Baixe o app para aproveitar ainda mais
Prévia do material em texto
Módulo 1 - Para entender a LGPD 1. Introdução Você já ouviu falar sobre a Lei Geral de Proteção de Dados, a LGPD, e tem alguma ideia acerca dos impactos dessa Lei no seu dia a dia? Neste curso vamos apresentar alguns conceitos fundamentais para que você conheça e entenda o que é, a quem e a quais situações se aplica a LGPD. Para começar, assista ao vídeo a seguir! https://cdn.evg.gov.br/cursos/603_EVG/videos/modulo01_video01.mp4 2. Conceitos básicos A Lei Geral de Proteção de Dados - LGPD regulamenta o tratamento de dados pessoais, com o objetivo de proteger a liberdade, a privacidade, a intimidade e o livre desenvolvimento da personalidade da pessoa natural, Titular desses dados, mas também de garantir o adequado fluxo de dados, o direito à informação, à liberdade de expressão, bem como a plenitude e a saúde da economia digital e informacional. A referida Lei aplica-se a qualquer operação de tratamento de dados realizada por pessoa natural ou física, e por empresa pública ou privada, com o objetivo de ofertar bens e serviços ou de fornecer o serviço de tratamento de dados em si. E não é apenas o tratamento digital! O legislador deixou isso claro, quando disse "Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais." Assim, não é mais possível adiar o entendimento dos principais impactos da LGPD na sua vida! Ela passa a vigorar a partir de agosto de 2020, embora as sanções somente entrem em vigor em agosto de 2021. https://cdn.evg.gov.br/cursos/603_EVG/videos/modulo01_video01.mp4 Vamos começar pelos conceitos e definições a seguir, que embasam qualquer discussão sobre a LGPD: Conceitos e Definições Dado Pessoal Qualquer informação que possa levar à identificação de uma pessoa natural (titular), como: nome, endereço, e-mail, identidade, CPF, dados de localização (o GPS no celular), endereço de IP do computador e tantos outros. Dado Pessoal Sensível Qualquer informação que possa causar impacto mais relevante na vida pessoal e/ou profissional, caso seja exposta ou compartilhada, como: dado de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde, à vida ou orientação sexual, dado genético ou biométrico. Tratamento de Dados O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a coleta, o registro, a organização, a alteração, a consulta, a utilização, a divulgação, o bloqueio, a destruição de dados pessoais, entre outras ações. Atores Titular É a pessoa natural, o ser humano a quem se referem os dados pessoais que são objeto de tratamento, seja criança, adulto ou idoso. Controlador Pessoa natural ou jurídica responsável pelo tratamento dos dados pessoais, que deve definir a hipótese legal, a finalidade e o modo como esses dados serão tratados por ele mesmo ou por quem ele designar para fazer esse tratamento. No Regulamento Europeu, o Controlador é chamado "responsável". Operador Pessoa Jurídica (em geral), mas também pode ser uma pessoa natural/física, que realiza o tratamento de dados pessoais em nome do Controlador. É possível que um controlador seja ao mesmo tempo o operador responsável pela execução do tratamento. Em leis dos EUA e da União Europeia, o Operador também é chamado "processador". Agente de Tratamento O Controlador e o Operador são agentes de tratamento. Encarregado Também conhecido como DPO - Data Protection Officer, é uma pessoa natural indicada pelo Controlador ou pelo Operador para ser a ponte entre esses agentes de tratamento e os titulares dos dados, e também entre os agentes de tratamento e a ANPD. O Encarregado também é responsável por orientar os funcionários do Controlador sobre as práticas de tratamento de dados. ANPD Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento dos dispositivos e a aplicação dos princípios e fundamentos da LGPD. Também é a instância responsável pela aplicação das sanções previstas na LGPD. Pode-se constatar, então, que a LGPD trata dos dados pessoais que, como a própria expressão deixa claro, referem-se a uma pessoa, um titular. No próximo tópico, serão apresentados os direitos garantidos ao Titular dos dados. Ouça o Episódio 1 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre a importância do Encarregado / DPO. Tema: O papel do Encarregado na LGPD Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast01.mp3 3. Direitos do titular Ouça o Episódio 2 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o protagonismo e direitos do Titular de