GOVERNANÇA EMPRESARIAL: PONTOS DE CONVERGÊNCIA ENTRE O ESG E A LGPD NAS ORGANIZAÇÕES

Por Dr. Bruno Ambrozi e Dra. Márcia Ferreira

Inicialmente, cabe fazer uma pergunta: você sabe o que significa ESG? ESG foi criado com a intenção de mensurar a consciência das empresas sobre sua forma de lidar em face a aspectos sociais, ambientais e de governança. Com isso, são utilizados indicadores de resultados para medir o valor da empresa e o impacto das suas ações. 

É notório que os termos ESG e LGPD estão cada vez mais nos assuntos corporativos, principalmente quando a pauta são os desafios a serem enfrentados pelas empresas que desejam estar em conformidade com as duas siglas. E o que elas teriam em comum? Elas têm muito mais em comum do que se pode imaginar.

As duas siglas indicam desafios das empresas, especialmente, em relação ao jeito ético que elas precisam seguir a partir de agora. Vale destacar que a Lei Geral de Proteção de Dados protege os titulares de dados pessoais e estabelece diretrizes para os agentes de tratamento assegurarem direitos fundamentais como a liberdade, a intimidade e a privacidade. Já a sigla em inglês ESG (Environmental, E), (Social, S) e (Governance, G), que em português pode ser traduzida para ASG (Ambiental A), (Social, S) e (Governança, G)”, revela metas de sustentabilidade empresarial.  

Contudo, apesar da ligação que há entre elas, há uma grande distinção também. É sobre a imposição no seu cumprimento: em eventual não aplicabilidade da LGPD pela empresa, esta fica passível de receber as sanções administrativas previstas em lei. Contudo, já não é o caso de ESG, uma vez que não se trata de uma norma regulatória, sendo apenas relacionada em acordos internacionais e normas nacionais que já existem, inclusive, a própria LGPD.

Mas vale frisar que apesar da ESG não prever sanções diretamente pecuniárias como dispõe a Lei Geral de Proteção de Dados, o impacto de não estar em conformidade com as diretrizes estabelecidas também são consideráveis.

Em busca da responsabilidade corporativa, muitas empresas já iniciaram investimentos de adequação ao ESG e à LGPD, fortalecendo ainda mais suas marcas diante do mercado e da sociedade, cada vez mais exigentes por atuações transparentes e éticas nos negócios. Dessa forma, as marcas responsáveis com essas demandas se fortalecem, fazendo das boas práticas um investimento e não meramente um custo empresarial.

Como consequência direta à reputação empresarial, companhias que não se atentarem às suas responsabilidades estão sujeitas à falta de credibilidade dos consumidores, fornecedores e investidores e estão incompatíveis com a agenda internacional, restando evidenciado que o investimento responsável é o principal aliado de bons retornos financeiros, ambientais e sociais.

Ademais, outra fábula que precisa ser desmistificada é a de que a busca por boas práticas é restrita a empresas de grande porte e multinacionais, pois, independentemente do tamanho da empresa, adequações acerca da gestão empresarial são fundamentais. Corroborando com o argumento, a Autoridade Nacional de Proteção de Dados aprovou regulamento para facilitar adaptação de pequenas empresas à LGPD, fazendo com que a proteção de dados seja preocupação de todos, independente do lucro auferido e do porte empresarial. 

Por isso, ao passo que as duas siglas ganhem atenção dos investidores, é fundamental que todas as organizações tomem medidas para cumprir a LGPD, como forma de também estarem em conformidade com o ESG. Medidas de governança práticas como o mapeamento do fluxo de dados pessoais, o olhar atento à qualidade dos dados, à realização de análise de riscos, à conscientização de todo corpo colaborativo e à implementação do projeto de adequação à LGPD e ao ESG são atividades práticas e constantes que devem ser realizadas para fomentar uma cultura empresarial em conformidade com o esperado.

