Professional Documents
Culture Documents
Problema Apresentado
Uma escola particular com alunos de alto poder aquisitivo foi vítima de sequestro de dados. O hacker que
realizou esse sequestro de dados entrou em contato via mensagem eletrônica e, pediu um resgate de alto
valor a ser pago em bitcoins, no prazo de 24 horas. Se o resgate for pago os dados serão devolvidos para
a escola e, se não forem, a ameaça do sequestrador é vazar os dados dos alunos na rede mundial de
computadores, em especial os endereços e fotografias.
A diretoria da escola está muito temerosa das consequências e procura o escritório do grupo para uma
consulta.
As atividades que o grupo deverá realizar para solucionar este caso são:
1. Analisar as notícias publicadas na mídia a respeito de sequestro de dados.
2. Analisar o texto da Lei 13.709, de 2018, sobre o aspecto específico da responsabilidade civil.
3. Escrever um texto de até 80 linhas como um parecer jurídico, para definir se há ou não há
responsabilidade civil da escola sobre o vazamento de dados e, quais as consequências que poderão
resultar para a entidade, ou seja, se ela poderá ser condenada a pagar indenização caso o sequestrador
cumpra a promessa de vazar os dados.
4. O texto deverá ser postado para a avaliação.
PARECER JURÍDICO
Ao(à) Sr(a). Dir(a) da escola XYZ
EMENTA: SEQUESTRO DE DADOS PESSOAIS. RESPONSABILIDADE CIVIL. DANOS MORAIS.
RESPONSABILIDADE DIRETA E OBJETIVA DA INSTITUIÇÃO SOBRE OS DANOS CAUSADOS. POSSIBILIDADE.
I. RELATÓRIO
II. FUNDAMENTAÇÃO
Por motivo de ordem lógica, impera-se responder em primeiro plano a última questão
citada acima. Destarte, temos que o dano moral é aquele que agride o âmago do indivíduo, causando-lhe
constrangimento, perturbação interior, sofrimento psicológico. Ou seja, é aquele que fere diretamente a
dignidade da pessoa humana, mediante a violação frontal a direitos personalíssimos e a consequente
apuração de sensações e emoções negativas relacionadas à angústia e à humilhação. A par dessa
assertiva, passa-se a análise do primeiro quesito: sobre a existência de direito à indenização por danos
morais decorrentes do vazamento de informações pessoais. Sobre a temática, destacam-se os arts. XXX e
XXX da Lei nº XXXXXX (novo Código Civil), que dispõem respectivamente:
III.
As escolas são entidades que procedem a vários tipos de tratamentos de dados pessoais, para diferentes
finalidades, no desenvolvimento das suas funções e atividades. Têm a especialidade de tratar dados de
menores, alguns deles de grande sensibilidade, o que impõe naturalmente responsabilidades e cuidados
acrescidos na proteção dessa informação pessoal. Tratam também dados pessoais relativos ao pessoal
docente e não docente e aos encarregados de educação, bem como são um terreno fértil para a
realização de estudos e inquéritos vários, aplicados aos alunos.
Os nossos filhos são talvez a comunidade mais importante para a qual este novo regulamento ajuda a
fornecer novas proteções. À medida que as crianças usam cada vez mais aplicativos online, e como
nossas escolas estão usando novas tecnologias inovadoras online na sala de aula, essas novas proteções
dos dados pessoais são bem-vindas.
O tratamento de dados pessoais dos nossos filhos tem que ser realizado de forma confiável. O
fundamento dessa confiança é construído em torno dos princípios do RGPD.
Qualquer estabelecimento escolar que pretenda coletar e tratar dados dos alunos deve fornecer uma
base jurídica para essa ação. Se o consentimento for usado como base legal para o processamento de
dados, o consentimento deve ser fornecido por uma pessoa com responsabilidade parental se a criança
tiver menos de 16 anos. De notar que o aviso de consentimento e privacidade deve ser escrito em
linguagem simples que possa ser entendida por crianças e por quem tem a responsabilidade parental.
Para as escolas que usam serviços online na sala de aula, serviços de e-mail, redes sociais, colaboração
de documentos e material didático online, será necessária uma atenção especial para garantir que os
serviços utilizados sejam totalmente compatíveis com o RGPD.
