LGPD

Marco Histórico na Europa: acordo provisório para Regulamentação de Inteligência Artificial

Um acordo provisório para Regulamentação de Inteligência Artificial na União Europeia foi publicado em dezembro de 2023, o feito representa um marco histórico para o continente europeu. O acordo provisório para Regulamentação de Inteligência Artificial abrange uma série de áreas importantes, que vão desde a transparência nas decisões algorítmicas até a proteção dos direitos fundamentais dos cidadãos. A medida marca um passo significativo na busca por diretrizes que equilibrem o avanço tecnológico com a proteção dos direitos e valores fundamentais. A regulamentação proposta visa garantir que as tecnologias de IA, como o chatGPT, sejam desenvolvidas e utilizadas em consonância com os valores europeus, assegurando que não comprometam a privacidade dos cidadãos nem violem direitos fundamentais. A iniciativa também abrange o uso de IA em setores sensíveis, como saúde e segurança, promovendo a confiança e aceitação generalizada dessas inovações. Este acordo molda o futuro da IA na Europa e envia uma mensagem global sobre a necessidade de regulamentações robustas no campo da tecnologia. A abordagem europeia pode servir como referência para outros países buscando equilibrar a inovação tecnológica com preocupações éticas e sociais. As empresas que não seguirem as novas diretrizes podem sofrer multas de 35 milhões de euros ou 7% da receita. Escrito por Marcos Ferreira, Assistente de Conteúdo da Drummond Advisors Leia também Transatlantic Data Privacy Framework (TADPF) é aprovado e entra em vigor

Marco Histórico na Europa: acordo provisório para Regulamentação de Inteligência Artificial Read More »

Transatlantic Data Privacy Framework (TADPF) é aprovado e entra em vigor

Fernando Borges, Associado SêniorLuane Oliveira, Advogada Associada No dia 10 de julho de 2023, A Comissão Europeia emitiu sua decisão definitiva quanto à viabilidade do framework que respaldaria juridicamente transferências internacionais de dados pessoais entre Estados Unidos e União Europeia. A referida Adequacy Decision encerrou o processo de aprovação para entrada em vigor do TADPF.  Recordando as etapas anteriores da discussão em torno, é importante recordar que comitê do Parlamento Europeu para assuntos de liberdade civil,  justiça e assuntos domésticos se opôs, por meio de resolução publicada em 11 de maio, quanto à edição de uma decisão de adequação baseada na Executive Order emitida em 7 de outubro de 2022, pelo Presidente Biden. Em tal resolução, o Parlamento Europeu argumentou falhas no quesito de garantia, nos EUA, de proteção equivalente àquela prevista pelo GDPR para os dados pessoais oriundos da Europa, coletados e tratados nos EUA. Naquela ocasião, o Parlamento asseverou que os princípios de proporcionalidade e necessidade, que nortearia a atuação agências de segurança americanas, seria interpretado de acordo com a lei e prática jurídica americana, o que não estaria alinhado com os parâmetros interpretativos  praticados na União Europeia. Além disso, as decisões emitidas pelo Data Protection Review Court (“DPRC”), órgão responsável pela análise de reivindicações de titulares de dados vítimas de abuso, não seriam públicas, prejudicando a transparência, independência e imparcialidade do órgão. Por fim, uma das principais ressalvas do comitê recaiu sobre o fato de os EUA ainda não possuírem legislação federal abrangente sobre o tema. O projeto de framework foi também analisado pelo European Data Protection Board (EDPB), que, contrariamente ao Parlamento, emitiu um relatório de opinião positivo, afirmando, por exemplo, que a introdução do princípio da necessidade/proporcionalidade e os novos mecanismos para reivindicações e reparação de danos aos titulares de dados oriundos da Europa seriam melhorias que devem ser bem-vistas pelo parlamento. Contudo, a referida opinião não é vinculativa, tendo ficado pendente a aprovação pelo Parlamento. Então, conforme introduzido acima, a Comissão Europeia emitiu a chamada “Decisão de Adequação”, sendo este um instrumento jurídico previsto no artigo 45, n. 3, do GDPR que legitima as transferências de dados da União Europeia para países terceiros. Por meio de tal decisão, a Comissão confirma que as salvaguardas implementadas pela Ordem Executiva 14086 seriam suficientes para garantir que os EUA proporcionam um nível adequado de proteção aos dados pessoais transferidos da União Europeia para organizações que participam da TADPF. O TADPF possui muitos pontos de convergência com seu antecessor Privacy Shield, especialmente com relação aos seus princípios, aplicabilidade e mecanismos de certificação. No entanto, a referida Ordem Executiva 14086 proporcionou mais clareza quanto aos novos mecanismos de proteção aos titulares de dados, com uma descrição mais detalhada do órgão responsável pela investigação e endereçamento de eventuais violações, bem como dos recursos de proteção e reclamações à disposição de data subjects. O referido órgão será, portanto, independente e imparcial, com funcionamento em dois níveis, sendo o primeiro composto por um Civil Liberties Protection Officer, pertencente à comunidade de inteligência do governo americano, com possibilidade de recurso para o Data Protection Review Court (DPRC), órgão composto por membros não pertencentes ao governo. O DPRC conta com poderes amplos de investigação e obtenção de informações junto a agências de inteligência, assim como suas decisões são vinculantes, podendo conter condenações a reparação de danos a titulares de dados prejudicados, por exemplo. É importante compreender que, para uma empresa poder se valer das prerrogativas de transferência de dados previstas no framework, o destinatário nos EUA deve se submeter às disposições do TADPF, assumindo um compromisso vinculativo quanto ao cumprimento das obrigações previstas. Assim, empresas europeias que pretendam legitimar as suas transferências de dados para os EUA com base na recente Adequacy Decision devem verificar se os seus parceiros nos EUA estão certificados e em conformidade. Por fim, destaca-se que a organização fundada por Max Schrems, responsável pela instauração dos procedimentos que levaram à in validação dos dois frameworks anteriores, indicou a sua intenção de contestar o TADPF, de forma que sua validade deverá ser novamente posta em discussão pelo Tribunal de Justiça da União Europeia em 2024 ou 2025. Resta, agora, aguardar os próximos desdobramentos.