dados pessoais. Tema: O titular dos dados pessoais Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast02.mp3 A LGPD define o regramento sobre como os agentes de tratamento podem obter, separar, classificar ou trabalhar os dados pessoais de alguém para ofertar ou entregar serviços e produtos que pretendam melhorar a vida dessa pessoa ou da sociedade como um todo. O Módulo 2 deste curso apresenta as dez situações de tratamento de dados pessoais que a LGPD autoriza. São as chamadas hipóteses ou bases legais de tratamento. Fora delas, o tratamento de dados pessoais é ilegal e implica violação de dados. https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast01.mp3 https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast02.mp3 Mas é preciso observar um fato importante: se um dos princípios da LGPD é a preservação da liberdade e da intimidade do Titular desses dados, então é certo que este tenha direitos. Os principais direitos do Titular, listados a seguir, devem ser atendidos pelo Controlador. Ele precisa definir os requisitos por meio dos quais esses direitos serão cumpridos, sempre que necessário, com simplicidade, rapidez e qualidade. São direitos do Titular: Solicitar anonimização1 dos seus dados, quando eles forem coletados de forma desnecessária, excessiva ou em desconformidade com a LGPD, além de pedir, em determinados casos, o bloqueio ou a eliminação desses dados tratados em desacordo com a Lei (decorrência do direito ao esquecimento); (Art. 18, IV) 1. Anonimizar significa usar meios técnicos razoáveis e disponíveis no momento do tratamento, de forma que um dado pessoal não possa ser associado direta ou indiretamente a um indivíduo, tornando-o anônimo. Receber confirmação sobre tratamento de seus dados e ser informado sobre seus dados; (Art. 18, I) Ter acesso ao conjunto de informações sobre o tratamento de seus dados, inclusive no tocante a finalidade, modo, identificação do controlador, uso compartilhado de seus dados, responsabilidade dos agentes; (Arts. 9º e 18, II) Solicitar correção ou atualização dos seus dados, como atributo de qualidade no tratamento dos dados pessoais; (Art. 18, III) https://addiemooc38.escolavirtual.gov.br/mod/book/tool/print/index.php?id=11192#nota1er1 Revogar consentimento para a coleta ou tratamento de dados, quando a base legal de tratamento for o consentimento; (Art. 18, IX) Obter informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; (Art. 18, VII) Opor-se a qualquer tratamento fundado em alguma das hipóteses de tratamento diversas do consentimento quando haja violação do disposto na Lei; (Art. 18, § 2º) Ser informado sobre a possibilidade de não fornecer consentimento para tratamento de seus dados e as consequências dessa negativa; (Art. 18, VIII) Requerer revisão de decisões tomadas unicamente em tratamento automatizado de dados pessoais, quando estas afetem seus interesses; (Art. 20) Peticionar ao controlador para o exercício de seus direitos ou peticionar à Autoridade Nacional de Proteção de Dados. (Art. 18, § 1º) A LGPD prevê diversos tipos de penalidades para aqueles que violarem suas disposições.No entanto, as sanções previstas somente entrarão em vigor em agosto de 2021, por força do disposto no Projeto de Lei que alterou a LGPD. De qualquer forma, é importante ter em mente que para a LGPD, violar dados não é apenas invadir um repositório ou vazar dados pessoais. Qualquer desconformidade com a Lei, inclusive a indisponibilidade de dados que deveriam ser acessíveis, implica "violação de dados". Essas questões serão detalhadas no Módulo 3 deste curso. Entenda a diferença entre dados pseudonimizados e dados anonimizados Dados pseudonimizados são aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Dados anonimizados são aqueles cujos titulares não podem ser identificados, dada a aplicação de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Para os efeitos da Lei, "dado anonimizado" não é "dado pessoal". Por não permitirem a identificação do seu respectivo Titular, os dados anonimizados não ficam sujeitos à aplicação da LGPD, exceto quando houver reversão do processo de anonimização ao qual tais dados foram submetidos. Ouça o Episódio 3 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o sentido do consentimento por parte do Titular dos dados. Tema: O sentido do consentimento pelo Titular Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast03.mp3 https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast03.mp3 