Sensibilizar
· Certificar que os pessoais docentes e não docentes dentro da escola estão cientes das novas regras
de proteção de dados pessoais ao abrigo do RGPD
· Estar ciente das implicações ao nível da responsabilidade da gestão do estabelecimento escolar por
não estar em conformidade com as obrigações do RGPD
· Realizar ações de formação para que as pessoas entendam as mudanças dentro da escola
O RGPD exige que as organizações nomeiem um Encarregado de Proteção de Dados (DPO) obrigatório
somente em determinadas circunstâncias (artigo 37º).
Esta função pode ser desempenhada por um elemento interno da organização ou pode ser contratada a
uma entidade externa.
Nas situações em que não seja mandatório nomear um DPO, na minha opinião, é sempre recomendável
nomear um ponto de contato, alguém interno ou externo por subcontratação, que seja o responsável
por informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a
avaliação do impacto da proteção de dados, monitorizar a conformidade da proteção de dados,
ministrar formação, realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de
contacto com os titulares dos dados e com as autoridades de controlo da proteção de dados.
Consideras os dados que a escola possui e o que faz com esses dados
· Realizar um mapeamento e inventariação dos dados pessoais que a escola atualmente possui, dos
tratamentos e dos fluxos de dados pessoais para terceiros. É provável que isso implique uma auditoria
completa de proteção de dados.
· Rever a base jurídica para processar os dados pessoais que a escola possui. Por exemplo, a escola
obteve o consentimento dos pais / funcionários ou o processamento necessário para que a escola
cumpra suas obrigações legais?
Note que crianças menores de 16 anos não podem "consentir" o processamento de seus dados
pessoais.
Rever como a escola procura, obtém e registra dados pessoais e o consentimento dos titulares dos
dados.
· A escola possui sistemas adequados para corrigir ou apagar dados a pedido de um indivíduo?
· Consegue-se detetar qualquer violação de dados logo que ocorra e comunicá-la em 72 horas?
O ponto de partida para esta missão é garantir que as escolas tenham as técnicas e as medidas
organizacionais de que precisam para ser seguras e produtivas no nosso mundo digitalmente
transformador e que cumpram as obrigações do novo regime do RGPD.
Carlos Silva
DPO- Certified Data Protection Officer
RGPD / GDPR Implementation Project Lead
APDPO PORTUGAL – Membro Ass.dos Profissionais de Proteção e de Segurança de Dados
Formador CCP nº F660014
Em março deste ano a imprensa mundial divulgou o escândalo envolvendo as empresas Facebook e
Cambridge Analytica (empresa inglesa de análise de dados). Os dados pessoais de 87 milhões de perfis
de usuários do Facebook nos Estados Unidos e Reino Unido foram utilizados indevidamente pela
Cambridge Analytica nas campanhas presidencial americana e Brexit (saída do Reino Unido da União
Europeia), em 2016.
A União Europeia aprovou em maio o Regulamento Geral sobre a Proteção de Dados (GDPR – General
Data Protection Regulation), que garante maior proteção de dados às pessoas que se encontram no seu
território. A GDPR tem eficácia e aplicação extraterritorial. Todos os países que realizam transações
comerciais ou ofereçam produtos e serviços à União Europeia, como o Brasil, terão que se adequar às
diretrizes do GDPR.
Após oito anos de discussões no Congresso Nacional, o Presidente Michel Temer, no dia 14 de agosto
sancionou a Lei Geral de Proteção de Dados Pessoais – LGPDP (Lei Federal nº 13.709), cujas regras
passarão a valer em fevereiro de 2020 - período previsto para que as empresas públicas e privadas se
adaptem à nova legislação.
Houve veto ao artigo da LGPDP que criava a ANPD (Autoridade Nacional de Proteção de Dados) – órgão
da Administração Pública Indireta, responsável por zelar, implementar e fiscalizar o cumprimento da
LGPDP - sob o argumento que o Legislativo não pode propor ao Executivo a estrutura e a composição
de um novo órgão. O Presidente Temer afirmou que enviará um projeto de lei ou Medida Provisória
para a criação da Autoridade. Especialistas defendem que o órgão é indispensável para a efetividade da
aplicação das regras previstas na LGPDP.
A LGPDP dispõe a respeito do tratamento de dados pessoais - inclusive nos meios digitais, por pessoa
natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade, privacidade e intimidade da pessoa natural.
