1

Golpes digitais, fraudes online e fakenews envolvendo Coronavírus. Quais os cuidados básicos?




Vôo cancelado ou atrasado por conta do Coronavíruis (COVID-19). Quais os direitos e o que fazer?

Aproveite para se inscrever no canal!

Acesse: https://www.youtube.com/channel/UCqaPjjCjIRqeOlunUJM1xnw




A Pandemia do Coronavírus [COVID-19] e questões relevantes envolvendo Proteção de Dados Pessoais

Durante
a pandemia do Novo Coronavírus, é evidente que o tratamento de dados, incluindo
pessoais, se torna relevante ao servir de suporte para a tomada de decisões que
auxiliam na mitigação de outros riscos, redução dos danos e no combate a
pandemia.

Na
China, de acordo com o jornal chinês South China Morning Post, dados pessoais
e sensíveis foram coletados de maneira massificada sem a conveniente
autorização, acarretando assim, em uma preocupação global com a privacidade, em
relação aos cuidados necessários e a manipulação adequada de dados nesta época.

Na
Itália e outros países da Europa, já se fala na cooperação das operadoras de
telefonia móvel com o Governo, através do fornecimento de dados, aparentemente
de forma “anonimizada”, capaz de identificar concentrações em zonas
consideradas de risco. Quais dados a mais são coletados? Permanecerão por
quanto tempo nas bases de dados? Qual a consciência do cidadão e titular de
dados a respeito?

Inúmeros
cientistas da informação, de dados, profissionais da saúde e da tecnologia da
informação realizam o tratamento de dados pessoais com a finalidade de oferecer
serviços à população e auxiliar as políticas na atuação do poder público no
combate ao COVID-19.

O
tratamento de dados pessoais sensíveis é descrito no art. 11 da LGPD, que prevê,
salvo hipóteses legais, o consentimento do titular, de forma especifica e
destacada. Contudo, a LGPD estabelece em seu artigo 4°, inciso III que a Lei
não se aplica ao tratamento realizado para fins exclusivos da segurança pública,
no entanto, esta temática deverá ser regulamentada, nos termos da Lei.

Vale
salientar a Lei 13.979/2020, que foi criada para enfrentamento do Covid-19,
prevendo o compartilhamento de dados de pessoas infectadas a órgãos públicos de
saúde, assim estabelecendo:

Art. 5º  Toda pessoa
colaborará com as autoridades sanitárias na comunicação imediata de:

I – possíveis contatos com agentes infecciosos do corona
vírus;

II- circulação em áreas consideradas como regiões de
contaminação pelo coronavírus.

Art. 6º  É
obrigatório o compartilhamento entre órgãos e entidades da administração
pública federal, estadual, distrital e municipal de dados essenciais à
identificação de pessoas infectadas ou com suspeita de infecção pelo
coronavírus, com a finalidade exclusiva de evitar a sua propagação.

§ 1º  A obrigação a
que se refere o caput deste artigo estende-se às pessoas jurídicas de direito
privado quando os dados forem solicitados por autoridade sanitária.

§ 2º  O Ministério da
Saúde manterá dados públicos e atualizados sobre os casos confirmados,
suspeitos e em investigação, relativos à situação de emergência pública
sanitária
, resguardando o direito ao
sigilo das informações pessoais.

A
Legislação não serve para derrogar a LGPD que, embora se torne aplicável
somente em agosto de 2020 (caso não seja prorrogada), já tem seus princípios e
premissas de tratamento conjeturadas por autoridades em inúmeros casos no país.

Neste
sentido, o consentimento do titular (que pode ser um cliente, paciente ou
empregado) para o tratamento de seus dados pessoais de saúde, poderá ceder
espaço, em situações específicas, a outras premissas legais, dentre elas, a
proteção à vida ou à incolumidade física do titular ou de terceiros. Do mesmo
modo, poderá ocorrer o tratamento para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais da área, serviços de saúde ou
autoridade sanitária, conforme previsão da Lei 13.853/2019.

O
tratamento de dados pessoais de saúde, que pode ser realizado por meio de algoritmos,
aplicações, cruzamento de dados e outras operações de tratamento, poderá se dar
com base nas premissas legais acima identificadas, contudo, deverá ser
realizado de forma responsável, limitando-se apenas aos dados necessários para o
enfrentamento da crise, respeitando a finalidade, adotando princípios para a
minimização dos referidos dados, sobretudo, com a adoção de práticas de privacy by design na construção destes
sistemas de tratamento de dados.

