Baixe o app para aproveitar ainda mais
Prévia do material em texto
Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Estudo clássico de Latanya Sweeney - Carnegie Mellon University – Ano: 20001 Fonte: http://dataprivacylab.org/projects/identifiability/paper1.pdf 87% da população pôde ser identificada com exclusividade baseado no cruzamento dos dados do CEP, gênero e data de nascimento. 50% da população pode ser identificada com exclusividade baseado no cruzamento dos dados do município, gênero e data de nascimento. Proposição: o uso de dados demográficos simples muitas vezes Identificam pessoas com exclusividade INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Estudo realizado pelo Media Lab do Instituto de Massachussets (MIT) – Ano 2015 Fonte: http://brasil.elpais.com/brasil/2015/01/29/ciencia/1422520042_066660.html Base de dados Transações de pagamentos eletrônicos de 1,1 milhão de clientes em 10.000 lojas durante os meses de janeiro e março de 2014 Dados observados 4 Transações, os dias e a lista de lojas dessas transações. 4 Transações, dias, lojas e valores gastos. Resultado 1 Em 90% dos casos é possível individualizar a pessoa. Resultado 2 Em 94% dos casos é possível individualizar a pessoa. Proposição: Algoritmos matemáticos permitem identificar uma pessoa baseando-se em seus hábitos de compra – Uso de metadados. INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Tratamento ilegal de dados pessoais. A lei prevê a proteção dos dados pessoais contra o quê? A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute PJ DIREITO PRIVADO (art. 44º do Código Civil de 2002): As associações; As sociedades; As fundações; As organizações religiosas; Os partidos políticos; As empresas individuais de responsabilidade limitada. INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Art. 2º da LGPDP: A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Destacando: A autodeterminação informativa*: a capacidade da pessoa natural de poder decidir sobre o acesso aos seus dados pessoais, por terceiros, desde que tenha os elementos informativos para amparar para tal decisão. - É obrigação do Controlador fornecer as informações sobre tais dados e seu tratamento. * Art. 2º, inciso II. INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Entendendo a LGPD Aplicação (Art. 3º) Aplica-se a lei a qualquer operação de tratamento, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: INTRODUÇÃO O tratamento seja realizada no território nacional. O tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços. O tratamento de dados seja de indivíduos localizados no território nacional Os dados pessoais objeto do tratamento tenham sido coletados no território nacional (mesmo que de um estrangeiro) Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Entendendo a LGPD Não Aplicação (Art. 4º) Realizado por pessoa natural para fins exclusivamente particulares e não econômicos. Realizado para fins exclusivamente jornalístico e artísticos. Realizado para fins acadêmicos, aplicando-se os arts. 7º e 11º. Realizado para fins exclusivos de segurança pública; defesa nacional; segurança do Estado ou atividades de investigação e repressão de infrações penais. INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Entendendo a LGPD Não Aplicação (Art. 4º) Proveniente de fora do território nacional e que não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequados ao previsto nesta lei. INTRODUÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS FUNDAMENTOS E REGULAMENTAÇÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS Privacy and Data Protection Essentials - © HSI Institute. Todos os direitos reservados. Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.1 – O que é privacidade? 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.1.1 – O que é privacidade? 1.1 – Definições Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Intitulada “The Tradeoff Falacy” (“A falácia do tradeoff), a pesquisa entrevistou 1506 usuários de internet residentes nos EUA entre fevereiro e março de 2015, e mostrou que 91% dos entrevistados não acreditam que ser vigiado por empresas sem aviso, em troca de descontos, seja uma troca justa. 84% dos entrevistados gostariam de ter controle sobre o que os publicitários e as empresas podem descobrir sobre eles através de suas atividades na internet. 65% acreditam que não exercem quase nenhum controle sobre quais informações pessoais podem ser coletadas. Para um dos autores da pesquisa, o professor Joseph Turow, da Universidade da Pensilvânia, a maior preocupação que advém dos resultados é que, a longo prazo, as pessoas deixem de confiar na “própria instituição do comércio”. Apenas 43% dos entrevistados diz que aceitaria descontos e facilidades sem saber que tipo de informação as empresas comerciais podem obter. Fonte: https://www.cartacapital.com.br/sociedade/voce-trocaria-sua-privacidade-por-descontos-em-produtos-4348/ 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.1 – Definições 1.1.1 – O que é privacidade? Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute O direito à privacidade, concebido como uma tríade de direitos – direito de não ser monitorado; direito de não ser registrado e direito de não ser reconhecido (direito de não ter registros pessoais publicados) – transcende, pois, nas sociedades informacionais, os limites de mero direito de interesse privado para se tornar um dos fundamentos do Estado Democrático de Direito. VIANNA, Túlio Lima. Transparência pública, opacidade privada: o direito como instrumentode limitação do poder na sociedade de controle. Rio de Janeiro: Revan, 2007, pag. 116 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.1 – Definições 1.1.1 – O que é privacidade? Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.2 – Relação da Privacidade com Proteção de Dados Pessoais BASE LEGAL ANO DECLARAÇÃO UNIVERSAL DH 1948 CONSTITUIÇÃO FEDERAL 1988 LEI 8.078 - CDC 1990 LEI 10.406 - CÓDIGO CIVIL 1916/2002 LEI 9.296 - INTERCEPTAÇÃO 1996 LEI 9.472 - LGT 1997 LEI 9.507 - HABEAS DATA 1997 LEI 9.983 – SOBRE A INSERÇÃO DADOS FALSOS NA ADM PÚBLICA 2000 LC 105 - SIGILO BANCÁRIO 2001 PORTARIA 5 MIN. JUSTIÇA/SDE – CLÁUSULAS ABUSIVAS 2002 RESOLUÇÃO 245 CONATRAN – RASTREAMENTO VEÍCULO 2007 BASE LEGAL ANO RESOLUÇÃO CFM 1.821 – SRE PM 2007 DL 6.135 – CAD ÚNICO OS/GF 2007 DL 6.425 – CENSO ANUAL EDUCAÇÃO 2008 DL 6.523 – SAC 2008 LEI 12.414 – CADASTRO POSITIVO 2011 LEI 12.527 – LAI 2011 LEI 12.737 – CRIMES NA INTERNET (LEI “CAROLINA DIECKMANN”) 2012 DL 7.962 – COMÉRCIO ELETRÔNICO 2013 LEI 12.965 – MCI 2015 DL 8.771 – REGULAMENTO MCI 2015 DL 8.777 – POLÍTICA DADOS ABERTOS 2016 BASE LEGAL ANO LEI 13.444 – ID CIVIL NACIONAL 2017 DL 9319 – SIST NAC TRANSF DIGITAL 2018 DL 9637 – PNSI 2018 LEI 13.709 – LGPDP 2018 LEI 13.787 – PRONTUÁRIO MÉDICO 2018 COM. BACEN OPEN BANKING 2019 DL 9854 – PN INTERNET DAS COISAS 2019 DL 10.046 – COMPARTILHAMENTO DE DADOS NA APF 2019 PORTARIA 96 – GLOSSÁRIO SI 2019 LEI 14.010 – VIGÊNCIA DOS DISPOSITIVOS SOBRE PENALIDADES 2020 DECRETO 10.332 – ESTRATÉGIA DO GOVERNO DIGITAL PARA APF 2020 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.2 – Definição histórica de Privacidade É o direito à reserva de informações pessoais e da própria vida privada: the right to be let alone (literalmente "o direito de ser deixado em paz"), segundo o jurista norte- americano Louis Brandeis, que foi provavelmente o primeiro a formular o conceito de direito à privacidade, juntamente com Samuel Warren. Brandeis inspirou-se na leitura da obra do filósofo Ralph Waldo Emerson, que propunha a solidão como critério e fonte de liberdade. VIANNA, Túlio Lima. Transparência pública, opacidade privada: o direito como instrumento de limitação do poder na sociedade de controle. Rio de Janeiro: Revan, 2007, pag. 106 e 107. 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.2 – Definição histórica de Privacidade 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.2 – Privacidade no Brasil A privacidade é, indiscutivelmente, um dos bem mais íntimos do ser humano, pois sem ela o homem é violado em sua personalidade. Diante disso, a Constituição Federal de 1988, declarou no seu artigo 5°, inciso X, sobre a inviolabilidade à intimidade, à vida privada, à honra e a imagem das pessoas, bem como assegurou o direito a indenização por eventuais danos decorrentes de sua violação. Portanto, a privacidade tem um estatuto constitucional de inviolabilidade, como termo em que deferem também as garantias individuais fundamentais do direito vida, à liberdade, à igualdade, à segurança e à propriedade. 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute LGPDP – CONCEITOS E PRINCÍPIOS Dados Pessoais Lei Titular Controlador Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.3 – LGPDP e os seus conceitos Art. 5º da LGPDP: Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; (Continua) 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Art. 5º da LGPDP - continuação: VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019) IX - agentes de tratamento: o controlador e o operador; X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (Continua) 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.1 – Definições 1.1.3 – LGPDP e os seus conceitos Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Art. 5º da LGPDP - continuação: XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados; XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; (Continua) 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.1 – Definições 1.1.3 – LGPDP e os seus conceitos Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Art. 5º da LGPDP - continuação: XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativoslegalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e (Redação dada pela Lei nº 13.853, de 2019) e XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional (Redação dada pela Lei nº 13.853, de 2019). 