ASPECTOS PRÁTICOS DE COMPLIANCE• Retenção de documentos relativos ao tratamento de dados pessoais, tais como: • (i) registos de atividades de processamento • (ii) DPIAs e

Lei Geral de Proteção de Dados – LGPD 0

LEI GERAL DE PROTEÇÃO DE DADOS – LGPD

ASPECTOS PRÁTICOS DE COMPLIANCE

29 de novembro de 2018

Paulo Lilla


BIG DATA, HIPERCONECTIVIDADE E PRIVACIDADE



2010 – Primeira Consulta Pública

2012 –Apresentação do Projeto de

Lei

2013 – Caso Edward Snowden (Vigilância

vs. Privacidade)

2014 – Marco Civil da Internet

2015 – Nova Consulta Pública

2018 – Escândalo Cambrige Analytica

e Facebook

2018 – entrada em vigor do

GDPR

2018 – pleito do Brasil de ingressar

na OCDE

CONTEXTO DA APROVAÇÃO DA LGPD


Dezenas de leis e regulamentos setoriais no Brasil, sem uniformidade e conflituosas.

• Marco Civil da Internet (microssistema para ambiente online).

• Lei do Cadastro Positivo

• Código de Defesa do Consumidor

• Lei de Acesso à Informação

• Lei do Sigilo Bancário

• Regulamentos setoriais (Anvisa, ANS, MS, Bacen, etc.)

A General Data Protection Regulation da EU (GDPR) entrou em vigor em maio, afetando consideravelmente negócios no

Brasil.

Lei Geral de Proteção de Dados (LGPD), sancionada em 14 de agosto de 2018, da Lei Geral de Proteção de Dados.

Entrará em vigor em 2020.

CENÁRIO REGULATÓRIO COMPLEXO


CONCEITOS IMPORTANTES


DADO PESSOAL (ART. 5º, I)

Dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável

CPF Endereço de IP

Elementos de identidade física, genética, social,

cultural etc.

Exemplos


DADO PESSOAL SENSÍVEL (ART. 5º, II)

Dado pessoal sensível

origem racial ou étnica

convicção religiosa

opinião política

filiação a sindicato ou a organização de caráter

religioso, filosófico ou político

dado referente à saúde ou à vida sexual

dado genético ou biométrico


Dado anonimizado: relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos

razoáveis e disponíveis na ocasião de seu tratamento.

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais

um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

ANONIMIZAÇÃO DE DADOS (ARTS. 5º, III, 5º, IX)

Dados anônimos não são dados pessoais!


Anonimização, “profiling” e possibilidade de reidentificação de indivíduos

Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo

de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com

esforços razoáveis, puder ser revertido (art. 12).

Esforços razoáveis: Custo, Tempo e Estado da Arte.

Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do

perfil comportamental de determinada pessoa natural, se identificada (art. 12, § 2º).

“O MITO DA ANONIMIZAÇÃO”


DADOS PUBLICAMENTE ACESSÍVEIS

Art. 7º, § 3º. O tratamento de dados pessoais

cujo acesso é público deve considerar a

finalidade, a boa-fé e o interesse público que

justificaram sua disponibilização.

• Poder Judiciário

• Receita Federal

• Cartórios

• Junta Comercial

Art. 7º, § 4º. É dispensada a exigência do

consentimento previsto no caput deste artigo

para os dados tornados manifestamente

públicos pelo titular, resguardados os direitos

do titular e os princípios previstos nesta Lei.

• Linkedin

• Facebook

• Instagram


Controlador: pessoa natural ou jurídica, de direitopúblico ou privado, a quem competem asdecisões referentes ao tratamento de dados pessoais.

Agentes de tratamentoAgentes de Tratamento

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem

as decisões referentes ao tratamento de dados pessoais

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o

tratamento de dados pessoais em nome do controlador

AGENTES DE TRATAMENTO DE DADOS


PRINCÍPIOS DA LGDP: O NORTE INTERPRETATIVO


PRINCÍPIOS E O EIXO INTERPRETATIVO DA LGPD (ART. 6º)

Finalidade: propósitos devem ser legítimos, específicos, explícitos e informados ao titular

Adequação: o tratamento deve ser compatível com as finalidades informadas ao

titular

Necessidade: tratamento limitado ao mínimo necessário

Livre acesso à forma e à duração do tratamento, bem

como à integralidade dos seus dados pessoais

Qualidade dos dados: exatidão, clareza, relevância e

atualização dos dados


Transparência: informações claras, precisas e facilmente acessíveis sobre a

realização do tratamento

Segurança: adoção de medidas técnicas e administrativas para proteção dos dados pessoais