No fim das contas, o ESG e a LGPD integram principalmente uma nova maneira de as empresas se mostrarem ao mercado, o que vai ser validade, em alguns anos, que um ponto de vista sustentável e coletivo de condutas corporativas pode ser ainda mais produtivo do que o clássico olhar no lucro imediato que não traz uma colaboração verdadeira e eficaz para o planeta e para a sociedade.

O processo de conformidade pode ser complexo, mas não é impossível. Utilize-se de boas ferramentas, bons profissionais e invista em estratégias adequadas para sua operação.

OS AUTORES:

Dr. Bruno Ambrozi é advogado integrante do Núcleo de Privacidade e Proteção de Dados do Nelson Wilians Advogados.

Dra. Márcia Ferreira é gerente do Núcleo de Privacidade e Proteção de Dados do Nelson Wilians Advogados.

 

LGPD – ANPD APROVA REGULAMENTO PARA FACILITAR ADAPTAÇÃO DE PEQUENAS EMPRESAS

Por Dra. Cristiane Souza e Dra. Mariana Moscoso

No último dia 28 de janeiro de 2022, foi publicada a Resolução Nº 2 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), que aprovou o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, incluindo startups.

O novo regulamento estabelece conceitos, leva em consideração o porte econômico e o risco associado às atividades desenvolvidas pelos agentes.

Além disso, o instrumento regulatório tem por objetivo trazer proteção aos direitos dos titulares sem esquecer da necessidade de crescimento econômico e expansão do ecossistema de inovação no Brasil. 

Para quais organizações o Regulamento se aplica?

O Regulamento se aplica aos seguintes agentes de tratamento de pequeno porte: 1) ao Micro Empreendedor Individual (MEI), com faturamento anual de até 81 mil; 2) à Microempresa, até 360 mil; 3) à Empresa de Pequeno Porte, até 4,8 milhões; 4) à Startup, até 16 milhões, com até dez anos de CNPJ e que utilize modelo de negócio inovador para geração de produtos/serviços; e 5) aos Locais Públicos, tais como praças, vias públicas, estações, portos (zonas acessíveis ao público).

Quem não se beneficia do Regulamento da ANPD?

Não poderão se beneficiar do tratamento diferenciado previsto no Regulamento os agentes de tratamento: 1) cuja receita bruta não permita classificá-los como microempresa, empresa de pequeno porte ou startup; 2) que pertençam a grupo econômico com receita global superior aos limites previstos na Lei complementar n° 123/2006 ou na Lei complementar n° 182/2011; e 3) que realizam tratamento de alto risco para os titulares, assim compreendidos entre aqueles que cumularem pelo menos um critério geral (art. 4°, I) e um critério específico (art. 4°, II), estabelecidos no Regulamento.

Tais critérios demandam cuidadosa análise para o devido enquadramento, visto que as classificações podem não ser tão objetivas, como, por exemplo, situações que impeçam exercício de direitos, que possam causar dano, discriminação, entre outras.

Principais pontos de flexibilização e dispensa

Dentre as medidas de flexibilização estabelecidas pelo Regulamento, destacamos a elaboração do Registro de Operações (ROPA) de forma simplificada, a partir de modelo a ser fornecido pela Autoridade Nacional; a comunicação dos incidentes de segurança de forma simplificada e com prazo em dobro, mediante regulamentação específica a ser expedida pela ANPD; uma política de segurança da informação também simplificada, como forma de boa prática; o atendimento aos direitos dos titulares com prazo em dobro e, ainda, a relativização mais aguardado pelas empresas: a nomeação do Encarregado, que deixa de ser obrigatória, configurando a nomeação, contudo, boa prática de governança.

Dispensa do Encarregado pelo Tratamento de Dados Pessoais

Os agentes de tratamento de pequeno porte não têm a obrigação de indicar o encarregado pelo tratamento de dados pessoais, também conhecido como Data Protection Officer – DPO, exigido no art. 41 da LGPD.

