Baixe o app para aproveitar ainda mais
Prévia do material em texto
Privacidade e Proteção de Dados por vanessaprof@pm.me +55 21 3256-0859 Rio de Janeiro - BR vanessaavila.com.br vanessaavila_adv vanessadeavila vanessaavila.oficial PROFESSORA E ADVOGADA https://www.instagram.com/vanessaavila_adv/ https://www.linkedin.com/in/vanessadeavila/ https://www.facebook.com/vanessaavila.oficial Tópicos abordados O princípio da privacidade no contexto atual Os direitos dos titulares dos dados Os personagens da LGPD (titulares de dados, controlador, operador e o encarregado) Os deveres e as responsabilidades que a LGPD determina As boas práticas de governança, a fim de garantir os padrões de segurança e privacidade As sanções e as responsabilidades determinadas pela LGPD 1. 2. 3. 4. 5. 6. 1. O princípio da privacidade no contexto atual No clássico artigo The Right to Privacy, escrito a quatro mãos pelos juízes da Suprema Corte dos Estados Unidos Samuel D. Warren e Louis D. Brandeis, já se reconhecia que as mudanças políticas, sociais e econômicas demandam incessantemente o reconhecimento de novos direitos, razão pela qual necessário, de tempos em tempos, redefinir a exata natureza e extensão da proteção à privacidade do indivíduo. Independentemente do seu conteúdo, mutável com a evolução tecnológica e social, no entanto, permanece como denominador comum da privacidade somente pode ceder diante de justificativa consistente e legítima. Em seus dizeres, "a invasão injustificada da privacidade individual deve ser repreendida e, tanto quanto possível prevenida" - ADI6387 MC/DF Corpo Eletrônico Cidadania Eletrônica Direito Fundamental à Proteção de Dados Pessoais Direito de estar só Samuel Warren e Louis Brandeis The right to privacy Privacidade x Proteção de Dados 1820 França Jaquar (tecelão) 1950 IBM e outras (dados de judeus aos nazistas) 1960 Guerra Fria EUA x URSS (ARPANET) 1970 Democratização das redes nas corporações norte americanas 1980 PC Personal Computer 1990 Disseminação em massa da própria internet 2001 Convenção de Budapeste (o Brasil não é signatário ... Crimes Digitais 2. Os direitos dos titulares dos dados Direito à autodeterminação informativa Mudança de cultura e paradigmas jurídicos Soberania - sem fronteiras Testemunha - é a máquina Prova - é eletrônica Documento - sem papel Identidade - é digital (mídias sociais) Assinatura - é digital (biométrica, certificado, login, senha, token) Endereço - é eletrônico Praça pública - é a internet Ativos - intangíveis Títulos - digitais e criptotítulos ou criptomoedas (Art. 2º, II da LGPD) A quem se aplica? Pessoas física ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados. Abrangência territorial Ter estabelecimento no Brasil; Oferecer serviços ou produtos ao mercado consumidor brasileiro; Coletar e tratar dados de pessoas localizadas no Brasil. Relevante para a aplicação da lei: Meio de operação do tratamento de dados; País sede da empresa ou órgão; Localização dos dados; Nacionalidade dos titulares de dados. Irrelevante para a aplicação da lei: (Art. 3º, da LGPD) Mudança de Cultura Privacy by Desing e Privacy by Default Consideranda 78/GDPR Para poder comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a concepção (data protection by desing) e da proteção de dados por padrão (data protection by default). Proatividade, e não reatividade; (prevenir, e não remediar *trazer a cultura de PbD para o início de todo o ciclo* Privacidade como padrão (o titular dos dados não precisará tomar nenhuma atitude positiva para ter seus dados protegidos) Privacidade incorporada ao design (o core das aplicações já deve ser desenvolvido com as operações - standards/frameworks) Funcionalidade total (soma positiva) *PbD não pode ser usado como argumento para limitar funcionalidades* Segurança de ponta a ponta (proteção durante todo o ciclo de vida dos dados) Visibilidade e Transparência (total transparência para todas as partes envolvidas trazendo responsabilização e confiança) Respeito pela Privacidade do usuário (os usuários como foco dos desenvolvimentos - empoderamento do cliente) PbD - Privacy by Desing (Princípios): 1. 2. 3. 