Na mídia

A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), é aplicada a pessoas jurídicas de direito público, incluindo os Municípios, independentemente do tamanho. A Lei dispõe de um capítulo próprio sobre tratamento de dados pessoais pelo Poder Público (Capítulo IV). Contudo, assim como no âmbito privado, o tema gera diversos desafios que precisam de atenção.  Nesse contexto, como é cediço, ações voltadas à adequação à LGPD geram muitas melhorias e segurança jurídica.  Vale a pena mencionar que o Tribunal de Contas do Estado de São Paulo (TCESP) criou, em 2015, o Índice de Efetividade da Gestão Municipal (IEG-M) para medir a eficiência das prefeituras paulistas.  Dentre os critérios, existe o indicador i-Gov TI, que considera o grau de utilização de recursos tecnológicos em áreas como capacitação de pessoal, transparência e segurança da informação. É inegável que medidas voltadas à implementação da LGPD trarão resultados positivos no momento da avaliação do TCESP, além de tantos outros reflexos. Sobre o tema, a Autoridade Nacional de Proteção de Dados (ANPD) irá desenvolver um papel muito relevante na disciplina da Lei no setor público. Já foi emitido um Guia Orientativo sobre o tratamento de dados pessoais pelo Poder Público e para conferi-lo basta acessar aqui. Desafios da LGPD nos municípios Agora, a seguir, serão listados três desafios no âmbito municipal. Baixo investimento em segurança O primeiro desafio é a ausência de investimento em segurança da informação. As ações que visam adequar a estrutura de governança (in)existente no setor público municipal dependem da iniciativa interna das prefeituras, além de disponibilidade orçamentária, o que às vezes é muito baixa. Dentre as ações, podemos citar a capacitação e conscientização dos servidores, aquisição de bens e recursos tecnológicos (programas/softwares originais, armazenamento em nuvem, DLP, anonimização, entre tantos outros). Engajamento de servidores O segundo desafio identificado envolve a dificuldade de engajamento dos servidores da administração pública municipal, especialmente, para a mudança cultural.  Como disposto no Guia Orientativo da ANPD, é importante ressaltar que o servidor público que infrinja a LGPD também é passível de responsabilização administrativa pessoal e autônoma. Dessa forma, tratar dados pessoais indevidamente, como, por exemplo, vendendo banco de dados, alterando ou suprimindo cadastros de forma inadequada ou usando dados pessoais para fins ilegítimos pode levar à responsabilização do servidor público que praticou o ato ilegal. Armazenamento de dados O terceiro desafio está relacionado ao armazenamento dos dados, visto que, no cenário municipal, muitas das informações, pessoais ou não, encontram-se em papéis, documentos impressos, livros etc. Isso dificulta o cumprimento do disposto no art. 25 da LGPD, que prevê “os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral”. Por isso, além da necessidade de pensar em medidas envolvendo a proteção dessas informações, especialmente em razão dos riscos de perda/destruição, também é preciso analisar como deixá-los interoperáveis e estruturados. Portanto, os Municípios devem encarar o mais rápido possível os desafios de se adequarem à LGPD, especialmente para evitar impactos negativos futuros na gestão municipal e na privacidade dos servidores e munícipes.  Fonte: Tech Compliance I Para conferir o artigo completo: https://techcompliance.org/lgpd-nos-municipios/ Autora: Laura Secfém Rodrigues

A Lei Geral de Proteção de Dados (Lei nº 13.709/18) representa um importante marco legislativo para a proteção de dados pessoais, principalmente na atual sociedade digital, visto que regulamenta o tratamento de dados e prevê diversos conceitos e princípios importantes. Apesar de não ter disciplinado especificamente a tutela da pessoa com deficiência, a lei deve garantir a proteção e mecanismos para que elas exerçam os direitos previstos. Como é cediço, considera-se pessoa com deficiência aquela que tem impedimento de longo prazo de natureza física, mental, intelectual ou sensorial, o qual, em interação com uma ou mais barreiras, pode obstruir sua participação plena e efetiva na sociedade em igualdade de condições com as demais pessoas, nos termos no artigo 2º do Estatuto da Pessoa com Deficiência, motivo pelo qual ela tem proteção especial em razão de sua situação de vulnerabilidade. Muitas vezes, em razão da sua deficiência, essas pessoas não conseguem exercer plenamente seus direitos, necessitando de mecanismos adaptados ou que garantem a acessibilidade. Nesse cenário, a fim de garantir a autodeterminação informativa, que é um dos fundamentos da LGPD, é preciso verificar as ferramentas disponíveis para que as pessoas com deficiência exerçam o controle sobre seus dados, seja em relação ao consentimento ou durante o exercício dos direitos previstos no artigo 18 da LGPD. Dessa forma, como muitas empresas e instituições já estão se preocupando com a adequação à LGPD, há a necessidade de refletir sobre os meios existentes para os exercícios de tais direitos e a acessibilidade, como mecanismos audiovisuais que permitem a leitura dos portais de privacidade, ou pessoas que estejam preparadas para atender essas demandas, por exemplo que saiba libras. Além disso, outra preocupação é o potencial discriminatório dos dados sensíveis, pois, a partir de determinado tratamento dos dados pessoais das pessoas com deficiência, surge a possibilidade de discriminação ou exclusão em razão de suas condições. Por exemplo, em um determinado processo seletivo, é preciso que esteja explícito o porquê da coleta de informações sobre a deficiência da pessoa. Para um atendimento diferenciado? E quem garante que seja só para isso? Nesse sentido, Heloisa Helena Barboza, Paula Moura Francesconi de Lemos Pereira e Vitor Almeida (2020) afirmam que: “A preocupação com a proteção de dados pessoais de pessoas em situação de vulnerabilidade é ainda mais