Upload
patricia-peck
View
248
Download
0
Embed Size (px)
Citation preview
Agenda
4
Parte 1: abertura e apresentação Dra. Patricia Peck (30 min)
Parte 2: Debate com Docentes Convidados
- Debate 1: Proteção de Dados (30 min)
- Debate 2: Cyber Security (30 min)
Encerramento
REFLEXÃO: para que servem as regulamentações?
https://pixabay.com/p-1019820/?no_redirect
O ESTADO DEVE GARANTIR O EQUILÍBRIO OU SEJA A PROTEÇÃO DO
CONSUMIDOR E DA LIVRE CONCORRÊNCIA (SÓ DEVE HAVER
INTERVENÇÃO PÚBLICA NA ECONOMIA SE HÁ UM MARKET FAILURE)
DESAFIO PARA AS RELAÇÕES DIGITAIS: O MEDO!
CONFIANÇA
INTEGRIDADE
TRANSPARÊNCIA
https://www.blockchainhub.com.br/
TECNOLOGIA
CERTEZA AUTENTICIDADE
(associar Identidade + Autoria)
PROVA DA MANIFESTAÇÃO DE VONTADE (documentação –guarda com cadeia de custódia desde a emissão – origem até a baixa com controle do ciclo de vida dos dados)
QUAL A MELHOR TESTEMUNHA DOS FATOS: O HUMANO OU A MÁQUINA?
ISSO EXIGE UMA MUDANÇA DE CULTURA DO LEGISLADOR, DO MAGISTRADO, DO OPERADOR DO DIREITO.
Proteção de Dados
8
O que está acontecendo pelo mundo...
http://exame.abril.com.br/tecnologia/eua-revogam-norma-de-protecao-a-dados-pessoais-na-internet/https://theintercept.com/2017/03/31/o-facebook-nao-protegeu-30-milhoes-de-usuarios-de-terem-dados-acessados-por-uma-das-empresas-da-campanha-de-trump/http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=44897&sid=18
1. Fundamentos legais para coletar a
informação
2. Plano de Segurança da Informação
3. Auditoria de impacto de privacidade
4. Prova de anonimização de dados
5. Gestão de Notificação e
Consentimento
6. Portabilidade de dados
Regulamento 679/2016
GDPR (General Data Protection Regulation) - prazo de 24/05/2016 a 25/05/2018
.
.
Gestão Ciclo de Vida
Dados Pessoais
Compliance Empresas: Brasil X UE
10
No Brasil: Lei Marco Civil Internet de 2014 + Decreto 8771/2016Decreto do Comércio Eletrônico de 2013 + Código de Defesa do Consumidor PL 5276/2016 + 4060/2012 + 330/2013
- Mera ciência Consentimentoprévio (1 única vez)
- Exclusão apenas a pedido (nãoautomática) e apenas o prazolegal mínimo (MCI 6 meses ououtra lei)
- Apenas bases de dados coletadasda internet (MCI)
Na Europa: GDPR- Consentimento prévio (no ciclo de vida ocorre
de 4 vezes: adesão, enriquecimento, compartilhamento, armazenar fora do país (cloud)
- Exclusão automática (se deixar de ser cliente) ou a pedido a qualquer tempo
- Portabilidade (está sendo debatido se seria estrita apenas dos dados fornecidos ou completa também dos dados comportamentais e enriquecidos)
- Toda base de dado pessoal (coletada por qualquer meio)
- Dever de anonimização- Dever de criptografia- Dever de notificar interessados (violação)- Multas altíssimas (para o Grupo Econômico)- Prevê ação coletiva
PROTEÇÃO DE DADOS PESSOAIS
11
União Europeia – Roadmap GDPR
As empresas têm buscado apresentar
parecer para mostrar que está
Compliance à GDPR (todas empresas do
Grupo que têm acesso as bases de
dados, incluindo quem está em outro
país). Desafio inicial: quais são as bases
de dados e quem tem acesso.