No entanto, devem disponibilizar um canal de comunicação para atender aos direitos dos titulares, nos termos do art. 41, § 2º, I da LGPD. Não obstante, a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança pela ANPD.

Forma de solução de conflitos

O Regulamento faculta aos agentes de tratamento de pequeno porte, incluído os que realizam tratamento de alto risco, a criação de entidades de representação da atividade empresarial para fins de resolução das reclamações apresentadas pelos titulares de dados.

A dispensa ou flexibilização não reduzem a responsabilidade de proteger e tratar o dado

Um dos pontos centrais do novo regulamento é que a dispensa ou flexibilização das obrigações dispostas não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares, conforme previsto no art. 6º do referido Regulamento.

Portanto, os agentes de tratamento de pequeno porte ainda devem adotar medidas administrativas e técnicas, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais. Ademais, também devem levar em consideração o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

SOBRE AS AUTORAS:

Dra. Cristiane Souza é Advogada de Privacidade e Proteção de Dados. Graduada em Direito pela FDSM – Faculdade de Direito do Sul de Minas e pós-graduada em Direito Público. Possui capacitação de Data Protection Officer (DPO), pela ESA/RJ.

Dra. Mariana Moscoso é Advogada de Privacidade e Proteção de Dados. É especialista em privacidade e proteção de dados. Possui Curso de Compliance em Proteção de Dados, pela Legal Ethics Compliance, e extensão em Aspectos Jurídicos da Herança Digital, pela CCE PUC/RJ. Possui formação em Publicidade e Propaganda e especialização em Gestão Empresarial e Marketing pela ESPM/RJ.

LGPD NO RH: ESTRATÉGIAS ADEQUADAS NA ROTINA DO DEPARTAMENTO

O departamento de Recursos Humanos das organizações é um dos mais afetados pela LGPD, uma vez que neste setor há um amplo tratamento de dados pessoais, como os dados bancários dos colaboradores para o pagamento das remunerações, os coletados através de currículos para preenchimentos de vagas, os fornecidos às seguradoras de saúde, aos sindicatos e à Secretaria de Trabalho, entre outros compartilhamentos rotineiros.

Dessa forma, a lei exige um olhar atento e adequado ao dia a dia de trabalho, sendo fundamental que os profissionais do setor conheçam os principais pontos da LGPD.

A tecnologia é outra aliada imprescindível para ampliar a segurança na gestão e no tratamento de dados pessoais no setor de Recursos Humanos, sendo recomendado que as empresas utilizem de controles de segurança da informação, como a criptografa, backups, VPNs e os antivírus.

Por isso, um alinhamento tecnológico conjuntamente com o TI é necessário, mas apenas isso não é suficiente. As atividades rotineiras precisam do comprometimento do jurídico; caso não tenha um departamento interno, procure uma consultoria especializada em LGPD.

Em resumo, uma atuação forense técnica possibilitará maior segurança na implementação de um programa de gestão de dados pessoais, adequação dos processos e adoção de boas práticas no âmbito dos Recursos Humanos das empresas.

O processo de conformidade com a lei pode parecer complexo, mas inicia com boas ferramentas, profissionais engajados de diferentes departamentos, com a verificação de vulnerabilidades e estratégias adequadas para contê-las e o envolvimento da alta liderança. 

Caso não tenha um departamento interno, procure uma consultoria jurídica especializada, garantindo que a empresa tenha um maior alinhamento e esteja em conformidade com a lei.

NWPodcast #60 | A Lei Geral de Proteção de Dados e a Agenda Fiscalizatória da ANPD

No 60º episódio do NWPodcast, em entrevista à Márcia Mendes, Head do nosso Núcleo de Privacidade e Proteção de Dados, o Dr. Bruno Ambrozi. especialista em LGPD, fala sobre “A Lei Geral de Proteção de Dados e a Agenda Fiscalizatória da ANPD”

Durante a entrevista, importantes pontos acerca do tema são abordados, como o que as empresas podem esperar da agenda fiscalizatória e sancionatória da ANPD deste ano, detalhes e fases do processo administrativo sancionador, entre outros.

