD buscará reunir novas provas a respeito da situação apurada, realizar diligências e analisar a possibilidade de participação de terceiros como as Organizações Estaduais ou o Sistema OCB Nacional, nos casos em que cooperativas sejam submetidas ao processo fiscalizatório em razão da suspeita de descumprimentos da LGPD.
A autoridade poderá, ainda, lavrar o Auto de Infração e o agente de tratamento fiscalizado poderá apresentar sua defesa, hipótese em que a fase é encerrada. O encerramento desta fase também ocorre caso seja esgotado o prazo para se manifestar e o agente de tratamento não tiver apresentado manifestação no prazo estipulado.
Fase 03 - Decisão
Esta etapa encerra o Processo Administrativo Sancionador. Na decisão proferida pela Coordenação-Geral de Fiscalização, serão indicados os fatos e fundamentos utilizados para a tomada de decisão e, sendo o caso, contará com a indicação da sanção administrativa aplicada com prazo para que o agente de tratamento cumpra as determinações previstas na decisão.
Fase 04 - Recurso
Após a publicação da decisão, o agente de tratamento será notificado de seu teor, sendo possibilitada a apresentação de recurso ao Conselho Diretor da ANPD. Todavia, o recurso é limitado a matérias específicas. Caso ocorra a apresentação de recurso, a Coordenação-Geral de Fiscalização poderá reconsiderar os termos da decisão de forma fundamentada, a qual não poderá resultar no agravamento da sanção originalmente aplicada.
É possível concluir a partir do processo de fiscalização que a ANPD adotará uma postura de orientação, educação, prevenção e conscientização em detrimento da aplicação de sanções administrativas. O processo administrativo garante a possibilidade de realização de acordo, por meio do TAC, ampla defesa e produção de provas, oportunizando que as cooperativas e outros agentes de tratamento possam corrigir as práticas consideradas irregulares.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no último dia 24/02 a norma que regulamenta a aplicação de sanções administrativas da Lei Geral de Proteção de Dados Pessoais (LGPD). A Resolução CD/ANPD n. 04/2023 traz a definição de infração leve, média e grave e mostra como calcular a multa por violação à legislação — que pode chegar a R$ 50 milhões. A possibilidade de aplicação das penalidades estava em vigor desde 31 de agosto de 2021, mas dependia de regulamentação do cálculo da dosimetria para ser efetivada.
Com a publicação da norma, todo e qualquer descumprimento da LGPD passa a estar sujeito as penalidades administrativas estabelecidas. Por isso, é importante conhecer quais sanções podem ser aplicadas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
- Multa diária, observado o limite total anterior;
- Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
As penalidades são aplicadas aos agentes de tratamento de dados pessoais que desrespeitarem as disposições da LGPD, por meio do Processo Administrativo Sancionador, que tem como objetivo interromper situações de dano ou risco aos titulares de dados pessoais com aplicação de sanções previstas na legislação. O processo pode ser instaurado de ofício pela autoridade ou mediante requerimento e observará as seguintes fases:
Uma vez confirmada a existência da irregularidade, a ANPD avaliará as circunstâncias da infração para definir as penalidades a serem aplicadas. Para isso, a autoridade inicialmente classificará a infração em leve, média ou grave, conforme detalhes abaixo:
Nas infrações apuradas pela ANPD que resultem na aplicação de multa simples, o valor será definido de acordo com as regras estabelecidas no Apêndice I do regulamento aprovado, o qual estabeleceu algumas etapas para a definição do valor da multa:
Durante as etapas indicadas acima, a ANPD avaliará os seguintes aspectos:
- A classificação da infração;
- O grau do dano;
- O faturamento do infrator ou valores absolutos definidos no regulamento para agentes pessoas físicas ou pessoas jurídicas sem faturamento;
- As circunstâncias agravantes;
- As circunstâncias atenuantes;
- Os limites mínimos e máximos de multas.
Além de dispor as fórmulas de cálculo da multa, a ANPD também estabeleceu os valores mínimos para os agentes de tratamento que descumprirem disposições da LGPD, independentemente da existência de faturamento:
Com o fim do processo regulatório, recomenda-se às cooperativas que tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais.
Gostou do tema? Nos acompanhe, em breve publicaremos conteúdo abordando as etapas do processo de fiscalização conduzidas pela ANPD.
Autoridade contará com apoio necessário para desempenhar suas funções
A Autoridade Nacional de Proteção de Dados (ANPD) é agora vinculada ao Ministério da Justiça e Segurança Pública. Segundo a Portaria Conjunta MJSP/ANPD 05/2023, a pasta será responsável por colaborar com as atividades prestadas pela autoridade por meio de “assistência meramente administrativa e de forma temporária”.
Até então, a ANPD, formalizada pela Lei 13.853/2019, estava vinculada à Presidência da República. No entanto, com a alteração da estrutura organizacional do Ministério da Justiça (prevista no Decreto nº 11.348/23), a responsabilidade pela assistência administrativa do órgão máximo de proteção de dados pessoais do país foi alterada.
O vínculo não altera a característica de órgão autônomo e independente da ANPD. A vinculação, no entanto, é essencial para que a autoridade possa desenvolver as inúmeras ações previstas em suas atividades envolvendo a proteção de dados, já que foi constituída sem quadro funcional o aumento de despesas. A assistência administrativa contribuirá em temas como execução orçamentária, logística, atividades patrimoniais, financeiras e contábeis.
A MP 1.124/22, que transformou a ANPD em autarquia e reforçou sua autonomia, determina que o período de assistência administrativa é transitório, mas não definiu seu prazo de encerramento, afirmando apenas que ele será oportunamente conhecido. A vinculação ao Ministério da Justiça, indica, no entanto que a autoridade está recebendo o apoio necessário para desempenhar a sua função e se fortalecendo institucionalmente.
