Transações de pagamento e o direito digital

Continuando nossa série de artigos, vamos tratar sobre questões de segurança mais específicas. Vamos lá.

Existem leis que regulam a coleta ou uso de dados pessoais? A quem se aplicam as leis de proteção de dados?

Existem atualmente diversos diplomas legislativos que tratam de diferentes âmbitos da privacidade e da proteção de dados, tais como intimidade, vida privada, honra, imagem e sigilo de correspondência, operações bancárias e comunicações. Isso inclui:

• Constituição Federal.

• Código Civil.

• Código de Defesa e Proteção ao Consumidor.

• Lei Brasileira da Internet (Lei 12.965 / 2014).

• Código Criminal.

Assim, enquanto o tratamento online de dados pessoais é regido pela Lei Brasileira da Internet e o tratamento de dados pessoais do consumidor é regido pelo Código de Defesa e Defesa do Consumidor, o tratamento online de dados pessoais do consumidor é regido por ambas as legislações. A Constituição Federal, o Código Civil e Penal aplicam-se às situações específicas que regulam.

A LGPD é uma legislação abrangente aplicável a qualquer pessoa física ou jurídica de direito público ou privado que trate dados pessoais em território brasileiro. Relaciona-se ao processamento:

• Que tenha por finalidade a oferta ou fornecimento de bens ou serviços.

• De dados de pessoas físicas localizadas em território brasileiro.

• De dados pessoais coletados em território brasileiro.

O âmbito do LGPD estende-se a qualquer categoria de dados pessoais, tanto no ambiente online como offline.

A LGPD não é aplicável nos casos em que o processamento de dados pessoais seja:

• Por uma pessoa singular para fins exclusivamente privados e não econômicos.

• Exclusivamente para fins jornalísticos, artísticos e acadêmicos.

• Pelas Autoridades Públicas nas condições acima mencionadas.

• De outro país não sujeito a comunicação, uso compartilhado dos dados com agentes de processamento brasileiros ou objeto de transferência internacional com outro país que não o de origem.

A LGPD também previu a criação da Autoridade Nacional de Proteção de Dados (ANPD). A ANPD tem autoridade para:

• Supervisionar a aplicação do LGPD.

• Julgar incidentes de dados e aplicar penalidades na esfera administrativa.

• Emitir regulamentos sobre pontos específicos da LGPD, por exemplo:

• cláusulas contratuais padrão;

• a lista de países que oferecem um nível de proteção de dados semelhante ao Brasil;

• padrões de segurança;

• qualidades dos responsáveis pela proteção de dados.

Quais dados são regulamentados?

Os dados pessoais são regulamentados. O LGPD define dados pessoais como informações relacionadas a uma pessoa física identificada ou identificável. A LGPD também define “dados pessoais sensíveis” como dados pessoais relacionados à origem racial ou étnica, crença religiosa, opinião pública, afiliação a um sindicato ou organização religiosa, filosófica ou política, dados relacionados à saúde ou vida sexual, dados genéticos ou biométricos, sempre que estiver relacionado com uma pessoa física. A LGPD define ainda “dados anonimizados” (que não estão sujeitos às regras da LGPD) como dados relativos a uma pessoa em causa, que não podem ser identificados, considerando a utilização de meios técnicos razoáveis disponíveis no momento do seu processamento.

Há alguma limitação na coleta ou uso de dados pessoais? Existem limitações específicas no armazenamento de dados pessoais na nuvem?

Todos os itens a seguir são regulamentados pela LGPD:

• Dados pessoais. O tratamento dos dados pessoais em geral deve ser pautado em uma das seguintes bases jurídicas:

• consentimento específico, informado, destacado e expresso do titular dos dados;

• cumprimento de dever legal;

• o exercício de direitos ou obrigações pela administração pública;

• a aplicação de obrigações contratuais ou pré-contratuais do titular dos dados;

• realização de estudos por entidade de investigação, desde que seja garantido o anonimato dos dados pessoais (sempre que possível);

• o exercício de direitos em processo judicial, administrativo ou arbitral;

• a proteção da intimidade e integridade física do titular dos dados ou de terceiros;

• a proteção da saúde, em procedimentos conduzidos por profissionais de saúde ou entidades sanitárias (exceto nos casos em que prevaleçam os direitos de proteção de dados do titular dos dados);

• o interesse legítimo do responsável pelo tratamento ou de terceiros (exceto nos casos em que prevalecem os direitos de proteção de dados do titular dos dados); e

• a proteção do crédito (inclusive em relação à legislação aplicável).

• Dados sensíveis. A coleta de dados sensíveis requer o consentimento específico, informado, destacado e expresso dos titulares dos dados. O consentimento é dispensado quando o tratamento é obrigatório para:

• cumprimento de dever legal;

• partilha de dados necessários à implementação, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

• realização de estudos por entidade de investigação desde que seja garantida a anonimização dos dados pessoais (sempre que possível);

• o exercício de direitos inclusive em contrato e em procedimento judicial, administrativo ou arbitral;

• a proteção da vida ou integridade física do titular dos dados ou de terceiros;

• a proteção da saúde, exclusivamente em procedimento realizado por profissionais de saúde ou por entidades sanitárias; e

• garantir a prevenção de fraudes e a segurança do titular dos dados, nos processos de identificação e autenticação do registo em sistemas electrónicos (salvo nos casos em que prevaleçam os direitos de proteção dos dados do titular).

