Jean Carlos Fernandes – Advogado, Presidente da Comissão de Direito Digital – 104a Subseção de Itaquera – OAB/SP, Membro Efetivo da Comissão de Direito Digital – OAB/SP, MBA em Direito Eletrônico – Escola Paulista de Direito, pós graduado em Direito e Tecnologia da Informação – Escola Politécnica – USP, pós graduado em Direito Penal – Escola Superior de Advocacia –SP.
Resumo: Este artigo traz uma visão propositiva da lei, e coloca sob perspectiva a importância de uma lei geral de proteção de dados pessoais na modernidade, em razão da adoção das novas tecnologias da informação, grande fluxo de informações e o uso massivo da internet, para salvaguarda de direitos e garantias individuais dos cidadãos, e do desenvolvimento econômico e sustentável da tecnologia e da inovação, sob uma ótica multidisciplinar, tendo como pressuposto a segurança da informação como lógica garantidora da lei; e ainda, como as organizações podem se beneficiar deste processo de conformidade ao novo regramento legal de proteção de dados, para otimizarem seus processos de negócio, resultados e tornarem-se mais competitivas.
Palavra-chave: LGPD. Privacidade. Proteção de Dados. Governança de Dados. Segurança da Informação. Privacy by design. Privacy by default. Sistema de Gestão de Proteção de Dados. Vantagem Competitiva. Sustentabilidade Digital.
Abstract: This article brings a positive view of the law, and puts in perspective the importance of a general law for the protection of personal data in modern times, due to the adoption of new information technologies, large flow of information and the massive use of the internet, to safeguard individual citizens’ rights and guarantees, and the economic and sustainable development of technology and innovation, from a multidisciplinary perspective, with the assumption of information security as the logic that guarantees the law; and yet, how organizations can benefit from this process of compliance with the new legal data protection regulation, to optimize their business processes, results and become more competitive.
Sumário: Introdução. 1. Oportunidade para maximização de performance, resultados e diferencial competitivo. 1.1. A Segurança da Informação como pressuposto para adequação a LGPD e consequente proteção do ativo intangível corporativo. 1.2. Privacy by design e privacy by default. 1.3. Sistema de Gerenciamento de Proteção de Dados (SGPD). 2. Muito além das sanções, o estabelecimento de uma nova ordem social. Conclusão. Referências.
Introdução
A LGPD foi sancionada em agosto de 2018[1], e teoricamente entraria em vigor em agosto de 2020, após 2 anos da sanção presidencial (vacatio legis), período estabelecido para que a sociedade e as empresas se adequem ao novo Regramento Geral de Proteção de Dados Pessoais. Em resumo, a lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado[2]. Contudo, em razão dos impactos econômicos e sociais causados pela situação de pandemia do coronavírus Sars-Cov-2[3], que assola toda humanidade, a LGPD está com sua plena vigência prorrogada. Fato é, que recentemente surgiram várias iniciativas legislativas (Projetos de Leis), e mais recentemente a edição da Medida Provisória (MP 959/2020)[4], que prorrogou a entrada em vigor da lei para 03 de maio de 2021.
Deixemos de lado os impasses de ordem técnico-jurídica que certamente permeiam esta celeuma. A realidade é que PL’s e MP gravitam rumo a prorrogação da entrada em vigor da lei, quer seja para conveniência de uns, ou para decepção de outros: de um lado parte do setor empresarial que ovacionaram as medidas; para malgrado de outros, dentre eles, ativistas de privacidade e proteção de dados, acadêmicos e outros simpatizantes da temática.
Fato é, que grande parte das empresas sequer iniciaram seus projetos de adequação à lei, e se de fato a lei entrasse ou entrar em vigor em agosto de 2020, grande fatia deste grupo não estará em conformidade com o novo regramento legal de proteção de dados pessoais. Por tanto, a não conformidade com as diretrizes, princípios da nova legislação, e uma nova realidade de uma economia digital movida a dados, significa entre outras coisas, estar suscetível a: (i) sucumbir as sanções previstas pela nova legislação; (ii) risco de crise reputacional, nas hipóteses de data breach (incidente de privacidade ou de segurança da informação) e (iii) perda de competitividade, em razão dos anseios sociais de proteção à privacidade e aos dados pessoais. Em todas as hipóteses tendo como nefastas consequências, impactos financeiros e reputacionais aos negócios.
