Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Lei Geral de Proteção de Dados – LGPD 0
LEI GERAL DE PROTEÇÃO DE DADOS – LGPD
ASPECTOS PRÁTICOS DE COMPLIANCE
29 de novembro de 2018
Paulo Lilla
Lei Geral de Proteção de Dados – LGPD 1
BIG DATA, HIPERCONECTIVIDADE E PRIVACIDADE
Lei Geral de Proteção de Dados – LGPD 2
Lei Geral de Proteção de Dados – LGPD 3
2010 – Primeira Consulta Pública
2012 –Apresentação do Projeto de
Lei
2013 – Caso Edward Snowden (Vigilância
vs. Privacidade)
2014 – Marco Civil da Internet
2015 – Nova Consulta Pública
2018 – Escândalo Cambrige Analytica
e Facebook
2018 – entrada em vigor do
GDPR
2018 – pleito do Brasil de ingressar
na OCDE
CONTEXTO DA APROVAÇÃO DA LGPD
Lei Geral de Proteção de Dados – LGPD 4
Dezenas de leis e regulamentos setoriais no Brasil, sem uniformidade e conflituosas.
• Marco Civil da Internet (microssistema para ambiente online).
• Lei do Cadastro Positivo
• Código de Defesa do Consumidor
• Lei de Acesso à Informação
• Lei do Sigilo Bancário
• Regulamentos setoriais (Anvisa, ANS, MS, Bacen, etc.)
A General Data Protection Regulation da EU (GDPR) entrou em vigor em maio, afetando consideravelmente negócios no
Brasil.
Lei Geral de Proteção de Dados (LGPD), sancionada em 14 de agosto de 2018, da Lei Geral de Proteção de Dados.
Entrará em vigor em 2020.
CENÁRIO REGULATÓRIO COMPLEXO
Lei Geral de Proteção de Dados – LGPD 5
CONCEITOS IMPORTANTES
Lei Geral de Proteção de Dados – LGPD 6
DADO PESSOAL (ART. 5º, I)
Dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável
CPF Endereço de IP
Elementos de identidade física, genética, social,
cultural etc.
Exemplos
Lei Geral de Proteção de Dados – LGPD 7
DADO PESSOAL SENSÍVEL (ART. 5º, II)
Dado pessoal sensível
origem racial ou étnica
convicção religiosa
opinião política
filiação a sindicato ou a organização de caráter
religioso, filosófico ou político
dado referente à saúde ou à vida sexual
dado genético ou biométrico
Lei Geral de Proteção de Dados – LGPD 8
Dado anonimizado: relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais
um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
ANONIMIZAÇÃO DE DADOS (ARTS. 5º, III, 5º, IX)
Dados anônimos não são dados pessoais!
Lei Geral de Proteção de Dados – LGPD 9
Anonimização, “profiling” e possibilidade de reidentificação de indivíduos
Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo
de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com
esforços razoáveis, puder ser revertido (art. 12).
Esforços razoáveis: Custo, Tempo e Estado da Arte.
Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do
perfil comportamental de determinada pessoa natural, se identificada (art. 12, § 2º).
“O MITO DA ANONIMIZAÇÃO”
Lei Geral de Proteção de Dados – LGPD 10
DADOS PUBLICAMENTE ACESSÍVEIS
Art. 7º, § 3º. O tratamento de dados pessoais
cujo acesso é público deve considerar a
finalidade, a boa-fé e o interesse público que
justificaram sua disponibilização.
• Poder Judiciário
• Receita Federal
• Cartórios
• Junta Comercial
Art. 7º, § 4º. É dispensada a exigência do
consentimento previsto no caput deste artigo
para os dados tornados manifestamente
públicos pelo titular, resguardados os direitos
do titular e os princípios previstos nesta Lei.
Lei Geral de Proteção de Dados – LGPD 11
Controlador: pessoa natural ou jurídica, de direitopúblico ou privado, a quem competem asdecisões referentes ao tratamento de dados pessoais.
