[:pb]Abordaremos neste artigo as sanções que poderão ser impostas pelos três principais regulamentos que impactam a coleta, tratamento e uso de dados pessoais pelas empresas que atuam no Brasil: a LGPD, a Resolução Bacen 4.658 e a europeia GDPR.
LEI GERAL DE PROTEÇÃO DE DADOS (Lei 13.709/18)
A LGPD foi sancionada em 14 de agosto de 2018 e entrará em vigor a partir de agosto de 2020, para unificar diferentes regulamentações brasileiras sobre o uso e a troca de informações em ambientes digitais.
O principal objetivo é garantir que os cidadãos tenham maior controle quanto ao uso de dados compartilhados em diversos sites e serviços. A partir de 2020, as empresas deverão prestar contas sobre o que fazem com os dados coletados, informando de maneira clara aos usuários, caso existam alterações nesse sentido.
As empresas deverão garantir a segurança dos dados pessoais coletados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra novidade significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes, que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.
A Lei também será aplicada às organizações com sedes estrangeiras, desde que, os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.
A Medida Provisória nº 869 de 27 de dezembro de 2018, entre outras alterações à LGPD, criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador do tema no Brasil e responsável por impor as sanções administrativas previstas na LGPD.
Penalidades
As possíveis penalidades a serem impostas pela ANPD não substituem a aplicação de sanções administrativas, civis ou penais definidas em legislação específica e podem ir desde a advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração; multa diária, observado o limite total; divulgação da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização e eliminação dos dados pessoais a que se refere a infração.
RESOLUÇÃO BACEN nº 4.658
Está em vigor desde 26 de abril de 2018 e dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
O objetivo final é assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pelas instituições.
O artigo 23 da Resolução determina que deve ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:
- o documento relativo à política de segurança cibernética;
- a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, aprovando a política de segurança cibernética;
- o documento relativo ao plano de ação e de resposta a incidentes;
- o relatório anual sobre a implementação do plano de ação e de resposta a incidentes;
- a documentação sobre os procedimentos de comprovação da capacidade dos prestadores de serviço;
- a documentação sobre a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior.
- os contratos de prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem; e
- os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Penalidades
O Banco Central do Brasil tem competência fiscalizadora sobre as instituições financeiras e demais instituições por ele autorizadas a funcionar e dispõe de poder legal para instaurar processo administrativo sancionador, quando verificada infração a norma legal ou regulamentar relativa às atividades supervisionadas.
De forma geral, o Banco Central do Brasil poderá adotar as medidas necessárias para cumprimento do disposto na Resolução e vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto na Resolução, bem como a limitação à atuação de fiscalização do BC, estabelecendo prazo para a adequação dos referidos serviços.
REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (GDPR)
Em vigor desde 25 de maio de 2018, o objetivo da GDPR é proteger todos os cidadãos da União Europeia contra violações de privacidade e dados.
Qualquer empresa está sujeita às penalidades da GDPR?
Um dos pontos que causam confusão sobre a GDPR é a prevalência na União Europeia. O regulamento é válido para praticamente todo tipo de serviço que chega a um cidadão de um dos países do bloco. Isso significa, por exemplo, que uma loja online no Brasil ou em qualquer outro país terá que se adaptar à GDPR, se quiser enviar produtos para clientes na União Europeia sem desrespeitar a lei.
Várias empresas de países fora da Europa já atualizaram seus termos e adaptaram seus sistemas. Como muitos dos serviços estão disponíveis globalmente, é mais viável ajustar toda a plataforma, ou a parte relevante dela, do que fazer mudanças localizadas e correr o risco de infringir alguma regra.
Como consequência, redes sociais, lojas online, plataformas de streaming e tantos outros serviços modificaram ou acrescentaram recursos para todas as contas, independente do país de suas sedes.
Penalidades
Organizações que violem a GDPR podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves, como por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar os conceitos básicos de Privacidade por Design. Existe uma abordagem escalonada para as multas, exemplo: uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), sem notificar a autoridade supervisora e o titular dos dados sobre uma violação ou não realizar uma avaliação de impacto.
