Preocupações com privacidade de dados para empresas latino-americanas durante a COVID-19

Printer-Friendly Version

Coronavirus Landing Site

This Alert is also available in Spanish and English.

As preocupações com a privacidade de dados têm desempenhado um papel crescente na maneira como as empresas lidam com investigações anticorrupção, especialmente no tocante a obrigações para com autoridades policiais internacionais. Os advogados internos e os profissionais de conformidade devem continuar atentos às obrigações nacionais de privacidade de dados, garantindo a cooperação total com as autoridades investigadoras. E à medida que mais empresas latino-americanas foram forçadas a trabalhar remotamente durante a pandemia COVID-19, as preocupações com a privacidade dos dados vieram à tona conforme adaptação das empresas, e uma nova forma de ataques visa a força de trabalho que agora está dispersa. 

O trabalho remoto também traz à tona preocupações fundamentais de supervisão, tanto dos processos e procedimentos internos de uma empresa, quanto no contexto de manutenção de um robusto sistema de gestão de terceiros. Definir uma diretriz apropriada proveniente da alta administração para que as funções de coordenação não possam vacilar garantirá que os funcionários que trabalham remotamente não peguem atalhos e continuem cumprindo com suas obrigações. 

Evolução das leis de privacidade de dados na América Latina

Por meio de antecedentes, as regulamentações de privacidade de dados na América Latina encontram suas origens no conceito de habeas data, que concede o direito à privacidade como uma salvaguarda da dignidade pessoal — incluindo a proteção da imagem, privacidade, honra, autodeterminação da informação e a liberdade de informação de uma pessoa. A noção de habeas data está fundamentada nas constituições de vários países, permitindo aos cidadãos o direito de exigir acesso, objeção ou processamento correto das informações pessoais. Por exemplo, as constituições do México e da Colômbia oferecem aos cidadãos o direito à privacidade, e a constituição argentina oferece especificamente aos indivíduos o direito de obter informações relativas a si mesmos que estão registradas em bancos de dados públicos ou privados. Embora os indivíduos recebam o amparo legal para proteger os próprios direitos de privacidade, o habeas data por si só não exige que os processadores de dados garantam a proteção ou privacidade dos dados pessoais. 

Recentemente, há alguns anos, a falta de medidas específicas para os processadores de dados protegerem dados pessoais contra violações de segurança cibernética culminou em duas violações notáveis, mudando a forma como os países latino-americanos veem a proteção e a segurança de dados. Os Panama Papers e o Paradise Papers tornaram-se escândalos internacionais, visto que milhões de documentos vazaram de escritórios de advocacia e prestadores de serviços, divulgando informações financeiras de indivíduos ou empresas de alto patrimônio líquido e revelando casos de lavagem de dinheiro e “engenharia fiscal”.1 Com o tesouro descoberto de documentos que implicam empresas globais em todos os setores, as autoridades policiais receberam efetivamente um roteiro de “seguir o dinheiro” para iniciar um número significativo de investigações de corrupção. As investigações levaram a uma cooperação significativa entre as agências policiais internacionais. 

Após essas violações de dados de grande visibilidade, muitos países latino-americanos têm trabalhado para melhorar as regulamentações de privacidade de dados, aumentando os esforços de segurança cibernética para proteger dados pessoais. Durante esse período, a União Europeia estabeleceu o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation, “GDPR”).2 O GDPR é amplamente conhecido pelo alto padrão de tratamento de dados pessoais, que contém amplas disposições sobre a proteção de dados pessoais e privacidade. Vários países adotaram o GDPR para se tornarem parte de uma estrutura internacional de privacidade de dados, em grande parte, devido à aplicação a empresas localizadas na UE que processam dados pessoais, mas também em empresas fora da UE que processam dados pessoais de cidadãos da UE. 

