WHITEPAPER

Lei Geral de Proteção de Dados:

impactos e mudanças no uso
e na coleta de dados pessoais
Índice

Introdução 3
#1 Uso indevido de dados 4
#2 As regulações começam 5
#3 Quais são seus principais conceitos? 6
#4 Lei brasileira se inspira na GDPR 7
Proteção às crianças e aos adolescentes 8
Dados pessoais sensíveis 9
#5 Confira 9 pontos para entender melhor a LGPD 10
#6 Desafios e oportunidades 12
Autorização do cliente 13
#7 Quais os impactos da LGPD para os negócios jurídicos? 14
Um novo paradigma dentro e fora 15
Introdução

A cada dia, os cidadãos deixam uma trilha de dados pessoais

nas suas interações corriqueiras, tanto as analógicas quanto
as digitais. Ao fazer um cadastro físico ou uma compra on-line,
fornecem informações importantes, como CPF, RG e endereço,
aparentemente sem se preocupar com a segurança de dados.
A mesma coisa ocorre quando se usa a impressão digital para
fazer a identificação biométrica em agências bancárias ou em
aeroportos, entre outros.

Nos últimos anos, o uso indevido de cadastros financeiros de

consumidores provocou um número enorme de reclamações.
Segundo levantamento feito pelo Instituto Brasileiro de Defesa
do Consumidor (IDEC), queixas envolvendo problemas com
transparência e uso inadequado de dados pessoais cresceram
1.134% entre 2015 e 2017. A principal reclamação, com 63% dos
apontamentos, é referente à publicação, consulta ou coleta de
dados pessoais sem autorização do consumidor. Mas, em 2020,
passa a valer no Brasil a Lei Geral de Proteção de Dados.

Estabelecer princípios e critérios para a coleta de dados é

essencial para garantir que eles não sejam utilizados para
atender a interesses comerciais, contra a vontade dos cidadãos,
ultrapassando limites éticos e legais.

3
 Uso indevido
de dados
Relevante com o uso do Big Data e cada vez
mais central no compliance das empresas,
o tema saiu das áreas Jurídica e de TI para
tomar as conversas mainstream após o
The Guardian denunciar que a empresa
Cambridge Analytica teria coletado dados
pessoais de 87 milhões de usuários da
rede social Facebook, fomentando um
sistema que permitiu influenciar as escolhas
eleitorais em diversos países, dentre eles
os Estados Unidos da América, na disputa
presidencial que elegeu Donald Trump
em 2016.
A Cambridge Analytica se aproveitou de
uma “brecha” nas normas então vigentes da
plataforma social — que, à época, permitia
que aplicativos externos coletassem dados
de usuários e de sua rede de amigos com o
objetivo de aprimorar a experiência do próprio
usuário.
Segundo estimativa da empresa de pesquisas
Gartner, o investimento global em segurança
da informação em 2017 foi de cerca de US$
85 bilhões, valor recorde com aumento de 7%
sobre o total aplicado em 2016. Para 2018,
os gastos globais com produtos e serviços
relacionados à segurança da informação
4
vão ultrapassar US$ 114 bilhões em uma
alta estimada de 34,1%. O ritmo deve até
arrefecer um pouco, mas se manterá alto em
2019, período para o qual a empresa projeta o
crescimento em mais 8,7%.
Mesmo assim, 2017 testemunhou altas
perdas causadas por ciberataques, como os
ransomware WannaCry e Petya/notPetya,
que causaram prejuízos estimados entre
US$ 5 bilhões e US$ 10 bilhões.
O WannaCry é um ransomware, software
malicioso que torna inacessíveis os dados
armazenados em um equipamento,
geralmente usando criptografia, e que
exige pagamento de resgate (ransom) para
restabelecer o acesso ao usuário.
Já o Petya/notPetya também é um
software mal-intencionado, inicialmente
de tipo ransomware, descoberto em 2016.
Posteriormente, analistas descobriram que o
malware havia evoluído. Desde então, tem
sido tratado como um wiper (exterminador),
cuja característica é provocar destruição do
acesso ao computador sem mesmo exigir
um resgate, ou com pagamento, sem efeito
de recuperação.
 As regulações
começam

Com isso, as pautas de segurança de dados se tornaram prioritárias e, em maio de

2018, entrou em vigor o Regulamento Geral sobre a Proteção de Dados (European
General Data Privacy Regulation, GDPR na sigla em inglês).

O GDPR é um projeto para proteção de dados e identidade dos cidadãos da União

Europeia que começou a ser idealizado em 2012 e foi aprovado em 2016. Embora a
região já tivesse leis relacionadas à privacidade, elas datavam de 1995 e, mesmo com
atualizações, não correspondiam ao cenário tecnológico atual.

