LGPD, responsabilidade solidária e ações regressivas


Recentemente, um grande clube de futebol admitiu o vazamento de dados de diversos sócios do time. A falha aconteceu no sistema do site que realiza as vendas de ingressos do programa sócio torcedor, o FutebolCard. Mas se o vazamento aconteceu no site, por que o clube precisou esclarecer a situação? Esse é um caso de responsabilidade solidária, que também é previsto pela Lei Geral de Proteção de Dados (LGPD).
A LGPD (Lei nº 13.709/2018) trata na seção III da Responsabilidade e do Ressarcimento de Danos, onde no artigo 42 descreve  a obrigatoriedade da reparação de danos, seja patrimonial ou moral, individual ou coletiva, ocasionado pelos agentes de tratamentos de dados, havendo violação à legislação de proteção de dados pessoais especificamente. No parágrafo 4º, estabelece o direito de regresso àquele que reparou o dano ao titular dos dados, contra o(s) agente(s) gerador(es) que deram causa à responsabilização e à indenização.
Diante desse cenário, vêm à tona pontuais observações acerca dos atores envolvidos no tratamento de dados pessoais principalmente o Controlador e o Operador, bem como a solidariedade/equiparação de responsabilidades entre os mesmos, que devem fazer parte das reflexões quando da aplicação/adequação das atividades que envolvem tratamento de dados pessoais à LGPD.
A primeira questão a ser observada é o quesito da solidariedade, explícita na LGPD, nos incisos I e II, do artigo anteriormente citado, quando expressa a responsabilidade solidária entre o controlador e o operador, pelos danos causados ao titular dos dados, pelo descumprimento da legislação de proteção de dados, como por exemplo num vazamento de dados com impacto ao titular.
Ou seja, havendo mais de um responsável pelo seu (des)cumprimento, o titular dos dados que for lesionado, poderá exigir o cumprimento de qualquer um deles, cabendo àquele que cumprir a obrigação o direito de regresso contra o responsável solidário, se assim for o caso. Tal previsão de solidariedade está prevista no art. art. 264 do Código Civil “Há solidariedade, quando na mesma obrigação concorre mais de um credor, ou mais de um devedor, cada um com direito, ou obrigado, à dívida toda.”
A Lei Geral de Proteção de Dados, em seu artigo 45, foi categórica em dizer que a violação do direito do titular no âmbito das relações de consumo permanece sujeita às regras de responsabilidade previstas na legislação pertinente, como por exemplo o  Código do Consumidor, que prevê no artigo 13 que “aquele que efetivar o pagamento ao prejudicado poderá exercer o direito de regresso contra os demais responsáveis, segundo sua participação na causação do evento danoso
A equiparação de responsabilidade fica estabelecida conforme previsto na LGPD, observadas as possibilidades de exclusões constantes em seu artigo 43, ou seja quando não for constatado a realização efetiva do tratamento de dados pessoais; que não houve violação à legislação de proteção de dados, embora tenha sido realizado o tratamento de dados pessoais e/ou que o dano tenha decorrido decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Diante dessa rede de conexões legais que preveem a solidariedade e possibilidade de ação regressiva, os agentes de tratamento de dados pessoais devem estar atentos nas suas orientações, adequações, adoção de medidas técnicas e tudo mais para garantir a privacidade, dignidade, honra, imagem, e outros direitos fundamentais do titular dos dados, sob pena de estar sujeito à uma condenação direta ou via ação de regresso.
Com base na Lei de Introdução ao Direito Brasileiro, artigo 3º,  que estabelece “que ninguém se escusa de cumprir a lei, alegando que não a conhece”, ninguém pode alegar desconhecimento de qualquer legislação, no assunto aqui tratado, em especial, o Marco Civil da Internet e a LGPD. Desta forma, ficando caracterizado o descumprimento de qualquer regramento relacionado ao tratamento de dados pessoais, garantida a ampla defesa, a responsabilização será atribuída.
Finalizando, é necessário um trabalho atento aos detalhes, visualizando não apenas a LGPD mas toda a base legal pertinente.
Sucesso à todos nesta jornada.
Fonte: IT Forum 365.