Conforme a LGPDP, dados pessoais são aqueles relacionados à pessoa natural identificada ou
identificável (o nome e apelido, endereço da residência e eletrônico, CPF, RG, telefone etc) ou os
relacionados à sua origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou
organização de caráter religioso, filosófico ou político e os referentes à sua vida sexual, à sua saúde,
genética ou biometria (são os dados pessoais sensíveis).
O tratamento de dados pessoais envolve qualquer operação de coleta, armazenamento,
processamento, reprodução, compartilhamento, distribuição dentre outras atividades, nos ambientes
online e off-line e que tenham sido realizadas no território nacional.
Quando não for possível identificar a pessoa natural titular do dado pessoal (dado anonimizado), a
princípio, não serão aplicadas as regras da LGPDP. O mesmo ocorre em relação ao tratamento de dados
pessoais realizado por pessoa natural para fins exclusivamente privados e não econômicos ou para fins
jornalísticos e artísticos, acadêmicos ou relacionados com a segurança pública, defesa nacional,
segurança do Estado e atividades de investigação e repressão de infrações penais.
A LGPDP faz referência a alguns agentes relacionados ao tratamento de dados, tais como, o titular, o
controlador, o operador e o encarregado.
O titular é a pessoa natural a quem se referem os dados pessoais (usuário). Controlador é a pessoa
natural ou jurídica, de direito público ou privado, a quem competem as decisões relacionadas ao
tratamento de dados pessoais. O operador é a pessoa natural ou jurídica, de direito público ou privado,
que realiza o tratamento de dados pessoais em nome do controlador. E o encarregado é a pessoa
natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os
titulares e a autoridade nacional.
O titular de dados, regra geral, deve dar previamente o seu consentimento para o tratamento de seus
dados. Referido consentimento deverá ser por escrito ou por meio que demonstre a sua manifesta
vontade. Deve ser concedido para uma finalidade específica e poderá ser revogado a qualquer tempo. O
controlador precisa notificar e solicitar novo consentimento do titular caso utilize as informações para
outra finalidade que não a aceita pelo titular.
O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor
interesse e com o consentimento específico de um dos pais ou do responsável legal.
A LGPDP elenca algumas exceções para a necessidade do prévio consentimento do titular: cumprimento
de obrigação legal ou regulatória; execução de políticas públicas; exercício regular de direitos em
processo judicial, administrativo ou arbitral; proteção do crédito; e quando os dados já são públicos.
O titular terá direito de saber quais dados o operador possui sobre ele e, se necessário, solicitar a
revisão das informações. Assim como, solicitar a transferência, a exclusão dos seus dados ou a
portabilidade para outro fornecedor ou prestador de serviço.
Se a segurança dos dados pessoais for violada e acarretar risco ou dano relevante ao titular, o
controlador deverá informar a autoridade nacional e o titular, indicando a natureza dos danos afetados,
os riscos e as medidas adotadas para reverter ou mitigar prejuízos.
No caso de descumprimento das regras da LGPDP pelas empresas ou órgão do governo poderão ser
aplicadas as seguintes penalidades pela autoridade nacional: advertência, multa de 2% do faturamento
anual da pessoa jurídica limitada a R$ 50 milhões, publicização da infração e bloqueio ou eliminação dos
dados pessoais.
A LGPDP ao dar ênfase à transparência nas relações digitais aumentará a proteção de privacidade dos
cidadãos e, ao mesmo tempo, proporcionará mais segurança jurídica para as empresas e órgãos do
governo.
Palavras chave: : Lei Geral de Proteção da Dados Pessoais (LGPDP); Autoridade Nacional de Proteção de
Dados (ANPD); tratamento de dados pessoais; consentimento; penalidades.
*Mariana Uyeda Ogawa - Graduada em Direito (USP). Mestre em Direito das Relações Sociais (PUC/SP).
Especialista em Direito Contratual (PUC/SP) e em Gestão Pública (University of La Verne, CA). Professora
da Escola de Contas do TCMSP.
Referências
http://www.escoladecontas.tcm.sp.gov.br/artigos/1517-lei-geral-de-protecao-de-dados-pessoais -
Mariana Uyeda Ogawa - Lei Geral de Proteção de Dados Pessoais