Embed Size (px)
Citation preview
A LGPD E OS DADOS PESSOAIS NA ÁREA DA PREVIDÊNCIA
COMPLEMENTAR
IMPACTO NAS BOAS PRÁTICAS E NA GOVERNANÇA DAS ENTIDADES DE PREVIDÊNCIA
RUBIA FERRÃO 1❖ Advogada atuante na advocacia consultiva, preventiva e contenciosa, com ênfase em Direito Digital.❖ Sócia do Pigão, Ferrão e Fioravante Sociedade de Advogados.❖ Mestranda em Direito Civil pela USP e Especialista em Direito Constitucional pela PUC/SP.❖ Professora do curso de Especialização em Computação Forense e Segurança e Inteligência Cibernética, ambos do
Mackenzie, do Curso de Direito Digital e Cibercrimes da FMU, do curso de Direito Digital do CERS e do curso deInvestigações Internas & Contrainteligência Corporativa da ESENI/Instituto ARC.
❖ Coordenadora da Coordenadoria de Proteção de Dados da OAB/SP (2018). Membro efetivo das Comissões deDireito Digital e Compliance; Propriedade Intelectual e de Direito do Entretenimento; e Combate à Pirataria daOAB/SP (2018).
❖ Professora da Faculdade de Direito da Universidade São Francisco (20019-2016) e do Curso de Especializaçãoem Direito Eletrônico da UNIGRAN (2009/2012).
❖ Professora convidada de algumas instituições de ensino como USP, FGV, EPD, FIA, ESTÁCIO, AASP,FEBRABAN, FUTURE LAW e UNICID.
❖ Indicada como advogada mais admirada de 2017, pela Revista Análise Advocacia 500, pelos serviçosespecializados prestados.
❖ Currículo Plataforma Lattes: http://lattes.cnpq.br/6919075258032289
Por que se preocupar com a proteção de dados? 1
Por que se preocupar com a proteção de dados? 2
3Visão Geral da LGPD
FUNDAMENTOSAPLICAÇÃO
EXCEÇÕES
CONCEITOS
PRINCÍPIOS
HIPÓTESES DE
TRATAMENTO DE DADOS
PESSOAIS
TRANSFERÊNCIA
INTERNACIONAL
LEGÍTIMO
INTERESSEDADOS SENSÍVEIS
DADOS ANONIMIZADOS
DADOS DE CRIANÇA E
ADOLESCENTE
DIREITOS
PODER PÚBLICO
RESPONSABILIDADE
CONSENTIMENTO
SEGURANÇA E SIGILO BOAS PRÁTICAS E
GOVERNANÇA
Aplicação (Art. 3º)
✓ Tratamento realizadono Brasil
✓Oferta oufornecimento de bensou serviços aindivíduos no Brasil
✓Dados coletados noBrasil
Exceções (Art. 4º)
✓ Tratamento realizado porpessoa natural para finsparticulares e não econômicos
✓Tratamento realizado para finsjornalísticos, artísticos,acadêmicos, segurança pública,defesa nacional, segurança deEstado ou atividade deinvestigação e repressão deinfrações penais.
Os dados anonimizados não serão considerados dados pessoais (artigo 12)
4
✓Dados cadastrais (RG, CPF,endereço etc.)
✓Fotografias
✓Logs
✓Cookies
✓ Salário
✓Qualificação pessoal
✓Características pessoais etc.
O que é dado pessoal???
O que é dado sensível???
✓Origem Racial ou étnica✓Convicção religiosa✓Opinião Política✓Filiação a Sindicato✓ Organização de caráter religioso,filosófico ou político✓Saúde✓Vida sexual✓Dados genéticos✓Dados biométricos
“informação relacionada a pessoa natural identificada ouidentificável”
5
➢Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
➢Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção,recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação,comunicação, transferência, difusão ou extração;
➢Agentes de tratamento:
a. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quemcompetem as decisões referentes ao tratamento de dados pessoais;
b. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza otratamento de dados pessoais em nome do controlador, de acordo com suas instruções;
a. Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicaçãoentre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
Conceitos Principais (Art. 5º) 6
7
8
Princípios vetores
FINALIDADE Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades.
ADEQUAÇÃO Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
NECESSIDADE Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de dados.
LIVRE ACESSO Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade
de seus dados pessoais.
QUALIDADE DOS DADOS Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento
da finalidade de seu tratamento.
