UH nº 063/22 – SINDASP divulga principais dúvidas da palestra sobre LGPD. Íntegra do evento segue disponível para associados

Prezado(a)s Associado(a)s
São Paulo, 15 de março de 2022

UH 063/22
SINDASP divulga principais dúvidas da palestra sobre LGPD. Íntegra do evento segue disponível para associados

No último dia 10/03/22, na plataforma ZOOM, o SINDASP apresentou o WEBINAR “A PRÁTICA DA LGPD PARA OS DESPACHANTES ADUANEIROS”. As apresentações foram feitas pelos advogados Diego Silva Dias e Nadia Maria de Faria e Cunha. A Abertura do evento foi realizada por Rogério Grecchi, Vice-Presidente do SINDASP e a Moderação foi de Ana Walcher, Assessora do SINDASP.

A gravação da Webinar ficará disponível para o Associado, na área VIP do sistema do SINDASP, mediante ao acesso com login e senha.

Além disso o SINDASP traz aqui, as principais perguntas e respostas, além de registros deste importante Encontro.

Confira:

1) Como se comportar com os dados e procedimentos perante os clientes?

Com a implementação de um programa de adequação de proteção de dados, criação de processos e, não menos importante, investimento em segurança da informação, todos estes comportamentos estarão pré-estabelecidos e serão de conhecimento do seu cliente, que terá maior transparência quanto ao tratamento de dados realizados.

2) Quais procedimentos na prática os despachantes aduaneiros precisam adotar para não ter problemas com a LGPD?

O ponto de partida é entender a importância da proteção dos dados pessoais, e mudar o pensamento sobre a titularidade desses dados.
Com esse entendimento e mudança de olhar, para estar adequado à LGPD a fim de evitar qualquer tipo de punição, seja pelos órgãos reguladores, seja pelo próprio titular, é necessária a implementação de um programa de proteção de dados pessoais, com diversas medidas que visem a adequação à legislação, que é muito específica a cada atividade e a depender da rotina de cada despachante aduaneiro. Na prática, de início, e de forma geral, algumas medidas podem ser tomadas:

 

  • Estabelecimento de política de privacidade e segurança da informação;
  • Conscientização e treinamento;
  •  Medidas técnicas (TI) e controle de acesso;
  •  Segurança dos dados armazenados (banco de dados) incluindo serviço em nuvem;
  • Segurança das comunicações e medidas relacionadas ao uso de dispositivos móveis;
  •  Ajustes contratuais;

 

  • Elaboração de Termos de Confidencialidade;
  • Verificação de terceiros e fornecedores.

 

3) Como responsabilizar e punir os funcionários infratores por evasão de informações?
Uma das medidas que devem fazer parte do programa de adequação à Lei Geral de Proteção de Dados, é a inclusão, no contrato de trabalho, de cláusulas de confidencialidade no tratamento dos dados pelo funcionário bem como de responsabilidade em casos de incidentes com dados pessoais. Não obstante tais previsões contratuais, o treinamento periódico dos funcionários é suma importância e de responsabilidade do empregador. Aqui registramos que, qualquer punição a funcionários, deve ser precedida de sindicância e todas as demais precauções que a legislação trabalhista exige.

4) Vazamento de informações, por um vírus eu sou responsável?

Aqui, temos dois tipos de responsabilização.

(i) Perante o titular de dados: responsabilidade objetiva – independente do dano ter sido causado por um vírus, se os dados estavam sob sua responsabilidade, perante o titular, você responderá pelo vazamento de informações.

(ii) Perante os órgãos reguladores: poderá, também ser responsabilizado se não comprovar que adotou as medidas previstas na legislação.

Um dos princípios da Lei Geral de Proteção de Dados é o da responsabilização:

Art.6º, inciso X: “responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”

Ainda, em seu capítulo sobre responsabilidade prevê:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

5) Como criar a política de proteção de dados?

Para dar início à criação da política de proteção de dados é necessário entender quais os dados são coletados, para quais finalidades e com quem embasamento legal. A partir daí, entender o caminho que esses dados percorrerão sob sua responsabilidade, com quem deverão ser compartilhados e porque, entender quais os agentes de tratamento farão parte da “vida do dado”, estabelecer o período de manutenção deles, bem como medidas técnicas de segurança da informação a serem aplicadas. Com essas informações iniciais, é possível estabelecer as políticas que serão adotas para a proteção desses dados e elaborar o documento específico.

