Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
1Lei Geral de Proteção de Dados: o que você precisa saber
Prof. Dr. Karin Klempp Franco
CONTEÚDO
• O que é LGPD
• Relevância prática
• Dados pessoais
• Tratamento
• Mapeamento
• Relatório de Impacto
Fundamentos da proteção de dados pessoais
❖ Privacidade
❖ Autodeterminação informativa
❖ Livre desenvolvimento da personalidade
❖ Livre iniciativa e concorrência
❖ Desenvolvimento econômico
❖ Desenvolvimento tecnológico e inovação
Lei Geral de Proteção de Dados: o que você precisa saber
Multiplicidade de normas sobre dados
LGPD
Marco Civil da
Internet
Código de Defesa
do Consumidor
Lei do Cadastro
Positivo
Leis estaduais e
municipais
Normas setoriais
Ética profissional
Lei de Acesso
à Informação
Lei da Propriedade
Industrial
Lei Geral de Proteção de Dados: o que você precisa saber
O que são dados pessoais?
❖Dado pessoal
• Informação relacionada a pessoa natural identificada ou identificável.
• Dado para formação de perfil comportamental de pessoa natural
identificada.
❖Dado pessoal sensível
• Dado pessoal que possa levar à discriminação de alguma pessoa.
• Lista de exemplos na LGPD: origem racial ou étnica, convicção
religiosa, opinião política, filiação a organização de classe, religiosa,
filosófica ou política, dado referente à saúde ou sexualidade, dado
genético ou biométrico...
Lei Geral de Proteção de Dados: o que você precisa saber
O que não são dados pessoais?
❖Dados de empresas e instituições
• Informação relacionada a pessoa jurídica não é dado pessoal
❖Segredos de negócio
• Dados pessoais podem ser segredo de negócio.
• Nem todo segredo de negócio é um dado pessoal .
❖Dados anonimizados
• Informação relacionada a pessoa natural cuja identificação é inviável
Lei Geral de Proteção de Dados: o que você precisa saber
As informações contábeis são dados pessoais?
❖ Os dados dizem algo sobre uma pessoa física ou jurídica?
❖ Os dados dizem algo sobre algum indivíduo em especial?
❖ Tal indivíduo pode ser identificado?
❖ Os dados podem ser cruzados para obter informações
sobre um indivíduo ou identificar um indivíduo?
Independentemente da LGPD, essas informações estão sob sigilo profissional
do art. 2º, II do Código de Ética Profissional do Contabilista.
Lei Geral de Proteção de Dados: o que você precisa saber
Quem está sujeito à lei?
❖ Qualquer pessoa, empresa ou órgão público que realiza que realiza tratamento de
dados pessoais...
• ... em território brasileiro; ou
• ... para oferecer ou fornecer bens ou serviços a indivíduos situados no Brasil; ou
• ... se os dados pessoais foram coletados em território brasileiro
❖Mas há exceções:
• Tratamento por um indivíduo para fins pessoais e não econômicos
• Tratamento por órgãos públicos para segurança pública, defesa e investigação
• Tratamento para fins exclusivamente jornalísticos, artísticos ou acadêmicos
Lei Geral de Proteção de Dados: o que você precisa saber
Tratamento de dados pessoais
❖ Definição legal:
“toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração”
❖ Toda e qualquer etapa do ciclo de vida do dado pessoal é sujeita à nova lei
❖ Cada categoria de colaboradores deve ter acesso a apenas alguns tipos de dados –
não todos eles – conforme seja necessário e adequado.
Lei Geral de Proteção de Dados: o que você precisa saber
Ciclo de vida do dado pessoal
Coleta
Recepção
Produção
Armazenamento
Arquivamento Difusão
Distribuição Acesso
Extração
UtilizaçãoProcessamento
Reprodução
Classificação
Avaliação
Controle
Eliminação
Compartilhamento
Transferência
Transmissão
Lei Geral de Proteção de Dados: o que você precisa saber
As 10 bases legais presentes na LGPD
I. Mediante consentimento livre, informado e inequívoco;
II. Cumprimento de dever legal ou regulatório;
III. Execução de políticas públicas pela administração pública e concessionárias;
IV. Estudos por instituições de pesquisa sem fins lucrativos;
V. Cumprimento de contrato entre controlador e titular;
VI. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
VI. Proteção da vida ou da incolumidade física de qualquer indivíduo;
VII. Tutela da saúde por profissionais e entidades da área;
VIII. Atendimento aos interesses legítimos do controlador ou de terceiro; e
IX. Proteção do crédito.
É necessária uma finalidade adequada, a garantia de transparência e dos direitos
do titular, a minimização do tratamento, e a atenção às demais regras e
princípios legais da proteção de dados
Lei Geral de Proteção de Dados: o que você precisa saber
Atendimento a interesses legítimos
❖ Avaliação da legitimidade do interesse:
• Finalidade que não seja ilegal nem prejudicial ao titular do dado.
• Estrita necessidade.
• Impossibilidade de usar outras bases legais.
❖ Avaliação da legitimidade do tratamento de dados para atender ao interesse:
• O tratamento deve ser compatível com a finalidade na situação concreta.
• O tratamento deve ser compatível com as expectativas e direitos do titular.
• Transparência quanto ao tratamento.
• Minimização do tratamento e aplicação de salvaguardas ao titular.