Com o reforço das regulações de proteções de dados dos cidadãos da Europa, todas as
empresas de pequeno, médio e grande portes terão que investir em cibersegurança.

Essa nova legislação está forçando mudanças na maneira

como as empresas lidam com os dados on-line e off-line dos
seus usuários. É um novo paradigma da segurança de dados.

Além disso, ela afeta qualquer empresa do mundo, incluindo as brasileiras, uma vez
que a nova lei protege qualquer pessoa na União Europeia, mesmo os não cidadãos.
Também se aplica a qualquer empresa que lide, monte perfis e direcione serviços e
ofertas a esses consumidores. Ou seja, a mudança é global.

5
 Quais são seus
principais conceitos?

A nova regulação protege o sujeito de dados (indivíduo identificável a quem as

informações e dados se referem), no processamento das informações (coleta, uso,
compartilhamento, armazenamento, gerenciamento e exclusão) compartilhadas com
controladores de dados (quem determina o propósito e os meios do processamento
de dados) e processadores de dados (que operacionaliza esse processamento em
nome do controlador).

SUJEITO PROCESSAMENTO CONTROLADORES PROCESSADORES

DE DADOS DAS INFORMAÇÕES DE DADOS DE DADOS

Essa regulação cria um novo patamar de responsabilidade, prestação de contas,

transparência e, claro, privacidade. Outro conceito importante nessa discussão é
o de Data Protection by Design, ou proteção de dados por design, que estabelece a
importância central da proteção de dados e privacidade no desenvolvimento de
negócios, produtos e serviços.

As multas pela não conformidade começam em 10 milhões de euros ou 2% do

faturamento anual global, podendo chegar a 20 milhões de euros ou 4% do
faturamento, prevalecendo sempre a maior quantia.

O escopo da GDPR é bastante amplo. Informação pessoal (sensível ou não) se refere

aos dados concedidos pelo cliente. Já informação comportamental diz respeito aos
dados coletados pela organização a partir da observação do cliente.

Baseada em governança, gestão de dados e transparência, a GDPR já é vista como

uma nova era da proteção de dados e privacidade. Inclusive já abriu oportunidade
para novas profissões, como diretor de proteção de dados, além de potencializar a
criação de centenas de milhares de vagas de empregos.

6
 Lei brasileira se
inspira na GDPR

No Brasil, foram oito anos de discussão até se chegar à aprovação da Lei Geral de
Proteção de Dados (LGPD), inspirada na GDPR, que foi sancionada em 14 de agosto
de 2018. Aprovada em regime de urgência, por conta do mesmo incidente ocorrido
com os dados de usuários do Facebook, a lei brasileira entra em vigor em 2020. A
LGPD, assim como a GDPR, visa garantir maior controle dos cidadãos sobre suas
informações pessoais.

Enquanto o Marco Civil da Internet permite apenas o tratamento de dados pessoais,

mediante a obtenção do consentimento do titular dos dados, a LGPD estabelece dez
hipóteses para o tratamento de dados. Isso inclui, além do consentimento, o interesse
legítimo do controlador ou de terceiro, a necessidade de cumprimento de contrato ou
de obrigação legal ou regulatória.

A LGPD estabelece regras específicas para a obtenção do consentimento, que poderá

ser nulo caso se trate de uma autorização genérica ou se baseado em informações
com conteúdo enganoso ou abusivo. O tratamento de dados pessoais apontados
como públicos deve considerar a finalidade originária, a boa-fé e o interesse público
que justificaram a disponibilização de tais dados.

7
 Proteção às crianças
e aos adolescentes

Assim como a norma europeia reconhece que crianças e adolescentes

precisam de maior proteção, a brasileira também prevê essa preservação. A
GDPR estabelece que essa proteção específica deve ser aplicada à utilização
de dados pessoais de crianças e adolescentes para efeitos de comercialização,
de criação de perfis e na coleta de dados pessoais em serviços disponibilizados
diretamente a eles.

Para serviços da sociedade da informação, os pais ou responsáveis devem

consentir na coleta e tratamento de dados de pessoas com até 16 anos de idade.
Essa é uma inovação fundamental, pois a atividade de tratamento de dados
no universo digital é caracterizada por ser ainda abstrata, pouco transparente
e com alto grau de complexidade. Assim, a capacidade de observação e
entendimento por crianças e adolescentes desse processo é extremamente
limitada, sendo necessária uma mediação externa para equilíbrio desta
relação comercial.

As crianças têm, ainda, direito especial ao apagamento de dados quando

atingem a maioridade legal. Isso porque, ao longo de sua vida digital,
poderiam não ter plena possibilidade de analisar os riscos relacionados ao
livre desenvolvimento da personalidade, à construção da reputação; além do
impacto dos rastros digitais no futuro – na vida profissional, no acesso aos
serviços de saúde, de educação e de bens culturais e informacionais diversos.

