CYBERSECURITY: IMPACTOS DA ... - ahkbrasilien.com.br · • Marco Civil da Internet - Lei nº 12.965/2014: ... • Restrição ao uso de algoritmos para decisão. • Obrigatoriedade

CYBERSECURITY:

IMPACTOS DA

REGULAÇÃO GERAL

DE PROTEÇÃO DE DADOS

Aspectos Jurídicos

Responsabilidades e Consequências

PARTE 1O QUE PROTEGER?

© K. Klempp Franco e L. F. P. Andrade, 2018

O QUE PROTEGER?

Fatos sobre a pessoa

Fatos sobre a empresa

Segredos de negócio

Informações confidenciais

Privacidade

Dados pessoais

Proteção do sigilo

Ambiente digital


O QUE PROTEGER?

• Conceito de segredo de negócio é antigo e se relaciona com a propriedade intelectual e a concorrência desleal.

• Segredo de indústria → segredo de indústria + segredo de comércio → segredo de negócio.

• São informações com valor econômico e cujo valor depende de seu desconhecimento pelos concorrentes.

• Representam vantagens competitivas.

• No ambiente digital têm facilidade de circulação e acesso, daí a necessidade de proteção da confidencialidade.

Informações confidenciais de negócio


O QUE PROTEGER?

• Conceito de proteção de dados pessoais é relativamente recente e decorre do processamento de dados automatizado.

• Desdobramento do direito à privacidade no ambiente digital.

• Direito de não ser vigiado → proteção contra mau uso de informações sobre si → controle do uso dessas informações.

• Dados pessoais são usados e têm seu valor como insumo para vários negócios: “insights” (descoberta de correlações), classificação de pessoas, monitoramento de comportamentos, direcionamento de comportamentos...

• Há dados sensíveis pois abrem caminho à discriminação.

Dados pessoais


O QUE PROTEGER?

Dados sobre uma pessoa natural identificada ou identificável.

Dados de pessoas jurídicas não são dados pessoais.

Dados anônimos não são dados pessoais.

Definição de dados pessoais

<https://xkcd.com/1971/>


PARTE 2QUEM DEVE PROTEGER?


QUEM DEVE PROTEGER?

• Não há uma lei geral, mas existem leis esparsas e projetos de lei na Câmara dos Deputados e no Senado Federal.

• Marco Civil da Internet - Lei nº 12.965/2014: Qualquer empresa provedora de conexão ou de aplicação de internet que colete, armazene, guarde ou processe dados pessoais em território brasileiro.

• Código de Defesa do Consumidor - Lei nº 8.708/1990: Qualquer pessoa que preste serviços ou venda bens a destinatários finais (i.e. consumidores) no Brasil.

• Empresas estrangeiras podem estar sujeitas a essas regras.

Legislação brasileira de dados pessoais


QUEM DEVE PROTEGER?

• Regulamento Geral de Proteção de Dados - Regulamento (UE) 2016/679: Regras mínimas uniformes para toda a União Europeia, que pode ser adaptada a cada Estado-membro por suas leis internas (e.g. DSAnpUG-EU da Alemanha).

• Aplica-se quando houver coleta, armazenamento, guarda e processamento de dados por uma empresa situada em território de Estado-membro da EU ou por suas contratadas.

• No caso, a aplicação à empresas da EU independe do local do tratamento desses dados.

Regulamento europeu de dados pessoais


QUEM DEVE PROTEGER?

• Aplica-se a empresas estrangeiras que ofereçam bens ou serviços a pessoas presumivelmente europeias (e.g. usando língua, moeda, contatos de algum Estado-membro).

• Também se aplica a empresas estrangeiras que monitorem o comportamento de pessoas europeias (e.g. ferramentas de business analytics).

Aplicação do regulamento ao exterior


QUEM DEVE PROTEGER?

• O regulamento restringe a transferência de dados para empresas estrangeiras que garantam proteção equivalente.

• A garantia de proteção é presumida para países que têm uma “Decisão de Adequação” da Comissão da EU (Brasil não tem).

• Caso contrário, a empresa europeia deve assinar um contrato com a estrangeira contendo cláusulas padronizadas de proteção de dados aprovadas pela Comissão da EU.