4. 5. 6. 7. Fundamentos da Lei Art. 3º, I e II; Art. 5º X e XII; Art. 7º XXVII; e Art. 219, CF I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Fundamentos LGPD Privacidade e Intimidade Li be rd ad e e A ut od et er m in aç ão Desenvolvimento e Inovação C oncorrência e D efesa do C onsum idor Ci da da nia e Di gn ida de Fundamentos Constitucionais Art. 5º X e XII; Art. 7º XXVII; e Art. 219, CF I - o respeito à privacidade*; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Coletam informações já disponíveis da rede _fornecidas pelos titulares selecionam as úteis e valiosas reconstroem sob nova formatação Rastreiam orientações sexuais, perfis de consumo e áreas de interesse dos usuários à revelia desses, visando à construção de perfis (profiling) com base em seu comportamento. Como funciona? Técnicas de Mineração de Dados (data mining) *Declaração Universal dos Direitos Humanos, proclamada em Paris, pela Assembléia Geral das Nações Unidas, em 10/12/1948 Autodeterminação Informativa Real poder de controle. Quais dados estão nas mãos de quem? Como estão sendo acolhidos? Qual nível de controle temos sobre este armazenamento? Princípio da autodeterminação informativa Convenção do Conselho da Europa, 28/01/1981 e a Recomendação da OCDE de 23/09/1980 a. Princípio da Correção b. Princípio da exatidão c. Princípio da finalidade d. Princípio da publicidade dos bancos de dados e. Princípio do acesso individual f. Princípio da segurança física e lógica Dados Pessoais Informação relacionada a pessoa natural IDENTIFICADA ou IDENTIFICÁVEL (Possibilidade de identificação) Informação sobre a individualidade da pessoa (Poder discriminatório, Saúde e Biométrico) Atenção aos DADOS DE CRIANÇAS E ADOLESCENTES Dados anonimizados x Dados pseudoanonimizados O que são e quais os tipos? Dados Pessoais (comuns) Dados Pessoais Sensíveis Tratamento de Dados O que significa? Toda forma de movimentação e uso de um dado coleta produção recepção classificação utilização acesso reprodução transmissão distribuição processamento arquivamento armazenamento eliminação avaliação ou controle da informação modificação comunicação transferência difusão ou extração Bem jurídico tutelado é a privacidade (Físico ou Digital) 3. Os personagens da LGPD (titulares de dados, controlador, operador e o encarregado) Titular de Dados É o protagonista da lei Autodeterminação informativa Personagens da Lei Sentença de 15 de dezembro de 1983 (BVerfGE 65,1 ), o Tribunal Constitucional Federal da Alemanha Princípio da autodeterminação informativa Convenção do Conselho da Europa, 28/01/1981 e a Recomendação da OCDE de 23/09/1980 a. Princípio da Correção b. Princípio da exatidão c. Princípio da finalidade d. Princípio da publicidade dos bancos de dados e. Princípio do acesso individual f. Princípio da segurança física e lógica OPERADOR É quem realiza o tratamento em nome do controlador. Agentesde Tratamento CONTROLADOR A quem compete as decisões sobre o tratamento de dados. Personagens da Lei ENCARREGADO DE DADOS É o canal de comunicação com os titulares e a Autoridade Nacional de Proteção de Dados Encarregado de Dados (DPO) Personagens da Lei É a pessoa indicada pelo Controlador e pelo Operador (Art. VIII) - pode ser natural ou jurídica (termo "pessoa" genérico) A ANPD regulamentará os casos em que o Operador deverá indicar Encarregado (Art. 41, §4º, I) É o canal de comunicação entre o Controlador, os Titulares de Dados e a Autoridade Nacional (Art. 5º, VIII) Data Protection Officer - Art. 42, §2º Autoridade Nacional de Proteção de Dados - ANPD Personagens da Lei zelar pela proteção dos dados pessoais elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular Órgão Federal que edita normas e fiscaliza procedimentos sobre proteção de dados pessoais Competências: Criada pela Lei 13.853/2019 Decreto nº 10.474, de 26 de agosto de 2020 Estrutura regimental: 36 cargos, sendo 16 em comissão remanejados e 20 funções comissionadas pelo Poder Executivo Por que? Em nível internacional, a Autoridade Nacional é peça chave para o Brasil ser considerado adequado perante as normas européias de proteção de dados. 