Agentes de tratamentoAgentes de Tratamento
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem
as decisões referentes ao tratamento de dados pessoais
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador
AGENTES DE TRATAMENTO DE DADOS
Lei Geral de Proteção de Dados – LGPD 12
PRINCÍPIOS DA LGDP: O NORTE INTERPRETATIVO
Lei Geral de Proteção de Dados – LGPD 13
PRINCÍPIOS E O EIXO INTERPRETATIVO DA LGPD (ART. 6º)
Finalidade: propósitos devem ser legítimos, específicos, explícitos e informados ao titular
Adequação: o tratamento deve ser compatível com as finalidades informadas ao
titular
Necessidade: tratamento limitado ao mínimo necessário
Livre acesso à forma e à duração do tratamento, bem
como à integralidade dos seus dados pessoais
Qualidade dos dados: exatidão, clareza, relevância e
atualização dos dados
Lei Geral de Proteção de Dados – LGPD 14
Transparência: informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento
Segurança: adoção de medidas técnicas e administrativas para proteção dos dados pessoais
Prevenção: adoção de medidas preventivas contra a ocorrência de eventuais
danos;
Não discriminação: proibição de tratamento de dados para
fins discriminatórios, ilícitos ou abusivos;
Responsabilização e prestação de contas
(accountability): adoção de medidas para o cumprimento das normas de proteção de
dados pessoais
PRINCÍPIOS E O EIXO INTERPRETATIVO DA LGPD (ART. 6º)
Lei Geral de Proteção de Dados – LGPD 15
REQUISITOS LEGAIS PARA O TRATAMENTO DE DADOS
Lei Geral de Proteção de Dados – LGPD 16
Consentimento livre, informado e inequívoco –de acordo com finalidade
Obrigação legal ou regulatória
Políticas públicas
Execução de contrato
Processo
Proteção da vida
Pesquisa
Legítimo interesse
Saúde
Proteção do crédito
REQUISITOS LEGAIS PARA O TRATAMENTO (ART. 7º)10 BASES LEGAIS
Lei Geral de Proteção de Dados – LGPD 17
TRATAMENTO DE DADOS SENSÍVEIS
Lei Geral de Proteção de Dados – LGPD 18
Consentimento específico e destacado
Obrigação legal ou regulatória
Políticas públicas
Execução de contrato
Processo
Proteção da vida
Pesquisa (garantida anonimização, se possível)
Saúde
Prevenção à fraude e segurança do titular
(identificação e autenticação)
BASES LEGAIS PARA O TRATAMENTO DE DADOS SENSÍVEIS (ART. 11º)
Lei Geral de Proteção de Dados – LGPD 19
A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências (§ 3º).
É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular (§ 4º).
RESTRIÇÕES AO COMPARTILHAMENTO DE DADOS SENSÍVEIS (ART. 11)
Lei Geral de Proteção de Dados – LGPD 20
DIREITOS DOS TITULARES
Lei Geral de Proteção de Dados – LGPD 21
DIREITOS DOS TITULARES (ART. 9º)
Direito de acesso aos dados
Direito à retificação, cancelamento ou
exclusão dos dadosDireito de oposição
Direito de revogar o consentimento
fornecido
Direitos de informação e explicação
Direito à portabilidade
Direito de solicitar a revisão de decisões
automatizadas
Lei Geral de Proteção de Dados – LGPD 22
“PROFILING” E DECISÕES AUTOMATIZADAS
Lei Geral de Proteção de Dados – LGPD 23
“PROFILING” E DECISÕES AUTOMATIZADAS (ART. 20)
Tratamento automatizado de dados para definir determinados aspectos do perfilde um indivíduo (pessoal, profissional, de consumo, de crédito).
Utilização crescente de algoritmos para tomada de decisões automatizadas, inclusive com base no perfil comportamental.
Critérios obscuros podem resultar em decisões discriminatórias ou prejuízos ao titular de dados.
Lei Geral de Proteção de Dados – LGPD 24
CAIXA PRETA DOS ALGORITMOS
Score de Crédito
Lei Geral de Proteção de Dados – LGPD 25
DIREITO À REVISÃO DE DECISÕES AUTOMATIZADAS
“Art. 20. O titular dos dados tem direito a solicitar revisão, porpessoa natural, de decisões tomadas unicamente com baseem tratamento automatizado de dados pessoais que afetemseus interesses, inclusive de decisões destinadas a definir o seuperfil pessoal, profissional, de consumo e de crédito ou osaspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas,informações claras e adequadas a respeito dos critérios e dosprocedimentos utilizados para a decisão automatizada,observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que tratao § 1º deste artigo baseado na observância de segredocomercial e industrial, a autoridade nacional poderá realizarauditoria para verificação de aspectos discriminatórios emtratamento automatizado de dados pessoais.
Art. 21. Os dados pessoais referentes ao exercício regular dedireitos pelo titular não podem ser utilizados em seu prejuízo.”