everyti.com.br

Dados privados de interesse público e o combate à covid-19


Em meio à crise causada pelo coronavírus, a iminência da entrada em vigor da Lei Geral de Proteção de Dados – prevista para agosto deste ano – e o desenho de estratégias para seu combate, reaparece o debate: quais dados podem ou devem ser utilizados em defesa do interesse público?
Diversas iniciativas de uso de dados para interesse público já estão sendo desenvolvidas faz anos. A prefeitura do Rio de Janeiro utilizava dados anônimos do Waze, por exemplo, para definir estratégias para redução do trânsito, para tapar buracos, para prevenir alagamentos, para definir prioridades de obras viárias. Para a Olimpíada e para o dia-a-dia dos cidadãos. A Prefeitura do Rio de Janeiro também usava dados de localização de celulares para definir estratégias durante as Olimpíadas, como onde posicionar os guardas municipais. Dados georreferenciados de ocorrência de dengue foram usados para ajudar na redução do número de contagiados no Rio de Janeiro em 98% de um ano para o outro.
Mas a recente crise causada pelo coronavírus e o uso de dados privados – mas de interesse público – ganhou outra conotação. A própria prefeitura do Rio de Janeiro recuperou a parceria com a TIM para usar os dados de localização com a finalidade de avaliar áreas em que o cumprimento da quarentena está sendo seguido à risca, e áreas em que isso não acontece.
A prefeitura do Recife, em parceria com a startup InLoco, vai no mesmo sentido. Com a localização anonimizada de mais de 60 milhões de celulares no Brasil, a empresa tem a capacidade de monitorar não apenas quais áreas estão cumprindo ou não a quarentena, como também prever como a covid-19 vai se espalhar pelo País. Seus dados permitem, inclusive, que se avalie quais setores da economia estão sendo mais afetados, para o desenho de políticas de estímulo. E tudo isso de forma anônima, conforme já reconhecido pelo próprio Ministério Público do Distrito Federal. Mas isso ainda é pouco perto do que pode ser feito.
Diversos países têm usado tecnologia e dados de forma intensiva para conter o espalhamento da doença. Israel é um ótimo exemplo, com o aplicativo TrackVirus. De forma anônima os usuários relatam se estão com sintomas ou se tiveram uma confirmação de infecção. Sabendo a localização de cada um de seus usuários, o aplicativo informa àqueles que em algum momento estiveram próximos de outra pessoa com sintomas ou com confirmação da doença que ele tem chances de estar infectado, recomendando a quarentena.
O Banco Interamericano para o Desenvolvimento – BID, que tem apoiado iniciativas de uso de tecnologias para o desenvolvimento sustentável na América Latina, informou, esta semana, que disponibilizará 12 bilhões de dólares para o desenvolvimento de projetos que auxiliem no combate à atual crise de saúde pública. E boa parte desses recursos devem ser direcionados para ações de uso de dados e inteligência.
O problema é que as fronteiras entre os conceitos de dados privados e dados públicos, entre dados pertencentes a empresas e dados de interesse público, ainda é muito nebulosa. A Lei Geral de Proteção de Dados Pessoais, no Brasil, já prevê a utilização de dados pessoais, de preferência anonimizados, para pesquisas. Mas o detalhamento dessa regulamentação depende da instalação da Autoridade Nacional de Proteção de Dados – ANPD. E esta, por sua vez, depende da Presidência da República. Dado o atual momento de crise, é bem possível que a criação da ANPD tenha sido jogada para segundo plano na agenda política.
Com segurança podemos afirmar que, com os dados atualmente em posse de empresas privadas, como Google, Facebook, Twitter, empresas de telefonia, dentre outras, em conjunto com os dados privados, mas de posse da administração pública, relativos às contaminações – como endereço, idade, local de trabalho etc – seria possível um enfrentamento muito mais inteligente da crise atual.
Um exemplo hipotético: com os dados de localização dos infectados e das pessoas que compartilham o mesmo círculo social (tal como feito por Israel, com o TrackVirus), seria possível realizar o isolamento segmentado. Nem horizontal, nem vertical, mas específico para cada microgrupo de pessoas. Isso pode ser facilmente obtido com dados de celulares ou de localização (GPS) atualmente em posse de diversas empresas.
Mas um projeto dessa envergadura demanda uma grande articulação entre o setor público e o setor privado para impedir abusos de ambos os lados. Voltamos, então, para a questão da Autoridade Nacional de Proteção de Dados – ANPD e a postergação de sua instauração pela Presidência da República.
Em resumo, temos quase tudo o que precisamos em mãos para o desenvolvimento de projetos inteligentes para o combate à covid-19, que ao mesmo tempo preserve a saúde e a economia: temos dados, temos tecnologia, temos expertise, temos fontes de financiamento. Só o que nos falta é uma eficiente articulação política que permita o uso de dados privados em defesa do interesse público, sem desvios e abusos de qualquer dos lados. E isso depende da instauração da ANPD e que esta tenha uma composição técnica e eficiente. Se consideramos que a covid-19 pode permanecer por um tempo prolongado entre nós, ainda há tempo para sanar esse problema.
Fonte: Portal Estadão.
everyti.com.br

