Lei Geral de Proteção de Dados – LGPD

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 23 de agosto de 2024 a Resolução CD/ANPD n° 19/2024, que disciplina a Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. A nova norma tem como objetivo regulamentar as diretrizes gerais que autorizam a transferência de dados pessoais para países ou organismos internacionais, estabelecidas nos artigos 33 a 36 da Lei Geral de Proteção de Dados (LGPD). A nova Resolução impacta diretamente as organizações que realizam transferências internacionais de dados, exigindo maior transparência e responsabilidade no tratamento desses dados. A norma determina: (i) a atualização de contratos para incorporar os mecanismos válidos de transferência em contratos; (ii) a divulgação das transferências internacionais de dados na Política de Privacidade ou outro documento equivalente; e (iii) o fornecimento das informações aos titulares sobre o tema, quando houver solicitação. Preliminarmente, destaca-se que as disposições sobre transferências internacionais de dados se aplicam a todos os tratamentos de dados pessoais realizados em território nacional, bem como aqueles que tenham como objetivo oferecer bens ou serviços a indivíduos no Brasil, ou que envolvam dados de indivíduos localizados no território nacional, salvo as exceções previstas em lei. Hipóteses legais  Para que a transferência internacional de dados seja considerada válida, é preciso que ela tenha um propósito legítimo, específico e informado ao titular, sem possibilidade de uso posterior para fins diferentes. Essa transferência também deve estar fundamentada em uma das hipóteses legais previstas na LGPD (art. 7º ou 11) e estar associada a um dos mecanismos de transferência internacional válidos. Mecanismos para transferência internacional A transferência internacional de dados, além de cumprir a LGPD, deve ser proporcional e adequada à finalidade a ser alcançada. Ou seja, somente os dados estritamente necessários devem ser transferidos, e essa transferência deve estar respaldada por um dos mecanismos de proteção estabelecidos pela ANPD. De acordo com a  Resolução CD/ANPD n° 19,  de 23/08/2024, as transferências internacionais de dados devem observar um dos seguintes mecanismos: Decisão de adequação da ANPD: A transferência de dados pessoais e sensíveis poderá ser realizada para países e organismos que oferecerem proteção equivalente à da LGPD. A ANPD é responsável por reconhecer quais países e organizações atendem a esses requisitos. Normas corporativas globais: transferências internacionais dentro do mesmo grupo ou conglomerado de empresa, podem seguir normas corporativas globais. As normas deverão ser submetidas à aprovação da ANPD; Cláusulas-padrão contratual: A transferência internacional de dados, quando fundamentada em cláusulas-padrão contratuais, somente será válida se houver a adoção integral e sem qualquer modificação do texto padrão disponibilizado pela ANPD (Anexo II da Resolução); Cláusulas-padrão Contratuais Equivalentes: A ANPD pode reconhecer a equivalência das cláusulas-padrão contratuais de outros países ou organismos internacionais com as cláusulas-padrão estabelecidas no Anexo II da Resolução; Cláusulas-padrão específicas para determinadas transações: Cláusulas elaboradas individualmente por controladores que precisam ser submetidas à aprovação da ANPD. Prazos para Adoção de Cláusulas-Padrão As empresas que realizam transferências internacionais de dados devem, até 23 de agosto de 2025, incorporar as cláusulas-padrão da ANPD aos seus contratos, garantindo assim a conformidade com a legislação. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A Lei Geral de Proteção de Dados Pessoais (LGPD) impõe uma série de requisitos para promover a segurança e a privacidade dos dados pessoais e sensíveis dos indivíduos.        A adequação à LGPD exige que o controlador e o operador de dados elaborem documentos, que abrangem mais do que apenas políticas de cookies e privacidade. O documento mais complexo para elaborar é o Relatório de Impacto à Proteção de Dados (RIPD). As disposições da lei e as primeiras penalidades aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) por falta de apresentação de RIPD no prazo estabelecido pela Autoridade apontam a sua relevância para efetiva adequação à LGPD.     Embora a ANPD ainda não tenha regulamentado regras específicas para o RIPD, a LGPD e as orientações da autoridade oferecem uma visão clara dos itens básicos que devem ser incluídos no relatório, este obrigatório.      O RIPD descreve os processos de tratamento de dados pessoais que podem representar alto risco à proteção dos princípios gerais estabelecidos pela LGPD, assim como às liberdades civis e aos direitos fundamentais dos titulares dos dados.   