Upload
renato-monteiro
View
695
Download
4
Embed Size (px)
Citation preview
Polêmicas
Polêmicas
Polêmicas
Polêmicas
Polêmicas
Polêmicas
8
Polêmicas
• ebay:145 milhões de pessoas afetadas;
• JPMorgan Chase & Co.: 76 milhões de contas de
pessoas físicas e 7 milhões de contas
empresariais;
• Home Depot: 56 milhões de cartões de crédito
afetados;
• CHS community Health Systems: 4,5 milhões de
pessoas afetadas;
• Michaels Stores: 2,6 milhões de pessoas
afetadas;
• Nieman Marcus: 1,1 milhão de pessoas
afetadas;
http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
9
Polêmicas
77% das empresas admitem que tiveram
vazamento de dados no último ano, por
conta de algum tipo de incidente. A
principal causa citada para isso é a perda
ou o roubo de equipamentos, seguida
por ataques à rede, vulnerabilidades dos
dispositivos móveis, Web 2.0 e e-mails
enviados para remetentes errados.
http://www.ponemon.org/local/upload/file/2014%20The%20Year%20of%20the%20Mega%20Breach%20FINAL3.pdf
12
Legislação Internacional
1973: US Fair Information Principles;
1980: OECD Guidelines Governing the Protection of Privacy and Transborder Data Flowsof Personal Data;
1981: Council of Europe Convention for Protection of Individuals with Regard to theAutomatic Processing of Personal Data;
1995: EU Data Protection Directive (EC 46/95);
2002: EU Directive on privacy and electronic communications (EC2002/58);
2004: APEC – Asian Pacific Economic Cooperation PrivacyFramework;
2009: Madrid Resolution – International Standard on the Proctection of Personal Data;
2014: Anulação da Diretiva Europeia de Retenção de RegistrosEletrônicas
A INTERNET É AUSENTE DE LEIS SOBRE PRIVACIDADE DE DADOS???!!!
13
Existe legislação?
Legislação Nacional – Proteção Setorial
Constituição Federal de 1988;
LEI 8.078/1990: Código de Defesa do Consumidor;
LEI 9.472/97: Lei Geral de Telecomunicações;
LEI 9.507/97: Habeas Data;
LEI 9.983/2000: crime de inserção de dados falsos em sistemas de informações da
administração pública;
LEI COMPLEMENTAR 105/2001: sigilo das operações de instituições financeiras
2002: Novo Código Civil;
Portaria nº 5/2002 da SDE/MJ: tornou abusiva cláusulas em contratos de consumo
que autorizavam o envio de dados pessoais sem o consentimento prévio.
Legislação Nacional – Proteção Setorial
LEI 12.414/2011: disciplinou o cadastro positivo e certos aspectossobre proteção de dados pessoais no ambiente creditício (julgamentoSTJ);
LEI 12.527/2011: lei de acesso a informação (Art. 31);
LEI 12.737/2012: crime de invasão de dispositivosinformáticos (Lei Carolina Dieckmann);
DECRETO 7962/2013: regulamentou comércio eletrônico;
LEI 12.846/2013: lei anticorrupção;
LEI 12.965/2014: Marco Civil da Internet;
2015: Anteprojeto de Proteção de Dados Pessoais.
16
Lei 12.737/2012
Art. 154-A. Invasão
Invadir dispositivo informático alheio +Violação indevida de mecanismo de segurança +Com o fim de obter, adulterar ou destruir dados ou informações sem autorização dotitular
Ou instalar vulnerabilidades para obter vantagem ilícita.
Art. 154-A, § 2º Aumenta-se a pena de um sexto a um terço se da invasão resultaprejuízo econômico.
Art. 154-A, §3º Reclusão, de 6 (seis) meses a 2 (dois) anos se da invasão resultar:
A obtenção de conteúdo de comunicações eletrônicas privadas;A obtenção de segredos comerciais ou industriais;A obtenção de informações sigilosas, assim definidas em lei, ouO controle remoto não autorizado do dispositivo invadido.
17
Regulamentação
19
Marco Civil (Lei n.º 12.965/2014)
- Princípios:
Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: (...)
II - proteção da privacidade;
III - proteção dos dados pessoais, na forma da lei;
20
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
I - inviolabilidade da intimidade e da vida privada, suaproteção e indenização pelo dano material ou moraldecorrente de sua violação; [Art. 5º, X/CF]
II - inviolabilidade e sigilo do fluxo de suas comunicaçõespela internet, salvo por ordem judicial, na forma da lei;[Art. 5º, XII/CF]
III - inviolabilidade e sigilo de suas comunicaçõesprivadas armazenadas, salvo por ordem judicial; [Art. 5º,XII/CF]
21
Direitos e garantias dos usuários
22
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VI - informações claras e completas constantes doscontratos de prestação de serviços, com detalhamento sobreo regime de proteção aos registros de conexão e aosregistros de acesso a aplicações de internet, bem comosobre práticas de gerenciamento da rede que possam afetarsua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais,inclusive registros de conexão, e de acesso a aplicações deinternet, salvo mediante consentimento livre, expresso einformado ou nas hipóteses previstas em lei;
Algumas solicitações invasivas do Facebook Messenger:
• Permissão para alterar o estado de conectividade de rede;
• Permissão para fazer ligações sem intervenção do usuário,possivelmente causando cobranças adicionais sem necessidade de confirmação;
• Permissão para envio de mensagens SMS sem necessidadede intervenção ou confirmação;
• Permissão para gravação de áudio com o microfone docelular sem confirmação do usuário;
• Permissão de uso da câmera para fazer fotos e vídeos sema confirmação do usuário;
• Permissão para leitura do histórico de chamadas. Estes dados são apenas salvos,mas outros apps maliciosos podem compartilhar estas informações semconhecimento do usuário;
• Permissão para ler dados sobre contatos do usuárioarmazenados no telefone, para ver com que frequênciavocê se comunica com um indivíduo em específico portelefone, e-mail ou outras formas de contato;
• Permissão para identificar o usuário pelas informações guardadas no celular, com nome einformações de contato. Estes dados podem ser enviados para terceiros;
• Permissão para acessar recursos de identificação do celular, possibilitando o reconhecimentoaté mesmo o número telefônico do usuário;
• Permissão para receber uma lista de contas conhecidas no telefone, incluindo quaisquer appsinstalados no aparelho.