• Crianças. O tratamento dos dados pessoais das crianças deve ser efetuado no seu interesse superior, com o consentimento específico e separado de pelo menos um dos pais ou do tutor legal.

• Término do processamento. A rescisão do processamento de dados pessoais ocorrerá quando:

• o período de processamento termina;

• o titular dos dados solicita a cessação do processamento;

• há determinação legal para a rescisão; ou

• verifica-se que o objetivo foi alcançado ou que os dados deixaram de ser necessários ou pertinentes para atingir o objetivo específico pretendido.

É permitido o uso de cookies? Em caso afirmativo, que condições se aplicam ao uso desse projeto de sistema de impacto?

O armazenamento de cookies ou equivalente no equipamento terminal do titular dos dados deve ser fundamentado em uma base legal específica, na medida em que os cookies são considerados dados pessoais.

Que medidas devem ser tomadas pelas empresas contratantes ou pelos fornecedores de Internet para garantir a segurança das transações na Internet?

As instituições de pagamento que operam no Brasil devem implementar certas estruturas de gestão de risco, incluindo:

• Mecanismos de proteção para dados armazenados, processados e transferidos.

• Um mecanismo de autenticação de usuários e de autorização de transações de pagamento.

• Mecanismo de monitorização e autorização de operações de pagamento com o objetivo de prevenir fraudes, bem como identificar e bloquear atempadamente operações de pagamento suspeitas.

• Notificações para usuários em relação a transações de pagamento bloqueadas.

• Um mecanismo que permite aos usuários verificar se suas transações de pagamento são realizadas corretamente.

De acordo com o LGPD, as empresas que lidam com dados pessoais devem tomar uma série de medidas com o objetivo de adaptar suas políticas ao LGPD. As técnicas de privacidade desde a concepção e por padrão devem ser utilizadas para garantir a proteção dos dados pessoais no desenvolvimento de produtos e serviços. Essencialmente, é necessário que as preocupações com a privacidade integrem o DNA da empresa.

A LGPD prevê especificamente que aqueles que lidam com dados privados devem adotar medidas de segurança para proteger os dados de acesso não autorizado e / ou perda acidental, destruição, modificação ou qualquer outro tipo de violação. Os padrões técnicos mínimos necessários ao cumprimento do requisito acima ainda serão definidos pela ANPD.

O uso de criptografia é obrigatório ou proibido em alguma circunstância?

O uso de criptografia não é especificamente exigido pela legislação brasileira.

No entanto, se os dados pessoais forem criptografados de forma que possam ser descriptografados, qualquer destino destinado aos dados criptografados deve estar alicerçado em uma das bases jurídicas previstas na LGPD.

Os órgãos governamentais podem acessar ou obrigar a divulgação de dados pessoais em certas circunstâncias?

A Constituição brasileira protege a privacidade dos dados pessoais de qualquer cidadão estrangeiro residente e estrangeiro e garante a inviolabilidade da intimidade e da vida pessoal da pessoa. Dadas essas garantias constitucionais de proteção à privacidade, qualquer cidadão brasileiro (ou residente estrangeiro) tem direito à proteção e privacidade de suas informações pessoais, incluindo a privacidade da correspondência, comunicação eletrônica e informações fiscais e bancárias. Em outras palavras, os órgãos governamentais não estão autorizados a acessar dados pessoais sem uma ordem judicial que os autorize a fazê-lo.

Figura 2: Símbolo DMS.

Existe alguma regulamentação em relação aos pagamentos eletrônicos?

O Sistema de Pagamento Brasileiro (SPB) e a regulamentação aplicável às instituições de pagamento estão em constante discussão com o Banco Central do Brasil (BACEN) desde a reforma do sistema em 2002. Como resultado dessa reforma, a Lei Foi editada a nº 12.865, de 09 de outubro de 2013 (Lei 12.865), que estabeleceu que o SPB está sob a supervisão e regulamentação do BACEN. As regulamentações do BACEN atualmente em vigor para regulamentar o SPB são a Circular nº 3.682, de 4 de novembro de 2013, e a Circular nº 3.885, de 26 de março de 2018. Para operar no SPB, qualquer instituição de pagamento deve obter autorização prévia do brasileiro Banco Central ( Banco Central do Brasil) (BACEN) e também estão sujeitas à legislação brasileira, incluindo todas as regulamentações pertinentes do BACEN.

O BACEN, enquanto fiscaliza o SPB, monitora constantemente o setor de pagamentos. A supervisão inclui o monitoramento de aspectos relacionados a:

• Eficiência e segurança dos sistemas de pagamento de varejo.

• Existência de concorrência nos serviços prestados.

• Intensidade de cooperação entre infraestruturas de mercado.

A inovação no desenvolvimento de novos produtos que atendam às necessidades dos usuários finais também é levada em consideração.

