Tira Dúvidas
Para: Prof. Luciano
Pergunta:
Sobre as empresas em seus sites que cobram nossos dados, tipo o CPF, como requisito obrigatório para preenchimento dos dados, ou os sites que nos obrigam ao preenchimento de formulários para poder acessar a o conteúdo que desejamos ver? Isso é permitido? Caso não seja permitido como é a forma de denúncia desses casos, já que os mesmos estão tendo os nossos dados em seus arquivos. Outra questão é sobre as mensagens que recebemos importunas no whatsapp de empresas de consórcio, empréstimos, faculdades de pós graduações, enfim, mensagens estas recebidas sem nenhuma autorização ou fornecimento dos dados pessoais, como denunciar estas empresas que utilizam de nossas informações que não foram repassadas?
Resposta:
1) Sobre as empresas em seus sites que cobram nossos dados, vale fazer uma distinção entre cookies de acesso a determinado site e a criação de perfis nestes ambientes:
Os cookies são arquivos de armazenamento nos sites que, sem eles, não nos seria possível ingressar em um sítio eletrônico. Entretanto, dentre essas modalidades destacam-se os (i) cookies de sessão: memórias de nossos dados para futuras navegações; (ii) cookies persistentes: permanecem na memória do site até serem apagados pelo próprio usuário; e (iii) cookies de rastreamento: ou cookies de terceiros, onde nossos dados são compartilhados com parceiros do site o qual estamos visitando. Para qualquer desses casos a LGPD protege, mas não proíbe sua coleta e a política de privacidade do site deve apresentar a finalidade desses armazenamentos e o usuário/titular poderá NÃO CONCORDAR com os cookies persistentes e com os de rastreamento, entretanto, o cookie de sessão armazena no momento que entramos no site e deverá ser apagado ao sairmos. Sem este cookie de sessão não consegueríamos entrar no site.
Relativamente a criação de perfis, onde é muito comum o site exigir nosso nome, CPF, e-mail etc, a LGPD igualmente não proíbe tais coletas, desde que manifestadamente sejam declaradas as finalidades e necessidades dessas coletas, além é claro de contar com o consentimento expresso do titular. Ainda assim, mesmo após o titular concordar com essa coleta este consentimento poderá ser retirado e serem apagados os dados, totalmente.
Neste sentido, tanto os cookies quanto a criação de perfis são legais, desde que obedecidos os princípios da finalidade, adequação e necessidade, além de coletar o consentimento específico do titular. Na eventualidade de um titular sentir-se ofendido com o tratamento realizado, este deverá, primeiramente contatar o “fale conosco” do site, e no caso de não ser atendido, poderá recorrer ao instituto da PETIÇÃO DE TITULAR junto à ANPD. Para casos de descumprimentos mais graves, o recurso sería uma DENÚNCIA junto à ANPD. Ambos recursos disponíveis no site: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/denuncia-peticao-de-titular
2) Sobre as mensagens que recebemos importunas no whatsapp: representam descumprimento da LGPD, pois não observa o princípio da finalidade da coleta. Ainda, como tal empresa alcançou nossos dados?? Alguém deixou vazar nossas informações….Nestes casos, caberá DENÚNCIA junto à ANPD.
Pergunta:
Minha sogra aposentada, teve a liberação em sua conta de um empréstimo jamais feito e consequentemente o desconto pelo INSS. De alguma forma os dados dela foram vazados, pois nunca teve interesse e nem pesquisou sobre. Como a Pessoa Física pode agir nesta situação?
Resposta:
Nestes casos, a instituição financeira que concedeu o empréstimo agiu de má-fé ou teve sua rede comprometida por ciberataque. É de se pensar se o empréstimo não solicitado permaneceu na conta da aposentada. Se sim, não foi fraude, pois um modelo de fraude conhecida é a ocorrência de empréstimos não solicitados e a posterior retirada do dinheiro pelo cibercriminoso. Nestes casos o primeiro passo é contatar o “fale conosco” do site ou da empresa, e no caso de não ser atendido, poderá recorrer ao instituto da PETIÇÃO DE TITULAR junto à ANPD. Caso a situação não seja revertida (sem prejuízo do titular), o recurso sería uma DENÚNCIA junto à ANPD. Ambos recursos disponíveis no site: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/denuncia-peticao-de-titular
Pergunta:
Sobre dados de criança e adolescente. Á luz da LGPD faz se necessário a coleta do consentimento para o tratamento de dados de criança, por uns dos responsáveis legal. E quanto ao tratamento de dados de adolescentes? É dispensado a coleta do consentimento? Posso tratar estes dados sem consentimento, ou o próprio adolescente pode ser dar o consentimento?