Vale
ressaltar que aquele tratamento de dados que não respeitar a finalidade
especificada, de combater o vírus, auxiliar o Estado no seu papel ou trazer
avanços, prevenção e apoio aos cidadãos, poderá ser considerado irregular,
passível de reparação, devendo-se cogitar, também, os casos envolvendo a
discriminação de pacientes confirmados diante de falhas de segurança que
expuserem os dados, compartilhamentos indevidos,  diante de operações de tratamento não
autorizadas, ou ainda os danos causados àqueles forem expostos à tomada de
decisões a partir da exposição indevida de dados pessoais relativos à sua
saúde.

Não
se pode olvidar que o titular tem direito de conhecer as operações de
tratamento realizadas a seu respeito e não deve ser exposto e sofrer
discriminação. A exemplo, a Autoridad Nacional de Protección de Datos
Personales do Perú estabeleceu recomendação, na qual adverte que a divulgação
de dados pessoais de infectados pelo COVID-19 pode gerar multa de até 215.000
soles.


se tem relatos de uma plataforma digital chinesa capaz de identificar se há
algum passageiro contaminado pelo Covid-19 em viagens urbanas, oferecendo aos
usuários informações a respeito. Mais conhecido como Qihoo 360, o aplicativo
tem como fonte a base de dados dos hospitais e informações das companhias
estatais de transporte, além do mais, a plataforma digital conta com algoritmos
de inteligência artificial capaz de cruzar os dados e identificar os riscos de
contaminação. Teríamos um rastreio de pessoas infectadas? Os dados são
anonimizados? Outas pessoas poderiam apontar o celular para uma direção e
identificar um suposto “contaminado”? Quais as consequências imprevistas destas
tecnologias? Quais os impactos destas tecnologias que estão sendo construídas
na urgência, considerando que apesar de estarem empenhadas em livrar pessoas da
contaminação, tratam dados pessoais sensíveis.

A Presidente
do Conselho Europeu de Proteção de Dados (EDPD), Andrea Jelinek, se pronunciou
recentemente a respeito do tratamento dos dados pessoais diante deste cenário
acarretado pelo covid-19, declarando que: As
regras de proteção de dados (como o GDPR) não impedem as medidas tomadas na
luta contra a pandemia de coronavírus…”.
Em seguida enfatiza: …”o controlador de dados deve garantir a
proteção dos dados pessoais dos titulares dos dados. Portanto, várias
considerações devem ser levadas em consideração para garantir o processamento
legal de dados pessoais. ”

Jelinek,
faz considerações a respeito do processamento de dados de comunicação
eletrônica, como dados de localização móvel, aos quais são aplicadas regras
adicionais. No caso da Europa, alguns regulamentos nacionais determinaram que os
dados de localização só podem ser usados ​​pelo controlador quando forem
anônimos ou com o consentimento dos indivíduos, obtendo-se assim maior controle
e transparência de acesso e compartilhamento desses dados.

Vale
a compreensão do que o mundo está pensando no que tange às questões relativas a
proteção de dados e o Novo Coronavírus. A Global
Privacy Assembly
reuniu em uma página um compilado das principais ações,
regulamentos, manifestações e recomendações emanadas pelas autoridades de
proteção de dados no mundo sobre o COVID-19: https://globalprivacyassembly.org/covid19/

É indisfarçável
a necessidade de equilibrar a proteção de dados e o interesse público,
lembrando que isso não habilita tratamentos inconsequentes de dados pessoais
que possam ferir direitos e liberdades fundamentais, como aplicativos invasivos
de classificação de pessoas, ao estilo “Nosedive”…

Posto
isso, cabe indagar: Quais são os limites do mapeamento de infectados e os
riscos à privacidade? Se os limites são desconhecidos, o que dizer dos
impactos?




Quais os cuidados que um e-commerce realmente precisa ter com a Lei Geral de Proteção de Dados Pessoais?

