Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Apresentação
● Esta apresentação tem o intuito de apresentar o cenário atual e de curto e médio prazo da regulação de dados;
● Contempla tanto dados públicos como dados pessoais;
● A partir desse cenário, apresenta:○ as principais Obrigações Legais;○ os principais Riscos;○ as principais Oportunidades;○ os principais Projetos de Lei.
Briefing - Dados Pessoais
• Perda relativa ou total sobre os ativos de Dados
• Sanções Administrativas; Ações Individuais ou Coletivas e Processos Criminais
• Restrição a Modelos de Negócios
• Responsabilização Individual de Colaboradores
Obrigações Legais Riscos
• Reestruturação Interna
• Relacionamento e Diálogo com Usuários de Internet
• Relacionamento com Autoridades Públicas
• Segurança Jurídica = mais investimento
• Novas metodologias para modelagem de negócio
• Demanda dos Consumidores e Cidadãos
• Novos Modelos de Negócio
• Vantagem Competitiva -inclusive frente a negócios e players internacionais
Oportunidades
Briefing - Dados Públicos
• Confundir "dados disponíveis publicamente" com "dados de domínio público ou uso irrestrito"
• Todos os riscos relacionados aos dados pessoais
Riscos
Acessar dados públicos:
• em formato bruto
• disponíveis ou não publicamente
• de forma atualizada
• Novos Modelos de Negócio
• Novos Produtos de Dados
Oportunidades
Legislação
• PLC 4.060/12
• PLS 281/12
• PLS 330/13
• PLC 5276/16
Dados Pessoais
Em Vigor Projetos de Lei
Dados Pessoais
• Marco Civil da Internet
• Regulação do MCI
• Código Civil
• CDC
• Lei de Acesso à Informação Pública
• Política de Dados Abertos do Poder Executivo Federal
• Compartilhamento de Bases de Dados na Administração Pública Federal
Em Vigor
Dados Públicos
O que é Regulado? (em vigor)
Dados Pessoais
O que é DADO PESSOAL?
"dado relacionado à pessoa natural identificadaou identificável, inclusive números identificativos,dados locacionais ou identificadores eletrônicos,quando estes estiverem relacionados a umapessoa"
Coleta, armazenamento, tratamento, compartilhamento e qualquer uso ou acesso que envolva dados pessoais.
*Em vigor pelo Regulamento do Marco Civil da Internet
Dados Públicos
O que é DADO PÚBLICO?
A legislação não faz clara distinção entre dadospúblicos e pessoais. O que faz é regular o acessoaos dados em posse da Adm. Direta e Indireta, eindicar alguns controles sobre o uso sobre essesdados.
Acesso e coleta.
*Em vigor pela Lei de Acesso à Informação Pública
Qual atividade com DADO PESSOAL? Qual atividade com DADO PÚBLICO?
Dado não é SÓ propriedade
● A principal inovação da regulação de dados pessoais é que os ativos de dados não seriam mais baseados na posse ou propriedade de um dado, seja ele público ou pessoal, mas nos direitos, evidentes e comprováveis, de coleta, uso, tratamento, compartilhamento, e qualquer outra atividade a ser exercida com o dado;
● Ou seja, o dado só é um ativo na exata medida em que consigo evidenciar e comprovar meus direitos sobre as atividades que exerço sobre eles;
● Antes, a mera posse do dado poderia gerar a impressão de propriedade, e a liberdade na atuação com esse dado.
● Continua existindo Propriedade Intelectual sobre os conhecimento e às tecnologias aplicadas aos dados e seus usos.
Dados Pessoais
Exemplos de Regras (em vigor)
Segurança nos Fornecedores
Fica obrigado a: garantir que os fornecedores - que tenham acesso aos dados pessoais - adotem níveis de segurança de nível similar ou superior, os quais devem constar em contrato, serem fiscalizados, e constar, ao menos de forma genérica, nas políticas de privacidade
Guarda de Logs de Acesso Externo
Fica obrigado a: coletar e guardar o log de acesso a aplicações de internet e de provimento de conexão, pelo
período mínimo de 6 meses, sob risco de sanção direta
Logs de Acesso Interno
Fica obrigado a: mapear, identificar, e definir privilégios e responsabilidades a todos os colaboradores com acesso
direto a dados pessoais, seja em atividades de coleta, armazenamento tratamento ou qualquer outro uso, e
inventariar cada um desses acessos
Exemplos de Regras (em vigor)
Requisição de Dados Cadastrais por Autoridade Competente
Não devem ser atendidas requisições de dados cadastrais, que sejam coletivos, genéricos ou inespecíficos, e que não
apontem especificamente:
● os indivíduos titulares dos dados
● as informações desejadas
Requisição de Dados não-Cadastrais por Autoridade Pública
Diante de requisição de dados não-Cadastrais, só devem ser atendidos os casos em que for feita por meio de ordem
judicial, contendo, no mínimo:
● indícios da ocorrência de ilícito
● justificativa da utilidade dos registros solicitados para fins de investigação ou instrução probatória