Resposta:
A LGPD não faz distinção entre pessoas totalmente incapazes de realizarem atos jurídicos perfeitos (pessoas até os 16 anos – sempre representadas pelo responsável), ou de pessoas relativamente capazes (de 16 aos 18 anos acompanhada/autorizada pelo responsável). Para efeitos do Art 14 da LGPD criança e adolescente é qualquer pessoa com até 18 anos, sendo necessário o consentimento expresso do responsável para o tratamento de seus dados pessoais. Entretanto, por orientação do ENUNCIADO CD/ANPD Nº 1, DE 22 DE MAIO DE 2023, os dados do menor e do adolescente poderão ser tratados por outras hipótes que não as definidas no Art. 14 (consentimento dos pais e proteção à vida do menor), podendo ser tratados os dados desses menores de 18 também com todas a hipóteses do Art. 7º e Art. 11 (dados sensíveis), ambos da LGPD.
Pergunta:
Saí de uma instituição de ensino há mais de 5 anos. Um hacker invadiu o sistema da biblioteca a muito tempo atrás e pediu resgate, porém o mesmo não foi pago. Recebi após este tempo, um boleto do nada no valor de quase 3 mil reais, e entrei em contato com a instituição. Falaram que tenho dívida com eles, mas mostrei que paguei tudo, mostrando que recebi até termo de quitação e deram 8 dias pra resolver esse problema. Buscando pelo meu problema no Google, há varias reclamações do mesmo problema que o meu no site Reclame Aqui, e desconfio que essa Instituição de Ensino recebeu outro ataque cibernético. Porém meu nome foi pra protesto. O que posso fazer em relação a isto? A Instituição de Ensino pode se isentar do transtorno que estou tendo?
Resposta:
A instituição de ensino não poderá se isentar destes transtornos, pois é a responsável pela proteção de seus dados pessoais, enquanto Controladora. Casos de cibercrimes não isentam de obrigação de reparar os danos causados pela empresa que foi vítima deste tipo de crime.
Nestes casos, além da DENÚNCIA junto à ANPD, o titular também poderá recorreto ao PROCON, por se tratar de relação de consumo (prestação de serviço de biblioteca). Reforçamos que ANTES DE UMA DENÚNCIA, o caminho a ser seguido é entrar em contato com a empresa prestadora de serviços – Controladora de Dados (aqui, no caso a Instituição e Ensino) e promover uma PETIÇÃO DE TITULAR caso o problema não seja resolvido. Ambos recursos disponíveis no site: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/denuncia-peticao-de-titular
Pergunta:
Realizamos muitos eventos nosso ofício como escola. Geralmente deixamos uma lista de presença para que os participantes preencham, porém todos preenchem a mesma lista. Neste caso, teríamos de ter uma ficha para cada participante?
Resposta:
Uma lista de presença de conhecimento de todos os participantes ou de terceiros está mais relacionada com a questão de segurança e integridade física das pessoas (ataques terroristas, sequestros etc). Na maioria das vezes, o fato de ter um nome escrito numa lista na porta de um evento apenas compartilha com os demais participantes quem está ou quem não estão no evento, não configurando um descumprimento à LGPD. Nestes casos, seria oportuno, à luz da LGPD e Segurança da Informação, não deixar a lista sozinha e sem controle (sem a supervisão de algum responsável pelo evento – Controlador) visando evitar que a lista seja fotografada, destruida ou furtada.
Pergunta:
Olá, ex: um Veículo prestador de serviços de transporte, caracterizado com adesivos de determina empresa ao qual apresenta irregularidades de trânsito, ao usar a imagem do mesmo em slides de curso especifico para o condutor daquela empresa, para que ele possa identificar as falhas e ter a percepção de riscos no transporte, eu como empresa prestadora do curso posso enfrentar problemas na divulgação das imagens do veículo sem autorização? Respeitosamente! Obrigado!