Confira abaixo as atribuições da ANPD:
- Zelar pela proteção de dados pessoais;
- Editar regulamentos e procedimentos sobre proteção de dados pessoais;
- Interpretar a aplicação da LGPD;
- Fiscalizar e aplicar sanções;
- Elaborar estudos para boas práticas no tratamento de dados pessoais;
- Implementar políticas públicas para a proteção de dados pessoais;
- Criar mecanismos para reclamações sobre o tratamento irregular de dados pessoais;
- Cooperar com órgãos internacionais de proteção de dados;
- Comunicar órgãos de controle sobre ações de descumprimento à LGPD;
- Realizar ou determinar a realização de auditorias;
- Ouvir entidades e órgãos públicos sobre temas relacionados à proteção de dados pessoais;
- Emitir relatórios anuais.
A norma que definirá a dosimetria e aplicação de sanções administrativas pelo descumprimento da Lei Geral de Proteção de Dados (LGPD) está prestes a ser publicada. Em evento virtual promovido no dia 27 de janeiro para comemorar o Dia Internacional da Proteção de Dados, o presidente da Autoridade Nacional de Proteção de Dados (ANPD), Waldemar Ortunho, revelou que a regulamentação deve ser publicada até o final de fevereiro e terá como relator o diretor Arthur Sabbat.
Embora a norma esteja em vigor há mais de dois anos, até o momento, a ANPD ainda não efetivou esta atribuição. Em setembro deste ano, a entidade colou em consulta pública uma minuta com as definições propostas para a regulamentação. O texto recebeu 2,5 mil sugestões que estão sendo avaliadas para publicação da resolução final.
Figura 1 - Etapas do processo regulatório envolvendo as penalidades
É importante, portanto, conhecer quais sanções podem ser aplicadas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
- Multa diária, observado o limite total anterior;
- Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
“As cooperativas devem lembrar que não é apenas o vazamento de dados pessoais que se caracteriza como infração à LGPD. Inúmeras outras situações podem gerar a aplicação de penalidades, como, por exemplo, a ausência de documentos obrigatórios, a não nomeação de DPO ou de canal de atendimento de direitos dos titulares”, explica Cristhian Groff, encarregado pelo tratamento de dados pessoais do Sistema OCB.
Importante:
Considerando que o processo regulatório para aplicação de penalidades está em fase final, é importante que cooperativas tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais. Vale lembrar que, embora a ANPD ainda não tenha aplicado sanções, no Judiciário já são identificados inúmeros processos fundamentados na LGPD.
Gostou do tema? Nos acompanhe, em breve publicaremos conteúdos abordando exemplos de situações que geram a aplicação de penalidades na União Europeia e que possivelmente também serão objeto de discussões aqui no Brasil.
A comunicação de incidentes de segurança que possam acarretar risco ou dano relevante para titulares de dados pessoais conta com uma nova versão do formulário disponibilizado pela Autoridade Nacional de Proteção de Dados (ANPD). O uso do documento passou a ser obrigatório desde o dia primeiro de janeiro de 2023.
A revisão foi feita pela Coordenação Geral de Fiscalização da ANPD para facilitar o preenchimento pelos controladores e a análise das comunicações de incidentes pela entidade. O documento ampliou o uso de respostas estruturadas e incluiu orientações sobre o processo de comunicação de incidentes no corpo do formulário. Outro benefício esperado é a melhoria da qualidade das respostas para permitir a estruturação de uma base de dados confiável sobre incidentes de segurança.
O prazo para a comunicação dos incidentes ainda não foi expressamente definido, mas a recomendação é para que os controladores façam o registro até dois dias úteis da ciência do fato, o que deve ser observado também pelas cooperativas. Ainda este ano, no entanto, o prazo oficial deve ser deliberado, conforme agenda regulatória divulgada pela ANPD. O artigo Autoridade Nacional divulga nova agenda regulatória da LGPD identifica todos os pontos que serão regulamentados pela autoridade no biênio 2023/2024.
A comunicação pode ser feita de duas formas: completa, ou seja, quando a cooperativa já identificou as causas e reuniu todas as informações pertinentes ao evento, ou preliminar, com as informações obtidas até o momento da comunicação e que precisam ser complementadas em até 30 dias. “Os agentes de tratamento demonstram à autoridade o cumprimento de suas obrigações legais relativas ao incidente e a adoção de medidas de segurança adequadas às suas atividades de tratamento de dados”, informa a própria ANPD.
Por isso, a comunicação, ainda que realizada por cautela, será apreciada pela ANPD como boa prática adotada pela cooperativa, razão pela qual é recomendável que os incidentes identificados sejam devidamente registrados e comunicados a autoridade e aos titulares, caso haja alguma suspeita de que eles possam acarretar risco ou dano relevante aos titulares.
Em caso de dúvidas, a ANPD disponibiliza em seu site institucional informações gerais relacionadas ao procedimento de comunicação de incidentes ou eventos com a possibilidade de causar ou que causem risco ou dano relevantes para os titulares de dados pessoais.
Princípios
A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma norma estabelecida com base em princípios, e por isso, é importante que as cooperativas os observem com atenção, principalmente os que dizem respeito a responsabilização e a prestação de contas. Em Descomplicando os princípios da LGPD é possível conferir um pouco mais sobre cada um dos princípios previstos na norma.
O artigo 46 da Lei Geral de Proteção de Dados Pessoais (LGPD) prevê a obrigação aos agentes de tratamento de dados pessoais (controladores e operadores) de adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Ocorre que até o momento, a Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou apenas um guia orientativo sobre a matéria (Acesse o guia aqui), o qual é destinado aos agentes de tratamento de pequeno porte, ou seja, aqueles que atendem aos requisitos da Resolução n. 2/2022 da ANPD (Acesse a resolução aqui).
Embora o guia seja destinado a eles, todo e qualquer agente de tratamento, dentre eles as cooperativas, podem se valer das boas práticas recomendadas e indicadas no documento, uma vez que são disposições que permitirão que a organização tenha condições minimamente necessárias para desenvolver a temática de segurança da informação dentro de sua estrutura organizacional.