4. Os deveres e as responsabilidades que a LGPD determina Fundamentos da Lei I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Fundamentos LGPD Privacidade e Intimidade Li be rd ad e e A ut od et er m in aç ão Desenvolvimento e Inovação C oncorrência e D efesa do C onsum idor Ci da da nia e Di gn ida de Fundamentos Sociais e Econômicos V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e CAPÍTULO II DA DECLARAÇÃO DE DIREITOS DE LIBERDADE ECONÔMICA Art. 3º São direitos de toda pessoa, natural ou jurídica, essenciais para o desenvolvimento e o crescimento econômicos do País, observado o disposto no parágrafo único do art. 170 da Constituição Federal: (...) VI - desenvolver, executar, operar ou comercializar novas modalidades de produtos e de serviços quando as normas infralegais se tornarem desatualizadas por força de desenvolvimento tecnológico consolidado internacionalmente, nos termos estabelecidos em regulamento, que disciplinará os requisitos para aferição da situação concreta, os procedimentos, o momento e as condições dos efeitos; (...) X - arquivar qualquer documento por meio de microfilme ou por meio digital, conforme técnica e requisitos estabelecidos em regulamento, hipótese em que se equiparará a documento físico para todos os efeitos legais e para a comprovação de qualquer ato de direito público; Lei nº 13.874q2019, instituiu a Declaração de Liberdade Econômica http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art170p Livre Iniciativa e Livre Concorrência Estado Agente Regulador do desenvolvimento econômico, estimula a produção de riquezas investindo em infraestrutura, saúde, educação e segurança. Mercado Satisfaz as necessidades dos consumidores, independentemente do tipo de segmento e, com os impostos cobrados nas transações e empregos gerados, repassam ao Estado o dinheiro. legislação trabalhista legislação tributária políticas de crédito legislações segmentadas Quatro pilares fundamentais: Desenvolvimento Econômico Promoção do desenvolvimento social e econômico https://economia.uol.com.br/noticias/redacao/2020/09/05/cade-mostra-preocupacao-com-a- defesa-da-concorrencia-nos-mercados-digitais.htm Princípios Código de Defesa do Consumidor Educação - art. 4º, IV e art. 6º, II Informação - art. 6º, III; art. 9º; art. 31 e 43 Transparência - art. 4º, art. 9º, art. 43, § 2º e art. 54, § 4º Boa fé objetiva - art. 4º, III e art. 51, VI Segurança - art. 4º, II 'd',V; 6º, I; art. 8º, art. 10 e art. 12, § 1º Vulnerabilidade - art 4º, I Facilidade da defesa do consumidor - art. 6º, VIII Princípios da LGPD Princípio da Finalidade Propósito Para qual finalidade eu trato o dado? Finalidade: clara, específica e objetiva. Propósitos legítimos, explícitos e informados ao titular Sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, sob o risco de caracterizar DESVIO de finalidade. Princípios da LGPD Princípio da Necessidade Limitação do tratamento ao mínimo necessário para a realização de suas finalidades. Abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. MINIMIZAÇÃO DOS DADOS Timming - momento adequado. Princípios da LGPD Princípio da Transparência Informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. Gera eficiência. Diferencial competitivo. Princípios da LGPD Princípio da Adequação Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. O meio de coleta e o momento do dado pessoal precisam ser adequados para atingir a finalidade determinada. Princípios da LGPD Princípio do Livre Acesso Garante ao titular a consulta facilitada e gratuita sobre a forma e a duração do tratamento, e a integridade de seus dados pessoais. Direitos dos titulares. Garante Transparência. Limites: segredo comercial / industrial e proteção de dados de terceiros (possibilidade de eliminação de dados de terceiros). Como? Peticionamento simples (email, telefone, presencial) Onde? Canais de Acesso, DPO Princípios da LGPD Princípio da Qualidade Exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. O que adianta ter dados incorretos? Garantia da integridade dos dados. Princípios da LGPD Princípio da Não Discriminação Impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos. Inteligência