O RIPD ainda é expressamente obrigatório para os tratamentos realizados com base no legítimo interesse do controlador. Esse documento também deve  expor as medidas de segurança e os mecanismos implementados para mitigar os riscos identificados.  Quem é responsável pela elaboração do RIPD?     O controlador (agente de tratamento que toma as decisões relativas ao tratamento de dados pessoais) é o responsável pela elaboração do RIPD. Sua responsabilidade está em garantir que o RIPD seja elaborado de forma completa e precisa, identificando e avaliando os riscos associados ao tratamento de dados pessoais e implementando medidas adequadas para mitigar esses riscos.     Recomenda-se elaborar o RIPD antes do início do tratamento de dados pessoais para antecipar e avaliar os riscos potenciais, e implementar medidas e salvaguardas adequadas para mitigar esses riscos.       Se não for possível elaborar o RIPD antes do início do tratamento, deve-se fazê-lo assim que se identificar um tratamento com alto risco aos princípios de proteção de dados da LGPD e aos direitos fundamentais dos titulares, conforme exigido pela ANPD. Conteúdo      O relatório deve ser detalhado o suficiente para que a ANPD e o controlador compreendam completamente o tratamento de dados pessoais e os riscos associados. Isso inclui: Descrição dos tipos de dados tratados, operações de tratamento, finalidades e hipóteses legais; Avaliação da necessidade e a proporcionalidade das operações e riscos para os direitos e liberdades dos titulares; Identificação dos agentes de tratamento e encarregado; Análise da hipótese legal escolhida para cada finalidade de tratamento; Inclusão dos sistemas de informação relacionados ao projeto.      No mais, embora a divulgação do RIPD não seja obrigatória para entidades privadas, a ANPD sugere que torná-lo acessível ao público pode demonstrar o compromisso do controlador com a segurança dos dados e a transparência, conforme os princípios da LGPD. O controlador pode disponibilizar o RIPD em seu site, garantindo que a versão pública seja clara e acessível, mas distinta da versão interna para proteger segredos comerciais e informações confidenciais. Sanções administrativas        A LGPD não exige, como regra geral, que o RIPD seja enviado à ANPD. No entanto, a autoridade pode solicitar o relatório e outros documentos relevantes para a fiscalização. O controlador deve enviar o RIPD quando requisitado pela ANPD e pode ser submetido a medidas de fiscalização em caso de não cumprimento.      A não conformidade com essas exigências pode resultar em sanções incluindo advertências, multas e outras penalidades previstas pela legislação, além de comprometer a reputação da organização.        Considerando a complexidade para confecção do RIPD, é necessário elaborá-lo tão logo o alto risco aos titulares seja identificado e mantê-lo atualizado. Dessa forma, o controlador terá tempo hábil para apresentá-lo à ANPD, outra autoridade ou parceiros de negócio, quando necessário. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     Os cookies são pequenos arquivos de texto que permitem identificar, coletar e armazenar diferentes informações sobre uma pessoa e o seu comportamento em websites da internet. Além disso, os cookies possuem fundamental importância na medição do desempenho de uma página e na apresentação de anúncios personalizados.       O início da vigência da Lei Geral de Proteção de Dados (LGPD) impactou a forma de utilização de cookies e proteção de dados, uma vez  que, a depender dos cookies, o usuário estará sujeito a ter sua atividade online rastreada. Desse modo, por meio das informações coletadas e armazenadas pelos cookies, é possível identificar um usuário e obter o perfil comportamental deste. Tais informações são consideradas dados pessoais e, portanto, estão submetidas à regulação pela LGPD.       Nesse cenário, caso a coleta não seja realizada seguindo as diretrizes e princípios dispostos no dispositivo, os direitos e a privacidade de titulares de dados pessoais poderão estar em risco e o controlador dos dados poderá sofrer sanções.        A Autoridade Nacional de Proteção de Dados (ANPD) elaborou o Guia Orientativo de Cookies e Proteção de Dados Pessoais com o objetivo de explorar as hipóteses legais aplicáveis na sua utilização e requisitos necessários a serem observados. Requisitos necessários Com base nos princípios da finalidade, necessidade e adequação, estabelecidos no art. 6º da LGPD, a coleta de dados pessoais usando cookies deve se ater às informações essenciais para alcançar propósitos válidos, claros e específicos. Isso significa que não é admitido a indicação de finalidades genéricas e nem o tratamento de dados excessivos.  O titular tem direito a ter acesso a informações claras e facilmente acessíveis sobre a forma do tratamento e o período de retenção que justificam a coleta de seus dados por meio de cookies.  