É muito comum questionamentos sobre os impactos da LGPD no e-commerce. Por que as lojas devem se adaptar? A poucos meses da aplicação prática da LGPD, grande parte das centenas de milhares de lojas virtuais do Brasil ainda tratam o assunto com ceticismo ou descrença, como se não fossem um dos segmentos mais impactados com a norma e suas regras para o tratamento de dados pessoais.  

A aplicação da GDPR (General Data Protection Regulation) na Europa e seus reflexos no mundo (especialmente nos Estados Unidos) também apresentou um cenário de questionamentos intensos por parte de consumidores e associações de representação de titulares de dados pessoais, bem como um crescimento dos processos judiciais envolvendo questões de proteção de dados.

Uma avaliação do Conselho Europeu de Proteção de Dados (EDPB), constatou que nos primeiros 9 meses de aplicação da GDPR houve 206.326 casos relatados de acordo com as autoridades de supervisão dos 31 países membros da Área Econômica Europeia. Além do mais, as multas chegaram a 56 milhões de euros por conta da violação de dados pelos controladores.

Assim, muito conteúdo existe na internet sobre a preparação de negócios, empresas e inclusive negócios digitais, porém, o e-commerce tem especificidades no que tange ao tratamento de dados pessoais que merecem um enfoque e reflexões dedicadas. 

É importante destacar que todos os agentes de tratamento devem respeitar os princípios previstos na Lei Geral de Proteção de Dados, 13.709/2018, sendo eles previstos no artigo 6o. da norma

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; 

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; 

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; 

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; 

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; 

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Atento aos princípios, é também importante conhecer as premissas ou hipóteses que autorizam o tratamento de dados pessoais. Via de regra, o e-commerce trata dados pessoais com base na sua relação com o consumidor, o que se assemelha à necessidade de execução de contrato ou procedimentos preliminares de contratação, por outro lado, nem sempre esta será a premissa válida, e cada processo de negócio ou ciclo de vida novo com dados do titular precisa de uma avaliação criteriosa. As premissas previstas na Lei Brasileira para tratamento de dados são:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: 

I – mediante o fornecimento de consentimento pelo titular; 

II – para o cumprimento de obrigação legal ou regulatória pelo controlador; 

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; 

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; 

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; 

VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; 

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)      Vigência 

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou 

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 

Com efeito, existem pontos essenciais que um negócio, seja ele individual ou uma grande empresa, que trata dados pessoais, não pode ignorar, sobretudo se exerce atividade de loja virtual, considerando sua natureza básica, a execução contratual de compra e venda de produtos, onde necessariamente trata-se dados pessoais. Aqui, passamos de forma objetiva e sem apego a doutrinas, o que uma loja virtual deve primordialmente saber em relação ao e-commerce.

1. Estabeleça um programa de proteção de dados pessoais

O primeiro passo ou fase de um sistema de gestão de dados pessoais é a Preparação. É aqui que você avalia as leis aplicáveis ao seu negócio, impactos, realiza um mapeamento de dados pessoais iniciais, identifica os riscos para seu negócio e principalmente conhece, para cada ciclo de vida, se você é um controlador de dados ou operador de dados (se você é loja, marketplace, meio de pagamento, etc.), compreendendo efetivamente as necessidades de ajustes, após analisar os riscos do relatório preliminar e correlacionar suas atividades com os princípios e hipóteses de tratamento trazidas. Nesta fase, você já poderá identificar dados coletados em excesso que devem ser minimizados nas operações ou mesmo riscos existentes nas operações, como por exemplo, o tratamento de dados baseado em uma premissa equivocada. 

2. Organize as ações que serão tomadas

Nesta fase, atue e organize com um comitê de proteção de dados, avalie a necessidade de sistemas informatizados para te auxiliar na conformidade, programe as ações que serão necessárias para a conformidade com a loja e realize a atualização da política de privacidade (destinada ao público externo). Você pode conceber também uma política de proteção de dados, essa destinada aos seus terceirizados (meios de pagamento, hospedagem, time de analytics) e colaboradores. A política reforça a missão corporativa e impõe aos prestadores e funcionários sanções em casos de transgressão às regras.