4. Relações e atribuições No início deste módulo foram apresentados os envolvidos no processo de tratamento de dados e sujeitos à LGPD. E como é o relacionamento entre esses atores? Quais as atribuições de cada um deles no processo de tratamento de dados e de proteção aos dados dos titulares? O infográfico a seguir responde a essas questões. Entenda a relação entre cada um dos atores desse processo, iniciando com o Titular. Competências da ANPD A ANPD, em seu papel norteador da privacidade e da proteção de dados, não tem apenas a função de fiscalizar e punir. A Autoridade Nacional de Proteção de Dados tem a responsabilidade de zelar pela proteção de dados, elaborar diretrizes para a Política Nacional de Proteção de Dados, apreciar e processar petições dos titulares, disseminar o conhecimento sobre privacidade para o grande público, realizar estudos sobre as práticas de privacidade no Brasil e no mundo, desenvolver formas simplificadas para o registro de reclamações sobre o tratamento de dados pessoais. Uma das competências da ANPD mais importantes dentre as destacadas pelo legislador está a de articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação. Essa articulação deverá se dar com os PROCONS, com as Agências Reguladoras, com as associações de defesa dos consumidores em seus diversos setores de atividade. O próximo módulo coloca em foco o tratamento de dados: o que é permitido e o que é vedado aos Agentes de Tratamento. Módulo 2 - Tratamento de dados 1. Processos de tratamento Retomando o conceito apresentado no primeiro módulo, tratamento é toda operação realizada com dados pessoais, como as que se referem a: Acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo, ou outros, visando receber, fornecer, ou eliminar dados; Armazenamento - ação ou resultado de manter ou conservar em repositório um dado; Arquivamento - ato ou efeito de manter registrado um dado, embora já tenha perdido a validade ou esgotada a sua vigência; Avaliação - ato ou efeito de calcular valor sobre um ou mais dados; Classificação - maneira de ordenar os dados conforme algum critério estabelecido; Coleta - recolhimento de dados com finalidade específica; Compartilhamento - comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; Comunicação - transmitir informações pertinentes às políticas de ação sobre os dados; Controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado; Difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados; Distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido; Eliminação - ato ou efeito de excluir ou destruir dado do repositório; Extração - ato de copiar ou retirar dados do repositório em que se encontrava; Modificação - ato ou efeito de alteração do dado; Processamento - ato ou efeito de processar dados; Produção - criação de bens e de serviços a partir do tratamento de dados; Recepção - ato de receber os dados ao final da transmissão; Reprodução - cópia de dado preexistente obtido por meio de qualquer processo; Transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro; Transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.; Utilização - ato ou efeito do aproveitamento dos dados, entre outras. As atividades de tratamento de dados pessoais também devem observar os seguintes princípios (Art. 6º): Finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular. Adequação: o tratamento deve ser compatível com as finalidades informadas ao titular. Necessidade: o tratamento deve estar limitado ao mínimo necessário para a realização das finalidades a que se destina. Livre acesso: garantir aos titulares, a consulta facilitada e gratuita sobre a forma e a duração do tratamento e à integralidade de seus dados pessoais. Qualidade dos dados: garantir aos titulares, exatidão, clareza, relevância e atualização dos dados. Transparência: garantir aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Segurança: utilizar medidas técnicas e administrativas para proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas que resultem na sua destruição, perda, alteração, comunicação ou difusão. Prevenção: adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Não discriminação: impossibilitar a realização do tratamento de dados para fins discriminatórios, ilícitos ou abusivos. Responsabilização e prestação de contas: o agente de tratamento deve demonstrar que adotou medidas eficazes e capazes de cumprir as normas de proteção de dados pessoais. 