nota4

Desconhecimento técnico e de obrigações sobre proteção de dados pessoais impulsionam a corrida por compliance

Por Edilma Rodrigues

A primeira obrigação a ser cumprida pelas instituições financeiras, prevista pela resolução 4.658 de 2018 e publicada pelo Banco Central do Brasil (BACEN), acontece em poucos dias. Em 23 de outubro, essas empresas precisam entregar ao regulador uma proposta de cronograma para implementar e manter política de segurança cibernética no Brasil. Paralelamente, elas também têm que atentar para as novas determinações da Lei Geral de Proteção de Dados. Essas determinações vêm impulsionando a procura por auditoria legal, principalmente, por conta das dificuldades de os advogados entenderem a parte técnica e conseguirem conversar e apoiar as áreas de tecnologia.

A sócia da Daniel Advogados, Ana Carolina Cesar, avalia que também falta conhecimento sobre as novas obrigações que a resolução trouxe porque o conteúdo é muito técnico. Nesse sentido, o escritório registrou aumento significativo na demanda por seus serviços:Em apenas nove dias, o número de interações comerciais (geral) no mês de outubro já foi 40% maior do que o mês de setembro inteiro.” Entre os clientes da banca estão instituições financeiras, setor industrial, varejo (no lugar de comércio), tecnologia e saúde, como farmacêuticas.

A procura é principalmente de empresas multinacionais do setor financeiro, cuja cultura de prevenção é muito maior do que a das companhias nacionais. Para se ter uma ideia, a Alemanha tem lei de privacidade desde 1970.

Resolução 4.658

A Resolução 4.658 dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

O prazo para o estabelecimento da política e plano vai até 06 de maio de 2019, mas há o prazo de 180 dias, a contar da publicação (26 de abril de 2018), que dá em 23 de outubro de 2018, para apresentar cronograma de adequação dos contratos que tratam do processamento e armazenamento dos dados em nuvem,” informa Ana.

Portanto, as instituições financeiras têm que revisar e readequar seus processos e procedimentos. “Embora o setor seja muito regulado, a resolução trouxe obrigações que não eram ainda aplicadas por essas instituições. Por exemplo, a divulgação para a clientes da existência e do teor da política de segurança da informação. E o estabelecimento da política, do plano de ação de resposta a incidentes, aprovados pelo conselho de administração ou diretoria e revisados pelo menos uma vez por ano,” comenta.

A advogada alerta sobre a importância do cronograma de revisão de contratos. “Recentemente elaborei um contrato, prevendo as cláusulas de privacidade e proteção de dados de um fornecedor americano. Tratava-se de uma solução americana e eles não iriam formalizar o negócio, seria apenas uma ordem de serviço, mas em razão da lei foi feito o contrato que incluiu as cláusulas de privacidade e proteção de dados,” explica Ana.

Marco civil da internet x proteção de dados

A resolução do Bacen e a Lei Geral de Proteção de Dados (LGPD) inserem direitos aos titulares dos dados, algo não contemplado no Marco Civil da Internet. O consentimento, puro e simples que os sites e aplicativos oferecem, não vale mais. “O que existe hoje nos aplicativos, sites e mídias sociais são cláusulas genéricas que não vêm destacadas das demais cláusulas. Por serem genéricas, com a nova lei elas são consideradas nulas,” argumenta a advogada.

Ainda segundo ela, a mudança foi importante porque passamos do Marco Civil da Internet, que previa que os dados coletados na web precisavam desse consentimento expresso, para uma lei que dispõe de dez bases legais. “A crítica ao consentimento se dá porque não se consegue modular os efeitos dele. Quando passamos os dados pessoais não se tem a escolha de quais dados queremos compartilhar e a que tipo de serviço eu conseguiria ter com os dados compartilhados.”

A adequação se inicia, tanto para a resolução quanto para a LGPD, com o data map, que é o registro de todas as atividades de tratamento de dados pessoais, desde a coleta até sua exclusão. “Certamente, as instituições não estão preparadas para fazer essa exclusão. O titular do dado tem esse direito resguardado na lei: solicitar a exclusão. A instituição, por sua vez, pode manter esse dado, desde que exista uma justificativa legal para isso, como obrigações tributárias.”

As dez bases legais da LGPD

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

A íntegra da LGDP está disponível no site do Planalto e a Resolução 4.658 está no site do Bacen.

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top