Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Pesquisa realizado por: lgpd

Em foco: 5 anos da LGPD

No dia 14 de agosto de 2023, completam-se 5 anos desde que a Lei Geral da Proteção de Dados (LGPD) foi publicada. A Lei foi criada para regulamentar a proteção da privacidade e dos dados pessoais dos usuários do meio digital e, apesar de ter entrado em vigor em 2020, dois anos após a sua publicação, os primeiros processos foram iniciados pela ANPD (Autoridade Nacional de Proteção de Dados) apenas em 2021.

São dois os tipos de procedimento promovidos pela ANPD, no âmbito da LGPD: procedimento fiscalizador e procedimento sancionatório. 

O processo fiscalizatório existe para verificar e analisar o cumprimento das obrigações trazidas pela LGPD, servindo como ferramenta da ANPD para fortalecer o cumprimento da Lei. Por outro lado, o processo sancionatório serve para aplicar as sanções determinadas pela LGPD, quando já estão presentes indícios probatórios de infração. 

Segundo informação divulgada pela ANPD, estão em trâmite 13 (treze) processos de fiscalização, tanto contra empresas privadas, como contra órgãos públicos, tendo por objeto, em síntese, a “verificação de conformidade do tratamento de dados pessoais”.

Já as sanções que podem ser aplicadas pelo descumprimento da LGPD vão desde advertência, com a indicação de prazo ao agente de tratamento adotar medidas de correção, bloqueio ou eliminação de dados, até multa, que pode chegar ao valor máximo de R$ 50.000.000,00 (cinquenta milhões de reais) por cada infração.  

Aplicação da lei 

No início de 2023 foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD) o Regulamento de Dosimetria e Aplicação das Sanções Administrativas (Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023), que previu, pela primeira vez, a aplicação das seguintes sanções relacionadas ao descumprimento das normas constantes na LGPD: advertência, multa, publicização da infração, bloqueio e/ou eliminação dos dados pessoais, suspensão do funcionamento de banco de dados e proibição do tratamento de dados.

Conforme lista divulgada pela própria Autoridade, até a data de divulgação haviam sido instaurados 8 (oito) processo sancionatórios, dos quais 7 (sete) são contra órgãos públicos.

Tais processos, em síntese, foram instaurados com fundamento nas seguintes infrações: ausência de encarregado de dados pessoais; ausência de comunicação de incidente de segurança; não atendimento a requisição da ANPD; ausência de comprovação de hipótese legal; ausência de registro de operações; não comunicação de incidente de segurança; ausência de medidas de segurança.

A primeira aplicação de multa no Brasil 

Recentemente, inclusive, a ANPD concluiu o processo administrativo sancionador que resultou na primeira aplicação de multa por descumprimento à LGPD, nos termos da Resolução aprovada. O processo foi instaurado pelo Coordenador-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados – ANPD, contra a empresa Telekall Infoservice (Processo administrativo Sancionador nº 00261.000489/2022-62), única empresa do setor privado em sanção, e a deliberação foi publicada no Diário Oficial da União em 06 de julho de 2023.

A fiscalização foi iniciada a partir de uma denúncia de que a Telekall ofertava uma lista de contatos de WhatsApp de possíveis eleitores para disseminação de material de campanha eleitoral e, a partir disto, a ANPD realizou a investigação e concluiu que a empresa havia infringido os artigos 7º e 41 da LGPD, bem como o artigo 5º do Regulamento de Fiscalização da própria ANPD, ou seja, a empresa autuada deixou de ter os requisitos para o tratamento de dados pessoais (art. 7º, LGPD), deixou de indicar encarregado responsável pelo tratamento desses dados pessoais (art. 41, LGPD) e deixou de observar os deveres dos agentes regulados (art. 5º da Resolução CD/ANPD nº1/2021).

Por isso, a ANPD aplicou advertência por infração ao artigo 41 da LGPD e multa simples nos valores de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 7º da LGPD e de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 5º do Regulamento de Fiscalização, totalizando R$ 14.400,00 (catorze mil e quatrocentos reais).

Embora muito novo, o sistema brasileiro de proteção de dados já mostrou avanços nesses cinco anos de vigência da LGPD. Contudo, ainda há um longo caminho a ser percorrido para que a aplicação da lei seja realmente eficaz em âmbito nacional.