Mediante procedimento gratuito e facilitado, o titular dos dados pessoais poderá requerer a eliminação de dados ou até mesmo se opor ao tratamento. Vale ressaltar que o período de retenção de cookies deve ser sempre compatível com as finalidades do tratamento. A utilização de cookies deve respeitar as hipóteses legais definidas no art. 7º e 11º da LGPD. –            Saiba mais sobre em Bases legais e dados sensíveis na Lei Geral de Proteção de Dados Políticas de cookies        Todo website que utiliza cookies com coleta de dados pessoais deve ter uma Política de Cookies. Esse documento consolida as informações sobre o uso de cookies, que deve ser disponibilizada de maneira facilitada e clara ao usuário do site ou aplicativo.        O documento deverá apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção, se há compartilhamento com terceiros e ter elencado todos cookies que poderão ser utilizados durante a execução do site/aplicativo.  Banner de Cookies        O banner de cookies se diferencia da Política de cookies, uma vez que se refere a um recurso visual com o objetivo de informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies no website.  Seu principal objetivo é que o usuário possa ter controle sobre o tratamento dos seus dados, podendo escolher suas preferências.        Para facilitar a visualização pelo titular de dados pessoais, o banner de cookies de primeiro nível deve possibilitar que o usuário rejeite todos os cookies não necessários, além de oferecer link para que se obtenha mais detalhes sobre a utilização desses dados, sobre como seus dados são utilizados e sobre o período de retenção, por exemplo. O banner de segundo nível é aquele que apresenta maiores informações sobre o uso de cookies, geralmente. Dessa forma, é necessário categorizar os cookies com base em suas funções e objetivos, além de possibilitar a obtenção de consentimento para cada objetivo específico.        É fundamental que as empresas estejam atentas às boas práticas relacionadas ao tratamento de dados pessoais decorrente da coleta de cookies, buscando sempre se adequar às diretrizes da Lei Geral de Proteção de Dados e orientações da Autoridade Nacional de Proteção de Dados. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     Acompanhando a lógica protetiva do Estatuto da Criança e do Adolescente às crianças e adolescentes (ECA), a  proteção dos dados pessoais de crianças e adolescentes é uma preocupação especial na Lei Geral de Proteção de Dados (LGPD). Estas faixas etárias são mais vulneráveis e não compreendem, geralmente, as implicações do tratamento de dados pessoais. Diante disso, a referida lei estabelece alguns requisitos específicos para esse tratamento de dados. Requisitos específicos para o tratamento de dados         Crianças e adolescentes possuem os mesmos direitos que os adultos em relação aos seus dados pessoais, podendo, por exemplo, retificá-los, solicitar a exclusão e acessá-los. Entretanto, o tratamento destes dados envolvem algumas peculiaridades previstas pela lei. Um ponto essencial estabelecido pelo art. 14 da LGPD, para o tratamento de tais dados é que eles estejam sempre relacionados ao melhor interesse do menor. Isso significa que para que o tratamento seja considerado legal é preciso que ele promova a garantia dos direitos e da dignidade da criança e do adolescente.        Outro requisito fundamental estabelecido pela lei, é o consentimento manifestado de forma específica e em destaque de um dos pais ou do responsável legal para o tratamento de dados pessoais de crianças, previsto no art. 14, § 1º. Em relação aos adolescentes entre 12 e 18 anos, a lei presume que eles têm a capacidade de dar seu próprio consentimento. Para que as organizações tratem dados sensíveis dessas faixas etárias, ou seja, dados relacionados à saúde, orientação sexual, opiniões políticas, origem racial, dentre outros, estas devem ter um motivo legítimo para coletar e processar esses tipos de dados, atendendo pelo menos a uma das bases legais dispostas na lei.  Fiscalização      A Autoridade Nacional de Proteção de Dados (ANPD) tem desempenhado um papel ativo na fiscalização e orientação sobre a proteção de dados pessoais, incluindo os dados de menores. Em ações recentes, a ANPD emitiu orientações e recomendações para plataformas digitais e empresas, como o Tik Tok, solicitando que implementem medidas adequadas para a proteção dos dados de crianças e adolescentes.       