acentuada, notadamente em relação aos dados sensíveis. Assegurar os direitos da pessoa de manter o controle sobre seus dados, por meio da autodeterminação informativa, de forma a evitar a não discriminação, é ainda mais difícil para integrantes de grupos vulneráveis. Se já é tormentosa a proteção da liberdade e da igualdade no contexto da proteção de dados diante das assimetrias de poder na sociedade da informação, no caso de pessoas vulneradas é dramática sua tutela. Entre eles, as pessoas com deficiência constituem grupo estigmatizado e inferiorizado socialmente que representa significativa parcela da população e que o Direito brasileiro somente em tempos mais recentes se voltou à sua tutela na medida de suas vulnerabilidades”. Portanto, a pessoa com deficiência já enfrenta muitos desafios, sendo a proteção de seus dados pessoais mais um. As formas de tutelar tais dados precisam ser debatidas para garantir, além da inclusão social e cidadania, a privacidade e o livre desenvolvimento da personalidade delas. Vale destacar a possibilidade de criação de normas específicas para a proteção e tratamento dos dados pessoais das pessoas com deficiência, tendo em vista a necessidade de uma tutela mais reforçada, bem como a adoção de medidas para garantir o exercício dos direitos relacionados aos dados pessoais. Referências bibliográficasBARBOZA, Heloisa Helena; PEREIRA, Paula Moura Francesconi de Lemos; ALMEIDA, Vitor. Proteção dos dados pessoais da pessoa com deficiência. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters (Revista dos Tribunais), 2020. E-book. BRASIL. Lei nº 13.709/18, Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. BRASIL. Lei nº 13.146/15. Estatuto da Pessoa com Deficiência. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13146.htm. Fonte: Conjur | Para acessar o artigo na íntegra: https://www.conjur.com.br/2021-abr-01/rodrigues-protecao-dados-pessoais-pessoa-deficiencia Autora: Laura Secfém Rodrigues

O regime jurídico da proteção de dados pessoais estruturou-se no Direito brasileiro de forma recente, tendo em vista que “seu desenvolvimento histórico se deu a partir de uma série de disposições cuja relação, propósito e alcance são fornecidos pela leitura da cláusula geral da personalidade”. Adverte Danilo Doneda que, apesar de a Constituição Federal de 1988 estabelecer uma diversidade de garantias relacionadas à privacidade, tais como considerar invioláveis a vida privada e a intimidade (artigo 5º, X), a interceptação de comunicações telefônicas, telegráficas ou de dados (artigo 5º, XII), proibindo a invasão de domicílio (artigo 5º, XI), bem como a legislação ordinária prever um conjunto de normas relacionadas ao tema, a proteção de dados pessoais é uma garantia de caráter instrumental, derivada da tutela da privacidade, porém, não limitada por esta. Antes da vigência da LGPD, o Código de Defesa do Consumidor, a ação de habeas data, prevista na Constituição Federal de 1988 e regulamentada pela Lei nº 9507/97, o Marco Civil da Internet (Lei nº 12.965/2014), entre outras leis, já serviam como instrumentos cruciais para a tutela dos dados pessoais, porque, diante de um litígio envolvendo um grupo de pessoas ou até mesmo a coletividade, como numa situação de vazamento de dados, foi possível protegê-los, indenizar as vítimas daquele dano, bem como estimular o nascimento da cultura de proteção de dados. Após a vigência da LGPD, essa tutela será complementada, visto que a lei traz uma série de diretrizes que deverão ser observadas pelas pessoas jurídicas de direito público e privado ao realizarem o tratamento dos dados pessoais, o que permite uma consolidação da proteção dos dados. De acordo com Bruno Miragem, a LGPD incrementa a tutela dos direitos do consumidor prevista no Código de Defesa do Consumidor, de modo que se nota que a incidência em comum dos artigos 7º do CDC e 64 da LGPD permite a conclusão de que os direitos dos titulares dos dados previstos nas respectivas normas devem ser cumulados e compatibilizados pelo intérprete. No que tange à previsão da tutela coletiva dos dados pessoais, a LGPD prevê no artigo 22 a possibilidade de exercer a defesa dos interesses e dos direitos dos titulares de dados em juízo, individual ou coletivamente. Nesse cenário, a Lei da Ação Civil Pública (Lei nº 7.347/85) é um importante instrumento de proteção dos direitos coletivos, na medida em que o artigo 1º, incisos II, IV e VII, da LACP permite a utilização da ação civil pública para proteger os dados pessoais. Além disso, o Código de Defesa do Consumidor também é aplicado ao tema. No mesmo sentido, vale mencionar a possibilidade de celebrar compromissos de ajustamento de conduta para dirimir litígios envolvendo proteção de dados, conforme já verificado nos casos de vazamento de dados do Banco Inter e Netshoes.   Pois bem. A proteção dos dados pessoais poderá ocorrer de diversas maneiras, seja através de meios judiciais ou extrajudiciais. Em relação aos meios judiciais, os titulares podem valer-se, nos casos de menor complexidade, dos Juizados Especiais (Lei nº 9.099/95) e, nos casos de maior complexidade, ingressar com ações específicas, nos termos do Código de Processo Civil. Atualmente, já é possível verificar uma proliferação de litígios judiciais que envolvem a LGPD, visto que existem, aproximadamente, 600 decisões envolvendo a lei. Ademais, o Ministério Público poderá, nos termos do artigo 176 do CPC, atuar na defesa da ordem jurídica, do regime democrático e dos interesses e direitos sociais e individuais indisponíveis, bem como propor a Aaão civil pública. Por sua vez, no que tange aos meios extrajudiciais, verificam-se procedimentos estipulados na LGPD, como a possibilidade de os titulares dos dados pessoais revogarem o consentimento anteriormente concedido, por procedimento gratuito e facilitado (artigo 7º, § 5º, LGPD), além de existir a possibilidade entrar em contato com o controlador para exercer os direitos previstos no artigo 18 