Tipos de discriminação:
Discriminação por erro estatístico;
Discriminação por generalização (casosatípicos);
Discriminação pelo uso de informaçõessensíveis (e.g. Lei do Cadastro Positivo);
Discriminação por correlação inadequada(e.g., correlações esdrúxulas)
Lei Geral de Proteção de Dados – LGPD 26
MEDIDAS DE SEGURANÇA DA INFORMAÇÃO
Lei Geral de Proteção de Dados – LGPD 27
Lei Geral de Proteção de Dados – LGPD 28
MEDIDAS DE SEGURANÇA E PRIVACY BY DESIGN E BY DEFAULT
• Envolvimento da área de TI
• (Pseudo)Anonimização• Criptografia
• Especialmente as hipóteses que legitimam cada tratamento de dados
• Podem ser exigidos pela autoridade de proteção de dados (atividades de risco)
• Medidas de segurança desde a concepção do produto ou serviço até a execução
Privacy bydesign/default
Data Protection
ImpactAssessment
(DPIA)
Segurança da informação
Registro de todas as
operações
Lei Geral de Proteção de Dados – LGPD 29
Eventos que causem risco ou
dano relevante
Natureza dos dados pessoais afetados
Titulares dos dados
Riscos relacionados ao incidente
Medidas técnicas
mitigadoras
Ampla divulgação
COMUNICAÇÃO DE INCIDENTES (ART. 48)
Em prazo razoável
Lei Geral de Proteção de Dados – LGPD 30
GOVERNANÇA, BOAS PRÁTICAS E COMPLIANCE
Lei Geral de Proteção de Dados – LGPD 31
“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais,
individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam
as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares,
as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as
ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao
tratamento de dados pessoais.”
BOAS PRÁTICAS E GOVERNANÇA (ART. 50 DA LGPD)
“Art. 6º, X. Responsabilização e prestação de contas (accountability): demonstração, pelo agente, da adoção
de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.”
Lei Geral de Proteção de Dados – LGPD 32
O programa de governança em privacidade deve, no mínimo (art. 50, I):
• Demonstrar o comprometimento do controlador em adotar processos e políticas internas de compliance em proteção de dados;
• Ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle;
• Ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
• Estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
• Ter o objetivo de estabelecer relação de confiança com o titular dos dados;
• Estar integrado a sua estrutura geral de governança com aplicação de mecanismos de supervisão internos e externos;
• Contar com planos de resposta a incidentes e remediação; e
• Ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
BOAS PRÁTICAS E GOVERNANÇA (ART. 50 DA LGPD)
Lei Geral de Proteção de Dados – LGPD 33
DATA PROTECTION OFFICER (DPO)
Deverá ser nomeado o chamado “Encarregado de Dados Pessoais”, pessoa física responsável por garantir a conformidade da empresa com a LGPD.
• aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade de proteção de dados e adotar providências; e
• orientar os funcionários e os contratados da entidade sobre proteção de dados.
Deveres do Encarregado
Lei Geral de Proteção de Dados – LGPD 34
Conscientizar stakeholders
sobre impactos da LGPD
Avaliação de riscos e medidas
necessárias para
adequação
Mapeamento e avaliação dos
dados objeto de tratamento
Abordagem holística para
determinar governança
Identificação das bases legais de
tratamento aplicáveis, registro
de atividades, gerenciamento dos
dados, notificações
Medidas de segurança da informação, privacy by
design/default
COMO SE ADEQUAR À LGPD?
Lei Geral de Proteção de Dados – LGPD 35
Jurídico / Compliance
• Avaliação de riscos e penalidades;
• Elaboração de cláusulas contratuais, templates, revisão dos contratos vigentes (.e.g. com operadores de dados)
• Elaboração de DPAs
• Proteção de dados nas rotinas do jurídico
• Elaboração de políticas internas
• Avaliação da finalidade e necessidades de cada tratamento
• Avaliação das bases legais para cada tratamento
• Gerenciamento do consentimento e do ciclo de vida dos dados
• Elaboração de DPIA
• Planos de ação em incidentes
IT
• Medidas de segurança da informação;
• Recursos de tecnologia da informação
• Privacy by Design e by Default
• Criptografia;
• (Pseudo)anonimização de dados;
• Atuação no reporte e gestão de incidentes
Recursos Humanos
• Gerenciamento de Dados pessoais:
• funcionários;
• Diretores;
• Sócios;
• ex-funcionários;
• dados pessoais contidos em currículos
• Treinamentos
Marketing
• Dados pessoais de clientes
• Marketing direto
• Marketing indireto
• Profiling
• Aquisição de bases de dados pessoais
• Compartilhamento de dados pessoais com parceiros
GOVERNANÇA INTERNA
Lei Geral de Proteção de Dados – LGPD 36
Elabore um DPIA para as atividades de tratamento que representam maiores
riscos
• O DPIA deve conter uma descrição do tratamento e de suas finalidades, uma avaliação da necessidade e proporcionalidade do tratamento, uma avaliação dos riscos para os titulares de dados, além de medidas previstas para mitigar os riscos e garantir o cumprimento com a LGPD