2. Situações previstas na lei A LGPD estabelece que os Agentes de Tratamento só podem realizar o tratamento dos dados pessoais em determinadas situações ou "hipóteses". Nesse caso, são dez hipóteses permitidas pela Lei, e não há entre elas hierarquia ou maior grau de importância. O que a Lei garante, em qualquer dessas hipóteses, é o equilíbrio entre a proteção de dados e a privacidade: seu objetivo é proteger a privacidade e, ao mesmo tempo, garantir o adequado fluxo de dados e informações, em proveito tanto do titular quanto do mercado e da economia digital. Cada base legal de tratamento de dados pessoais será identificada pelo Controlador de acordo com a conveniência e a conformidade entre a finalidade do tratamento e os princípios gerais da Lei presentes em cada uma das hipóteses nela prescritas, apresentadas a seguir. Entenda as hipóteses de tratamento permitidas: Cumprimento de Obrigação Legal Se há uma previsão legal ou regulamentar no sentido de que os dados sejam tratados,essa base legal é bastante para que o Controlador esteja coberto na execução do tratamento. Exemplos ● Entrega anual da Declaração IRPF ● Recadastramento eleitoral com biometria ● Informação de doença infecto-contagiosa Execução de Políticas Públicas O gestor público pode tratar e fazer uso compartilhado de Dados Pessoais para execução de Políticas Públicas. A execução dessas políticas em prol do bem comum exige, frequentemente, o tratamento compartilhado de dados pessoais. Exemplos ● Tratamento de dados para execução de política de distribuição de renda (bolsa família) ● Tratamento de dados para erradicação do analfabetismo ● Tratamento de dados para aumento da segurança alimentar ● Tratamento de dados para melhoria do ambiente de negócios Realização de Estudos por Órgãos de Pesquisa Esses estudos, como censo populacional, PIB, renda per capita, nível de distribuição de renda, mapa da fome, nível de alfabetização e comportamento do sistema educacional são fundamentais para o crescimento do país. E deve ser garantido, sempre que possível, que os dados pessoais permaneçam anônimos. Exemplos ● Censo realizado pelo IBGE (Instituto Brasileiro de Geografia e Estatística) ● Informações ao IPEA (Instituto de Pesquisa Econômica Aplicada) ● Saúde pública e doenças tropicais Execução de Contrato O simples ato de contratar já traz em si a vontade de materializar o registro dos dados das partes no instrumento contratual, para o conhecimento recíproco, pelo menos. E se o objeto do contrato for o tratamento de dados do Titular, ou tiver esse tratamento como consequência do objeto, a evidente manifestação de vontade que existe se materializa neste instrumento particular válido firmado entre duas pessoas, e é a base legal para o tratamento de dados pessoais. Exemplos ● Contrato de aluguel ● Locação de veículo Exercício Regular de Direitos Essa hipótese legal confere legitimidade ao uso que os agentes de tratamento façam dos dados tratados para atuação em defesa de seus interesses perante autoridades em processos administrativos ou judiciais. A finalidade original do tratamento é uma (garantir a entrega e a contraprestação em um contrato, por exemplo). O uso para esta outra finalidade (defesa) encontra respaldo nessa base legal. Exemplos ● Um Controlador utiliza os dados pessoais dos titulares para contestar uma ação judicial por violação, em caso de não integridade dos dados ● Um Operador se utiliza dos dados para fazer prova em ação de reparação de danos por vazamento de informação pessoal Proteção da Vida A base legal para o tratamento aqui é a proteção da vida do titular ou de terceiros. A privacidade de uma pessoa jamais será considerada um bem maior que a vida humana, sua ou de terceiros. Por essa razão, se alguém informa seus dados e circunstâncias (como tipo sanguíneo, numa circunstância de acidente), não está havendo "violação de dados". Exemplos ● Um médico manipula dados ou informações de um paciente para controle de quadro emergencial grave ● Alguém repassa o endereço de um suicida ● Alguém checa o histórico de vida pregressa de passageiros para identificar um terrorista em ataque Tutela da Saúde Essa hipótese trata dos procedimentos para proteção da saúde executados por profissionais do setor ou entidades sanitárias. Exemplos ● Tratamento de dados relacionado a lista de pessoas que tiveram contato com alguma infecção, com a finalidade de controle de pandemia ● Levantamento socioambiental de zonas afetadas