• Grupos econômicos podem instituir, mediante aprovação, suas regras corporativas vinculantes de proteção de dados para garantir sua livre circulação dentro do grupo.

Transferências internacionais


QUEM DEVE PROTEGER?

Mais de uma norma pode ser aplicável

Marco Civil da Internet

(BR)

Código do Consumidor

(BR)

Regulamento Geral de Proteção de

Dados(UE)


PARTE 3COMO PROTEGER?


• O tratamento de dados pessoais requer consentimento.

• O consentimento vincula a determinados propósitos.

• Os dados devem ser eliminados após esgotado seu propósito.

• O sujeito dos dados pode consultá-los, alterá-los e excluí-los.

• Medidas de segurança de informação.

O Brasil adota o paradigma da proteção,enquanto a EU adota o do controle.

As regras da EU englobam as brasileiras.Proteção da UE

COMO PROTEGER?

Paralelos entre as regras do BR e da UE

Proteção do BR


COMO PROTEGER?

• Proteção especial para dados sensíveis em relação aos direitos e liberdades fundamentais.

• Restrição ao uso de algoritmos para decisão.

• Obrigatoriedade de instituir um oficial de proteção de dados.

• Necessidade de informação sobre violações às autoridades de controle em 72 horas.

• Restrição à transferência internacional de dados.

• Regras com relação ao direito ao esquecimento.

• Maior rigor na aplicação das regras de proteção.

Proteção adicional nas regras da UE


COMO PROTEGER?

• Privacy by design: ter em mente a proteção da privacidade desde a concepção do projeto – relação com os conceitos de safety by design (proteção contra acidentes) e security bydesign (proteção do produto ou serviço).

• Abordagem holística da segurança de informação: a proteção das diferentes informações considerada como um todo.

• Integração entre segurança analógica e cyber security.

• As políticas de segurança devem levar em conta as ações e interferências de outros sistemas (e.g. internet das coisas) e do mundo físico (e.g. acesso às dependências da empresa).

Garantia da proteção


COMO PROTEGER?

Deve-se ter em conta o comportamento das pessoas com seusdispositivos pessoais, redes sociais, etc.

Proteção além do sistema

<https://xkcd.com/1977/>


PARTE 4POR QUE PROTEGER?


Dados pessoais

Ataque à integridadedos dados e registros

Vazamentodos dados

Perda de registros pela própria empresa

Uso indevido pela empresa ou parceiros

POR QUE PROTEGER?

A violação das políticas da empresa podem trazerconsequências jurídicas e a danos à sua imagem.

Dificilmente uma violação grave será reparada por completo.

Violação da proteção de dados


POR QUE PROTEGER?

• Código de Defesa do Consumidor:penalidades do Sistema Nacional de Defesa do Consumidor.

• Marco Civil da Internet: multa de até 10% do faturamento brasileiro do grupo econômico e possível suspensão ou mesmo proibição das atividades de tratamento de dados no Brasil.

• Regulamento Geral de Proteção de Dados da EU:multa de até 4% do faturamento mundial do grupo econômico ou de até EUR 20.000.000 – o que for maior.

Punições administrativas severas


POR QUE PROTEGER?

• Entendimento pacífico que o uso indevido de dados pode causar dano moral.

• Principal preocupação no Brasil é com o vazamento de dados ao público em geral.

• O vazamento de dados falsos pode causar dano mais grave que o vazamento de dados verdadeiros por exposição da pessoa a situação vexatória.

• O vazamento de dados de maior sensibilidade (e.g. raça, religião, orientação sexual, saúde, vida íntima) além de causar danos pode levar à discriminação e a ataques de terceiros.

Indenizações por perdas e danos


POR QUE PROTEGER?

O mau uso dos dados pode sujeitar à ação coletiva por acidente de consumo nos termos do Código de Defesa do Consumidor.

Possibilidade de ação civil pública

<http://www.migalhas.com.br/Quentes/17,MI278853,11049-Associacao+processa+Facebook+por+vazamento+de+dados+de+usuarios>


Obrigada.

Dr. Karin Klempp [email protected]

Documents

CYBERSECURITY: IMPACTOS DA ... - ahkbrasilien.com.br · • Marco Civil da Internet - Lei nº 12.965/2014: ... • Restrição ao uso de algoritmos para decisão. • Obrigatoriedade