Por Vanessa Ribeiro Pereira Moda e Mariana Gabrielloni Pó.

Quem viu, também gostou

ChatGPT e LGPD: você sabe como a inteligência artificial trata dados pessoais?

ChatGPT e LGPD: você sabe como a inteligência artificial trata dados pessoais?

Desenvolvido pela empresa de tecnologia OpenAI, e lançado em 30 de novembro de 2022, o ChatGPT(“Generative Pre-Trained Transformer”) vem ganhando destaque entre as plataformas de inteligência artificial existentes no mercado e, por outro lado, levantado muitas polêmicas também. 

Sua popularidade surgiu porque permite a criação de textos e automatização de tarefas rotineiras, estabelecendo um diálogo com o usuário a partir do processamento de um grande volume de dados, permitindo que a tecnologia entenda em profundidade o contexto das solicitações dos usuários e responda às demandas de forma precisa. 

Entretanto, existem certos cuidados que devem ser tomados com o crescimento das inteligências artificiais. O próprio ChatGPT alerta que nem todas as respostas que gera são verdadeiras, o que pode promover desinformação. Outro ponto é que ele pode dificultar a identificação de plágio, uma vez que muitos utilizam da ferramenta para escrever desde trabalhos escolares até trabalhos acadêmicos. 

Por outro lado, apesar de ser uma ferramenta bastante útil no dia a dia, o ChatGPT levanta questões importantes sobre a privacidade dos dados pessoais. Isso porque a base de dados da inteligência é formada através da coleta, processamento e armazenamento de uma grande quantidade de informações, incluindo dados pessoais, como nome de seus usuários, endereço, e-mail, número de telefone, entre outros. A tecnologia se alimenta de dados disponíveis na internet, em redes sociais, e até mesmo daqueles compartilhados por seus usuários no chat.

Questionado sobre a violação de privacidade de dados, o ChatGPT nos respondeu da seguinte forma:

ChatGPT

Ainda, de acordo com a própria plataforma de inteligência artificial, os dados pessoais e sensíveis são protegidos nesse processo por meio da anonimização, filtragem de conteúdo sensível, auditorias internas e acordo de uso de dados. 

No entanto, apesar de tais garantias, não seria possível apurar e garantir que as condições de proteção de dados pessoais sejam de fato respeitadas.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece regras para o tratamento de dados pessoais, exigindo que as empresas obtenham o consentimento explícito de seus usuários antes mesmo de coletar seus dados, e forneça de forma clara, precisa e acessível, as informações sobre a realização do tratamento.

No entanto, atualmente a plataforma não atende a tal requisito, pois a OpenAI não presta qualquer informação sobre os dados pessoais tratados pelo ChatGPT aos usuários ou aos titulares de dados, respondendo sempre de forma genérica apenas quando indagada, em clara afronta ao princípio da transparência, expresso no artigo 6º, IV, da LGPD, que determina que em todo tratamento de dados devem ser garantidas aos titulares informações claras, precisas e acessíveis sobre a realização do tratamento e sobre os agentes de tratamento. 

Além disso, quando perguntado sobre sujeitar-se à Lei Geral de Proteção de Dados do Brasil, o ChatGPT respondeu:

ChatGPT

No dia 31 de março de 2023, a ferramenta foi bloqueada na Itália. Em comunicado oficial, a autoridade italiana de proteção de dados denominada “Garante per la Protezione dei Dati Personali” proibiu temporariamente o acesso dos usuários italianos à plataforma sob a justificativa de que o ChatGPT teria violado leis de privacidade da Itália, dando início a uma apuração sobre os fatos. Afirmou-se que os dados pessoais estavam sendo coletados ilegalmente pela plataforma e que não há um sistema de verificação de idade para crianças.

Em razão da violação, o órgão de proteção ordenou que a empresa OpenAI interrompesse todo o processamento de dados dos usuários italianos. Outros países também estão em busca da regulamentação das tecnologias artificiais, que estão crescendo cada vez mais rápido, como o Reino Unido, a China, os Estados Unidos e os países-membros da União Europeia.

Ainda, em 10 de maio de 2023, o presidente do Senado Federal, Rodrigo Pacheco, apresentou o Projeto de Lei nº 2.338/2023 para análise pelas comissões temáticas. O projeto institui o Marco Legal da Inteligência Artificial no Brasil, estabelecendo normas gerais para o desenvolvimento, a implementação e o uso responsável de sistemas de inteligência artificial, com o objetivo de proteger os direitos fundamentais e garantir que a implementação dos sistemas seja segura e confiável. 