O compliance e a proteção de dados em meio à crise do coronavírus

A chegada do surto do Coronavírus no Brasil alterou a rotina do país, das escolas ao comércio, do campo à cidade, das famílias ao ambiente corporativo. Atendendo às recomendações da Organização Mundial de Saúde e das autoridades públicas, muitas empresas reduziram o número de funcionários na operação fabril e determinaram o home office (trabalho de casa) para a equipe administrativa.
A expectativa é que com isso se consiga frear a disseminação do vírus e, ao mesmo tempo, manter a atividade econômica funcionando, ainda que com força e amplitude diminuída. Em meio a essa situação incomum de pandemia mundial e de trabalho em casa por um período ainda incerto, importante reforçar alguns pontos em relação a regras de conformidade que seguem imperativas mesmo com o trabalho à distância.
Pelo viés da compliance, importante considerar:
Mesmo trabalhando de casa (home office), todos os colaboradores devem manter a conformidade com as diretrizes do Código de Conduta da empresa, em todos os seus termos, mantendo um elevado padrão ético de trabalho, alinhado com as diretrizes legais, zelando pela imagem e integridade da empresa. Políticas institucionais, processos internos e instruções de trabalho também devem ser seguidas.
Será preciso mais atenção às determinações excepcionais de sua empresa em meio à crise sanitária vivenciada com a pandemia do Coronavírus, pois algumas de suas rotinas podem ser alteradas.
Se em momentos de crise o stress corporativo aumenta, todos devem zelar por um ambiente de trabalho respeitoso e saudável, e atenção redobrada na operação fabril: saúde, segurança e meio ambiente, sempre.
Sendo assim, havendo dúvidas sobre como se portar em uma situação excepcional ocasionada pela crise do Coronavírus e relacionada ao tema conformidade, institucional ou legal, o melhor a fazer é entrar em contato com o responsável pela área de Compliance, com o Departamento Jurídico ou com seu gestor.
Trabalho remoto exigirá uma atenção maior à Proteção de Dados:
Por sua vez, atenção também redobrada ao assunto Proteção de Dados, tema muito caro às rotinas corporativas, por ora desempenhadas de casa e não do escritório.
Se você ou sua equipe está trabalhando de casa, fiquem atentos para não compartilharem, ainda que involuntariamente, informações estratégicas da empresa dados dos clientes, fornecedores e colaboradores com seus familiares ou amigos.
Caso tenha à sua disposição um computador ou celular corporativo para o desempenho de suas funções, não utilize equipamentos particulares para executar seu trabalho; da mesma forma, utilize seu e-mail corporativo e não o particular para fins profissionais.
Se tiver levado para casa documentos contendo informações corporativas estratégicas ou dados de terceiros relevantes para seguir com seus afazeres, importante que zele pela integridade desse material evitando a perda ou divulgação acidental.
Atenção à utilização de redes de internet wi-fi públicas ou domésticas: reforce os sistemas de segurança nas redes, equipamentos e no armazenamento de dados. Da mesma forma, siga todas as recomendações de sua área de TI quando acessar sistemas e ambientes corporativos de forma remota, como o GED, via VPN.
Informações compartilhadas em reuniões virtuais via plataformas on-line também merecem atenção: certifique-se que todos os participantes podem ter acesso aos dados apresentados.
Por fim, neste momento social sui generis, importante manter um canal de comunicação constante e livre com a equipe, atendendo às demandas, liderando por exemplo, recomendando a todos muita calma, cuidados com a saúde, atenção e respeito às normas corporativas, inclusive as relacionadas à segurança da informação.
Fonte: Portal Estadão.

everyti.com.br

Hackers usam sites falsos sobre coronavírus para roubar dados pessoais


A pandemia de Covid-19, que já infectou mais de 1 milhão de pessoas ao redor do planeta, vem contribuindo para o aumento no número de crimes cibernéticos. Com boa parte da população mundial em isolamento, trabalhando de forma remota – e usando a internet com mais frequência – hackers mal-intencionados têm a ocasião perfeita para agir.

A Securonix, empresa de segurança dos Estados Unidos, relatou que há cibercriminosos enviando ransomware até mesmo para serviços de saúde. Como? Via e-mails com informações sobre o novo coronavírus.

Caso você, leitor, esteja se perguntando, ransomware é um tipo de software de bloqueio. Quando alguém abre o arquivo contendo a armadilha, o dispositivo do usuário trava na hora. Para desbloquear o celular ou computador da vítima, hackers pedem a humilde quantia de US$ 2.270 – quase R$ 12 mil.

Essa é apenas uma dentre as diversas formas de ataque. Outra delas pode até assustar leitores da SUPER mais atentos ao nosso site. No canto superior direito de nossa página inicial, deixamos um link que direciona para um mapa feito pela universidade americana Johns Hopkins, centro de mundial de referência em medicina. Ele registra todos os dados sobre a Covid-19, desde número de mortes até o total de recuperações. O mapa é real e embasado cientificamente. O problema é que criminosos on-line desenvolveram uma versão falsa do serviço, idêntica à original, mas instalada por meio de uma extensão no computador – que traz junto dela um malware.