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.1 – Definições 1.1.3 – LGPDP e os seus conceitos Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.3 – LGPDP e os seus conceitos Art. 5º, X da LGPDP: Tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. DESTACANDO 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.3 – LGPDP e os seus conceitos Art. 12º da LGPDP: Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. DESTACANDO 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.1 – Definições 1.1.3 – LGPDP e os seus conceitos Art. 13º, § 4º, da LGPDP: Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. DESTACANDO 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.0 – O que são Dados Pessoais? Conforme a definição legal (art. 5º, I, da LGPDP), o dado pessoal é a informação relacionada a uma pessoa natural, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa. Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e estão abrangidos no âmbito de aplicação da LGPDP. Dados pessoais que tenham sido tornados anônimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível. O conceito de dados pessoais não se limita a informações que possam ser consideradas prejudiciais à vida privada e familiar do indivíduo. Nem o meio em que a informação está contida é relevante e isso inclui informações disponíveis sob qualquer forma: texto, figuras, gráficos, fotografia, vídeo, áudio ou qualquer outro meio possível. Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.0 – O que são Dados Pessoais? Exemplos de Dados Pessoais: O nome e apelido; O endereço de uma residência; O número de um cartão de identificação; Dados de localização; Um endereço IP (protocolo de internet); Registros de conexão (cookies); O identificador do seu telefone. ................................................................. Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.1 – Definição de Dados Pessoais pela LGPDP Art. 5º LGPDP: Informação relativa a uma pessoa natural identificada ou identificável. É considerada identificável uma pessoa natural que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural. Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.1 – Definição de Dados Pessoais pela LGPDP Alargamento da qualificação do dado como pessoal Pessoa identificada Pessoa determinada/específica Vínculo imediato, direto, preciso ou exato Retração da qualificação do dado como pessoal Vínculo mediato, indireto, impreciso ou inexato CRITÉRIOS PARA DEFINIÇÃO DO CONCEITO DE DADOS PESSOAIS EXPANSIONISTA REDUCIONISTA Pessoa identificável Pessoa indeterminada Fonte: Proteção de dados pessoais: a função e os limites do consentimento / Bruno Ricardo Bioni. – 2ª ed. - Rio de Janeiro: Forense, 2020 – pag. 60. Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.2 – Tipos de Dados Pessoais • Identificação Direta: realizada sem uso de informação adicional. • Identificação Indireta: necessita de informação adicional. • Dado Pseudonimizado: dado não associado ao titular, obtido através de processo que pode ser revertido com o uso de informação adicional mantida separadamente pelo Controlador (conforme art. 13º, § 4º, da LGPD). • Anonimizado: dado não associado ao titular, obtido através de processo que, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, não pode ser revertido (conforme art. 5º, III, da LGPD). Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Direto: dados pessoais que podem ser atribuídos a um dado digital específico sem o uso de informações adicionais, por ex.: foto, DNA ou biometria. Indireto: dados que não podem ser atribuídos a um indivíduo de dados específico sem o uso de informações adicionais, por exemplo: endereço IP, placa do carro, RENAVAN, etc. Por exemplo, a placa numérica de um carro é um dado pessoal indireto, porque é possível rastrear o carro até seu proprietário usando informações adicionais (nesse caso, as informações em um banco de dados eram as placas relacionadas aos proprietários dos carros). O mesmo é válido para números exclusivos atribuídos a pessoas pelo governo (número de previdência social) ou por um provedor de serviços internet (endereço IP), que pode ser vinculado a um único indivíduo. O fato de nem todos os controladores poderem rastrear uma placa de carro, número de segurança social ou endereço IP para o indivíduo associado é irrelevante. O fato de que isso seja possível, faz com que sejam dados pessoais indiretos. 1.2 – Dados Pessoais 1.2.2 – Tipos de Dados Pessoais Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Pseudonimizaçãode Dados: significa o processamento de dados pessoais de tal maneira que os dados pessoais não podem mais ser atribuídos a um sujeito específico sem o uso de informações adicionais. Todavia se o processo é reversível por meio de uma chave, considera-se dado pessoal. Exemplo: Um exemplo pode ser uma câmera registrando quantos carros passam por uma ponte em uma estrada. O número da placa é dado pessoal indireto. O controlador então substituiria cada número de placa de licença por uma chave exclusiva (pseudônimo), mantendo uma tabela separada ligando cada chave à placa correspondente. O controlador pode então enviar esses dados sob pseudônimo para um processador, mantendo as chaves em um local seguro. Anonimização: significa que nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser identificada. Dados anonimizados de uma pessoa NÃO são considerados dados pessoais. Exemplo: para uma pesquisa de mercado sobre saúde e hábitos alimentares, um grupo selecionado de entrevistados é chamado. Nomes, números de telefone e outros dados dos entrevistados são conhecidos e mantidos em um banco de dados para o qual os titulares dos dados deram sua permissão. Eles estão sendo chamados de vez em quando para colaborar em uma pesquisa. Nessa pesquisa específica sobre saúde e hábitos alimentares, os dados identificáveis são apagados após a coleta das informações necessárias para a pesquisa, ficando apenas informações como masculino/feminino e faixa etária vinculadas às informações sobre saúde e hábitos alimentares. 