A utilização da inteligência artificial é uma tendência global e que dificilmente será revertida. Resta, no entanto, a empresas e usuários reforçar o cuidado no compartilhamento de dados, cabendo, ainda, às autoridades governamentais fiscalizar se tais ferramentas violam as diretrizes de proteção de dados, bem como aos legisladores ajustar as leis à nova tecnologia, a fim de que haja uma maior controle e fiscalização do seu uso.

Por Mariana Gabrielloni Pó e Vanessa Ribeiro Pereira Moda.

ANPD agora pode [de fato] aplicar sanções administrativas aos infratores da LGPD

Por Mariana Gabrielloni Pó

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), mesmo que em vigor desde 2018, ainda não possuía um sistema de dosimetria de multas e outras sanções para quem descumprisse suas normas. Ou seja, até então, a lei servia apenas como base para a adequação do tratamento de dados sensíveis.

As possíveis sanções aos infratores em questões de tratamentos de dados já estavam previstas desde que a LGPD entrou em vigor, porém, a aplicação dessas sanções estava condicionada à publicação de um regulamento próprio pela autoridade nacional, a ANPD.

Utilizando-se de sua competência normativa, na última semana, a Autoridade Nacional de Proteção de Dados (ANPD), publicou, então, uma Resolução aprovando o Regulamento de Dosimetria e Aplicação de Sanções Administrativas e regulamentando a aplicação dos artigos 52 e 53 da LGPD.

Além disso, o regulamento alterou os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, aprimorando o processo administrativo em relação às sanções e à fiscalização, conferindo maior permissão a fim de que a ANPD aumente a atividade repressiva em relação aos que deixam de observar a LGPD.

Assim, em consonância com o regulamento publicado, poderão ser aplicadas todas as sanções já previstas na LGPD, com base no grau da infração (leve, médio ou grave), sendo elas:

– advertência;

– multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;

– multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);

– publicidade da infração;

– bloqueio e eliminação dos dados pessoais;

– suspensão do funcionamento do banco de dados e/ou da atividade de tratamento dos dados pessoais por até 6 meses, prorrogável por igual período, até que a situação seja resolvida;

– proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Destaca-se, ainda, que o Poder Público poderá aplicar todas as sanções descritas, com exceção das multas, que serão aplicadas pela ANPD com base na metodologia para a aplicação de sanção de multa, disponível no Regulamento, e após análise realizada por meio de processo administrativo.

Percebe-se que, a partir de agora, a ANPD possui respaldo legal para aplicar sanções administrativas aos infratores da LGPD, pautada no novo regulamento, que já está em vigor.

Para mais informações sobre a proteção de dados nos moldes da Lei Geral de Proteção de Dados, entre em contato conosco.

 

 

 

Preciso adicionar uma cláusula sobre a LGPD em contratos de prestação de serviços?

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabeleceu regras para o tratamento de dados pessoais, inclusive nos meios digitais, seja por pessoa natural (quando possuir finalidade econômica) ou por pessoa jurídica de direito público ou privado, tendo como objetivo a proteção dos direitos fundamentais de liberdade e de privacidade. 

A lei trouxe uma série de princípios, regras e procedimentos a serem adotados por todos que coletam dados e realizam o tratamento de dados pessoais que, se não observadas, podem implicar em responsabilização por dano patrimonial, moral, individual ou coletivo e sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados. 

Com a LGPD, surgiu a necessidade de adequação dos contratos de prestação de serviços às diretrizes estabelecidas pela lei, sobretudo pelo fato de que nas relações contratuais ocorrem compartilhamentos de dados pessoais entre os agentes de tratamento. Portanto, a resposta para a nossa pergunta do título é sim. 

Compõem o contrato de prestação de serviços dois diferentes tipos de agentes de tratamento: o controlador e o operador. De acordo com a LGPD, o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, a pessoa responsável pelo tratamento desses dados; por outro lado, o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. 

Compete, portanto, ao controlador o dever de orientar sobre as regras para o tratamento e determinar que o operador siga medidas técnicas e administrativas com o objetivo de garantir a proteção de dados, de garantir que qualquer incidente com dados pessoais seja comunicado, e de determinar que o controlador atenda às solicitações dos titulares e que realize a atualização dos dados pessoais quando requerido. 