da lei. Ademais, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas, após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios previstos nos incisos do §1º do artigo 52 da LGPD. Portanto, entre as diversas formas de buscar a proteção dos dados pessoais, a tutela coletiva demonstra, muitas vezes, ser uma opção acertada, porque protege uma quantidade maior de titulares/lesados, que, às vezes, sequer tomam ciência dos riscos e da forma que está sendo realizado o tratamento de seus dados pessoais. Nota-se que, atualmente, o regime jurídico da proteção de dados é amplo e permite a criação de pontes jurídicas protetivas do titular dos dados pessoais, além de criar respostas aos novos desafios, que serão encontradas na amplitude de todo o ordenamento jurídico. Referências bibliográficasRODRIGUES, Laura Secfém. NOGUEIRA, André Murilo Parente. Compromissos de ajustamento de conduta e processo estruturante na proteção de dados pessoais: é hora de um novo passo. In: Revista de Direito e as novas Tecnologias, v. 11, abr-jun/2021. E-periodical. DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 1. ed. São Paulo: Thomson Reuters Brasil, 2020. E-book. MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o Direito do Consumidor. In: Revista dos Tribunais, São Paulo, v. 1009, p. 173-222, 2019. E-periodical. Disponível em: https://www1.folha.uol.com.br/mercado/2021/07/justica-ja-tem-600-decisoes-envolvendo-lei-de-protecao-de-dados.shtml. Acesso em: 30/09/2021. Fonte: Conjur | Para acessar o artigo na íntegra: https://www.conjur.com.br/2021-out-03/laura-rodrigues-tutela-juridica-dados-pessoais Autora: Laura Secfém Rodrigues

Os contratos são elementos fundamentais numa relação empresarial e estabelecem os direitos e deveres das partes. Para a elaboração de um bom contrato, as partes precisam acordar diversas questões, sendo uma delas as relacionadas à proteção de dados pessoais. Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD ou Lei nº 13.709/18), as relações contratuais precisaram ser repensadas, visto que agora há um requisito adicional durante a análise para a elaboração ou revisão de um contrato, qual seja, o da proteção de dados. O guia orientativo para definição dos agentes de tratamento de dados pessoais e do encarregado, elaborado pela Autoridade Nacional de Proteção de Dados (ANPD), aponta que os pontos que podem ser definidos contratualmente são o objeto, a duração, a natureza e a finalidade do tratamento dos dados, os tipos de dados pessoais envolvidos e os direitos e obrigações e responsabilidades relacionados ao cumprimento da LGPD. Nesse cenário, alguns desafios são verificados. O primeiro desafio está relacionado com a correta definição do papel das partes perante a LGPD, isto é, quem é o controlador e o operador, ou se há controladoria conjunta. O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (artigo 5º, VI, da LGPD), enquanto o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (artigo 5º, VII, da LGPD). A controladoria conjunta é quando, a depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. A definição do papel das partes parece simples, mas na prática não é. Segundo o guia orientativo da ANPD mencionado acima, a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador. Também ressalta que, além da finalidade, o controlador é o responsável por estabelecer outros elementos essenciais relativos ao tratamento. É o caso da definição da natureza dos dados pessoais tratados (por exemplo, dados de beneficiários de plano de saúde ou de pessoas cadastradas em banco de dados oficial) e da duração do tratamento, isto é, do período durante o qual será realizada a operação, incluindo o estabelecimento de prazo para a eliminação dos dados. Dessa forma, diante do caso concreto, é preciso que seja realizada a análise da atuação de cada uma das partes dentro de uma operação envolvendo o tratamento de dados pessoais, em especial, o poder decisório. Após, deverão ser feitos os ajustes contratuais adequados àquela situação, para que o contrato corresponda a realidade. Os desafios na elaboração de cláusulas contratuais referentes à proteção de dados pessoais não se limitam ao exposto acima. É válido mencionar que existe um grau de complexidade no momento da elaboração das referidas cláusulas, visto que devem estar em consonância com o disposto na Lei nº 13.709/18, bem como deve-se observar a realidade das empresas que realizam o tratamento de dados pessoais. Justamente porque para a implementação adequada e eficaz da proteção de dados pessoais, a empresa deverá ter, no mínimo, uma estrutura de compliance, governança corporativa, estrutura tecnológica, estruturação dos documentos internos e arquivos e treinamento do seu pessoal. Isso significa, portanto, que a proteção dos dados pessoais não se restringe a inclusão de cláusulas contratuais nesse sentido, sendo necessário, definir, implantar e estruturar soluções para assegurar a referida proteção, uma vez que que essa adequação gera impacto na cultura de uma empresa. Logo, essas cláusulas isoladas não amparam o empresário de todo e qualquer risco, e sequer são suficientes para uma implementação de proteção de dados eficiente e minimamente segura e adequada. Por essa razão, é fundamental ressaltar a cautela que se deve ter ao elaborar as cláusulas referentes a proteção dos dados pessoais, tendo que levar em consideração as particularidades e a realidade de cada situação. Outro ponto desafiador durante o processo de adequação à LGPD, é a quantidade de contratos e documentos que uma empresa pode ter para realizar os ajustes necessários e ficar em conformidade com a referida lei. Dessa forma, isso significa que há uma grande demanda do jurídico de uma empresa e demais colaboradores que participam deste processo. Assim, em um primeiro momento, para iniciar a adequação dos contratos é necessário fazer uma auditoria nos documentos vigentes, a fim de identificar quais realizam o tratamento de dados