Dados pessoais: Considerações para empresas estrangeiras

Figura 1: Tablet com holograma com mapa mundi.

Nos termos do seu artigo 3º, a LGPD aplica-se a qualquer operação de tratamento de dados realizada por qualquer pessoa ou entidade, pública ou privada, desde que a operação de tratamento seja realizada em território nacional; a operação de processamento envolve a oferta ou fornecimento de bens ou serviços ou processamento de dados para pessoas físicas localizadas no Brasil; ou coleta de dados realizada em território brasileiro.

Assim, em geral, todas as empresas estrangeiras que tratam, de alguma forma, dados pessoais de pessoas físicas brasileiras devem cumprir a LGPD. Ainda nesse sentido, a Lei da Internet brasileira continha disposição muito semelhante (artigo 11), que resultou na mesma conclusão.

Essas disposições foram claramente fornecidas por tais leis porque, no passado, ocorreram muitas discussões judiciais envolvendo o processamento de dados de brasileiros no exterior. Algumas empresas estrangeiras tentaram evitar a aplicação das leis brasileiras e ordens judiciais, argumentando que o processamento dos dados era realizado fora do Brasil. Para evitar esse tipo de problema, essas recentes disposições legais reiteram que qualquer ação envolvendo dados pessoais de sujeitos brasileiros ou de pessoas físicas localizadas no Brasil dará origem à aplicação das leis brasileiras.

Cibersegurança e violações de dados

A Legislação Brasileira da Internet prevê que a disciplina de uso da internet no Brasil deve preservar a estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e incentivando a utilização das melhores práticas. O Decreto nº 8.771 / 2016, que regulamenta a Lei da Internet, também estabelece algumas diretrizes sobre os padrões de segurança que os provedores de conexão e aplicativos devem observar no processamento de dados pessoais e comunicações privadas, como controle rígido de acesso aos dados, mecanismos de autenticação para acesso a registros , inventários de acesso a registros e uso de soluções de gerenciamento de registros, como criptografia ou medidas equivalentes.

Além disso, a LGPD prevê que os agentes de processamento adotem medidas técnicas e administrativas de segurança e sejam capazes de proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer tipo de processamento impróprio ou ilícito.

Além das disposições gerais da Lei da Internet no Brasil e da LGPD, existem várias leis e regulamentos setoriais relativos aos requisitos de segurança cibernética para setores regulamentados específicos, incluindo:

a. Resolução nº 4.893 / 2021 do BACEN, que dispõe sobre a política de segurança cibernética e os requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem a serem observados por instituições autorizadas a operar pelo BACEN. Esta Resolução entrou em vigor em 1º de julho de 2021;

b. Resolução nº 85/2021 do BACEN, que dispõe sobre a política de cibersegurança e os requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem a serem observados por instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil. Esta Resolução entrou em vigor em 1º de agosto de 2021;

c. A Portaria nº 271/2017, que dispõe sobre a Política de Segurança da Informação e Comunicação do Ministério da Saúde; e

d. A Portaria nº 1.966 / 18 define as normas de segurança da informação e comunicação no âmbito do Ministério da Saúde.

Além disso, no setor público:

a. O Decreto nº 9.637 / 2018 aprova a Política Nacional de Segurança da Informação no âmbito da administração pública federal, para garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações em âmbito nacional; e

b. O Decreto nº 10.222 / 2020 aprova a Estratégia Nacional de Segurança Cibernética (E-Ciber), um plano de governo sobre as principais ações, nacional e internacionalmente, que pretende aplicar na área de segurança cibernética.

Em relação à retenção de dados, não há períodos específicos fornecidos; entretanto, a LGPD estabelece que a ANPD poderá fornecer normas sobre o período de retenção dos registros, principalmente considerando a necessidade dos dados e transparência aos titulares dos dados. Além disso, existem diversas especificações relacionadas ao período de retenção de registros em leis setoriais, como a obrigação legal de armazenamento de registros de conexão por provedores de conexão por um ano e o armazenamento de registros de acesso por provedores de aplicativos por seis meses, de acordo com o Lei da Internet no Brasil, por exemplo.

No que se refere aos requisitos de reporte de violação de dados, a LGPD estabelece que o controlador deve comunicar à ANPD e ao titular dos dados a ocorrência de qualquer incidente de segurança que possa causar risco ou dano relevante aos titulares dos dados. Esta atividade pode ser executada pelo DPO, visto que o DPO é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

Em fevereiro de 2021, a Autoridade adicionou explicações breves e requisitos de notificação de violações de dados ao seu site.

A ANPD define violação de dados como qualquer evento adverso confirmado relacionado a uma violação da segurança de dados pessoais. O site também fornece um modelo de formulário para relatar incidentes à Autoridade. A ANPD também indica as medidas a serem tomadas quando da notificação de uma violação de dados: (1) avaliação interna do incidente (natureza, categoria, número de titulares afetados, consequências prováveis); (2) comunicação ao DPO; (3) comunicação com o controlador, se a entidade afetada for o processador de dados; (4) comunicação à ANPD e aos titulares dos dados, se aplicável; e (5) preparação de documentação interna seguindo o princípio da prestação de contas.

A ANPD indica ainda que se o incidente for comunicado pelo processador de dados, a Autoridade irá analisá-lo subsidiariamente. A Autoridade indica que critérios mais objetivos para notificar o titular dos dados podem ser emitidos no futuro, mas que, de momento, o responsável pelo tratamento deve adotar uma postura cautelosa, comunicando o incidente aos titulares dos dados se houver algum risco de danos relevantes para eles, como quando o incidente envolve dados pessoais sensíveis, dados pessoais de crianças ou violação de imagem, entre outros.

Por último, a Autoridade recomenda que o incidente seja comunicado no prazo de dois dias úteis após o controlador dos dados ter conhecimento do mesmo, enquanto se aguarda a emissão de regulamentos vinculativos para o efeito pela Autoridade, que são esperados para o início de 2022.

Figura 2: Pessoas fechando um propósito.

Panorama

A entrada em vigor do Regulamento Geral de Proteção de Dados da UE em 2018 contribuiu para o endosso da LGPD no mesmo ano no Brasil, da mesma forma que já teve um impacto significativo nas empresas brasileiras que tratam dados pessoais de pessoas localizados na União Europeia, ou que transferem dados internacionalmente. Nesse sentido, o livre fluxo de dados entre os países da UE e o Brasil está condicionado ao nível de adequação da proteção de dados, que deve ser semelhante ao da UE. Além disso, as empresas brasileiras vêm realizando projetos de adaptação para cumprir a legislação de proteção de dados por meio da adoção de boas práticas de tratamento de dados pessoais baseadas em hipóteses autoritárias LGPD e princípios de proteção de dados pessoais.

A LGPD entrou em vigor em setembro de 2020, com exceção das sanções administrativas, que entraram em vigor em agosto de 2021. No entanto, a eficácia de algumas das disposições da LGPD requer regulamentação pela ANPD, o que se prevê que ocorra , de acordo com a agenda regulatória da ANPD para o biênio 20212022, estabelecida pela Portaria nº 11/2021.

Gostou do artigo? Deixe seu comentário, recomende e compartilhe.

Fonte: https://hermidamaia.adv.br/blog/lgpd/dados-pessoais-lgpd-empresas-estrangeiras.html