Diante das responsabilidades atribuídas pela Lei Geral de Proteção de Dados, sobretudo no âmbito dos contratos de prestação de serviços, é de suma importância que se fixe tanto em contratos iniciais, como através de aditivos contratuais, as diretrizes que devem ser seguidas para garantir o integral cumprimento da LGPD. 

Assim como nos termos de confidencialidade e de sigilo, principalmente aqueles referentes a segredos industriais, a adoção de adendos e cláusulas contratuais de proteção de dados pessoais mostra-se necessária à adequação dos contratos de prestação de serviços à LGPD, especialmente porque a referida lei prevê que a responsabilidade por qualquer dano ou violação é de responsabilidade solidária entre o controlador e o operador. Ou seja, ambas as partes podem responder solidariamente por qualquer violação à LGPD em qualquer contrato que envolva o compartilhamento de dados pessoais. 

Portanto, é essencial que tanto em contratos já vigentes como em novos contratos sejam incluídas cláusulas contratuais e disposições delimitando responsabilidades de cada um dos contraentes relativas ao tratamento de dados pessoais que envolvam o fluxo de informações para a execução dos serviços. 

Por Jonas Fanton e Juliana Dias Belizário.

Quatro anos da aprovação da LGPD: avanços e consolidação

No último domingo (14/08/2022), além da tradicional comemoração do “Dia dos Pais”, a Lei Geral de Proteção de Dados Pessoais (Lei Nacional nº 13.709/2018), popularmente conhecida por sua sigla LGPD, completou quatro anos de existência. E isso também é motivo para comemoração. 

Seguindo uma tendência internacional, a LGPD é a primeira legislação brasileira a disciplinar especificamente – e de forma sistemática – o tema da proteção de dados pessoais. A legislação foi uma resposta da sociedade aos diversos riscos gerados pelas novas tecnologias da informação, a crescente demanda de empresas por dados pessoais (o que, em certas circunstâncias, pode implicar em seu uso ilegítimo e antiético) e o aumento da criminalidade por meio do uso indevido desses dados. 

Por inaugurar uma área jurídica “nova” no Brasil, a LGPD e suas obrigações não são implementadas de “uma hora para outra”. Essa lei trouxe diversas mudanças para a sociedade brasileira, em especial para as instituições, e sua adequação exige investimentos financeiros e humanos, além de uma mudança cultural. Assim, a observância da LGPD no cotidiano está ocorrendo de forma paulatina. Prova disso foi a sua própria vigência: apesar de aprovada e publicada em 14 de agosto de 2018, essa Lei só entrou em vigor em 18 de setembro de 2020. Todavia, de lá para cá, o tema só cresce no país e a LGPD já é motivo de processos judiciais. 

Neste blog já foram abordados diversos aspectos jurídicos e práticos da LGPD que ilustram o crescimento de sua importância: o contexto e os problemas de um vazamento de dados pessoais, LGPD e o Direito do Consumidor, sanções e riscos jurídicos impostos pela LGPD, proteção de dados e a área trabalhista, entre outros. 

Destaca-se, ainda, que, além da Autoridade Nacional de Proteção de Dados (ANPD), os próprios tribunais estão se adequando e se capacitando para conduzir processos fundamentais para a LGPD. Isso pôde ser verificado, por exemplo, no Tribunal de Justiça de São Paulo, que adotou uma política de privacidade e proteção de dados pessoais e disponibilizou, em seu sistema, uma categoria específica de assunto principal para novas demandas: proteção de dados pessoais (LGPD). 

Nesse contexto, embora a importância da LGPD ainda esteja em consolidação no Brasil, promover uma adequação efetiva gera diversas vantagens para as instituições, em especial para as empresas, as quais podem ser resumidas em duas categorias. 

Primeiro, a conformidade com a LGPD diminui riscos jurídicos, que podem decorrer de autuações (fiscalização administrativa pela ANPD), processos judiciais (clientes demandam contra a empresa, por exemplo) e de contratos (cláusulas específicas de fornecedores ou clientes que exigem conformidade com essa legislação). Em segundo lugar, a adequação à LGPD gera valor agregado para os ativos imateriais da empresa. 