pessoais, seja coleta, transferência, armazenamento de dados, sendo então possível elaborar cláusulas que atendam à lei. Ainda, deve-se se atentar àqueles contratos que tratam dados pessoais sensíveis, aos quais se referem a informações como crenças religiosas, opiniões políticas, orientação sexual, justamente pelo fato de, em caso de um incidente de segurança, ter um grande potencial de gerar graves consequências aos titulares dos dados, devendo, portanto, ter uma maior cautela nessa situação. Dessa maneira, feito o mapeamento de dados e o levantamento dos instrumentos particulares que a empresa possui que tratam dados de pessoas naturais, é que se passa a realização dos ajustes contratuais em obediência à LGPD, contando com uma equipe jurídica especialista no assunto para que, diante da realidade de cada empresa, consiga visualizar os riscos e elaborar as soluções mais eficazes para determinada situação. Perfaz-se que o processo de adequação à proteção dos dados pessoais é complexo e demanda uma análise profunda por pessoas qualificadas para atingir a real segurança estabelecida pela LGPD. É válido mencionar que, em se tratando desse tema, a cautela e a atenção devem ser redobradas, pois às vezes as partes, sem um devido apoio jurídico especializado no tema, buscam celebrar um aditivo contratual ou utilizar cláusulas padrão de proteção de dados sem compreender a extensão daquela situação específica, o que poderá futuramente resultar em consequências negativas para aquela relação. Por fim, diante de tudo o que foi abordado, é imprescindível que haja um programa de privacidade e proteção de dados pessoais na empresa, conforme a sua realidade, adequando toda e qualquer operação realizada que envolva tratamento de dados

Cada vez mais, as redes sociais, como o Instagram e Facebook, vêm sendo utilizadas para aplicação de golpes digitais.  Existem duas principais formas de uma conta invadida.  A primeira envolve a participação da vítima, isto é, por meio de técnicas utilizando engenharia social, a vítima, enganada, informa dados pessoais e confidenciais como senhas, telefone, códigos de autenticação etc., a terceiros. A outra forma envolve a operadora de telefone celular, sendo aplicado o golpe conhecido como SIM Swap. A partir do momento que a vítima perde o acesso à sua conta, todos os seus dados, conversas e fotos são acessados por terceiros mal-intencionados. Além disso, comumente diversas publicações são feitas nos stories para angariar dinheiro ou vantagens indevidas, através de falsas vendas de móveis e eletrodomésticos, esquema de investimentos envolvendo PIX, entre outros. Quais são as medidas que devem ser adotadas para recuperar uma conta invadida? Primeiramente, busque em sua caixa de entrada do endereço eletrônico vinculado ao seu perfil um e-mail enviado pelo Instagram informando que seus dados foram alterados ou um novo login foi feito na sua conta. Se você recebeu esse aviso, poderá desfazer essa mudança clicando na opção para reverter a situação.  Caso essa opção não dê certo, realize o procedimento da plataforma para recuperar a sua conta.  Se estiver enfrentando problemas para entrar em uma conta do Instagram que possui fotos em que você aparece, você poderá precisar carregar um “vídeo-selfie” para confirmar que você é uma pessoa de verdade e a sua identidade. O processo de análise pode levar até quatro dias úteis.   Caso a conta não possua fotos em que você aparece, por ser, por exemplo, uma conta comercial, você pode tentar recuperá-la pelo procedimento padrão da plataforma. Conheça como realizar os procedimentos disponíveis pelo Instagram aqui. E se a situação persistir? É muito comum que o procedimento da plataforma não seja eficiente e a sua conta continue invadida. Por isso, se a situação persistir, você deve buscar um advogado especialista em Direito Digital para recuperação segura da conta por meio de uma ação judicial. O apoio jurídico nesses momentos é fundamental para dimensionar o que pode ser feito e proteger os seus direitos. Em alguns casos, também é possível pleitear judicialmente uma indenização a título de danos morais e materiais, dependendo do contexto, da relevância e da finalidade da conta. Veja algumas jurisprudências sobre o tema: Consumidor e processual. Ação de obrigação de fazer cumulada com indenização por dano moral julgada procedente. Pretensão à reforma da sentença manifestada pela ré. Autora que teve seu perfil na rede social Instagram invadido. Fraudador que utilizou sua conta para anunciar produtos como se fossem dela, causando prejuízos a terceiros. Ré que foi prontamente informada, mas permaneceu inerte, ensejando o ajuizamento desta demanda. Danos morais caracterizados. Situação vivenciada pela autora que não pode ser classificada como mero aborrecimento do cotidiano. Quantum indenizatório mantido em R$ 8.000,00 (oito mil reais), adequado e razoável à vista das peculiaridades do caso concreto e das funções compensatória e pedagógica da indenização. (…)  (TJSP;  Apelação Cível 1000385-19.2022.8.26.0564; j. 29/11/2022) Apelação. Prestação de Serviços. Rede social Instagram. Conta da autora que foi hackeada por terceiros, invadida e utilizada para perpetrar golpe em nome desta. Falha na prestação de serviços devidamente demonstrada, haja vista o dever de segurança ínsito ao serviço disponibilizado. Responsabilidade objetiva. Teoria do risco. Ausência de qualquer excludente de responsabilidade. Danos morais configurados. Quantum indenizatório que deve ser mantido. Correta a condenação do réu aos ônus sucumbenciais. Sentença mantida. (…) (TJSP;  Apelação Cível 1011169-31.2021.8.26.0066; j. 07/10/2022) Outras medidas importantes Ao perceber que sua conta está invadida, avise seus familiares, amigos e pessoas próximas para que tenham ciência do que está acontecendo e não forneçam nenhum dado ou dinheiro para quem está com o controle da conta. Também é recomendado a realização de um Boletim de Ocorrência para apurar eventuais crimes que tenham ocorrido em razão da invasão.  