O guia aborda alguns dos principais controles que devem ser observados pelos agentes:
- Política de segurança da informação: é recomendável a existência deste documento, ainda que no formato simplificado, com previsão de revisões periódicas e contemplando aspectos relacionados com cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico, uso de antivírus, entre outros;
- Conscientização e treinamento: é imprescindível que as organizações, independentemente de seu tamanho, invistam em seu capital humano. Rotinas de treinamento e conscientização sobre a importância e cuidados que devem ser adotados no tratamento de dados pessoais é um dos principais mecanismos de mitigação dos riscos de eventuais irregularidades;
- Gerenciamento de contratos: a existência de instrumentos contratuais com cláusulas de segurança da informação que assegurem a adequada proteção dos dados pessoais contemplando regras sobre compartilhamentos, relações controlador-operador e orientações sobre o tratamento a ser realizado, são indispensáveis para a segurança nos relacionamentos estabelecidos pelos agentes;
- Controle de acesso: controlar e restringir o acesso aos dados pessoais contribui diretamente para a governança efetiva dos dados na organização;
- Segurança dos dados pessoais armazenados: a segurança dos locais em que os dados pessoais são armazenados deve ser avaliada pelas organizações. Lembre-se que quanto maior o número de locais em que os dados estão armazenados, maior será o nível de cuidados que os agentes deverão adotar para garantir a segurança das informações;
- Segurança das comunicações: para assegurar que as informações transitarão de forma segura, convém que as organizações atentem para cuidados específicos e técnicos nas soluções utilizadas para a transferência de dados;
- Manutenção de programa de gerenciamento de vulnerabilidades: vulnerabilidades estão diariamente sendo descobertas e as organizações precisam estar atentadas com estes movimentos, mantendo seus disposições e sistemas devidamente atualizados para assegurar que os riscos sejam adequadamente mitigados;
- Medidas relacionadas ao uso de dispositivos móveis: sempre que possível, é importante que os agentes separem o uso de dispositivos móveis de uso privado daqueles de uso institucional. Controles de acesso e fatores de autenticação devem ser utilizados nestes dispositivos para combater acessos não autorizados de terceiros;
- Medidas relacionadas ao serviço em nuvem: além de aspectos contratuais que devem ser observados entre o agente e o fornecedor dos serviços em nuvem, devem também ser avaliados aspectos técnicos de controle de acesso e as medidas de segurança de autenticação existentes nos acessos aos ambientes em nuvem.
Além do guia orientativo, a ANPD também disponibilizou um checklist com 48 pontos para serem observados pelos agentes de tratamento na implementação de medidas de segurança que contribuirão com o amadurecimento da proteção de dados pessoais. Acesse o checklist aqui.
É importante destacar que o guia orientativo da ANPD não possui efeito normativo vinculante e deve ser entendido como um guia de boas práticas relacionadas a segurança da informação. Segundo a ANPD, “espera-se que essas medidas contribuam para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais de pequeno porte.”
Em 2023 teremos diversos temas sendo regulamentados e que se relacionam indiretamente com os temas tratados acima, considerando a agenda regulatória publicada pela ANPD para o biênio 2023/2024. Clique aqui e confira o artigo sobre os temas que serão foco regulatório da ANPD no próximo ciclo de regulamentações da LGPD.
Por fim, vale reforçar que, embora o guia orientativo se destine aos agentes de tratamento de pequeno porte, é plenamente possível e recomendável que ele seja utilizado como ponto de início para que as cooperativas desenvolvam seus programas de conformidade com a LGPD.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 4 de novembro, a Portaria 35/2022, que institui a Agenda Regulatória para o biênio 2023/2024. A publicação faz parte do papel de orientação e de regulamentação de dispositivos legais atribuídos ao órgão pela Lei Geral de Proteção de Dados (LGPD) e contou com contribuições feitas pela sociedade por meio de tomada de subsídios realizada previamente.
Entre os pontos estabelecidos na portaria para que cooperativas e outras organizações se adequem à Lei, está a finalização do processo de criação do Regulamento de dosimetria e aplicação de sanções administrativas, que vai definir como serão aplicadas as sanções administrativas às infrações, bem como os critérios que orientarão o cálculo do valor das multas. Segundo comunicado da ANPD, o documento encontra-se em fase final de elaboração.
A regulamentação da transferência internacional de dados também está prevista para a primeira fase da nova agenda regulatória. Para as cooperativas esse é um ponto bastante aguardado, uma vez que é comum para alguns ramos o relacionamento constante com parceiros localizados fora do território nacional e que resultam na necessidade de compartilhamento de dados pessoais para operacionalização das atividades. O tema foi recentemente objeto de tomada de subsídios e aguarda análise da ANPD para definição das normas.
Além disso, os itens que fazem parte da agenda regulatória vigente (biênio 2021/2022), e ainda não concluídos, foram alocados pela ANPD para a primeira fase do próximo ciclo regulatório. Ao todo, estão previstas 20 ações para o biênio 2023/2024), dividido em quatro fases:
Fase 1 – Composta por itens remanescentes da agenda 2021-2022 e novos temas:
- Regulamento de dosimetria e aplicação de sanções administrativas;
- Direitos dos titulares de dados pessoais;
- Comunicação de incidentes e especificação do prazo de notificação;
- Transferência Internacional de dados pessoais;
- Relatório de impacto à proteção de dados pessoais;
- Encarregado de proteção de dados pessoais;
- Hipóteses legais de tratamento de dados pessoais;
- Definição de alto risco e larga escala;
- Dados pessoais sensíveis – organizações religiosas;
- Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa;
- Anonimização e pseudonimização;
- Regulamentação do disposto no art. 62 da LGPD.