É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores, o que significa que as “nuvens” não estão isentas da fiscalização da GDPR.
O Google foi a primeira grande “vítima” da GDPR: a companhia foi multada em 50 milhões de euros por reguladores franceses, sob a acusação de não explicar de forma clara como informações de usuários são usadas e não exigir consentimento explícito para acesso a esses dados.
Esta não é a primeira multa emitida em função da GDPR, mas é de longe a maior. Em dezembro de 2018, um hospital em Portugal foi multado em 400.000 euros depois que sua equipe usou contas falsas para acessar registros de pacientes, enquanto um serviço de mídia social e bate-papo alemão foi multado em 20.000 euros em novembro do mesmo ano, por armazenar senhas de mídias sociais em texto simples. Um negócio local na Áustria também foi multado em 4.800 euros em outubro, por ter uma câmera de segurança que estava filmando um espaço público.
E os Estados Unidos?
Não existe uma lei federal única sobre proteção de dados nos Estados Unidos. Os regulamentos federais são dirigidos principalmente a setores da economia, enquanto a legislação estadual está mais focada em proteger os direitos sobre a privacidade de consumidores individuais. A aprovação da Lei de Privacidade do Consumidor da Califórnia (CCPA), que entrará em vigor em 1º de janeiro de 2020, é a primeira do que provavelmente será uma série de regras novas e mais rigorosas sobre a privacidade de dados em nível estadual nos Estados Unidos.
Essa lei de privacidade contém uma definição ampla de dados pessoais, estabelece amplos direitos para os residentes da Califórnia para determinar a exclusão de dados, estabelece amplos direitos para acessar dados pessoais, com certas exceções, e exige que as organizações possibilitem aos consumidores o direito de saber como seus dados são usados e porque estão sendo coletados.
Sua empresa certamente possui dados sensíveis e confidenciais armazenados em bancos de dados. Esses dados alimentam as aplicações usadas no seu negócio e estas são gerenciadas por pessoas. Para proteger os dados, é preciso ter uma solução completa e gerenciada, que inclui suporte de equipe especializada com domínio dos processos e tecnologia de classe mundial.[:en]Abordaremos neste artigo as sanções que poderão ser impostas pelos três principais regulamentos que impactam a coleta, tratamento e uso de dados pessoais pelas empresas que atuam no Brasil: a LGPD, a Resolução Bacen 4.658 e a europeia GDPR.
LEI GERAL DE PROTEÇÃO DE DADOS (Lei 13.709/18)
A LGPD foi sancionada em 14 de agosto de 2018 e entrará em vigor a partir de agosto de 2020, para unificar diferentes regulamentações brasileiras sobre o uso e a troca de informações em ambientes digitais.
O principal objetivo é garantir que os cidadãos tenham maior controle quanto ao uso de dados compartilhados em diversos sites e serviços. A partir de 2020, as empresas deverão prestar contas sobre o que fazem com os dados coletados, informando de maneira clara aos usuários, caso existam alterações nesse sentido.
As empresas deverão garantir a segurança dos dados pessoais coletados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra novidade significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes, que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.
A Lei também será aplicada às organizações com sedes estrangeiras, desde que, os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.
A Medida Provisória nº 869 de 27 de dezembro de 2018, entre outras alterações à LGPD, criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador do tema no Brasil e responsável por impor as sanções administrativas previstas na LGPD.
Penalidades
As possíveis penalidades a serem impostas pela ANPD não substituem a aplicação de sanções administrativas, civis ou penais definidas em legislação específica e podem ir desde a advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração; multa diária, observado o limite total; divulgação da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização e eliminação dos dados pessoais a que se refere a infração.
Está em vigor desde 26 de abril de 2018 e dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
O objetivo final é assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pelas instituições.
O artigo 23 da Resolução determina que deve ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:
- o documento relativo à política de segurança cibernética;
- a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, aprovando a política de segurança cibernética;
- o documento relativo ao plano de ação e de resposta a incidentes;
- o relatório anual sobre a implementação do plano de ação e de resposta a incidentes;
- a documentação sobre os procedimentos de comprovação da capacidade dos prestadores de serviço;
- a documentação sobre a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior.