1 – Oportunidade para maximização de performance, resultados e diferencial competitivo
1.1 A Segurança da Informação como pressuposto para adequação a LGPD, e consequente proteção do ativo intangível corporativo
A LGPD é uma legislação inspirada na Regulamentação Geral de Proteção de Dados da União Europeia, alcunhada como “General Data Protection Regulation (GDPR)”, sendo correto afirmar que a legislação pátria embarcou a principiologia e fundamentos do referido regulamento, e certamente se importará a sua exegese e hermenêutica, em virtude da tradição europeia em matéria de privacidade e proteção de dados. Contudo, não significa dizer que a LGPD é cópia fiel do referido instrumento legal, a legislação brasileira é fruto de um intenso e proativo debate legislativo, que contou com a participação de vários setores da sociedade civil, trata-se de uma legislação moderna e de vanguarda, adequada aos novos anseios de uma sociedade moderna e hiperconectada, orientada e movida por dados (data-driven-society), e que inseri o Brasil em um movimento de convergência global, com a missão de estabelecer um padrão mundial de proteção de dados. Com forte base principiológica, cuja missão transcende a proteção dos dados pessoais “per se”, pois sua gênese é a proteção de direitos e liberdades individuais dos titulares dos dados pessoais; mas também propiciar a livre e segura circulação dos dados, em prol do desenvolvimento econômico e da inovação, garantindo maior segurança jurídica nas relações e aos negócios, que passam a contar a partir de então com um regulamento geral de proteção de dados pessoais, e insere o país no rol dos países que possuem um nível adequado de proteção de dados pessoais.
Uma lei com característica simbiótica, pois dela se extrai requisitos técnicos (segurança da informação) e requisitos técnicos-jurídicos. A novíssima lei traz em seu bojo, diretrizes de segurança da informação – ativo estratégico para a proteção da informação, e faz referência a necessidade de adoção por parte das organizações de medidas técnicas e administrativas[5] – medidas de prevenção, detecção e correção – com o objetivo de garantir a proteção dos dados pessoais e a privacidade dos titulares, em seus sistemas, processos, serviços e produtos, por padrão e em todo ciclo de vida da informação.
As medidas técnicas são controles tecnológicos estratégicos, que tem como objetivo a proteção da informação, com a salvaguarda de seus atributos: confidencialidade, disponibilidade e integridade, em sua camada lógica, bem como os sistemas informáticos corporativos. São exemplos de controles técnicos: firewall, endpoint protection, antivírus (proteção contra softwares maliciosos), criptografia, VPN (Rede Privada Virtual), backups (cópias de segurança), DLP (prevenção contra vazamento).
Na prestigiada obra Segurança e Auditoria da Tecnologia da Informação (DIAS: 2000, p. 41), traz um conceito de segurança da informação bastante amplo, que abarca pessoas, processos, equipamentos e patrimônio. Para a autora, a segurança do ambiente computacional é a proteção do patrimônio da organização e aos investimentos feitos em equipamentos, software e pessoal, considerado que os recursos computacionais e as informações sobre a organização, por terem alto valor de mercado, podem ser atrativos para ladrões ou espiões.[6]
As medidas organizacionais são medidas administrativas que suportam e complementam as medias técnicas, tais como os regulamentos empresariais: políticas (segurança da informação, privacidade), normas e regulamentos internos (Artigo 444 da CLT)[7], treinamentos e programas de conscientização dos colaboradores tocante a temática.
As mencionadas medidas técnicas e administrativas ou organizacionais, estão referenciadas na norma ABNT NBR ISO/IEC 27002, e sua implementação por intermédio de um Sistema de Gestão de Segurança da Informação contribui: (i) melhora da segurança geral de processos e sistemas corporativos, (ii) otimização e redução com custos de armazenamento e processamento (iii) mitigação de custos na resolução de incidentes de segurança da informação e privacidade; (iv) redução da probabilidade de não cumprimento de obrigações legais.
Sob outro prisma, em razão da complexidade, interdisciplinaridade, e ainda, toda sistematização que envolve o processo de adequação, notadamente em razão de envolver todas as áreas da organização, com consequentes reflexos em todo o ecossistema organizacional, faz-se necessário que as organizações oriente-se por frameworks, que devem ser ajustados as particularidades e peculiaridades de cada organização, levando-se em consideração: o volume das atividades de tratamento, categorias de dados pessoais, assim como à criticidade dos dados.