Malware é nada além de um código malicioso que invade o computador e consegue acessar senhas e dados pessoais, como um aplicativo espião. Quando a vítima entrava em algum site falso que continha a extensão do mapa e repassava o conteúdo para amigos e familiares, acabava espalhando o golpe. 

No Canadá, pessoas estavam recebendo e-mails que tinham como remetente um hospital do município de Taber. A mensagem, também falsa, dizia: “Você entrou em contato recentemente  com um colega/amigo/familiar que está com Covid-19 no Taber AB (nome do hospital). Por favor imprima o formulário em anexo com suas informações pré-preenchidas e vá para o hospital mais próximo”. Outra cilada.

E não são só os hackers criminosos que estão aproveitando o momento. Grupos de espionagem associados à China, Coréia do Norte e Rússia também foram identificados atrás de documentos sigilosos, como declarações de líderes políticos e conselhos de fontes oficiais. 

A Forbes fez uma lista de sites suspeitos que você não deve acessar. Dá para conferi-la clicando aqui. A principal recomendação é evitar abrir qualquer tipo de e-mail ou mensagem suspeita sobre o coronavírus, mesmo que seja de um remetente conhecido. Além disso, deve-se buscar por sites confiáveis quando estiver procurando por informações sobre a doença – como a SUPER, por exemplo.

Fonte: Portal Super.abril.com.br

everyti.com.br

Golpes sobre pandemia que mais fazem vítimas



O coronavírus se tornou tema dos golpes realizados por estelionatóarios na internet. Aproveitando a preocupação financeira que a pandemia está causando, golpistas criaram novas maneiras de enganar a população para obter seus dados, invadir seus celulares e aplicar os golpes.
O delegado Breno Andrade, titular da Delegacia de Repressão aos Crimes Cibernéticos (DRCC), contou que ele próprio foi alvo de uma tentativa de golpe relacionada ao coronavírus.
Ele explicou que recebeu uma mensagem de texto onde era oferecido, pela Agência Nacional de Telecomunicações (Anatel), um suposto bônus extra de internet devido à pandemia. Porém, ele não clicou no link e iniciou uma investigação sobre o caso.
“Os criminosos sempre aproveitam o tema que está em alta . No meu caso, o que me chamou a atenção foi o fato do DDD da ligação ser do Espírito Santo, então resolvi investigar.”
Os links falsos são propagados por meio das redes sociais, como o Facebook ou o Whatsapp, e podem conter vírus, clonar o aparelho ou levar para uma página onde a pessoa preenche um cadastro com informações pessoais e tem os seus dados roubados para fins ilícitos.
“É mais fácil o criminoso fazer a pessoa cair no golpe do que invadir o computador dela. É uma forma de induzi-la ao erro e obter os dados pessoais dela. Os bandidos usam essas informações para abrir contas virtuais em bancos para aplicar outros golpes, por exemplo. A vítima pode até ter de responder criminalmente porque o golpista usou dados dela para cometer outros crimes”, explicou Andrade.
Para realizar os golpes, os criminosos fingem que a promoção é de uma empresa ou do governo.
O professor de Segurança da Informação João Paulo Machado Chamon citou o caso do auxílio emergencial de R$ 600 oferecido pelo governo como um exemplo de situação utilizada pelos golpistas.
“Eles disponibilizam um link para a vítima que, na esperança de poder receber o benefício, acaba sendo enganada pelo golpista ao informar seus dados pessoais.”
O consultor em Tecnologia da Informação Eduardo Pinheiro e a vice-presidente do Conselho Diretor da Proteste, Maria Inês Dolci, recomendaram que, na dúvida, as pessoas não cliquem nos links nem compartilhem essas informações, para não correrem riscos ou evitar a propagação desses golpes.