Facebook MessengerPolítica de Privacidade
24
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
VIII - informações claras e completas sobre coleta, uso,armazenamento, tratamento e proteção de seus dados pessoais, quesomente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou emtermos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento etratamento de dados pessoais, que deverá ocorrer de forma destacadadas demais cláusulas contratuais;
LIVRE
EXPRESSO
INFORMADO
CONSENTIMENTO
26
Marco Civil (Lei n.º 12.965/14)
- Demais previsões – Direitos dos usuários (Artigo 7º)
X - exclusão definitiva dos dados pessoais que tiverfornecido a determinada aplicação de internet, a seurequerimento, ao término da relação entre as partes,ressalvadas as hipóteses de guarda obrigatória de registrosprevistas nesta Lei;
XI - publicidade e clareza de eventuais políticas de uso dosprovedores de conexão à internet e de aplicações de internet;
27
Segurança
Art. 13. Na provisão de conexão à internet, cabe aoadministrador de sistema autônomo respectivo o dever demanter os registros de conexão, sob sigilo, em ambientecontrolado e de segurança, pelo prazo de 1 (um) ano, nostermos do regulamento.
Art. 15. O provedor de aplicações de internet constituído naforma de pessoa jurídica e que exerça essa atividade de formaorganizada, profissionalmente e com fins econômicos deverámanter os respectivos registros de acesso a aplicações deinternet, sob sigilo, em ambiente controlado e de segurança,pelo prazo de 6 (seis) meses, nos termos do regulamento.
28
APL de Proteção de Dados Pessoais
29
• Dado pessoal;• Dados sensíveis;• Consentimento;• Possibilidade de negar o tratamento de
dados pessoais;• Autoridade de garantia;• Privacy Officer;• Transferências internacionais de dados;• Normas Corporativas Globais;• Binding Corporate Rules – BCRs;• Vazamentos de dados e notificações
obrigatórias;• Responsabilidade;• Sanções;• Vacatio legis.
Principais pontos
30
O que é dado pessoal?
• Lei de Acesso à Informação (banco de dados públicos)– Art. 4º Para os efeitos desta Lei, considera-se: IV - informação pessoal: aquela
relacionada à pessoa natural identificada (dados cadastrais) ou identificável (dado emcontexto);
• Lei de Cadastro Positivo– § 3º Ficam proibidas as anotações de: II - informações sensíveis, assim
consideradas aquelas pertinentes à origem social e étnica, à saúde, à informaçãogenética, à orientação sexual e às convicções políticas, religiosas e filosóficas.
• Marco Civil da Internet: ???
• Anteprojeto de Lei de Dados Pessoais:
– Dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusivea partir de números identificativos, dados locacionais ou identificadores eletrônicos.Desta forma, tags, registros de geolocalização e até mesmo números IP podem,eventualmente, ser considerados dados pessoais.
– Dados sensíveis: dados pessoais que revelem a origem racial ou étnica, religiosas,filosóficas ou morais, opiniões políticas, saúde, vida sexual, dados genéticos.
– Dados anônimos?
31
Princípios
• Finalidade: legítimas, específicas, explícitas e conhecidas do titular;
• Adequação: compatível com a finalidade e com as expectativas do titular,não excessivos;
• Necessidade: mínimo necessário para as finalidades almejadas;
• Livre acesso: modalidades de tratamento e a integridade de seus dadospessoais;
• Qualidade de dados: exatidão, clareza e atualização dos dados;
• Transparência: informações claras e adequadas sobre o tratamento;
• Segurança: medidas de proteção proporcionais para proteção contraacessos não autorizados;
• Prevenção: prevenir a ocorrência de danos em virtude do tratamento;
• Discriminação: tratamento não pode ser para fins discriminatórios.
32
Consentimento
33
Enforcement
• Autoridade de garantia: provável criação de uma entidadeadministrativa específica para supervisionar a aplicação da Leide Proteção de Dados Pessoais, conhecida como “DataProtection Authority”. O APL usa a expressão “órgãocompetente”, sem definição que agência pública receberá taiscompetências;
• Privacy Officer: conceituada como “encarregado”, ou seja, apessoa responsável dentro da empresa pelas operações epolíticas de tratamento de dados pessoais e pela comunicaçãocom o órgão competente, a versão anterior determinava quetoda empresa com mais de 200 funcionários deveria criar talcargo. A nova versão não delimita um tamanho específico;
34
Principais pontos
• Vazamentos de dados e notificações obrigatórias:
• Comunicação imediata ao órgão competente sobre a ocorrência dequalquer incidente de segurança que possa acarretar prejuízo aos titularesdos dados pessoais;
• Titulares devem ser comunicados diretamente toda vez que houver umrisco a sua segurança pessoal ou possa causar danos, a ser determinadopelo órgão competente;
• Responsabilidade subjetiva: responsabilidade desde que provadaculpa;
• Sanções: podem variar desde multa até proibição, por um períodode até 10 anos, de tratamento de dados pessoais;
• Vacatio legis: o vacatio de 120 dias, período que as empresas eórgãos públicos sujeitos a lei terão para se adaptar.
Obras sobre o tema!
35