1.2 Privacy By Design e Privacy By Default
Dialogando com os requisitos de segurança da informação retro mencionados, aqui com enfoque na privacidade e na proteção de dados pessoais, a lei visa a salvaguarda da privacidade e da proteção dos dados pessoais, em todo o seu ciclo de vida (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração) , por padrão e desde a concepção, o que significa dizer que as organizações devem considerar tais princípios ao engendrar seus projetos, produtos, serviços e práticas comerciais, frise-se, e em todo o seu ciclo de vida. “Segurança e prevenção são duas premissas relevantíssimas na lógica da proteção de dados” (MALDINADO, Viviane Nóbrega, 2019, pag. 21).
O privacy by design e privacy by default está embarcado na LGPD no artigo 46 e encontra referência no artigo 25 (1), (2) do GDPR[8], e tem como pedra de toque a privacidade do titular de dados, o conceito é fruto dos estudos e pesquisas da Dra. Ann Cavoukian, Comissária de Informação e Privacidade de Ontário (Canadá) que desde a década de 90 preocupava-se com o exponencial avanço tecnológico e com o crescente volume de dados pessoais que trafegavam nos aparatos tecnológicos e na internet, e que poderiam, invariavelmente, colocar em riscos a privacidade dos cidadãos.
Vejamos o que dispões o artigo 46 da LGPD:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
São corolário do referido conceito os seguintes princípios ou premissas: 1) ser proativo e não reativo, o dever do responsável pelo tratamento, antecipar-se, de modo a evitar a ocorrência de incidentes de privacidade ; 2) privacidade por padrão, na modelagem, pensada na concepção; 3) privacidade incorporada ao projeto, embarcada ao projeto, não de forma acessória; 4) funcionalidade total – soma-positiva ao invés de soma-zero, não admite-se a dicotomia e troca, privacidade versus segurança ; 5) segurança de ponta a ponta, proteção durante todo o ciclo de vida dos dados; 6) visibilidade e transparência, dever de transparência tocante ao tratamento dos dados, respeitados os segredos comerciais e industriais; 7) respeito pela privacidade do usuário, com enfoque na salvaguarda dos direitos e garantias dos titulares dos dados, a privacidade e a proteção de dados do titular deve ser prioritária, sobrepondo-se a quaisquer interesses do controlador, responsável pelo tratamento.
O Prof. Bruno Bioni em entrevista para o The Shift, ao discorrer sobre privacy by design e privacy by default, e ao abordar os benefícios que as organizações podem obter em conceber e modelar seus produtos e serviços de acordo com os princípios da lei, em termos de vantagem competitiva, traz a tona a lógica econômica subjacente[9]. Vejamos:
“Mesmo em um cenário como o de hoje, no qual ainda se discute e não se tem claro quando a LGPD vai entrar em vigor, as organizações já deveriam estar concebendo e modelando seus produtos e serviços de acordo com os princípios da lei. Por quê? Porque é mais barato. É mais caro ter que modificar o produto ou serviço quando o regulador bater na porta e pedir correções, ou um eventual parceiro exigir que você ser torne aderente às normas. Tem uma lógica econômica aí muito importante.”
Em síntese, objetiva-se, chamar a atenção para o fato de que as organização ao adotarem ou otimizarem, mecanismos de controles de segurança da informação (controles técnicos e organizacionais), e ao adotarem metodologias e frameworks nesse processo; terão reais benefícios em termos de eficiência operacional, produtividade, diferencial competitivo, e consequentemente mitigação de riscos e impactos: financeiros, operacionais, legais e reputacionais.
Sob o aspecto jurídico, a novel legislação traz em seu Art. 7º um “cardápio” legal capaz de legitimar hipóteses probas e lícitas de tratamento de dados, observados os princípios e as hipóteses legais autorizadoras para o tratamento de dados pessoais[10]. Diz o referido artigo:
“ O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – consentimento do titular; II – cumprimento de obrigação legal ou regulatória; III – execução de políticas públicas; IV – realização e estudos por órgão de pesquisa; V – execução de contrato ou procedimentos preliminares; VI – exercício regular de direito em processo judicial; VII – proteção da vida; VIII – tutela da saúde; IX – interesses legítimos do controlador; X – proteção do crédito (…)”.