• Elaboração, preenchimento de documentos e questionários, normalmente pelo DPO, com a ajuda de diferentes áreas da empresa, com o objetivo de analisar como os dados são utilizados em todo seu ciclo de vida e os riscos envolvidos
• Obrigatório nos casos de exceções de segurança e defesa nacional, de tratamento com base no legítimo interesse do controlador e de tratamento pelo Poder Publico, quando assim a autoridade de proteção de dados determinar
• Autoridade de proteção de dados deverá regular as situações em que o DPIA será obrigatório
Desenvolva procedimentos internos para garantir elevado nível de proteção de
dados pessoais
• Políticas claras de gerenciamento de direitos dos titulares, de consentimento, de mitigação de incidentes de segurança, dentre outros
• Procedimentos devem envolver todas as áreas da empresa afetadas pelos riscos de tratamento de dados pessoais
• Procedimentos devem antecipar possíveis incidentes, e não se limitar apenas à mitigação dos riscos após sua ocorrência
• Treinamentos
• Medidas de privacy by design e privacy by default
Documente todas as atividades de tratamento para demonstrar cumprimento
com a LGPD
• Retenção de documentos relativos ao tratamento de dados pessoais, tais como:
• (i) registos de atividades de processamento
• (ii) DPIAs e documentos relativos a transferências internacionais;
• (iii) documentos de transparência, tais como avisos de privacidade, formulários de consentimento, procedimentos para o exercício dos direitos do titular dos dados;
• (iv) acordos que definem as funções e responsabilidades de cada parte interessada, incluindo acordos de tratamento de dados, procedimentos internos em caso de incidentes de segurança, prova de consentimento quando o tratamento for baseado no consentimento do titular de dados
COMPLIANCE EM PROTEÇÃO DE DADOS: PASSO A PASSO
Lei Geral de Proteção de Dados – LGPD 37
Nomeie um DPO para liderar o processo de adaptação e cumprimento da LGPD
• DPO ou “Encarregado de Proteção de Dados” é a pessoa física responsável por garantir a conformidade da organização com a LGPD
• Indicação obrigatória nos termos da LGPD, mas a autoridade de proteção de dados deve estabelecer os casos de obrigatoriedade (e.g., porte da empresa, tratamento em larga escala, etc.)
• Cabe ao DPO:
• aceitar reclamações dos titulares de dados, prestar esclarecimentos e adotar providências
• receber comunicações da autoridade de proteção de dados e adotar providências
• orientar os funcionários e os contratados da entidade sobre proteção de dados
Realize um mapeamento dos dados pessoais
• Quem? Identificar o controlador dos dados, as pessoas responsáveis pelo tratamento e o operador de dados
• O que? Categorias de dados tratados pela empresa: dados sensíveis, etc.
• Por que? Identificar as finalidades de cada tratamento de dados
• Onde? Local onde os dados estão armazenados, data centers, cloud, transferências internacionais
• Quanto tempo? Definir prazos para retenção de dados
• Como? Medidas de segurança disponíveis
Identifique as ações e medidas necessárias baseadas nos riscos
• Assegurar que apenas os dados estritamente necessários para as finalidades identificadas sejam coletados e tratados
• Identificar a base legal para cada atividade de tratamento
• Implementar política de notificações ou revisar as notificações existentes, se for o caso
• Assegurar que os operadores de dados conheçam as suas novas obrigações e responsabilidades e que os DPAs contenham as disposições adequadas em matéria de segurança, confidencialidade e proteção de dados
• Verificar como titulares de dados poderão exercer seus direitos e definir políticas específicas
• Verificar medidas de segurança
• Cautela especial com dados sensíveis
COMPLIANCE EM PROTEÇÃO DE DADOS: PASSO A PASSO
Lei Geral de Proteção de Dados – LGPD 38
SANÇÕES
Lei Geral de Proteção de Dados – LGPD 39
SANÇÕES A SEREM IMPOSTAS EM CASO DE VIOLAÇÃO (ART. 52º)
Advertência
Multa de até
2% do faturamento, limitada a R$ 50
milhões, por infração
Divulgação da infração
Bloqueio dos dados pessoais
Eliminação de dados
pessoais
Lei Geral de Proteção de Dados – LGPD 40
AUTORIDADE DE PROTEÇÃO DE DADOS
Lei Geral de Proteção de Dados – LGPD 41
Veto presidencial quando da aprovação da lei
ANDP é necessária para o enforcement da lei
Possível criação por Medida Provisória em breve
Principais Competências:• zelar pela proteção dos dados pessoais, • fiscalizar e aplicar sanções em caso de descumprimento da legislação• atender petições de titulares de dados contra os agentes de tratamento• editar regulamentos e procedimentos sobre proteção de dados• realizar ou determinar a realização de auditorias
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)
Lei Geral de Proteção de Dados – LGPD 42
Rua Tabapuã, 1227 14º andar 04533-014 São Paulo SP Brasil www.lefosse.com
Avenida Presidente Wilson, 231 conj. 270320030-905 Rio de Janeiro RJ Brasilwww.lefosse.com