PROTEÇÃO DE DADOS PELO MUNDO
12
LATAM Proteção de dados pessoais
Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais
Chile Projeto de Lei para atualizar a lei (em andamento – desde 2011)Lei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 - Lei Geral de Proteção de Dados PessoaisDecreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais
México Lei Federal de Transparência e Acesso à Informação Pública GovernamentalLei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010)
Panamá Projeto de Lei sobre Proteção de Dados Pessoais (em andamento)Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública
Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais
Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais
*útlimo acesso em 10.04.2017
E o Brasil? Qual o status dos Projetos de Lei de Proteção de Dados?
13
- Apensado ao Projeto de Lei4060/2012
- Instaurou-se uma ComissãoEspecial sobre Tratamento eProteção de Dados Pessoais
http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=2084378
PL nº 5276/2016
14
Discussões – Comissão Especial – Projeto de Lei nº 4060/2012
http://www2.camara.leg.br/camaranoticias/noticias/CIENCIA-E-TECNOLOGIA/526730-DEBATEDORES-DIVERGEM-SOBRE-ABRANGENCIA-DA-PROTECAO-A-DADOS-PESSOAIS.html
E o Brasil? Qual o status dos Projetos de Lei de Proteção de Dados?
O maior desafio é garantir
a anonimização.
Dados de interesse público
(identificação razoável) X
interesse do particular
(exigiria consentimento).
Criação de um Órgão
Central (regulador ou
fiscalizador?)
Seguir princípios da União
Européia (transparência da
coleta, limite de uso, etc)
Poder comercializar dados
http://www2.camara.leg.br/camaranoticias/noticias/CIENCIA-E-TECNOLOGIA/526953-COMISSAO-ESPECIAL-DEBATE-COMERCIALIZACAO-DE-DADOS-PESSOAIS-NESTA-SEMANA.html
http://www2.camara.leg.br/camaranoticias/noticias/CONSUMIDOR/528358-COMISSAO-DEBATE-%E2%80%9CLEGITIMO-INTERESSE%E2%80%9D-NO-TRATAMENTO-E-PROTECAO-DE-DADOS-PESSOAIS.html
Cyber Security
15
O que está acontecendo pelo mundo...
http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=44938&sid=18
http://g1.globo.com/mundo/noticia/servico-de-inteligencia-da-alemanha-recruta-hackers.ghtml
CYBER SECURITY - EUROPA
16
NIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
• Medidas destinadas a garantir um elevado nível comum de segurança das redes e dainformação em toda a união;
• Aplicada a todos os operadores de serviços essenciais (i) e aos prestadores de serviçosdigitais (ii), os quais podem aplicar outras medidas de segurança mais rigorosas do que asprevistas na diretiva (4) e (6);
(i) entidade pública ou privada pertencente a um dos setores disciplinados noanexo II (energia, transporte, saúde, financeiro, etc.) que preste um serviço essencial para amanutenção de atividades sociais e/ou econômicas cruciais
(ii) pessoa coletiva que presta um serviço da sociedade da informação pertencenteaos tipos enumerados no anexo III (computação em nuvem, por exemplo)
Cronograma: publicado em em 6 de julho de 2016
Prazo para adoção das medidas: de 9 de fevereiro de 2017 a 9 de novembro de 2018
Prazo para os Estados-Membros adotarem e publicarem leis nacionais que atendam a diretivaaté 9 de maio de 2018
Prazo aplicação efetiva de todas as medidas inclusive penalidades 10 de maio de 2018
http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L1148
• obrigação de os Estados-Membros adotarem uma estratégia nacional de segurança das redes e dos sistemas de informação• A identificação das medidas de preparação, de resposta e de recuperação,
incluindo a cooperação entre os setores público e privado;• indicação dos programas de ensino, de sensibilização e de formação relacionados
com a estratégia nacional de segurança das redes e dos sistemas de informação• indicação dos planos de investigação e desenvolvimento • Um plano de avaliação dos riscos para identificar riscos e de gestão da
continuidade das atividades• O acompanhamento, a auditoria e realização de testes periódicos• A conformidade com as normas internacionais
• Cria um grupo de cooperação estratégica (em nível nacional e internacional) e de intercâmbio de informações e boas práticas sobre investigações e conscientização entre os Estados-Membros
• Cria uma rede de equipes de resposta a incidentes de segurança de informação CSIRT
• Estabelece requisitos de segurança e de notificação para os operadores de serviços essenciais e para os prestadores de serviços digitais
17
CYBER SECURITY - EUROPANIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
Parâmetros para definir a importância do impacto de um incidente:
• O número de utilizadores afetados pela perturbação
• A duração do incidente
• A distribuição geográfica, no que se refere à zona afetada
• O nível de gravidade da perturbação do funcionamento do serviço (ex: se é um serviço essencial)
• A extensão do impacto nas atividades económicas e sociais
OBS: Quando tratarem de incidentes que tenham dado origem à violação de dados pessoais, as autoridades competentes trabalham em estreita colaboração com as autoridades encarregadas da proteção de dados.
Há o dever de reportar incidentes de vazamento de dados pessoais.
18
CYBER SECURITY - EUROPANIS – DIRECTIVE (EU) 2016/1148 – NETWORK AND INFORMATION SECURITY
19
Alguns tópicos...- Conceito de Cloud Computing- Diferença de cloud pública e cloud
privada- Segurança na Infraestrutura- Proteção dos Dados- Criptografia- Privacy by Design- Portabilidade e Interoperabilidade- Auditoria- Transparência- Compliance
Recomendações de Segurança para as Empresas de Cloud Computing– Federal Office for Information Security
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/SecurityRecommendationsCloudComputingProviders.pdf?__blob=publicationFile&v=2
CYBER SECURITY – EUROPA - ALEMANHA
CENÁRIO BRASILEIRO
20
O que está sendo discutido no Brasil
http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=44855&sid=18
Projetos de lei em andamento
22
Exigem gestão e governança TI + Jurídico do ciclo de vida dos dados
Adesão
Tratamento
Enriquecimento
Compartilhamento
Internacional
Exclusão
Portabilidade
As empresas brasileiras estão
preparadas?
Atualizaram as políticas de
privacidade dos sites?
As cláusulas dos contratos?
Cyber Security – exige integração TI+Jurídico
24
As empresas brasileiras já implementaram as regras do MCI + Decreto 8771?
Decreto 8771 - Art. 13. Os provedores deconexão e de aplicações devem, na guarda,armazenamento e tratamento de dadospessoais e comunicações privadas, observaras seguintes diretrizes sobre padrões desegurança:Controle de acesso restrito aos logs /dadosMecanismos de dupla autenticaçãoCriação de uma inventário detalhado sobreos acessos aos registros de conexão e deacesso as aplicações contendo (momento,duração, identidade do funcionário ou doresponsável e arquivo acessado)Soluções que garantam a inviolabilidadedos logs / dados
Ciclo de vida dos Logs:
1. Nasce na transação
2. Coletado
3. Tratado
4. Armazenado (local ou fora – cloud)
5. Indexado
6. Consultado/Exportado
7. Expira prazo legal (tabela de temporalidade)
8. Apagado (Descarte seguro)
CYBER SECURITY – EXIGE EDUCAÇÃO DIGITAL
Art. 24. Constituem diretrizes para a atuação da União, dos Estados, doDistrito Federal e dos Municípios no desenvolvimento da internet noBrasil:
(...)
VIII - desenvolvimento de ações e programas de capacitação para uso dainternet;
Art. 26. O cumprimento do dever constitucional do Estado na prestaçãoda educação, em todos os níveis de ensino, inclui a capacitação,integrada a outras práticas educacionais, para o uso seguro, consciente eresponsável da internet como ferramenta para o exercício da cidadania,a promoção da cultura e o desenvolvimento tecnológico.
25
Lei nº 12.965/2014 – Marco Civil da Internet
www.pppadvogados.com.br
@patriciapeckadv
PatriciaPeckPinheiro
Pppadvogados
PatriciaPeckPinheiro Advogados
+55 11 3068 0777
Facebook.com/PPPTreinamentos
+55 11 2678 0188
PPP Treinamentos
www.istart.org.brwww.familiamaissegura.com.br
@maissegurananet
FamiliaMaisSeguraNaInternet
Instituto iStart
+55 11 2678 0188
Obrigado!
27