Transatlantic Data Privacy Framework (TADPF) é aprovado e entra em vigor Read More »

Bacen e CMN divulgam regras sobre compartilhamento de dados no setor financeiro

O Banco Central do Brasil (Bacen) e o Conselho Monetário Nacional (CMN) publicaram recentemente regras sobre compartilhamento de dados no setor financeiro. Essas medidas visam promover a segurança e a transparência no uso das informações pelas instituições autorizadas pelo Bacen. O compartilhamento de dados no setor financeiro refere-se à prática de compartilhar informações entre instituições financeiras e outras empresas autorizadas pelo Bacen. Isso inclui dados relacionados a clientes, operações financeiras, produtos e serviços. Principais pontos da regras sobre compartilhamento de dados: As novas regras de compartilhamento de dados no setor financeiro têm como objetivo principal proteger a privacidade e a segurança das informações dos clientes. Essas regulamentações promovem a transparência e o controle sobre o uso dos dados, fortalecendo a confiança no setor financeiro. As instituições financeiras devem estar cientes dessas regras e implementar as medidas necessárias para garantir o cumprimento adequado das mesmas. Escrito por Marcos Ferreira, Assistente de Conteúdo da Drummond Advisors Leia também: https://drummondadvisors.com/2023/06/05/estudo-divulgado-pela-cvm-aponta-para-possivel-regulamentacao-envolvendo-influenciadores-digitais-e-o-mercado-de-capitais/

Bacen e CMN divulgam regras sobre compartilhamento de dados no setor financeiro Read More »