por epidemia ● Perfil de habitantes de dada comunidade para fins de planejamento sanitário Interesse Legítimo Esta base legal dá suporte ao tratamento executado com legitimidade de interesse do Agente de Tratamento, do Titular ou de terceiros. A prestação de um serviço que dependa do tratamento de dados torna legítimo ao Agente de Tratamento tratar os dados pessoais. Mas a legitimidade desse interesse só prospera se ele se faz coerente com a legítima expectativa do titular ou de terceiro em relação à finalidade e aos modos de tratamento. Exemplos ● O endocrinologista depende dos dados pessoais (inclusive sensíveis) do paciente para tratá-lo. O uso desses dados para promover mail marketing de produtos de emagrecimento extrapola a legítima expectativa do Titular ● O serviço de helpdesk depende dos dados do titular para lhe prestar atendimento e facilitar futuras demandas. O uso desses dados para comercializar cadastros a terceiros viola a legítima expectativa do Titular ● O Cibercafé guarda os dados de seus usuários inclusive para segurança do interesse de terceiros, pelo prazo de um ano. A transferência dos registros de conexão a terceiros viola a legítima expectativa do Titular Proteção ao Crédito O tratamento de dados para proteção ao crédito é escudado por esta base legal. As pendências obrigacionais, inadimplências e a má-conduta de pessoas naturais e jurídicas na praça são circunstâncias lesivas a toda a cadeia creditícia e contrárias aos interesses da sociedade como um todo. Exemplos ● O SERASA bloqueia usuários no uso de suas ferramentas de crédito ● Quando o Controlador se vale do cadastro positivo ● Quando alguém contrata o serviço DataValid ● Quando alguém usa o aplicativo VIO Consentimento O Agente (Controlador ou Operador) pode tratar a informação de uma pessoa se tiver seu consentimento para tanto. O Consentimento, para o Agente de Tratamento, é uma base legal precária: pode ser revogado a qualquer momento, sendo garantido ao usuário o direito de ver seus dados eliminados, bloqueados, além do direito à portabilidade, que muito se ajusta a essa base legal. Exemplos ● Uma pessoa autoriza o uso do seu CPF numa rede de farmácias para fins exclusivos de concessão de desconto na compra de um medicamento ● Alguém preenche um cadastro numa loja para ter acesso a promoções Ouça o Episódio 4 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre a diferença entre consenso e consentimento; a importância do consenso para a viabilidade dos contratos e do comércio; e o interesse legítimo do controlador ou de terceiros. Tema: Consentimento x Consenso / Interesse Legítimo Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast01.mp3 3. Dados pessoais sensíveis Dados Pessoais Sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde, à vida ou orientação sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural. Enfim, são aqueles que, se expostos ou compartilhados, podem causar impacto na vida pessoal ou profissional de alguém. A sensibilidade reside tanto no enorme potencial de lesividade desses dados, quanto no interesse que suscitam para os negócios. Por isso mesmo, não apenas merecem uma maior proteção de seu tratamento para resguardar a privacidade do Titular, mas também precisam ser tratados levando em conta o forte interesse do mercado no controle dessas informações. https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast01.mp3 São oito hipóteses previstas na Lei. 1. Mediante Consentimento para finalidades específicas. 2. Cumprimento de Obrigação Legal ou regulatória pelo Controlador. 3. Compartilhamento de dados necessários à execução de Políticas Públicas. 4. Realização de Estudos por Órgão de Pesquisa, garantida, sempre que possível, que os dados pessoais permaneçam anônimos. 5. Exercício Regular de Direitos. 6. Proteção da Vida ou da integridade física do Titular ou de terceiros. 7. Tutela da Saúde. 