Tempo de permanência dos dados de acordo com a LGPD

Limitações ao tratamento de dados pessoais não impedem o controlador de resguardar seus direitos. A LGPD autoriza o tratamento de dados pelo controlador para exercício regular de direito (artigo 7°, V), sempre que houver legítimo interesse (artigo 7°, IX).

O empregador é detentor de informações pessoais de seus empregados e embora a LGPD autorize as empresas a usarem os dados pessoais dos seus empregados para a legítima execução dos contratos, em benefício do próprio trabalhador, não se pode desconsiderar cautela e observância das regras da LGPD em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.

Como fazer um mapeamento de dados de acordo com a LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma realidade para o nosso país e todas as empresas que realizam o tratamento de dados pessoais precisam estar preparadas para recebê-la.
A LGPD tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa física. Para garantir a proteção, essa lei dispõe sobre o tratamento de dados pessoais, em meios físicos e digitais, tanto por pessoa física quanto por pessoa jurídica, de direito público ou privado.
No artigo “Na prática: como potencializar a minha empresa para atender a Lei Geral de Proteção de Dados?”, coloquei 4 passos que a empresa precisa se atentar para iniciar o projeto de adequação e o terceiro passo é a construção de um Data Mapping, ou seja, o entendimento da estrutura interna para a construção de um mapeamento de dados pessoais.
Nesse artigo, você aprenderá o que precisa para construir esse mapeamento da LGPD.

Justiça de Brasília impede comercialização de bancos de dados e cadastros no Mercado Livre

via Semanário InternetLab

No dia 15.10.2020, a 17ª Vara Cível de Brasília deferiu pedido de tutela de urgência do Ministério Público do Distrito Federal e dos Territórios (MP-DFT) para impedir comercialização de dados pessoais no Mercado Livre. De acordo com a decisão, o MP-DFT identificou que um usuário estaria ofertando no Mercado Livre bancos de dados e cadastros em geral de brasileiros por R$ 500,00. Em razão disso, ajuizou ação civil pública, com fundamento na Constituição Federal (CF) e na Lei Geral de Proteção de Dados Pessoais (LGPD). Ao analisar o pedido, o juiz Caio Sembongi, da 17ª Vara Cível de Brasília, entendeu que os elementos presentes nos autos demonstram a comercialização maciça de dados pessoais – informações relacionadas à pessoa natural identificada ou identificável –, em infração às normas constitucionais sobre inviolabilidade do sigilo de dados e sobre respeito à privacidade. Além disso, o magistrado destacou que inexistem indícios de consentimento dos titulares dos dados quanto à comercialização, o que tornaria o tratamento irregular, nos termos do art. 44 da LGPD. Assim, o juiz determinou a interrupção da disponibilização, de forma gratuita ou onerosa, digital ou física, de dados pessoais de quaisquer indivíduos, sob pena de multa no valor de R$ 2.000,00, e o fornecimento, pelo Mercado Livre, dos dados cadastrais do usuário responsável pela comercialização.

[União Europeia] Tribunal de Justiça considera ilegal leis nacionais de retenção massiva de dados de comunicação

via Semanário InternetLab

No dia 06.10.2020, o Tribunal de Justiça da União Europeia (CJEU) decidiu que Reino Unido, França e Bélgica devem respeitar a legislação da União Europeia na coleta e retenção de dados de telecomunicação. De acordo com a decisão da corte europeia, as leis nacionais que exigem que as aplicações de serviços de telecomunicações retenham e transmitam indiscriminadamente dados de tráfego e dados de geolocalização com o objetivo de combate ao crime ou de proteção à segurança nacional violam a legislação da União Europeia e, portanto, são ilegais. No entanto, a corte permitiu que o Estado-Membro, em caso de “ameaça grave à segurança nacional que se revele genuína e presente ou previsível”, poderá derrogar a obrigação de garantir a confidencialidade dos dados relativos às comunicações e requerer, por meio de medidas legislativas, a retenção geral e indiscriminada de dados de telecomunicações “por período limitado e estritamente necessário”, que pode ser estendido se a ameaça persistir. Nos casos de combate à criminalidade grave e a graves ameaças à segurança pública, o Estado-Membro pode prever, também, a coleta e retenção seletiva dos dados de comunicação. De acordo com a decisão, a coleta e retenção massiva de dados deve ser acompanhada de salvaguardas eficazes e ser revista pelo poder judiciário ou por autoridades administrativas independentes. A decisão foi proferida no âmbito dos processos C-623/17 (referente ao caso britânico), movido pela organização Privacy InternationalC-511/18 e C-512/18 (relativo ao caso francês); e C-520/18 (sobre a Bélgica), movidos pela La Quadrature du Net. De acordo com a Privacy International, a coleta em massa de dados viola direitos fundamentais como a privacidade, proteção de dados e liberdade de expressão, garantidos nos artigo 7, 8 e 11 da Carta de Direitos Fundamentais da União Europeia. A La Quadrature du Net avaliou a decisão como uma “derrota vitoriosa”, pois embora a França não possa mais impor a obrigação de retenção em massa de metadados, as exceções previstas pela Corte “reduzem a eficácia do direito à privacidade e inevitavelmente levarão a abusos”.