Prevenção: adoção de medidas preventivas contra a ocorrência de eventuais

danos;

Não discriminação: proibição de tratamento de dados para

fins discriminatórios, ilícitos ou abusivos;

Responsabilização e prestação de contas

(accountability): adoção de medidas para o cumprimento das normas de proteção de

dados pessoais

PRINCÍPIOS E O EIXO INTERPRETATIVO DA LGPD (ART. 6º)


REQUISITOS LEGAIS PARA O TRATAMENTO DE DADOS


Consentimento livre, informado e inequívoco –de acordo com finalidade

Obrigação legal ou regulatória

Políticas públicas

Execução de contrato

Processo

Proteção da vida

Pesquisa

Legítimo interesse

Saúde

Proteção do crédito

REQUISITOS LEGAIS PARA O TRATAMENTO (ART. 7º)10 BASES LEGAIS


TRATAMENTO DE DADOS SENSÍVEIS


Consentimento específico e destacado

Obrigação legal ou regulatória

Políticas públicas

Execução de contrato

Processo

Proteção da vida

Pesquisa (garantida anonimização, se possível)

Saúde

Prevenção à fraude e segurança do titular

(identificação e autenticação)

BASES LEGAIS PARA O TRATAMENTO DE DADOS SENSÍVEIS (ART. 11º)


A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências (§ 3º).

É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular (§ 4º).

RESTRIÇÕES AO COMPARTILHAMENTO DE DADOS SENSÍVEIS (ART. 11)


DIREITOS DOS TITULARES


DIREITOS DOS TITULARES (ART. 9º)

Direito de acesso aos dados

Direito à retificação, cancelamento ou

exclusão dos dadosDireito de oposição

Direito de revogar o consentimento

fornecido

Direitos de informação e explicação

Direito à portabilidade

Direito de solicitar a revisão de decisões

automatizadas


“PROFILING” E DECISÕES AUTOMATIZADAS


“PROFILING” E DECISÕES AUTOMATIZADAS (ART. 20)

Tratamento automatizado de dados para definir determinados aspectos do perfilde um indivíduo (pessoal, profissional, de consumo, de crédito).

Utilização crescente de algoritmos para tomada de decisões automatizadas, inclusive com base no perfil comportamental.

Critérios obscuros podem resultar em decisões discriminatórias ou prejuízos ao titular de dados.


CAIXA PRETA DOS ALGORITMOS

Score de Crédito


DIREITO À REVISÃO DE DECISÕES AUTOMATIZADAS

“Art. 20. O titular dos dados tem direito a solicitar revisão, porpessoa natural, de decisões tomadas unicamente com baseem tratamento automatizado de dados pessoais que afetemseus interesses, inclusive de decisões destinadas a definir o seuperfil pessoal, profissional, de consumo e de crédito ou osaspectos de sua personalidade.

§ 1º O controlador deverá fornecer, sempre que solicitadas,informações claras e adequadas a respeito dos critérios e dosprocedimentos utilizados para a decisão automatizada,observados os segredos comercial e industrial.

§ 2º Em caso de não oferecimento de informações de que tratao § 1º deste artigo baseado na observância de segredocomercial e industrial, a autoridade nacional poderá realizarauditoria para verificação de aspectos discriminatórios emtratamento automatizado de dados pessoais.

Art. 21. Os dados pessoais referentes ao exercício regular dedireitos pelo titular não podem ser utilizados em seu prejuízo.”

Tipos de discriminação:

Discriminação por erro estatístico;

Discriminação por generalização (casosatípicos);

Discriminação pelo uso de informaçõessensíveis (e.g. Lei do Cadastro Positivo);

Discriminação por correlação inadequada(e.g., correlações esdrúxulas)


MEDIDAS DE SEGURANÇA DA INFORMAÇÃO



MEDIDAS DE SEGURANÇA E PRIVACY BY DESIGN E BY DEFAULT

• Envolvimento da área de TI

• (Pseudo)Anonimização• Criptografia

• Especialmente as hipóteses que legitimam cada tratamento de dados

• Podem ser exigidos pela autoridade de proteção de dados (atividades de risco)

• Medidas de segurança desde a concepção do produto ou serviço até a execução

Privacy bydesign/default

Data Protection

ImpactAssessment

(DPIA)

Segurança da informação

Registro de todas as

operações


Eventos que causem risco ou

dano relevante

Natureza dos dados pessoais afetados

Titulares dos dados

Riscos relacionados ao incidente

Medidas técnicas

mitigadoras

Ampla divulgação

COMUNICAÇÃO DE INCIDENTES (ART. 48)

Em prazo razoável


GOVERNANÇA, BOAS PRÁTICAS E COMPLIANCE


“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais,

individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam

as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares,

as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as

ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao

tratamento de dados pessoais.”