8. Garantia da Prevenção à Fraude e à Segurança do Titular. As hipóteses de tratamento de Dados Sensíveis são mais restritas que a de Dados Pessoais, sendo excluídos "Execução de Contrato", "Interesse Legítimo" e "Proteção ao Crédito". A Lei também veda às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção deriscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. É expressamente vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares dos dados, e para permitir: 1. a portabilidade de dados, quando solicitada pelo titular 2. as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. Ouça o Episódio 5 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre dados pessoais sensíveis e a relevância do consentimento no tratamento desses dados. Tema: Tratamento de dados pessoais sensíveis Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast02.mp3 https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast02.mp3 4. Dados de crianças e adolescentes O tratamento de dados pessoais de crianças e adolescentes deve ser realizado no seu melhor interesse, prevendo, contudo, regimes diversos para crianças e adolescentes. Criança é a pessoa com idade de até doze anos incompletos, e adolescente é aquela entre doze e dezoito anos de idade (Estatuto da Criança e Adolescente, Art. 2º). O tratamento de dados pessoais de crianças e adolescentes, naqueles casos em que a base legal seja o consentimento, deve ser realizado com o consentimento específico e em destaque emitido por pelo menos um dos pais ou pelo responsável legal. No tratamento de dados de crianças e adolescentes com fundamento em outras bases legais, as restrições gerais do Estatuto e do Código Civil prevalecem em relação ao menor de idade. Por exemplo: ● Na execução de contrato o menor deve ser representado por seu responsável; ● Nos tratamentos por força de Lei devem ser respeitadas as condições específicas no tocante a menores; ● No caso de legítimo interesse, a legítima expectativa a ser avaliada deve levar em conta o ponto de vista do representante do menor, enquanto tal. A Lei, entretanto, traz exceção à regra acima mencionada, de forma que os dados pessoais de crianças poderão ser eventualmente tratados sem o consentimento exigido pela lei quando necessário para contatar os pais ou responsáveis legais, a fim de garantir a proteção da criança ou adolescente, desde que sejam utilizados uma única vez e sem armazenamento, e em nenhum caso poderão ser repassados a terceiros. http://www.planalto.gov.br/ccivil_03/leis/l8069.htm http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm A participação desses Titulares (crianças e adolescentes) em jogos, aplicações de internet ou outras atividades também não deve ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias à atividade. Ouça o Episódio 6 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre especificidades no tratamento de dados de crianças ou de idosos. Tema: Tratamento de dados pessoais de crianças e idosos Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast03.mp3 5. Compartilhamento e transferência de dados Este é o momento de responder as dúvidas mais comuns sobre o compartilhamento e a transferência de dados pessoais: Com as restrições que a LGPD impõe ao tratamento dos dados pessoais, o uso compartilhado de dados entre órgãos da Administração Pública pode ser realizado? https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo02_podcast03.mp3 Sim... Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como por exemplo informações ao INSS, e-Social, fiscalizações, etc. Por outro lado, todo e qualquer uso compartilhado não condizente com a finalidade original deve ser informado ao Titular, sem prejuízo de obtenção do consentimento explícito, ainda que este não tenha sido o fundamento da coleta original. Pode haver transferência de dados entre o Poder Público e o setor privado? A LGPD veda a transferência de dados entre o Poder Público e as empresas e instituições privadas, exceto nos seguintes casos: I. aqueles em que os dados forem acessíveis publicamente II. na execução descentralizada de atividade pública que exija essa transferência, exclusivamente para esse fim específico; III. quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou acordos IV. se o objetivo for a prevenção de fraudes e de proteção dos titulares dos dados. Em quais casos os dados pessoais poderão ser transferidos para fora do Brasil? A transferência internacional de dados pessoais somente será permitida para os casos em que o país ou organismo internacional proporcionarem um grau de proteção de dados adequado ao previsto na LGPD, ou quando forem oferecidas pelo Controlador garantias de cumprimento dos princípios, dos direitos e do regime da proteção da LGPD. A transferência de dados também poderá ocorrer em outras hipóteses: 1. para fins de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução. 2. para os casos em que for necessária para proteger a vida ou a integridade física do Titular dos dados pessoais ou de terceiros. 