1.2 – Dados Pessoais 1.2.2 – Tipos de Dados Pessoais Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.3 – Categorias especiais de Dados Pessoais Dado Pessoal Sensível (art. 5º, II, LGPD) Origem racial ou étnica; Convicção religiosa; Opinião política; Filiação sindical; Filiação à organização religiosa, filosófica ou política; Saúde ou à vida sexual; Genético ou biométrico, vinculado a pessoa natural. Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Dados pessoais: nome completo, RG, CPF, e-mail, endereço, entre outros. Dados pessoais sensíveis: opção sexual, convicções religiosas, filosóficas ou políticas, entre outros. IDENTIFICAÇÃO DISCRIMINAÇÃO 1.2 – Dados Pessoais 1.2.4 – Distinção entre Dados Pessoais e Dados Pessoais Sensíveis Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas ANPD; CNPDPP; Controlador; Operador; Encarregado de Proteção de Dados; Partes Interessadas Externas: Clientes/Fornecedores/Terceiros; Partes Interessadas Internas: Conselho de Administração/Acionistas/etc. Titular ou Representante Legal (art. 18º, § 3º). Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS Papel e Responsabilidade EditarAregulamentosAeAprocedimentos Fiscalizar e aplicar sanções mediante processo administrativo f elarApelaAproteonoAdeAdadosApessoais 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD CNPDPP I - Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; III - Sugerir ações a serem realizadas pela ANPD; IV - Elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; V - Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Controlador e Operador (Agentes de tratamento) 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Controlador e Operador (Agentes de tratamento) Pontos de Atenção: Princípio da Responsabilidade: registro das atividades. Legítimo Interesse x RIPDP. Relacionamento entre Controlador e Operador: contrato!!!!!. Responsabilidade pela atividade de tratamento de dados pessoais: obrigação de repará-lo. 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Controlador e Operador (Agentes de tratamento) Pontos de Atenção: Medidas de segurança e sigilo dos dados: Medidas Físicas, Técnicas e Organizacionais; Princípio by design e by default; Segurança mesmo após o término: ressaltando a importância da segurança fim a fim; Sistema de Gestão da Segurança da Informação (ISO 27001); Plano de Resposta à Violação de Dados Pessoais. Boas práticas e governança: Sistema de Gestão de Privacidade de Informação (ISO 27701; Plano de Gerenciamento de solicitações, reclamações e retificações; Gestão de riscos. 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD ESCOLHA BEM SEU ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS! 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD QUEM PODE SER O DPO DA SUA ORGANIZAÇÃO? 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD QUEM QUER SER O DPO DA SUA ORGANIZAÇÃO? 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Encarregado pelo Tratamento de Dados Pessoais Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 1º a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. § 2º as atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. § 3º a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuiçõesdo encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Destacando: Alta direção Partes Interessadas Internas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Partes Interessadas Externas Destacando: Fornecedores 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Partes Interessadas Externas Destacando: Fornecedores Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Partes Interessadas Externas Destacando: Fornecedores Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD A. 15.1.2 Identificando segurança da informação nos acordos com fornecedores Controle Adicional ...especifique nos acordos com fornecedores se o DP é tratado e as medidas mínimas técnicas e organizacionais... Cumpra com as suas obrigações de proteção de DP e segurança da informação. 