Os principais golpes

Golpe da Anatel
Consiste em uma promessa de aumento da franquia de internet no celular, suspotamente feita pela Anatel. A vítima recebe um link via mensagem de texto informando que, devido ao período de quarentena, poderá ter sua franquia ampliada.
O link pode tanto redirecionar a uma página para que a vítima informe seus dados, quanto servir para baixar um vírus no celular da vítima.
Golpe da Netflix
Neste golpe, a vítima recebe uma mensagem informando que, devido ao período de quarentena, a Netflix disponibilizaria a ela um mês grátis. A vítima teria de repassar um código de seis dígitos, recebido via mensagem de texto, ao golpista. Na verdade, é uma forma de clonar o whatsApp da vítima, que pode ser utilizado para a prática de estelionato.
Golpe do Ministério da Saúde
Neste golpe, o criminoso simula ser represetante do Ministério da Saúde, e afirma que o ministério sorteará álcool em gel e máscaras para as pessoas que realizassem um cadastro.
Neste cadastro são solicitadas informações pessoais, como nome completo, CPF e dados bancários. Com esses dados, o golpista pode criar um cartão de crédito para gastar como quiser ou realizar empréstimos sob o nome da vítima.
Golpe do Auxílio Emergencial
O benefício de R$ 600 que o governo está disponibilizando à população durante o período de quarentena é o foco deste golpe. A vítima também é enganada com o golpista pedindo seus dados pessoais. De posse deles, realizam empréstimos, criam contas bancárias, entre outros.
Golpe do Auxílio à Bolsa Família
Como no golpe anterior, explora a esperança das pessoas de um benefício extra durante a pandemia. Neste caso, ela também preenche um formulário com seus dados pessoais para o golpista.
Golpe do “Descubra se você tem coronavírus”
Assim como no golpe anterior, a vítima recebe uma mensagem com um link para preenchimento de dados pessoais, para que ela saiba se está ou não com o vírus.
Golpe das contas bancárias
Comum em tragédias, esse tipo de golpe explora a vontade das pessoas de ajudar vítimas e doentes. O golpista cria uma conta bancária compartilhada e pede que sejam feitos depósitos, que serão destinados às pessoas que estão com o coronavírus. O dinheiro fica com quem aplicou o golpe.
Golpe da Covid-19 Tracker
Este falso aplicativo promete enviar informações do mundo inteiro a respeito do vírus. Na realidade, ele instala um vírus que danifica os celulares, bloqueando-o e solicitando um depósito para liberá-lo. Está sendo divulgado em redes sociais.
Golpe da Ambev
consiste em uma informação falsa de que a Ambev vai distribuir álcool em gel e que para participar é preciso clicar num link. Esse link solicita dados pessoais ou instala um vírus.
Fonte: Delegacia de Repressão aos Crimes Cibernéticos (DRCC).
everyti.com.br

Covid-19 alerta organizações para falha na governança de riscos

 

As abordagens atuais da governança de riscos nas empresas não são suficientes para lidar com as questões complexas trazidas pela pandemia da Covid-19, mas que na verdade é apenas a mais recente a demonstrar que as organizações não estão devidamente preparadas. A análise é da consultoria Gartner, que defende prioridade digital para a gestão de riscos e já verificou um aumento efetivo dessa abordagem. 
Segundo uma pesquisa da consultoria, 87% das áreas de auditagem se valem do modelo de “três linhas de defesa (ou 3LOD, na sigla em inglês). Esse modelo prevê que a gerência é a primeira linha de defesa, identificando riscos e implementando controles. Os departamentos jurídicos, de compliance e sistemas ERM são a segunda linha nessa abordagem, supervisionando os processos de gestão de riscos. E finalmente, auditorias internas são a terceira linha. 
Para a Gartner, no entanto, “a resposta à pandemia de coronavírus é o perfeito exemplo de como abordagens tradicionais como 3LOD não funcionam muito bem. As abordagens tradicionais falham porque não conseguem lidar efetivamente com riscos interconectados e em rápido desenvolvimento”. 
Sustenta, ainda que, “a pandemia demonstra porque as organizações precisam de novas abordagens para a governança da gestão de ricos complexos que são enfrentados nos dias de hoje. A adoção da governança de riscos dinâmica ajuda a lidar com diferentes tipos de riscos.”
A DRG, para a sigla em inglês Dynamic Risk Governance, foi avaliada em uma pesquisa com 200 organizações, observando se as abordagens tradicionais ou dinâmicas levaram a melhores comportamentos e resultados. Os três pilares que fundamentam a DRG cresceram. 
1) Governança sob medida, com alta de 18%, indica que o modelo precisa depender da velocidade, da tolerância da organização e das amarras internas relacionadas a cada risco. Em especial, ter destacada uma autoridade corporativa que possa tomar decisões mais rapidamente. 
2) Governança de risco baseada na atividade, com 22% de aumento, significa que não apenas a gerência, mas as diferentes ‘linhas de defesa’ devem atuar sem que elas sejam fixas. 
3) Governança de risco com prioridade digital, aumento de 18%, significa que devem ser consideradas soluções digitais para a governança de riscos, não como consequência, mas como parte da definição original da gestão de riscos. Especialmente se for possível automatizar grande parte da gestão, o que permite um número menor de funções envolvidas. 
Fonte: Portal Convergência Digital.
everyti.com.br

