30
Regulação de Dados: Riscos e Oportunidades ANER 7 de outubro de 2016

Regulação de Dados: Riscos e Oportunidadesabemd.org.br/interno/Apresentacao_aner_vitor_071016.pdf · Regulação de Dados: Riscos e Oportunidades ANER 7 de outubro de 2016. Apresentação

  • Upload
    others

  • View
    2

  • Download
    0

Embed Size (px)

Citation preview

Regulação de Dados: Riscos e OportunidadesANER

7 de outubro de 2016

Apresentação

● Esta apresentação tem o intuito de apresentar o cenário atual e de curto e médio prazo da regulação de dados;

● Contempla tanto dados públicos como dados pessoais;

● A partir desse cenário, apresenta:○ as principais Obrigações Legais;○ os principais Riscos;○ as principais Oportunidades;○ os principais Projetos de Lei.

Briefing - Dados Pessoais

• Perda relativa ou total sobre os ativos de Dados

• Sanções Administrativas; Ações Individuais ou Coletivas e Processos Criminais

• Restrição a Modelos de Negócios

• Responsabilização Individual de Colaboradores

Obrigações Legais Riscos

• Reestruturação Interna

• Relacionamento e Diálogo com Usuários de Internet

• Relacionamento com Autoridades Públicas

• Segurança Jurídica = mais investimento

• Novas metodologias para modelagem de negócio

• Demanda dos Consumidores e Cidadãos

• Novos Modelos de Negócio

• Vantagem Competitiva -inclusive frente a negócios e players internacionais

Oportunidades

Briefing - Dados Públicos

• Confundir "dados disponíveis publicamente" com "dados de domínio público ou uso irrestrito"

• Todos os riscos relacionados aos dados pessoais

Riscos

Acessar dados públicos:

• em formato bruto

• disponíveis ou não publicamente

• de forma atualizada

• Novos Modelos de Negócio

• Novos Produtos de Dados

Oportunidades

Legislação

• PLC 4.060/12

• PLS 281/12

• PLS 330/13

• PLC 5276/16

Dados Pessoais

Em Vigor Projetos de Lei

Dados Pessoais

• Marco Civil da Internet

• Regulação do MCI

• Código Civil

• CDC

• Lei de Acesso à Informação Pública

• Política de Dados Abertos do Poder Executivo Federal

• Compartilhamento de Bases de Dados na Administração Pública Federal

Em Vigor

Dados Públicos

O QUE É REGULADO?

O que é Regulado? (em vigor)

Dados Pessoais

O que é DADO PESSOAL?

"dado relacionado à pessoa natural identificadaou identificável, inclusive números identificativos,dados locacionais ou identificadores eletrônicos,quando estes estiverem relacionados a umapessoa"

Coleta, armazenamento, tratamento, compartilhamento e qualquer uso ou acesso que envolva dados pessoais.

*Em vigor pelo Regulamento do Marco Civil da Internet

Dados Públicos

O que é DADO PÚBLICO?

A legislação não faz clara distinção entre dadospúblicos e pessoais. O que faz é regular o acessoaos dados em posse da Adm. Direta e Indireta, eindicar alguns controles sobre o uso sobre essesdados.

Acesso e coleta.

*Em vigor pela Lei de Acesso à Informação Pública

Qual atividade com DADO PESSOAL? Qual atividade com DADO PÚBLICO?

Dado não é SÓ propriedade

● A principal inovação da regulação de dados pessoais é que os ativos de dados não seriam mais baseados na posse ou propriedade de um dado, seja ele público ou pessoal, mas nos direitos, evidentes e comprováveis, de coleta, uso, tratamento, compartilhamento, e qualquer outra atividade a ser exercida com o dado;

● Ou seja, o dado só é um ativo na exata medida em que consigo evidenciar e comprovar meus direitos sobre as atividades que exerço sobre eles;

● Antes, a mera posse do dado poderia gerar a impressão de propriedade, e a liberdade na atuação com esse dado.

● Continua existindo Propriedade Intelectual sobre os conhecimento e às tecnologias aplicadas aos dados e seus usos.

Dados Pessoais

REGRAS DE PROTEÇÃO DE

DADOS PESSOAIS (em vigor)

Exemplos de Regras (em vigor)

Segurança nos Fornecedores

Fica obrigado a: garantir que os fornecedores - que tenham acesso aos dados pessoais - adotem níveis de segurança de nível similar ou superior, os quais devem constar em contrato, serem fiscalizados, e constar, ao menos de forma genérica, nas políticas de privacidade

Guarda de Logs de Acesso Externo

Fica obrigado a: coletar e guardar o log de acesso a aplicações de internet e de provimento de conexão, pelo

período mínimo de 6 meses, sob risco de sanção direta

Logs de Acesso Interno

Fica obrigado a: mapear, identificar, e definir privilégios e responsabilidades a todos os colaboradores com acesso

direto a dados pessoais, seja em atividades de coleta, armazenamento tratamento ou qualquer outro uso, e

inventariar cada um desses acessos

Exemplos de Regras (em vigor)

Requisição de Dados Cadastrais por Autoridade Competente

Não devem ser atendidas requisições de dados cadastrais, que sejam coletivos, genéricos ou inespecíficos, e que não

apontem especificamente:

● os indivíduos titulares dos dados

● as informações desejadas

Requisição de Dados não-Cadastrais por Autoridade Pública

Diante de requisição de dados não-Cadastrais, só devem ser atendidos os casos em que for feita por meio de ordem

judicial, contendo, no mínimo:

● indícios da ocorrência de ilícito

● justificativa da utilidade dos registros solicitados para fins de investigação ou instrução probatória