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Partes Interessadas Externas Destacando: Fornecedores Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Partes Interessadas Externas Destacando: Fornecedores Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.2 – Dados Pessoais 1.2.5 – Papéis, Responsabilidades e Partes Interessadas Partes Interessadas Externas Destacando: Fornecedores Fonte: ABNT NBR ISO/IEC 27001:2013, ANEXO A Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Consentimento do Titular Obrigação Legal/Regulatória do Controlador Administração Pública atuando na execução de políticas públicas Estudos por órgãos de pesquisas Execução de contrato, a pedido do titular Exercício regular direitos em processo judicial, administrativo ou arbitral. Proteção da vida ou incolumidade física do titular ou de terceiro Tutela da saúde Legítimo interesse Proteção do crédito O tratamento será lícito se preencher ao menos um dos requisitos abaixo, conforme art. 7º, LGPD: 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD I - Consentimento Conforme art. 8º, da LGPD, o Titular dos dados deve dar o consentimento de forma ativa e clara e a Organização tem de conseguir demonstrar a todo o momento que o consentimento foi obtido de acordo com a LGPD. O titular dos dados pode retirar o consentimento a qualquer momento. Transparência mediante comunicação clara; texto direto e objetivo; informar riscos; idioma português do Brasil. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD I - Consentimento 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD II – Obrigação Legal ou Regulatória pelo Controlador Em caso de existência de conformidade legal/regulatória (Federal, Estadual ou Municipal); Conformidade contratual não está amparada no artigo 7º, inciso II. Exemplos: i. Manutenção de registro de acesso à Internet pelos provedores; ii. Retenções legais (IRRFPF); iii. FGTS; iv. INSS; v. ... 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD III – Adm. Pública para tratamento e compartilhamento necessários à execução de políticas públicas Exemplos: i. Saúde; ii. Educação; iii. Economia; iv. Saneamento Básico; v. Trabalho; vi. ... 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD IV – Estudos por órgãos de pesquisa • Atenção para o conceito de órgão de pesquisa: “órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico”. • Recomenda-se a anonimização dos dados. • Cumprimento dos princípios da LGPD. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD V – Execução de contratos ou procedimentos preliminares Direitos e obrigações firmados contratualmente: Exemplo: Aquisição de produtos ou serviços. Procedimentos preliminares a formalização do contrato: Exemplo: Levantamento para concessão de crédito/financiamento. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD VI – Exercício regular de direitos • Previsões constitucionais: Inafastabilidade da apreciação pelo Poder Judiciário; Ampla defesa e contraditório. • Exercício regular de direitos, mas não em qualquer âmbito, mas somente nas esferas: Judicial: ação contra devedor; Administrativo: agência reguladora; Arbitral: de acordo com lei 9307/96. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOSE REGULAMENTAÇÃO EM P&PD VII – Proteção da vida ou incolumidade física do titular ou de terceiro • Relevância do bem jurídico “vida” em relação ao bem jurídico “privacidade”; • Tratamento de dados pessoais em caráter de exceção: Geolocalização, em caso de acidentes; Geolocalização, em caso de sequestro; ... 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD VIII – Tutela da saúde • Profissionais da área de saúde: médicos, enfermeiros, entre outros; • Autoridade sanitária, membros integrantes do Sistema Único de Saúde - SUS: FIOCRUZ; Instituto Vital Brasil; Hospitais públicos. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD IX - Legítimo Interesse . DIREITOS E LIBERDADES FUNDAMENTAIS DO TITULAR LEGÍTIMO INTERESSE 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD IX - Legítimo Interesse A exemplo do que ocorre no GDPR, não há na LGPD definição específica do que vem a ser “legítimo interesse”. A LGPD diz: Art. 10. O legítimo interesse do Controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do Controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do Controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O Controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao Controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD IX: Legítimo Interesse FINALIDADE NECESSIDADE BALANCEAMENTO DECISÃO Legitimidade Fato concreto Proporcionalidade Minimização Direitos e Liberdades Fundamentais Expectativa legítima Transparência Salvaguardas 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Dica de estudo adicional: LIA – Legitimate Interest Assessment https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate- interests/how-do-we-apply-legitimate-interests-in-practice/ 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento IX - Legítimo Interesse . https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD X – Proteção do crédito • Atividade de risco. • Criação de entidades de proteção ao crédito. • Mitigação do risco. • Cadastro Positivo x Cadastro Negativo. • Prudente aguardar manifestação da ANPD. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.0 – DEZ hipóteses para realizar o tratamento 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Princípios da Lei – Artigo 6º FINALIDADE dRTcSPTRÊc UIT ADEQUAÇÃO SEGURANÇA NECESSIDADE PREEENÇÃO LIVRE ACESSO NÃO DISCRIMINAÇÃO QUALIDADE DOS DADOS RESPONSABILIIAÇÃO/PRESTAÇÃO DE CONTAS 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.1 – Conceito de Limitação de Propósito Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Os dados pessoais somente serão coletados para fins (art. 6º, I): • Legítimo: vai além da referência à LGPD, pois abarca outras áreas do direito; • Específico: o objetivo da coleta deve ser especificado; • Explícito: deve ser claro, não deixar dúvidas. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.1 – Princípio da Finalidade E tais fins serão devidamente informados ao titular dos dados pessoais!!!!!!!!!! Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD • Compatível com as finalidades; • Contexto do tratamento; • Procedimento para alcançar a finalidade desejada. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.2 – Princípio da Adequação Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Os dados coletados devem ser limitados ao necessário para atingir os objetivos, necessários no limite da sua relevância (a coleta não pode exceder a finalidade do tratamento). Os dados pessoais devem ser pertinentes, necessários, proporcionais com os riscos aos direitos dos titulares. Menos é mais!!!!!!! 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.3 – Princípio da Necessidade Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD • Consulta facilidade e gratuita sobre a forma e a duração do tratamento, bem como a integralidade de dados pessoais; • Exercer o fundamento da autodeterminação informativa; • Tempo de armazenamento (data storage). 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.4 – Princípio do Livre Acesso Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Garantir aos titulares dos dados a Exatidão, Clareza, Relevância e Atualização dos dados, de acordo com a necessidade e para cumprimento da finalidade do tratamento. Pontos de atenção: dados pessoais sobre saúde, consumo e crédito. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.5 – Princípio da Qualidade dos Dados Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Garantir sempre informações claras, precisas e acessíveis aos titulares em relação ao tratamento de seus dados pessoais: • Critérios para decisões automatizadas, respeitando os segredos industrial e comercial; • Riscos em relação aotratamento de dados pessoais; • Consequências em caso de violação de dados pessoais; • Medidas mitigatórias adequadas. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.6 – Princípio da Transparência Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Adoção de medidas técnicas e administrativas adequadas e oportunas para proteção de dados pessoais: • Garantir a C/I/D; • Aderência/implementação ISO 27001; • Aderência/implementação ISO 27701; • Segurança by design e by default. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.7 – Princípio da Segurança Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais: • Monitoração; • Governança de Proteção de Dados Pessoais; • Treinamento e conscientização; • Plano de Resposta a incidente de violação de dados pessoais; • Proteção by design e by default. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.8 – Princípio da Prevenção Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos: • Evitar a criação de estereótipos (classificação); • Coibir a limitação de direitos (segregação); • A discriminação pode gerar danos físicos, materiais e imateriais; • Evitar a prática de redlining: forma de discriminação de dados, que usa nossas identidades digitais e atividades para reforçar a desigualdade e a opressão. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.9 – Princípio da Não Discriminação Fonte: Maldonado, Viviane; Blum, Renato – LGPD Lei Geral de Proteção de Dados Pessoais Comentada – 1ª edição. Revista dos Tribunais. Pag. 161. Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a conformidade, bem como a eficácia dessas medidas: • Registro das atividades; • Indicadores e métricas; • Políticas/normas/procedimentos; • Adoção de melhores práticas. 1.3 – Fundamentos Legítimos e Limitação de Propósito 1.3.2.10 – Princípio da Responsabilização e Prestação de Contas Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1. FUNDAMENTOS E REGULAMENTAÇÃO EM P&PD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.4 – Requisitos adicionais para tratamento Artigo 11º - Tratamento de dados pessoais sensíveis Artigo 12º - Dados Anonimizados Artigo 13º - Estudos em saúde pública Artigo 14º - Tratamento de Dados Pessoais de Crianças e de Adolescentes Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Proteção extraordinária: a) Aspectos ligados à intimidade, algo que vai além da questão de privacidade ou b) Podem levar à discriminação. Base legais: a) Rol taxativo, tendo em vista a palavra “somente” no texto da lei. Dados biométricos e genéticos: a) Uso sem consentimento para processos de identificação e autenticação de cadastro em sistema eletrônico. Limitação de compartilhamento e comunicação: a) Atenção aos § 3º, 4º e 5º do referido artigo. 