LGPD e o tratamento de dados pessoais pelo Poder Público

Entenda o papel e responsabilidades do Poder Público na implementação de protocolos para ficar em dia com a Lei Geral de Proteção de Dados.

O mundo digital já é uma realidade e, cada vez mais, as informações pessoais (nome, endereço, número de telefone, números de documentos oficiais), bem como os interesses pessoais (roupas, música, cinema, comida) são armazenados, filtrados e vendidos a empresas de todos os setores da economia, as quais se utilizam dessas informações tanto para fins de direcionamento de publicidade quanto para o desenvolvimento de novos produtos. 

A evolução tecnológica também alcançou o setor público, de modo que os órgãos da administração direta e os da administração indireta já, há algum tempo, realizam intenso tratamento de dados pessoais para diversos fins. É justamente neste cenário que surge a Lei Geral de Proteção de Dados – LGPD (Lei n.º 13.709/2018), visando regular a obtenção, tratamento e utilização destas informações, tanto por entes privados quanto pelo Poder Público, com intuito de proteger direitos das pessoas naturais titulares dos dados.  A lei entrou parcialmente em vigor 18 de setembro de 2020 e as medidas punitivas passarão a vigorar em 1º de agosto de 2021.

Princípios norteadores da LGPD e o Poder Público

No art. 2º, a lei elenca os princípios sobre os quais está calcada e que servirão de fundamento para eliminar dúvidas ou resolver situações não previstas pelo legislador.  Os fundamentos que norteiam a Lei e sua aplicação são (Art. 2º, Incisos I ao VII):

a) o respeito à privacidade;

b) a autodeterminação informativa;

c) a liberdade de expressão, de informação, de comunicação e de opinião;

d) a inviolabilidade da intimidade, da honra e da imagem;

e) o desenvolvimento econômico e tecnológico e a inovação;

f) a livre iniciativa, a livre concorrência e a defesa do consumidor;

g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

No caso do tratamento realizado pelo Poder Público, em qualquer de suas esferas, o rol de princípios deve ser ampliado para abarcar os princípios do Direito Administrativo, dentre os quais destacamos os constitucionalmente previstos da (i) Legalidade; (ii) Impessoalidade; (iii) Moralidade; (iv) Publicidade e (v) Eficiência.

Neste contexto, o grande desafio do Poder Público será harmonizar os princípios norteadores da LGPD com os princípios do Direito Administrativo - constitucionais e infraconstitucionais -, o que só poderá ser feito analisando cada caso concreto.

Tratamento de dados pessoais pelo Poder Público

A aplicabilidade da LGPD é ampla, razão pela qual o legislador preocupou-se em criar exceções às normas previstas. Uma vez evidenciado que o Poder Público se sujeita as normas previstas na LGPD, nos cumpre analisar a forma como esse tratamento se dará. Isso porque tanto os órgãos da administração direta como as demais pessoas jurídicas de Direito Público devem conjugar a aplicação da LGPD com a rígida observância ao arcabouço normativo de Direito Administrativo e Constitucional.

Em diversos casos, a administração pública poderá realizar o tratamento de dados pessoais independentemente do consentimento expresso do titular dos dados.  O Poder Público, por outro lado, deve observar regras gerais, bem como outras especificas na proteção e limitação ao tratamento de dados. 

Direitos do Titular dos Dados Pessoais

Os titulares dos dados pessoais, conforme previsto no art. 18 da LGPD, têm direito a requerer do controlador, em relação aos dados do titular por ele tratados, informações ou adoção de determinadas providências, quais sejam: confirmar a existência de tratamento de seus dados pessoais; acessar dados pessoais; corrigir dados incompletos, inexatos ou desatualizados; permanecer anônimo, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade; transpor dados a outro fornecedor de serviço ou produto; acessar informações sobre o compartilhamento de dados pessoais; revogar o consentimento.

Os direitos acima relacionados se aplicam ao Poder Público, desde que não conflitem com outras disposições legais. Assim, pode-se dizer, que não caberia o pedido de revogação de consentimento ou de anonimização dos dados para hipótese em que se dispensa tal autorização.

Sanções administrativas

Além da responsabilização solidária dos agentes de tratamento de dados por eventuais danos morais (coletivos ou individuais) e materiais decorrentes de falhas na coleta, tratamento e armazenamento dos dados pessoais, a LGPD prevê, em seu artigo 52, a punição administrativa dos agentes que cometerem infrações às normas previstas na lei, como, por exemplo: multa simples (até 2% do faturamento), excluídos tributos, estando limitada a R$ 50 milhões por infração; advertências; multa diária; eliminação dos dados pessoais; entre outras.

Cumpre aqui ressaltar que as pessoas jurídicas de direito público, por expressa previsão legal, não estão sujeitas às sanções administrativas previstas no inciso II do art. 52 da LGPD (multa simples). E, embora este trecho da lei ainda não tenha entrado em vigor, pode-se dizer que o inciso III da art. 52 da LGPD (multa diária) – por fazer referência ao inciso II - também não se aplicará contra os entes públicos.  Assim sendo, as pessoas jurídicas de público não estão sujeitas às multas previstas nos incisos II e III do Art. 52 da LGPD. À Administração Pública aplicam-se apenas as seguintes penalidades administrativas:

• I - Advertência, com indicação de prazo para adoção de medidas corretivas;

• IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

• V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização, e

• VI - Eliminação dos dados pessoais a que se refere a infração.

