O documento discute as principais leis e regulamentos relacionados a contratos de TI e como eles podem afetar esses contratos no futuro. Algumas das leis mencionadas incluem a Lei de Informática de 1984, o Marco Civil da Internet, a Lei Geral de Proteção de Dados e projetos de lei sobre pagamentos móveis e crimes cibernéticos. O documento também fornece recomendações sobre como revisar políticas e contratos para estar em conformidade com os novos regulamentos.
Rio Info 2015 - Salão da Inovação - Uruguai - Ricardo Fynn
As questões jurídicas que envolvem o Marketing das empresas - Palestrante: Gilberto Martins de Almeida
1. RIOINFO – 17/09/13
Gilberto Martins de Almeida
(gilberto@mda.com.br)
Contratos de TI com Clientes
- Novo Cenário Legal
2. Reserva Abertura Atual
GTE (1971) X
CAPRE (1972) X
I Plano Nac. de Des. (72-74) X
I Plano Des. Cient./Tecn.(73-74) X
SEI (1979) - Atos Normativos. X
Lei da Informática (7232/84)
Lei do Software (7646/87) X
PLANIN (1991) X
Lei da Informática (8248/91)
Lei do Software (9609/98)
Lei de Direito Autoral (9610/98)
Marco Civil da Internet
Leis de Crimes Cibernéticos
Lei de Acesso à Informação
PL de Proteção de Dados Pessoais
Capítulo de E-Commerce no CDC
PL sobre Pagamentos Móveis
Reforma das Leis de Prop. Int.
Decreto 7.845 e Normas do GSI
4. Organicidade
Proteção de Dados Pessoais
Contratos eletrônicos transação Acesso à Informação
privacidade
Assinatura digital Pagamentos Móveis
consentimento
Digitalização documento Segurança da Informação
segurança
Crimes Eletrônicos Direitos de Autor
dado
Compras Coletivas
5. Potenciais implicações
• Nova hermenêutica – conjugação de mais leis – inclusão no
“radar jurídico”
• Novas aplicações – interpretação mais principiológica –
qualificação em sistemas e “workflows”
• Novos parâmetros – integração conceitual – atualização
qualitativa no “painel de controle”
• Novos desdobramentos – regulamentações previstas –
manutenção de “live update”
• Novos documentos – criação e adaptação – equilíbrio contratual e
de políticas: segurança vs. privacidade vs. transparência
6. Cuidados recomendáveis
• Revisão de Política de Privacidade, Política de Segurança da
Informação, Política de Continuidade de Operação, Política de
Propriedade Intelectual, Política de Classificação e Tratamento de
Sigilo, Política de Compliance
• Revisão de Termos de Uso, FAQs, Regras de Concursos
• Revisão de uso de metatags, keying, links patrocinados, compra ou
venda de cadastros eletrônicos (mesmo com “anonimização”)
• Revisão de métodos comerciais (pagamentos via celular, spamming,
arrependimentos no e-commerce, comunidades cibernéticas)
7. Específico: Contratos de TI
• Métodos ágeis (SCRUM): atas, gestão, cláusulas próprias, SLA+ SLM
• Desenvolvimento seguro: certificação, metodologia homologada
• Proteção de dados: registro das bases, “consentimento informado”
• Propriedade: novos registros, acesso ao fonte, hospedagem na nuvem
• Administração: soluções direcionadas, mediador stand-by, arbitragem
8. Negociações de Contratos de TI
Cláusula Fornecedor quer: Cliente quer:
Propriedade Da base e da customização Da customização
Preço Por número de usuários Por CNPJ, ou grupo empr.
Prazo Determinado (p/ ambos) Perpétuo (p/ fornecedor)
Garantia Sem garantir adequação Adequação licença/serviços
Responsabil. Limite qualitativo e $ Limite $
Customização Sujeita a aprovação Livre
Código-fonte Só p/ consulta, s/ posse Livre posse de cópia
Implantação Por terceiro independente Por terceiro responsável
Localização Só impostos federais/atuais Todos os impostos
Extinção Resilição por qq. das partes Resilição só pelo cliente
9. Lei 7232/84 Marco Civil
Art. 4º São instrumentos da Política Nacional de Informática:
I - o estímulo ao crescimento das atividades de informática de
modo compatível com o desenvolvimento do País;
II - a institucionalização de normas e padrões de homologação e
certificação de qualidade de produtos e serviços de informática;
III - a mobilização e a aplicação coordenadas de recursos
financeiros públicos destinados ao fomento das atividades de
informática;
IV - o aperfeiçoamento das formas de cooperação internacional
para o esforço de capacitação do País;
V - a formação, o treinamento e o aperfeiçoamento de recursos
humanos para o setor;
VI - a instituição de regime especial de concessão de incentivos
tributários e financeiros, em favor de empresas nacionais,
destinados ao crescimento das atividades de informática;
VII - as penalidades administrativas pela inobservância de
preceitos desta Lei e regulamento;
VIII - o controle das importações de bens e serviços de
informática por 8 (oito) anos a contar da publicação desta Lei;
IX - a padronização de protocolo de comunicação entre sistemas
de tratamento da informação; e )
X - o estabelecimento de programas específicos para o fomento
das atividades de informática, pelas instituições financeiras
estatais.