[Reino Unido] Investigação não encontra ilegalidades da Cambridge Analytica em campanhas políticas

via Semanário InternetLab

No dia 06.10.2020, Elizabeth Denham, chede da autoridade britânica de proteção de dados, divulgou a conclusão da investigação da ICO (Information Commissioner’s Office) sobre o uso de dados pessoais em campanhas políticas. Em 28.10.2018, a agência havia multado o Facebook em 500 mil libras por vazamentos de dados ligados à Cambridge Analytica. Desde então investigações vinham sendo conduzidas pelo órgão para identificar ilegalidades na atuação da empresa de consultoria. Em carta enviada pela autoridade ao Parlamento Inglês, Denham afirma que foram analisados 42 laptops e computadores, 700 TB de dados, 31 servidores, mais de 300.000 documentos e uma ampla gama de materiais físicos e armazenados na nuvem. No entanto, após três anos de investigação, não foram encontradas evidências de ilegalidades. A investigação também concluiu que os dados não foram utilizados para influenciar o resultado do Referendo do Brexit. Segundo Denham, a “investigação foi concluída, mas nosso trabalho nesta área não termina aqui”. A Comissária informou que em breve publicará um relatório das auditorias realizadas pelo ICO aos partidos políticos, bem como fará atualizações nas orientações sobre campanhas políticas ainda esse ano.

Senacon investiga compartilhamento irregular de dados pessoais

Via Boletim DPBR

Senacon investiga comercialização de dados pessoais, já existindo 34 processos administrativos em andamento desde o início da vigência da LGPD. Em todos os casos há a suspeita coleta de dados sem consentimento para melhorias em anúncios publicitários, e o processo busca avaliar as políticas de privacidade de cada empresa para confirmar se estas esclarecem ao usuário que está concordando com um compartilhamento de dados. Outro fator relevante sobre o compartilhamento é que ele estaria sendo feito por meio de aquisição de empresas que consequentemente incorporaram o banco de dados da outra. A Senacon ainda não divulgou quais seriam as entidades investigadas.

[Educação] Proposta quer estabelecer diretrizes para tratamento de dados pessoais nas ferramentas de ensino à distância

Via Semanário InternetLab

No dia 23.09.2020, o deputado Danilo Cabral (PSB/PE) apresentou na Câmara dos Deputados o Projeto de Lei nº 4695/2020, que altera a Lei 9.394/2020, para estabelecer diretrizes para o tratamento de dados pessoais em plataformas tecnológicas de ensino à distância. O projeto acrescenta na lei que estabelece diretrizes e bases da educação nacional um dispositivo prevendo que plataformas de ensino à distância deverão observar os requisitos de tratamento de dados pessoais da Lei Geral de Proteção de Dados (LGPD). O texto determina ainda que as plataformas de ensino à distância devem garantir, sempre que possível, o uso da tecnologia sem o fornecimento e compartilhamento de dados pessoais e a não coleta e disponibilização de dados sensíveis. Além disso, as plataformas também devem garantir que a coleta de dados de pais, alunos e profissionais da educação só será feita mediante consentimento e que os dados serão armazenados em território nacional, só podendo ser usado para treinamento de sistemas de inteligência artificial mediante expresso consentimento do titular.

Tribunal do DF cria Política de Privacidade dos Dados das Pessoas Físicas

Atento à nova legislação de política de proteção de dados, cujo início da vigência ora se aproxima, o Tribunal de Justiça do Distrito Federal e Territórios (TJDFT) deu mais um passo rumo à adequação da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD). A Política de Privacidade dos Dados das Pessoas Físicas (PPD) foi publicada em 8 de setembro no DJe, por meio da Resolução 9/2020.

Brasileiros aceitam vender dados pessoais em troca de vantagens

Pesquisa mostra que 80% dos entrevistados não revelaram qualquer desconforto em usar seus dados pessoais para obter vantagens. Quase 40% não se importaram com o rastreamento das atividades pelos governos e quase 50% trocariam seus dados por vistos de entrada em outro país. Mis de 60% dos brasileiros nunca ouviram falar em social rating.

Continue lendo…