Fase 2 - Itens cujo início do processo regulatório acontecerá em até 1 ano:
- Compartilhamento de dados pelo Poder Público;
- Tratamento de dados pessoais de crianças e adolescentes;
- Diretrizes para a política nacional de proteção de dados pessoais e da privacidade;
- Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança.
Fase 3 - Itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses:
- Dados pessoais sensíveis - dados biométricos
- Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança
- Inteligência artificial
Fase 4 - Itens cujo início do processo regulatório acontecerá em até 2 anos:
- Termo de ajustamento de conduta – TAC
Importante destacar a preocupação da ANDP em ouvir os agentes de tratamento sobre os temas que acarretam maior impacto nas operações e merecem maior atenção no processo regulatório da proteção de dados pessoais no Brasil. A regulamentação da Lei está avançando e, com ela, a maturidade para que as cooperativas e demais organizações que tratam dados pessoais possam iniciar, avançar e/ou aprimorar seus Programas de Conformidade com a legislação.
Dúvidas sobre quais são e quando serão aplicadas as multas pelo descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) são bastante comuns. Embora a norma esteja em vigor há mais de dois anos, a Autoridade Nacional de Proteção de Dados (ANPD), recentemente transformada em autarquia especial e responsável pela fiscalização e interposição das sanções, ainda não efetivou esta atribuição.
Na prática, a possibilidade de aplicação das multas está em vigor desde de 31 de agosto de 2021. Efetivamente, no entanto, o cálculo de dosimetria das penalidades ainda não encerrou o seu processo administrativo regulatório. Em setembro deste ano, a ANPD colocou em consulta pública uma minuta com as definições propostas pela entidade. O texto recebeu cerca de 2,5 mil sugestões que passam por avaliação no momento para possibilitar a publicação da resolução final.
A expectativa é que o documento seja publicado ainda este ano e, por isso, é importante conhecer quais sanções podem ser aplicadas. Então, confira a lista abaixo:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
- Multa diária, observado o limite total anterior;
- Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
“A multa de até 50 milhões, por infração é, sem dúvidas, a penalidade que mais chama a atenção e preocupa as cooperativas. No entanto, considero que as penalidades mais pesadas não são de caráter pecuniário, mas, sim, aquelas que proíbem parcial ou totalmente uma organização de realizar atividades envolvendo o tratamento dos dados pessoais. Organizações que não podem tratar dados pessoais têm suas atividades completamente inviabilizadas, já que não poderão contratar nem sequer um funcionário, por exemplo”
Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB.
Ainda segundo ele, “as cooperativas devem lembrar que não é apenas o vazamento de dados pessoais que se caracteriza como infração à LGPD. Inúmeras outras situações podem gerar a aplicação de penalidades”. E cita alguns exemplos:
- Ausência de elaboração e atualização de Registro das Operações de Tratamento de Dados Pessoais;
- Ausência de elaboração de atualização de Relatórios de Impacto à Proteção de Dados Pessoais;
- Ausência de nomeação de DPO, exceto para agentes de tratamento de pequeno porte;
- Ausência de canal de atendimento de direitos dos titulares;
- Atendimento irregular de direitos dos titulares;
- Coleta de dados pessoais de forma excessiva e incompatível com a finalidade;
- Manutenção de dados pessoais por mais tempo que o necessário;
- Ausência de cláusulas contratuais obrigando operadores ao cumprimento da LGPD;
- Não informar explicitamente as pessoas sobre as atividades que serão realizadas com seus dados pessoais;
- Justificar as atividades que envolvem dados pessoais com as bases legais inadequadas – confira nosso conteúdo sobre bases legais clicando aqui;
- Medidas de segurança insuficientes para garantia da confidencialidade, integridade e disponibilidade;
- Não realizar treinamentos periódicos de colaboradores; e
- Ausência de políticas de privacidade e proteção de dados pessoais.
Para lembrar:
Recomenda-se às cooperativas que tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais. Embora a ANPD ainda não tenha aplicado sanções, no Judiciário já são diversos os processos fundamentados na LGPD, muitos deles gerando condenações para as empresas ou cooperativas demandadas.
Gostou do tema? Nos acompanhe, em breve publicaremos conteúdo abordando exemplos de situações que geram a aplicação de penalidades na União Europeia e que possivelmente também irão gerar por aqui.
Os “cookies” podem ser entendidos como pequenos arquivos que são instalados nos dispositivos de usuários de sites e aplicativos, com o objetivo de coletar determinadas informações e dados pessoais. São utilizados, na maioria das vezes, para garantir o correto funcionamento de um site ou de um aplicativo e, ainda, para identificar os usuários, viabilizar pagamentos online, apresentar anúncios, realizar integrações com redes sociais ou medir a eficácia de um site a partir das interações que com ele os usuários estabelecem.
Para orientar sobre o uso dos cookies em conformidade com a Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), lançou o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais. A publicação dispõe sobre as limitações das finalidades do uso de cookies, hipóteses legais para justificar a utilização e outras orientações gerais sobre a necessidade de uma Política de Cookies e Banner de Cookies.
O guia salienta que as coletas de dados pessoais por meio cookies também devem obedecer aos princípios da LGPD: finalidade, necessidade, adequação, livre acesso e transparência entre outros.
“Não é possível coletar dados pessoais através de cookies para finalidades genéricas, ou seja, em situações em que ocorre a solicitação de aceite de termos e condições gerais, sem a indicação das finalidades específicas de uso. Também não é possível a coleta de cookies para uma determinada finalidade (ex.: ações de análise da interação do usuário com o conteúdo do site) e posterior utilização para outras finalidades (ex.: customização de ações de publicidade)”, descreve o guia.
Outro ponto de atenção diz respeito ao período de retenção dos cookies. Segundo a ANPD, devem ser eliminados assim que a finalidade que levou a coleta for alcançada ou quando a eliminação solicitada pelo titular for legítima. A autoridade considera que é possível haver a retenção de cookies por períodos maiores, desde que esteja condicionada às hipóteses previstas em lei, tais como, o cumprimento de obrigação legal ou regulatória.