Lei Geral de Proteção de Dados: o que você precisa saber
Compartilhamento de dados entre entes privados
❖ Livre desde que haja consentimento específico do titular.
❖ Excepcionalmente os dados sensíveis só podem ser compartilhados a fim de
obter vantagem econômica conforme regulamento da ANPD.
❖ Dados sensíveis sobre saúde com o fim de obter vantagem econômica foi desde
logo proibido pela lei.
❖ Responsabilidade solidária entre os controladores em caso de infração.
Compartilhamento de dados entre
órgãos públicos
❖ Compartilhamento é autorizado apenas para execução de política pública ou
cumprimento das atribuições legais do órgão.
❖ Consentimento específico do titular dos dados é dispensado.
❖ Deve ser dada a devida publicidade do compartilhamento aos cidadãos.
Lei Geral de Proteção de Dados: o que você precisa saber
Compartilhamento de dados entre
entidades públicas e privadas
❖ Compartilhamento é autorizado apenas para execução de política pública ou
cumprimento das atribuições legais do órgão.
❖ Consentimento específico do titular dos dados é necessário.
❖ Consentimento específico do titular dos dados é dispensado apenas se a
entidade privada realiza atividade pública descentralizada ou usa dados
publicamente disponíveis.
❖ Deve ser dada a devida publicidade do compartilhamento aos cidadãos.
Lei Geral de Proteção de Dados: o que você precisa saber
Agentes do tratamento de dados
❖ O Controlador toma decisões sobre o tratamento dos dados pessoais:
• Responsável pelo tratamento dos dados e por garantir a segurança dos dados.
• Deve efetivar e garantir os direitos dos titulares.
• Responde pela segurança e pelo tratamento perante o titular e a ANPD.
❖ O Operador apenas obedece às decisões do controlador:
• Responsável por garantir a segurança dos dados.
• Responde pelo cumprimento da lei e das ordens do controlador.
• Responde pela segurança perante o titular e a ANPD.
• Responde pelo tratamento se desobedece às ordens do operador.
Lei Geral de Proteção de Dados: o que você precisa saber
Segurança
❖Medidas técnicas e administrativas de proteção:
• Evitar acesso, destruição, perda, adulteração, comunicação ou
difusão de dados.
• Registro obrigatório das operações de tratamento, programas de
governança e regras de boas práticas corporativas.
• Nomeação de um DPO.
❖Nível de segurança adequado considerando:
• Expectativas do titular;
• Tipo de dado e processos de tratamento;
• Resultados esperados e riscos envolvidos; e
• Tecnologia disponível na época.
Lei Geral de Proteção de Dados: o que você precisa saber
❖ Autoridade Nacional de Proteção de Dados - ANPD
• Agência vinculada diretamente à Presidência da república .
• Regulamenta e define padrões técnicos para viabilizar o cumprimento da lei.
• Aprova de regulamentos de governança e regras de boas práticas corporativas.
• Requisita e avalia Relatórios de Impacto à Proteção de Dados – RIPD.
• Aprova cláusulas e contratos relativos a tratamento de dados.
• Decide sobre adequação de direito estrangeiro.
• Recebe e processa comunicações de incidentes de segurança.
• Atua preventivamente e repressivamente, com a aplicação de penalidades.
• O Conselho Diretor é o órgão decisório com membros indicados pelo Presidente da
República para mandatos fixos de 4 anos.
• O Conselho Nacional da Proteção de Dados Pessoais e da Privacidade é um órgão
consultivo multissetorial: governo + academia + indústria + sociedade civil.
Lei Geral de Proteção de Dados: o que você precisa saber
Lei Geral de Proteção de Dados: o que você precisa saber
Mapeamento
❖ Identificação de categorias de dados pessoais tratados, seu fluxo e todos os atos de
tratamento durante seu ciclo de vida
❖ Requer uma força-tarefa composta por pessoal que entenda das atividades do dia-a-
dia, dos negócios e dos sistemas do agente de tratamento.
❖ Primeiro passo para identificar inadequações à legislação – “gap analysis”
❖ Abordagens:
“top-down” – identificação dos fluxos e definição de categorias
“bottom-up” – identificação dos dados e construção de fluxos
Relatório de impacto à proteção dos dados pessoais – RIPD
❖Mapear os dados, avaliar e descrever os processos de tratamento, bem como
identificar e os minimizar riscos.
❖ Facultativo, a menos que seja requisitado pela ANPD.
❖ Importante ferramenta para avaliar conformidade.
❖ Conteúdo: tipos de dados coletados, metodologias de coleta de dados, medidas
técnicas e administrativas de garantia de segurança dos dados, descrição de
processos de tratamento de dados, indicação de finalidades do tratamento, análise
e conclusões do controlador quanto à legalidade e garantia da segurança dos
dados, além de medidas de salvaguarda e mitigação de riscos.
Lei Geral de Proteção de Dados: o que você precisa saber
Penalidades administrativas
❖ Penalidades aplicáveis individualmente ou cumulativamente
• Advertência;
• Publicidade da infração;
• Bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura;
• Multa simples por infração; e
• Multa diária até o limite máximo.
❖ As multas podem chegar a até 2% do faturamento do grupo econômico no
Brasil no último exercício, limitadas a R$ 50.000.000,00.
❖ Além das penas, há responsabilidade civil: indenização por perdas e danos.
Lei Geral de Proteção de Dados: o que você precisa saber