3. Implemente as ações

Conscientização da equipe de backoffice, procedimentos de pseudonimização de dados, criptografia, realização de treinamentos. Aqui serão definidos procedimentos de aprovação para tratamento de dados pessoais, serão implementadas as medidas de segurança de dados, sejam elas técnicas ou organizacionais, bem como ocorrerá a revisão de contratos com todos os demais agentes de tratamento que manipulam dados pessoais no interesse da loja, incluindo a concepção de data processing agreements. Sobre as políticas, é importante que se crie uma “central de privacidade” na loja, contendo a política e suas estratificações ou políticas específicas, como veremos a seguir. Lembre-se, não basta um servidor com sistema operacional atualizado ou um firewall. Existem situações em que somente medidas organizativas poderão reduzir riscos aos dados pessoais. 

4. Políticas e termos de uso. Muito cuidado!

Você precisa saber que políticas meramente descritivas oferecem uma participação básica do consumidor no processo de tratamento de seus dados. A Lei assegura uma participação maior, portanto, em seu programa de proteção de dados, estabeleça uma central de privacidade, responsável por tratar da política de privacidade e demais estratificações. 

Seja transparente, use vídeos, desenhos e fuja dos textos longos e escritos em linguagem de difícil leitura ou juridiquês. Após realizar a política, peça para várias pessoas lerem e verificarem o que entenderam. É importante que a política estabeleça a declaração da empresa em relação a proteção de dados, quais dados são coletados, como são armazenados e tratados, período de retenção, quais os compartilhamentos e para quem os dados seguem para que esta empresa exerça suas atividades. A forma pela qual o titular pode se opor ao tratamento de seus dados deve ser clara. 

Do mesmo modo, é importante que o consumidor conheça seus direitos, e as hipóteses em que a loja entende legitimada a tratar os seus dados. A central de privacidade deve dispor, na própria política de privacidade, de link com área para receber pedidos dos titulares, política de pixels, política de cookies, especificação de quais dados sensíveis são tratados (aqueles que podem impactar em direitos e liberdades individuais) além é claro do contato com o DPO (encarregado de proteção de dados) que deverá ser nomeado pelo e-commerce e terá as seguintes atribuições, segundo a LGPD:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. 

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. 

§ 2º As atividades do encarregado consistem em: 

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 

II – receber comunicações da autoridade nacional e adotar providências; 

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e 

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. 

Lembre-se que ao tratar dados com base na relação consumerista, execução de um contrato, ou hipótese que avaliar cabível para a finalidade específica, esteja sempre ciente de coletar e tratar somente os dados realmente necessários, evitando questionamentos do titular e até responsabilizações. Em casos de outras atividades de tratamento a serem realizadas, que não as necessárias para a compra dos produtos, pode ser necessário o consentimento do mesmo, como por exemplo, a transferência de dados a um processador para marketing direcionado (behavioral Targeting) ou para identificar perfis de compra dos titulares (business intelligence).  Atenção total aos direitos dos titulares, que poderão ser questionados na área de “subject requests” ou “área do titular de dados pessoais”:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: 

I – confirmação da existência de tratamento; 

II – acesso aos dados; 

III – correção de dados incompletos, inexatos ou desatualizados; 

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência 

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; 

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 

Esteja preparado para receber inúmeros questionamentos de titulares sobre os diversos direitos trazidos acima. Como veremos, nem sempre a loja é obrigada, por exemplo, a “apagar” os dados, mas precisará de uma fundamentação legal para a recusa. Esteja pronto também para responder quem são seus parceiros de negócio (como um gateway de pagamentos ou antifraude) com quem você compartilha dados. Do mesmo modo, prepare-se, pois o titular poderá alegar que os dados são desnecessários, opondo-se ao tratamento. 

5. Cuidados com o consentimento.

Como visto, é um erro comum em muitos processos de adequação LGPD entender que o consentimento deve ser solicitado sempre. Pode até ser um risco exigir o consentimento em situações em que outras hipóteses legais poderiam se amoldar sem riscos. Porém, quando o consentimento for a hipótese escolhida, lembre-se que não basta informar ao consumidor que “ao comprar na loja ele consente com o tratamento dos seus dados pessoais de tal forma”. Este consentimento informado não apresenta mais nenhuma utilidade. O consentimento deve ser livre, expresso, inequívoco, explícito e em alguns casos até mesmo destacado (para dados sensíveis). Portanto, não é só inserir parágrafos em uma área do site e acreditar que pode tratar os dados do titular como bem entender. Importante destacar também outra característica do consentimento que é ser revogável. Além disso, é de responsabilidade do controlador (loja virtual) a gestão dos consentimentos, registrando todas as manifestações dos titulares de dados de forma que possa ser analisada a qualquer momento. Na hora de finalizar o pedido pode ser considerado um pop-up de consentimento? Cada caso é um caso e deverá ser avaliado o uso e a finalidade da coleta dos dados. 