Saiba mais, ouça o podcast na íntegra:

O CONSENTIMENTO DO EMPREGADO NAS RELAÇÕES DE TRABALHO

Por Dra. Elisandra Amaral e Dra. Márcia Guia Mendes Ferreira

Como um grande marco na legislação brasileira, em 18/9/2020, entrou em vigor a Lei Geral de Proteção de Dados (LGPD), com o objetivo de regulamentar o tratamento dos dados pessoais e destinando-se a preservar os direitos fundamentais de liberdade e de privacidade dos titulares de dados.

A nova lei também possui alterações importantes para empresas e trabalhadores, isto é, por se aplicar às operações de tratamento de dados pessoais também atinge as relações de trabalho, criando questões essenciais sobre as formas que serão adotadas pelos empregadores com o propósito de proteger os direitos de seus colaboradores.

Importante frisar, inicialmente, o conceito de tratamento, segundo a LGPD, para melhor entendimento deste artigo:

“Artigo 5º, X, da LGPD – tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Cabe destacar que nas relações de trabalho presume-se que há um grande acervo e guarda de documentos que consumam a relação entre o trabalhador e seu empregador, os quais precisam de cuidados por parte do contratante com a vigência da LGPD, bem como há um grande tratamento de dados, como por exemplo na análise de currículos, na celebração do contrato, durante o seu desenvolvimento e ao final da sua conclusão ou na dissolução.

É lícito o direito de o empregador coletar dados de seus colaboradores e candidatos ao emprego, contanto que esses dados estejam relacionados à relação de emprego, sendo ainda indispensável que seu tratamento seja realizado para as finalidades previamente informadas.

Há também outros tipos de ocasiões que podem aparecer no avanço e execução da relação de trabalho, em que podem ter dados e informações a que o empregador possui acesso e que devem ser tratadas observando a Lei.

Para justificar o tratamento dos dados pessoais, a referida legislação determinou algumas hipóteses as quais são chamadas de Bases legais.

E tendo em vista que em uma relação de trabalho vários dados de trabalhadores são coletados, armazenados e transferidos a terceiros, tornou-se imprescindível adequar tais tratamentos a uma das bases legais, com o objetivo de cumprir a legislação e a harmonização de procedimentos.

O consentimento é uma das bases legais previstas em lei, porém provoca incertezas no âmbito das relações de trabalho.

Vale frisar que não há uma ordenação entre as bases legais, sendo imprescindível checar qual é a mais apropriada, levando em conta a finalidade e a relação definida com o titular dos dados.

Por que utilizar o Consentimento nas relações de trabalho pode trazer algum risco ao empregador?

Isso é devido porque, conforme o artigo 5º, XII, da LGPD, o consentimento é: “a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Com base no exposto acima, um dos grandes riscos é referente ao estabelecido como  termo “livre”, ou seja, caso o empregador utilize o consentimento como base legal em sua relação com o colaborador, haverá, assim, a ausência de equilíbrio entre as partes, uma vez que no caso em tela há uma relação de subordinação.

O Considerando nº 43 do GDPR (General Data Protection Regulation) indica, de forma clara que: “a fim de assegurar que o consentimento seja dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto (imbalance of power) entre o titular dos dados e o responsável pelo seu tratamento”.

Ainda, seguindo a mesma lógica, o Working Party 29, órgão consultivo europeu independente, entende ser um enorme problema esta questão, tendo em vista que é discutível que esse consentimento seja dado espontaneamente.

No mesmo sentido, é a colocação apoiada por Lurdes Alves, professora da Universidade Autônoma de Lisboa:

“No contexto laboral, por norma, o consentimento do trabalhador não é considerado um fundamento válido para o tratamento de dados pessoais, face à finalidade em causa e considerando a posição de dependência e subordinação do trabalhador; entende-se, pois, que este poderá não estar em posição de conceder o seu consentimento nos termos exigidos pelo RGPD, onde se prevê que tal consentimento seja prestado livremente e que seja tão fácil de retirar como de conceder, sem que daí advenham quaisquer consequências para o trabalhador” [1].

