Prévia do material em texto
Imersão LGPD Aprenda em definitivo a interpretar todos os artigos da Lei Curso Rápido Realização Conteúdo atualizado em 05/03/2021 PROTEÇÃO DE DADOS Apresentação do Instrutor Slide 2 • Prof. Matheus Passos Silva • ECPC-B Professional DPO Certification, Maastricht University • IAPP® CIPP/E, CIPM • EXIN® Certified DPO | EXIN® Certified Blockchain Foundation • Lead Implementer da Gestão da Privacidade da Informação (ISO 27701) ▪ Data Protection Officer na L’Oréal Portugal ▪ Sócio-fundador da DataUX ▪ Professor Convidado na Faculdade de Direito da Universidade NOVA de Lisboa ▪ Doutorando pela Universidade NOVA de Lisboa (proteção de dados e inteligência artificial) ▪ Doutorando pela Universidade de Lisboa (direito constitucional e eleitoral) ▪ Pós-Graduação Avançada em Direito da Proteção de Dados ▪ Graduado e Mestre em Ciência Política ▪ Graduado em Ciência da Computação ▪ Estudando Ciência de Dados no momento ☺ https://profmatheus.com @profmatheuspassos https://linkedin.com/in/davisalvesphd https://www.youtube.com/channel/UC2CR5OZ0pDAcychs27FSyiQ https://instagram.com/davisalvesphd Conteúdo do Curso • Origens e contexto histórico da LGPD • Aplicação em âmbito territorial e material • Conceitos básicos de proteção de dados • Princípios para o tratamento de dados pessoais • Bases legais • Obrigações de fornecimento de informações • Direitos dos titulares • Transferências internacionais de dados • Segurança dos dados pessoais • Supervisão da LGPD Slide 3 Material de estudo: Haverá alguns “desvios” neste caminho! Origens e contexto histórico da LGPD Curso rápido Imersão LGPD Proteção de dados: contexto Slide 5 Resposta da Europa: RGPD Slide 6 Regulamento Geral sobre a Proteção de Dados •No Brasil geralmente fala-se em GDPR – sigla em inglês Substituiu a anterior Diretiva 95/46/CE Lembrar que a ideia de proteção de dados existe na Europa pelo menos desde a década de 1970 Há legislação complementar – especialmente a Diretiva ePrivacy Resposta do Brasil: criação da LGPD Fonte: https://www.serpro.gov.br/lgpd/governo/qual-o-papel-do-agente-publico-lgpd Slide 7 https://www.serpro.gov.br/lgpd/governo/qual-o-papel-do-agente-publico-lgpd Características gerais da LGPD Slide 8 Considera-se que a LGPD seja 80% semelhante ao RGPD – a lógica da Lei brasileira segue a do Regulamento Europeu Sancionada em agosto de 2018 Entrou em vigor em setembro de 2020 – à exceção das sanções administrativas, que (ainda) entram em vigor em 1º de agosto de 2021 Estrutura da LGPD Slide 9 Capítulo I – Disposições preliminares • Objetivos • Aplicação material e territorial • Exclusões • Definições • Princípios Capítulo II – Do Tratamento de Dados Pessoais • Fundamentos de licitude • Condições aplicáveis ao consentimento • Informações a facultar ao titular • Especificidades do legítimo interesse • Tratamento de dados pessoais sensíveis • Dados anonimizados • Dados utilizados para estudos em saúde pública • Tratamento de dados de crianças e adolescentes • Término do tratamento Capítulo III – Dos Direitos do Titular Estrutura da LGPD Slide 10 Capítulo IV – Do Tratamento de Dados Pessoais pelo Poder Público • Regras • Responsabilidades Capítulo V – Da Transferência Internacional de Dados Pessoais • Possibilidades • Nível de proteção • Cláusulas-padrão contratuais Capítulo VI – Dos Agentes de Tratamento de Dados Pessoais • Controlador • Operador • Encarregado pelo tratamento de dados pessoais • Responsabilidade e ressarcimento de danos (controlador e operador) Estrutura da LGPD Slide 11 Capítulo VII – Da Segurança e das Boas Práticas • Medidas de segurança • Notificações à Autoridade Nacional (ANPD) • Boas práticas Capítulo VIII – Da Fiscalização • Sanções administrativas Capítulo IX – Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade Capítulo X – Disposições Finais e Transitórias Texto completo: https://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm https://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm O artigo 1º Slide 12 Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Aplicação em âmbito territorial e material Curso rápido Imersão LGPD Fluxos transnacionais de dados Slide 14 Fonte: Digital globalization: The new era of global flows. February 24, 2016. Disponível em https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows. Acesso em 19 out 2020. Fonte: Digital Globalization: The New Era of Global Flows. March 2016, p. vii. Disponível em https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globali zation%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.pdf. Acesso em 19 out 2020. https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globalization%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.pdf Aplicação em âmbito territorial e material Slide 15 São considerados como dados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: A operação de tratamento seja realizada no território nacional; A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou Os dados pessoais objeto do tratamento tenham sido coletados no território nacional. A que não se aplica a LGPD? Slide 16 Tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos; Tratamento realizado para fins exclusivamente: • Jornalísticos e artísticos ou acadêmicos; • Segurança pública; • Defesa nacional; • Segurança do Estado; ou • Atividades de investigação e repressão de infrações penais. A que não se aplica a LGPD? Slide 17 Também não se aplica ao tratamento de dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei. Empresa estrangeira no Brasil Slide 18 A empresa estrangeira será notificada e intimada de todos os atos processuais previstos na Lei, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil. Conceitos básicos de proteção de dados Curso rápido Imersão LGPD Conceitos relevantes Slide 20 Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (= dado “normal”). Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Cuidado com a pegadinha! Slide 21 Artigo11, § 1º: Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. Conceitos relevantes Slide 22 Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Conceitos relevantes Slide 23 Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Atenção à confusão conceitual e prática Slide 24 Um colaborador/servidor público não é operador! Conceitos relevantes Slide 25 Encarregado pelo tratamento de dados pessoais (= DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Agentes de tratamento: o controlador e o operador. Conceitos relevantes Slide 26 Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Conceitos relevantes Slide 27 Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Conceitos relevantes Slide 28 Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. Conceitos relevantes Slide 29 Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. Conceitos relevantes Slide 30 Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. Relatório de impacto à proteção de dados pessoais (= RIPD): documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Conceitos relevantes Slide 31 Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Autoridade Nacional de Proteção de Dados (= ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional. Princípios para o tratamento de dados pessoais Curso rápido Imersão LGPD Princípios da LGPD Slide 33 Boa-fé; Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; Princípios da LGPD Slide 34 Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; Princípios da LGPD Slide 35 Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; Princípios da LGPD Slide 36 Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; Princípios da LGPD Slide 37 Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Bases legais Curso rápido Imersão LGPD As hipóteses de tratamento = bases legais Slide 39 Consentimento (conforme algumas regras específicas) Cumprimento de obrigação legal ou regulatória pelo controlador Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres As hipóteses de tratamento = bases legais Slide 40 PARA A REALIZAÇÃO DE ESTUDOS POR ÓRGÃO DE PESQUISA, GARANTIDA, SEMPRE QUE POSSÍVEL, A ANONIMIZAÇÃO DOS DADOS PESSOAIS QUANDO NECESSÁRIO PARA A EXECUÇÃO DE CONTRATO OU DE PROCEDIMENTOS PRELIMINARES RELACIONADOS A CONTRATO DO QUAL SEJA PARTE O TITULAR, A PEDIDO DO TITULAR DOS DADOS As hipóteses de tratamento = bases legais Slide 41 Para o exercício regular de direitos em processo judicial, administrativo ou arbitral Para a proteção da vida ou da incolumidade física do titular ou de terceiro Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária As hipóteses de tratamento = bases legais Slide 42 Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente As hipóteses de tratamento = bases legais Slide 43 Quantas bases legais utilizar? Apenas uma. Escolha apenas uma base legal por finalidade. O tratamento de dados sensíveis Slide 44 Também precisa se fundamentar em bases legais Em suma, correspondem às mesmas bases legais acima apresentadas, à exceçãode execução de contrato e de legítimo interesse O tratamento de dados sensíveis Slide 45 Acresce-se uma nova base legal: a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos O consentimento deve ser concedido pelo titular de forma específica e destacada O tratamento de dados sensíveis Slide 46 É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. Exceções: Hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados; A portabilidade de dados quando solicitada pelo titular; As transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde. O tratamento de dados sensíveis Slide 47 É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. O tratamento de dados públicos Slide 48 O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa- fé e o interesse público que justificaram sua disponibilização. É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O tratamento posterior destes dados pessoais poderá ser realizado para novas finalidades desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na Lei. E os dados de crianças e adolescentes? Slide 49 O tratamento dos dados deverá ser realizado em seu melhor interesse. O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Obrigação: os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos. E os dados de crianças e adolescentes? Slide 50 Podem ser coletados dados de