A aplicação de uma das penalidades acima referidas, no entanto, não isenta o Poder Público de responder por perdas e danos, tampouco impede que agentes responsáveis respondam por seus atos nas esferas judicial e/ou administrativa. Por outro lado, as empresas, embora controladas pelo Poder Público, podem ser punidas com as multas previstas no art. 52 da LGPD.

Por fim, pode-se pontuar que todos os Entes Públicos que realizam o tratamento de dados pessoais devem adotar medidas para garantir o cumprimento da nova legislação!

                                                                            FONTE:PORTAL CONTABEIS

eSocial deve ficar fora do ar nesta quinta-feira

Ambiente de produção restrita do eSocial passará por manutenção e ficará temporariamente indisponível.

O Governo Federal anunciou que o ambiente de produção restrita do eSocial deve ficar indisponível nesta quinta-feira (22) a partir das 20h.

O ambiente é aberto e utilizado para a realização de testes em sistemas próprios de qualquer empresa.

Segundo a nota, vão ser implementadas melhorias e aperfeiçoamentos no ambiente de produção restrita. A manutenção está prevista para durar até 00h.

Os demais ambientes do eSocial, inclusive o eSocial Doméstico, permanecerão operacionais e funcionarão normalmente. 

Produção restrita

O ambiente de Produção Restrita é uma infraestrutura criada no âmbito do projeto eSocial para viabilizar a realização de testes pelas empresas, sem qualquer efeito jurídico. 

Trata-se de um ambiente limitado, com número máximo de trabalhadores por empresa, destinado exclusivamente a testes funcionais. Portanto, não é um ambiente para a realização de testes de carga ou testes de performance.

Toda evolução do eSocial será implantada primeiramente no ambiente de Produção Restrita, onde ficará disponível para os testes das empresas por um determinado tempo a ser definido de acordo com a característica/tamanho da mudança. Em seguida, será implantada no ambiente de produção efetiva.

Com isso, as empresas podem utilizar o ambiente de produção efetiva já com suas aplicações amadurecidas e estabilizadas diante dos testes realizados na Produção Restrita.

                                                                                FONTE:PORTAL CONTABEIS

Após quatro meses, Microsoft corrige bug no Windows 10 que corrompia HDs e SSDs

 Você se lembra que, em janeiro deste ano, o Canaltech noticiou a descoberta de um bug bizarro no Windows 10? O sistema operacional possuía uma fraqueza curiosa: um comando que poderia ser embutido em qualquer coisa (como um ícone ou uma pasta) que, ao ser “visualizado” em tela, corrompia imediatamente o sistema de arquivos NFTS, tornando seu HD ou SSD inútil. A vítima era obrigada a reiniciar sua máquina e executar o utilitário chkdsk, o que poderia causar a perda de todos os dados armazenados.

Pois bem — quatro meses depois, a Microsoft finalmente disponibilizou uma correção para a vulnerabilidade, que foi registrada sob o código CVE-2021-28312 e classificada como uma negação distribuída de serviço (distributed denial of service ou simplesmente DDoS). Embora tenha sido divulgada apenas agora, em 2021, o pesquisador responsável pela descoberta, Jonas Lykkegård, garante que o problema surgiu em 2018, com o lançamento da compilação 1803.

O mais curioso é o quão fácil é se aproveitar do bug: basta que o ator malicioso envie para o seu alvo a pasta com o comando malicioso e que tal diretório fosse aberto para que o Windows 10 marcasse a unidade de armazenamento como “suja”, sugerindo que o internauta reiniciasse o computador para executar a ferramenta de recuperação chkdsk. Em alguns casos, esse processo se provava o suficiente para resolver o problema; em outros, o usuário acabava perdendo todos os seus documentos permanentemente.

Não demorou muito para que diversos meliantes digitais passassem a usar tal truque para simples “trollar” os outros e atrapalhar a vida alheia, compartilhando os arquivos “mortais” especialmente em grandes comunidades como chats do Discord. A atualização que corrige o problema faz parte do “festival” de patches lançado pela Microsoft na semana passada; caso ainda não tenha instalado o pacote, o Canaltech recomenda que você o faça o mais rápido possível.

                                                                           FONTE:CANALTECH

eSocial deve passar por novos ajustes

Parceria entre ministério da economia e CFC deve simplificar eSocial e excluir 30% dos campos existentes.

A Secretaria Especial de Previdência e Trabalho do Ministério da Economia firmou uma parceria com o Conselho Federal de Contabilidade para análises e implementações de ajustes no sistema. 

Segundo o Ministério da Economia, esse Acordo de Cooperação Técnica possibilitará que o Conselho contribua para o avanço do processo de simplificação do eSocial. O objetivo é aumentar a eficiência do sistema e proporcionar economia de recursos e de tempo para desenvolvedores e usuários. 