6. Governança e incidentes de segurança

Na fase de Governança partimos do princípio de que os mecanismos, medidas técnicas e organizativas já foram implementadas. Na operação do e-commerce muitos incidentes podem ocorrer. Nesta fase, é importante executar o plano de solicitações e reclamações dos titulares dos dados e conduzir as avaliações de riscos de privacidade e proteção de dados, incluindo testes de intrusão. No que diz respeito ao plano de solicitações, o DPO (encarregado de proteção de dados) precisa estar preparado para atender às solicitações, no prazo legal, ora concedendo, ora negando, justificando legalmente a negativa do pedido do titular.  Nesta fase também se mantém ativa e revisada toda a documentação de privacidade e dados e principalmente, se estabelece um plano de resposta a incidentes de violação de dados pessoais. É muito importante aqui que tudo esteja bem claro sobre o que fazer e como agir diante de um incidente com dados pessoais, envolvendo procedimentos de contenção do dano, perícia em informática, notificação à Autoridade Nacional de Proteção de Dados e comunicações aos titulares. Algumas questões ainda serão regulamentadas. Fique atento, pois as multas por omissões podem ser gravíssimas e considere ainda as ações movidas por titulares de dados violados. 

7. Evolua e prove sua conformidade

De nada adianta superar todas as fases de um SGPI (Sistema de Gestão da Privacidade da Informação) da sua loja virtual se você não mantiver a avaliação e melhoria ligadas. Lembre-se que embora careça de regulamentação na Lei Brasileira, para cada novo processo, ciclo de vida ou operação de tratamento, pode ser necessário o relatório de impacto a proteção de dados. Esteja, nesta fase, preparado para a realização de auditorias internas e externas, executar avaliações de riscos para proteção de dados, resolver riscos e demonstrar sua conformidade, que a qualquer momento poderá ser requerida pela Autoridade Nacional de Proteção de Dados. Para a conformidade, é possível realizar auditoria na ISO 27701, que estabelece um sistema de gerenciamento de privacidade da informação. Outra opção é recorrer às certificações e selos, que conquanto não mandatórios ou obrigações legais, são excelentes indicativos, de uma empresa terceira e independente que sua loja cumpriu ou cumpre os requisitos de conformidade

8. Conclusões

Se a Lei será prorrogada ou não, honestamente, entendemos não deve ser uma preocupação do empreendedor que tem um e-commerce e que necessariamente realiza tratamento de dados pessoais. A questão é: Eu preciso me adequar e quanto tempo terei para projetar, preparar, organizar, implementar as mudanças e gerir a conformidade da loja as determinações da LGPD? No Brasil, já é possível verificar procedimentos de responsabilização milionários de empresas e lojas que de certo modo foram responsabilizadas por tratamento irregular de dados pessoais. Entender a Lei Geral de Proteção de Dados no E-commerce é essencial. Como visto, iniciar um plano de conformidade, seguindo e observando as etapas acima, pode ajudar lojas virtuais a organizarem ações e a reduzirem custos e tempo na adequação, com foco em questões prioritárias. Não arrisque deixar tudo para a última hora.

Inicie a adequação 

Agora que você já sabe como  agir, pode acessar o site www.cyberexperts.com.br e conhecer os cursos de “LGPD no E-commerce, implantação prática” e os treinamentos “Construção de áreas de privacidade, políticas de privacidade e proteção de dados”. 

No Brasil o ConfiaWeb® é um serviço que avalia lojas em diversos itens de conformidade, incluindo LGPD, apresentando de forma transparente ao titular dos dados e consumidor a pontuação da loja, garantindo segurança, conformidade e nitidamente aumento de conversões. Para conhecer o Confiaweb®, primeira auditoria online e selo de legalidade de lojas virtuais do Brasil, envie mensagem para (11) 98105-6959.

