Blog

Em 09/07/2019, foi publicada no Diário Oficial da União a Lei 13.853/2019 que altera e consolida a Lei Geral de Proteção de Dados Pessoais do Brasil (Lei 13.709/2018).

Fruto da análise e conversão da Medida Provisória 869/2019, a nova Lei manteve a criação da Autoridade Nacional de Proteção de Dados (ANPD) e permitiu uma ampliação dos poderes da Autoridade, ao incluir novos itens e trabalhar na correção pontual de algumas questões trazidas no texto original da LGPD.

De maneira geral, tanto as inclusões sugeridas pelo Congresso durante a tramitação da MP 869/2018, quanto a análise e sanção presidencial da Lei 13.853/2019 foram positivas e demonstram o interesse do governo na regulamentação e proteção de dados, bem como a preocupação de todos os envolvidos na criação de um texto que minimize dúvidas e seja aplicado a todos os tipos de empresas e mercados.

Diferente da União Europeia, continente que conta com Leis sobre proteção de dados há mais de 20 anos, o Brasil ainda caminhava na unificação de suas normas e entendimentos internos sobre os conceitos já aplicados lá fora e agora deverá debruçar seus esforços para garantir o mesmo nível de proteção de outros países.

Os vetos presidenciais foram poucos e precisos.

Considerando o contexto da legislação e poderes da Autoridade Nacional de Proteção de Dados, a retirada da obrigação de revisão por um humano das decisões automatizadas prevista no § 3º do artigo 20, faz sentido já que seria um custo maior para as empresas de base tecnológica. O veto deste parágrafo não retira nenhum direto ou modifica os princípios da Lei, tão pouco impede que os titulares possam pedir esclarecimentos e socorrer-se da legislação aplicável em caso de abuso ou erro nas decisões havidas.

“Art. 20.

§ 3º A revisão de que trata o caput deste artigo deverá ser realizada por pessoa natural, conforme previsto em regulamentação da autoridade nacional, que levará em consideração a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”(NR)

O Tratamento de dados Pessoais pelo Poder Público também sofreu um veto presidencial no Art. 23, IV abaixo:

IV – sejam protegidos e preservados dados pessoais de requerentes de acesso à informação, no âmbito da Lei nº 12.527, de 18 de novembro de 2011, vedado seu compartilhamento na esfera do poder público e com pessoas jurídicas de direito privado.

Novamente, ainda sendo incipiente no Brasil, o diálogo das fontes e correção entre a LGPD e a Lei de Acesso à informação e todas as demais normas vigentes ainda dependerão de ajustes e revisões posteriores.

Da mesma forma, a nova Lei deixou claro no Artigo 5º. VII que o DPO (Data Protection Officer ou Encarregado em Português), responsável pela proteção de dados, será “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Com esta nova redação, resta claro que as funções do DPO não precisão ser exercidas por uma única pessoa física e que seu vínculo profissional com a empresa pode se dar de várias formas, além da contratação direta via contrato de trabalho.

Com isso, tendo por base os artigos 37 a 39 da GDPR Europeia, a mera inclusão do § 4º do Artigo 41 seria prejudicial. Pensando num país continental como o Brasil e a abrangência da Legislação, a menção de conhecimento jurídico-regulatório já gerava nos bastidores mais receios do que benefícios aos controladores e operadores.

“Art. 41.

 § 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará:

Em nosso entendimento, os vetos aos novos incisos do Artigo 52 não foram benéficos, ao retirar da ANPD a possibilidade de Autoridade exercer parte do seu Poder de Fiscalização e de enforcement, já previstas em outras legislações como o Marco Civil da Internet e Código de Defesa do Consumidor.

“Art. 52.

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O mesmo problema decorre dos vetos ao parágrafo 3º do Artigo 52. Mesmo cientes da preponderância dos interesses públicos sobre os privados, para que legislações como estas funcionem é necessário que sua aplicação seja isonômica e para todos:

Art. 52

§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

Também há sentido no Veto Presidencial feito ao artigo 52 parágrafo sexto, já que previsão similar existe no Artigo 55-K da Lei aprovada:

Texto vetado:

§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:

I – somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e II – em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

Texto mantido:

“Art. 55-K A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.”