● período ao qual se referem os registros
Exemplos de Regras (em vigor)
Especificidades nas Políticas
Na elaboração e revisão das Políticas de Privacidade, e cláusulas contratuais específicas de proteção de dados pessoais nos contratos de prestação de serviços, deve-se aplicar o maior nível de detalhamento, especificidade e previsibilidade de atividades futuras com relação aos dados pessoais
Uso e Consentimento
No momento do uso, ou desenvolvimento de modelos de negócio que utilizem dados, deve haver verificação de correlação entre o uso e o disposto como justificativa nas políticas no momento da coleta de dados
Acesso à Fornecedores
No momento de fornecimento de dados a terceiro, deve haver conferência da política disponibilizada ao usuário sobre existência de cláusula de fornecimento à terceiro
Exemplos de Regras (em vigor)
Exclusão de Dados
Deve-se excluir dados dos usuários ● que requererem● ao término da relação
Padrões CGI
Deve-se consultar periodicamente os padrões estabelecidos pelo CGI para o tratamento de dados pessoais
Atendimento de Usuários
Deve-se receber - e atender, se for o caso - pedidos de usuários relacionados a seus dados como, por exemplo, pedidos de exclusão de seus dados
Acesso a Dados Públicos
"(...) os órgãos públicos integrantes da administração
direta dos Poderes Executivo, Legislativo, incluindo as
Cortes de Contas, e Judiciário e do Ministério
Público;
(...) as autarquias, as fundações públicas, as
empresas públicas, as sociedades de economia
mista e demais entidades controladas direta ou
indiretamente pela União, Estados, Distrito Federal e
Municípios.
(...) às entidades privadas sem fins lucrativos que
recebam, para realização de ações de interesse público,
recursos públicos diretamente do orçamento ou mediante
subvenções sociais, contrato de gestão, termo de
parceria, convênios, acordo, ajustes ou outros
instrumentos congêneres."
O que posso obter? De quem posso obter?
"informação: dados, processados ou não, que
podem ser utilizados para produção e
transmissão de conhecimento, contidos em
qualquer meio, suporte ou formato"
"O acesso à informação de que trata esta Lei
compreende, entre outros, os direitos de obter:
(...) informação primária, íntegra, autêntica e
atualizada"
Diagnóstico e Gestão de Riscos
“A Gestão Integrada dos Dados comoforma de ganhar agilidade na proteçãodo ativo de Dados”
GESTÃO INTEGRADA DE DADOS
● Implementação ágil e sistêmica das
mecânicas e regras de compliance
○ autenticação
○ logs
○ compartilhamento
○ etc
Diagnóstico e Gestão de Riscos
PRIVACY ASSESSMENT (AVALIAÇÃO DE PRIVACIDADE)
“Os Privacy Assesments permitem iralém das formalidades legais, e umamelhor gestão de riscos”
● Previsto nos Projetos de Lei
● Auxílio na gestão de Riscos
● Comprovação de Boa-Fé
● Além das Formalidades Legais
● Legalidade pelo Legítimo Interesse
Aproveitamento de Oportunidades
REQUISIÇÃO DE ACESSO A DADOS PÚBLICOS
“A legislação permite, inclusive, acessoa dados brutos indisponíveis aopúblico”
● Acesso a dados em formatos brutos
○ .csv
○ .txt
○ jason
○ tabulado
● Coleta automatizada
○ dump
○ script
○ API
● Documentação sobre dados
○ estrutura
○ campos
○ metadados
○ atualização
○ etc
Solução de Problemas
MATCHING ANONIMIZADO (e outros)
“A tendência é uma valorização detécnicas e serviços de matching ecompartilhamento anonimizado”
● Compartilhamento com terceiros,
clientes, parceiros e fornecedores é uma
das maiores dificuldades
● Anonimizações sem perda de eficiência
tendem a ser mecanismos valorizados
diante da regulação
Solução de Problemas
POLÍTICA CORPORATIVA DE PROTEÇÃO DE DADOS
“A Política Corporativa é a referênciacentral para proteção de dados naempresa”
● Regras e Diretrizes internas para os
colaboradores e áreas em qualquer
atividade que envolve dados pessoais
● Documenta as atividades de proteção de
dados exercidas pela empresa, e se torna
documento de demonstração de Boas
Práticas pela empresa frente à Legislação
Diagnóstico e Gestão de Riscos
● Grupo de Trabalho Interdepartamental
● Diagnósticos Eficientes
● Canal Centralizado de Solução de Problemas
● Gestão de Riscos Aprimorada
○ riscos Operacionais
○ riscos Comerciais
○ riscos Legais/Jurídicos
GRUPO DE TRABALHO DE PROTEÇÃO DE DADOS PESSOAIS
“O GT de Proteção de Dados viabilizaprojetos implementáveis, semresistências interdepartamentais”
Aproveitamento de Oportunidades
“Substituição gradativa de crawlerspor dados primários e íntegros daAdm. Pública.”
CRAWLER SUBS
● Independência de estrutura e mudanças
em layouts de sites
● Acesso a dados indisponíveis na web
● Dados estruturados, íntegros e
documentados