Noronha e Nogueira Advogados

Tag: ANPD

  • ANPD presta esclarecimentos sobre o relatório de impacto à proteção de dados pessoais

    ANPD presta esclarecimentos sobre o relatório de impacto à proteção de dados pessoais

    Tempo de leitura: 4 minutos

    O relatório de impacto de proteção de dados pessoais (RIPD) é um dos principais documentos a ser elaborado em projeto de adequação à LGPD e deve ser revisado continuamente, principalmente quando fatos novos modificarem os riscos identificados, ou no caso de novas regulamentações.

    A partir de consultas que foram formuladas à ANPD, assim como, ao elencar possíveis dúvidas que possam surgir aos agentes de tratamento e titulares de dados pessoais, a ANPD elaborou perguntas básicas com as respectivas respostadas sobre os conceitos, constituição, elaboração, critérios, requisitos, implementação, registro e aplicação do RIPD.

    Desde 6/4/23, é possível acessar no website da ANPD esclarecimentos sobre o RIPD, para melhor compreensão do relatório e sanar possíveis dúvidas.

    As considerações são preliminares sobre o tema, que ainda está em processo de regulamentação, e buscam orientar melhor os controladores de dados pessoais e agentes de tratamento, para que possam agir em conformidade com a LGPD e normas regulamentadoras da ANPD.

    A formalização do RIPD é de responsabilidade da empresa controladora dos dados pessoais, e de acordo com a definição da ANPD tem como finalidade descrever os processos de tratamento de dados com alto risco à garantia dos princípios gerais de proteção, das liberdades civis e dos direitos fundamentais dos titulares de dados, que estão previstos na LGPD. Além disso, o relatório também deve incluir medidas de proteção e mecanismos com o intuito de diminuir os riscos aos direitos dos titulares.

    A LGPD listou algumas situações específicas em que o RIPD poderá ser exigido pela ANPD, tais como:

    • Nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
    • Quando o tratamento tiver como fundamento a hipótese de legítimo interesse;
    • Para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD;
    • E para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis.

    Segundo a LGPD, a elaboração do RIPD deve ocorrer no início do tratamento de dados pessoais, após a avalição dos possíveis riscos que possam se enquadrar nas situações específicas já previstas na LGPD. No caso dos dados em tratamento, deverá ser elaborado RIPD assim que identificado que uma das vertentes do tratamento possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares em questão.

    De acordo com a ANDP, a gestão dos riscos é um processo sistemático que determina a aplicação do controle diante do perfil de riscos. A identificação e análise desses fatores devem ser documentadas e justificadas, para que possam demonstrar que as decisões tomadas foram as mais adequadas, com base nas informações disponíveis.

    Assim, compete ao controlador identificar o maior número possível de fatores, principalmente os mais relevantes, que possam afetar à proteção os dados pessoais que serão tratados, além de estimar a probabilidade de materialização do risco e o impacto inerente.

    Esse impacto dependerá dos danos que podem ser causados aos titulares, em particular no âmbito dos seus direitos e liberdades, tais como perda de confidencialidade, integridade ou disponibilidade de dados, reversão da anonimização, uso de dados para fins incompatíveis, ou qualquer forma de tratamento inadequado ou ilícito.

    Quais são os requisitos mínimos para elaboração do RIPD?

    • Descrição dos tipos de dados pessoais coletados ou tratados;
    • Metodologia usada para o tratamento e para a garantia da segurança das informações; e
    • Análise do controlador com relação a medidas, salvaguardas e mecanismos adotados para mitigação de riscos.

    No tratamento de dados em geral, quando verificado que as operações de tratamento podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais da LGPD, deve-se adotar como parâmetro a definição de “alto risco” prevista no art. 4º da resolução 2/22 da ANPD, que trata da aplicação da LGPD para agentes de tratamento de pequeno porte, bem como às liberdades civis e aos direitos fundamentais do titular:

    • Critério geral: atividade de larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares; e
    • Critério específico: uso de tecnologias emergentes ou inovadoras, existência de vigilância ou controle de zonas acessíveis ao público, tomada de decisões unicamente com base em tratamento automatizado de dados pessoais, ou utilização de dados pessoais sensíveis.