Segundo a Lei Geral de Proteção de Dados, não é lícito o tratamento de dados pessoais caso ocorra vício de consentimento, fazendo assim com que a utilização desta base perca sua eficácia.

Porém, alguns casos excepcionais, é obrigatório o uso de consentimento na relação de trabalho, como por exemplo na divulgação da data de aniversário, divulgação de fotos em redes sociais e site com a finalidade do Marketing e Endomarketing, ocasião em que deverá haver a Cessão do Direito à Imagem, que em suma se trata de um consentimento.

Diante dessas circunstâncias, verificou-se que a LGPD não deve ser vista como uma Lei proibitiva, mas como uma oportunidade única de melhoria de fluxos internos.

Por fim, somente em casos específicos, uma vez cumprido o teste de proporcionalidade, deveria ser obtido o consentimento do empregado, tomando todas as cautelas devidas para que a vontade seja manifestada livremente e com a devida documentação.

Nota:

[1] ALVES, Lurdes Dias. Proteção de dados pessoais no contexto laboral: o direito à privacidade do trabalhador. Coimbra: Almedina, 2020, p. 49.

As autoras:

Elisandra Amaral – Sócia-diretora e fundadora do Núcleo de Privacidade e Proteção de Dados do NWADV

Márcia Guia Mendes Ferreira – Gerente de Privacidade e Proteção de Dados do NWADV.

Impactos da LGPD para o Agronegócio

Publicado originalmente por Folha Max

Por Elisandra Amaral e Dra. Márcia Guia

A Lei Geral de Proteção de Dados (LGPD) está em vigor desde 18 de setembro de 2020 e tem como objetivo principal proteger o titular pessoa física, trazendo maior controle na forma como seus dados pessoais são tratados e algumas adequações aos inúmeros setores de nossa economia.

A nova lei estabelece que dados pessoais são informações relacionadas à pessoa natural identificada ou identificável.

O objetivo deste artigo é analisar a LGPD voltada para o Agronegócio e para isso, inicialmente é importante fazer uma avaliação prévia quanto ao grande crescimento do agribusiness no Brasil. Um estudo dos últimos 40 anos, avaliou que a área da agricultura aumentou 33%, ao passo que a produção global ampliou em 368%.

Isto se deu devido a transformação do fomento ao crédito, através de tradings, cooperativas, cerealistas e revendas de insumos. Vale também destacar que com a chegada da Cédula de Produto Rural em 1994 e a aplicação forte em novas tecnologias, demandou também a necessidade desta transformação.

Um fato bem relevante a ser considerado no Agronegócio e que impacta em relação a Lei Geral de Proteção de Dados é que a legislação brasileira não impõe o registro na Junta Comercial daqueles que exercem atividade rural, e por essa razão parte importante dos produtores rurais no nosso país, desenvolve suas atividades como pessoa física e não jurídica.

Dessa forma, quando o assunto versa sobre dados pessoais, imprescindível analisar que, para o caso em tela, por exemplo, dados inerentes da atividade produtiva, quando relacionados, às coordenadas da propriedade rural registrada em nome da pessoa física do agricultor, são capazes de ser caracterizados como dados pessoais, tendo em vista que são relacionados à pessoa física identificável.

Certamente, a LGPD nos deu um olhar inédito para as companhias do agronegócio que atualmente têm de se atualizar o mais breve possível para colocar em prática as novas normas neste segmento.

De acordo com uma pesquisa realizada pela LGPD ABES, em parceria com a empresa Ernst Young (EY), apenas 31,13% dos negócios do segmento do agronegócio se encontram em conformidade com a LGPD.