Em meio ao crescimento exponencial do tema da privacidade e proteção de dados no país, é fundamental não ficar para trás e, desde logo, preparar-se para os possíveis problemas futuros da área. Assim, precisando de assessoria para adequação do seu negócio à LGPD, não hesite em nos contatar.

Por Felipe Grizotto Ferreira

Despesas com LGPD geram créditos de PIS e COFINS

Em agosto do ano passado, 2020, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor buscando regulamentar as atividades de armazenamento de dados pessoais com o intuito de preservar a privacidade dos cidadãos e garantir a transparência no uso das informações pessoais em qualquer meio. 

Nesse cenário, a implementação da LGPD por parte das empresas se tornou indispensável ao desenvolvimento das atividades mercantis sob a ótica da adequação à legislação. E, de fato, a não adequação à LGPD pode causar às pessoas jurídicas uma série de implicações de ordem comercial e financeira, de governança, além de acarretar sanções administrativas, cíveis, trabalhistas e criminais.

Diante desse cenário, a Receita Federal deve considerar estes gastos como insumos, autorizando a tomada de créditos para PIS e COFINS

Isso porque, ao estabelecer nova definição do conceito de insumo, a Secretaria da Receita Federal publicou, no final de 2018, o Parecer Normativo nº 05/2018, em que define que o critério da relevância deve ser aferido considerando o item que, embora não indispensável à elaboração do próprio produto ou à prestação de serviço, integre o processo de produção, seja pelas singularidades da cadeia produtiva, seja por imposição legal

Essa definição passou a readequar a análise dos insumos de cada atividade, admitindo o creditamento de itens da cadeia de produção cuja despesa ocorra por imposição de lei

A título de exemplo, a Receita Federal passou a aceitar o creditamento de gastos com equipamentos de proteção individual (EPIs); gastos de supermercados que mantém atividades de padaria, confeitaria e lanchonete com uniformes de seus funcionários; gastos com vale transporte destinado aos funcionários alocados diretamente na produção de bens ou prestação de serviços (Consulta DISIT/SRRF07 nº 7.081/2020); e gastos com tratamento de efluentes para pessoas jurídicas que exercem atividades de curtimento e outras preparações de couro (COSIT nº 01/2021). 

Retornando à questão da LGPD, recentemente, o juiz federal Pedro Pereira dos Santos, da 4ª Vara Federal de Campo Grande, proferiu uma sentença favorável à tese de que os gastos com a implementação da Lei Geral de Proteção de Dados podem gerar créditos de PIS e COFINS.  

Em sua fundamentação, o juiz observou:

No caso dos autos, pretende a autora considerar como insumos os gastos necessários ao cumprimento das obrigações relacionadas com a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.909, de 14 de agosto de 2018).

Tratando-se de investimentos obrigatórios, inclusive sob pena de aplicação de sanções ao infrator das normas da referida Lei 13.909/218, estimo que os custos correspondentes devem ser enquadrados como insumos, nos termos do procedente acima citado. Com efeito, o tratamento dos dados pessoais não fica a critério do comerciante, devendo então os custos respectivos serem reputados como necessários, imprescindíveis ao alcance dos objetivos comerciais”.

Trata-se de entendimento pioneiro em favor dos contribuintes, que segue a lógica do conceito de insumos definido pelo Superior Tribunal de Justiça. 

Diante da ausência de posição definitiva da Receita Federal a respeito do tema, os contribuintes devem provocar manifestação do fisco, apresentando Solução de Consulta à Receita, ou, intentando medidas judiciais a fim de assegurar seu direito ao creditamento.

Leia mais sobre a temática.

Por Fabio Augusto Nogueira

 

A entrada em vigor das penalidades administrativas da LGPD: o que muda a partir de agosto?

A Lei Geral de Proteção de Dados Pessoais (LGPD) é rodeada de controvérsias e polêmicas, e seu tumultuado processo de criação foi um exemplo disso. Um dos pontos que mais chamou a atenção, especialmente do setor jurídico, foi a utilização de uma prática legislativa pouco usual, pela qual a vigência da legislação foi “fatiada”: a maior parte dos dispositivos começaram a valer no dia 18 de setembro de 2020, mas as sanções administrativas só poderão ser aplicadas a partir de agosto de 2021.   