Ao tratar das hipóteses legais para a coleta de cookies, a ANPD dispõe que “embora inexista hierarquia ou preferência entre as hipóteses legais previstas na LGPD, o recurso ao consentimento será mais apropriado quando a coleta de informações for realizada por cookies não necessários”. Acrescenta ainda que “não é apropriado utilizar a hipótese legal do consentimento nas hipóteses de cookies estritamente necessários, já que estes precisam coletar informações do usuário para a correta disponibilização da página eletrônica ou prestação de serviços”.
Ainda de acordo com a ANPD, a hipótese legal do legítimo interesse pode ser utilizada para os casos de utilização de cookies estritamente necessários. Do ponto de vista de boas práticas de adequação à LGPD relacionadas ao tema, a ANPD recomenda, para garantia da transparência na coleta de cookies e dos direitos dos usuários, a disponibilização de política de cookies e implementação de banner de cookies em sites e aplicativos.
“A Política de Cookies deve apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, entre outros aspectos indicados no art. 9º da LGPD. Já sobre o Banner de Cookies, este é um recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. Além disso, o banner fornece ferramentas para que o usuário possa ter maior controle sobre o tratamento, como, por exemplo, permitindo que ele consinta ou não com determinados tipos de cookies”, afirma a ANPD em seu guia.
Para a elaboração do banner de cookies (que certamente você já identificou em uma série de sites que visitou recentemente), o guia trouxe algumas dicas do que deve ser evitado:
- Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.);
- Impossibilitar ou dificultar a rejeição de todos os cookies não necessários;
- Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;
- Não disponibilizar banner de segundo nível;
- Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular.
Com a publicação do guia, é possível perceber que a ANPD está atenta aos requisitos necessários para o cumprimento da LGPD em sites e aplicativos. Em razão disso, é importante que as cooperativas mapeiem as atividades que ocorrem nestes ambientes, especialmente as que geram coletas de dados pessoais por meio de cookies e tecnologias similares. Em seguida, é necessário implementar Política de Cookies (informando os usuários sobre os cookies coletados, suas finalidades, prazos de retenção, dentre outras condições) e Banner de Cookies (informando os usuários de maneira resumida e permitindo que façam a gestão dos cookies com os quais consentem ou não).
A Autoridade Nacional de Proteção de Dados (ANPD) foi transformada, definitivamente, em autarquia especial com a promulgação da Lei 14.460/22 pelo Congresso Nacional, que aprovou a conversão da Medida Provisória 1.124/22 sem alterações no seu texto. A ANPD é responsável, entre outras atribuições, pela regulamentação da Lei Geral de Proteção de Dados Pessoais, a LGPD, bem como sua fiscalização e aplicação de sanções em caso de descumprimento da norma.
A medida é importante para que o Brasil passe a integrar o rol de países com nível avançado em proteção de dados pessoais. “A independência funcional, orçamentária e institucional são indispensáveis para que a ANPD possa desempenhar, como órgão da administração pública indireta, suas atribuições com maior qualidade, isenção e segurança, alinhando-se com as melhores práticas internacionais”, avalia o encarregado pelo tratamento de dados do Sistema OCB, Cristhian Groff.
Em relação às cooperativas, o encarregado reforça a necessidade do alinhamento contínuo as regras da LGPD. “Esta estruturação da ANPD traz mais robustez e confiabilidade para o sistema regulatório de proteção de dados e, ao mesmo tempo, indica que os procedimentos de fiscalização devem ser intensificados nos próximos meses. Por isso, as cooperativas devem direcionar esforços para estruturação e manutenção de seus programas de conformidade”.
ANPD: criada em 2018 pela Medida Provisória 869, a autoridade somente passou a funcionar efetivamente em novembro de 2020 com a nomeação do seu primeiro diretor. Mesmo com a conversão da Medida Provisória 1.124/22, a ANPD permanecerá subordinada ao governo federal até a edição do ato conjunto da Secretária Geral da Presidência e da própria ANPD, que estabelecerá o período de transição, a nova estrutura regimental e a efetiva desvinculação da presidência da república.
Além do papel regulatório e fiscalizatório, a autoridade tem a função de fazer com que a população tenha conhecimento sobre as políticas de proteção de dados pessoais, como práticas e direitos sobre o uso deles, bem como repassar o entendimento das normas sobre a utilização dos dados pessoais.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela orientação e regulamentação de diversos dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD), divulgou uma relação de regras da lei que serão objeto de regulamentação para que cooperativas e outras organizações possam se adequar. Os temas fazem parte da agenda regulatória 2021/2022 da ANPD, estabelecida a partir da Portaria 11/2021 para planejar a regulamentação de ações prioritárias.
No total, foram selecionados 9 diferentes temas nessa primeira etapa. A ANPD já realizou também uma tomada de subsídios para identificar os pontos que devem ser priorizados na composição da agenda regulatória do biênio 2023/2024, o que demonstra a preocupação do órgão em ouvir os agentes de tratamento sobre o que acarreta maior impacto nas operações.
Para lembrar:
O avanço do processo regulatório da proteção de dados pessoais exige atenção constante das cooperativas aos novos movimentos e regras disponibilizadas. Acompanhar e adequar os programas internos de proteção de dados de acordo com as novas diretrizes é fundamental.