Resposta:
Inicialmente, a LGPD não protege dados de Empresas (Pessoas Jurídicas), apenas de pessoas naturais vivas. O caso em tela podería representar um uso indevido de imagem de logo, em eventos não gratuítuos, rompendo com a lei de propriedade intelectual ou autoral de marca, entretanto, os sites de busca do DETRAN permitem acesso público das multas ou penalidades de trânsito de um terceiro (desde que se tenha, claro, as informações do veículo ou a autorização do proprietário)
Pergunta:
Qual a diferença entre o DPO, compliance officer e controlador? Existe um grau de hierarquia entre essas funções, pensando nas atividades desenvolvidas por cada um. Em síntese, qual é a responsabilidade de cada um?
Resposta:
Iniciaremos com os conceitos de cada um:
a) Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É o chefe, representante da Alta Administração.
b) Compliance Officer ou oficial de cumprimento. Função mais ampla que DPO. O Compliance Offiecer atua em toda a conformidade dos processos, produtos e serviços da empresa, enquanto que o DPO faz a conformidade apenas da Proteção de Dados. Normalmente é um empregado/colaborador da empresa e quem paga seu salário é a Alta Administração, entretanto, por dever legal de função, o Compliance Officer deverá denunciar eventuais irregularidades na empresa (inclusive irregularidades cometidas pelo seu chefe), sob pena de atrair para sí a responsabilidade pelos atos ilegais.
c) DPO – Data Protection Officer ou Encarregado pela Proteção de Dados – pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Com relação à hierarquia, o Controlador é o chefe…normalmente um Compliance Officer é seu “relativo” subordinado, pois tem o dever de denunciar irregularidades da própria empresa, mesmo que isto custe seu emprego….se não assim o fizer poderá ser responsabilizado pessoalmente por essas irregularidade. Já o DPO, este poderá ser empregado da empresa (subordinado às exigências do Controlador) ou um teceirizado (agente externo) pelo Controlador (subordinado às exigências do contrato de prestação de serviços). Em qualquer dos casos o DPO age como “conselheiro” do Controlador e deverá observar e alertar sobre as exigências da LGPD.
Pergunta:
Professor quando levamos nossas palestras a outros locais, colégios, secretarias, podemos ter problemas nas tiragens de fotos e divulgação das mesmas em nossas mídias sociais?
Resposta:
O uso de imagens de titulares em mídias socias carecem de um cuidado maior por parte da entidade organizadora, buscando-se evitar explorar DIRETAMENTE algum participante do evento, como por exemplo: “o evento contou com a participação do Fulano de Tal” – Nestes casos é aconselhado que seja coletada a autorização deste Fulano para divulgação de sua imagem. Em regra geral, fotos coletivas ou genéricas não preveem a coleta de consentimento de todos que aparecem nas fotos. Uma excelente sugesão seria de DIVULGAR na inscrição do evento que tal evento poderá ser gravado e publicado em mídias sociais, oportunizando alguém que deseje manter sua privacidade respeitada.
Pergunta:
Professor, preciso ter algum documento ou processo que comprove a existência do privacy by design nas soluções da instituição?
Resposta:
O Processo de Privacy By Design é orientado pela LGPD Art. 46 §2º, entretanto não há uma exigência legal para processo documentado. O que se recomenda é que, como forma de comprovar a conformidade com a lei, o DPO formalize todos seus trabalhos. Ainda, o Privicay By Design se utiliza de um instrumento de análise de riscos (Relatório de Impactos de Proteção de Dados) e este instrumento é um recurso obrigatório por lei e exigido pela ANPD.
Pergunta:
O DPO pode ser representado por uma empresa/profissional terceirizado? Uma empresa pode terceirizar essa responsabilidade/esse “cargo”, a exemplo do que acontece com outras responsabilidades/serviços técnicos?
Resposta:
Sim. O DPO poderá ser um funcionário da empresa, um departamento da empresa ou um escritório ou pessoa física externos contratados para esta função. Conforme cita a ANPD no Guia Orientativo Agentes de Tratamento_Abr2022, item 74: “A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.” Consulta no site: https://www.gov.br/anpd/pt-br/assuntos/noticias/nova-versao-do-guia-dos-agentes-de-tratamento
Pergunta:
Frequentemente se tem informação sobre vazamento de dados por órgãos governamentais. Como é feito as tratativas com relação a LGPD? Quem vai multar o governo?