Envie-nos uma mensagem e solicite uma palestra gratuita para sua loja virtual, sobre aspectos de proteção de dados no e-commerce. Não deixe também de baixar nosso E-book “5 passos para entender a norma ISO 27701” em http://ebookiso27701.pagina.rocks/

Sobre os autores

Prof. MSc. José Antonio Milagre, CEO da CyberExperts, advogado especialista em direito digital, e perito em informática, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutorando Ciência da Informação pela UNESP, Pesquisador em Redes Sociais do NEWSDA-BR da Universidade de São Paulo (USP), Presidente da Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, Arbitro fundador da Câmara Internacional de Arbitragem e Mediação em Tecnologia da Informação, E-commerce e Comunicação (CIAMTEC.br). Consultor convidado na CPI de Crimes Cibernéticos – CPICyber do Congresso Nacional. É professor de Pós-Graduação em diversas instituições. Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros e “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. É colunista da Rádio Justiça do Supremo Tribunal Federal (STF). Data Protection Officer Certified by EXIN. Fundador do Instituto de Defesa do Cidadão na Internet – IDCI.  Site: www.josemilagre.com.br

Carolina Bonfim Coelho, especialista em Direito Digital e Dados, membro do escritório José Milagre & Associados. Site: www.josemilagre.com.br




Falso app sobre Coronavírus rouba dados bancários. Quais são os cuidados?

Um arquivo denominado Corona-Virus-Map.com.exe tem circulado em comunicadores e redes sociais. Como verificado, o sistema imita os atuais map trackers do Coronavírus, porém, quando executado, o mesmo abre um mapa parecido com o mapa da John Hopkins University (https://coronavirus.jhu.edu/map.html). O arquivo malicioso coleta dados do próprio site da Universidade. No entanto, o arquivo contém outro código malicioso que infecta o navegador do computador do usuário, acessando seus cookies, histórico, senhas e logins salvos e até mesmo chaves para carteiras de criptomoedas. O arquivo também altera os registros de hosts do computador, permitindo que ao digitar um site bancário, por exemplo, o usuário seja redirecionado a outro site

O golpe se vale da curiosidade e da ansiedade das pessoas por conta da pandemia do Coronavírus, fazendo com que cliquem em muitos dos conteúdos que recebem, inadvertidamente. A curiosidade e o desespero fazem com que as pessoas acessem links e cliquem em conteúdos que podem ser códigos maliciosos, sem que percebam.

Vale mencionar, que os códigos maliciosos não infectam apenas computadores, mas também celulares, podemos citar o CovidLock e o CovidTraker que uma vez instalados sequestram os dados dos celulares e solicitam depósitos em Bitcoins em 48 horas para desbloquearem o smartphone (ransonwares). 

Posto isso, todo cuidado é pouco, o indicado é baixar somente aplicativos do repositório oficial, dando preferência às informações de instituições conhecidas. Inclusive, é importante revogar as permissões desnecessárias de apps e usar antivírus no celular também.

Foi verificado que boa parte dos antivírus já conseguem detectar o programa malicioso. A equipe da Reason Security divulgou um importante estudo sobre o código malicioso e disponibilizou um antivírus gratuito em https://www.reasonsecurity.com/essential. É possível, também, caso haja dúvida se um determinado programa executável é ou não trojan, acessar https://www.virustotal.com/gui/home/upload e submeter o arquivo. A plataforma avisa caso o arquivo tenha código malicioso embutido. 

Outro link malicioso que circulou no WhatsApp diz respeito a uma suposta publicação da AmBev sobre a retirada de álcool gel. No entanto percebe-se que no link, a palavra que seria “relacionamento” está “reiacionamento. O bandido normalmente faz este tipo de malícia para pegar usuário menos atentos. O link exibia o último acesso feito, propaganda em Instagram e em determinados momentos a página para coleta de dados pessoais. 

Por fim, vale citar os cuidados em usar tecnologias de casa para o trabalho, é importante que a empresa forneça uma VPN para a equipe (o que promove uma camada a mais de segurança), estabeleça políticas de permissões restritivas para usuários que trabalharão de casa, capacite os trabalhadores sobre os riscos, instruindo-os a não clicarem em links ou baixarem arquivos, sobretudo nos dispositivos que possuem acesso à rede da empresa. Ademais, vale as recomendações de sempre, como a manutenção do Sistema Operacional que deve estar sempre atualizado, com antivírus e malware instalados, incluindo os dispositivos móveis. 