A vítima precisa documentar tudo que ocorreu, os e-mails e as mensagens recebidas/enviadas, por meio de prints ou outras formas adequadas. Isso poderá servir de prova em uma eventual ação judicial. Se você conseguir recuperar a sua conta, o primeiro passo é alterar a sua senha e ativar a autenticação de dois fatores. Depois cancele o acesso a aplicativos de terceiros suspeitos aqui. Lembre-se: a recuperação do controle de uma conta invadida é fundamental para evitar a aplicação de novos golpes, acesso de dados e uso indevido da imagem.  Fonte: Tech Compliance. Para conferir o artigo na íntegra, acesse aqui. Autora: Laura Secfém Rodrigues O escritório Secfém Galhardo Advogados é especializado em recuperação de conta de Instagram. Estamos prontos para te ajudar a recuperar o controle da sua conta e restabelecer sua presença online. Além disso, confira outros conteúdos que podem te ajudar a recuperar a sua conta de Instagram feitos por nós: Jusbrasil  | Publicação

A conformidade com as normas de proteção de dados, tais como a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/18), inspirada no Regulamento Geral sobre a Proteção de Dados (Regulation nº 2016/679) da Europa, já se tornou relevante nas organizações. Entre as obrigações previstas nas referidas normas, uma delas é a necessidade de estabelecer um data protection officer (DPO), também conhecido como encarregado de proteção de dados na legislação brasileira. O encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Em relação ao modelo de contratação desse profissional, as empresas podem atribuir a função para algum colaborador ou para um grupo interno de pessoas, ou terceirizar a função (DPO as a service — DPOaaS). Atribuições e perfil do encarregado de proteção de dados As principais atividades desempenhadas pelo encarregado de proteção de dados (DPO) numa organização, nos termos do artigo 41, §2º, da LGPD, são: 1) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 2) receber comunicações da autoridade nacional e adotar providências; 3) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e 4) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Entre as demais tarefas que podem ser executadas pelo DPO, destacam-se: construir e monitorar um programa de privacidade e proteção de dados, verificar os riscos existentes associados às operações de tratamento de dados pessoais, elaborar e aprovar documentos, bem como auxiliar no desenvolvimento da cultura de proteção de dados. Em relação ao perfil do DPO, recomenda-se que ele possua domínio das normas e práticas de proteção de dados e conhecimento de temas relacionados à tecnologia e segurança da informação, atue na prevenção de conflitos e mitigação de riscos, além de ser um profissional proativo e independente perante a organização. É recomendável que o encarregado acumule funções? Até o momento, apesar existir a obrigação de nomear um DPO, 26% das empresas ainda não possuem tal figura, conforme pesquisa realizada pela IAPP e EY. Como é cediço, muitas empresas possuem um orçamento limitado e precisam alocar muitos temas, como o da privacidade e proteção de dados, em profissionais já existentes na empresa. Contudo, apesar da LGPD não prever sobre a possibilidade do acúmulo das funções do DPO, isso pode representar um alto risco numa organização, principalmente por gerar conflitos de interesse, o que afeta a capacidade de agir com independência. Nesse cenário, uma empresa belga foi multada porque houve a identificação do conflito de interesses na atuação do DPO, visto que a investigação realizada concluiu que a nomeação de DPO da organização não cumpriu os requisitos da legislação, uma vez que o indivíduo era responsável pelo processamento de dados pessoais nas áreas de conformidade, risco e auditoria e, portanto, não podia aconselhar de forma independente sobre tais questões. Quando pode haver o conflito de interesses? O conflito de interesses pode ser verificado quando questões diversas (profissionais, financeiras, familiares, políticas ou pessoais) podem interferir no julgamento das pessoas ao exercerem suas ações dentro das organizações — com base na Norma de Certificação de Sistemas de Gestão de Compliance Antissuborno (NBR ISO 37001:2016). Por isso, quando há a nomeação de um DPO interno é necessário avaliar o grau de independência do profissional no exercício de suas funções e a possibilidade de reportar a alta administração sobre as questões de privacidade e proteção de dados, sem que isso importe algum prejuízo. A título de exemplo, as seguintes funções são suscetíveis de dar origem a um conflito de interesses com a função de DPO: secretário-geral, gerente-geral de serviços, gerente-geral, gerente operacional, gerente financeiro, diretor médico, chefe do departamento de marketing, gerente de recursos humanos ou gerente de departamento de TI, mas também outras funções em um nível inferior da estrutura organizacional se essas funções ou funções envolverem a determinação dos propósitos e meios de tratamento. Dessa forma, é aconselhável, como boa prática, que os responsáveis pelo tratamento de dados, quando da nomeação do encarregado: Referências bibliográficasMORAES, Henrique Fabretti. Sistemas de Compliance, Programas de privacidade e o DPO como o Compliance Officer de Privacidade. In: Data Protection Officer (Encarregado): teoria e prática de acordo com a LGPD e o GDPR. BLUM, Renato Opice, VAINZOF, Rony, MORAES, Henrique Fabretti (coordenadores). São Paulo: Thomson Reuters Brasil, 2020. E-book IAPP-FTI Consulting Annual Privacy Governance Report 2021. Disponível em: https://iapp.org/resources/article/iapp-ey-annual-privacy-governance-report-2021/. Guidelines on Data Protection Officers. Disponível em: https://ec.europa.eu/newsroom/article29/items/612. Fonte: Conjur | Para ver a publicação original, acesse aqui. Autora: Laura Secfém Rodrigues Confira mais conteúdos aqui.