Avaliando as áreas onde circulam dados pessoais no setor de agronegócios, é normal que ocorra o tratamento das informações de diversos players da cadeia de consumo, como exemplo, mas não se limitando a: (i) dados de produtores rurais e de seus funcionários ou colaboradores; (ii) dados de armazenamento, produção e revenda de produtos agrícolas. Enfatiza-se ainda a urgência na adequação do setor às normas da LGPD.

Atualmente, nos encontramos na era do Big Data, ou seja, a área do conhecimento que estuda como tratar, analisar e obter informações a partir de conjuntos de dados grandes demais para serem analisados por sistemas tradicionais e, permitindo ampliar a produtividade, diminuir os custos e tomar providências de negócios mais sensatos.

Mas onde o Big Data se encaixa no Agronegócio? Existe o Big Data Farm, sendo que este conceito está ligado à denominada agricultura de precisão, que está sempre mais presente no agronegócio brasileiro e é originária das novas tecnologias de maquinários, trazendo uma maior eficácia na produção do agricultor. A tecnologia tornou- se grande colaboradora do agronegócio, sendo certo que a coleta e o uso de dados são inerentes às atividades desse negócio, independentemente da forma como são feitos.

Após esta introdução, vamos avaliar o impacto da LGPD no Agronegócio, uma vez que para estar em compliance com esta lei é necessário que se adeque as diversas áreas da organização (RH, Marketing, Administrativo, TI, entre outras) com a finalidade de evitar o tratamento de dados pessoais realizado de forma errada, e, consequentemente, a ocorrência de algum incidente de segurança.

Analisando o texto acima, a LGPD é medida essencial tanto para os empresários quanto para as empresas de tecnologia à adequação, não somente em razão de sanções mencionadas na lei, como também por ser medida de proteção trazendo ao empresário, uma maior competitividade ao mercado de trabalho e evitando também, um possível litígio.

Avaliando que no Agronegócio existe um grande fluxo de informações, não se deve remover a relevância do tratamento de dados pessoais eficiente, como um mapeamento de riscos eficaz e dados, denominado como “Risk Assessment” e Mapeamento de Dados.

A avaliação de riscos e o mapeamento são pilares do programa de adequação à LGPD, tendo a finalidade de entender o Agronegócio, avaliar as vulnerabilidades e com isso conseguir reduzir ou excluir a possibilidade de impactos negativos sobre os resultados aguardados, caso algum dos riscos verificados venham a se realizar.

Em suma, os empresários do Agronegócio devem procurar o maior número de informações das empresas prestadoras de serviço, criando uma pesquisa detalhada sobre o business em referência, através da due diligence, com a finalidade de avaliar se as companhias estão em consonância com a LGPD, bem como as Políticas de Privacidade de Dados adotadas, as cláusulas contidas nos instrumentos contratuais, a confidencialidade, o método de compartilhamento e descarte, a finalidade na coleta dos dados pessoais, dentre outros.

O processo de conformidade pode ser complexo, mas não é impossível. Utilize-se de boas ferramentas, bons profissionais e invista em estratégias adequadas para sua operação.

Elisandra Amaral é sócia-diretora e fundadora do Núcleo de Privacidade e Proteção de Dados da Nelson Wilians Advogados (NWADV) e Márcia Guia Mendes Ferreira é gerente de Privacidade e Proteção de Dados.

ANPD abre consulta pública sobre adequação de Microempresas e Empresas de Pequeno Porte à LGPD

Publicado originalmente no Jornal O Estado

Por Elisandra Amaral

A Lei Geral de Proteção de Dados (LGPD), que está em vigor desde setembro/2020, tem como objetivo principal proteger e trazer maior controle na forma que os dados pessoais de pessoas físicas são tratados.

A lei também trouxe, em seu Capítulo IX a criação da Autoridade Nacional de Proteção de Dados, cujas competências estão elencadas no artigo 55-J.

Cabe à ANPD, além de outras atribuições, editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei.