Com esse objetivo, o BACEN coleta informações e dados relativos à utilização de cartões de pagamento (crédito, débito e pré-pago) junto aos demais instrumentos de pagamento utilizados no setor. Os seguintes são monitorados:

• Uso de canais de acesso, por exemplo, caixas eletrônicos, internet, home e office banking, call centers, telefones celulares e correspondentes bancários.

• A política de preços, apoiando os FMIs, os níveis de cooperação e interoperabilidade entre as infraestruturas de mercado.

Nesse sentido, a Lei nº 12.865 prevê que o BACEN poderá solicitar às instituições de pagamento a divulgação de quaisquer documentos, livros de registro e informações, inclusive dados armazenados em sistemas eletrônicos, para fins de fiscalização das instituições de pagamento.

Além disso, as instituições de pagamento que operam no Brasil devem implementar certas estruturas de gerenciamento de risco, conforme descrito na Circular BACEN nº 3.681, de 4 de novembro de 2013. Ela prevê que tais estruturas de gerenciamento de risco devem incluir mecanismos de proteção para:

• Dados armazenados, processados e transferidos.

• Autenticação de usuários e autorização de transações de pagamento.

• O monitoramento e a autorização de transações de pagamento com o objetivo de prevenir fraudes.

• Identificar e bloquear em tempo hábil transações de pagamento suspeitas.

• Notificações para usuários em relação a transações de pagamento bloqueadas.

• Um mecanismo que permite aos usuários verificar se suas transações de pagamento são realizadas corretamente.

Todos os documentos relativos a essas informações devem estar sempre à disposição do BACEN.

Se o site for voltado para crianças, existem regras ou orientações específicas que se aplicam?

Não existem regras específicas para sites destinados a crianças. Existem, no entanto, regras para a publicidade dirigida a crianças. A seção 37 do Código Brasileiro de Autorregulamentação Publicitária fornece diretrizes para os anunciantes em relação à publicidade infantil, como a proibição de qualquer propaganda que incentive comportamento socialmente repreensível ou discriminação. Esses parâmetros podem ser considerados aplicáveis a sites destinados a crianças também.

Os sites destinados a crianças não podem conter referências a determinados setores e produtos destinados ao público adulto (bebidas alcoólicas, tabaco, armas de fogo e assim por diante).

De acordo com a legislação brasileira, menor de 16 anos é totalmente incapaz. Uma pessoa com idade entre 16 e 18 anos é relativamente incapaz. As transações realizadas por uma pessoa totalmente incapaz são consideradas nulas e sem efeito. As transações realizadas por uma pessoa relativamente incapaz são consideradas válidas se essa pessoa for assistida por seus representantes legais (como seus pais).

Além disso, a LGPD prevê que o tratamento dos dados pessoais das crianças deve ser realizado no seu interesse superior, mediante consentimento específico e separado de pelo menos um dos pais ou do tutor legal.

Finalmente, os tribunais brasileiros determinaram que os pais são responsáveis por transações online realizadas por pessoas totalmente ou parcialmente incapazes quando fazem uso da conta dos pais em um determinado site ou aplicativo, tornando impossível para o site / aplicativo identificar que um menor de idade foi realmente responsável pela transação. Nesses casos, é responsabilidade dos pais supervisionar o uso da conta do site / app.

Há alguma limitação na vinculação a um site de terceiros e outras práticas, como framing, caching, spidering e o uso de metatags?

A Lei Brasileira da Internet criou um arcabouço legal, estabelecendo princípios, direitos e deveres para o uso da internet no Brasil. No entanto, não forneceu regulamentações detalhadas para a Internet. Não há, portanto, atualmente nenhuma limitação expressa sobre as limitações de link para um site de terceiros, ou outras práticas, como spidering, framing, cache ou usando metatags. No entanto, é possível impor limitações aplicando sistematicamente os princípios da Lei: a seção 3 reconhece princípios como privacidade e proteção de dados do usuário, neutralidade da rede, segurança e preservação de funcionalidade, entre outros. Tais princípios, reafirmados em toda a lei, moldam as limitações que podem ser aplicadas caso a caso, até que nova regulamentação seja emitida.

Especificamente em relação à lei de direitos autorais, no entanto, qualquer referência a conteúdo publicado em outro lugar deve exibir informações relacionadas à sua origem / autoria.

As instituições de pagamento que operam no Brasil devem implementar certas estruturas de gestão de risco, incluindo:

  • Mecanismos de proteção para dados armazenados, processados e transferidos.
  • Um mecanismo de autenticação de usuários e de autorização de transações de pagamento.
  • Mecanismo de monitorização e autorização de operações de pagamento com o objetivo de prevenir fraudes

Artigos Relacionados:

Dr. Adriano Hermida Maia (LinkedIn)

Advogado e sócio do escritório Hermida Maia, Docente, especialista em Crimes Digitais, Pós-Graduado em Processo Civil, Direito do Trabalho e Processo do Trabalho, MBA em Contabilidade & Direito Tributário com ênfase em risco fiscal.

Visite nosso site: https://hermidamaia.adv.br

Gostou do artigo? Deixe seu comentário, recomende e compartilhe.