Para evitar sanções e penalidades que podem incluir multas de até 2% do faturamento anual da empresa, limitadas a cinquenta milhões de reais por infração, conforme estabelecido pela LGPD, empresas e organizações devem adotar uma série de medidas preventivas e corretivas, que incluem: Implementação de medidas de segurança: adotar medidas técnicas eficazes contra acessos não autorizados, vazamentos e outras formas de comprometimento, que incluem práticas seguras de armazenamento de dados. Realização de treinamentos e conscientização: treinamento contínuo para funcionários sobre a LGPD e melhores práticas de proteção de dados. Auditorias e avaliações de conformidade: auditorias e avaliações são fundamentais  para identificar e corrigir eventuais lacunas nas práticas de proteção de dados e garantir que as políticas e práticas estejam alinhadas com os requisitos da LGPD.   Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes para o tratamento de dados pessoais para garantir o uso responsável dos dados pessoais, prevendo princípios e critérios para realização desse tratamento pelos agentes de tratamento. Ainda no âmbito dos princípios e direitos dos titulares, vale ressaltar que dados pessoais são todas as informações que estão relacionadas a uma pessoa identificada ou identificável. O conceito abrange dados como: nome, endereço, número de telefone, endereço de e-mail, dados de navegação, cookies, geolocalização. O tratamento abrange diferentes tipos de utilização de dados pessoais, como coleta, acesso, distribuição, armazenamento e eliminação destes. Diante disso, a LGPD estabelece em seu art. 7º as bases legais que legitimam o tratamento dos dados pessoais.  Fornecimento de consentimento pelo titular A primeira delas é o consentimento do titular, ou seja, a manifestação inequívoca, livre e informada do titular para que seja realizado o tratamento dos seus dados pessoais. É ônus do controlador demonstrar que obteve o consentimento do titular na forma prevista na LGPD. Cumprimento de obrigação legal ou regulatória pelo controlador A legislação vigente muitas vezes impõe o tratamento de dados pessoais, como, por exemplo, a qualificação, dados de saúde e outras informações de empregados. Neste caso, o tratamento é realizado para atender uma obrigação legal ou regulatória imposta ao controlador. Pela administração pública O dispositivo também assegura o tratamento de dados pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.  O tratamento poderá ocorrer desde que se tenha como único objetivo a execução de políticas públicas, devendo ser observada os artigos 23 a 32 da legislação, os quais estabelecem as diretrizes para o tratamento de dados pessoais pelas pessoas jurídicas de direito público. Para a realização de estudos por órgão de pesquisa Como quarta base legal tem-se a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Aqui, o dispositivo refere-se ao uso de dados pessoais por entidades de pesquisa reconhecidas com o objetivo de realizar pesquisas no âmbito histórico. Execução de contrato Dados pessoais poderão ser usados quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Por exemplo, caso o usuário de um e-commerce adquira produtos, o fornecimento de tais dados será imprescindível para a execução do contrato. Exercício regular de direitos em processo judicial, administrativo ou arbitral  Há casos em que determinados dados poderão ser fundamentais para exercícios de direitos em processos em geral, nesse caso, será possível armazenar tais dados pelo prazo necessário para demanda. Proteção da vida ou da incolumidade física do titular ou de terceiro  O tratamento de dados pode ser essencial para a sobrevivência ou integridade física do titular ou de terceiro. Por exemplo, quando for necessário tratar dados referentes à geolocalização de dispositivo de telefone celular para localizar alguém correndo algum risco. Para tutela da saúde O dispositivo também possibilita a utilização de dados pessoais para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Para atender aos interesses legítimos do controlador ou de terceiro O legítimo interesse se caracteriza para apoio e promoção de atividades do controlador, ou para proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.  Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. É importante observar o guia orientativo da ANPD, que estabelece diretrizes sobre as medidas necessárias para realização do teste de legítimo interesse e elaboração dos relatórios obrigatórios. Para proteção do crédito  Essa hipótese é muito utilizada para decidir se determinada pessoa terá concessão ou não de crédito, sendo utilizados, portanto, dados sobre a adimplência ou inadimplência. Nota-se que cada base legal tem critérios específicos e é aplicada de acordo com o contexto do tratamento de dados. Dados pessoais sensíveis A LGPD define de forma taxativa o conceito de dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Tem-se portanto, que as operações envolvendo tais informações devem ser realizadas com a maior cautela possível da empresa. Um incidente de segurança que envolva esses