US Federal Privacy Law

O processo legislativo para aprovação da primeira lei federal de privacidade e proteção de dados dos EUA (ADPPA – Data Privacy and Protection Act) tem avançado de forma acelerada na Câmara dos Deputados do país. Em 23 de junho, o projeto de lei foi formalmente introduzido na câmara, após uma sessão de 3 horas de discussões com especialistas. O projeto foi apresentado por 3 deputados republicanos e 2 deputados democratas, demonstrando interesse de ambos os partidos no tema. Há uma expectativa que a lei seja votada e promulgada antes do final de 2022. A proposta dessa nova legislação é assegurar que, independentemente do estado em que resida, o consumidor terá um direito uniforme quanto à proteção, coleta e uso de seus dados pessoais. Isso representa um grande avanço para a proteção de dados no país, considerando que apenas 5 estados dos EUA possuem uma legislação abrangente sobre o tema, sendo a mais conhecida a CCPA da Califórnia. O projeto de lei adota conceito de dados protegidos (covered data) semelhante àquele presente no GDPR e LGPD, compreendendo “qualquer informação isolada ou em conjunto com outras informações que identifiquem ou estejam vinculadas a um indivíduo ou a um dispositivo de propriedade desse indivíduo”. O diploma adota, até mesmo, conceito de dados pessoais sensíveis (sensitive covered data), tais como identificadores emitidos pelo governo, social security numbers, números de contas financeiras, geolocalização precisa, informações sobre raça e sexualidade, hábitos de consumo, atividades online, comunicação privada, informações relacionadas a indivíduos menores de 17 anos, entre outros. No entanto, o projeto exclui da cobertura da lei dados de empregados e dados publicamente disponíveis. Para a GDPR, a legislação vigente na Europa, o conceito de “personal data” é muito próximo do que está sendo proposto nos EUA, porém as exceções previstas no projeto de lei americana não se aplicam à legislação europeia. Na LGPD, legislação brasileira, dados pessoais são informações relacionadas a pessoa natural identificada ou identificável, não englobando os dispositivos de sua propriedade, e, no mesmo modo da GPDR, não há as exceções quanto dados de empregados e informações publicamente disponíveis. Ademais, a ADPPA somente irá assegurar proteção para os residentes americanos, enquanto para a GDPR e a LGPD, a proteção de dados recai sobre os residentes dos países em que vigoram e sobre todos aqueles que tiverem seus dados coletados e tratados em seus territórios de vigência. Outra diferença a ser apontada é quanto às covered entities, que, segundo a ADPPA devem preencher requisitos mínimos e não incluem órgãos governamentais. Já de acordo, tanto com o GDPR, como com a LGPD, suas normas se aplicam a qualquer pessoa natural ou jurídica que preencha os requisitos da lei, incluindo órgãos públicos e entes da administração pública em geral entre destinatários da norma e que, portanto, também devem se adequar a ela. Se você possui interesse em se aprofundar sobre a temática de proteção de dados em perspectiva comparativa, não deixe de consultar nosso Guia Comparativo CCPA – GDPR – LGPD, que detalha as principais semelhanças e diferenças entre os legislações sobre o tema em vigor na Califórnia, na União Europeia e no Brasil. Para maiores informações, acesse https://drummondadvisors.com/lp/guia-comparativo/ Escrito por Fernando Borges e Luane Oliveira

US Federal Privacy Law Read More »

