Lei Geral de Proteção de Dados: o que você · Lei Geral de Proteção de Dados: o que você...

1Lei Geral de Proteção de Dados: o que você precisa saber

Prof. Dr. Karin Klempp Franco

CONTEÚDO

• O que é LGPD

• Relevância prática

• Dados pessoais

• Tratamento

• Mapeamento

• Relatório de Impacto

Fundamentos da proteção de dados pessoais

❖ Privacidade

❖ Autodeterminação informativa

❖ Livre desenvolvimento da personalidade

❖ Livre iniciativa e concorrência

❖ Desenvolvimento econômico

❖ Desenvolvimento tecnológico e inovação

Lei Geral de Proteção de Dados: o que você precisa saber

Multiplicidade de normas sobre dados

LGPD

Marco Civil da

Internet

Código de Defesa

do Consumidor

Lei do Cadastro

Positivo

Leis estaduais e

municipais

Normas setoriais

Ética profissional

Lei de Acesso

à Informação

Lei da Propriedade

Industrial


O que são dados pessoais?

❖Dado pessoal

• Informação relacionada a pessoa natural identificada ou identificável.

• Dado para formação de perfil comportamental de pessoa natural

identificada.

❖Dado pessoal sensível

• Dado pessoal que possa levar à discriminação de alguma pessoa.

• Lista de exemplos na LGPD: origem racial ou étnica, convicção

religiosa, opinião política, filiação a organização de classe, religiosa,

filosófica ou política, dado referente à saúde ou sexualidade, dado

genético ou biométrico...


O que não são dados pessoais?

❖Dados de empresas e instituições

• Informação relacionada a pessoa jurídica não é dado pessoal

❖Segredos de negócio

• Dados pessoais podem ser segredo de negócio.

• Nem todo segredo de negócio é um dado pessoal .

❖Dados anonimizados

• Informação relacionada a pessoa natural cuja identificação é inviável


As informações contábeis são dados pessoais?

❖ Os dados dizem algo sobre uma pessoa física ou jurídica?

❖ Os dados dizem algo sobre algum indivíduo em especial?

❖ Tal indivíduo pode ser identificado?

❖ Os dados podem ser cruzados para obter informações

sobre um indivíduo ou identificar um indivíduo?

Independentemente da LGPD, essas informações estão sob sigilo profissional

do art. 2º, II do Código de Ética Profissional do Contabilista.


Quem está sujeito à lei?

❖ Qualquer pessoa, empresa ou órgão público que realiza que realiza tratamento de

dados pessoais...

• ... em território brasileiro; ou

• ... para oferecer ou fornecer bens ou serviços a indivíduos situados no Brasil; ou

• ... se os dados pessoais foram coletados em território brasileiro

❖Mas há exceções:

• Tratamento por um indivíduo para fins pessoais e não econômicos

• Tratamento por órgãos públicos para segurança pública, defesa e investigação

• Tratamento para fins exclusivamente jornalísticos, artísticos ou acadêmicos


Tratamento de dados pessoais

❖ Definição legal:

“toda operação realizada com dados pessoais, como as que se referem a coleta,

produção, recepção, classificação, utilização, acesso, reprodução, transmissão,

distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou

controle da informação, modificação, comunicação, transferência, difusão ou extração”

❖ Toda e qualquer etapa do ciclo de vida do dado pessoal é sujeita à nova lei

❖ Cada categoria de colaboradores deve ter acesso a apenas alguns tipos de dados –

não todos eles – conforme seja necessário e adequado.


Ciclo de vida do dado pessoal

Coleta

Recepção

Produção

Armazenamento

Arquivamento Difusão

Distribuição Acesso

Extração

UtilizaçãoProcessamento

Reprodução

Classificação

Avaliação

Controle

Eliminação

Compartilhamento

Transferência

Transmissão


As 10 bases legais presentes na LGPD

I. Mediante consentimento livre, informado e inequívoco;

II. Cumprimento de dever legal ou regulatório;

III. Execução de políticas públicas pela administração pública e concessionárias;

IV. Estudos por instituições de pesquisa sem fins lucrativos;

V. Cumprimento de contrato entre controlador e titular;

VI. Exercício regular de direitos em processo judicial, administrativo ou arbitral;

VI. Proteção da vida ou da incolumidade física de qualquer indivíduo;

VII. Tutela da saúde por profissionais e entidades da área;

VIII. Atendimento aos interesses legítimos do controlador ou de terceiro; e

IX. Proteção do crédito.

É necessária uma finalidade adequada, a garantia de transparência e dos direitos

do titular, a minimização do tratamento, e a atenção às demais regras e

princípios legais da proteção de dados


Atendimento a interesses legítimos

❖ Avaliação da legitimidade do interesse:

• Finalidade que não seja ilegal nem prejudicial ao titular do dado.

• Estrita necessidade.

• Impossibilidade de usar outras bases legais.

❖ Avaliação da legitimidade do tratamento de dados para atender ao interesse:

• O tratamento deve ser compatível com a finalidade na situação concreta.

• O tratamento deve ser compatível com as expectativas e direitos do titular.

• Transparência quanto ao tratamento.

• Minimização do tratamento e aplicação de salvaguardas ao titular.