A LGPD e o tratamento de dados dos assistidos pela Defensoria Pública

A pandemia ocasionada pelo surto do Covid-19 forçou os atores do sistema de justiça a reinventarem suas formas de atuação, implantando medidas de teletrabalho e atendimento remoto ao público que necessita da prestação jurisdicional. Na Defensoria Pública o rumo também não foi diferente e a suspensão do atendimento presencial deu espaço a uma eficiente organização de atendimento por meios eletrônicos, com criação de canais de facilitação do contato dos assistidos com os Defensores Públicos.
Essa reorganização urgente da forma de atuação da Defensoria Pública obrigou o administrador da instituição a antecipar uma série de medidas de informatização do atendimento, através da utilização de sistemas informáticos e de tratamento de dados que vinham sendo paulatinamente projetados para maior eficiência dos serviços prestados.
Na realidade institucional não raros são os órgãos de atuação que já se utilizavam de programas e aplicativos privados para controle e gestão de dados, contatos com assistidos, elaboração de petições e outras funcionalidades comuns à área jurídica.
O ponto que se traz a debate nesse breve estudo diz respeito à utilização de programas e aplicativos privados de gestão de dados pelos órgãos e instituições públicas e, neste caso, as Defensorias Públicas, considerando que grande parte dos desenvolvedores de tais programas estão situados no exterior e lá mantêm a infraestrutura. Na mesma linha, a concentração de dados pessoais no âmbito da Defensoria Pública é expressiva e a utilização desses dados para finalidades diversas da assistência jurídica também merece algum tipo de controle e regulamentação.
A Lei n. 13.709/2018, espelhada no modelo europeu de proteção de dados (Regulamento Geral de Proteção de Dados) ainda não entrou completamente em vigor, sendo certo que a maior parte de suas disposições terá vigência a partir de agosto de 2020, inobstante haver projetos de lei propondo a extensão desse prazo para o ano 2021.
O novo diploma procura regular o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Na realidade do mundo atual, o controle de dados é de extrema importância por uma série de razões. As relações jurídicas hoje são permeadas pela troca de dados e na prática já se percebe essa busca de dados em situações básicas (cadastros em sítios eletrônicos, compras em estabelecimentos, fornecimento de descontos mediante realização de cadastros etc.).
As instituições públicas estão alcançadas pelo espectro da lei, na forma do art. 3º da Lei n. 13.709/2018, desde que a coleta (inciso III) e a operação (inciso I) de tratamento de dados seja realizada em território nacional, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, e que esse tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território nacional (inciso II).
Isso implica dizer que os dados coletados pela Defensoria Pública estão abrangidos pelo diploma legal visto que: 1 – são colhidos e operados no Brasil; 2 – destinam-se à prestação do serviço de assistência jurídica no território; 3 – o titular dos dados se encontra no território nacional por ocasião da coleta (art. 3º, §1º).
 Nesta mesma direção, o art. 7º da Lei n. 13.709/2018 autoriza o tratamento de dados para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Pecou o legislador nesse ponto por não mencionar a utilização de outros métodos adequados de solução de controvérsias, que exijam o adequado tratamento de dados.
Não se pode olvidar que na atividade institucional da Defensoria Pública é comum o emprego da mediação e da conciliação, como forma de solução extrajudicial dos litígios, o que implica também a coleta de dados das partes ainda que não haja um processo judicial.
O conteúdo dos dados coletados também merece detida reflexão. O art. 5º da Lei n. 13.709/2018 traz uma série de definições para o seu conteúdo. Interessam-nos, desta forma, os conceitos de dado pessoal, dado pessoal sensível, banco de dados, titular, controlador, operador e tratamento.
Os dados pessoais correspondem a toda informação relacionada à pessoa natural identificada ou identificável e se tornará sensível quando disser respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Os dados qualificativos dos assistidos e outros dados que sejam relevantes para a prestação da assistência jurídica e para a tutela de direitos acaba se inserindo no contexto dos dados pessoais.
Quando colhidos os dados e tratados eles devem ser armazenados em bancos de dados, um conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico, nos termos da lei.
É importante compreender também que apesar de o dado ser tratado por uma instituição ou organismo estatal isto não desnatura a sua titularidade que será sempre da pessoa natural a quem eles se referem e que são objeto de tratamento.
Assim, quando um assistido fornecer seus dados à Defensoria Pública para tratamento, ele próprio continuará sendo o titular das informações pessoais. A Defensoria Pública exercerá, por meio de seus órgãos e na forma que estabelecer em regulamento, as funções de controladora (tomada das decisões referentes ao tratamento de dados pessoais) e operadora (realização do tratamento de dados pessoais).
Internamente a Defensoria Pública deverá regulamentar quais órgãos serão responsáveis pela função controladora (criação ou indicação de um órgão especifico para essa função) e pela função operadora (órgãos da ponta encarregados pela recepção dos dados e outros órgãos que façam a gestão para as finalidades institucionais).
A atividade de tratamento propriamente devida deve ser encarada como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Sempre que coletar dados pessoais, a instituição deverá buscar o consentimento do titular, de forma livre, informada e inequívoca, a respeito da concordância do tratamento de seus dados para finalidade determinada.