LGPD e efeitos retroativos das sanções pecuniária

Em 1º de agosto de 2021, entraram em vigor os dispositivos da Lei Geral de Proteção de Dados que preveem a aplicação de sanções administrativas (art. 52, LGPD), inclusive de ordem pecuniária, que podem chegar a 2% do faturamento do grupo econômico, até o máximo de 50 milhões de reais por infração. Entretanto, a Autoridade Nacional de Proteção de Dados (ANPD) esclareceu que tais multas só seriam aplicadas após regulamentação, em especial no que tange à definição de métodos de dosimetria. Entretanto, se em 2021 a ANPD dedicou-se à provisão de orientações gerais, 2022 será um ano marcado pela edição de regulamentações de ordem mais prática, segundo declarado pelos representantes da autoridade. De acordo com a agenda bienal 2021-2022, a regulamentação das sanções pecuniárias deverá ocorrer ainda no primeiro semestre de 2022. Ocorre que a ANPD surpreendeu a muitos quando, em janeiro deste ano, assegurou que tais sanções poderão ser aplicadas de forma retroativa, ou seja, alcançando infrações ocorridas desde a entrada em vigor dos dispositivos correspondentes, em 1º de agosto de 2021. Dessa forma, quaisquer infrações ocorridas entre a referida data e a efetiva regulamentação das penas do art. 52, II e III, da LGPD poderão ser objeto de multas, mesmo em caráter retroativo. Estima-se que mais de 600 milhões de dados teriam sido vazados somente em 2021, apenas nos três maiores ataques cibernéticos ocorridos em janeiro, fevereiro e setembro, sendo que a estimativa total é de 44,5 milhões de tentativas de golpes virtuais de estelionato e 41 milhões de bloqueios de malware. Tal cenário ilustra a preocupação de agentes de tratamento diante das inovações regulatórias iminentes. Afinal, se apurada falha de segurança em tais casos de vazamento, sanções administrativas são aplicáveis aos agentes responsáveis. Cabe destacar, contudo, que a intenção da fiscalização e das multas é proteger os direitos dos titulares de dados e estimular as empresas a se adequarem à lei. A ANPD destaca que uma empresa só será punida em caso de negligência no tratamento de dados pessoais. Estando em conformidade com as regras da LGPD, não há com o que se preocupar. No entanto, conforme apurações realizadas por Patricia Peck, membro titular do Conselho Nacional de Proteção de Dados Pessoais (CNPD), até janeiro de 2022 menos de 30% das empresas privadas e instituições públicas estavam 100% em conformidade com a LGPD, o que deve ser visto como um sinal de alerta. Se em 2021 algo em torno de 600 casos mencionando a LGPD foram levados ao judiciário, com o atual cenário de baixa adesão a políticas de compliance somado à iminente regulação da dosimetria das penas pecuniárias, espera-se que tal número seja facilmente superado em 2022. *** Se você tem qualquer dúvida sobre o assunto, use o formulário abaixo que nossos especialistas entrarão em contato com você. Escrito por Fernando Borges, associado da Drummond Advisors https://www.youtube.com/watch?v=LRkBorDm_4Y&t=19s Quer conhecer sobre as principais leis de proteção de dados ? Baixe aqui seu Guia Comparativo e saiba mais! Compartilhar Share on facebook Share on linkedin Share on whatsapp Share on email Vamos conversar ? Notícias relacionadas

LGPD e efeitos retroativos das sanções pecuniária Read More »

LGPD já está dando retorno para empresas

Um julgamento que aconteceu há algumas semanas despertou grande atenção por envolver os termos da Lei Geral de Proteção de Dados (LGPD). No ocorrido, um consumidor declarou que teve os seus dados pessoais compartilhados sem sua autorização. Como consequência desse compartilhamento de informações, o autor da ação alegou que recebeu mensagens indesejadas, via e-mail e SMS, além de ligações telefônicas desagradáveis. O Tribunal de Justiça de São Paulo constatou que ocorreu o vazamento de dados e sentenciou a empresa ré a declarar informações das entidades com as quais compartilhou os dados, sob possibilidade de multa de R$ 500 diariamente. De acordo com reportagem do Valor Econômico, o relator do caso, desembargador Alfredo Attié, noticiou “que a doutrina vem definindo como responsabilidade ativa ou proativa, hipótese em que, às empresas não é suficiente o cumprimento dos artigos da lei, mas será necessária a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”. A decisão é inovadora, e cumpriu com os princípios da LGPD. O julgamento levou em conta a obrigatoriedade das empresas e prezou sobre a responsabilidade com os dados do consumidor. Escrito por Marcos Ferreira, Assistente de Conteúdo da Drummond Advisors

LGPD já está dando retorno para empresas Read More »