Compartilhamento de dados entre entes privados

❖ Livre desde que haja consentimento específico do titular.

❖ Excepcionalmente os dados sensíveis só podem ser compartilhados a fim de

obter vantagem econômica conforme regulamento da ANPD.

❖ Dados sensíveis sobre saúde com o fim de obter vantagem econômica foi desde

logo proibido pela lei.

❖ Responsabilidade solidária entre os controladores em caso de infração.

Compartilhamento de dados entre

órgãos públicos

❖ Compartilhamento é autorizado apenas para execução de política pública ou

cumprimento das atribuições legais do órgão.

❖ Consentimento específico do titular dos dados é dispensado.

❖ Deve ser dada a devida publicidade do compartilhamento aos cidadãos.


Compartilhamento de dados entre

entidades públicas e privadas

❖ Compartilhamento é autorizado apenas para execução de política pública ou

cumprimento das atribuições legais do órgão.

❖ Consentimento específico do titular dos dados é necessário.

❖ Consentimento específico do titular dos dados é dispensado apenas se a

entidade privada realiza atividade pública descentralizada ou usa dados

publicamente disponíveis.

❖ Deve ser dada a devida publicidade do compartilhamento aos cidadãos.


Agentes do tratamento de dados

❖ O Controlador toma decisões sobre o tratamento dos dados pessoais:

• Responsável pelo tratamento dos dados e por garantir a segurança dos dados.

• Deve efetivar e garantir os direitos dos titulares.

• Responde pela segurança e pelo tratamento perante o titular e a ANPD.

❖ O Operador apenas obedece às decisões do controlador:

• Responsável por garantir a segurança dos dados.

• Responde pelo cumprimento da lei e das ordens do controlador.

• Responde pela segurança perante o titular e a ANPD.

• Responde pelo tratamento se desobedece às ordens do operador.


Segurança

❖Medidas técnicas e administrativas de proteção:

• Evitar acesso, destruição, perda, adulteração, comunicação ou

difusão de dados.

• Registro obrigatório das operações de tratamento, programas de

governança e regras de boas práticas corporativas.

• Nomeação de um DPO.

❖Nível de segurança adequado considerando:

• Expectativas do titular;

• Tipo de dado e processos de tratamento;

• Resultados esperados e riscos envolvidos; e

• Tecnologia disponível na época.


❖ Autoridade Nacional de Proteção de Dados - ANPD

• Agência vinculada diretamente à Presidência da república .

• Regulamenta e define padrões técnicos para viabilizar o cumprimento da lei.

• Aprova de regulamentos de governança e regras de boas práticas corporativas.

• Requisita e avalia Relatórios de Impacto à Proteção de Dados – RIPD.

• Aprova cláusulas e contratos relativos a tratamento de dados.

• Decide sobre adequação de direito estrangeiro.

• Recebe e processa comunicações de incidentes de segurança.

• Atua preventivamente e repressivamente, com a aplicação de penalidades.

• O Conselho Diretor é o órgão decisório com membros indicados pelo Presidente da

República para mandatos fixos de 4 anos.

• O Conselho Nacional da Proteção de Dados Pessoais e da Privacidade é um órgão

consultivo multissetorial: governo + academia + indústria + sociedade civil.



Mapeamento

❖ Identificação de categorias de dados pessoais tratados, seu fluxo e todos os atos de

tratamento durante seu ciclo de vida

❖ Requer uma força-tarefa composta por pessoal que entenda das atividades do dia-a-

dia, dos negócios e dos sistemas do agente de tratamento.

❖ Primeiro passo para identificar inadequações à legislação – “gap analysis”

❖ Abordagens:

“top-down” – identificação dos fluxos e definição de categorias

“bottom-up” – identificação dos dados e construção de fluxos

Relatório de impacto à proteção dos dados pessoais – RIPD

❖Mapear os dados, avaliar e descrever os processos de tratamento, bem como

identificar e os minimizar riscos.

❖ Facultativo, a menos que seja requisitado pela ANPD.

❖ Importante ferramenta para avaliar conformidade.

❖ Conteúdo: tipos de dados coletados, metodologias de coleta de dados, medidas

técnicas e administrativas de garantia de segurança dos dados, descrição de

processos de tratamento de dados, indicação de finalidades do tratamento, análise

e conclusões do controlador quanto à legalidade e garantia da segurança dos

dados, além de medidas de salvaguarda e mitigação de riscos.


Penalidades administrativas

❖ Penalidades aplicáveis individualmente ou cumulativamente

• Advertência;

• Publicidade da infração;

• Bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura;

• Multa simples por infração; e

• Multa diária até o limite máximo.

❖ As multas podem chegar a até 2% do faturamento do grupo econômico no

Brasil no último exercício, limitadas a R$ 50.000.000,00.

❖ Além das penas, há responsabilidade civil: indenização por perdas e danos.


MUITO

OBRIGADA!

Karin Klempp Franco

[email protected]

(11) 3069-9080

Lei Geral de Proteção de Dados: o que você · Lei Geral de Proteção de Dados: o que você...

Documents

Transcript of Lei Geral de Proteção de Dados: o que você · Lei Geral de Proteção de Dados: o que você...