Por fim, louvável o veto ao artigo Artigo 55-L, V para que fique claro que a ANPD não deverá cobrar e estabelecer taxas ou emolumentos para a prestação de seus serviços. O acesso à Autoridade e seus serviços deverão ser gratuitos:

“Art. 55-L Constituem receitas da ANPD:

V – o produto da cobrança de emolumentos por serviços prestados;

Com a Aprovação da Lei 13.853/2019 o Brasil passa, definitivamente, a figurar entre as quase 130 nações do mundo que possuem alguma legislação sobre Proteção de Dados. Com seus conceitos alinhados à OCDE e GDPR Europeia, este tipo de legislação permitirá ao Brasil tratar dados de pessoas naturais de outros países e também garantir um maior nível de proteção para os seus cidadãos frente aos novos negócios que exploram dados e informações em escala mundial.

Mas ainda há muito trabalho. Via Decreto Presidencial, os 5 diretores da ANPD deverão ser indicados. Só então, com a formação da ANPD, haverá o início dos trabalhos e emissão das orientações que regularão o mercado na necessária adequação e conformidade que já se iniciou e deverá maturar-se até 16 de Agosto de 2.020.

Torcemos para que os próximos passos sejam seguros e acertados, para que os novos direitos dos titulares e princípios da Lei passem a ser refletidos nas demais normas e que a aplicação da LGPD na prática tenha o viés de educação e nunca de punição.

* O texto consolidado da LGPD estará disponível a partir de hoje (10/07) através do link oficial: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Quais as novidades do COBIT 2019? Quais as diferenças para o COBIT 5?

Seminário gravado em Abril de 2019

O Esquema de Certificação ITIL 4 é parecido com o esquema ITIL v3 baseado em créditos. Enquanto o ITIL 4 retém muitos dos elementos principais do ITIL v3, e muito da orientação existente será reconhecível em partes do ITIL 4, não há uma estrutura semelhante entre os dois esquemas de certificação. O que um aluno deve fazer se tiver concluído vários programas ITIL v3, qual é a melhor estratégia para seguir adiante - continuar com a v3 ou começar de novo com a ITIL 4?

Se o aluno completou 2 ou mais cursos de ITIL Intermediate, vale continuar com o ITIL v3 e então fazer a transição para o ITIL 4 usando o ITIL Managing Professional Transition Module. Compare abaixo as duas rotas:

Existem provavelmente entre 5.000 e 8.000 Experts em ITIL ativos no mundo de hoje. Esses profissionais navegaram através do esquema ITIL v3 para alcançar este nível ou uma Bridge para o Expert vindos do ITIL V2.

Por que um Expert estaria interessado no ITIL 4 e no novo ITIL Scheme, já que eles têm um título tão legal, além de um interesse genuíno na área de assunto? Bem, como não há nenhum título ITIL Expert no novo esquema, eles podem sentir que estão presos a um título antigo e talvez ultrapassado. Os novos títulos "Managing Professional" e "ITIL Strategic Leader" podem ser atraentes para adicionar ao seu perfil no LinkedIn. Se for esse o caso - o gráfico acima é seu caminho. Agora se você já tem 5 ou mais pontos no esquema ITIL v3, compensa fazer os módulos faltantes ao invés de iniciar do zero. Fale conosco. Fizemos mais de 350 cursos intermediários e continuamos a faze-los regularmente em 2019. Podemos ajudá-lo nessa transição.

De acordo com o artigo 4.º do GDPR da UE, os diferentes papéis são identificados como indicado abaixo:

(note que na LGPD no artigo 5.º, itens V e VI as definições são semelhantes, apenas menos abrangentes)

Controlador - “significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e meios do processamento de dados pessoais”

Processador - “significa uma pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento”

Assim, as organizações que determinam os meios de processar dados pessoais são controladores, independentemente de coletarem diretamente os dados dos sujeitos de dados. Por exemplo, um banco (controlador) coleta os dados de seus clientes quando eles abrem uma conta, mas é outra organização (processador) que armazena, digitaliza e cataloga todas as informações produzidas em papel pelo banco. Essas empresas podem ser datacenters ou empresas de gerenciamento de documentos. Ambas as organizações (controlador e processador) são responsáveis ​​por manipular os dados pessoais desses clientes.