Resposta:
Por regra, um ente público não aplica multas pecuniárias em outro órgão ou agente público. E no caso na LGPD a isenção de multas em dinheiro para o poder público está definida no Art. 52 §3º. Entretanto, as demais sanções previstas no Art. 52 da LGPD são aplicadas ao Poder Público que descumprir com a lei nos seguintes incisos: I – advertência; IV – Publicização; V – bloqueio; VI eliminação; X – suspensão parcial; XI – suspensão e XII – proibição parcial ou total para tratar dados.
Para: Dr. Vinicius
Pergunta:
Pergunta para o Delegado Dr. Vinicius Faria Zangirolani: Há uma jurisdição virtual ativa no mundo (?), ou pelo menos no Brasil (?), de modo que a lei brasileira alcance o “iter criminis” de modo geral?
Resposta:
Não existe uma jurisdição virtual que atraia automaticamente o julgamento de crimes cibernéticos. A jurisdição (competência jurisdicional) nesses casos, varia de acordo com critérios territoriais e materiais. Assim, o Juízo competente será defino pela matéria (dependendo do crime, será competência da Justiça Federal ou da Justiça Estadual) e do local onde o crime foi perpetrado (endereço de acesso (I.P.) do autor do crime, local onde o crime ocorreu ou domicílio da vítima, a depender de cada tipo de crime).
Pergunta:
Se a faculdade sofre um ataque cibernético, e perde o controle financeiro, e começa a cobrar ex-alunos que já quitaram contas, pode responder processo? Estou com esta situação, e no site Reclame Aqui vi várias reclamações iguais.
Resposta:
Sinto muito pela sua situação. A cobrança indevida pode ensejar idenização e até mesmo o pagamento em dobro do valor cobrado indevidamente, a depender de cada situação (art. 42 do CDC). Nesse caso é importante que você tenha comprovantes de que está quite com a dívida cobrada indevidamente. Minha sugestão: de posse desses documentos (correspondência de cobrança indevida e comprovante de quitação), procure um advogado de sua confiança e ele poderá ajuizar uma ação em seu favor. Espero que tudo se resolva da melhor maneira possível!
Pergunta:
Quais procedimentos a serem seguidos caso tenha algum vazamento de dados tanto na empresa quanto da vida pessoal? Senac Paranaguá.
Resposta:
Depende dos tipos de dados vazados. Sob a ótica do titular dos dados, é importante registrar um boletim de ocorrência. Para verificar se fizeram alguma dívida utilizando o CPF e dados pessoais vazados, é interessante consultar o site de pesquisas CENPROT, através desse endereço: https://www.pesquisaprotesto.com.br/
Também é aconselhável fazer a pesquisa no site do REGISTRATO, do Banco Central, para descobrir se fizeram algum empréstimo utilizando os dados pessoais vazados. A pesquisa pode ser feita através do seguinte endereço: https://www.bcb.gov.br/meubc/registrato
Pergunta:
No caso de perda de dados com consequente perda financeira, tem alguma forma de recuperação destes valores?
Resposta:
Caso a pessoa consiga comprovar que a perda de dados ocorreu por culpa de alguma instituição ou empresa, é possível processar essa empresa para ressarcimento dos prejuízos. Caso a perda dos dados seja decorrente de um extravio, sem culpa de terceiros, infelizmente é muito difícil recuperar os prejuízos sofridos em decorrência desse vazamento.
Pergunta:
Quais os cuidados que a empresa deve ter com imagens / vídeos obtidos através de câmeras de segurança instaladas em locais públicos?
Resposta:
As imagens obtidas através de câmeras de CFTV são consideradas dados pessoais, pois podem identificar uma pessoa natural. Por isso, o tratamento dessas imagens deve estar em conformidade com as regras estabelecidas pela Lei Geral de Proteção de Dados (LGPD). A empresa não pode divulgar ou compartilhar tais imagens, a não ser em atendimento a solicitações/requisições de forças policiais. Nesse caso a imagem poderá ser compartilhada, conforme estabelece o artigo 4º, III, a, da LGPD.
Pergunta:
Qual é a efetividade das investigações e repreensão desses crimes e criminosos?