Atendendo à este dispositivo, a Autoridade Nacional de Proteção de Dados (ANPD) publicou em 30 de agosto de 2021, a Consulta Pública sobre a minuta de resolução que regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), para empresas que se enquadram no artigo 55-J, XVIII, conforme citado acima.

Um dos propósitos deste estudo é a utilização de uma metodologia simplificada e diversa, que trará maior facilidade na adequação deste grupo à LGPD, uma vez que o porte da empresa não modifica o direito que os titulares de dados pessoais detêm.

Será avaliado também eventuais riscos que esta flexibilização ou o afastamento destas regras poderá trazer aos direitos fundamentais de privacidade dos titulares dos dados pessoais, como também o possível efeito da conservação das obrigações aos agentes de pequeno porte.

Trazendo algumas flexibilizações, a minuta da Resolução sugere que os agentes de tratamento de empresas de pequeno porte fiquem isentos da obrigação de conservação de registros das operações de tratamento de dados pessoais conforme requisito do artigo 37 da LGPD.

Nessa direção, no dia 29 de janeiro de 2021, a ANPD começou com a tomada de subsídios sobre a normatização da aplicação da LGPD para microempresas e empresas de pequeno porte.

A Autoridade tem o anseio de que esta Tomada de Subsídios ajudará de forma expressiva na elaboração da regulamentação, que futuramente será objeto de consulta e audiência públicas.

Para Waldemar Ortunho, Diretor-Presidente da ANPD, “o início da tomada de subsídios demonstra que a ANPD está comprometida com o cumprimento do cronograma previsto pela agenda regulatória recentemente publicada”.

A consulta pública já se encontra disponível na plataforma Participa + Brasil pelos próximos 30 dias e a audiência pública ocorrerá nos dias 14 e 15 de setembro de 2021.

Sobre a Autora

Elisandra Amaral é diretora e fundadora do núcleo de privacidade do Nelson Wilians Advogados.

O OPEN BANKING E A LEI GERAL DE PROTEÇÃO DE DADOS

Por Dra. Márcia Ferreira

A Lei Geral de Proteção de Dados, mais conhecida como LGPD, dispõe sobre o tratamento de dados pessoais, com o objetivo de salvaguardar os direitos fundamentais de liberdade e de privacidade do titular de dados.

Em 04 de maio de 2020, o Banco Central do Brasil e o Conselho Monetário Nacional publicaram a  Resolução Conjunta 1/20, que  delibera sobre a implementação do Open Banking por parte das instituições financeiras, meios de pagamentos e demais instituições autorizadas a funcionar pelo BACEN.

Mas o que seria o Open Banking? O Open Banking é a soma de regras e tecnologias que vai possibilitar o compartilhamento de dados e serviços de clientes entre as instituições financeiras que aderirem aos respectivos programas.

Em linhas gerais, a ideia do Open Banking é simples: caso o cliente queira que seu banco atual, no caso o banco X, partilhe seus dados com outra instituição, no caso um banco Z, deverá requerer o compartilhamento ao Z, que notificará o X sobre a requisição. Após, o banco validará com o cliente se tal requisição é verdadeira e recolherá seu consentimento para realizar o envio.

O Open Banking já é utilizado desde 2018 no Reino Unido. No Brasil, a sua introdução ocorrerá em quatro etapas.

A intenção do Open Banking é que com a oportunidade do compartilhamento de dados da vida financeira das pessoas, as fintechs consigam encontrar mercado para atuarem, oferecendo benefícios a essas pessoas, podendo competir com os grandes bancos.

A este respeito, dispõe o diretor de regulação do Banco Central, Otávio Ribeiro Damaso: 

A implementação do Open Banking no Brasil constitui um marco notório da regulamentação do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro destinado a incentivar a inovação, a fomentar a concorrência e a aumentar a eficiência no âmbito desses sistemas, assim como a promover a cidadania financeira, em medida prioritária deste Banco Central, circunscrita na Agenda BC, na dimensão Competitividade.¹

Alinhando o Open Banking com a LGPD, entende-se que os dados bancários são dos clientes e não das instituições financeiras. Assim, se faz indispensável coletar o consentimento do cliente, com a finalidade de autorizar as instituições financeiras a compartilharem dados, produtos e serviços com outras empresas do mesmo seguimento, através da união de tecnologias, com segurança e agilidade.