Artificial e learning machine - Verificação para evitar resposta algorítmica ilícita e incoerente. Inteligência Artificial no Judiciário Garantias Fundamentais Processuais Essas novas tecnologias devem passar necessariamente por esse filtro das garantias fundamentais processuais. BUSCAS DE SOLUÇÕES TECNOLÓGICAS: + de 64 projetos de AI espalhados pelos tribunais do País; Atualmente o Poder Judiciário brasileiro coexiste com 3 fases; (envolve um pensar diferenciado da forma de tratamento dos designs dos litígios). (Uma busca da implementação de uma corte 100% digital online) Fase inicial de digitalização Automação Im pl an ta çã o de A I Inteligência Artificial no Judiciário (Redes Neurais Convolucionais) Art. 20, LGPD e Resolução 332 CNJ Ferramentas de controle Accountabilities Direito de saber quais critérios foram usados para se chegar àquela determinada vinculação. Necessidade de termos do uso de ferramentas de IA. Princípio da Publicidade Processual Precisa ser visto de forma mais ampla, para abranger a idéia de TRANSPARÊNCIA ALGORÍTMICA. Princípio da Transparência - LGPD Princípios da LGPD Princípio da Segurança Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Garantia de tratamento seguro. Necessidade de investimento (dinheiro, tempo, profissionais, tecnologias novas) em meios técnicos de segurança. Credibilidade Vazamentode dados acontecem pela insuficiência de segurança no tratamento. Princípios da LGPD Princípio da Prevenção Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Cultura de proteção de dados. Mitigação e/ou minimização de possíveis situações de risco. Privacy by Design Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (...) § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. As empresas devem agir antes dos problemas e não depois Princípios da LGPD Princípio da Prestação de Contas Demonstração por todos os meios possíveis, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Registros das atividades e dos processo de implementação. Dossiê permanente e detalhado. Princípios da LGPD Princípio da Prestação de Contas Políticas corporativas, inclusive educativas; Registro das operações de tratamento (incluindo Data Mapping); Atividades do encarregado; Relatórios de impacto; e Registros de incidentes de segurança. COMO MONTAR UM DOSSIÊ? Cinco grupos, todos pensados e elaborados com base nos princípios gerais (art. 6º da LGPD): 1. 2. 3. 4. 5. Guarda dos documentos. Princípios da LGPD Faça a seguinte avaliação: Tem finalidade clara e específica? Os dados são necessários para atingir essa finalidade? Os meios são adequados para o tratamento de dados? Foi feita alguma discriminação nesse tratamento? Os dados estão atualizados e garantem qualidade ao titular? Estou usando meios de segurança? Sobre prevenção, existe minimização dos riscos referentes são tratamento desses dados? Há transparência no tratamento desses dados? O titular tem garantido o livre acesso para saber o que está sendo feito com seus dados? Está tudo documentado? PARA SABER SE ESTÃO SENDO OBSERVADOS: NÃO (para alguma das questões) VOLTE e revise seu processo de tratamento SIM (para todas as questões) SIGA EM FRENTE! Todo tratamento de dados precisa estar de acordo com TODOS os princípios da lei. 5. As boas práticas de governança, a fim de garantir os padrões de segurança e privacidade 2001 Convenção de Budapeste (o Brasil não é signatário ... Relação da LGPD no ordenamento jurídico 1990 LEI 8.078 Código de Defesa do Consumidor 2011 Lei 12.527 Acesso à Informação (LAI)2012 Lei 12.737 Carolina Dieckmann 2013 Decreto Federal nº7.962 e nº 7.963 2014 Marco Civil da Internet 2018 Lei 13.709 (LGPD) e Medida Provisória 869 Lei Geral de Proteção de Dados & Autoridade Nacional de Proteção de Dados 2019 LC nº 166 Cadastro Positivo e Lei 13.853 Regulamenta a LGPD Princípios Código de Defesa do Consumidor Educação - art. 4º, IV e art. 6º, II Informação - art. 6º, III; art. 9º; art. 31 e 43 Transparência - art. 4º, art. 9º, art. 43, § 2º e art. 54, § 4º Boa fé objetiva - art. 4º, III e art. 51, VI Segurança - art. 4º, II 'd',V; 6º, I; art. 8º, art. 10 e art. 12, § 1º Vulnerabilidade - art 