Resposta:
A efetividade varia conforme o tipo de crime cibernético investigado. Os crimes de estelionato e fraudes bancárias cometidos em ambiente virtual costumam ser de difícil elucidação, pois geralmente ocorrem de forma descontinuada, utilizando vários tipos de dados falsos. Já os crimes de ódio e de pedofilia, por exemplo, são crimes com alto índice de elucidação, pois geralmente ocorrem de forma continuada, perpetrados pelas mesmas pessoas e através de conexões repetidas. De forma geral, a efetividade depende muito das circunstâncias do crime investigado.
Pergunta:
Dados vazados pelo Facebook e Whatsapp em 2019, que expos dados de gênero, localidade, idioma, status de relacionamento, religião, cidade natal e data de nascimento de milhões de usuários. É possível buscar reparação por denúncia junto a ANPD-Autoridade Nacional de Proteção de Dados? Teria que abrir um boletim de ocorrência?
Resposta:
Embora a LGPD tenha sido publicada em 2018, ela entrou em vigência apenas em agosto de 2020 e as sanções previstas passaram a valer apenas em 2021. Assim, fatos ocorridos em 2019 não estariam abrangidos pelas regras dessa lei. De qualquer forma, caso esse vazamento tenha gerado algum tipo de dano à imagem da pessoa, ela pode buscar uma idenização pela dano sofrido. Nesse caso, o ideal seria procurar um advogado de confiança e apresentar o caso para que ele possa analisar mais profundamente.
Pergunta:
Quais as dificuldades para identificar os criminoso cibernético, considerando o expertise deles? Hoje temos profissionais na polícia federal com qualificação para esse tipo de crimes?
Resposta:
As maiores dificuldades são relacionadas à identificação da conexão utilizada e a vinculação do autor dos crimes àquela conexão. Mas existem várias formas de obter esses dados, identificar e responsabilizar os criminosos cibernéticos. A Polícia Federal possui uma divisão dedicada exclusivamente ao combate a crimes cibernéticos, com treinamentos continuados e convênios com outros países, que permitem a capacitação de nossos policiais.
Pergunta:
Supondo que eu percebo que meus dados foram vazados, as autoridades possuem ferramentas que possibilitam a identificação da origem deste?
Resposta:
Na maioria dos casos é possível identificar o responsável pelos vazamentos. Mas é importante que a vítima procure uma delegacia da Polícia Civil especializada em crimes cibernéticos e denuncie o caso com a maior riqueza de detalhes possível, para que a investigação tenha início e seja bem sucedida.
Pergunta:
Eu como pessoa física, que pode sofrer com o vazamento dos meus dados e possível utilização indevida. Como me prevenir ?
Resposta:
O ideal é seguir aquelas dicas que informamos no final da palestra, principalmente tomar cuidado com os tipos de conexões acessadas, construir senhas fortes e evitar clicar em links desconhecidos. Também evite fornecer seus dados em sites pouco conhecidos ou não confiáveis. Antes de preencher um cadastro ou fazer uma compra on line, pesquise sobre o site no Reclame Aqui. Adotando essas medidas básicas, você já conseguirá navegar na Internet com razoável segurança.
Pergunta:
Considerando a crescente colaboração entre órgãos governamentais e instituições de ensino, como o SENAC, para promover a capacitação e treinamento de profissionais em diversas áreas, como a Polícia Federal está garantindo a conformidade com a LGPD ao compartilhar e acessar dados pessoais de cidadãos durante investigações conjuntas e, ao mesmo tempo, respeitar as disposições da lei que protegem a privacidade e a segurança desses dados? José Augusto – Senac-DITEC/CED
Resposta:
Excelente pergunta, José Augusto! Convém registrar que existem duas situações distintas: 1- o acesso a dados pessoais; e 2- o compartilhamento de dados em investigações conjuntas.
1- No primeiro caso, dados pessoais que não violem a intimidade da pessoa (dados como nome, endereço, telefone, imagens de CFTV, etc), podem ser requisitados e acessados pela PF normalmente. A própria LGPD estabelece essa possibilidade em seu artigo 4º, III, a.
2- No segundo caso, para que a PF possa compartilhar esses dados com outras forças policiais ou órgãos de fiscalização, é preciso que haja autorização judicial. Em casos de investigações conjuntas, o Delegado de Polícia representa ao Juiz solicitando essa autorização antes de compartilhar os dados.