Desde 18 de setembro do último ano, a LGPD pode ser evocada em processos judiciais para condenar as empresas e demais organizações a pagarem indenizações, caso seja identificada violação das normas brasileiras de privacidade e proteção de dados pessoais. Ou seja, em diversas circunstâncias, os titulares de dados pessoais podem demandar as empresas com o objetivo de exercer seus direitos. Já existem demandas nessa linha, por exemplo, nas áreas trabalhista e consumerista. Demandas de natureza coletiva, como uma ação civil pública, também podem ser movidas com fundamento nas normas da LGPD. 

E-book: LGPD

O que muda a partir de agosto?

O que acontecerá a partir de agosto é a possibilidade jurídica de aplicação de outra abordagem para efetivação da Lei: a fiscalização por parte da Administração Pública e, consequentemente, a possibilidade de imposição de sanções administrativas. 

Além das demandas individuais ou coletivas que buscam a reparação de danos, a partir de agosto de 2021, é possível que o próprio Poder Público tome a iniciativa de fiscalizar as empresas com o objetivo de aferir se os dados pessoais estão sendo tratados em conformidade com a LGPD. Isso ocorrerá principalmente pela atuação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Em outras palavras, os riscos de penalidades por desconformidade com essa Lei irão aumentar.

A LGPD reconhece nove possibilidades de sanções administrativas:

  • Advertência;
  • Multa simples;
  • Multa diária;
  • Publicização da infração;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração;  
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; 
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

Dentre elas, as que mais preocupam as instituições são as multas, pois podem ser de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. 

É preciso, por isso, que as empresas e organizações no geral estejam em conformidade com a LGPD e estejam preparadas para responder adequadamente a eventuais incidentes de segurança de dados pessoais e à fiscalização das autoridades administrativas, em especial da ANPD. Uma assessoria especializada é imprescindível para minimizar os riscos nesse momento. 

Conte com nosso time de especialistas para minimizar os riscos nesse momento. E faça o download do nosso e-book introdutório sobre o tema.

Implicações trabalhistas da LGPD: recrutamento, contrato e rescisão

Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), a Lei 13.709/2018, também denominada de LGPD (Lei Geral de Proteção de Dados) cria regras para a proteção e tratamento de dados de pessoas físicas, visando respeito aos direitos fundamentais (liberdade e privacidade), garantia de maior segurança jurídica às relações, além de adequar o Brasil à uma tendência mundial de regulação, possibilitando a livre concorrência entre as empresas no mercado interno e externo.

Embora a LGPD não regule de modo específico a sua aplicação às relações trabalhistas, é grande o seu impacto nessa área em razão do intenso fluxo de dados que ocorre nas relações de trabalho, desde os processos seletivos de admissão até o momento posterior ao desligamento do trabalhador. Ainda que as multas e penalidades previstas na lei apenas comecem a valer a partir de 01 de agosto de 2021, ela já se encontra em vigor desde 18 de setembro de 2020, de modo que eventuais danos causados a trabalhadores pelo tratamento inadequado de dados já podem ser objeto de ações judiciais.

Conceitos gerais da LGPD aplicados às relações trabalhistas

O titular de dados é o trabalhador, e o empregador ou tomador do serviço assume a figura do controlador desses dados, ou seja, aquele que trata o dado, realizando qualquer ação com as informações obtidas do trabalhador (coleta, armazenamento, compartilhamento etc.).

A lei diferencia dados pessoais de dados sensíveis (art. 5º, I e II). Dado pessoal é qualquer dado ou informação relacionada ao titular, que o permita identificar o trabalhador (tal como número do CPF, RG, endereço). Dado pessoal sensível é aquela informação que de alguma maneira pode gerar uma situação de discriminação ou desvantagem ao trabalhador, tais como filiação sindical, origem racial, dado referente à saúde ou vida sexual, convicção religiosa, entre outros.

O tratamento de dados regulado pela LGPD não se restringe a documentos e informações pessoais do trabalhador, mas abrange outros tipos de informações como por exemplo o monitoramento de e-mail corporativo e o registro de imagens do trabalhador no ambiente de trabalho.

Nas relações de trabalho, a aplicação da LGPD ganha contornos ainda mais importantes pela desigualdade de condição existente entre empregado e empregador, e a dependência do trabalho como fonte de sustento. Neste contexto, não basta que o empregador colha o consentimento do empregado para justificar o acesso ou armazenamento de dados, já que esse consentimento não terá sido livremente manifestado na maioria das vezes, mas concedido pela necessidade de manutenção do emprego.