Você conhece alguém que foi vítima de golpe ou fraude digital usando o nome COVID-19? Envie mensagem para consultor@josemilagre.com.br 




Direitos de clientes nas operações digitais em plataformas para o mercado financeiro e day-trade

Como o Judiciário vem enfrentando as controvérsias jurídicas envolvendo operações no mercado financeiro na era digital e quais são os riscos do uso de bots para operações.

A informatização, ambientes e bancos digitais vêm promovendo um maior acesso de correntistas às oportunidades de investimentos e realização de operações (como day-trade), realizadas de forma online, por meio de softwares e plataformas preparadas e desenvolvidas para interagirem com a bolsa de valores, BMF e para a emissão de ordens de compra e venda de ativos, ligadas também ao banco digital ou à corretora. O mesmo está ocorrendo com os criptoativos, como os conhecidos bitcoins. 

Se antigamente ordens eram verbais ou por telefone e já levantavam polêmicas ou controvérsias judiciais sobre a atuação das corretoras acerca das ordens emitidas ou não para compra de determinados ativos, no ambiente digital, por diversas características estes problemas jurídicos se ampliaram. 

Inicialmente, muitas pessoas que ascendem aos bancos virtuais ou plataformas online de contas já são apresentadas de imediato às plataformas de investimentos. Conquanto algumas são restritas e exigem o consentimento e a assinatura digital para serem ativadas, outras podem ser ativadas por um simples clique. Soma-se isto ao fato de algumas pessoas buscarem investimentos, mas não conhecerem todas as regras e riscos destes ambientes tecnológicos, negligenciando com a segurança das operações. 

Temos, dentre vários, dois cenários críticos. Um, onde o correntista ou o titular contrata uma agência corretora para intermediação, como por exemplo, em aplicações em fundos de investimento. Já o outro cenário, quando o próprio correntista ou cliente atua, operando diretamente a compra e venda de ativos e ações.

No primeiro cenário, já entendeu o TJ/SP que a corretora de valores mobiliários é responsável pelo agente autônomo por ela credenciado e que opera em desacordo com as ordens ou com o acordado entre as partes, causando prejuízos ao cliente, sendo condenada a indenizar por danos materiais (Apelação Cível 992.05.134283-8). Embora a Ré tenha argumentado que sua relação contratual se dava unicamente como distribuidora de valores e não com os operadores de mesa, a mesma fora condenada a indenizar o cliente, considerando o contrato de comissão com o mesmo e a expectativa do cliente em perceber ganhos.  

Por outro lado, o TJ/RJ já enfrentou questões em que trader emitiu uma ordem de compra que não atendeu o limite de crédito definido pelo banco, momento em que a ordem não foi debitada da conta garantia. O trader acionou a corretora. No entanto, foi demonstrado que o cliente tinha conta negativa e não tinha saldo para cobrir o “crédito”, não havendo assim, provas nos autos de que o limite de crédito do autor era “superior” (Apelação 0092156-48.20138.19.0001). A ação proposta pelo trader foi improcedente. Outras demandas, no entanto, decorrem de ordens que foram disparadas pelos clientes, mas “estranhamente” não foram devidamente processadas. A análise dos registros eletrônicos e uma perícia em informática prévia a uma ação de reparação são essenciais ao sucesso da causa. 

São também muito comuns processos nos quais a corretora cobra, via Ação Monitória, os clientes por débitos de ordens autorizadas, e estes negam que tenham dado a ordem. Uma questão de prova técnica em informática. Em processo envolvendo trade junto à BM&F BOVESPA, o Tribunal de Justiça entendeu que não existia nos autos comprovação de ordem ou autorização expressa do Réu para realização das operações. O TJ também considerou o “perfil” do cliente, pronunciando-se em seu julgado que não existiam nos autos, comprovação de que o cliente realizava operações semelhantes à realizada e questionada. Precedente importante e que impõe às corretoras a possível implementação de controles envolvendo medidas técnicas para identificar comportamentos fora do “padrão” de um perfil de cliente.  

