ANPD recomenda que incidentes de segurança sejam comunicados em até dois dias úteis

A ANPD (Autoridade Nacional de Proteção de Dados) disponibilizou ontem, dia 22 de fevereiro, em seu site, formulário de comunicação de incidente de segurança de dados pessoais à ANPD, bem como orientações sobre o que fazer em caso de um incidente. Esses documentos servem como guia para os agentes de tratamento enquanto não realizada a necessária regulamentação.

Querem entregar seus dados para a polícia

Termos de Uso do Cadastro Base do Cidadão permitem o compartilhamento de dados pessoais para a polícia, indo contra a LGPD e a Constituição Federal.

O Cadastro Base do Cidadão tem sido implementado pelo governo federal com a promessa de aumentar a eficiência da administração pública. Para o usuário desavisado, ele se traduz como um simples login e senha únicos para acessar diversas plataformas públicas. Ajuda a vida do cidadão, que terá que se lembrar de apenas uma senha para utilizar qualquer plataforma pública, seja do INSS ou do CNPq. Vantagens à parte, acadêmicos e sociedade civil têm chamado atenção para os riscos inerentes à concentração de dados em mega cadastros, como o Cadastro Base do Cidadão.

As novas regulamentações propostas pela Comissão Europeia às big techs

Recentemente, a Comissão Europeia — braço executivo da União Europeia —, com intuito de aumentar a concorrência entre as pequenas e médias empresas e as gigantes plataformas online, como a Google, Facebook e Apple, propôs a criação de duas novas regulamentações que objetivam o monitoramento das big techs.

Foram propostas a Lei de Serviços Digitais e a Lei Digital de Mercados, tais quais visam a criar limites e novas regras para todos os serviços digitais, incluindo as redes sociais, o e-commerce e demais plataformas.

Análise: Contratações do governo não seguem princípios de prevenção e segurança de dados

Após quase dois anos e meio da sanção da Lei Geral de Proteção de Dados (LGPD), o governo brasileiro tem demonstrado dificuldades em fazer valer o princípio da prevenção, que exige adotar medidas para prevenir a ocorrência de danos no tratamento de dados pessoais.

O caso do vazamento de senhas que permitiu a visualização de informações sensíveis de pacientes de covid-19, denunciado semana passada pelo Estadão, não pode ser visto isoladamente, considerando as denúncias de entidades civis sobre outras vulnerabilidades que permitem a exposição de dados de saúde. Incidentes de segurança em razão de más práticas de acesso ao sistema ElasticSearch não são novidade.

LGPD e as relações de trabalho: fase pré-contratual, contratual e pós-contratual

Lei Geral de Proteção de Dados Pessoais – LGPD reflete diretamente nas relações de trabalho. No que diz respeito ao âmbito trabalhista, a aplicação da LGPD, engloba as fases anteriores à celebração do contrato, como a coleta de informações sobre o candidato, o currículo, o histórico, entre outros, até a execução do contrato de trabalho. Assim, é necessário compreender os impactos da lei indicada nas rotinas e nos contratos de trabalho, dentre eles as fases pré-contratual, contratual e pós contratual.

Mesmo que uma empresa preste serviços ou venda produtos exclusivamente às pessoas jurídicas, não podemos esquecer que empresas são feitas de pessoas. Essas pessoas (funcionários, colaboradores, diretores, prestadores de serviços, representantes, etc) também são titulares, perante a LGPD, e devem ter seus dados pessoais e sensíveis protegidos.

Assim, dentro das relações de trabalho, considerando que há grande tráfego deste tipo de informações, necessária a adequação de toda e qualquer empresa à LGPD. Vejamos:

Proceed With Caution When Remotely Monitoring Employees in the EU

One effect of COVID-19 has been a sharp increase in businesses’ use of remote surveillance solutions to protect corporate resources and monitor the productivity and behavior of employees who will be working from anywhere but the office for the foreseeable future. Although such tools can provide valuable performance insights and mitigate data loss and other risks, they can also significantly increase a business’s legal risk.