menores sem consentimento quando: Em nenhum caso poderão ser repassados a terceiro sem o consentimento dos pais ou responsável A participação de menores em jogos, aplicações de internet ou outras atividades não pode ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias à atividade. • Coleta necessária para contatar os pais ou o responsável legal; • Utilizados uma única vez e sem armazenamento; • Para a proteção da criança. E os dados de crianças e adolescentes? Slide 51 O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. As informações sobre o tratamento de dados de crianças e adolescentes deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. Há ainda os dados anonimizados Slide 52 Não são considerados dados pessoais para os fins da Lei. Exceção: quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. “Esforço razoável”: custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios. Por fim, o término do tratamento Slide 53 Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada Fim do período de tratamento Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público Determinação da ANPD quando houver violação da Lei Quando o tratamento termina? O que acontece com os dados? Slide 54 Os dados pessoais devem ser eliminados após o término de seu tratamento. É autorizada a conservação para as seguintes finalidades: Cumprimento de obrigação legal ou regulatória pelo controlador; Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização; Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei; Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. Pausa na sequência: o consentimento Curso rápido Imersão LGPD Características e exigências legais para ser válido Slide 56 O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. 01 Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. 02 Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a Lei. 03 Características e exigências legais para ser válido Slide 57 O consentimento deverá referir-se a finalidades determinadas. Autorizações genéricas para o tratamento de dados pessoais são nulas. Vício de consentimento invalida o tratamento de dados pessoais. Características e exigências legais para ser válido Slide 58 O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação dos dados por parte do titular. Características e exigências legais para ser válido Slide 59 Havendo alteração da finalidade específica do tratamento, da forma e da duração do tratamento, da identificação do controlador ou das informações acerca do uso compartilhado de dados pelo controlador e a finalidade deste uso compartilhado, o controlador deverá informá-la(s) ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração. Pausa na sequência: o interesse legítimo Curso rápido Imersão LGPD Para que serve o interesse legítimo? Slide 61 “Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.” Para que serve o interesse legítimo? Slide 62 O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: Apoio e promoção de atividades do controlador; Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. Boas práticas referentes ao interesse legítimo Slide 63 • Não existe obrigatoriedade legal de se fazer uma avaliação do legítimo interesse (LIA). • Nem no RGPD, nem na LGPD. • ICO: “Embora um teste de três partes não seja explicitamente estabelecido como tal no RGPD do Reino Unido, a disposição sobre interesses legítimos incorpora três elementos principais...”. • No entanto, sua realização é considerada como boa prática porque serve para comprovar que a empresa realmente se preocupa com a proteção de dados dos titulares. As três etapas da avaliação do legítimo interesse Slide 64 Testeda finalidade: a empresa está perseguindo um interesse legítimo? Teste da necessidade: o tratamento é necessário para a finalidade? Teste de equilíbrio/balanceamento/proporcionalidade: os interesses do titular prevalecem sobre os interesses da empresa? O resultado da avaliação do legítimo interesse Slide 65 Somente se a atividade de tratamento passar na avaliação do legítimo interesse é que esta base legal poderá ser utilizada. Uma avaliação do legítimo interesse deverá ser feita para cada atividade de tratamento que o agente de tratamento queira ver fundada nesta base legal. Obrigações de fornecimento de informações Curso rápido Imersão LGPD Informação e Transparência Slide 67 As seguintes informações devem ser amplamente divulgadas ao titular dos dados pessoais de forma clara, adequada e ostensiva: Finalidade específica do tratamento; Forma e duração do tratamento; Identificação do controlador; Informações de contato do controlador; Informações acerca do uso compartilhado de dados pelo controlador e a finalidade; Responsabilidades dos agentes que realizarão o tratamento; e Direitos do titular, com menção explícita aos direitos. Informação e Transparência Slide 68 Se o tratamento de dados pessoais tiver como base legal o consentimento e estas informações forem repassadas de maneira enganosa ou abusiva, o consentimento será considerado nulo. Se o tratamento de dados pessoais tiver como base legal o consentimento e se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento caso