LGPD: Vigência das penalidades

Entraram em vigor no último dia 1º de agosto de 2021 as disposições da Lei Geral de Proteção de Dados (LGPD) acerca das penalidades administrativas, aplicáveis a agentes de tratamento de dados que cometerem infrações às normas previstas na Lei. Entretanto, apesar de listadas entre tais penalidades (art. 52, LGPD), as multas administrativas ainda não serão aplicadas, uma vez que, segundo a Autoridade Nacional de Proteção de Dados, tais dispositivos legais ainda necessitam de regulamentação. Cabe relembrar que as referidas multas administrativas causaram, desde a aprovação do texto legal, grandes preocupações entre empresas que promovem atividades de tratamento, em razão dos substanciais montantes a que podem chegar. De acordo com a LGPD, tais multas podem atingir o montante de 2% do faturamento bruto do grupo ao qual pertence a empresa infratora, até o limite de R$50.000.000,00. Tais preocupações ganharam corpo recentemente, após o episódio em que a Amazon foi multada em US$886.600.000,00 pela Comissão Nacional de Proteção de Dados de Luxemburgo, após ser acusada de não cumprir com a legislação europeia em suas atividades de tratamento de dados.  Apesar de ainda não haver clareza quanto aos fatos que subsidiaram a aplicação de tamanha penalidade, é importante ressaltar que, de acordo com o Regulamento Geral Europeu de Proteção de Dados (GDPR), o montante de eventual multa deve ser calculado levando-se em conta a gravidade, duração e peculiaridades da infração. Trata-se de critérios análogos àqueles usados pela LGPD. Segundo a Amazon, a referida penalidade não teria mérito e a companhia afirma que a contestará vigorosamente, mas o episódio faz refletir quanto a um futuro em que tais montantes passarão a ser definidos à priori pela Autoridade Nacional de Proteção de Dados (ANPD). A ANPD afirmou que estaria ouvindo empresas e entidades diretamente impactadas por tais disposições, de forma a definir uma regulamentação que faça sentido, especialmente no que tange à dosimetria, o cálculo para se definir a pena. No entanto, independente da clareza e transparência com que for regulado tal ponto, ainda é preocupante o cenário que se avizinha. Afinal, trata-se de montantes aptos a retirar empresas do mercado. Por conta disso, é de extrema importância estar em conformidade com a LGPD e principalmente lançar mão de eficientes mecanismos de segurança cibernética. A Lei prevê obrigações específicas quanto à adoção de medidas de segurança compatíveis com a natureza dos dados tratados, sendo o agente de tratamento responsabilizado na hipótese de danos causados por tratamento irregular (art. 44, LGPD). Ou seja, se vazamentos ocorrerem em razão da não adoção de mecanismos de segurança compatíveis com a legítima expectativa de segurança do titular de dados e com os riscos ligados a um potencial vazamento, além de sofrer aplicação de sanção administrativa, o agente de tratamento ainda terá de indenizar as partes afetadas. Tanto a responsabilização perante terceiros, como a aplicação de sanções pela ANPD serão moduladas de acordo com a adoção de um ideal de segurança e conformidade com a Lei, havendo pouca margem para defesa quando tal ideal não é perseguido. Assim, para além das referidas medidas, é extremamente importante manter vigentes práticas de boa governança e demonstrar real interesse em reparar eventuais danos causados, tudo isso é levado em consideração pela ANPD em eventual penalização. Escrito por Fernando Borges, associado da Drummond Advisors

LGPD: Vigência das penalidades Read More »

Lei Geral de Proteção de Dados: você sabe como proteger dados pessoais utilizados na sua empresa?