Confira abaixo os 9 temas prioritários que estão sendo abordados pela ANPD:
- Regimento Interno da ANPD: documento que regula a estrutura e funcionamento da ANPD. Foi instituído através da Portaria nº 01/2021;
- Planejamento Estratégico da ANPD: apresenta o referencial estratégico da ANPD, com sua visão, missão, valores, objetivos e ações estratégicas vinculadas. Foi instituído através da Portaria nº 12/2021 e revisado em maio de 2022;
- Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos: regulamento aprovado pela Resolução nº 02/2022, que tem como objetivo estabelecer diretrizes para cooperativas e demais organizações sujeitas à LGPD que se enquadrem na categoria de agentes de tratamento de pequeno porte. A norma traz algumas flexibilizações sobre temas importantes como o registro de operações de tratamento de dados pessoais e a nomeação do encarregado pelo tratamento de dados pessoais;
- Norma de fiscalização e aplicação de sanção: instituída por meio da Resolução nº 01/2021, tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD;
- Norma de sanção e dosimetria: foi recentemente objeto de consulta pública e recebeu mais de 2,5 mil contribuições. Atualmente, elas estão em análise de admissibilidade pela Coordenação-Geral de Normatização e avaliação das sugestões pela equipe de projeto da ANPD. Esta norma é a última etapa para que a ANPD inicie seu processo sancionador, ou seja, possa fiscalizar e, se necessário, penalizar os agentes de tratamento de dados pessoais que desrespeitarem a legislação. A expectativa é que a norma seja publicada ainda em 2022;
- Comunicação de incidentes e especificação do prazo de notificação: foi objeto de tomada de subsídios e aguarda tramite regulatório na ANPD. A resolução estabelecerá os critérios e os prazos em que os incidentes envolvendo dados pessoais devem ser comunicados à ANPD e aos titulares. Enquanto o tema está pendente de regulamentação, recomenda-se que as cooperativas observem o prazo sugestivo de até dois dias úteis para eventual comunicação acerca de incidentes e também as demais diretrizes estabelecidas pela ANPD em seu site oficial;
- Relatório de impacto à proteção de dados pessoais: foi objeto de tomada de subsídios e aguarda tramite regulatório na ANPD. A resolução estabelecerá os critérios e as hipóteses em que a elaboração do relatório é obrigatória. Trata-se de um dos documentos obrigatórios que as cooperativas devem confeccionar em seus programas de conformidade. Saiba quais são os documentos essenciais para estar em conformidade com a LGPD;
- Encarregado de proteção de dados pessoais: responsável pela condução do Programa de Proteção de Dados Pessoais na cooperativa. Via de regra, a nomeação do encarregado é obrigatória, conforme estabelece o artigo 41 da LGPD. No entanto, a resolução que se encontra em elaboração pela ANPD e já foi objeto de tomada de subsídios, visa estabelecer a definição e as atribuições deste profissional, inclusive hipóteses de dispensa da necessidade de sua indicação. Vale destacar que a ANPD já regulamentou a não obrigatoriedade da nomeação pelos agentes de tratamento de pequeno porte;
- Transferência Internacional de dados pessoais: um dos temas mais aguardados por muitas cooperativas. É comum que alguns ramos do cooperativismo no Brasil se relacionem constantemente com parceiros situados fora do território brasileiro e que resultem na necessidade de compartilhamento de dados pessoais para operacionalizar essas parcerias. O tema foi recentemente objeto de tomada de subsídios e aguarda tramite regulatório na ANPD.
Importante:
A dispensa de nomeação do encarregado pelos agentes de tratamento de pequeno porte não exime as cooperativas de estabelecerem um canal de comunicação com os titulares de dados pessoais.
O Conselho de Proteção de Dados Pessoais no Cooperativismo realizou sua reunião ordinária nesta quinta-feira (22), em formato virtual, para tratar sobre o compartilhamento de dados pessoais no Sistema Cooperativista Nacional. Sob o comando da presidente da Conselho, Ana Paula Andrade Ramos, foram apresentados novidades na adequação e conformidade interna do Sistema OCB e suas organizações estaduais à LGPD. Além disso, foi divulgado as informações sobre o site https://lgpd.coop.br/ e os materiais orientativos disponibilizados, em especial os vídeos divulgados na CapacitaCoop.
O tratamento de dados pessoais de crianças e adolescentes exige atenção redobrada, bem como a implementação de requisitos específicos, uma vez que são consideradas pessoas em condição de desenvolvimento e possuem proteção integral, especial e prioritária de acordo com a legislação brasileira.
Entre as regras específicas sobre o tema, as mais polêmicas e que geram maior dificuldade na implementação das ações corretivas estão ligadas a necessidade de consentimento dos pais ou responsáveis. A novidade é que segundo o Enunciado nº 684 da IX Jornada de Direito Civil e Estudo Preliminar da Autoridade Nacional de Proteção de Dados (ANPD), esse requisito não é mais obrigatório.
O art. 14 da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança.
“Esse artigo é justamente o que determina a necessidade de consentimento para o tratamento de dados de crianças e adolescentes. O Enunciado, no entanto, indica que outras que outras bases legais também podem ser utilizadas, a exemplo da execução de contratos, legítimo interesse, tutela da saúde e outras”, explica Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB.
Para complementar o Enunciado e fomentar o debate sobre o tema, a ANPD publicou o estudo preliminar Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes, com três possíveis interpretações para o tratamento de dados pessoais de crianças e adolescentes:
- Estabelece que o consentimento dos pais ou responsáveis legais é obrigatório para o tratamento de dados pessoais de crianças, conforme expressa previsão do artigo 14, parágrafo primeiro da LGPD.
- Equipara os dados pessoais de crianças e adolescentes a dados pessoais sensíveis, tendo em vista a vulnerabilidade deste público e, consequentemente, indica que os requisitos devem ser similares aqueles aplicados para os dados pessoais sensíveis.
- Sinaliza a possibilidade de tratamento de dados pessoais de crianças e adolescentes utilizando-se de outras bases legais, ou seja, as presentes no artigo 7º e artigo 11 da LGPD, desde que observado o princípio do melhor interesse da criança e do adolescente. Confira nosso material sobre as bases legais da LGPD clicando aqui.