E, com relação à publicidade, perfilamento, direcionamento e processos de

análise e categorização, a regra europeia diz que o legítimo interesse do
controlador dos dados para efetuar o tratamento não se aplica no caso de dados
de crianças e adolescentes, o que impede o tratamento sem o conhecimento
dos pais, restringindo seu uso para fins econômicos.

O entendimento consolidado na regra europeia serviu de parâmetro e inspiração

para o Brasil, já que está em plena consonância com a doutrina de proteção
integral, adotada pela legislação brasileira no Artigo 227 da Constituição
Federal. Tal artigo garantiu a crianças e adolescentes prioridade absoluta de
seus direitos, uma obrigação compartilhada por todos nós: Estado, famílias e
sociedade – inclusive empresas de tecnologia e plataformas digitais.

8
 Dados pessoais
sensíveis

Outro aspecto que ambas as leis consideram é relativo ao tratamento

de dados sensíveis. O conceito de dado pessoal sensível é oferecido pela
própria LGPD em seu art. 5º, II: “dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou
à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural”.

A definição é muito semelhante à adotada pela GDPR europeia, categórica

ao afirmar, em seu art. 9º, que “é proibido o tratamento de dados pessoais
que revelem a origem racial ou étnica, as opiniões políticas, as convicções
religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de
dados genéticos, dados biométricos para identificar uma pessoa de forma
inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou
orientação sexual de uma pessoa”.

Há uma série de regras com as quais empresas e outras organizações

atuantes no Brasil terão que estar em compliance. Isso vai permitir
mais controle sobre o tratamento que é dado às informações pessoais
do cidadão.

9
 Confira 9 pontos para
entender melhor a LGPD

A principal meta é garantir a privacidade dos dados pessoais dos cidadãos e permitir

1 um maior controle sobre eles. A lei cria regras claras sobre os processos de coleta,
armazenamento e compartilhamento dessas informações, ajuda a promover o
desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

A lei atinge todos os setores da economia, além de ter aplicação extraterritorial. Ou

2 seja, toda empresa que tiver negócios no Brasil deve se adequar a ela. Quando o
tratamento de dados pessoais for baseado no consentimento, o controlador deve
manter documentação comprobatória da sua obtenção em conformidade com a
lei. Os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados.
A notificação de qualquer incidente será obrigatória. É prevista, ainda, a criação da
Autoridade Nacional de Proteção aos Dados (ANPD), por ora vetada, mas passível
de criação pelo Executivo por meio de medida provisória ou de novo projeto de lei.

Data Protection Officer: as organizações devem estabelecer um Comitê de Segurança

3 da Informação para analisar os procedimentos internos. Dentro deste órgão haverá

um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento
da nova lei.

Avaliação da maturidade dos processos e impacto de riscos: é o levantamento de

4 quais situações devem ser corrigidas pela empresa para a garantia de que a LGPD
seja cumprida em todos os departamentos.

Redução da exposição ao risco: essa é a etapa de implementação das medidas para

5 proteger os dados pessoais na base da empresa. Elas podem ser de segurança,

técnicas e administrativas, que evitam, combatem ou minimizam a perda ou
indisponibilidade de ativos de informação devido a ameaças que atuam sobre
algumas vulnerabilidades.

10
 Adoção do Privacy by Design: aborda a proteção desde a concepção do produto ou

6 sistema, sendo incorporada diretamente às estruturas tecnológicas, ao modelo de

negócio e à infraestrutura física. Ou seja, a privacidade está presente na própria
arquitetura, permitindo que o próprio usuário seja capaz de preservar e gerenciar a
coleta e o tratamento de seus dados pessoais.

Cumprimento dos subcontratantes: a LGPD estende-se também aos subcontratantes

7 de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam

sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.

Multas: a nova lei prevê sanções para quem não tiver boas práticas. Incluem

8 advertência, multa ou até mesmo a proibição total ou parcial de atividades

relacionadas ao tratamento de dados. As multas podem variar desde 2% do
faturamento do ano anterior até R$ 50 milhões, passando por penalidades diárias.

Parceiro especializado: lidar com essa situação enquanto tenta administrar o negócio

9 não é fácil. Um parceiro especializado pode auxiliar nesse período de transição,

possibilitando um maior conhecimento e aplicação de medidas eficientes para o
cumprimento da lei.

11
 Desafios e
oportunidades

Segundo estudo da Brasscom e da consultoria Frost & Sullivan, a nova lei irá proporcionar um
ambiente de negócios seguro que potencialize a atração e materialização de investimentos
na ordem de R$ 250 bilhões em tecnologias de transformação digital até 2021.