3. quando a Autoridade Nacional autorizar a transferência. 4. quando a transferência decorrer de acordo de cooperação internacional. 5. quando for necessária para a execução de política pública ou atribuição legal do serviço público. 6. quando o Titular tiver fornecido seu consentimento específico e em destaque para a transferência internacional. 7. quando servir para o cumprimento de obrigação legal ou regulatória pelo Controlador. 8. quando necessário para a execução de contrato. 9. quando servir para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Módulo 3 - Segurança no tratamento de dados 1. Privacidade dos dados Todos os Agentes de Tratamento, ao lidar com dados pessoais, devem garantir sempre que possível e nas situações previstas na Lei, a segurança e privacidade dos dados. No caso de organização de serviços e sistemas para tratamento de dados, é importante considerar os parâmetros apresentados a seguir. Privacy by Design O princípio Privacy by Design representa o emprego de mecanismos e soluções de privacidade durante todo o ciclo de vida do desenvolvimento do sistema ou da organização dos serviços em que os dados serão tratados. Nessa perspectiva, a privacidade é incorporada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais. Privacy by Default O princípio Privacy by Default representa a obrigatoriedade de que todas essas ferramentas estejam acionadas como padrão e que as medidas destinadas a garantir privacidade ao Titular não contradigam a lógica desse padrão. Em última análise, significa dizer que o serviço será organizado de forma tal que não haja a prevalência dos interesses dos Agentes de Tratamento sobre os interesses do Titular dos dados tratados. Significa estabelecer como configuração padrão a maior privacidade possível ao Titular dos dados, além de garantir que, na dúvida entre duas situações ambíguas, prevaleça aquela que melhor atenda aos seus interesses. Os Agentes de Tratamento devem, portanto, desde a concepção do produto ou do serviço, até a sua execução, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquerforma de tratamento inadequado ou ilícito. (Art. 46, §2º). Ouça o Episódio 7 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o equilíbrio entre a necessidade de lidar com os dados pessoais e a privacidade e segurança dos dados. Tema: Equilíbrio entre tratamento e segurança dos dados Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo03_podcast01.mp3 https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo03_podcast01.mp3 2. Segurança da informação Um dos atributos mais importantes da privacidade e do tratamento de dados pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (I) Segurança da Informação, (II) das Boas Práticas e (III) da Governança de Privacidade. Segurança da Informação Segurança da Informação é o conjunto de domínios e conhecimentos relacionados à informação e à preservação dos atributos de confidencialidade, disponibilidade, integridade e autoria (ou não repúdio). Muita gente pensa que segurança da informação se relaciona apenas com a confidencialidade. Mas toda organização depende de informação e da troca dessa informação com o mundo externo em um determinado nível de equilíbrio! Uma informação guardada a sete chaves em um baú de aço no fundo do mar abissal pode até parecer segura, mas não constitui “informação” em si mesma! Informação também está relacionada com o controle adequado dos atributos já citados, representados a seguir: Confidencialidade Limitar o acesso tão somente às entidades legítimas, ou seja, àquelas autorizadas. Sendo assim, o acesso a dados pessoais por entidades ou pessoas não autorizadas configura-se como violação de segurança desses dados, além de incidente de segurança. Disponibilidade Estar pronta para o uso na medida das necessidades. Integridade Certeza de que não foi adulterada, por exemplo. Autoria Certeza de que não foi produzida por outrem e certeza de que foi produzida por seu verdadeiro autor. Devido à evolução do Comércio Eletrônico e da Sociedade da Informação, além de meios de tratamento de dados e informações, outros controles “estendidos” de adequação surgiram, como: ● Irretratabilidade ou não repúdio - impossibilidade de se negar autoria (provar) sobre a execução de transação; ● Privacidade - manter anônimo o usuário; ● Legalidade - esteja aderente à legislação pertinente; ● Auditoria - capacidade de auditar tudo o que foi realizado pelos usuários; ● Autenticação - processo