Você sabe o que é a Lei Geral de Proteção de Dados (LGPD)? Trata-se do conjunto de normas que regula toda e qualquer atividade de tratamento de dados pessoais no Brasil. Desde agosto de 2020, a LGPD já está em vigor e, a partir de agosto de 2021, quaisquer violações às suas normas poderá ser objeto de penalidades, que podem chegar a R$50.000.000,00. Você sabe o que são dados pessoais? Você saberia identificar se dados pessoais de terceiros passam, em alguma medida, pelo controle de sua empresa? Dados pessoais são toda e qualquer informação relacionada a um indivíduo identificado ou identificável, sejam eles clientes, funcionários, fornecedores, prestadores de serviços, freelancers, entre outros. Enquadram-se nessa definição informações como nome, endereço, telefone, foto, data de nascimento, CPF, e-mail, dados bancários, dados de navegação, preferências pessoais, etc. Se quaisquer informações dessa natureza são coletadas, armazenadas, classificadas, reproduzidas, transmitidas, ou de qualquer forma utilizadas pela sua empresa, é necessário adequar tais atividades à Lei Geral de Proteção de Dados (LGPD), assim como as políticas internas e contratos. Assim, se sua empresa ainda não promoveu um projeto de adequação à nova lei, não há mais tempo a perder e, com objetivo de ajudá-lo a se preparar para essa nova fase, preparamos esse material com orientações básicas. Bases legais para tratamento de dados de acordo com a LGPD: Toda atividade realizada relativa a dados pessoais precisa ter respaldo em uma das bases legais previstas em lei, dentre as quais se destacam: • Consentimento específico e destacado pelo titular; • Exercício regular de direitos, no contexto de contratos ou processos judiciais, administrativos ou arbitrais; • Cumprimento de obrigação legal; • Quando necessário para atender interesses legítimos, desde que respeitados direitos e liberdades fundamentais do titular; • Para tutela da saúde ou proteção da vida. Qualquer tratamento de dados feito sem respaldo em alguma das bases legais, representa violação à lei e, portanto, está sujeito à sanções. Obrigações de segurança decorrentes da LGPD: Você sabe como proteger dados pessoais utilizados na sua empresa? A LGPD tem como um de seus princípios a segurança, o que implica na obrigação, para o responsável pelo uso dos dados, de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Em caso de incidente, que possa acarretar risco de dano aos titulares de dados, o agente é obrigado a comunicar a Autoridade Nacional e o titular, em até 2 dias úteis. Portanto, é de extrema relevância a adoção de mecanismos de segurança eficazes. Princípios da LGPD: Toda e qualquer atividade de tratamento deve observar todos os princípios previstos na LGPD e, dessa forma, é necessário sempre se questionar, dentre outros aspectos: • Finalidade: por que utilizo dados pessoais de terceiros? Toda finalidade de tratamento deve ser legítima, explícita e específica. • Adequação: realmente uso os dados pessoais para o fim que eu indiquei ao seu titular? Toda atividade de tratamento deve ser compatível com as finalidades informadas ao titular. • Necessidade: processo apenas os dados necessários para o fim proposto? Toda atividade de tratamento deve se limitar ao mínimo necessário para a finalidade pretendida. • Transparência: se solicitado, sei informar ao titular do dado pessoal o que eu faço com a sua informação? É sempre necessário assegurar aos titulares informações claras e precisas quanto ao tratamento. • Segurança e Prevenção: tenho sistemas de segurança da informação que garantam que os dados estão protegidos de vazamento? É obrigatório adotar medidas para prevenir a ocorrência de danos em decorrência do tratamento. Escrito por Fernando Borges, Caio Brito e Daniel Rangel

Lei Geral de Proteção de Dados: você sabe como proteger dados pessoais utilizados na sua empresa? Read More »

Lei Geral de Proteção de Dados passa a valer após idas e vindas no Congresso

Sancionada em agosto de 2018, a Lei nº 13.709, conhecida como a Lei Geral de Proteção de Dados Pessoais (LGPD), que regulamenta o tratamento e armazenamento de dados pessoais, entrou em vigor em 18 de setembro de 2020, após sanção presidencial. Tal prazo não se aplica aos artigos 52, 53 e 54 da LGPD, os quais trazem as sanções administrativas relativas ao descumprimento da Lei, que só entrarão em vigor no dia 1º de agosto de 2021. Com a vigência da LGPD, a implementação dos planos de adequação à legislação se torna mais urgente e necessária. Apesar das sanções administrativas estarem previstas apenas para agosto de 2021, a entrada em vigor da lei torna suas obrigações exigíveis, inclusive permitindo a responsabilização civil dos agentes de tratamento em face dos titulares de dados pessoais, sendo ainda cabíveis demais sanções previstas em nosso ordenamento jurídico, como as do Código de Defesa do Consumidor e do Marco Civil da Internet. Estruturação da ANPD Além disso, recentemente, o Poder Executivo editou o Decreto nº 10.474/20, aprovando a estrutura regimental, o quadro de cargos comissionados e funções de confiança da Autoridade Nacional de Proteção de Dados (ANPD), agência responsável pela fiscalização do cumprimento da LGPD no país. O decreto somente entrará em vigor na data de publicação da nomeação do diretor-presidente da ANPD no Diário Oficial da União.

Lei Geral de Proteção de Dados passa a valer após idas e vindas no Congresso Read More »

Rolar para cima
Pesquisar