TRANSPARÊNCIA Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comercial e industrial.
SEGURANÇA Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
PREVENÇÃO Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
NÃO DISCRIMINAÇÃO Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
RESPONSABILIZAÇÃO E
PRESTAÇÃO DE CONTAS
Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.
9
Direitos do Titular
CONFIRMAÇÃO Confirmação da existência de tratamento
ACESSO Acesso aos dados
CORREÇÃO Correção de dados incompletos, inexatos ou desatualizados
ANONIMIZAÇÃO Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o
disposto nesta Lei
PORTABILIDADE Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os
segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
ELIMINAÇÃO Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas seguintes hipóteses: a)
cumprimento de obrigação legal ou regulatória pelo controlador; b) estudo por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais; c) transferência a terceiro, respeitados os requisitos legais de
tratamento de dados; ou d) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
dados
INFORMAÇÃO Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
CONSENTIMENTO Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
REVOGAÇÃO Revogação do consentimento
10
I. Mediante consentimento do titular;
II. Para cumprimento de obrigação legal ou regulatória do controlador;
III. Para execução de políticas públicas pela administração pública;
IV. Para realização de estudos por órgãos de pesquisa;
V. Quando necessário para execução de contrato ou procedimentos preliminares a um contratodo qual seja parte o titular, a pedido do titular;
VI. Para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
VII. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII. Para tutela da saúde, com procedimento realizado por profissionais da área da saúde ou porentidades sanitárias;
IX. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro,salvo quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteçãode seus dados pessoais; e
X. Para proteção do crédito.
Bases legais para o tratamento (Art. 7º) 11
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leisou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dadospessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termosda Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro emsistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos eliberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Bases legais para o tratamento de dados sensíveis (Art. 11º) 12
Programa de Governança em Privacidade 13
✓Implementação de medidas de segurança
✓Revisão dos contratos com clientes, Termos de Uso e Políticas de Privacidade
✓Regulamento interno e termo individual de aderência
✓ Acordos de Sigilo e Confidencialidade
✓O Controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
✓Formalização das diretrizes do Controlador ao Operador
✓Treinamentos
http://www.stj.jus.br/sites/STJ/default/pt_BR/Comunica%C3%A7%C3%A3o/noticias/Not%C3%ADcias/%C3%89-abusiva-cl%C3%A1usula-que-obriga-cliente-de-cart%C3%A3o-de-cr%C3%A9dito-a-fornecer-dados-a-terceiros
Cláusula Abusiva – RESP 1348532
“A partir da exposição de dadosde sua vida financeira, abre-seleque gigantesco paraintromissões diversas na vidado consumidor. Conhecem-seseus hábitos, monitora-se suamaneira de viver e a formacomo seu dinheiro é gasto. Porisso a imprescindibilidadeda autorização real eespontânea quanto a essaexposição”, afirmou o relatordo recurso especial, ministroLuis Felipe Salomão.
14
I - a gravidade e a natureza das infrações e dosdireitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida peloinfrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
Parâmetros e critérios para as Sanções (art.52, §1º)
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada demecanismos e procedimentos internos capazesde minimizar o dano, voltados ao tratamentoseguro e adequado de dados, em consonância com odisposto no inciso II do § 2o do art. 48 desta Lei;
IX - a adoção de política de boas práticas egovernança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e aintensidade da sanção.
15
Data Protection Compliance Lei 13.709/2018 – Proteção de Dados
Reunir equipes e mapear operaçõesinternas de tratamento de dados.
Levantar quais dados são guardaobrigatória de acordo com o segmentode atuação.
Garantir os direitos assegurados aotitular dos dados com adequação dasferramentas sistêmicas.
Rever Políticas de Privacidade,principalmente para colocar emdestaque cláusulas de direito do titulardos dados.
Rever Contratos com colaboradores eterceiros que façam tratamento dedados.
01
02
03
0404
05
Avaliar os mecanismos de segurança das basesde dados documentando as técnicas utilizadas.
Estruturar equipes internas com indicação dosagentes de tratamento de dados pessoais.
Verificar quais serão as providênciasnecessárias para o tratamento dos dados estejacom conformidade com as hipóteses legais.
Desenvolver relatório de impacto à proteçãode dados, assim como regras de boas práticas ede governança quanto ao tratamento dosdados.
Realizar treinamentos periódicos paraassegurar as boas práticas no tratamento dosdados pessoais.
06
07
08
09
10