4º, I Facilidade da defesa do consumidor - art. 6º, VIII Lei nº 12.527/2011 - Lei de Acesso a Informação (LAI) Disciplina o direito de acesso a informação previsto na CF, promovendo a transparência das informações de posse do poder público. Art. 5º, XXXIII, CF "todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado". Semelhança com a LGPD: tratamento de dados pessoais com confidencialidade, integridade e disponibilidade, alinhadas aos princípios da prevenção e da segurança. Lei da Transparência Lei nº 12.737/2012 - Lei Carolina Dieckmann Dispõe sobre a tipificação de direitos informáticos, tornando crime a invasão de dispositivos alheios para obtenção de dados pessoais e falsificação de documentos particulares. Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. Superior Tribunal de Justiça (STJ) - sobre o núcleo verbal do tipo (invadir) em contraste com a prática do crime de furto contido no art. 155,§4º, CP: Direito penal. Furto qualificada. Subtração de valores de conta- corrente. Fraude pela internet. Litispendência não verificada. Desclassificação para invasão de dispositivo informático alheio. Art. 154-A do CP. Não ocorrência. Não há falar em desclassificação para o Art. 154-A do Código Penal, pois os réus, mediante sua conduta, não apenas "invadiram dispositivo eletrônico alheio para obter vantagem ilícita", tendo efetivamente subtraido a quantia de R$ 3.046,97 (...) pertencentes a vítima. Incide, por óbvio, o art. 155, §4º, do CP. (STJ, REsp 1.484.289, Rel.Min. Reynaldo Soares da fonseca, DJe 08/04/2016). Decreto Federal nº 7.962/2013 - Lei do E-commerce Regulamenta a Lei nº 8.078, de 11 de setembro de 1990, para dispor sobre a contratação no comércio eletrônico. Exige identificação completa do fornecedor no site; Exige o endereço físico e eletrônico no site; Informações devem ser claras e precisas; Resumo e contrato completo devemser disponibilizados; Obriga etapa de confirmação de compra; Regras para o atendimento eletrônico e canais de acesso; Discorre sobre segurança das informações; Direito de arrependimento (empresa deve informar e permitir); Regras para estornos solicitados; Regras para as compras coletivas. A internet não é "Terra de ninguém". Lei nº 12.965/2014 - Marco Civil da Internet Constituição da Internet Liberdade de expressão Privacidade de dados Neutralidades de rede Princípios do MCI Quem oferece a internet é responsável por eventuais crimes virtuais. IP da conexão MAC Address do dispositivo Datas, horários e duração das conexões. Sites e aplicações que seus visitantes acessam O que deve ser registrado e guardado por 1 ano: O que não pode registrar: Art. 11 "(...) obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros." Art. 14 "Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicação de internet." Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. https://m.facebook.com/DefensoriaPublicaSP/photos/a.132028353534375/1034546226615912/?type=3&locale2=fr_FR https://cpiciber.codingrights.org/retencao-de-dados/ Tipos de Provedores Provedor de Aplicação Provedor de Conexão Usuário 6. As sanções e as responsabilidades determinadas pela LGPD Sanções Administrativas Advertência com prazo para correção Multa até 2% do faturamento (limite R$ 50.000.000,00) Multa diária Bloqueio e/ou eliminação dos dados pessoais Publicização da infração Processo administrativo: garantia da ampla defesa Gravidade e natureza das infrações e dos direitos afetados Reincidência Adoção de mecanismos internos para minimizar o dano Boa-fé do infrator Vantegem auferida Condição econômica Grau do dano Cooperação Adoção de políticas de boas práticas e governança Pronta adoção de medidas corretivas Proporcionalidade Parâmetros e Critérios para Aplicação da Sanção Bases Legais Consentimento Obrigação legal ou regulatória Execução de políticas públicas Órgãos de estudos e pesquisas Execução Contratual Exercício regular de direito em processo judicial, administrativo ou arbitral Proteção davida Tutela da saúde Interesse legítimo Proteção do crédito Para cada finalidade uma base legal Dados Sensíveis Dados Comuns Consentimento Obrigação legal ou regulatória