O Marco Civil da Internet entra em vigor no próximo dia 23 de junho. Com ele, o Brasil passa a contar com marco regulatório de privacidade de dados pessoais que rivaliza em rigidez com aqueles dos Estados Unidos e Europa, de acordo com o escritório de advocacia Vella Pugliese Buosi Guidon. Praticamente qualquer companhia que possua um site e/ou coleta dados pessoais por meios eletrônicos será obrigada a observar determindasa regras.
“O Marco Civil da Internet implica necessariamente em providências de reforço do compliance em segurança da informação e inaugura a necessidade de estabelecimento de estrutura de compliance em privacidade”, afirma a equipe de advogados.
As punições, em caso de violação, podem incluir a suspensão das atividades de coleta e/ou processamento de dados e a aplicação de multas que podem chegar a 10% da receita anual do grupo econômico infrator. Serviços financeiros, de mídia e comunicações, seguradoras, planos de fidelidade, grupos de educação e de saúde, empresas varejistas (e-commerce) serão os mais afetados
Segundo o escritório de advocacia, a tendência, a ser confirmada por meio de decreto que passará por processo de consulta pública nos próximos dias, é que a Secretaria Nacional do Consumidor – SENACON, ligada ao Ministério da Justiça, tenha poderes para aplicar as penalidades tão logo se encerre o período de vacatio legis.
Especificamente em relação à privacidade, os advogados alertam que a lei criou os seguintes direitos para titulares dos dados pessoais:
1. à inviolabilidade da intimidade e vida privada e de seus dados pessoais;
2. que a coleta, uso, armazenamento e tratamento de seus dados pessoais somente se dê a partir de seu consentimento expresso;
3. ao não fornecimento a terceiros de seus dados pessoais, salvo mediante consentimento livre, expresso e informado;
4. a informações claras e completas a respeito da coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: (a) justificaram sua coleta; (b) não sejam vedadas pela legislação; (c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet;
5. a solicitar a exclusão definitiva dos dados pessoais de base de dados; e
6. à clareza dos termos de uso (e políticas de privacidade).
A esses direitos, corresponderão necessariamente os seguintes controles internos:
1. controle interno de correspondência entre as atividades de coleta e tratamento de dados, e suas respectivas finalidades, e os termos de uso e privacidade em vigor. Isto é, será necessária a revisão constante dos consentimentos dados pelo titular dos dados pessoais. Termos de uso e privacidade deverão ser readequados à medida em que as necessidades de negócio e as respectivas finalidades de tratamento da informação forem se modificando;
2. revisão de práticas e contratos que envolvam a troca ou fornecimento de dados pessoais a terceiros;
3. controles e programas de segurança da informação efetivos. Eventos de quebra de sigilo tendem a provocar as punições mais severas;
4. revisão de contratos de prestação de serviço com fornecedores de TI (e.g. outsourcing, cloud computing), incluindo aqueles prestados a partir do exterior, de modo a avaliar a alocação de riscos e responsabilidades, o que inclui cláusulas atinentes à contratação de seguros;
5. mecanismo de deleção definitiva dos dados pessoais das bases de dados em caso de solicitação por seu titular; e
6. documentação constante dos controles e respectivos processos implementados, seja em matéria de segurança da informação, seja em matéria de privacidade, uma vez que o regulador terá o poder de solicitar informações a respeito do cumprimento das normas.
É bom ter em mente ainda, que a necessidade de criação de uma estrutura de compliance em privacidade será reforçada será com o advento da lei específica de proteção à privacidade de dados pessoais, cuja nova versão de PL está para ser divulgado pelo Ministério da Justiça. DE acordo com o escritório Vella Pugliese Buosi Guidon, “com essa nova lei, o compliance em privacidade atingirá novos patamares, o que incluirá, por exemplo, auditorias periódicas de órgão regulador específico e exigência de officer da empresa dedicado a gerir as estruturas de controle e proteção à privacidade das empresas”.
Fonte: CIO
0sem comentários ainda
Por favor digite as duas palavras abaixo