A criação de um termo de consentimento a ser assinado em conjunto com a declaração de hipossuficiência, onde será colhida a concordância do assistido com o fornecimento de seus dados e a finalidade para qual os dados serão utilizados.
Por fim, até pela natureza da atividade de assistência jurídica, é possível que a Defensoria Pública exerça o uso compartilhado de dados, através da comunicação, difusão, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais com órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Considerando que a lei permite o compartilhamento e a transferência de dados, também é importante, até pela ótica do princípio da Unidade da Defensoria Pública, que todas as instituições adotem padrões de tratamento de dados, de modo a facilitar as operações de transferência.
É muito comum que a Defensoria Pública de um Estado atue em favor de parte que resida em outra unidade federativa ou que haja declínio de atribuição, exigindo-se que as instituições sejam capazes de migrar seus dados entre si para a manutenção do serviço de assistência jurídica.
O Colégio Nacional dos Defensores Públicos Gerais - CONDEGE possui um termo de cooperação assinado por grande parte das Defensorias Públicas que regula a protocolização de petições de outros Estados. Ainda que funcione com diversas falhas e mereça uma profunda reorganização, o sistema de peticionamento integrado implantado pelo CONDEGE também é uma forma de compartilhamento de dados. É por essa razão que o CONDEGE deve ser o órgão que proponha a padronização do controle de dados no âmbito da Defensoria Pública.
O art. 6º da Lei n. 13.709/2018 estabelece a necessidade de ser observar a boa-fé e alguns princípios enumerados em seus incisos. Quando tratar dos dados pessoais, a Defensoria Pública deve realizar essa atividade com propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Os dados, conforme a necessidade, devem ser tratados ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
A Defensoria Pública deve ser transparente na coleta dos dados, evitando práticas como phishing (busca de informações pessoais de forma fraudulenta), indicando quais são os seus meios oficiais para coleta de dados dos assistidos. Na realidade atual é muito comum a utilização de e-mails e mensagens telefônicas solicitando o fornecimento de dados, muitas vezes sob a aparência de bancos e instituições públicas.
Sempre será facultando ao titular, o livre acesso aos dados, mediante consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
O ponto mais importante corresponde a segurança. Torna-se necessário que a Defensoria Pública se utilize de todas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, inclusive de forma preventiva.
O tratamento de dados no âmbito da Defensoria Pública não pode ocasionar nenhum tipo de discriminação ou abuso em razão das informações colhidas.
Por fim, a Lei n. 13.709/2018 estabelece como princípios a responsabilização e a prestação de contas, sendo responsabilidade do controlador demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Diante das premissas aqui traçadas, as Defensorias Públicas precisam adequar a sua forma de prestar atendimentos iniciais, organizar os seus sistemas de registro e armazenamento de dados e editar normativas internas para regular o acesso e uso dados no exercício da atividade fim e da atividade meio.
Com a nova forma de atendimento, o assistido deve consentir com o tratamento de seus dados pessoais, inclusive os sensíveis, cabendo à instituição adverti-lo de como aqueles dados serão utilizados e com quais finalidades.
Temos visto que os sistemas de dados de algumas Defensorias Públicas mapeiam a predominância de perfis de atendimento (quantitativo de pessoas atendidas de acordo com idade, gênero, estado civil e outras informações) como forma de reorganizar suas estruturas de atendimento. Estas atividades devem ser comunicadas ao titular dos dados por ocasião do termo de consentimento.
Além disso, as instituições devem implantar sistemas próprios de processamento de bancos de dados, evitando a utilização de programas abertos que estejam situados em outros países, considerando a obrigação prevista em lei para tratamento de dados em território nacional. Assim, a utilização de plataformas como Google, Evernote etc. podem não se adequar aos comandos da lei nesse ponto e acarretar a responsabilidade da Defensoria Pública caso haja uso indevido.
Um outro aspecto importante, talvez o mais crítico no âmbito da Defensoria Pública, diz respeito ao controle de acesso e utilização de dados. A mão de obra da Defensoria Pública não se resume apenas aos seus membros, também contando com servidores do quadro de apoio, estagiários, residentes e colaboradores voluntários.
É obrigação da instituição garantir a segurança no acesso aos dados, de modo a evitar que haja captação indevida, utilização diversa da finalidade prevista pelos operadores da instituição. Há que se tratar uma normativa clara e um controle de acesso dos dados pelos operadores da instituição, de modo que se possa identificar quem faz o uso indevido, de modo a aplicar o sancionamento correspondente.
Muitas outras adaptações se tornam também necessárias para regular internamente o tema, sendo certo que a vigência da lei já se aproxima.
Franklyn Roger Alves Silva é defensor público do estado do Rio de Janeiro, mestre e doutor em Direito Processual pela Universidade do Estado do Rio de Janeiro (Uerj), professor da Universidade Candido Mendes, da Fundação Escola Superior da Defensoria Pública do Estado do Rio de Janeiro e de cursos preparatórios para a carreira da Defensoria Pública.
Fonte: Conjur.