tipos de informações pode resultar em consequências mais sérias para os direitos e liberdades das pessoas envolvidas. O art. 11 é responsável por prever as hipóteses legais possíveis para o tratamento dos dados pessoais sensíveis, vale ressaltar, que estes somente poderão ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas ou  nas hipóteses em que for indispensável para: Cumprimento de obrigação legal ou regulatória pelo controlador; A administração pública, de políticas públicas previstas em leis ou regulamentos; Estudos por órgão de pesquisa, desde que garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. A LGPD prevê a vedação da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, ressalvada as hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. Neste sentido, a lei é clara ao vedar o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Garantia da prevenção à fraude e à segurança do titular, que deve ser

       No setor empresarial, tem-se observado um aumento significativo no emprego da tecnologia nos processos, produtos e serviços que o compõem. Essa transição das atividades das organizações para o ambiente digital tem trazido diversos benefícios, como a facilidade na integração de diferentes áreas, a otimização do tempo e espaço para a execução de tarefas e a promoção da agilidade e eficiência nas relações entre a empresa e os consumidores, bem como entre a empresa e seus fornecedores.        A transferência de inúmeras atividades para o meio digital resultou em um expressivo aumento do tráfego de dados online, tornando-o um ambiente propício para a ação de agentes maliciosos. A exploração indevida desses dados pode gerar consequências danosas e duradouras, a exemplo de prejuízos financeiros, comprometimento de sistemas e danos à imagem institucional. Conceito        A Autoridade Nacional de Proteção de Dados (ANPD) define, por meio da Resolução CD/ANPD n° 15/2024, um incidente de segurança como qualquer evento adverso confirmado que envolva a violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais.        Logo, o conceito abrange uma falha do equipamento, acesso a dados pessoais por pessoa não autorizada, eliminação de dados pessoais feita de forma ilegal e até mesmo o roubo, furto ou perda de equipamento que contém dado pessoal.        Existem diversos tipos de incidentes de segurança, com o vazamento de dados pessoais sendo o mais comum, geralmente causado por senhas fracas, falta de medidas técnicas e treinamento inadequado. Esses incidentes frequentemente resultam de ataques cibercriminosos e podem ser classificados em três tipos principais: Incidente de confidencialidade: Divulgação ou acesso não autorizado aos dados pessoais. Incidente de integridade: Modificação não autorizada dos dados pessoais. Incidente de disponibilidade: Perda de acesso ou eliminação dos dados pessoais.        O vazamento de dados ocorre na maior parte das vezes como decorrência de um ataque cibercriminoso, sendo os tipos mais comuns apresentados a seguir.  Phishing        Nesta técnica, o invasor envia e-mails ou mensagens via WhatsApp/SMS para enganar os usuários e obter informações confidenciais. O destinatário é induzido a clicar em um link, acreditando que ganhará uma promoção ou brinde, mas, ao fornecer as informações, descobre que foi vítima de um golpe. Malware       Também chamado de software malicioso, é uma forma genérica de se referir a qualquer tipo de software criado intencionalmente para causar danos que podem espionar uso de sistemas, captar e enviar dados para servidores externos.  Ransomware      O Ransomware é um tipo de malware que bloqueia o acesso aos arquivos ou ao dispositivo inteiro, impedindo seu uso adequado. Cibercriminosos usam essa técnica para extorquir vítimas, exigindo pagamento para liberar o acesso, sem garantia de que os dados não serão vendidos ou usados indevidamente mesmo após o pagamento. DdoS        Em português, ataque de negação de serviço distribuído consiste em sobrecarregar as atividades de um servidor, negar o acesso de usuários legítimos e derrubar conexões entre equipamentos, entre outras ações similares.       Apesar de mencionados os principais tipos de ataques, os cibercriminosos se especializam e inovam constantemente nos formas de cometer ciberataques. Sendo fundamental que as empresas estejam sempre atualizadas quanto aos riscos que estejam expostas, consequências de um incidente de segurança e os métodos para mitigação possíveis de serem executados. Planos de resposta a incidentes       A Lei Geral de Proteção de Dados é responsável por definir as diretrizes de segurança e administrativas que os responsáveis pelo tratamento de dados devem seguir para garantir a proteção dos dados pessoais e seus respectivos titulares contra qualquer tipo de atividade ilegal.        