Segundo a ANPD, a hipótese mais adequada para o tratamento de dados pessoais de crianças e adolescentes é a terceira, tendo em vista que a utilização das demais (que não dependem de consentimento dos pais ou responsáveis), evitará restrições para ações que possam trazer benefícios para este público, como, por exemplo, a execução de políticas públicas, de programas de aprendizagem e promoção social.
O estudo preliminar propõe ainda a publicação de um Enunciado específico para esclarecer a polêmica com o seguinte teor:
O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou, no caso de dados sensíveis, no art. 11 da Lei Geral de Proteção de Dados (LGPD), desde que observado o seu melhor interesse, a ser avaliado no caso concreto, nos termos do caput do art. 14 da Lei.
Assim, a ANPD pretende tornar mais simples os requisitos para o tratamento de dados pessoais de crianças e adolescentes. No que diz respeito as cooperativas, é importante considerar a necessidade constante de:
- Observar os requisitos legais previstos na legislação;
- Avaliar o caso em concreto da atividade de tratamento de dados pessoais; e
- Atender ao princípio do melhor interesse das crianças e adolescentes envolvidos nas atividades de tratamento realizadas.
Fique atento:
As disposições do estudo preliminar não possuem força de regulamentação. No entanto, indicam que o posicionamento do órgão regulador e, consequentemente, a futura regulamentação tendem a seguir as diretrizes acima.
Em julgamento concluído na última quinta-feira (15), o Supremo Tribunal Federal (STF) confirmou, por maioria de votos, decisão que permite aos órgãos e entidades da administração pública federal o compartilhamento de dados pessoais entre si, desde que sejam observados os critérios e as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD).1
O julgamento respondeu a duas ações promovidas pela Ordem dos Advogados do Brasil (OAB) e pelo Partido Socialista Brasileiro (PSB) que questionavam a constitucionalidade do Decreto 10.046/2019 da Presidência da República. O decreto criou o Cadastro Base do Cidadão, para reunir informações existentes em diferentes órgãos da administração pública, e também o Comitê Central de Governança de Dados, que tem entre suas atribuições definir quais bases de dados devem integrar o cadastro.
A permissão para o compartilhamento, no entanto, deve seguir diversas regras já previstas na LGPD, tais como:
- O compartilhamento deve ser realizado para propósitos legítimos, específicos e explicitamente informados para as pessoas que tiverem seus dados pessoais compartilhados. Na linha do que já está disposto na LGPD, o STF reforça a necessidade de que cada atividade de tratamento de dados pessoais tenha propósitos bem definidos, documentados e amplamente informados para as pessoas;
- O compartilhamento deve ser limitado ao mínimo necessário para que seja alcançado o propósito da iniciativa, programa ou ação realizados. Ou seja, os bancos de dados dos órgãos públicos não devem ser compartilhados de forma integral e ilimitada, mas sim de forma adaptável e customizada para as ações que, a partir do compartilhamento, serão realizadas;
- Os requisitos, princípios, boas práticas, direitos e garantias previstos na LGPD devem ser integralmente cumpridos, inclusive no que diz respeito a adoção de programas de conformidade que contemplem práticas jurídicas, organizacionais e de segurança da informação;
- As organizações da administração pública federal que compartilharem dados pessoais entre si devem informar ampla e detalhadamente sobre o compartilhamento realizado (Exemplos: quais dados pessoais, através de quais ferramentas, para quais objetivos, com quais outros órgãos públicos e, ainda, as medidas de segurança adotadas), em locais de fácil acesso, preferencialmente em seus sites;
- Devem, ainda, adotar medidas robustas de segurança da informação, especialmente a criação de sistema eletrônico de registro de acesso aos dados pessoais (ou seja, que identifique, registre e monitore), a fim de que seja possível eventual responsabilização por indevida utilização.
Além desses requisitos, o STF definiu também que, caso órgãos públicos tratem dados pessoais de forma irregular, sejam responsabilizados pelos danos suportados pelas pessoas a quem os dados se referem. Ao mesmo tempo, os órgãos públicos poderão acionar os servidores ou agentes políticos responsáveis pelas transgressões nos casos de culpa ou dolo, que também poderão ser condenados por improbidade administrativa.
A decisão não gera efeitos diretos para as cooperativas, mas reforça o fato de que o compartilhamento de dados pessoais realizado para o desenvolvimento e execução das mais diversas atividades (com fornecedores e parceiros, na maioria das vezes), e nos mais variados segmentos em que as cooperativas atuam, deve observar, também, os requisitos acima.
Fique atento:
Para estar em conformidade com a LGPD, é essencial avaliar cada um dos compartilhamentos realizados e sua pertinência, além da adoção de instrumentos jurídicos e medidas de segurança da informação.
A procura por serviços para proteção de dados e soluções tecnológicas está cada vez maior. Algumas cooperativas, atentas a essa oportunidade e em consonância com os atuais mecanismos utilizados para o tratamento de dados compatíveis com os dispositivos da Lei Geral de Proteção de Dados (LGPD), já vem prestando esses serviços, que podem ser acionados por meio da plataforma de e-commerce NegóciosCoop.
A Cooperativa de Trabalho dos Profissionais de Privacidade e Proteção de Dados (Cooprodados), com sede no Rio Grande do Sul, foi a primeira a ofertar esse tipo de serviços. Segundo a cooperativa, seu diferencial está na oferta de soluções customizadas. Na gama de formações, especialidades e certificações, a coop oferece três principais produtos: adequação à LGPD; DPO as a Service (encarregado de dados); e treinamento. Atende em todo o território nacional e os três produtos estão disponíveis na NegóciosCoop.
De acordo com a presidente Sylvia Urquieta, a coop surgiu a partir de uma visão de uma das cooperadas, de que todos os profissionais estudiosos atuantes na LGPD deveriam ter retorno de seus investimentos em formação especializada e reconhecimento de sua dedicação de forma justa. “Somos 14 cooperados fundadores que se identificaram com os princípios do cooperativismo, que se reuniram por quase dois anos para tornar esta cooperativa uma realidade. Todos os cooperados possuem formações nas mais diversas áreas do conhecimento humano e profissional, o que nos oportuniza prestar serviços completos no âmbito de proteção de dados e privacidade”, explica.