10 medidas cruciais para manter empresas e clientes seguros segundo especialista em segurança da informação

 Especialista em segurança da informação aponta quais cuidados essenciais devem ser checados para que as companhias enfrentem a rápida adoção do home office sem prejuízos
A rápida disseminação da pandemia de COVID-19 obrigou empresas dos mais variados setores a se adaptar, tão rápido quanto, a uma nova realidade de trabalho.
A migração para o home office, com o suporte necessário, geralmente leva alguns meses para ser implementada, mas a realidade atual obriga que isso seja feito em questão de dias.
É possível, no entanto, fazer um checklist básico, porém crucial, para garantir que o trabalho siga normalmente, garantindo altos níveis de segurança para os negócios e para os clientes.
É importante salientar que, em momentos de crise, os cibercriminosos aproveitam a avalanche de informações para fisgar os usuários mais desatentos e curiosos, utilizando a “guarda baixa” por estarem em casa para invadir sistemas corporativos.
Abaixo reúno as principais dicas para as empresas não correrem risco nesse período:

1. Verifique a capacidade dos dispositivos de TI

Faça uma avaliação, mesmo que pequena, e levante a capacidade dos recursos de TI. Quando muitos colaboradores trabalham remotamente, os sistemas podem ser sobrecarregados e desestabilizar o ambiente da empresa.

2. Disponibilize uma rede com segurança

Verifique se a empresa disponibiliza acessos seguros, como VPN (Virtual Private Network) para os colaboradores. Eles garantem que o tráfego seja controlado, criptografado, principalmente se conectado a uma rede Wi-Fi não confiável.

3. Faça uma vistoria nos dispositivos móveis

Cheque se os dispositivos móveis (notebook, celular, tablets, etc) dos colaboradores possuem softwares de segurança e se estão ativos e atualizados com novas versões e antivírus necessários.

4. Criptografe os dados sensíveis

Certos tipos de informações são consideradas sensíveis e devem ser criptografadas, como registros pessoais, médicos ou financeiros. Essa medida é de extrema importância e evita que dados sejam vazados por cibercriminosos.

5. Gerencie dispositivos e aplicativos móveis

Faça o gerenciamento de dispositivos e aplicativos móveis através de recursos endpoint e mobile. Por esses meios, a organização e os responsáveis da área de TI poderão implementar remotamente medidas de segurança que julgarem necessários, ajudar em possíveis problemas, fazer criptografia de dados, varreduras de malware e limpeza de dados em dispositivos roubados.

6. Implemente uma autenticação forte

Adote a autenticação de dois fatores ou multifator, ou seja, invista em softwares que, além da senha convencional, envie uma confirmação de segurança extra, como códigos ou token via SMS, onde só o responsável pelo aparelho terá acesso. Esses recursos acrescentam uma camada adicional de segurança durante o processo de login em dispositivos móveis e softwares da empresa.

7. Desabilite sistemas da empresa em Wi-Fi público

Com os escritórios fechados, os colaboradores podem trabalhar remotamente utilizando redes de WI-FI vulneráveis e sem as devidas proteções. Com isso, os sistemas de informações das empresas devem ser desabilitados enquanto estiverem logados em Wi-FI público.

8. Faça uma gestão de acesso às Informações corporativas

Realize um levantamento e confira os tipos de informações que os colaboradores têm permissão de acesso, principalmente em relação às informações comerciais, segredos de empresa e informações sensíveis de clientes e funcionários.

9. Não grave dados da empresa em dispositivos pessoais

Informações da empresa nunca devem ser baixadas ou salvas em dispositivos pessoais, principalmente em computadores que não possuem antivírus e cuidados diários do setor de TI da empresa, pendrives particulares ou serviços em nuvem como Google, iCloud e Dropbox.

10. Conscientize os colaboradores sobre Engenharia Social

Conscientize os colaboradores sobre como prevenir e detectar possíveis ataques de phishing e outras formas de engenharia social envolvendo dispositivos remotos e acesso aos ambientes virtuais da empresa. Assim, caso ocorra algum imprevisto, eles terão conhecimento para agir nos primeiros momentos.
Por Denis Riviello. Fonte: Portal Crypto ID.
everyti.com.br