Relações transparentes

Portanto, ao tratar dados de trabalhadores, o empregador precisará justificar esse tratamento em uma das situações permitidas pela LGPD (as chamadas bases legais), sendo mais comum o tratamento para cumprimento de obrigações legais, execução do contrato de trabalho, exercício regular de direito e legítimo interesse. De forma um pouco mais restrita, também será possível tratar dados com base no consentimento.

De maneira geral, o trabalhador tem o direito de saber quais dados foram coletados, a finalidade, forma e duração do tratamento, assim como consulta facilitada e gratuita aos dados armazenados, inclusive para efeito de atualização e correções. Os empregadores, por sua vez, apenas poderão utilizar os dados para as finalidades especificadas, coletando o mínimo necessário para o alcance de cada objetivo, além de responsabilizar-se pela segurança no tratamento desses dados.

LGPD no Recrutamento

No processo de recrutamento e seleção, o candidato à vaga de trabalho já transmite dados pessoais. Para evitar riscos, o empregador deve obter o mínimo de dados possíveis, apenas para averiguar a compatibilidade do perfil técnico com a função a ser contratada, e geralmente não se deve coletar dados sensíveis (salvo algumas exceções), pois podem gerar discriminação entre os candidatos. O candidato precisa ser informado e autorizar o tratamento de dados durante o processo seletivo, e caso haja o armazenamento de currículo de candidato não selecionado, deve haver concordância do interessado, inclusive para efeito de compartilhamento com terceiros, pois do contrário os dados precisam ser descartados.

LGPD durante o contrato de trabalho

Durante o contrato de trabalho, diversos dados do trabalhador precisam ser tratados pelo empregador para cumprimento de obrigações legais e para a própria a continuidade do contrato de trabalho (por exemplo, envio de informações ao INSS e Caixa Econômica Federal) incluindo dados sensíveis (dados biométricos, utilizados em alguns relógios de ponto, e dados relativos à saúde, provenientes de atestados médicos e exames ocupacionais). Até mesmo dados de terceiros podem se fazer necessários, como dados de familiares do trabalhador para efeito de imposto de renda, salário família, compartilhamento com operadoras de saúde, seguradoras etc.

Em cada caso, o empregador precisará se ater à necessidade e finalidade de cada coleta, de acordo as hipóteses permitidas pela LGPD, sempre de forma transparente e informada ao trabalhador, cuidando de colher prévio o consentimento nas situações em que não for possível outro enquadramento legal.

LGPD após rescisão do contrato de trabalho

Após o término do contrato de trabalho, ainda assim a LGPD impõe cuidados, pois de um lado é preciso eliminar os dados coletados, e por outro, a própria lei assegura o direito à conservação de alguns dados para efeito de fiscalização do trabalho ou mesmo para resguardar direitos em futuras demandas judiciais. É comum, portanto, a guarda de determinados documentos pelo prazo prescricional de até 5 anos após a extinção do contrato, ou até mesmo por prazos maiores no caso de informações relacionadas à saúde e meio ambiente do trabalho, sendo assegurado ao trabalhador a informação sobre os dados que ainda serão armazenados.

Considerando todas essas implicações, os empregadores precisarão criar procedimentos internos para adequação à LGPD com o auxílio de recursos de tecnologia da informação, de acordo com a realidade de cada qual. Dentre as adequações, pode-se destacar o levantamento do banco de dados existente, revisão de cláusulas contratuais, adoção de políticas, controles de acesso a dados, e treinamento dos colaboradores que ficarão responsáveis pelo tratamento. Além do enquadramento legal, os empregadores precisarão demonstrar que adotam medidas eficazes e seguras no tratamento de dados, a fim de evitar sanções e prevenir incidentes envolvendo o vazamento de dados.

 

*Por Douglas de Campos Souza.

 

Inteligência Artificial acirra o debate sobre LGPD

A Europa é conhecida por adotar medidas rigorosas para proteção dos direitos de personalidade, em especial em relação ao direito fundamental à privacidade no âmbito das novas tecnologias. Nesse contexto, recentemente mais uma polêmica social e política dominou os debates sobre privacidade no continente europeu. [1]

A preocupação, dessa vez, é com a coleta em massa de dados biométricos, como estrutura facial e impressões digitais colhidas massivamente, por exemplo, por câmeras de Circuito Fechado de Televisão (CFTV) e tecnologias de reconhecimento facial.