A Lei Geral de Proteção de Dados (LGPD, ou Lei nº 13.709/18) regulamenta o tratamento dos dados pessoais e visa a proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. Para a realização do tratamento de dados pessoais, a lei prevê as bases legais que são hipóteses que autorizam tais atividades, conforme o disposto nos artigos 7º e 11. Cumpre destacar que não há uma hierarquia entre as bases legais. Todas são importantes, mas é preciso avaliar a circunstância para definir qual é a base legal mais adequada, considerando a finalidade e a relação estabelecida com o titular dos dados. Entre as bases legais previstas, há o consentimento que acarreta muita insegurança no âmbito das relações de trabalho, conforme será visto a seguir. Os riscos da utilização do consentimento como base legal numa relação trabalhista Apesar do consentimento ser uma das hipóteses que legitimam o tratamento numa relação trabalhista, a sua incidência nesses casos gera riscos. Isso ocorre porque, segundo o artigo 5º, XII, da LGPD, o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Assim, um dos principais riscos está relacionado ao termo “livre”, que pressupõe a ausência de desequilíbrio entre as partes, o que não é verificado numa relação trabalhista, em que há uma relação de subordinação. Nesse cenário, o Considerando nº 43 do GDPR (General Data Protection Regulation) aponta expressamente que “a fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto (imbalance of power) entre o titular dos dados e o responsável pelo seu tratamento”. Ainda no mesmo sentido, o Working Party 29, órgão consultivo europeu independente, considera problemática a questão de os empregadores procederem ao tratamento de dados pessoais dos empregados com base no consentimento, uma vez que é questionável que esse consentimento seja dado espontaneamente. Dessa forma, a utilização do consentimento não é recomendável no âmbito das relações de trabalho, em razão do risco de não ser considerado válido. Outro risco é a possibilidade de o empregado revogar o consentimento a qualquer momento, o que gera uma insegurança naquele tratamento. Além disso, a empresa precisa dispor de um procedimento gratuito e facilitado para operacionalizar tal direito do titular. Quando o consentimento pode ser usado numa relação trabalhista? No contexto das relações trabalhistas, os dados pessoais dos trabalhadores podem ser tratados para diversos propósitos, tais como execução do contrato de trabalho, cumprimento de obrigações legais, principalmente as trabalhistas, interesse legítimo do controlador, oferecimento de benefícios, realização de pesquisas, promoção de treinamentos e eventos, entre outros. Para a utilização da base do consentimento numa relação trabalhista é preciso: 1) analisar se a manifestação ocorrerá de forma livre; 2) qual é o grau das consequências para o titular; e 3) ponderar quais são os direitos violados quando da utilização do consentimento ou outra base legal. Caso o empregador opte por utilizar a base legal do consentimento, é importante observar os requisitos do artigo 8º, caput e § 1º, da LGPD, que determina que o consentimento deve ser fornecido “por escrito ou por outro meio que demonstre a manifestação de vontade do titular” e que, caso seja fornecido por escrito, deve “constar de cláusula destacada das demais cláusulas contratuais”. Pois bem. Após apontar a fragilidade do consentimento, entendo que existem situações em que titular é livre para decidir sobre o tratamento de seus dados e exercer o controle sobre eles (autodeterminação informativa), senão vejamos. O primeiro exemplo está relacionado às iniciativas adotadas por empresas para comemoração dos aniversários dos seus colaboradores, seja realizando uma confraternização ou divulgação dos nomes e datas em murais ou outros canais. Como é cediço, existem pessoas podem se incomodar, por motivos pessoais e íntimos, como crença religiosa ou timidez, de comemorar o seu aniversário. Assim, excepcionalmente, como a questão da comemoração do aniversário pode estar relacionada às questões muito íntimas do empregado, a base legal do consentimento torna-se a melhor opção a ser utilizada, demonstrando que o titular está no controle sobre os seus dados pessoais. O segundo caso foi o Exemplo nº 5 abordado na Guideline nº 259/2017 do Grupo de Trabalho do Artigo 29, que trata de orientações relativas ao consentimento (Guidelines on consent under Regulation 2016/679): “Uma equipe de filmagem pretende filmar determinada parte de um escritório. O empregador solicita o consentimento de todos os trabalhadores que se sentam nessa zona do escritório para serem filmados, uma vez que podem aparecer em segundo plano nas filmagens do vídeo. Os trabalhadores que não quiserem ser filmados não serão de forma alguma penalizados, uma vez que serão colocados noutro local de trabalho equivalente numa outra zona do edifício enquanto durar a filmagem”. Além disso, nos termos no artigo 14 da LGPD, as empresas que possuem colaboradores menores de idade precisam de uma atenção especial em relação a esses dados, visto que o tratamento deverá ser realizado com base no seu melhor interesse e através do consentimento específico e em destaque dado por pelo menos um dos pais ou representante legal. Conclusão Portanto, nota-se que, apesar de existir um mito sobre a utilização do consentimento nas relações de trabalho, é possível utilizar o consentimento como base legal em algumas situações, desde que a negativa não prejudique o titular e seja realizado de forma livre. Referências bibliográficasGuidelines 05/2020 on consent under Regulation 2016/679. Disponível em: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf. MIZIARA, Raphael; MOLLICONE, André Pessoa, Bianca. Reflexos da LGPD no direito e no processo do trabalho. São Paulo: Thomson Reuters Brasil, 2020. E-book. Opinion 15/2011 on the definition of consent. Disponível em: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf. Fonte: Conjur | Para ver a publicação original, acesse: https://www.conjur.com.br/2021-ago-28/rodrigues-lgpd-consentimento-relacoes-trabalhistas Autora: Laura Secfém Rodrigues Confira mais conteúdos aqui.