“A ideia é que o CFC nos traga a percepção do usuário do sistema, para que possamos aperfeiçoar e simplificar a experiência de sua utilização”, informa Ricardo de Souza Moreira, secretário-adjunto de Trabalho da Secretaria Especial de Previdência e Trabalho. 

“O Conselho também contribuirá para aumentar a conformidade das informações prestadas por meio do sistema, especialmente as obrigações acessórias substituídas pelo eSocial Simplificado, como o Cadastro Geral de Empregados e Desempregados (Caged) e a Relação Anual de Informações Sociais (Rais) ”, acrescenta. 

Novo eSocial

A nova versão do eSocial simplificado eliminou campos de leiaute, incorporou a utilização do CPF como único número de identificação do trabalhador, por exemplo. 

Esse processo prevê a implantação de uma versão intermediária, em curto prazo, com flexibilização de regras, com campos que antes eram obrigatórios tornados facultativos (mas sem a exclusão de campos e eventos), e implantação da versão definitiva, com a efetiva exclusão de eventos e campos, alteração de regras e tudo o que for necessário para as mudanças necessárias. 

Nessa versão, que entrará em produção em maio de 2021, serão excluídos 30% dos campos anteriormente existentes e 12 eventos completos. 

Seis obrigações acessórias já foram substituídas: além do Caged e da Rais, estão nesse grupo a Guia de Recolhimento do FGTS e de Informações à Previdência Social (Gfip/para grupos 1 e 2); o Livro de Registro de Empregados (LRE), a partir de outubro de 2019, conforme Portaria nº 1.195, de 30 de outubro de 2019; a Carteira de Trabalho e Previdência Social (CTPS) , a partir de 23 de setembro de 2019, conforme Portaria nº 1.065, de 23 de setembro de 2019; e a Guia da Previdência Social (GPS/para grupos 1 e 2). 

Para 2021, estão previstas outras mudanças, caso da Comunicação de Acidente de Trabalho (CAT), a partir de junho (Grupo 1); Perfil Profissiográfico Previdenciário (PPP), a partir de junho (Grupo 1); Comunicação de Dispensa (CD); Declaração do Imposto de Renda Retido na Fonte (Dirf) ; Declaração de Débitos e Créditos Tributários Federais (DCTF) ; Manual Normativo de Arquivos Digitais (Manad); Folha de pagamento, a partir de maio, para grupo 3; Guia de Recolhimento do FGTS (GRF), previsto para agosto. 

                                                                                     FONTE:PORTAL CONTABEIS

PMEs estão no radar dos hackers como principal alvo de ataques cibernéticos

Está enganado o pequeno empresário que acredita que sua empresa não será alvo de ataques de hackers. Afinal, são as grandes corporações que possuem um robusto banco de dados, grande faturamento e peso no mercado, certo? Na verdade, não.

Segundo um estudo elaborado pelo Sebrae e pela Fundação Getúlio Vargas (FGV), pequenos negócios já representam 30% do Produto Interno Bruto do Brasil (PIB). Consequentemente, as pequenas e médias empresas têm se tornado foco dos criminosos cibernéticos, uma vez que sofrem com uma ausência de infraestrutura de cibersegurança e não possuem ambientes seguros, tampouco pessoas habilitadas/destinadas a cuidar de TI/Segurança de forma adequada.

Os principais ataques direcionados a elas com certeza são os ransomware — código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia — em que, na grande maioria das vezes, são implantados a partir de um phishing — técnica de engenharia social usada para enganar usuários e obter informações confidenciais, como nome de usuário, senha e detalhes do cartão de crédito.

Muitas vezes, os ataques direcionados às pequenas e médias empresas (PMEs) acontecem por falta de um plano de ação ou preparo caso ocorra um incidente de segurança, falta de ambiente de navegação seguro para os usuários, ou, quando presente, conta com proteções muito básicas. Não conscientizar os colaboradores é um fator muito comum nesses casos. Eles são alvos preferidos dos cibercriminosos por estarem em constante uso da internet — até para uso pessoal, como em redes sociais —, tornando um caminho muito fácil para vazamentos e golpes, levando a um prejuízo financeiro, tanto para a empresa quanto para os clientes.

Além disso, as empresas perdem valor competitivo frente aos concorrentes, sem contar a imagem negativa perante ao mercado, principalmente ao fechar negócios. Quase ninguém optará por ter relações comerciais com uma empresa que não é segura.

Por isso, são de extrema importância dentro do ambiente corporativo ações de treinamentos e programas de conscientização voltados para todos os setores e áreas da empresa, focando como a internet deve ser utilizada em cada setor, e o que é permitido ou não. Além de mapear todos os dados que constam no sistema da companhia e também a definição da equipe responsável por cuidar da nova área de cibersegurança.

Quanto mais dependente do ambiente virtual e da tecnologia é o negócio, mais importante é manter os dados protegidos. As organizações que incluem esse investimento como prioridade já estão sentindo impacto positivo nos processos internos, com os clientes e também com os fornecedores.

                                                                    :FONTE CANALTECH