Ainda segundo ela, a Cooprodados é a primeira cooperativa de trabalho do Brasil, e do mundo, que reúne profissionais formados em Direito, TI, SI, Administração, Sistema Financeiro, Governança, Cooperativismo e Contabilidade. “Atuamos online para atender todo o Brasil e nossa aspiração é nos convertermos na primeira cooperativa de plataforma do Brasil e do Mundo do ramo de trabalho, que reúne profissionais experts em privacidade e proteção de dados”.
Já a Lyseon Tech Cooperativa de Trabalho e Soluções Tecnológicas (Librecode), do Rio de Janeiro, é uma sociedade de mulheres desenvolvedoras de softwares que atua exclusivamente com softwares de licença livre. Esse diferencial possibilita que o código dos produtos sejam totalmente auditáveis e adequados à LGPD, além de proporcionar liberdade e autonomia aos clientes sobre os produtos, uma vez que não dependem de licença para utilizá-los. A coop foi constituída em 2018 e tem dois produtos cadastrados na NegóciosCoop.
A presidente da LibreCode, Lívia Gouvêa, pontuou que a coop nasceu com o propósito de ser uma organização democrática e transparente, onde o conjunto de cooperados potencialize a qualidade dos serviços. "Nosso maior valor é a transparência e integridade de dados. Por isso, trabalhamos com software livre que permite total auditoria dos códigos dos sistemas e reconhecimento de falhas ou vazamentos de informação. Acreditamos que o trabalho em conjunto é muito mais eficaz. Assim, mais do que uma cooperativa, somos um movimento que atualmente é referência nacional quando se trata de privacidade, segurança e economia colaborativa".
Atualmente, a coop atende a prefeitura de Niterói, a Escola Superior de Advocacia da Ordem dos Advogados do Brasil; a Fundação Oswaldo Cruz (FioCruz); a Unifop, cooperativa de saúde; a Escola Nacional de Saúde Pública Sérgio Arouca (ENSP); o Núcleo de Informação e Coordenação do Ponto BR (Nic.BR); a Associação do Ministério Público do Estado do Rio de Janeiro (AMPERJ); e o Sistema OCB/RJ.
Acesse a plataforma de e-commerce NegóciosCoop e conheça os serviços prestados.
Durante a Semana de Competitividade 2022, o Sistema OCB lançou diversas novidades para o cooperativismo brasileiro. Nesta sexta-feira (26), foi a vez da Assessoria Jurídica anunciar, em evento ao vivo transmitido pelo Youtube, que já está no ar o site sobre a Lei Geral de Proteção de Dados no cooperativismo, ou LGPD no coop. A iniciativa tem por objetivo auxiliar as cooperativas na implementação e nos processos de conformidade da regulamentação. A apresentação foi comandada pela gerente jurídica, Ana Paula Andrade Ramos, e pelo advogado especialista em Privacidade e Proteção de Dados (DPO), Christian Groff.
De acordo com a gerente Jurídica a ideia é estimular os gestores a adequarem os procedimentos das cooperativas em consonância com as regras da LGPD, além de alertar sobre as dificuldades que podem se apresentar durante a implementação, bem como sobre as consequências da omissão. “O Sistema OCB tem trabalhado muitos aspectos relacionados à LGPD nos processos internos, a fim de assegurar que nossas entidades estejam em conformidade e sigam boas práticas jurídicas, organizacionais e de segurança da informação. Mas, para além disso, queremos também auxiliar as cooperativas a compreenderem os impactos da LGPD sobre os negócios que realizam. O site é uma das ações para alcançar este objetivo”, explicou.
Ainda segundo ela, no site, as coops poderão buscar informações sobre como se adequar à lei, quais os principais conceitos, cartilhas, vídeos e outros materiais orientativos, que serão mantidos atualizados de acordo com o avanço da regulamentação da LGPD pela ANPD [Autoridade Nacional de Proteção de Dados. Assim, a plataforma conta com informações sobre como se adequar à LGPD; as bases regulatórias; quem são os agentes responsáveis pelo tratamento destes dados; o que são dados pessoais; esclarecimento de dúvidas e materiais de apoio.
“Com exceção das cooperativas muito pequenas e com reduzido número de associados, operações ou faturamento, todas as demais deverão nomear Encarregado pelo Tratamento de Dados Pessoais (DPO) para estarem em conformidade com a LGPD. A ausência de nomeação do DPO, vale lembrar, é inclusive infração à lei e pode gerar a aplicação de penalidades. Em linhas gerais, a pessoa física ou jurídica que ocupa esta posição é responsável por coordenar um Programa de Proteção de Dados Pessoais robusto, tangível e útil para a cooperativa, estabelecendo uma linha de equilíbrio entre o desenvolvimento dos negócios e a conformidade”, reforçou Christian Groff.
Acesse o site LGPD no coop: lgpd.somoscooperativismo.coop.br
Atuação OCB - Desde a promulgação da LGPD, o Sistema OCB vem desenvolvendo materiais e capacitações para auxiliar as cooperativas a se adequarem a nova norma. Já foram disponibilizados os e-books: Manual Prático de Segurança na Internet e LGPD no Cooperativismo: como se adaptar. Também foram realizadas capacitações via webinários em outubro de 2020 e reunião técnica, em setembro de 2021, quando as penalidades passaram a vigorar. Nas plataformas InovaCoop e CapacitaCoop e no canal do Sistema no Youtube é possível acessar os materiais.
Assista a live na íntegra:
- Nenhum
Um site criado para ajudar as cooperativas com o passo a passo do processo de implantação, materiais de apoio e novidades sobre a LGPD. Assista também a palestra sobre "a função do DPO na cooperativa".