O âmago da lei é a transparência, a lealdade, a licitude e a eticidade no tratamento dos dados, como vetores fundantes do regulamento geral de proteção de dados pessoais. A lei coloca sob perspectiva, de um lado o empoderamento dos titulares dos dados, que passam a ter direito ao controle sob os seus dados (Artigo 2 º, inciso II)[11]: a forma de tratamento e para quais finalidades; sob outro prisma, exsurge o dever de transparência dos agentes de tratamento de dados pessoais, tocante as atividades de tratamento de dados, assim como o dever de responsabilização e prestação de contas, pois não basta dizer que fez, precisa fazer efetivamente, demonstrar que fez, e ainda, provar que o que fez foi de fato efetivo.
Em remate, um projeto de adequação que contemple os requisitos da lei, inevitavelmente conduz as organizações a revisitarem seus processos de negócios, com o propósito de diagnosticar as fontes de coleta e tratamento de dados, entre eles os pessoais – objeto da lei – com o propósito de identificar e registrar as atividades de tratamento de dados pessoais nos termos do Art. 37 da lei[12], para posterior análise e adequação aos princípios[13] e requisitos legais.
Trata-se de uma excelente oportunidade para que gestores analisem criticamente seus workflows, processos de negócios e o uso sustentável das informações e dados pessoais tratados pela organização. Neste ponto vale considerar a máxima: “quanto maior o volume de dados coletados, maiores serão os encargos”, ou seja, deve-se coletar o mínimo de dados possíveis, em consonância com o princípio da necessidade esculpido no Art. 6 º, inciso III da LGPD, que limita o tratamento de dados ao mínimo necessário e para realização das finalidades legítimas do controlador, sendo expressamente vedado o tratamento desproporcional e excessivo.
De toda sorte, este processo permitirá que gestores façam os devidos ajustes e adequações em suas operações, orientando suas ações com foco na automatização e otimização destes processos, levando-se em consideração ferramentas e tecnologias disponíveis no mercado, tais como: automação, inteligência artificial e business intelligence etc. Trata-se de uma oportunidade para identificação e ajustes de eventuais gaps; quiçá surjam, neste roadmap de conformidade, insights para criação de novos produtos e serviços, tendo sempre como escopo os objetivos de negócios persequidos pela organização.
1.3 Sistema de Gerenciamento de Proteção de Dados (SGPD)
A metodologia SGPD (Sistema de Gestão e Proteção de Dados) proposta pelo autor John Kyriazoglou[14] é um dos métodos, dentro outros, utilizados para gerenciamento de processo, implementação e governança de privacidade e proteção de dados, que tem como objetivo propiciar o melhor controle e gestão dos dados pessoais nas organizações, de forma que seja possível mapear as operações de tratamento de dados pessoais e identificar gaps – anglicismo comumente utilizado no ambiente corporativo para designar: brechas, lacunas, divergência – sob uma perspectiva de segurança da informação, proteção de dados e privacidade, bem como identificar a não conformidades das atividades de tratamento de dados pessoais, com leis, regulamentos e normas de proteção de dados e privacidade.
O propósito e resultados esperados de um SGPD é a mitigação dos riscos de privacidade no tratamento dos dados pessoais em todo seu ciclo de vida, com a implementação de controles técnicos e organizacionais, conjuntamente com a internalização de uma cultura de segurança, proteção de dados e privacidade, cujo o resultado e produto final é o estabelecimento de um sistema coerente de governança de privacidade e proteção de dados.
O SGPD é composto por 5 fases: (1) Preparação; (2) Organização; (3) Desenvolvimento e Implementação; (4) Governança; (5) Avaliação e Melhorias, que em última análise tem como lógica subjacente e dialoga com a metodologia PDCA (Plan, Do, Check e Act), utilizada para gestão e melhoria contínua de processos e produtos, e como tal deve ser alicerçada e sustentada por um projeto, de sorte a evitar dissabores na jornada de adequação. Habilidades como gestão de projetos devem ser consideradas pelos gestores, e em se tratando de um projeto, com todas as suas peculiaridades, novamente entra em cena frameworks como PMBOK (compilado de melhores práticas em gestão de projetos) e ITIL (conjunto de práticas detalhadas para o gerenciamento de serviços de TI), que são ferramentas que certamente contribuíram para assertividade do projeto de adequação.
