O documento discute o impacto da Lei Geral de Proteção de Dados (LGPD) para empresas no ambiente de e-commerce. Ele destaca que: (1) estudos mostram que investimentos em privacidade resultam em menores custos com violações de dados e maiores retornos financeiros; (2) a LGPD trará sanções severas como multas altas e publicização de infrações para empresas que não se adequarem; (3) os direitos dos titulares de dados precisam ser respeitados.
Congresso Grocery & Drinks | Transformando o e-commerce alimentar por meio do...
[Think E-Commerce| Edição Campinas 2020] Impactos da LGPD no E-Commerce.
1. b t l a w . c o m . b r
Impacto da LGPD para as empresas no ambiente de e-commerce
Karin Klempp Franco / Advogada e Sócia do BTLAW
2. Segundo estudo realizado pela CISCO, por meio de seu ‘’Cisco Annual Cybersecurity Benchmark Study
– Janeiro 2020’’, que incluiu o Brasil na pesquisa, foi constatado:
VOLTAR
AVANÇAR
POR QUE
SE ADAPTAR?
https://www.cisco.com/c/dam/en/us/prod
ucts/collateral/security/2020-data-privacy-
cybersecurity-series-jan-2020.pdf
Uma forte correlação
entre os gastos com
privacidade das empresas
e menores despesas com
violação de privacidade;
menores atrasos nas
vendas; alto retorno
financeiro.
O Brasil está dentro da
lista de países que
tiveram a maior média
de retorno dos
investimentos em
privacidade.
Em média, a cada $1
dólar investido em
privacidade, a empresa
recebeu U$2,70 de
benefício.
82% das empresas veem
certificações ligadas à
privacidade como fatores
determinantes na hora
de comprar/selecionar
um fornecedor.
Maioria das empresas
constataram um retorno
altamente positivo em
relação aos investimentos
em privacidade.
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
3. VOLTAR
AVANÇAR
POR QUE
SE ADAPTAR?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
Empresas adequadas
terão mais facilidade em
fazer negócios com
outras empresas
adequadas e com o
Governo.
Responsabilidade pelas
perdas e danos causados
às pessoas afetadas.
Inclusive por ação civil
pública (ação coletiva) –
atuação do ESPEC -
MPDFT.
Responsabilidade pelas
perdas e danos
causados às pessoas
afetadas. Inclusive por
ação civil pública (ação
coletiva) – atuação do
ESPEC - MPDFT.
Adequação facilita o
acesso ao mercado
europeu decido à
General Data Protection
Regulation – GDPR e
outros mercados.
Outras penas severas,
como a proibição de
atividades e divulgação
da infração, expondo
negativamente a
empresa.
4. VOLTAR
AVANÇAR
Cenário Atual:
Marco Civil da Internet e
Código de Defesa do Consumidor
Com a LGPD, haverá multas altas, publicidade da infração e outras
sanções à empresa além das indenizações que já existem.
Ação civil pública
vazamento de dados
acordo de R$1.500.000,00
Termo de ajustamento de conduta
vazamento de dados
TAC de R$500.000,00
Multa administrativa de
R$7.900.000,00 pelo
PROCON-MP/MG
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
5. Caso:
Site da British Airways
O que ocorreu?
Tráfego em site da British Airways era divergido para
um site fraudulento, com coleta de dados de
aproximadamente 500.000 clientes por este site, como
dados do cartão de crédito usado para compra das
passagens, nome, endereço, informações de reservas.
Resultado:
ICO (Information Commissioner’s Office) manifestou
aplicação de uma multa de £183.39M por infração à
GDPR
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-
intention-to-fine-british-airways/
VOLTAR
AVANÇAR
O QUE É DADO
PESSOAL?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
6. O QUE É DADO
PESSOAL?
Um dado pessoal é qualquer informação relacionada a
pessoa natural identificada ou identificável.
O dado pessoal será sensível se for definido assim pela
lei: raça, cor, religião, filiação partidária, dados de saúde,
genéticos e biométricos, etc. – dados que podem levar
à discriminação da pessoa
apresentação
características
identificação
comportamentoVOLTAR
AVANÇAR
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
7. O QUE É
TRATAMENTO?
Caso:
Base de dados de clientes da Amazon
O que ocorreu?
Funcionários da Amazon, com acesso aos dados dos
clientes, vendiam os dados para vendedores do site com
interesse no aumento de suas vendas.
Resultado:
Demissão de funcionários envolvidos, e publicização do
vazamento em diversos canais de comunicação
https://www.wsj.com/articles/amazon-investigates-employees-leaking-data-for-
bribes-1537106401
https://www.businessinsider.com/amazon-fires-employees-over-leak-of-customer-
phone-numbers-emails-2020-1
VOLTAR
AVANÇAR
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
9. QUAIS OS
PRINCÍPIOS DA
LGPD?
Caso:
Aplicativo myPersonality
O que ocorreu:
O aplicativo obtinha consentimento dos usuários do
Facebook para usar dados em testes de personalidade e
compartilhava esses dados coletados com pesquisadores
e acadêmicos que os solicitassem para estudos sem
informações sobre novos usos nem novo consentimento
Resultado:
Facebook removeu o aplicativo antes do caso ser levado
às autoridades e nenhuma sanção foi aplicada
https://www.newscientist.com/article/2168713-huge-new-facebook-data-leak-exposed-intimate-
details-of-3m-users/
VOLTAR
AVANÇAR
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
10. VOLTAR
AVANÇAR
QUAIS OS
PRINCÍPIOS DA
LGPD?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
PrevençãoFinalidade Adequação
Transparência
Não
discriminação
Livre
acesso
Qualidade
de dados
Necessidade Segurança Accountability
11. O QUE SÃO AS
BASES LEGAIS PARA
TRATAMENTO?