This is especially true for businesses with employees working in the EU, where employee privacy is typically protected to a much greater extent than in the United States. Indeed, the German subsidiary of international retailer H&M recently learned a €35.3 million (approximately $41 million) lesson about these legal risks after being fined by a supervisory authority in connection with a workforce monitoring program that “led to a particularly intensive encroachment on employees’ civil rights.”

Employers are permitted to monitor EU employees at work, as long as they comply with the laws and regulations of both the EU and individual Member States. This includes the EU’s General Data Protection Regulation (GDPR), which applies to any U.S. or multinational business that has employees in, or monitors the behaviors of, individuals in the EU.

Remote surveillance solutions increasingly offer sophisticated features that promise—among other things—to identify suspicious activity, detect potential insider threats, and provide real-time alerts about employee behaviors. But automated technologies that generate insights or conclusions about employees based on data collected from employer-monitored systems, networks, and connected endpoints can generate additional risk because the GDPR (as well as the laws of some individual Member States) provides protections for individuals subject to automated decision making and profiling.

Further, the use of employee surveillance solutions powered by Artificial Intelligence (AI) and Machine Learning (ML) technologies may trigger additional compliance requirements under the GDPR. We will explore those issues and others, and offer risk mitigation strategies that employers should consider before monitoring employees in the EU.

Health Data Made in France- Is France Moving Towards a Sovereign Cloud Requirement for Health Data?

Since the decision of the European Court of Justice (“ECJ”) in the Schrems II case, transfers of personal data from the EU to the United States have been under scrutiny. The ECJ reviewed the situation where personal data are sent from an EU affiliate to its U.S. headquarters as part of how the company structured its business-as-usual practices. But what the ECJ did not consider is whether the mere fact that an EU company is affiliated with a U.S.-headquartered company is problematic, even if no transfer of personal data to the United States takes place.

Whether merely being affiliated with a U.S.-headquartered company is a problem from a data transfer perspective is precisely what a number of associations (“claimants”) and the French data protection authority (“CNIL”) argued in a recent appeal before the French Council of State. This question arose in the context of a case involving Microsoft Ireland in respect of its hosting of French public health data. The claimants and the CNIL argued that any affiliation of an EU hosting provider, in this case Microsoft Ireland, with a U.S. parent company, in this case Microsoft U.S., is in and of itself problematic. The claimants and the CNIL contended that because of such affiliation, U.S. authorities could have jurisdiction over data held by Microsoft Ireland in the EU. As a result, the claimants called for the immediate suspension of the use of Microsoft Ireland, even though Microsoft Ireland had already committed to storing the data in a pseudonymized form in the EU. The French Council of State, however, denied the immediate suspension of the use of Microsoft. While this seems like a good outcome for transatlantic commerce, the Council’s decision suggests that in the future, organizations will be required to use a French-based cloud solution. We provide further details below.

A Lei Geral de Proteção de Dados Pessoais nos setores condominial e imobiliário

A regulamentação das políticas de uso de dados, por meio de uma lei específica, há muito tempo vinha sendo discutida no Brasil, o que resultou na aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), em 14 de agosto de 2018, influenciada pela GDPR (General Data Protection Regulation), que regulamenta a temática da proteção dos dados nos países europeus e está em vigor desde maio de 2018.

Em vigor desde agosto deste ano, a nova lei impacta diversos setores da sociedade, que precisam se adequar às novas regras, como as administradoras de condomínio e imobiliárias, que necessitam cuidar dos dados dos condôminos, locadores e locatários – sendo, em alguns casos, considerados como dados pessoais sensíveis.

Como garantir uma página de captura de dados adequada à LGPD

Em agosto de 2018 foi sancionada a Lei de Proteção de Dados – LGPD, que visa mudar como as organizações públicas e privadas coletam, tratam, guardam e processam os dados pessoais dos consumidores. A lei entrou em vigor em setembro de 2020 e regulamenta a privacidade e proteção aos dados pessoais, impactando de maneira drástica como empresas e órgãos públicos tratam a segurança das informações dos usuários. Com isso, a forma como você coleta os dados de seus clientes, por meio das páginas de captura, deverá ser repensada para se adequar à LGPD. 

Isso influencia até mesmo a forma como é planejada a sua estratégia de marketing. Mas fique tranquilo, nós vamos mostrar como garantir que uma landing page que esteja dentro das normas da nova lei.