Ressalte-se, que a complexidade deste processo de governança de dados pessoais é diretamente proporcional ao tamanho da organização; não apenas em termos estruturais, porém, fundamentalmente em volume e criticidade das atividades de tratamento de dados pessoais. De sorte, que deve ser considerada a realidade e a cultura de cada organização, harmonizando os requisitos legais aos processos de negócios, de maneira a mitigar impactos nas operações; e independentemente da metodologia adotada, certamente este processo trará além da almejada mitigação de riscos legais e operacionais, a otimização de processos de negócios, de sorte a beneficiar diretamente a organização.
2 – Muito além das sanções, o estabelecimento de uma nova ordem social
A gestão da informação e do conhecimento são fatores essenciais para o desenvolvimento das atividades empresariais e continuidade dos negócios, seja para criação de novos produtos, serviços e modelos de negócios, ou ainda, como insumo do processo decisório; gerir assertivamente um grande volume de dados e obter benefícios em prol dos negócios não é uma tarefa elementar.
A obra de Stucke e Grunes[15], tem-se que o big data se caracteriza a partir da teoria do Quatros Vs: volume, velocidade, variedade e valor dos dados coletados, de forma que a gestão do volume, velocidade e variedade, tem como produto o valor, aqui compreendido como o resultado útil da gestão sustentável das informações para fins específicos, diminuindo a assimetria de informações, de modo a aclarar ao gestor as possibilidades e soluções antes imaginadas BRANCHER; BEPPU (2019, p. 126), e ainda possibilitar maior assertividade nas tomadas de decisões.
Dado é o novo petróleo “data is the new oil” é expressão alcunhada por Clive Humby, matemático londrino especializado em ciência de dados, que traz à tona uma nova adjetivação aos dados, destacando o seu valor agregado, em uma economia predominantemente movida a dados. Neste racional, as empresas que melhor administrarem esse insumo, tendo como premissa a proteção da privacidade e os dados pessoais dos titulares, certamente serão mais competitivas.
Segundo Domeghetti e Meir, citado por Edson Fontes: “podemos classificar os ativos nas organizações como bens tangíveis e bens intangíveis. Os bens tangíveis são os bens físicos ou bens financeiros; no que refere aos bens intangíveis, podem ser subdivididos: (i) os que geram valor (Marcas, Inovação e Capital Intelectual); (ii) e os que protegem valor (segurança da informação, gestão de risco e governança corporativa)” Fontes (2012, p.5, Apud Domeghetti e Meir, 2009).
Do magistério acima, podemos extrair a importância da segurança da informação para proteção dos bens intangíveis nas organizações; sem perder de vista, que a informação, embora não mencionada de forma explicita pelos autores como sendo um bem intangível que gera valor, deflui de uma consequência lógica, uma vez que a informação é a matéria prima e substrato para o conhecimento, da Inovação e do Capital Intelectual. Segundo (SÊMOLA, 2001, p. 36) “o sangue da empresa é a informação distribuída por todos os processos de negócio, alimentando-os e circulando por diversos ativos”[16]
Em realidade, a informação, a segurança da informação ou informática e a proteção de dados pessoais, são novos valores sociais dignos de proteção estatal; e no que refere-se a este último, com aptidão para figurar na lista dos direitos e garantias fundamentais, a ser esculpido no rol do Artigo 5°[17], neste esteira é a PEC 17/2019 que propõe a inclusão da proteção de dados pessoais entre os direitos e garantias fundamentais do cidadão em seu inciso XII-A do referido artigo[18], tamanha a relevância e imprescindibilidade de proteção deste novel valor social na modernidade.
Neste sentido, independentemente da efetiva entrada em vigor da LGPD, a nova legislação já produz seus efeitos reflexos (efeito LGPD). Autoridades administrativas (Procon, Senacon, Anatel e Ministério Público), diligentemente e proativamente, vem desempenhando importantíssimo papel dentro das suas competências, na vigilância das organizações que inadvertidamente não estão honrando com seus compromissos legais e éticos de proteção de dados pessoais dos cidadãos. Diversamente do que possa sugerir, essas autoridades encontram fundamentos legais para tais iniciativas em leis setoriais – microssistemas de proteção de dados, que dispõe sobre a matéria: tais como o MCI (Marco Civil da Internet), o CDC (Código de Defesa do Consumidor),LCP (Lei do Cadastro Positivo), LAI (Lei de Acesso à Informação, Regulações Setoriais: Bacen, CVM, Anvisa, Decretos Federais e próprio GDPR.