Críticos neonacionalistas latino-americanos, no entanto, se opuseram à adoção de uma política comum internacional unida, favorecendo, em vez disso, o desenvolvimento de sua própria abordagem às medidas de segurança cibernética. Assim, em vez de adotar diretamente o GDPR, os países latino-americanos têm olhado para ele um exemplo para atualizar as legislações individuais de privacidade de dados. Por exemplo, a Argentina propôs um projeto de lei em 2018 que se alinha ao GDPR, o Brasil tem trabalhado para consolidar as mais de 40 regulamentações brasileiras de privacidade de dados na Lei Geral de Proteção de Dados (“LGPD”) que também espelha o GDPR (embora a implementação tenha sido adiada para maio de 2021 devido à COVID-19),3 enquanto Chile, México e Uruguai também tomaram medidas na reforma das leis de privacidade de dados existentes para aumentar as proteções de privacidade e segurança descritas no GDPR.

Essas leis restritivas de privacidade de dados têm afetado significativamente a maneira como as empresas abordam investigações internas. Pode ser difícil para as empresas que tentam navegar em cooperação com questionamentos governamentais amplos e muitas vezes rigorosos da UE e dos EUA, ao mesmo tempo em que se protegem contra a divulgação desnecessária de informações pessoais e garantem o cumprimento das leis locais de privacidade de dados. 

Preocupações com privacidade de dados para empresas latino-americanas que trabalham remotamente durante a Covid-19

A conscientização sobre os vários padrões de privacidade de dados em toda a América Latina é cada vez mais importante porque a forma como os dados são tratados continua a evoluir no atual clima da COVID-19. Por exemplo, o Comitê chileno de Supervisão de Privacidade de Dados (“CLPT”) está procurando maneiras de restringir um projeto de lei de proteção de dados do Congresso que autoriza a transferência de dados pessoais entre órgãos governamentais, como a adição de medidas de segurança para anonimizar dados de saúde sigilosos do cidadão ao monitorar dados de geolocalização do cidadão para combater a COVID-19 e limitar o prazo para o compartilhamento de dados sigilosos através dos diversos órgãos estatais.4 O Brasil adiou a implantação da LGPD de agosto de 2020 para maio de 2021,5 e o Supremo Tribunal Federal abordou a privacidade dos dados pela primeira vez, suspendendo a medida provisória MP 954/2020 do presidente que teria exigido que as empresas de telecomunicações compartilhassem sua base de dados com um instituto de pesquisa brasileiro durante a pandemia, em parte porque a disposição exporia as informações privadas do cidadão quando o escopo das informações coletadas não fosse suficientemente limitado, e o texto não incluía mecanismos de segurança para proteger os dados dos consumidores.6

As seguintes categorias abordam as principais preocupações de privacidade de dados que os empregadores podem considerar: (1) proteção das informações contra hackers em caso de processamento de dados em ambientes remotos menos seguros, (2) supervisão dos dados compartilhados entre terceiros e empresas de telecomunicações e (3) supervisão das ações dos funcionários enquanto estiverem trabalhando trabalhando remotamente.

Proteja as informações de hackers hiperativos

A pandemia COVID-19 exigiu que um número maior de funcionários trabalhasse remotamente, o que se traduz na retirada de dados do formato de escritório e na localização dos dados da empresa nas casas de funcionários preocupados. Além disso, em um mundo cada vez mais global e interconectado, no qual a grande maioria das organizações e das empresas depende, pelo menos em certa medida, de sistemas e serviços de TI fornecidos por terceiros. Os hackers procurarão fraquezas na expansão dos pontos de acesso em casa.

As práticas recomendadas para se trabalhar remotamente envolvem políticas de segurança atualizadas, treinamento de funcionários e um plano implementado, em caso de violação:

  • Concentre-se em maneiras de proteger a segurança de seus sistemas de TI. Por exemplo, entre outras coisas, as empresas devem garantir que os funcionários tenham condições de usar redes seguras e não Wi-Fi público, de acessar sistemas apenas através de VPNs, e de usar autenticação multifator em todas as instâncias de login e criptografia em tempo real, e patches de software e atualizações.
  • Instrua os funcionários. Os funcionários devem ser lembrados da importância da confidencialidade e as organizações devem garantir a implementação e a observância de políticas adequadas de segurança de dados. Por exemplo, políticas de uso aceitável e “traga o seu próprio dispositivo” (Bring Your Own Device, “BYOD”), bem como os procedimentos a serem seguidos em caso de suspeita de violação de dados. Além disso, é possível que os funcionários que estiverem se adaptando a esse “novo normal” estejam menos atentos a ameaças cibernéticas, por isso as empresas devem lembrar aos funcionários como identificar e-mails de phishing, cada vez mais sofisticados, relacionados à COVID-19.
  • Tenha um plano de resposta de violação de segurança de dados. Em caso de violação, as empresas devem ter um plano já implementado sobre como gerenciar a situação, incluindo quem dentro da organização lidará com a violação, investigação forense e produção de relatórios. Os países latino-americanos não são consistentes em seus requisitos de notificação de violação — por exemplo, a Argentina e o Chile não têm exigência de aviso prévio, mas o Brasil e o México exigem que o controlador de dados reporte um incidente às autoridades competentes e/ou ao indivíduo cujos dados foram violados. Essa inconsistência relativa à comunicação ou denúncia indica que as empresas, especialmente empresas internacionais, devam se familiar com as leis de notificação pertinentes do próprio país e dos países dos indivíduos cujos dados a empresa processe.

Garantia de supervisão adequada de terceiros

Além disso, a realização de “negócios como de costume” pode não ser possível em indústrias consideradas de alto risco para a corrupção, onde sejam necessárias interações significativas com terceiros e onde as operações sejam globais e abranjam regiões de alto risco. De fato, os funcionários em funções de conformidade, que agora estão trabalhando em casa e sem possibilidade de viajar, devem continuar a atuar em alto nível e supervisionar os aspectos mais arriscados de suas organizações remotamente. Nos casos em que eles antes visitavam os locais como parte das diligências devidas ou auditorias in loco de subsidiárias internacionais, fornecedores e potenciais parceiros de negócios, o pessoal do setor de conformidade deve se esforçar para mitigar os riscos remotamente, tendo cautela para garantir simultaneamente que as leis de privacidade de dados não sejam violadas. Trabalhar remotamente também requer a cooperação de contrapartes que talvez não tenham obrigação de fornecer materiais ou não possuam a infraestrutura de tecnologia da informação para facilitar transferências volumosas ou seguras de dados.

As práticas recomendadas para garantir uma supervisão remota robusta envolvem um plano de ação, plano de comunicação e levantamento sobre as leis pertinentes.

  • Colabore no plano de ação com os colaboradores. Os advogados internos que supervisionem as áreas de conformidade devem se esforçar para elaborar um plano de ação simplificado e listas de verificação para a supervisão de subsidiárias e terceiros para garantir que as tarefas sejam concluídas, levando em consideração as capacidades de trabalho remoto do pessoal.
  • Comunique-se com subsidiárias e terceiros. O advogado interno deve enviar comunicações oficiais a subsidiárias e terceiros para estabelecer expectativas de cooperação.
  • Pesquisa sobre leis de privacidade de dados. Na medida em que os funcionários estão buscando informações remotamente de novas jurisdições ou solicitando novas informações de jurisdições familiares que possam implicar leis de privacidade de dados, as empresas devem se esforçar para realizar um levantamento das leis de privacidade de dados.

Garantia de supervisão adequada dos funcionários

Além disso, com o aumento da vulnerabilidade e a diminuição da fiscalização interna, as empresas têm questionado se podem monitorar os funcionários que estão trabalhando remotamente devido à COVID-19. Por exemplo, os empregadores podem ter preocupações com a produtividade e o desempenho dos funcionários, e não têm condições de dispor do monitoramento presencial que um ambiente de escritório permite. Embora os provedores de tecnologia podem ofereçam soluções de monitoramento remoto, tais como webcams de dispositivos de trabalho e avaliações de uso de teclado, recomenda-se que empresas em países com leis mais robustas de proteção de dados, como as alinhadas com o GDPR, considerem as seguintes preocupações de privacidade de dados:

  • Direitos de privacidade dos funcionários. Como discutido no início deste artigo, os indivíduos têm um direito fundamental à privacidade, especialmente na própria casa. Um dos elementos centrais das leis de privacidade da América Latina é o direito de todos os indivíduos acessarem as informações que as organizações coletaram sobre eles e de fornecerem informações sobre a exatidão dessas informações. Assim, se uma empresa monitora seus funcionários remotos, ela deve garantir que os funcionários possam acessar quais informações foram obtidas como parte do monitoramento.
  • Aviso aos Funcionários. Como prática recomendada, as empresas devem se comunicar com os colaboradores sobre a abordagem de monitoramento. As leis de privacidade de dados dos países latino-americanos, embora não uniformes, geralmente incluem uma obrigação de aviso aos indivíduos, informando-os sobre quais informações pessoais estão sendo coletadas, e por quê, e com quem elas são compartilhadas. As empresas devem ser notificadas sobre os métodos e escopo de monitoramento e as informações pessoais que estejam sendo processadas.
  • DPIAs. Realize uma avaliação formal de impacto de proteção de dados (Data Protection Impact Assessment, “DPIA”) antes de implementar qualquer forma de monitoramento dos funcionários, e proteja as informações obtidas através do monitoramento. As várias leis de privacidade de dados na América Latina exigem que as organizações que coletam, usam e divulgam informações pessoais tomem todas as precauções possíveis para proteger essas informações contra perdas, uso indevido e acesso não autorizado, divulgação, alteração e destruição.
  • Base legal e proporcionalidade. As empresas têm um interesse legítimo como base legal no processamento de dados pessoais obtidos por meio do monitoramento (por exemplo, para melhorar a produtividade dos funcionários ou para garantir o cumprimento das políticas organizacionais). Isso significa que a empresa deve garantir que os benefícios do monitoramento superem o direito do funcionário às expectativas de privacidade e ao risco de dano, lesão ou angústia, que a finalidade do monitoramento é suficientemente importante e não mais restritiva do que o necessário para alcançar seu objetivo. No entanto, uma palavra de cautela: os controladores de dados devem ser cautelosos ao seguir a linha de monitoramento justificável, cientes de que, de outra forma, medidas excessivas, que são razoáveis durante uma pandemia, não se tornam o novo padrão de privacidade de dados em relação aos dados pessoais. 
  • Para obter mais informações sobre este assunto, consulte o seguinte alerta de cliente Ropes & Gray, aqui.

Conclusão

O trabalho remoto durante a COVID-19 apresenta sérias questões de privacidade e anticorrupção de dados, especialmente no que diz respeito a áreas delicadas no contexto de investigação interna e a resposta a questionamentos governamentais inclui processamento de dados, coleta de dados, transferência de dados e mecanismos pelos quais os dados são processados. É fundamental que as empresas desenvolvam estratégias que tenham essas preocupações em mente, principalmente onde é necessário o compartilhamento de informações com autoridades internacionais, e as leis de privacidade variem de país para país. 

  1. Nick Hopkins e Helena Bengtsson, What are the Paradise Papers and what do they tell us, O GUARDIÃO (5 de novembro de 2017), disponível em theguardian.com/news/2017/nov/05/what-are-the-paradise-papers-and-what-do-they-tell-us. ver também Luke Harding, What are the Paradise Papers and what do they tell us?, THE GUARDIAN (5 de abril de 2016), disponível em https://www.theguardian.com/news/2016/apr/03/what-you-need-to-know-about-the-panama-papers.
  2. Regulamento (UE) 2016/679.
  3. Brazil: President promulgates provisional measure postponing LGPD to May 2021, DataGuidance (30 de abril de 2020) https://www.dataguidance.com/news/brazil-president-promulgates-provisional-measure-postponing-lgpd-may-2021?dm_i=437F,14M2Q,62IFIK,3Z29E,1.
  4. Caio Rinaldi, Chilean Council for Transparency Seeks Changes to Coronavirus-Related Data Protection Bill, MLex Market Insight (8 de maio de 2020).
  5. Brazil: President promulgates provisional measure postponing LGPD to May 2021, DataGuidance (30 de abril de 2020), https://www.dataguidance.com/news/brazil-president-promulgates-provisional-measure-postponing-lgpd-may-2021?dm_i=437F,14M2Q,62IFIK,3Z29E,1.
  6. Ana Paula Candil, Comment: Brazilian Supreme Court Addresses Data Privacy for First Time in Statistics-Collection Case, MLex Market Insight (8 de maio de 2020).
  7. back to top

Printer-Friendly Version

Cookie Settings