Execução de políticas públicas Órgãos de estudos e pesquisas Exercício regular de direito, em contrato e processo judicial, administrativo ou arbitral Proteção da vida Tutela da saúde Proteção a fraude e segurança Para cada FINALIDADE, uma BASE que justifique o tratamento Qual é a minha justificativa? Consentimento Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei. § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei. § 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. Art.7º, I, Art. 8º, LGPD e Art. 219, CF Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. § 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. § 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei. § 3º É vedado o tratamento de dados pessoais mediante vício de consentimento. § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei. § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração. Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: § 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. § 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. § 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei. Consentimento Livre = devo ter escolha; Granularidade = não vale o consentimento "tudo ou nada" - ESPECÍFICO; Informado e inequívoco = finalidade, duração, controlador, compartilhamento, responsabilidades e direitos do titular; Forma (expresso) = escrita, áudio, vídeo Armazenamento necessário Manifestação livre, informada e inequívoca do titular de dados para que seja realizado o tratamento. Características e requisitos Livre Es pe cí fic o Inequívoco Expresso Gr an ula r a qualquer momento manifestação expressa do titular por procedimento gratuito e facilitado Revogação do Consentimento 1. 2. 3. E tudo que foi tratado até aquele momento? O que deve ter no termo de Consentimento? Aceite livre, informado e inequívoco (sem dúvidas) sobre o tratamento dos dados pessoais conforme LGPD Obrigação Legal ou Regulatória Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; Exigência de lei - Previsão legal - Sem oposição Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: II - para o cumprimento de obrigação legal ou regulatória pelo controlador; Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador; Regulação dos Setores, legislação fiscal, trabalhista etc. Importante conhecer: Execução de Contrato Obrigação prevista em contrato Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; E-commerce - compra e venda - compartilhamento com empresa de transporte Programa de fidelidade ou Serviços de Milhagem Serviços de TV a cabo - Endereço onde será localizado Tratamento (inclusive compartilhamento e armazenamento) Exemplos: 1. 2. 3. negociação, proposta e aceitação indicativo de interesse, de propósito entre os contratantes Pedidos de orçamentos Processo de seleção de emprego Imobiliárias Procedimentos preliminares Fase pré-contratual Exemplos: Exercício regular de direitos em processo judicial, administrativo ou arbitral Direito de acesso à justiça Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; Sem consentimento Garantia direito constitucional Armazenamento de dados para fins de defesa (garantia a ampla defesa e contraditório) Prazos prescricionais Agentes envolvidos na resolução dos litígios? Advogados /Juízes / Promotores / Assistentes / Árbitros / Defensores / Procuradores Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimentodo titular, nas hipóteses em que for indispensável para: d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm Tutela da saúde Serviços essenciais a saúde Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; O que é um serviço de saúde? Quem são os profissionais de saúde? Conselhos Federais Legislações esparsas Jurisprudências Perguntas: Importante acompanhar: Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou Quando usar a base da tutela da saúde? H ospitais e clínicas Fa rm ác ia s e in dú st ria s fa rm ac eu tic as Ope rado ra de p lano de saúd e Clínica de estética e emagrecimento ? academia ? Con sult ório s méd icos e odo ntol ógic os Laboratórios In dú st ria s de p ró te se s Clínicaveterinária Proteção da vida ou da incolumidade física A vida do titular ou do terceiro está em risco Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; uma pessoa chega desacordada no pronto atendimento de uma unidade de saúde, em estado de urgência. Os primeiros socorros serão realizados sem seu consentimento. Suspeitas de sequestros - geolocalização Catástrofes e calamidade pública Casos excepcionais Exemplos: 1. 