O debate se acirrou entre grupos de direitos civis, já que cada vez mais dados pessoais têm sido utilizados por softwares de inteligência artificial, inclusive para tomadas de decisão importantes.  Além de ser empregada em áreas comerciais e de propaganda, a IA começa a figurar intensamente em âmbitos mais sensíveis como avaliação de riscos na área da saúde e adoção de medidas preventivas na segurança pública.

Por isso, o cerne da preocupação é que tal coleta massiva de informações pessoais alimente o banco de dados que sustenta os processos de tomada de decisão por inteligência artificial, motivo pelo qual alguns grupos políticos na Europa já estão pleiteando um maior controle legislativo sobre a questão.

No Brasil, embora o fervor político e social nessa área possa ser menos intenso, a Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe balizas jurídicas significativas. Com base na nova lei, as decisões automatizadas (aquelas realizadas por IA) devem ser utilizadas com parcimônia, sempre de forma transparente e não discriminatória.

Por exemplo, o artigo 20, §1º, da LGPD prescreve que o “controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada”. Ou seja, cada vez mais as empresas e demais organizações sociais que utilizem mecanismos tecnológicos e informatizados para tomada de decisão precisarão adotar salvaguardas técnicas para cumprir a legislação e proteger os direitos dos indivíduos.

Precisando de assessoria jurídica, entre em contato conosco. 

Por Felipe Grizotto Ferreira

[1] Detalhes do fato e seu contexto disponível em: https://securitybusiness.com.br/biometria-cftv-europa/. Acesso em 18/03/2021.

LGPD: caso polêmico da Serasa exemplifica exigências da LGPD

No último dia 22 de fevereiro, a conhecida empresa de proteção de crédito, Serasa Experian, tornou-se centro de uma polêmica nas mídias sociais. Com a premissa de promover um novo estudo sobre a análise de crédito no Brasil, a empresa circulou um formulário em que exigia alguns dados pessoais como CPF, número da conta bancária e da respectiva agência e, para surpresa de seus usuários, a senha do internet banking.[1]

Junto ao formulário para preenchimento dos dados havia uma nota informativa afirmando que “a senha fornecida é utilizada apenas para conexão com a conta bancária e leitura dos dados. Não existe qualquer permissão e possibilidade de realizar operações por você e/ou em seu nome”. Antes de prosseguir, o usuário precisava confirmar que leu o termo de consentimento e estava de acordo com suas condições.

E-book: LGPD

E-book: LGPD

Apesar disso, considerando as repercussões do fato e o inconformismo de alguns usuários, o Procon-SP resolveu agir e notificou a Serasa para que esclarecesse questões como:

·      a finalidade da pesquisa realizada;

·      quais informações foram fornecidas aos participantes antes da realização da pesquisa;

·      quais informações foram solicitadas no estudo;

·      por quanto tempo elas estiveram disponíveis ao público;

·      quantos pessoas forneceram as informações solicitadas;

·      quais dados foram obtidos e como foram tratados.

 

A notificação teve como um de seus principais fundamentos a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) e, a depender dos resultados da apuração, poderá resultar em multa de até 10 milhões de reais. A LGPD não impede a utilização dos dados pessoais, mas condiciona esses processos a certos requisitos formais e exige a instituição de salvaguardas e processos de segurança por parte das organizações.

Pela LGPD, é necessário que as organizações sejam suficientemente claras sobre as finalidades e formas de uso dos dados pessoais. Mesmo empresas com altos padrões de proteção da informação, como a Serasa Experian, estão sujeitas a prestarem esclarecimentos sobre o uso de dados pessoais e cooperarem com investigações sobre vazamentos dessas informações. Mesmo sem existir, de fato, alguma ilegalidade, obrigações de transparência como essa serão cada vez mais comuns com o cenário trazido pela LGPD.

 

Por Felipe Grizotto Ferreira

[1] Ver a notícia em: https://www.uol.com.br/tilt/noticias/redacao/2021/03/01/procon-notifica-serasa-por-exigencia-de-senha-de-banco-para-pesquisa-online.htm. Acesso em: 02/03/2021.

Barbosa Portugal Advogados
Top
Enviar mensagem
Olá! Entre em contato com o escritório Barbosa e Portugal Advogados. Será um prazer atendê-lo/a.