Dentre outras, apenas para citar umas das iniciativas, recentemente o instituto Sigilo ajuizou ação civil pública contra o Nubank[19], com fundamento no MCI, o CDC e a LCP, para que a instituição se abstenha de coletar informações e dados pessoais dos titulares de dados e consumidores não clientes, obtidos ilegalmente através de entidades financeiras ou comerciais, que não tenham o expresso consentimento, sob pena de multa diária de R$ 10.000,00.
No mesmo sentido, organizações que figuram na condição de tomadoras de serviços, estão vigilantes e atentas na seleção e manutenção de seus fornecedores e parceiros; e em alguns casos estão sendo realizadas avaliações inicias de conformidade “assessment” por parte destas organizações, tendo como métricas: leis, normas e regulamentos sobre privacidade, proteção de dados e segurança da informação, com o objetivo de auferir o nível de maturidade e adequação dessas organizações nas temáticas. O fenômeno da “autorregulação ou corregulação”, por parte destes agentes (operadores e controladores de dados pessoais), justifica-se em razão da cadeia e liame de responsabilidade existentes entre os atores, considerada a troca de dados pessoais e a corresponsabilidade nos casos de incidentes.
Conclusão
Admirável mundo novo! Uma nova ordem social se faz presente e a proteção da informação e dos dados pessoais são elementos importantes para proteção de direitos e liberdades individuais (privacidade, intimidade, liberdade de expressão, dignidade da pessoa, livre desenvolvimento da personalidade, liberdade religiosa, etc.), bem como para o fomento sustentável da tecnologia e da inovação, de sorte que torna-se mandatório harmonizar a preservação da privacidade dos cidadãos aos anseios econômicos e tecnológicos. Contrapondo e complementando a ideia de que os “dados são o novo petróleo”, deve-se ter em mente que os dados constituem em uma parcela da personalidade da pessoa e merecem proteção jurídica (MENDES, Laura Schertel, 2014, pag. 33). Dados são pessoas![20]
Ser reacionário a esta novel realidade poderá trazer consequências nefastas à sociedade e as organizações (impactos financeiros, legais, crise reputacional, perda de competitividade, etc.), além da perda de chance de melhoria de processos e procedimentos corporativos, e melhor aproveitamento das novas tecnologias em prol do negócio. Esse processo de adequação deve ser conduzido de forma sustentável e ser encarado como investimento e não despesa!
Referência
ABNT NBR ISO/IEC 27002:2013: Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação. Rio de Janeiro, 2013.
ALVES, Davis. PMBOK & ITIL vs SGPD (LGPD). Junho. 2020. Disponível em: https://www.linkedin.com/pulse/pmbok-itil-vs-sgpd-lgpd-davis-alves-ph-d/. Acesso em: 09.Jun.2020.
BIONI, Bruno. Proteção de Dados Pessoais: a função e os limites do consentimento – Rio de Janeiro: Editora Forense, 2019, p. 135/136.
BIONI, Bruno. Regulação de dados é uma janela de oportunidades. Mar. 2019. Disponível em: https://valor.globo.com/opiniao/coluna/regulacao-de-dados-e-uma-janela-de-oportunidade.ghtml. Acesso em: 28 fev. 2020.
BIONI, Bruno. Insights: Bruno Bioni – Adoção do Privacy by Design gera vantagem competitiva. Jun. 2020. Disponível em: https://mailchi.mp/theshift/as-pistas-da-google-para-novos-negcios?e=29901f4598. Acesso em: 10 jun. 2020.
BRANCHER, Paulo Marcos Rodrigues; BEPPU, Ana Claudia (Coord.). Proteção de dados pessoais no Brasil: uma visão a partir da Lei n. 13.709/2018. Belo Horizonte: Fórum, 2019. ISBN 978-85-450-0647-3.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Axcel Books: Rio de Janeiro, 2000.
FONTES, Edison. Políticas e Normas para Segurança da Informação: Como desenvolver, implementar e manter regulamentos para a proteção da informação nas organizações. Rio de Janeiro: Brasport, 2012.
MALDONADO, Viviane Nóbrega. LGPD: Lei Geral de Proteção de Dados: manual de implementação. São Paulo: Thomson Reuters Brasil, 2019.
MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Elsevier. 2001.