    No mais, o RIPD deve ser suficientemente detalhado contendo as informações necessários para que tanto a ANPD quanto os agentes de tratamento tenham ampla compreensão do que envolve, e da forma como ocorre o tratamento, assim como os riscos associados, tal qual especificado pela ANPD:

    • Identificação dos agentes de tratamento, encarregado e outras partes envolvidas ou interessadas;
    • Justificativa da necessidade de elaboração do relatório (por exemplo: identificação de alto risco, solicitação da ANPD, prevenção etc.);
    • Sistemas de informação;
    • Tratamento de dados, incluindo a descrição do tratamento (desde a coleta até a eliminação); dados pessoais coletados; dados pessoais sensíveis; categorias de titulares envolvidos; se há coleta de dados de crianças e adolescentes ou outra categoria de titulares (como clientes, funcionários, beneficiários ou familiares do controlador) e de vulneráveis (como idosos, se aplicável); volume de dados pessoais tratados e número de titulares envolvidos; a fonte de coleta dos dados; finalidade do tratamento de cada dado; compartilhamento externo e interno, incluindo transferência internacional; e política de armazenamento dos dados com descrição dos prazos de retenção e métodos de descarte;
    • Identificação da(s) base(s) legal(is) e análise do atendimento de princípios da LGPD;
    • Riscos identificados com avaliação da probabilidade de materialização do risco e o impacto efetivo ao titular;
    • Medidas adotadas para mitigação de cada risco, reavaliação do risco após a adoção de medida e indicação de eventual risco residual.

    O RIPD deve ser revisado?

    O RIPD deve ser revisado continuamente, principalmente quando fatos novos modificarem os riscos identificados, ou no caso de novas regulamentações.

    Enquanto o procedimento não é totalmente regulamentado, os controladores de dados possuem flexibilidade para determinar estruturas e formatos do RIPD, tal qual disposto na LGPD. O processo de regulamentação do RIPD, previsto na Agenda Regulatória da Autoridade para o biênio de 2023-2024, já foi iniciado pela ANPD e se encontra em fase de elaboração.

    Fonte: https://www.migalhas.com.br/depeso/385228/relatorio-de-impacto-a-protecao-de-dados-pessoais

    O intuito da ANPD é orientar e esclarecer a sociedade sobre o relatório, que ainda será regulamentado pela Autoridade.

    O processo de regulamentação do RIPD, previsto na Agenda Regulatória da Autoridade para o biênio 2023-2024, já foi iniciado e encontra-se em fase de elaboração.

    Se você tem dúvidas quanto a implementação da LGPD na sua empresa, entre em contato conosco agora mesmo clicando aqui.

    Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?

    O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei bem como, nos processos de compliance trabalhista.

    Melissa Noronha Marques de Souza é sócia no escritório Noronha e Nogueira Advogados.

    Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie e em Coaching Jurídico pela Faculdade Unyleya

    Com formação em Professional & Self Coaching, Business and Executive Coaching e Analista Comportamental pelo Instituto Brasileiro de Coaching – IBC.

    É membro efetivo da Comissão Especial de Advocacia Trabalhista OAB/SP.

    É membro efetivo da Comissão Especial de Privacidade e Proteção de Dados OAB/SP.

  • ANPD publica regulamento de aplicação de sanções

    ANPD publica regulamento de aplicação de sanções

    Tempo de leitura: 3 minutos

    Em 27/02/2023 a Autoridade Nacional de Proteção de Dados – ANPD – publicou a RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023 que aprova o Regulamento Dosimetria e Aplicação de Sanções Administrativas, que disciplina as penalidades impostas para violações à Lei Geral de Proteção de Dados.

    As empresas que descumprirem a Lei Geral de Proteção de Dados (LGPD) podem, a partir de agora, ser alvo de multas e outras penalidades administrativas.

    O que é a dosimetria?

    Dosimetria é o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator.

    O Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo respeito à LGPD.

    Ao publicar o referido regulamento, a ANPD abre espaço para multas por violação à LGPD.

    O intuito da nova norma é estabelecer parâmetros e critérios para aplicação de penalidades por descumprimento à Lei Geral de Proteção de Dados – LGPD.

    É o que faltava para que os infratores sejam responsabilizados por violações à LGPD. A resolução foi elaborada após um longo processo, que incluiu audiência pública e a apreciação de milhares de sugestões de diversos setores.

    As infrações serão ordenadas em conformidade com a gravidade e natureza, além dos direitos pessoais afetados. Serão classificadas como média quando puderem impactar interesses e direitos fundamentais dos titulares, bem como lhes causar danos materiais ou morais.