Considerando que o Open Banking  tem como pressuposto o consentimento, que é uma das bases legais contidas na LGPD, artigo 7°, I, o cliente conseguirá compartilhar seus dados, mediante sua autorização, assim como poderá revoga-la quando desejar. 

Citada Resolução Conjunta Nº 1 trata do consentimento e também da possibilidade de sua revogação em seus artigos 14 e 15 respectivamente.

Nesse processo, um fator importante de ser observado é o que consta no Art. 50 da LGPD, que trata de boas práticas e Governança. Todas as organizações precisam criar processos para responderem aos incidentes de segurança e também para o caso de transferência internacional de dados.

Assim, tendo em vista todas as particularidades dessa operação, resta claro que a instituição precisará controlar de forma transparente o processo de guarda do dado pessoal, além de dispor de um suporte eficiente e prático, capaz de garantir aos titulares a  revogação de seu consentimento e/ou  a requisição  de informações acerca do tratamento de seus dados.

Nesse contexto, verifica-se o papel de excelência da LGPD em tutelar o dado pessoal, pois toda instituição financeira interessada em adotar o open banking deverá ter como regra fundamental o cuidado e atenção ao tratamento de dados pessoais.

Com a constante inovação do mercado bancário, novos métodos e demandas serão formados e, de igual modo, a concepção de soluções deverão atentar e respeitar a privacidade e proteção de dados pessoais.

O Open Banking não precisa expressar risco para segurança da informação, nem ameaçar a proteção de dados pessoais, podendo as instituições financeiras adotarem medidas seguras para proteger informações confidenciais, sempre considerando a Lei Geral de Proteção de Dados.

NOTA:

[¹] – Exposição de motivos da Circular 4.032/2020 do Banco Central.

Sobre a Autora

Dra. Márcia Ferreira é advogada e gerente do Núcleo de Privacidade e Proteção de Dados NWADV.

NWPODCAST – #44: O conflito de interesses envolvendo a figura do encarregado – DPO

Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) nasceu para regular o tratamento de dados pessoais, fixando importantes diretrizes.

O Encarregado pelo tratamento de dados pessoais desenvolve um papel intimamente ligado à reputação da empresa, desempenhando as funções incluídas no art. 41 LGPD. 

A função de DPO se consolidou com as publicações da GDPR e da LGPD. No quadragésimo quarto episódio do NWPodcast, Lis Amaral, convida a Dra. Cristiane Machado, advogada do Núcleo de Privacidade e Proteção de Dados do NWADV, para falar sobre “O conflito de interesses envolvendo a figura do encarregado – DPO”.

Ouça agora.

NWPodcast: #40 – A PROXIMIDADE PARA APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS PELA ANPD

A Lei Geral de Proteção de Dados (LGPD) foi criada com o intuito de estabelecer diretrizes importantes e trazer maior controle, estabelecendo regras para a coleta, processamento e armazenamento de dados pessoais.

A medida provisória de número 959/2020, que teve como objetivo tratar das regras para o auxílio emergencial durante a pandemia, bem como o adiamento da vigência da LGPD, pretendia prorrogar o prazo para 2021; porém, esta pretensão foi rejeitada pelo Senado Federal e com isso a Lei Geral de Proteção de Dados entrou em vigor em 18 de setembro de 2020, com exceção dos artigos 52, 53 e 54.

No quadragésimo episódio do NW Podcast, Lis Amaral entrevista a Dra. Márcia Mendes, advogada do Núcleo de Inovação e Proteção de Dados do NWADV, e abordam sobre a proximidade para aplicação de sanções administrativas pela ANPD.

Ouça agora.