As redes sociais tornaram um ambiente favorável para a prática de golpes digitais a partir de perfis invadidos. Os invasores, utilizando da boa imagem do proprietário da conta, criam cenários para ludibriar os demais usuários e buscam obter vantagens ilícitas, principalmente econômicas. Em algumas situações, não só o proprietário do perfil é lesado. Outros internautas da rede também tornam-se vítimas, já que podem ter seus perfis roubados ou serem enganados pelos golpistas. Esse tipo de situação, inclusive, pode ser considerada como dano em cascata. Este artigo visa explicar as duas formas mais utilizadas pelos invasores para invadir perfis em redes sociais, recomendações sobre medidas a serem adotadas e algumas decisões judiciais sobre o tema. Quais são as formas utilizadas para invadir uma conta na rede social? Destacam-se duas principais formas utilizadas para invadir contas em redes sociais: o emprego de técnicas de engenharia social e a clonagem do chip (golpe SIM swap). A primeira forma refere-se ao emprego de técnicas de engenharia social, ou seja, quando uma pessoa tenta convencer outra a executar ações que a levam a fornecer informações, privilegiadas ou não, ou seguir passos que facilitem a efetivação de golpes. Para tanto, os invasores criam cenários falsos para conseguirem captar a atenção das vítimas. Após, despertam algum gatilho de emergência para conseguir obter alguma informação, como compartilhamento de credenciais, senhas, códigos SMS entre outros. Neste caso, o proprietário do perfil possui uma participação relevante para a ocorrência do golpe. Já em relação à forma utilizada que envolve a transferência de titularidade do chip de celular, conhecida como SIM swap, consiste na alteração do titular responsável pelo número de celular e é promovida envolvendo a operadora telefônica. É de conhecimento geral que os aplicativos de mensagens, como Whatsapp e Telegram, utilizam o número de celular para ingresso, não havendo outra forma de se conectar à rede senão o número de celular, com a confirmação de uma chave recebida por SMS ou ligação. Em adição aos aplicativos de mensagens já mencionados, diversas redes sociais e provedores de e-mail disponibilizam a utilização do número de celular como forma de acesso às contas nas respectivas plataformas, também com a confirmação de uma chave recebida via SMS ou ligação. Dessa forma, para compreendermos o golpe SIM swap, precisamos, primeiramente, entender a origem de seu nome. Em tradução livre, SIM swap significa troca do cartão SIM (subscriber identity module — módulo de identificação do assinante), ou seja, o SIM swap é a alteração do assinante identificado pelo chip cuja titularidade foi transferida. Dito isso, a execução da troca de titularidade depende de atuação de prepostos da operadora de telefone, a qual, de alguma forma, promove a modificação do assinante identificado pelo chip objeto do pedido, mediante solicitação de terceiro, sem a verificação de identidade do real proprietário da conta. Após ter controle sobre o número de celular de uma pessoa mediante a aquisição de um novo chip, o praticante do golpe pode obter acesso às contas que a vítima tenha cadastrado o número do seu celular, podendo se comunicar com os contatos dela, além de fazer publicações em nome da vítima, muitas vezes se locupletando indevidamente. Independente da forma empregada, depois de assumir o controle da conta, o invasor busca alterar o e-mail e número de telefone da rede social, fazendo com que a vítima tenha dificuldades na recuperação, em especial por ausência de suporte por parte da rede social. Em seguida, os invasores continuam aplicando golpes nos seguidores do proprietário do perfil. Um dos golpes mais conhecidos decorrentes da invasão de um perfil no Instagram envolve a divulgação de supostos investimentos por meio de transferência pela ferramenta PIX, os quais terão lucro e retorno rápidos. Após visualizarem as publicações, pessoas transferem dinheiro aos golpistas e nunca recebem o dinheiro de volta, o que pode afetar negativamente a imagem daquele cujo perfil é utilizado para perpetuação das práticas ilícitas, especialmente se o prejudicado for alguém que depende de renome para garantir seu sustento, como profissionais liberais, influencer etc. Outro golpe comumente aplicado a partir da invasão é a divulgação de móveis e eletrodomésticos que supostamente estão à venda. Recomendações para conseguir recuperar a conta invadida A partir do momento que o usuário verificar que a sua conta foi invadida, ele precisa buscar o procedimento disponibilizado pela rede social para recuperar o seu acesso. No caso do Instagram, o usuário pode solicitar um link de login, após confirmar a titularidade da conta, mediante a realização de um procedimento disponível. Uma das formas de realizar a confirmação, para casos que a conta conta que possui fotos em que a vítima aparece, é por meio de uma selfie de vídeo virando o rosto para diferentes direções. Para saber mais sobre ele, clique aqui. No caso do Twitter, recomenda-se que seja solicitado a redefinição de senha ou buscar o suporte. Sobre o procedimento, verifique aqui. Além disso, a vítima deve avisar