1.4 – Requisitos adicionais para tratamento 1.4.0 Artigo 11º - Tratamento de dados pessoais sensíveis Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute O tratamento de dados pessoais sensíveissomente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica eAdestacada, para finalidades específicas; II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); 1.4 – Requisitos adicionais para tratamento 1.4.0 Artigo 11º - Tratamento de dados pessoais sensíveis Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute (continuação) II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: e) Proteção da vida ou da incolumidade física do titular ou de terceiro; f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária ou g) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. 1.4 – Requisitos adicionais para tratamento 1.4.0 Artigo 11º - Tratamento de dados pessoais sensíveis Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute § 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. § 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei. § 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. 1.4 – Requisitos adicionais para tratamento 1.4.0 Artigo 11º - Tratamento de dados pessoais sensíveis Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: (Redação dada pela Lei nº 13.853, de 2019) I - a portabilidade de dados quando solicitada pelo titular; ou (Incluído pela Lei nº 13.853, de 2019) II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo (Incluído pela Lei nº 13.853, de 2019). § 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários (Incluído pela Lei nº 13.853, de 2019). 1.4 – Requisitos adicionais para tratamento 1.4.0 Artigo 11º - Tratamento de dados pessoais sensíveis Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdoby HSI Institute Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. § 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios. § 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada. § 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais Artigo 12º - Dados Anonimizados 1.4 – Requisitos adicionais para tratamento 1.4.1 Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Atenção para as seguintes questões legais: • Menores de 16 anos são considerados “absolutamente incapazes” (art. 3º, do Código Civil); • Maiores de 16 e menores de 18 são considerados “relativamente incapazes” (art. 4º, I, do Código Civil); “É dever da família, da sociedade e do Estado, assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à [...] dignidade, ao respeito [...], além de coloca-los a salvo de toda forma de negligência, discriminação, exploração, violência [...]” (art. 227, Constituição Federal). • Atentar para a necessidade de proteção integral, conforme legislação pertinente (ECA). • Implementar soluções de acessibilidade, conforme artigo 63 da Lei 13.146/2015 – sobre inclusão da pessoa com deficiência – Estatuto da Pessoa com Deficiência. 1.4 – Requisitos adicionais para tratamento 1.4.3 Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Regras específicas aplicáveis às crianças: A desenvolvedora americana Gravity Interactive, responsável pelo jogo "Ragnarok", informou que sua plataforma online WarpPortal passará a bloquear usuários europeus. Embora o texto não cite expressamente o GDPR, ele explica que no dia 25 de maio os usuários de todos os países europeus, exceto a Rússia e nações da Comunidade dos Estados Independentes, terão o acesso proibido. Desta forma, a empresa não terá que se adaptar ao regulamento, nem responder pelas exigências legais dele. Fonte: https://www.uol/noticias/especiais/gdpr.htm#lista-4 1.4 – Requisitos adicionais para tratamento 1.4.3 Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes https://www.uol/noticias/especiais/gdpr.htm#lista-4 Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. § 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. § 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei. § 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo. 1.4 – Requisitos adicionais para tratamento 1.4.3 Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute (continuação) § 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade. § 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. § 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. 1.4 – Requisitos adicionais para tratamento 1.4.3 Artigo 14º - Tratamento de Dados Pessoais de Crianças e Adolescentes Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute • Irrenunciabilidade (art. 17º); • Confirmação da existência de tratamento (art. 18º, I); • Acesso aos dados (art. 18º, II); • Correção (art. 18º, III); • Anonimização; bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (art. 18º, IV); • Eliminação (art. 18º, IV e VI); • Portabilidade (art. 18º, V); • Compartilhamento ou não (art. 18º, VII); • Não concessão do consentimento (art. 18º, VIII); • Revogação (art. 18º, IX); • Oposição (art. 18º, IX, § 2º); • Direitos previstos em outras legislações (art. 64º); • Revisão de decisões automatizadas P/P/C/C (art. 20º); • Peticionar ANPD ou órgão de defesa do consumidor (art. 18º, § 1º e 8º). 1.5 – Direitos do Titular dos dados pessoais 1.5.0 – Quais são? Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Pontos de atenção: • Necessidade de regulamento: ✓ Art. 18º, § 5º; • Não restringe direitos previstos em outras legislações: ✓ CDC; ✓ MCI. • Direitos Relativos x Direitos Absolutos. 