Antigos e Novos Instrumentos e Fundamentos
10.
11.
12. Código do Consumidor –
Regulamentação (Decreto 7962)
Informações claras sobre os elementos da relação contratual;
Atendimento facilitado e confirmações de recebimento;
Direito de arrependimento;
Compras coletivas;
Sanções: as gerais do CDC.
13.
14.
15. COMPRAS COLETIVAS
Regulação específica sobre compras coletivas:
Federal: PL 1232/ 2011, PL1933/2011, PL3405/2012, PL 3463/2012
obrigatoriedade de call centers e indicação de e-mail para contato;
informação sobre sede física;
condições da oferta e forma de disposição da informação;
prazo para devolução da quantia paga;
impostos correspondentes das esferas competentes;
condições para envio de mensagens com ofertas e promoções;
disponibilizar link de acesso ao texto da legislação;
responsabilidade solidária do fornecedor e do canal da oferta;
Estadual:
Lei 6.161/ 2012, do Rio de Janeiro
Lei 17.106/ 2012, do Paraná
Lei 6.311/ 2013, do Piauí
16.
17.
18.
19. Projeto de Lei - Alteração do Código de Defesa do
Consumidor - Capítulo sobre E-Commerce
25. MP DE PAGAMENTOS MÓVEIS
MP 615/2013: “dispõe sobre os arranjos de pagamento” – regulamenta os
pagamentos móveis
definição: Art. 6, V – “instrumento de pagamento - dispositivo ou conjunto de
procedimentos acordado entre o usuário final e seu prestador de serviço de pagamento
utilizado para iniciar uma transação de pagamento”;
instituição de pagamento não se confunde com instituição financeira, mas fica
sujeita a penalidades aplicáveis a elas
instituição de pagamento realiza a atividade como principal ou acessória,
alternativa ou cumulativamente;
moeda eletrônica
inclui referências a proteção do consumidor
regulamentação cabe ao BC e ao CMN
PL 635/2011: sistema de pagamentos e transferências de valores monetários por
meio de dispositivos móveis (STDM)
pessoas jurídicas constituídas com único objeto de prestar tais serviços
regulamentação por “autoridade competente”
26. 26
MEDIDA PROVISÓRIA Nº 615, DE 17 DE MAIO DE 2013.
A PRESIDENTA DA REPÚBLICA, no uso da atribuição que lhe confere o art. 62 da Constituição, adota a seguinte Medida Provisória, com força de lei:
Art. 6º Para os efeitos das normas aplicáveis aos arranjos e as instituições de pagamento que passam a integrar o Sistema de Pagamentos Brasileiro - SPP, nos termos desta
Medida Provisória, considera-se:
I - arranjo de pagamento - conjunto de regras e procedimentos que disciplina a prestação de determinado serviço de pagamento ao público aceito por mais de um recebedor,
mediante acesso direto pelos usuários finais, pagadores e recebedores;
II - instituidor de arranjo de pagamento - pessoa jurídica responsável pelo arranjo de pagamento e, quando for o caso, pelo uso da marca associada ao arranjo de pagamento;
III - instituição de pagamento - pessoa jurídica que, aderindo a um ou mais arranjos de pagamento, tenha como atividade principal ou acessória, alternativa ou cumulativamente:
a) disponibilizar serviço de aporte ou saque de recursos mantidos em conta de pagamento;
b) executar ou facilitar a instrução de pagamento relacionada a determinado serviço de pagamento, inclusive transferência originada de ou destinada a conta de pagamento;
c) gerir conta de pagamento;
d) emitir instrumento de pagamento;
e) credenciar a aceitação de instrumento de pagamento;
f) executar remessa de fundos;
g) converter moeda física ou escritural em moeda eletrônica, ou vice-versa, credenciar a aceitação ou gerir o uso de moeda eletrônica; e
h) outras atividades relacionadas à prestação de serviço de pagamento, designadas pelo Banco Central do Brasil;
IV - conta de pagamento - conta de registro detida em nome de usuário final de serviços de pagamento utilizada para a execução de transações de pagamento;
V - instrumento de pagamento - dispositivo ou conjunto de procedimentos acordado entre o usuário final e seu prestador de serviço de pagamento utilizado para iniciar uma
transação de pagamento; e
VI - moeda eletrônica - recursos armazenados em dispositivo ou sistema eletrônico que permitem ao usuário final efetuar transação de pagamento.