● período ao qual se referem os registros

Exemplos de Regras (em vigor)

Especificidades nas Políticas

Na elaboração e revisão das Políticas de Privacidade, e cláusulas contratuais específicas de proteção de dados pessoais nos contratos de prestação de serviços, deve-se aplicar o maior nível de detalhamento, especificidade e previsibilidade de atividades futuras com relação aos dados pessoais

Uso e Consentimento

No momento do uso, ou desenvolvimento de modelos de negócio que utilizem dados, deve haver verificação de correlação entre o uso e o disposto como justificativa nas políticas no momento da coleta de dados

Acesso à Fornecedores

No momento de fornecimento de dados a terceiro, deve haver conferência da política disponibilizada ao usuário sobre existência de cláusula de fornecimento à terceiro

Exemplos de Regras (em vigor)

Exclusão de Dados

Deve-se excluir dados dos usuários ● que requererem● ao término da relação

Padrões CGI

Deve-se consultar periodicamente os padrões estabelecidos pelo CGI para o tratamento de dados pessoais

Atendimento de Usuários

Deve-se receber - e atender, se for o caso - pedidos de usuários relacionados a seus dados como, por exemplo, pedidos de exclusão de seus dados

Projetos de Lei de

PROTEÇÃO DE DADOS PESSOAIS

Comparativo de PLs

Comparativo de PLs

Comparativo de PLs

Comparativo de PLs

ACESSO A DADOS PÚBLICOS

(E SEU USO)

Acesso a Dados Públicos

"(...) os órgãos públicos integrantes da administração

direta dos Poderes Executivo, Legislativo, incluindo as

Cortes de Contas, e Judiciário e do Ministério

Público;

(...) as autarquias, as fundações públicas, as

empresas públicas, as sociedades de economia

mista e demais entidades controladas direta ou

indiretamente pela União, Estados, Distrito Federal e

Municípios.

(...) às entidades privadas sem fins lucrativos que

recebam, para realização de ações de interesse público,

recursos públicos diretamente do orçamento ou mediante

subvenções sociais, contrato de gestão, termo de

parceria, convênios, acordo, ajustes ou outros

instrumentos congêneres."

O que posso obter? De quem posso obter?

"informação: dados, processados ou não, que

podem ser utilizados para produção e

transmissão de conhecimento, contidos em

qualquer meio, suporte ou formato"

"O acesso à informação de que trata esta Lei

compreende, entre outros, os direitos de obter:

(...) informação primária, íntegra, autêntica e

atualizada"

Quais os encaminhamentos?

DIAGNÓSTICO E GESTÃO DE RISCOS

SOLUÇÃO DE PROBLEMAS

APROVEITAMENTO DE OPORTUNIDADES

Diagnóstico e Gestão de Riscos

“A Gestão Integrada dos Dados comoforma de ganhar agilidade na proteçãodo ativo de Dados”

GESTÃO INTEGRADA DE DADOS

● Implementação ágil e sistêmica das

mecânicas e regras de compliance

○ autenticação

○ logs

○ compartilhamento

○ etc

Diagnóstico e Gestão de Riscos

PRIVACY ASSESSMENT (AVALIAÇÃO DE PRIVACIDADE)

“Os Privacy Assesments permitem iralém das formalidades legais, e umamelhor gestão de riscos”

● Previsto nos Projetos de Lei

● Auxílio na gestão de Riscos

● Comprovação de Boa-Fé

● Além das Formalidades Legais

● Legalidade pelo Legítimo Interesse

Aproveitamento de Oportunidades

REQUISIÇÃO DE ACESSO A DADOS PÚBLICOS

“A legislação permite, inclusive, acessoa dados brutos indisponíveis aopúblico”

● Acesso a dados em formatos brutos

○ .csv

○ .txt

○ jason

○ tabulado

● Coleta automatizada

○ dump

○ script

○ API

● Documentação sobre dados

○ estrutura

○ campos

○ metadados

○ atualização

○ etc

Solução de Problemas

MATCHING ANONIMIZADO (e outros)

“A tendência é uma valorização detécnicas e serviços de matching ecompartilhamento anonimizado”

● Compartilhamento com terceiros,

clientes, parceiros e fornecedores é uma

das maiores dificuldades

● Anonimizações sem perda de eficiência

tendem a ser mecanismos valorizados

diante da regulação

Solução de Problemas

POLÍTICA CORPORATIVA DE PROTEÇÃO DE DADOS

“A Política Corporativa é a referênciacentral para proteção de dados naempresa”

● Regras e Diretrizes internas para os

colaboradores e áreas em qualquer

atividade que envolve dados pessoais

● Documenta as atividades de proteção de

dados exercidas pela empresa, e se torna

documento de demonstração de Boas

Práticas pela empresa frente à Legislação

Diagnóstico e Gestão de Riscos

● Grupo de Trabalho Interdepartamental

● Diagnósticos Eficientes

● Canal Centralizado de Solução de Problemas

● Gestão de Riscos Aprimorada

○ riscos Operacionais

○ riscos Comerciais

○ riscos Legais/Jurídicos

GRUPO DE TRABALHO DE PROTEÇÃO DE DADOS PESSOAIS

“O GT de Proteção de Dados viabilizaprojetos implementáveis, semresistências interdepartamentais”

Aproveitamento de Oportunidades

“Substituição gradativa de crawlerspor dados primários e íntegros daAdm. Pública.”

CRAWLER SUBS

● Independência de estrutura e mudanças

em layouts de sites

● Acesso a dados indisponíveis na web

● Dados estruturados, íntegros e

documentados

Vitor Morais de Andrade

[email protected]