1.5 – Direitos do Titular dos dados pessoais 1.5.0 – Quais são? Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Além dos direitos existentes na LGPDP, em capítulo exclusivo para isso, o titular dos dados também tem direitos estabelecido em outros diplomas legais, a saber: • A irrenunciabilidade da titularidade dos dados pessoais (art. 11, do CC); • O direito de peticionar, com relação aos seus dados, contra o Controlador perante à autoridade nacional (art. 5º, XXXIV, da CF) e ; • Inafastabilidade da tutela jurisdicional, individual ou coletivamente (art. 5º, XXXV, da CF). 1.5 – Direitos do Titular dos dados pessoais 1.5.0 – Quais são? Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.5 – Direitos do Titular dos dados pessoais 1.5.1 – Direito ao Esquecimento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute O titular dos dados tem o direito de SER ESQUECIDO, porém, não é absoluto. Eliminação de dados pessoais: ▪ Quando desnecessários, excessivos ou tratados em desconformidade com a lei (art. 18º, IV); ▪ Quando tratados com o consentimento do titular, desde que não haja impedimento legal (art. 8º, § 5º e art. 18º, VI). O titular dos dados tem o direito de obter do Controlador pelo tratamento a eliminaçãode seus dados pessoais, em prazo a ser previsto em regulamento. ▪ Eliminação dos dados pessoais a que se refere a infração (art. 52º, VI). 1.5 – Direitos do Titular dos dados pessoais 1.5.1 – Direito ao Esquecimento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Exceções em relação à eliminação dos dados pessoais: Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo Controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei ou IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. 1.5 – Direitos do Titular dos dados pessoais 1.5.1 – Direito ao Esquecimento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute 1.6 – Violação de dados pessoais e procedimentos relacionados Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute COMO TRATAR VIOLAÇÕES DE DADOS PESSOAIS? 1.6 – Violação de dados pessoais e procedimentos relacionados Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute COMO VOCÊ TRATA VIOLAÇÕES DE DADOS PESSOAIS NA SUA ORGANIZAÇÃO? 1.6 – Violação de dados pessoais e procedimentos relacionados Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute CICLO DE VIDA DAS VIOLAÇÕES DE DADOS PESSOAIS 1: NEGAÇÃO 4: BARGANHA 3: DEPRESSÃO 2: RAIVA 5: ACEITAÇÃO Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Portanto,Aum incidente de segurança é a concretização de uma dessas situações citadas acima. 1.6 – Violação de dados pessoais e procedimentos relacionados 1.6.1 – Definição de incidente de segurança - LGPD Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Artigo 4º, nº 12, da GDPR: Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. 122 1.6 – Violação de dados pessoais e procedimentos relacionados 1.6.2 – Definição de violação de dados pessoais GDPR Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Artigo 31: Quando houver infração a esta Lei [LGPDP] em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional [ANPD] poderá enviar informe com medidas cabíveis para fazer cessar a violação. 1.6 – Violação de dados pessoais e procedimentos relacionados 1.6.2 – Definição de violação de dados pessoais GDPR 1.6.3.1 – Artigo 31, Seção II, Responsabilidade Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute TrtigoA4LIAO controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei. 1.6 – Violação de dados pessoais e procedimentos relacionados 1.6.2 – Definição de violação de dados pessoais GDPR 1.6.3.2 – Artigo 42, Seção III, Responsabilidade e Ressarcimento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute (continuação) § 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa. § 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. § 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. 1.6 – Violação de dados pessoais e procedimentos relacionados 1.6.2 – Definição de violação de dados pessoais GDPR 1.6.3.2 – Artigo 42, Seção III, Responsabilidade e Ressarcimento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Artigo 43. Os agentes de tratamento só não serão responsabilizados quando provarem: I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. 1.6 – Violação de dados pessoais e procedimentos relacionados 1.6.2 – Definição de violação de dados pessoais GDPR 1.6.3.3 – Artigo 43, Seção III, Responsabilidade e Ressarcimento Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute Desenvolver ou atualizar procedimentos internos para notificação de violações de dados pessoais.1 Validar planos de resposta a incidentes.2 Garantir que empregados entendam seu papel durante uma violação de dados pessoais.3 Revisar contratos com fornecedores e incluir requisitos para notificação de violações de dados pessoais.4 Adotar um seguro contra violações de dados pessoais pode ser uma boa ideia.5 CICLO DE VIDA DAS VIOLAÇÕES DE DADOS PESSOAIS Privacy and Data Protection Essentials by EXIN Institute | Direitos autorais do conteúdo by HSI Institute
Compartilhar