6) Eu tenho que contratar uma empresa especializada?

É de suma importância ter profissionais que tenham conhecimento jurídico e técnico da segurança da informação no auxílio da implementação de um programa de proteção de dados. É um programa interdisciplinar que exige conhecimento amplo dos profissionais envolvidos.

7) Há muitas empresas ai de plataforma de software de auxílio ao comercio exterior que quando você solicita uma demonstração eles exigem sua certificação digital para ter acesso às informações do Sistema Mantra, Catálogo de Produtos, nesse caso como devemos proceder?

É certo que diversas legislações, não só a LGPD, regulam os direitos e os deveres dos usuários e das empresas provedoras de acesso e serviços online, como o Marco Civil da Internet, por exemplo.
Neste contexto o compartilhamento de acesso não é recomendável, e traz sérios riscos a segurança da informação, principalmente com pessoas estranhas ao negócio e sem nenhum vínculo pré-estabelecido.

Uma das fases de um programa de implantação da Lei Geral de Proteção de Dados é a verificação de fornecedores. Ou seja, antes de iniciar um relacionamento, você deve saber se este fornecedor está adequado à LGPD, em aspectos legais e, também, de segurança da informação. Assim, o primeiro passo é certificar a idoneidade dessas empresas de softwares. No mais, principalmente nessa fase, o ideal é que essas empresas ofereçam um login de testes, sem que haja qualquer acesso aos dados do certificado digital. O acesso a dados pessoais sem qualquer vínculo pré-estabelecido pode caracterizar inclusive, um incidente que deve ser reportado à ANPD.

8) Na nossa procuração tem que constar algo sobre LGPD, haja visto que partilhamos as informações com Receita, armazém, transportadoras , agencias , embarque internacional, bancos ….Envio de fechamento sugere que seja encaminhado a quem, devemos fazer um documento a parte onde conste esta autorização, quando o recebedor do faturamento for diferente do importador/exportador ?

Se o compartilhamento decorre de obrigação legal, não é necessária a prévia autorização. No entanto, a previsão de todo o caminho a ser percorrido pelo dado, bem como com qual fundamentação legal e para quem ele poderá ser compartilhado, deve constar da política de proteção de dados, e, mais especificamente, do contrato com o cliente.

9) As procurações que nossos clientes fornecem com poderes de representação, deve constar algo sobre LGPD, haja visto que partilhamos as informações com órgãos reguladores, Receita Federal, armazéns, transportadoras, agências de embarque intl, bancos, ect.?

Na procuração especificamente, não é necessário. No entanto, todas as premissas de compartilhamento de dados já devem estar previstas na política de proteção de dados, bem como do contrato com o cliente.

10) O envio dos documentos de importação no encerramento do processo, são enviados ao importador/pessoa autorizada a recebe-lo. Quando o recebedor deste faturamento for diferente do importador/exportador, devemos fazer um documento a parte onde conste esta autorização?

No mesmo sentido das respostas anteriores, se o compartilhamento decorre de obrigação legal, não é necessária prévia autorização. No entanto, a previsão de todo o caminho a ser percorrido pelo dado, bem como com qual fundamentação legal e para quem ele poderá ser compartilhado, deve constar da política de proteção de dados, e, mais especificamente, do contrato com o cliente.

11) Sobre a criação de um documento sobre a política de proteção de dados. Todas as assessorias ou despachantes aduaneiros, devem procurar um advogado para que este documento seja elaborado? É obrigatório?

A LGPD é uma lei que se aplica a toda pessoa física ou jurídica que trate dados pessoais e está em vigor, em seu texto integral, desde agosto de 2021. Assim, aqueles que não estiverem adequados, correm o risco de serem fiscalizados e punidos em seus termos. Procurar profissionais habilitados e que façam não só a criação da política de proteção de dados, que é só um dos documentos essenciais, mas que realizem a implementação com um todo e de acordo com a especificidade de cada assessoria ou despachante, é de suma importância.

Atenciosamente,

Elson Isayama
Presidente