BOAS PRÁTICAS E GOVERNANÇA (ART. 50 DA LGPD)

“Art. 6º, X. Responsabilização e prestação de contas (accountability): demonstração, pelo agente, da adoção

de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados

pessoais e, inclusive, da eficácia dessas medidas.”


O programa de governança em privacidade deve, no mínimo (art. 50, I):

• Demonstrar o comprometimento do controlador em adotar processos e políticas internas de compliance em proteção de dados;

• Ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle;

• Ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

• Estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

• Ter o objetivo de estabelecer relação de confiança com o titular dos dados;

• Estar integrado a sua estrutura geral de governança com aplicação de mecanismos de supervisão internos e externos;

• Contar com planos de resposta a incidentes e remediação; e

• Ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

BOAS PRÁTICAS E GOVERNANÇA (ART. 50 DA LGPD)


DATA PROTECTION OFFICER (DPO)

Deverá ser nomeado o chamado “Encarregado de Dados Pessoais”, pessoa física responsável por garantir a conformidade da empresa com a LGPD.

• aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências;

• receber comunicações da autoridade de proteção de dados e adotar providências; e

• orientar os funcionários e os contratados da entidade sobre proteção de dados.

Deveres do Encarregado


Conscientizar stakeholders

sobre impactos da LGPD

Avaliação de riscos e medidas

necessárias para

adequação

Mapeamento e avaliação dos

dados objeto de tratamento

Abordagem holística para

determinar governança

Identificação das bases legais de

tratamento aplicáveis, registro

de atividades, gerenciamento dos

dados, notificações

Medidas de segurança da informação, privacy by

design/default

COMO SE ADEQUAR À LGPD?


Jurídico / Compliance

• Avaliação de riscos e penalidades;

• Elaboração de cláusulas contratuais, templates, revisão dos contratos vigentes (.e.g. com operadores de dados)

• Elaboração de DPAs

• Proteção de dados nas rotinas do jurídico

• Elaboração de políticas internas

• Avaliação da finalidade e necessidades de cada tratamento

• Avaliação das bases legais para cada tratamento

• Gerenciamento do consentimento e do ciclo de vida dos dados

• Elaboração de DPIA

• Planos de ação em incidentes

IT

• Medidas de segurança da informação;

• Recursos de tecnologia da informação

• Privacy by Design e by Default

• Criptografia;

• (Pseudo)anonimização de dados;

• Atuação no reporte e gestão de incidentes

Recursos Humanos

• Gerenciamento de Dados pessoais:

• funcionários;

• Diretores;

• Sócios;

• ex-funcionários;

• dados pessoais contidos em currículos

• Treinamentos

Marketing

• Dados pessoais de clientes

• Marketing direto

• Marketing indireto

• Profiling

• Aquisição de bases de dados pessoais

• Compartilhamento de dados pessoais com parceiros

GOVERNANÇA INTERNA


Elabore um DPIA para as atividades de tratamento que representam maiores

riscos

• O DPIA deve conter uma descrição do tratamento e de suas finalidades, uma avaliação da necessidade e proporcionalidade do tratamento, uma avaliação dos riscos para os titulares de dados, além de medidas previstas para mitigar os riscos e garantir o cumprimento com a LGPD

• Elaboração, preenchimento de documentos e questionários, normalmente pelo DPO, com a ajuda de diferentes áreas da empresa, com o objetivo de analisar como os dados são utilizados em todo seu ciclo de vida e os riscos envolvidos

• Obrigatório nos casos de exceções de segurança e defesa nacional, de tratamento com base no legítimo interesse do controlador e de tratamento pelo Poder Publico, quando assim a autoridade de proteção de dados determinar

• Autoridade de proteção de dados deverá regular as situações em que o DPIA será obrigatório