- os contratos de prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem; e
- os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Penalidades
O Banco Central do Brasil tem competência fiscalizadora sobre as instituições financeiras e demais instituições por ele autorizadas a funcionar e dispõe de poder legal para instaurar processo administrativo sancionador, quando verificada infração a norma legal ou regulamentar relativa às atividades supervisionadas.
De forma geral, o Banco Central do Brasil poderá adotar as medidas necessárias para cumprimento do disposto na Resolução e vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto na Resolução, bem como a limitação à atuação de fiscalização do BC, estabelecendo prazo para a adequação dos referidos serviços.
REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (GDPR)
Em vigor desde 25 de maio de 2018, o objetivo da GDPR é proteger todos os cidadãos da União Europeia contra violações de privacidade e dados.
Qualquer empresa está sujeita às penalidades da GDPR?
Um dos pontos que causam confusão sobre a GDPR é a prevalência na União Europeia. O regulamento é válido para praticamente todo tipo de serviço que chega a um cidadão de um dos países do bloco. Isso significa, por exemplo, que uma loja online no Brasil ou em qualquer outro país terá que se adaptar à GDPR, se quiser enviar produtos para clientes na União Europeia sem desrespeitar a lei.
Várias empresas de países fora da Europa já atualizaram seus termos e adaptaram seus sistemas. Como muitos dos serviços estão disponíveis globalmente, é mais viável ajustar toda a plataforma, ou a parte relevante dela, do que fazer mudanças localizadas e correr o risco de infringir alguma regra.
Como consequência, redes sociais, lojas online, plataformas de streaming e tantos outros serviços modificaram ou acrescentaram recursos para todas as contas, independente do país de suas sedes.
Penalidades
Organizações que violem a GDPR podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves, como por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar os conceitos básicos de Privacidade por Design. Existe uma abordagem escalonada para as multas, exemplo: uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), sem notificar a autoridade supervisora e o titular dos dados sobre uma violação ou não realizar uma avaliação de impacto.
É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores, o que significa que as “nuvens” não estão isentas da fiscalização da GDPR.
O Google foi a primeira grande “vítima” da GDPR: a companhia foi multada em 50 milhões de euros por reguladores franceses, sob a acusação de não explicar de forma clara como informações de usuários são usadas e não exigir consentimento explícito para acesso a esses dados.
Esta não é a primeira multa emitida em função da GDPR, mas é de longe a maior. Em dezembro de 2018, um hospital em Portugal foi multado em 400.000 euros depois que sua equipe usou contas falsas para acessar registros de pacientes, enquanto um serviço de mídia social e bate-papo alemão foi multado em 20.000 euros em novembro do mesmo ano, por armazenar senhas de mídias sociais em texto simples. Um negócio local na Áustria também foi multado em 4.800 euros em outubro, por ter uma câmera de segurança que estava filmando um espaço público.
E os Estados Unidos?
Não existe uma lei federal única sobre proteção de dados nos Estados Unidos. Os regulamentos federais são dirigidos principalmente a setores da economia, enquanto a legislação estadual está mais focada em proteger os direitos sobre a privacidade de consumidores individuais. A aprovação da Lei de Privacidade do Consumidor da Califórnia (CCPA), que entrará em vigor em 1º de janeiro de 2020, é a primeira do que provavelmente será uma série de regras novas e mais rigorosas sobre a privacidade de dados em nível estadual nos Estados Unidos.
Essa lei de privacidade contém uma definição ampla de dados pessoais, estabelece amplos direitos para os residentes da Califórnia para determinar a exclusão de dados, estabelece amplos direitos para acessar dados pessoais, com certas exceções, e exige que as organizações possibilitem aos consumidores o direito de saber como seus dados são usados e porque estão sendo coletados.
Sua empresa certamente possui dados sensíveis e confidenciais armazenados em bancos de dados. Esses dados alimentam as aplicações usadas no seu negócio e estas são gerenciadas por pessoas. Para proteger os dados, é preciso ter uma solução completa e gerenciada, que inclui suporte de equipe especializada com domínio dos processos e tecnologia de classe mundial.[:]