discorde das alterações. Informação e Transparência Slide 69 Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 da Lei. Atenção a outros itens que devem ser informados Slide 70 O nome e os contatos do DPO A existência de decisões automatizadas O mecanismo utilizado para transferências internacionais E as medidas de segurança? Outras obrigações dos agentes de tratamento Slide 71 Controlador e operador devem manter um registro das atividades de tratamento realizadas O controlador poderá ter de realizar um relatório de impacto à proteção de dados pessoais contendo: Descrição dos tipos de dados coletados Metodologia utilizada para a coleta e para a garantia da segurança das informações Análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados Outras obrigações dos agentes de tratamento Slide 72 O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. Pausa na sequência: o encarregado Curso rápido Imersão LGPD O encarregado pela proteção de dados (DPO) Slide 74 Deverá ser indicado por todos os controladores, salvo eventual futura indicação em contrário da ANPD Sua identidade e contatos deverão ser divulgadas publicamente, de preferência no site da empresa O encarregado pela proteção de dados (DPO) Slide 75 Funções: Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; Receber comunicações da ANPD e adotar providências; Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Direitos dos titulares Curso rápido Imersão LGPD Os direitos dos titulares de dados pessoais Slide 77 Os dados pessoais são dos titulares – os agentes de tratamento apenas os utilizam Em consequência, os titulares têm direitos que podem ser exercidos junto aos agentes de tratamento Os direitos dos titulares de dados pessoais Slide 78 Confirmação da existência de tratamento Acesso aos dados Correção de dados incompletos, inexatos ou desatualizados Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei Os direitos dos titulares de dados pessoais Slide 79 Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas situações em que seja autorizada a conservação Os direitos dos titulares de dados pessoais Slide 80 Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa Revogação do consentimento Peticionar em relação aos seus dados contra o controlador perante a autoridade nacional Os direitos dos titulares de dados pessoais Slide 81 Opor-se a tratamento realizado tendo como base legal outra que não o consentimento, em caso de descumprimento ao disposto na Lei Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade Como exercer estes direitos? Slide 82 Os direitos serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento O atendimento aos direitos deve ser feito de maneira gratuita para o titular Como exercer estes direitos? Slide 83 Em caso de impossibilidade de resposta imediata, o controlador enviará ao titular resposta em que poderá: Comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; Indicar as razões de fato ou de direito que impedem a adoção imediata da providência. Prazos para responder Slide 84 Confirmação da existência de tratamento e acesso aos dados: • Em formato simplificado: imediatamente; • Por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial: em até 15 dias. Demais direitos: não há prazo especificado na Lei = o mais rapidamente possível. A ANPD poderá estabelecer outros prazos para setores específicos. Pausa na sequência: uso de dados pessoais pelo poder público Curso rápido Imersão LGPD Tratamento de dados pessoais pelo Poder Público Slide 86 O tratamento de dados pessoais pelo poder público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. • Devem ser informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; • Deve ser indicado um encarregado quando realizarem operações de tratamento de dados pessoais. • Pessoa jurídica de direito público: ver parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação). Condições: Prazos e procedimentos para exercício de direitos Slide 87 Prazos e procedimentos para exercício dos direitos do titular perante o Poder Público Observarão o disposto em legislaçãoespecífica Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data) Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo) Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) Cartórios Slide 88 Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado ao poder público. Devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades anteriormente indicadas. Formato e compartilhamento de dados Slide 89 Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais. A regra e as exceções (1) Slide 90 O Poder Público não pode transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso. Execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado. Nos casos em que os dados forem acessíveis publicamente, observadas as disposições da Lei. Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres. Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, vedado o tratamento para outras finalidades. A regra e as exceções (2) Slide 91 A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à ANPD e dependerá de consentimento do titular. Exceções: Nas hipóteses de dispensa de consentimento previstas na Lei. Nos casos de uso compartilhado de dados. Nos casos das exceções apresentadas anteriormente. Infrações pelo Poder Público Slide 92 Quando houver infração à LGPD em decorrência do tratamento de dados pessoais por órgãos públicos, a ANPD poderá enviar informe com medidas cabíveis para fazer cessar a violação. A ANPD poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público. Transferências internacionais de dados Curso rápido Imersão LGPD O que são transferências internacionais? Slide 94 Compartilhamento de base de dados de RH entre empresas do mesmo grupo (matriz- filial) Armazenamento de dados em data centers fisicamente localizados no exterior Terceirização de serviço de atendimento ao consumidor Contratação de provedor de computação em serviço de nuvem estrangeiro Contratação de provedor de e-mail estrangeiro As transferências internacionais na LGPD Slide 95 Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, na forma de Cláusulas contratuais específicas para determinada transferência Cláusulas-padrão contratuais Normas corporativas globais Selos, certificados e códigos de conduta regularmente emitidos O conteúdo de todos estes itens serão definidos pela ANPD. Três situações principais Outras situações Slide 96 Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro Quando a autoridade nacional autorizar a transferência Outras situações Slide 97 Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público Quando necessário para o cumprimento de obrigação legal ou regulatória pelo controlador, para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados, ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral Segurança dos dados pessoais Curso rápido Imersão LGPD As medidas de segurança Slide 99 Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Estas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução (privacy by design). A ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável quais são as medidas de segurança técnicas e administrativas, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis. As medidas de segurança Slide 100 Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na Lei em relação aos dados pessoais, mesmo após o seu término. Sobre incidentes de segurança Slide 101 C o n te ú d o d a n o ti fi ca çã o : A descrição da natureza dos dados pessoais afetados; As informações sobre os titulares envolvidos; A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; Os riscos relacionados ao incidente; Os motivos da demora, no caso de a comunicação não ter sido imediata; e As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Em caso de violações de dados pessoais, o controlador deverá comunicar à ANPD e ao titular, em prazo razoável, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares Comunicação de incidentes de segurança Slide 102 Orientações prévias da ANPD, 2 de março de 2021 • Prazo para comunicação à ANPD: • Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente. Sobre a gravidade dos incidentes de segurança Slide 103 A ANPD verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como: Ampla divulgação do fato em meios de comunicação; Medidas para reverter ou mitigar os efeitos do incidente. No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los. Os sistemas utilizados para o tratamento de dados pessoaisdevem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares. As boas práticas Slide 104 Os controladores e operadores poderão formular regras de boas práticas e de governança Condições de organização Regime de funcionamento Procedimentos, incluindo reclamações e petições de titulares Normas de segurança Padrões técnicos Obrigações específicas para os diversos envolvidos no tratamento Ações educativas Mecanismos internos de supervisão e de mitigação de riscos Outros aspectos relacionados ao tratamento de dados pessoais As boas práticas Slide 105 A natureza O escopo A finalidade A probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados: O programa de privacidade Slide 106 Programa de governança em privacidade Demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais Ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta Ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados Estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade Ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular Estar integrado a sua estrutura geral de governança e estabelecer e aplicar mecanismos de supervisão internos e externos Contar com planos de resposta a incidentes e remediação Ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas A responsabilização e prestação de contas Slide 107 Não adianta apenas dizer que faz: tem de provar que faz, e provar que o que faz protege os dados dos titulares A responsabilização e prestação de contas Slide 108 Toda empresa deve demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da ANPD ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da Lei. As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela ANPD. Dados pessoais legados: o que fazer? Slide 109 ISTO NÃO É MOTIVO PARA QUE AS EMPRESAS ESPEREM A LEI ENTRAR EM VIGOR PARA SE ADEQUAR! A ANPD ESTABELECERÁ NORMAS SOBRE A ADEQUAÇÃO PROGRESSIVA DE BANCOS DE DADOS CONSTITUÍDOS ATÉ A DATA DE ENTRADA EM VIGOR DA LEI, CONSIDERADAS A COMPLEXIDADE DAS OPERAÇÕES DE TRATAMENTO E A NATUREZA DOS DADOS. Supervisão da LGPD Curso rápido Imersão LGPD A responsabilidade na LGPD Slide 111 O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. A responsabilidade na LGPD Slide 112 O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente A responsabilidade na LGPD Slide 113 Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. Os agentes de tratamento só não serão responsabilizados quando provarem: Que não realizaram o tratamento de dados pessoais que lhes é atribuído; Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. A Autoridade Nacional de Proteção de Dados Slide 114 Está dando seus “passos iniciais”. Órgão da administração pública federal, integrante da Presidência da República. Tem autonomia técnica e decisória. Funções básicas: fiscalizar, conscientizar, aplicar sanções, promover estudos, elaborar relatórios, editar regulamentos, realizar auditorias, editar normas, etc. As sanções administrativas Slide 115 Advertência, com indicação de prazo para adoção de medidas corretivas Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração As sanções administrativas Slide 116 Multa diária, observado o limite dos 50 milhões de reais Publicitação da infração após devidamente apurada e confirmada a sua ocorrência Bloqueio dos dados pessoais a que se refere a infração até a sua regularização Eliminação dos dados pessoais a que se refere a infração As sanções administrativas Slide 117 SUSPENSÃO PARCIAL DO FUNCIONAMENTO DO BANCO DE DADOS A QUE SE REFERE A INFRAÇÃO PELO PERÍODO MÁXIMO DE 6 (SEIS) MESES, PRORROGÁVEL POR IGUAL PERÍODO, ATÉ A REGULARIZAÇÃO DA ATIVIDADE DE TRATAMENTO PELO CONTROLADOR SUSPENSÃO DO EXERCÍCIO DA ATIVIDADE DE TRATAMENTO DOS DADOS PESSOAIS A QUE SE REFERE A INFRAÇÃO PELO PERÍODO MÁXIMO DE 6 (SEIS) MESES, PRORROGÁVEL POR IGUAL PERÍODO PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO DE ATIVIDADES RELACIONADAS A TRATAMENTO DE DADOS Procedimento administrativo para sanções Slide 118 As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: Procedimento administrativo para sanções Slide 119 A gravidade e a natureza das infrações e dos direitos pessoais afetados; A boa-fé do infrator; A vantagem auferida ou pretendida pelo infrator; A condição econômica do infrator; A reincidência; O grau do dano; A cooperação do infrator; A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da Lei; A adoção de política de boas práticas e governança; A pronta adoção de medidas corretivas; e A proporcionalidade entre a gravidade da falta e a intensidade da sanção. As sanções administrativas Slide 120 Estas sanções não substituem a aplicação de outras sanções administrativas, civis ou penais definidas no CDC No cálculo do valor das multas, a ANPD poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela ANPD, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea. Proporcionalidade na aplicação de sanções Slide 121 A ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações à Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa. Estas metodologias devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamenteas formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na Lei. O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária. Valor da multa diária Slide 122 O valor da sanção de multa diária aplicável às infrações à Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela ANPD. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento. Considerações finais Curso rápido Imersão LGPD Um fato Slide 124 A empresa que não se adequar poderá estar gerando um problema futuro para ela: será melhor responder ao titular e/ou à ANPD do que em outras instâncias, inclusive fiscalizadoras (MPDFT, Senacom, Procon, etc.) Independentemente de sanções por parte da ANPD, os titulares irão buscar seus direitos, provavelmente via Justiça Dicas importantes Slide 125 Compreender que a LGPD funda-se no princípio da responsabilidade. A empresa precisa demonstrar conformidade com as legislações de proteção de dados. A fiscalização da ANPD será sucessiva e no âmbito da legislação de proteção de dados. Garantir a segurança da informação não leva à automática proteção dos dados pessoais – são conceitos interligados, mas distintos. O que fazer? Slide 126 Para se adequar uma empresa precisa estruturar um programa de privacidade. Ainda que o conteúdo exato deste programa seja variável (em decorrência do tamanho da empresa, setor de atuação etc.), o programa tem alguns pontos gerais que se aplicam a qualquer empresa. O Programa de Privacidade Slide 127 Entendimento da visão da empresa sobre privacidade Mapeamento da situação atual da empresa Análise da situação atual da empresa Proposição de melhorias com vistas ao cumprimento das exigências legais Criação de um sistema de manutenção contínua do programa de privacidade Avaliação contínua do programa de privacidade Obrigado! Obrigado pela parceria e pela paciência ☺ Redes (LinkedIn, Instagram, YouTube): @tiexames @profmatheuspassos Slide 128