Um plano de resposta a incidentes é um conjunto estruturado de procedimentos e diretrizes que uma organização segue ao enfrentar incidentes de segurança. O objetivo principal desse plano é identificar, gerenciar e minimizar o impacto dos incidentes, restaurando as operações normais o mais rápido possível.       A Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União, em 26 de maio de 2024, a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança. Entre os principais aspectos estabelecidos pela regulamentação, destacam-se os seguintes: Registro do incidente       Uma vez identificado um incidente de segurança ou havendo suspeita da sua ocorrência, o Encarregado de Proteção de Dados Pessoais deve ser notificado para que o evento seja devidamente investigado. É necessário manter um registro detalhado do incidente de segurança, incluindo as causas, os dados afetados, a categoria dos titulares e as medidas de segurança implementadas para conter o incidente e mitigar os riscos e danos. Comunicação do incidente à ANPD e aos titulares       Em regra, o incidente de segurança que possa acarretar risco ou dano relevante aos titulares deve ser comunicado à ANPD e aos próprios titulares afetados no prazo de 3 (três) dias úteis, contados a partir do conhecimento do incidente pelo controlador.        A comunicação do incidente à ANPD deverá ser realizada pelo controlador, por meio do encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação. Em caráter excepcional, caso o controlador não tenha as informações completas a respeito do incidente ou não conseguir notificar os titulares no prazo recomendada, pode ser apresentada comunicação complementar no prazo de 20 dias úteis.        Ao avaliar a gravidade do incidente, a Autoridade levará em consideração as práticas adotadas pelo agente de tratamento para mitigar os riscos e minimizar os efeitos dos danos ocorridos. Caso entenda necessário, a ANPD tem poderes para determinar a abertura de processo administrativo sancionador para apurar violação à LGPD, que poderá culminar em aplicação das sanções de advertência, publicização da infração, suspensão do exercício da atividade de tratamento dos dados pessoais, podendo chegar a multas 50 milhões de reais por infração.        Além disso, o controlador deverá

        A operação do comércio eletrônico demanda a atuação conjunta de diferentes atores. Mesmo nos casos em que toda a operação é gerida pelo proprietário da loja virtual, os dados pessoais de clientes podem ser compartilhados com terceiros para diferentes finalidades, como, por exemplo, operadoras de cartão de crédito para efetivação das compras. Nos casos em que há terceirização das atividades do e-commerce, o compartilhamento de dados muitas vezes é indispensável, como pode ocorrer no caso de contratação de transportadoras, entregadores, dentre outros.        O compartilhamento de dados pessoais é ainda mais evidente no modelo de marketplace na medida em que ele atua como intermediário da relação entre vendedor e cliente.          Nos casos em que dois ou mais agentes realizam o tratamento de dados pessoais de pessoas físicas, é indispensável celebrar o acordo de proteção de dados para estabelecer: a relação das partes em relação ao tratamento de dados, que pode ser controlador-operador, controladoria conjunto, ou controlador-controlador de forma independente; descrever os dados pessoais tratados, a sua finalidade, forma de tratamento, prazo de tratamento; a responsabilidade e forma de atendimento ao titular de dados; medidas a serem adotadas em caso de notificação da ANPD; prever critérios de segurança e plano de ação em caso de incidente de segurança; responsabilidade por penalidades administrativas e por indenização aos titulares de dados.         Muitas empresas adotam cláusula contratual padrão/modelo para proteção de dados visando facilitar a gestão de grande volume de contratos. Ocorre que é necessário repensar a adoção de documentos padronizados nos casos mais estratégicos e de maior risco, visto que pode ser necessário impor obrigações mais específicas de segurança, multas, responsabilidade contratual, dentre outras obrigações.           O acordo de proteção de dados é essencial para estabelecer diretrizes sobre como os dados serão compartilhados, a fim de que seja feito de forma segura e em conformidade com a Lei Geral de Proteção de Dados. Isso não apenas protege os direitos dos clientes, assegurando sua privacidade, mas também é essencial para reduzir os riscos de sofrer sanções ou penalidades, além de construir uma relação de confiança com seus consumidores. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. Saiba mais: Comércio eletrônico e direitos do consumidor Saiba mais: LGPD no comércio eletrônico Saiba mais: Organização societária do comércio eletrônico