    A infração será considerada grave quando houver obstrução à atividade de fiscalização ou afetar os titulares do mesmo jeito que na infração média e, ao mesmo tempo:

    • envolver tratamento em larga escala; ou
    • o infrator auferir ou pretender auferir vantagem econômica; ou
    • implicar risco à vida dos titulares; ou
    • envolver tratamento de dados sensíveis ou de crianças, adolescentes ou idosos; ou
    • o tratamento ter sido realizado sem amparo em uma base legal; ou
    • tratamento tiver efeitos discriminatórios ilícitos ou abusivos; ou
    • verificada a adoção sistemática de práticas irregulares.

    A reincidência foi dividida em duas categorias, a específica e a genérica. Específica se dá quando um mesmo agente desrespeita a mesma regra no período de cinco anos, do trânsito em julgado até a data da nova infração. Já a genérica acontece quando o mesmo infrator descumpre alguma regra legal ou regulamentar, independentemente de qual, em igual período.

    No Apêndice I do Regulamento está descrita a metodologia de cálculo do valor das sanções de multa.

    Para infrações leves, as alíquotas variam de 0,08% a 0,15% do faturamento. O intervalo estabelecido para infrações médias está entre 0,13% e 0,5%, enquanto para infrações graves os valores serão fixados de 0,45% a 1,5%. Na seção, também está descrito o grau do dano, que será usado em uma fórmula matemática para o cálculo da multa.

    A dosimetria das infrações é uma das formas de obrigar a adequação das empresas à lei, sendo que muitas delas, ainda estavam esperando para ver se a lei realmente seria objeto de fiscalização.

    Todavia, com a publicação da norma pela ANPD as empresas precisarão correr para se adequar e passar a tratar dados pessoais de forma apropriada e em conformidade com as regras da lei.

    Assim com a resolução publicada existe um parâmetro de como as multas vão ser aplicadas e começaremos a ver as primeiras conclusões de processos que estão tramitando na ANPD.

    Abaixo segue link de acesso ao conteúdo da Resolução nº 4 de 24/02/2023 da ANPD.

    https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077

    Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?

    O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei bem como, nos processos de compliance trabalhista.

    Melissa Noronha Marques de Souza é sócia no escritório Noronha e Nogueira Advogados.

    Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie e em Coaching Jurídico pela Faculdade Unyleya

    Com formação em Professional & Self Coaching, Business and Executive Coaching e Analista Comportamental pelo Instituto Brasileiro de Coaching – IBC.

    É membro efetivo da Comissão Especial de Advocacia Trabalhista da OAB/SP.

    É membro efetivo da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP.

  • Resolução da ANPD prevê flexibilizações da LGPD para microempresas e empresas de pequeno porte

    Resolução da ANPD prevê flexibilizações da LGPD para microempresas e empresas de pequeno porte

    Tempo de leitura: 4 minutos

    Nesse artigo vamos discorrer sobre as propostas de flexibilização da LGPD para microempresas e empresas de pequeno porte.

    Contudo, importante ressaltar, que independente das flexibilizações para os agentes de tratamento de pequeno porte, os princípios e as hipóteses de tratamento previstos no art. 6º. e 7º. da LGPD devem ser respeitados.

    É sabido que o investimento a ser dispendido com um projeto de adequação à LGPD não é baixo, o que, pode levar as microempresas e empresas de pequeno porte a falsa crença de não ser possível se adequarem a lei.  

    Vale lembrar que o art. 55-J, inciso XVIII da LGPD prevê procedimentos simplificados e diferenciados para as microempresas e empresas de pequeno porte e, também, para as startups ou empresas inovadoras, mediante normatização da Autoridade Nacional de Proteção de Dados (ANPD).

    Dessa maneira, a agenda regulatória da ANPD incluiu em seu item 3 uma ação para tratar da “proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos” e no último dia 30 de agosto submeteu a minuta de resolução à consulta pública, sendo que as sugestões devem ser enviadas até 29 de setembro através da plataforma Participa Mais Brasil.

    Nos dias 14 e 15 de setembro houve uma audiência pública por meio do canal da ANPD no Youtube.