§ 1º As instituições financeiras poderão aderir a arranjos de pagamento na forma estabelecida pelo Banco Central do Brasil, conforme diretrizes estabelecidas pelo Conselho
Monetário Nacional.
§ 2º É vedada às instituições de pagamento a realização de atividades privativas de instituições financeiras, sem prejuízo do desempenho das atividades previstas no inciso III
do caput.
§ 3º O conjunto de regras que disciplina o uso de cartão emitido por sociedade empresária destinado à aquisição de bens ou serviços por ela ofertados não se caracteriza como
arranjo de pagamento.
§ 4º Não são alcançados por esta Medida Provisória os arranjos de pagamento em que o volume, a abrangência e a natureza dos negócios, a serem definidos pelo Banco Central
do Brasil, conforme parâmetros estabelecidos pelo Conselho Monetário Nacional, não forem capazes de oferecer risco à economia popular e ao normal funcionamento das
transações de pagamentos de varejo.
Art. 7º Os arranjos de pagamento e as instituições de pagamento observarão, no mínimo, os seguintes princípios e objetivos:
I - interoperabilidade ao arranjo de pagamento e entre arranjos de pagamento distintos;
II - inovação nos arranjos de pagamento e diversidade de modelos de negócios;
III - solidez e eficiência dos arranjos de pagamento e das instituições de pagamento, promoção da competição e previsão de transferência de saldos em moeda eletrônica, quando
couber, para outros arranjos ou instituições de pagamento;
IV - acesso não discriminatório aos serviços e às infraestruturas necessários ao funcionamento dos arranjos de pagamento;
V - atendimento às necessidades dos usuários finais, em especial liberdade de escolha, segurança, proteção de seus interesses econômicos, tratamento não discriminatório,
privacidade e proteção de dados pessoais, transparência e acesso a informações claras e completas sobre as condições de prestação de serviços;
VI - confiabilidade, qualidade e segurança dos serviços de pagamento; e
VII - inclusão financeira, observados os padrões de qualidade, segurança e transparência equivalentes em todos os arranjos de pagamento.
Art. 8º O Banco Central do Brasil, o Conselho Monetário Nacional, o Ministério das Comunicações e a Agência Nacional de Telecomunicações estimularão, no âmbito de suas
competências, a inclusão financeira por meio da participação do setor de telecomunicações na oferta de serviços de pagamento e poderão, com base em avaliações periódicas,
adotar medidas de incentivo ao desenvolvimento de arranjos de pagamento que utilizem terminais de acesso aos serviços de telecomunicações de propriedade do usuário.
27. Projeto de Lei de Pagamentos Móveis
Art. 2º O sistema de pagamentos e transferências de valores monetários por
meio de dispositivos móveis (STDM) de que trata esta Lei compreende as
entidades, os sistemas e os procedimentos relacionados com pagamentos e
transferência de valores monetários por meio de aparelhos de telefonia móvel.
§ 1° O STDM será regulamentado pela autoridade monetária competente.
§ 2° As disposições desta Lei não se aplicam aos serviços bancários
disponibilizados pelas instituições financeiras na rede mundial de computadores,
ainda que acessados por dispositivos móveis.
Art. 3º A oferta de serviços de pagamentos e de transferências de valores por
meio de dispositivos móveis será feita por pessoas jurídicas constituídas com o
único objetivo de proporcionar esses serviços.
Parágrafo único. O funcionamento das empresas previstas no caput deverá ser
autorizado pela autoridade competente.
28. Art. 4º As pessoas jurídicas previstas no art. 3° manterão registros de contas
eletrônicas individuais em nome dos usuários de seus serviços.
§ 1° Os registros previstos no caput constituem-se de uma conta associada a um
número de telefone móvel em que os clientes da empresa farão depósitos de valores
monetários.
§ 2° Haverá um único registro de conta eletrônica associado a um determinado número
de telefone móvel.
§ 3° Os valores monetários registrados na conta eletrônica poderão ser utilizados para:
I - adquirir créditos para o uso do telefone móvel;
II - pagamentos;
II - transferências para outras contas eletrônicas;
III - transferências para contas bancárias em nome do titular da conta eletrônica de
origem;
IV - saques em estabelecimentos conveniados.
29. Art. 4º As empresas previstas no art. 3° poderão intermediar a oferta de serviços
financeiros, tais como crédito, aplicações financeiras, seguros e outros, a seus
clientes.
Parágrafo único. A responsabilidade pelos serviços oferecidos na forma do caput
será sempre da instituição financeira que o ofertou.
Art. 5º Todas as empresas que oferecerem o serviço de pagamentos e
transferências por meio de dispositivos móveis participarão de uma câmara de
compensação responsável pela compensação e liquidação das operações em
tempo real e pelo credenciamento dos estabelecimentos para saques de recursos
em dinheiro.