Quais são as responsabilidades dos controladores?

Nos termos do artigo 5.º do GDPR da UE, o responsável pelo tratamento deve ser responsável e demonstrar o cumprimento dos princípios relativos ao tratamento de dados pessoais. São eles: legalidade, justiça e transparência, minimização de dados, precisão, limitação e integridade de armazenamento e confidencialidade dos dados pessoais.

Nos termos do artigo 24.º do GDPR da UE, “Tendo em conta a natureza, o âmbito, o contexto e os fins do tratamento, bem como os riscos de variação de probabilidade e gravidade dos direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve implementar as medidas técnicas e organizacionais adequadas. medidas para assegurar e demonstrar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas devem ser revistas e atualizadas sempre que necessário. ”

Exemplos de tais medidas podem ser a alocação de responsabilidades para proteção de dados, uma avaliação de impacto de proteção de dados e um plano de mitigação de riscos, implementação de pseudonimização (o processamento de dados pessoais de maneira que os dados pessoais não possam mais ser atribuídos a dados específicos). assunto sem o uso de informações adicionais) e a minimização de dados, a fim de satisfazer os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

Se existem várias organizações que partilham a responsabilidade pelo processamento de dados pessoais, o GDPR da UE inclui a existência de controladores conjuntos. Eles devem determinar suas respectivas responsabilidades por acordo e fornecer o conteúdo deste acordo aos titulares dos dados, definindo os meios de comunicação com os processadores com um único ponto de contato.

Quais são as responsabilidades dos processadores?

De acordo com o Artigo 28 do GDPR da UE, “Quando o processamento é para ser executado em nome de um controlador, o controlador deve usar apenas processadores que forneçam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de tal maneira que o processamento satisfará as exigências do presente regulamento e assegurar a protecção dos direitos da pessoa em causa. ”

Isso significa que, se qualquer empresa da UE ou de fora da UE quiser permanecer no negócio, como controladora ou processadora, terá que implementar os controles necessários para garantir que eles estejam em conformidade com o GDPR da UE, porque as multas podem ser aplicadas a ambos os controladores e processadores. De acordo com o Artigo 83, multas serão impostas com relação ao “grau de responsabilidade do controlador ou do processador, levando em consideração as medidas técnicas e organizacionais implementadas por eles”.

A implementação da ISO 27001 atende aos requisitos de GDPR da UE?

A implementação da ISO 27001 cobre a maioria dos requisitos do PIBR da UE; no entanto, alguns controles devem ser adaptados para incluir dados pessoais no Sistema de Gerenciamento de Segurança da Informação. Além do que está planejado para a implementação da ISO 27001, algumas medidas terão que ser incluídas para que uma organização, um controlador ou um processador (ambos precisam realizar essas atividades), para garantir a conformidade com o GDPR da UE, como :

•     procedimentos para assegurar o exercício dos direitos das pessoas em causa
•     mecanismos para a transferência de dados para fora da UE
•     Conteúdo mínimo da avaliação de impacto sobre a protecção de dados
•     procedimentos a serem seguidos em caso de violação de dados pessoais

Todas estas medidas podem ser integradas no Sistema de Gestão de Segurança da Informação, permitindo a garantia da conformidade legal e melhoria contínua - ainda mais se o SGSI e o GDR da UE estiverem alinhados.  A implementação de um SGSI pode ser o apoio em falta que a organização necessita para cumprir o GDPR da UE.

Webinar feito em 27/11/2018 sobre a formação DPO lançada pela IT Partners.

A abordagem foi sobre a necessidade desse profissional nas organizações e as oportunidades do mercado.

Saiba mais sobre a formação: CLIQUE AQUI