Portal do Planalto: Lei 13.709/2018 (Lei Geral de Proteção de Dados). Fonte: acesso a internet em 13/05/2012, às 13:21 <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>
Portal do Planalto: Constituição da República Federativa do Brasil de 1988 – Fonte: Fonte: acesso a internet em 13/05/2012, às 13:21 <http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>
KYRIAZOGLOU, John. Data Protection and Privacy Management System. Data Protection and Privacy Guide – Vol. 1, Bookboon, 2016.
[1] Portal do Planalto: Lei 13.709/2018. Fonte: acesso a internet em 13/05/2012, às 13:21 <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>
[2] Lei 13.709/2018, artigo 1º.
Lei Geral de Proteção de Dados: “Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
[3] Portal do Ministério da Saúde: Fonte: acesso a internet em 13/07/2020, às 22:04 < https://coronavirus.saude.gov.br/sobre-a-doenca>: “A COVID-19 é uma doença causada pelo coronavírus SARS-CoV-2, que apresenta um quadro clínico que varia de infecções assintomáticas a quadros respiratórios graves. De acordo com a Organização Mundial de Saúde (OMS), a maioria dos pacientes com COVID-19 (cerca de 80%) podem ser assintomáticos e cerca de 20% dos casos podem requerer atendimento hospitalar por apresentarem dificuldade respiratória e desses casos aproximadamente 5% podem necessitar de suporte para o tratamento de insuficiência respiratória (suporte ventilatório).
[4] Portal do Planalto: Medida Provisória N. 959, de 29 de abril de 2020. Fonte: acesso a internet em 13/05/2020, às 16:21 <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv959.htm>
[5] Lei 13.709/2018, artigo 46.
Lei Geral de Proteção de Dados: “Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados (…).
Art. 50, Lei 13.709/2018 (LGPD).
Lei Geral de Proteção de Dados: “Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
[6] DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. p. 41.
[7] Consolidação das Leis Trabalhistas: “Art. 444 – As relações contratuais de trabalho podem ser objeto de livre estipulação das partes interessadas em tudo quanto não contravenha às disposições de proteção ao trabalho, aos contratos coletivos que lhes sejam aplicáveis e às decisões das autoridades competentes.”
[8] Regulamento (EU) 2016/670 do Parlamento Europeu e do Conselho: Artigo 25 (1) […] o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.
(2) O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade.
[9] BIONI, Bruno. Insights: Bruno Bioni – Adoção do Privacy by Design gera vantagem competitiva. Jun. 2020. Disponível em: https://mailchi.mp/theshift/as-pistas-da-google-para-novos-negcios?e=29901f4598. Acesso em: 10 jun. 2020.
[10] Art. 7º e 11, Lei 13.709/2018 (LGPD)
Lei Geral de Proteção de Dados: Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – consentimento do titular; II – cumprimento de obrigação legal ou regulatória; III – execução de políticas públicas; IV – realização e estudos por órgão de pesquisa; V – execução de contrato ou procedimentos preliminares; VI – exercício regular de direito em processo judicial; VII – proteção da vida; VIII – tutela da saúde; IX – interesses legítimos do controlador; X – proteção do crédito (…).
[11] Art. 2º, II, Lei 13.709/2018 (LGPD)
Lei Geral de Proteção de Dados: Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: (…)
II – a autodeterminação informativa;
[12] Art. 37, Lei 13.709/2018 (LGPD)
Lei Geral de Proteção de Dados: Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legitimo interesse.
[13] Lei 13.709/2018, artigo 6º.
Lei Geral de Proteção de Dados: “Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade de dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas”.
[14] KYRIAZOGLOU, John. Data Protection and Privacy Management System. Data Protection and Privacy Guide – Vol. 1, Bookboon, 2016.
[15] STUCKE, Maurice E.; GRUNES, Allen P. Big Data and Competition Policy, p. 16
[16] SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Elsevier. 2001. P. 36.
[17] Artigo 5 º da Constituição Federal
[18] Portal do Senado Federal: Proposta de Emenda à Constituição n° 17, de 2019. Fonte: acesso a internet em 12/05/2012, às 13:21 <https://www25.senado.leg.br/web/atividade/materias/-/materia/135594>
[19] Matéria portal Instituto de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação Sigilo: Tutela Antecipada contra o Nubank. Fonte: acesso a internet em 13/05/2010, às 15h:00 <https://https://sigilo.org.br/tutela-antecipada-nubank-sigilo/>.
[20] Conecte-se – II Seminário de Inovação e Tecnologia no Direito da OAB SP, 11 de março de 2020.