Parágrafo único. A câmara de compensação prevista no caput integrará o
sistema brasileiro de pagamentos e será constituída por meio de uma sociedade
civil sem fins lucrativos.
30. PROTEÇÃO DE DADOS PESSOAIS
PL 4060/2012 – sobre a proteção de dados pessoais e o acesso a informação
proteção aos dados da pessoa natural;
dados pessoais vs. dados sensíveis;
obriga pessoas físicas ou jurídicas; públicas ou privadas; ainda que o banco de
dados esteja armazenado em país estrangeiro;
tratamento de dados: operações automatizadas ou não que permitam
armazenamento, ordenamento, conservação, atualização, comparação,
avaliação, organização, seleção, extração.
adoção de medidas para diminuir risco de destruição, perda, acesso não
autorizado ou tratamento não permitido pelo titular.
as medidas devem ser compatíveis com o estágio tecnológico e com a
natureza dos dados
Art. 14: compartilhamento de dados com empresas do mesmo grupo
econômico, parceiros comerciais ou terceiros, desde que contribuam para o
tratamento dos dados.
Aplicação do CDC aos destinatários da norma
31. Projeto de Lei de Proteção de Dados Pessoais
Art. 9. O tratamento de dados pessoais somente pode ocorrer após o
consentimento livre, expresso e informado do titular, que poderá ser dado por
escrito ou por outro meio que o certifique, após a notificação prévia ao titular das
informações constantes no art. 11.
§ 1º Nos serviços de execução continuada, o consentimento deverá ser renovado
periodicamente, nos termos do regulamento.
§ 2º O tratamento de dados pessoais de crianças somente será possível com o
consentimento dos responsáveis legais e no seu melhor interesse, sendo vedada
a utilização destes dados para finalidades comerciais.
Art. 10. O consentimento pode ser revogado a qualquer momento.
32. Art. 11. No momento da coleta de dados pessoais, o titular será informado de
forma clara e explícita sobre:
I - a finalidade para a qual os seus dados pessoais estão sendo coletados e de
que forma serão tratados;
II - a identidade e o domicílio do responsável pelo tratamento;
III - a natureza obrigatória ou facultativa do fornecimento dos dados;
IV - as conseqüências de uma eventual negativa em fornecê-los;
V - os sujeitos para os quais os dados podem ser comunicados e o seu âmbito de
difusão; e
VI - os seus direitos, em particular da possibilidade de negar-se a fornecer os
dados pessoais e sobre o seu direito de acesso e retificação gratuitos.
Parágrafo único. Considera-se nulo o consentimento prestado caso as referidas
informações tenham conteúdo enganoso ou não tenham sido fornecidas de forma
clara e explícita.
33. Art. 15. O titular dos dados poderá obter do responsável pelo tratamento a
confirmação da existência de dados pessoais que lhe digam respeito, bem como
o acesso aos dados em si, tanto diretamente, como por meio da ação de habeas
data, nos termos da lei.
Art. 20. Nenhuma pessoa pode ser obrigada a fornecer dados sensíveis.
Art. 28. A comunicação ou a interconexão dos dados pessoais somente será
permitida com o consentimento livre e expresso do titular e para o cumprimento
de fins diretamente relacionados com as funções legítimas do cedente e do
cessionário.
Art. 30. Os dados pessoais serão cancelados quando deixarem de ser
necessários ou pertinentes para a finalidade que justificou sua coleta e
tratamento.
Art. 34. Toda entidade privada que realize o tratamento de dados pessoais para o
desenvolvimento de suas atividades e conte com mais de duzentos empregados
deverá apontar um diretor responsável pelo tratamento de dados pessoais.
34. Art. 41. Sem prejuízo das sanções civis e penais cabíveis e de outras sanções
administrativas a serem definidas em normas específicas, as infrações das
normas previstas nesta Lei ficam sujeitas, conforme o caso, às seguintes sanções
administrativas:
I - multa;
II – bloqueio dos dados pessoais;
III – dissociação dos dados pessoais;
IV – cancelamento dos dados pessoais;
V – proibição do tratamento de dados sensíveis;
VI – suspensão temporária de atividade; e
VII – proibição de funcionamento do banco de dados.
Obs: Também trata da transferência internacional de dados e cria uma Autoridade
de Garantia.
35. Gilberto Martins de Almeida
•Professor de Direito e Internet na PUC/RJ, e em outras universidades no Brasil e no exterior
•Consultor da ONU e de outros organismos internacionais
•Árbitro nomeado pela Organização Mundial da Propriedade Intelectual
•Perito inscrito da Associação de Peritos Judiciais do Estado do Rio de Janeiro
•Membro do Conselho Consultivo de associações brasileiras e estrangeiras
•Colaborador na elaboração de normas e regulamentos para o setor de Informática e Internet
Obrigado!