    No início da citada resolução constam os conceitos de microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que foram denominados “agentes de tratamento de pequeno porte”, conforme trecho a seguir:

    Art. 2º Para efeitos desta resolução são adotadas as seguintes definições:

    I – microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006;

    II – startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do art. 4º da Lei Complementar nº 182, de 1º de junho de 2021;

    III – pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos;

    IV – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador; 

    Como dito, apesar de visar flexibilizar algumas regras, a ANPD ressalta que o porte da empresa “não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios do art. 6º. da LGPD.”

    Além disso, de acordo com o previsto no art. 3º da minuta da resolução, as flexibilizações não se aplicam para agentes que fazem tratamento de alto risco e em larga escala, como dados sensíveis ou de grupos vulneráveis (como de crianças, adolescentes e idosos), dados de vigilância ou controle de zonas acessíveis ao público, uso de tecnologias emergentes que podem causar danos materiais ou morais aos titulares e tratamento automatizado que afetem os interesses dos titulares (como a definição de perfil). Para esses casos, a ANPD irá disponibilizar guias e orientações para que os agentes de tratamento de pequeno porte possam avaliar se se enquadram nesses casos.

    Quais são as principais flexibilizações previstas minuta de resolução apresentada pela ANPD, para os agentes de tratamento de pequeno porte?

    1 – A resposta às requisições dos titulares em relação aos seus direitos6 (art. 18) pode ser feita por meio eletrônico ou impresso, além de serem dispensados de viabilizar a portabilidade dos dados a outro fornecedor de produto ou serviço (art. 18, inciso V) e de optar por anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou em desconformidade com a LGPD (art. 18, inciso IV);

    2 – Dispensa de fornecer declaração completa e clara, conforme art. 19, inciso II, da LGPD;

    3 – Dispensa da obrigação de manutenção de registros das operações de tratamento, prevista no art. 37 da LGPD;

    4 – Relatório de Impacto à Proteção de Dados Pessoais (RIPD) simplificado, quando exigido, a ser regulamentada em resolução específica;

    5 – Possível dispensa, flexibilização ou simplificação de procedimento para comunicação de incidente de segurança, a ser regulamentada em resolução específica;

    6 – Dispensa de indicação do Encarregado pelo Tratamento de Dados Pessoais (art. 41 da LGPD), mas com a disponibilização de um canal de comunicação para uso do titular;

    7 – Adoção de medidas administrativas e técnicas essenciais e necessárias em relação à segurança da informação, com base em guia orientativo que a ANPD irá disponibilizar;

    8 – Política de segurança simplificada, abordando os requisitos essenciais para o tratamento de dados pessoais, para proteção contra acesso não autorizado, destruição, perda, alteração e qualquer forma de tratamento inadequado ou ilícito, considerando o custo de implementação, estrutura, escala e volume das operações, bem como criticidade dos dados;

    9 – Prazo em dobro, para atendimento às requisições dos titulares, comunicação à ANPD e demais prazos estabelecidos pela Autoridade em normativos próprios;

    Nota-se que a ANPD vem exercendo seu papel educativo e que a LGPD não veio para inviabilizar o modelo de negócio das empresas. Ao contrário, a LGPD tem como fundamentos o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e ao mesmo tempo, conferindo proteção aos direitos fundamentais de liberdade e de privacidade do titular de dados.

     Por fim, sugestões da sociedade podem ser enviadas à minuta da resolução, o que, certamente, possibilitará que o texto inicial poderá ser melhorado

    O Escritório Noronha e Nogueira Advogados está atento e compromete-se a manter seus clientes atualizados quanto às notícias relacionadas à LGPD.

    Você também pode se interessar por:

    Empresários, Atenção! Ações Trabalhistas já estão sendo distribuídas com fundamento na LGPD

    Câmeras de segurança e vigilância nas empresas sob a ótica da LGPD

    Como o RH da empresa deve atuar para estar em conformidade com a LGPD?

    Impactos da LGPD nas relações trabalhistas.

    LGPD: Como controlar os dados dos colaboradores?

    Se você tem dúvidas quanto a implementação da LGPD na sua empresa, entre em contato conosco agora mesmo clicando aqui.

    Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?

    O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei.

    Melissa Noronha M. de Souza Calabró é sócia no escritório Noronha & Nogueira Advogados.

    Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie e em Coaching Jurídico pela Faculdade Unyleya

    Com formação em Professional & Self Coaching, Business and Executive Coaching e Analista Comportamental pelo Instituto Brasileiro de Coaching – IBC.

    É membro efetivo da Comissão de Coaching Jurídico da OAB/SP.