familiares, amigos e conhecidos que a conta está invadida, evitando maiores danos; realizar um Boletim de Ocorrência; e reunir provas da invasão e conteúdos que foram publicados no perfil. Se o usuário não conseguir recuperar, a opção mais recomendada para restabelecer o acesso à conta é mediante a distribuição de um processo judicial. Para isso, a vítima deve procurar um advogado especializado para realização da ação judicial e adoção de outras medidas cabíveis. Decisões judiciais sobre o tema Em muitos casos, o usuário não consegue recuperar a sua conta pelos meios disponibilizados pela plataforma. Assim, precisam buscar o Poder Judiciário para obter a resolução do problema, judicializando o assunto. Na maioria das ações judiciais sobre o tema, os magistrados obrigam as plataformas a restabelecerem o acesso do usuário à conta invadida. Em alguns casos, são realizados pedidos de danos morais e materiais. Tais pedidos são analisados conforme cada caso. Em relação às invasões ocorridas a partir do golpe SIM swap, é possível envolver a operadora de telefonia celular no polo passivo da demanda, já que sem a troca do chip não seria possível gerar todos os demais danos. Cumpre destacar algumas jurisprudências

É inegável que a Internet se tornou um espaço para o exercício da liberdade de expressão, sendo que um conteúdo que é publicado nela pode gerar diversos reflexos, positivos ou negativos. Nesse contexto, o Marco Civil da Internet (Lei nº 12.965/14) dispõe sobre diversas questões relacionadas ao uso desse importante veículo de comunicação. Apesar da referida Lei buscar assegurar a liberdade de expressão e impedir a censura, existem situações em que ocorre um conflito de direitos básicos, o que implica na necessidade de remover um determinado conteúdo. Os principais casos envolvendo a remoção de conteúdo na Internet envolvem a propagação de publicações ofensivas e difamatórias; criação de perfis falsos, especialmente para a aplicação de golpes digitais; conteúdos sexuais; fake news; etc. Medidas para remoção de conteúdo Existem algumas medidas que podem ser adotadas para remoção de conteúdo na Internet. Desde já, é importante destacar que alguns provedores disponibilizam canais para que o usuário solicite a remoção. Nesse caso, cabe à plataforma analisar e remover o conteúdo, já que tem seus direitos reservados para remover aquilo que viola as suas regras estabelecidas em Termos de Uso, por exemplo.  Por isso, a primeira recomendação é que sejam buscados os referidos canais e sejam realizados os procedimentos recomendados, documentando o que foi feito e eventuais respostas obtidas. Contudo, nem sempre isso funciona. Assim, é preciso buscar outras formas para remoção do conteúdo, podendo ser judicial ou extrajudicial. Remoção de conteúdo extrajudicial e judicial A remoção do conteúdo realizada de forma extrajudicial envolve, muitas vezes, a expedição de notificações extrajudiciais ou contato com o autor de determinada publicação. Já a outra forma envolve a distribuição de uma ação judicial buscando a remoção de conteúdo, que pode obrigar tanto o provedor de aplicação de internet a remover como o autor da publicação/postagem. Quais tipos de conteúdo devem ser removidos pelos provedores de aplicação sem ação judicial, bastando uma notificação extrajudicial? Conforme o art. 21 do MCI, os conteúdos envolvendo a violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado, devem ser removidos pelo provedor de aplicação de internet após a notificação do ofendido ou seu representante legal.  O provedor de aplicações de internet que disponibilize esse tipo conteúdo gerado por terceiros será responsabilizado subsidiariamente quando, após o recebimento de notificação, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo. É possível falar em responsabilidade civil do provedor de aplicações de internet? Além do caso citado acima, existe a possibilidade de o provedor de aplicações de internet ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário, nos termos do art. 19 MCI. É importante destacar que eventual ordem judicial deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material.  A jurisprudência é pacífica no que se refere à necessidade de indicação clara e precisa da URL que identifica o conteúdo do qual se pretende a remoção, nos exatos termos determinados pelo MCI. Sobre o tema, o Superior Tribunal de Justiça entendeu que não há impedimento para que o próprio provedor de aplicação – nas hipóteses em que o autor do conteúdo online apontado como ilegal ou ofensivo não faz parte da ação judicial – apresente argumentos em defesa da licitude do material hospedado ou publicado em suas plataformas.   Portanto, a pessoa que se sente lesada diante de um conteúdo publicado na Internet deve buscar apoio jurídico para definição da melhor estratégia para remover um conteúdo, evitando maiores consequências como o efeito Streisand, isto é, quando se tenta remover e ocultar uma informação na Internet e o resultado acaba sendo o contrário, já que o conteúdo viraliza. Fonte: Tech Compliance | Para ver a publicação original, acesse: techcompliance.org/remocao-de-conteudo/ Autores: Laura Secfém Rodrigues e Diego Furlan Galhardo