Com essa aprovação, as organizações, terão muito trabalho pela frente para se adaptar e
garantir a segurança dos dados de seus clientes e fornecedores. Por isso seria bom contar
com parceiros estratégicos que pudessem fornecer soluções com compliance e certificações.

Com um software jurídico inteligente, os escritórios otimizam as operações do Direito ao aliar

inteligência, informação e gerenciamento de dados. Além disso, asseguram uma atuação
preventiva atuação preventiva para tomar decisões mais estratégicas e mitigar riscos.

Um sistema jurídico único permite responder a diferentes demandas de diversos setores, tanto
em escritórios de advocacia como em departamentos jurídicos, sejam eles estruturas enxutas,
em crescimento, ou grandes organizações que gerenciam assuntos de alta complexidade.

12
 Autorização
do cliente

As organizações públicas e privadas só poderão coletar dados pessoais

se tiverem o consentimento do titular. Ou seja, a empresa deve solicitar a
autorização do cliente de maneira clara para que ele saiba o que vai ser
coletado, para quais fins e se haverá compartilhamento.

Se houver mudança de finalidade ou repasse de dados a terceiros, um novo

consentimento deverá ser solicitado. O usuário poderá, sempre que desejar,
revogar a sua autorização, assim como pedir acesso, exclusão, portabilidade,
complementação ou correção dos dados.

Se o uso dos dados prejudicar um cliente, por meio

de uma decisão automatizada como a recusa de
financiamento por um sistema bancário, o usuário
poderá pedir uma revisão humana do procedimento.

São muitas demandas e obrigações jurídicas para que as organizações estejam

em compliance, afetando — sobretudo — os departamentos e fornecedores
jurídicos. No Brasil, deverá haver a criação de novos papéis para profissionais
nas empresas e organizações, além de outras demandas jurídicas, exigindo
mais compliance local e global de empresas e escritórios.

13
 Quais os impactos
da LGPD para os
negócios jurídicos?

A nova regulação provoca uma profunda

mudança de paradigma, que passa a priorizar
responsabilidade ativa, flexibilidade, importância
do contexto e da cooperação.

A partir de agora, os diretores jurídicos serão ainda mais importantes

para as empresas, pois alertarão a consciência coletiva para a
importância da regulação para a corporação em um contexto
globalizado e digitalizado. Mesmo nas etapas de inventário de dados
e eventuais auditorias, o diretor jurídico terá demandas estratégicas,
conceituais e táticas contínuas e robustas.

Uma nova possibilidade de atuação para consultores e profissionais

corporativos em empresas sujeitas às novas normas é o papel do Data
Protection Officer. Ele será o responsável por aconselhar e verificar se
as empresas estão obedecendo à LGPD, ao processar ou tratar dados
pessoais de terceiros. Isso dará mais segurança jurídica às empresas e
melhor relacionamento com os clientes, além de segurança cibernética
aprimorada e melhoria no gerenciamento dos dados.

Os executivos de escritório precisam estar preparados para atender

às demandas desse tipo de cliente e para adequar seus serviços,
operações e políticas às exigências da LGPD no processamento de
informações. O profissional bem preparado nessa área será um aliado
valioso para o compliance e competitividade de empresas em contextos
de digitalização global.

14
 Um novo paradigma
dentro e fora

Procurar um parceiro confiável para implementar soluções de negócios

que ajudem no cumprimento das obrigações da Lei Geral de Proteção
de Dados facilitará a vida de empresas e escritórios, trazendo a
possibilidade de gerenciar a segurança dos dados, a adequação de
formulários, as permissões de acesso, a rastreabilidade do sistema e
outros requisitos técnicos e legais.

Os avanços tecnológicos e as novas regulações de proteção de

dados criam um contexto mais exigente quanto ao gerenciamento
de segurança – e o desafio de adaptar seus processos, profissionais
e ferramentas. Após esta leitura, mantenha-se atualizado em nossa
Biblioteca de Conteúdo, compartilhe seus aprendizados e entre em
contato com a Thomson Reuters para encontrar as soluções, com
certificação e em compliance com a GDPR, para suas necessidades.
Estamos em compliance com a LGPD e temos a ISO 27001.

Quer saber mais sobre regulações

de segurança de dados e privacidade?
Conheça as obras Comentários ao GDPR e Lei Geral
de Proteção de Dados Pessoais Comentada, do selo
editorial Revista dos Tribunais.

15
Solicite um contato:
0800 702 2433
thomsonreuters.com.br

Confira outros materiais em

nossa Biblioteca de Conteúdos:
bit.ly/bibliotr

16