Caso:
Envio automático de mensagens informativas para o e-mail do
usuário do site Avocatnet.ro
O que ocorreu?
Como parte do procedimento de registro no site avocatnet.ro, era
exibida uma caixa desmarcada, com um texto que sinalizava a
não intenção do usuário em receber determinadas informações,
diárias e gratuitas, por e-mail. Se o usuário omitisse a caixa de
seleção, era automaticamente inserido na base de assinantes
dessas informações, sem ter havido consentimento do usuário
para tanto.
Resultado:
Aplicação de uma multa de €9.000,00 pela Autoridade Nacional
de Supervisão para Processamento de Dados Pessoais da
Romênia (Romanian National Supervisory Authority for Personal
Data Processing – ANSPDCP)
https://www.dataprotection.ro/?page=Alta_sanctiune_RGPD&lang=ro
VOLTAR
AVANÇAR
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
12. VOLTAR
AVANÇAR
Cumprir
um contrato
Políticas
públicas Consentimento Dever legal
Proteção
de crédito
Instituição
de pesquisa
Exercer
direitos
Interesse
legítimo
Tutelar
a saúde
Evitar
fraudes
Proibidasparadadossensíveis
Possíveis para dados sensíveis
O QUE SÃO AS
BASES LEGAIS PARA
TRATAMENTO?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
Proteger
a vida
13. Caso:
Cadastro de clientes antigos da Delivey Hero na Alemanha
O que ocorreu?
Empresa de pedidos online de comida, que não deletou o
cadastro de clientes antigos, inativos há mais de 10 anos na
plataforma. Inclusive enviando e-mails de propaganda dos
serviços, mesmo com expressa objeção para envio com
propósitos de propaganda. Não observação dos direitos dos
titulares dos dados como: informação do processamento de seus
dados e direito de exclusão destes.
Resultado:
Aplicação de uma multa de €195.407,00 pela Comissão de Berlim
para Proteção de Dados e Liberdade de Informação (Berliner
Beauftragte für Datenschutz und Informationsfreiheit)
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-
Bussgelder.pdf
VOLTAR
AVANÇAR
QUAIS SÃO OS
DIREITOS DOS
TITULARES?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
14. VOLTAR
AVANÇAR
Acesso Retificação Cancelamento Oposição
Informação
Sobre
consentimento
Revogação de
consentimento
Eliminação
de dados sob
consentimento
Confirmação
Eliminação
de dados
excessivos
Portabilidade
Informação
sobre coleta,
tratamento e
compartilhamento
Petição à
ANPD
Revisão de
decisões
automatizadas
(algoritmos)
QUAIS SÃO OS
DIREITOS DOS
TITULARES?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
15. Caso:
Vazamento de dados da rede de hotéis Marriott Starwood
O que ocorreu?
Hackers acessaram o banco de dados de reserva dos
hotéis e extraíram uma base de dados pessoais de milhões
de clientes, incluindo nome, e-mail, telefone, passaporte,
data de nascimento, gênero, data de reserva, data de
chegada e partida, etc.
Resultado:
Multa de £ 99.200.000,00 aplicada pela autoridade britânica
de proteção de dados (UK’s Information Comissioner’s
Office – ICO)
https://www.theweek.co.uk/cyber-crime/98262/marriott-starwood-data-breach-
what-happened-are-you-affected-claim-compensation-share-price
VOLTAR
AVANÇAR
QUAIS AS
CONSEQUÊNCIAS?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
16. O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
Empresa
Encarregado
Autoridade Nacional de
Proteção de Dados
Titular
VOLTAR
AVANÇAR
QUAIS AS
CONSEQUÊNCIAS?
17. Advertência
Multa simples, de até 2% (dois por cento) do
faturamento, limitada a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração
Multa diária
Publicização da infração
Bloqueio dos dados pessoais até sua regularização
Eliminação dos dados pessoais
Suspensão de bancos de dados
Suspensão ou proibição de atividades da empresa
As sanções previstas na LGPD não substituem
sanções definidas no CDC nem indenizações
Vazamentos individuais ou acessos não autorizados
podem ser objeto de conciliação entre o controlador e
o titular do dado
VOLTAR
AVANÇAR
QUAIS AS
CONSEQUÊNCIAS?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
18. As sanções previstas na LGPD podem ser
aumentadas, reduzidas ou até afastadas dependendo
de:
Gravidade e natureza das infrações e dos direitos
afetados
Boa-fé do infrator
Vantagem obtida ou pretendida pelo infrator
Condição econômica do infrator
Reincidência
Grau do dano
Cooperação do infrator
Adoção de mecanismos para minimizar os danos
VOLTAR
QUAIS AS
CONSEQUÊNCIAS?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
19. shipyourenemiesgdpr.com
Website ajuda o usuário a realizar pedido de acesso aos
seus dados armazenados pela empresa escolhida, que é
obrigada a responder em até 30 dias – são apenas 15 dias
na LGPD!
“We'll help you send them a GDPR Data Access Request
designed to waste as much of their time as possible”
VOLTAR
AVANÇAR
QUAIS AS
CONSEQUÊNCIAS?
O IMPACTO DA
LEI GERAL DE
PROTEÇÃO DE
DADOS PARA
AS EMPRESAS
20. b t l a w . c o m . b r
Obrigada
Karin Klempp Franco
kklempp@btlaw.com.br