Desenvolva procedimentos internos para garantir elevado nível de proteção de

dados pessoais

• Políticas claras de gerenciamento de direitos dos titulares, de consentimento, de mitigação de incidentes de segurança, dentre outros

• Procedimentos devem envolver todas as áreas da empresa afetadas pelos riscos de tratamento de dados pessoais

• Procedimentos devem antecipar possíveis incidentes, e não se limitar apenas à mitigação dos riscos após sua ocorrência

• Treinamentos

• Medidas de privacy by design e privacy by default

Documente todas as atividades de tratamento para demonstrar cumprimento

com a LGPD

• Retenção de documentos relativos ao tratamento de dados pessoais, tais como:

• (i) registos de atividades de processamento

• (ii) DPIAs e documentos relativos a transferências internacionais;

• (iii) documentos de transparência, tais como avisos de privacidade, formulários de consentimento, procedimentos para o exercício dos direitos do titular dos dados;

• (iv) acordos que definem as funções e responsabilidades de cada parte interessada, incluindo acordos de tratamento de dados, procedimentos internos em caso de incidentes de segurança, prova de consentimento quando o tratamento for baseado no consentimento do titular de dados

COMPLIANCE EM PROTEÇÃO DE DADOS: PASSO A PASSO


Nomeie um DPO para liderar o processo de adaptação e cumprimento da LGPD

• DPO ou “Encarregado de Proteção de Dados” é a pessoa física responsável por garantir a conformidade da organização com a LGPD

• Indicação obrigatória nos termos da LGPD, mas a autoridade de proteção de dados deve estabelecer os casos de obrigatoriedade (e.g., porte da empresa, tratamento em larga escala, etc.)

• Cabe ao DPO:

• aceitar reclamações dos titulares de dados, prestar esclarecimentos e adotar providências

• receber comunicações da autoridade de proteção de dados e adotar providências

• orientar os funcionários e os contratados da entidade sobre proteção de dados

Realize um mapeamento dos dados pessoais

• Quem? Identificar o controlador dos dados, as pessoas responsáveis pelo tratamento e o operador de dados

• O que? Categorias de dados tratados pela empresa: dados sensíveis, etc.

• Por que? Identificar as finalidades de cada tratamento de dados

• Onde? Local onde os dados estão armazenados, data centers, cloud, transferências internacionais

• Quanto tempo? Definir prazos para retenção de dados

• Como? Medidas de segurança disponíveis

Identifique as ações e medidas necessárias baseadas nos riscos

• Assegurar que apenas os dados estritamente necessários para as finalidades identificadas sejam coletados e tratados

• Identificar a base legal para cada atividade de tratamento

• Implementar política de notificações ou revisar as notificações existentes, se for o caso

• Assegurar que os operadores de dados conheçam as suas novas obrigações e responsabilidades e que os DPAs contenham as disposições adequadas em matéria de segurança, confidencialidade e proteção de dados

• Verificar como titulares de dados poderão exercer seus direitos e definir políticas específicas

• Verificar medidas de segurança

• Cautela especial com dados sensíveis

COMPLIANCE EM PROTEÇÃO DE DADOS: PASSO A PASSO


SANÇÕES


SANÇÕES A SEREM IMPOSTAS EM CASO DE VIOLAÇÃO (ART. 52º)

Advertência

Multa de até

2% do faturamento, limitada a R$ 50

milhões, por infração

Divulgação da infração

Bloqueio dos dados pessoais

Eliminação de dados

pessoais


AUTORIDADE DE PROTEÇÃO DE DADOS


Veto presidencial quando da aprovação da lei

ANDP é necessária para o enforcement da lei

Possível criação por Medida Provisória em breve

Principais Competências:• zelar pela proteção dos dados pessoais, • fiscalizar e aplicar sanções em caso de descumprimento da legislação• atender petições de titulares de dados contra os agentes de tratamento• editar regulamentos e procedimentos sobre proteção de dados• realizar ou determinar a realização de auditorias

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)


Rua Tabapuã, 1227 14º andar 04533-014 São Paulo SP Brasil www.lefosse.com

Avenida Presidente Wilson, 231 conj. 270320030-905 Rio de Janeiro RJ Brasilwww.lefosse.com

Documents

ASPECTOS PRÁTICOS DE COMPLIANCE• Retenção de documentos relativos ao tratamento de dados pessoais, tais como: • (i) registos de atividades de processamento • (ii) DPIAs e