O caso foi interpretado como responsabilidade objetiva do prestador de serviço e falha na prestação do mesmo, sendo obrigado a reparar os danos. Nestes casos, a perícia em informática ou a perícia digital é sempre considerada necessária para avaliar os consentimentos nos ambientes digitais (TJ/SP Apelação 0157413-24-2010.8.26.0100). Embora, hoje, grande parte dos bancos digitais contem com a autenticação duplo fator, token e uma assinatura digital específica para compra e venda de ativos (chamada de assinatura), pode ser necessário avaliar se o sistema efetivamente se comportou da forma esperada ou não. 

Outras questões jurídicas permeiam o Judiciário quando o assunto é trade ou investimentos digitais, desde propaganda enganosa de ganhos e ausência de avisos sobre riscos ou limites de investimento, o que fizeram com que pessoas perdessem tudo. A responsabilização da corretora por falha no software oferecido é um tema cada vez mais comum. Na maioria dos processos, a perícia em informática auxilia na identificação do ponto controvertido, e muitas vezes irá determinar se houve culpa do cliente ou da corretora e quais as causas da instabilidade. A culpa do cliente pode, em alguns casos, ser demonstrada, caso este não tenha adotado cautelas mínimas de segurança, recomendações básicas (como stop loss) ou a estrutura recomendada ou necessária para instalação dos sistemas. 

Neste sentido, o Tribunal de Justiça do Rio Grande do Sul (71004309381 RS) decidiu a questão envolvendo uma possível falha no sistema da corretora e instabilidades decorrentes de atualização do sistema utilizado para corretagem, com isso acontecendo, destaque para a “perda de preço” das ações. Entendeu a corte que a reparação é justificada em virtude das falhas do sistema que prejudicaram a agilidade de negociações da bolsa. Posto isso, a corretora foi condenada em danos materiais emergentes, entretanto, não havendo a comprovação do dano moral.

Neste cenário, como visto, é inegável que falhas entre os agentes digitais que permitem as operações, podem, sobretudo em um mercado de curtíssimo prazo, causar danos graves. O uso de robôs e algoritmos para a tomada de decisões, de responsabilidade de outras empresas e que operam sobre as plataformas, também podem ser grandes fatores de litígios, onde cabe a plataforma demonstrar tecnicamente que não deu causa à perda do cliente, mas sim o “algoritmo” contratado para operar em nome do mesmo.

Cada vez mais comuns são os processos envolvendo falhas, instabilidades e defeitos em agentes computacionais em operações de bolsa e netbanking em geral. Em casos como este, recomenda-se aos clientes o registro de todas as atividades (gravações – algumas plataformas gravam o dia), a realização de auditoria especializada em informática para parecer sobre o ocorrido e a adoção de medidas jurídicas para a reparação dos danos causados. 

Para as corretoras, a concepção de um ambiente que registre as decisões do trader ou investidor e as atividades do sistema, podendo ser reproduzido (logging) a qualquer momento, inclusive com uma robusta “gestão do consentimento” no ambiente digital, demonstra-se fundamental como medida para mitigar riscos, evitando-se ações judiciais, danos e grandes prejuízos para as operações.

Prof. MSc. José Antonio Milagre, advogado especialista em direito digital, e perito em informática, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutorando Ciência da Informação pela UNESP, Pesquisador em Redes Sociais do NEWSDA-BR da Universidade de São Paulo (USP), Presidente da Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, atuou na Vice-Presidência da Comissão Estadual de Informática da OAB/SP (2013-2015). Arbitro fundador da Câmara Internacional de Arbitragem e Mediação em Tecnologia da Informação, E-commerce e Comunicação (CIAMTEC.br). Consultor convidado na CPI de Crimes Cibernéticos – CPICyber do Congresso Nacional. É professor de Pós-Graduação em diversas instituições. Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros e “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. É colunista da Rádio justiça do Supremo Tribunal Federal (STF). Data Protection Officer Certified by EXIN. Fundador do Instituto de Defesa do Cidadão na Internet – IDCI.  Site: www.josemilagre.com.br

Carolina Bonfim Coelho, especialista em Direito Digital e Dados, membro do escritório José Milagre & Associados. Site: www.josemilagre.com.br

Emily Lucila de Oliveira, especialista em Direito Digital e Dados, membro do escritório José Milagre & Associados. Site: www.josemilagre.com.br