2. 3. Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou Execução de Políticas Públicas Base legal setorial Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; Desenvolvimento de Políticas Públicas Saúde, transporte, segurança, ensino, economia etc. Leis e Regulamentos Contratos, Convênios ou Instrumentos congêneres Finalidade: Tratamento e uso compartilhado: Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral. Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei. § 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto: I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ; II - (VETADO); III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei. IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou (Incluído pela Lei nº 13.853, de 2019) V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. (Incluído pela Lei nº 13.853, de 2019) § 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional. http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 Execução de Pesquisas Fins diversos da pesquisa acadêmica Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas. (...) Art. 5º Para os fins desta Lei, considera-se: XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: II - realizado para fins exclusivamente: b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei Pontos importantes Por órgãos de pesquisa (arts. 5, X V III; 7, IV e 11, II) Obr igaç ão d e anon imiz ação (art. 50, X) Fins excl usiv ame nte acad êmi cos (art .4,II ,b) Para realização de estudos (arts. 7, IV e 11, II) U so c om n ov as fin al id ad es (a rt . 7 , § 7 º) Obrigação de finalidade, boa-fé, interesse público (art. 7, §3º) Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; Legítimo Interesse e seu relatório de impacto Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas,que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Finalidades legítimas Legítimas expectativas Dados estritamente necessários Garantia da transparência Atende aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Relatório de Impacto (teste do legítimo interesse - LIA) Proteção ao Crédito Made in Brazil Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (Redação dada pela Lei nº 13.853, de 2019) Vigência § 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. § 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais. Aplica-se a apontamentos negativos ou a scoring? Aguarda-se manifestações da ANPD. Possibilidade de exclusão das informações inseridas no cadastro mediante requerimento do cadastrado (sistema opt-out) http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm#art65.. Cadastro Positivo x LGPD Pontos importantes Princípios da finalidade, adequação, necessidade e transparência da LGPD I. a garantia aos cadastrados de que poderão requerer a correção ou o cancelamento do cadastro (art. 5º, I e III); II. a possibilidade de acesso do cadastrado às suas informações no banco de dados (art. 5º, II) III. a informação aos cadastrados dos critérios considerados para análise de risco de crédito (art. 5º, IV); IV. a necessidade de informação prévia aos cadastrados sobre a identidade do gestor responsável pelos dado e sobre o armazenamento e o objetivo do tratamento dos dados pessoais (art. 5º, V), que deve estar em consonância com o cumprimento da finalidade para a qual os dados pessoais foram coletados (art. 5º, VIII). Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Proteção à Faude e Segurança cadastramento biométrico reconhecimento facial Processos de identificação e autenticação de cadastro em sistemas eletrônicos. Exemplo: dados pessoais sensíveis referentes à saúde com objetivo de obter vantegem econômica prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde incluídos os serviços auxiliares de diagnose e terapia em benefício dos interesses dos titulares de dados para permitir: I) a portabilidade de dados quando solicitada pelo titular; ou II) as transações financeiras e administrativas resultantes do uso e da prestação dos serviços (...) Compartilhamento É vedado quando: Exceções: Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. § 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. § 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei. § 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo. § 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade. § 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. § 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. Dados de Crianças e Adolescentes Estatuto da Criança e do Adolescente Art. 2º Considera-se criança, para os efeitos desta Lei, a pessoa até doze anos de idade incompletos, e adolescente aquela entre doze e dezoito anos de idade. Atenção aos dados de crianças e adolescentes! Direitos dos Titulares Requisição expressa do titular De forma gratuita Confirmação da existência: Autodeterminação Informativa Limite: segredo comercial Acesso aos dados: Resposta: meio eletrônico seguro ou impresso Prazo: Imediato ou em 15 dias Armazenamento: em formato que favoreça o direito de acesso Requerimento expresso do titular Sobre uso compartilhado de dados Sobre a possibilidade de não fornecimento de consentimento Informação: indicar as razões comunicar que não é o agente resposta simples Impossibilidade de adoção imediata da providência? Direitos dos Titulares retorno rápido (sem prazo) Princípio da qualidade avisar as empresas com as quais houve compartilhamento do dado Correção de dados incompletos, inexatos e desatualizados Autodeterminação Informativa Recebemos sua solicitação de retificação e efetuamos a mudança. Dentro de um prazo máximo de 7 dias úteis (...) Anonimização: técnica de desvinculação Anonimização, bloqueio ou eiliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei: Padrões de respostas rápidas. quando a base legal não for consentimento Oposição: Direitos dos Titulares possibilidade de exportar seus dados pessoais de um sistema para outro segredo comercial e industrial Portabilidade: AutodeterminaçãoInformativa Exceto na hipótese de término do tratamento de dados, quando a manutenção ocorre por: obrigação legal estudo por órgão de pesquisa transferência a terceiro uso exclusivo do controlador, vedado acesso de terceiro e anonimizado Eliminação dos dados tratados com consentimento: manifestação expressa procedimento gratuito e facilitado ratificados os atos anteriores Revogação do consentimento: Revisão de decisões automatizadas Legislações pertinentes Lei n 8.078, de 11 de setembro de 1990 - CDC Convenção de Budapeste - entrou em vigor em 01 de julho de 2004 - Brasil não é signatário Lei nºs 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação Lei nº 12.737, de 30 de novembro de 2012 - Lei Carolina Dieckmann Decreto nº 7.963, de 15 de março de 2013 - Institui o Plano Nacional de Consumo e Cidadania e cria a Câmara Nacional das Relações de Consumo. Lei nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet Regulamento Geral sobre a Proteção de Dados - GDPR 2016/679 Lei nº 14.155, de 27 de maio de 2021 - alterações Código Penal Lei nº 14.129, de 29 de março de 2021 - Governo Digital http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%208.078-1990?OpenDocument http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/DEC%207.963-2013?OpenDocument http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%2012.965-2014?OpenDocument http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%2014.129-2021?OpenDocument Indicações Privacidade Haqueada - Documentário O Quinto Poder (2013) - Filme Black Mirror (2011) - Série Unit 42 / Unidade 42 (2017) Dark Net (2016) - Série Americana Scorpion (2014) O Jogo da Imitação - Filme Inimigo do Estado - Filme A Rede Social (2010) - Filme Risk (2016) - Filme Silicon Valley (2014) - Série Sujeito a Termos e Condições (2013) - Filme Snowden: Hérói ou Traidor? (2017) Filme 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Obrigada!
Compartilhar