de identificação e reconhecimento, ou seja, é de fato quem alega ser; ● Autenticidade - garantia de que a informação é proveniente da fonte anunciada (origem) e que não foi alvo de mutações ao longo de um processo; ● Autorização ou consentimento - concessão livre, informada e inequívoca pelo titular para acesso de pessoas ou entidades autorizadas e capacitadas para o uso adequado e tratamento de seus dados pessoais, para uma ou mais finalidades determinadas. Os domínios de segurança da informação diferem entre os modelos e frameworks disponíveis, mas de modo geral estão relacionados às seguintes rubricas: 1. Governança de Segurança da Informação 2. Segurança de Ativos (incluindo “classificação”) 3. Gestão, Risco e Conformidade de SI 4. Gestão de Continuidade do Negócio 5. Segurança de Comunicação e Infraestrutura de Rede (incluindo controle de acesso e gestão de identidade) 6. Operações de segurança (incluindo tratamento de incidentes, recuperação de desastres, forense computacional) 7. Segurança de Dados (incluindo Criptografia) e 8. Desenvolvimento Seguro. Boas Práticas A adoção de “melhores práticas” não é uma rubrica subjetiva e inconsistente. Essas melhores práticas não são resultado de uma mera avaliação subjetiva, mas constituem formas de proceder já testadas e aprovadas internacionalmente como resultado de erros, acertos e melhorias pelos profissionais do ramo. Elas incluem medidas concretas como: ● Adoção de um programa consistente de segurança, privacidade e governança de dados ● Definição de políticas específicas (Segurança da informação, Privacidade, Continuidade de Negócio e Comunicação) ● Adoção de normas, padrões e baselines ● Definição de procedimentos (por exemplo, procedimentos de forense computacional, procedimentos de gestão de mudança, procedimentos de atualização de patches) ● Tratamento de reclamações de titulares ● Ações de educação, de treinamento e de conscientização ● Mecanismos de supervisão ● Procedimentos de tratamento e mitigação de riscos etc. É muito importante, em situações de violação de segurança ou vazamento de dados, ter um adequado plano de comunicação e de gestão da continuidade do negócio, tanto para evitar que falhas de comunicação aumentem a dimensão do problema quanto para garantir que a organização tenha agilidade na recuperação, com rápido retorno à regularidade. E tudo deve ser feito minimizando os danos aos titulares e garantindo que o histórico e a experiência sejam utilizados na prevenção de ocorrências futuras. Esse conjunto de melhores práticas não é monopólio da Segurança da Informação e nem da Governança, mas se relacionam intimamente com ambas. Governança de Privacidade A adoção de um modelo de governança de privacidade não é, igualmente, um “conjunto em aberto”. Ter governança significa estabelecer um modelo de funcionamento que garanta direcionamento, comunicação, clareza de papéis, conhecimento geral do negócio e responsabilidade proativa (accountability). Que conjunto de ações garantem essa governança? A adoção de melhores práticas, o alinhamento com os aspectos gerais de segurança da informação, e o alinhamento em torno de uma política clara de privacidade e uma forma de fazer que seja inequívoca e plenamente conhecida por todos. Implantar governança significa eliminar o espaço para a fala dos maus gestores que, em passado recente (escândalos da Enron, da Arthur https://pt.wikipedia.org/wiki/Enron https://pt.qwe.wiki/wiki/Arthur_Andersen Andersen e outros), quando interpelados sobre o porquê daquele desmando identificado, respondiam “eu não sabia! Quem cuidava disso eram os contadores, ou os departamentos financeiros”. Onde há governança não há espaço para o “eu não sabia”. Accountability não é moda passageira, mas constitui verdadeiro fim a ser perseguido em qualquer modelo conduzido por adultos responsáveis. Assim, para demonstrar e estar em conformidade aos requisitos de segurança da informação e privacidade e proteção de dados, de acordo com o que prevê a LGPD, deve-se fazer uso, no mínimo, de documentos tais como: ● Diretriz de Segurança Lógica (políticas de senha, sistemas de autenticação de usuário, programa de detecção de vírus); ● Normas de Classificação, Anonimização e Criptografia da Informação; ● Política Corporativa de Governança de Dados; ● Política Corporativa de Segurança da Informação; ● Política Corporativa de Privacidade e Proteção de Dados; ● Plano de Resposta a Incidente e Remediação; ● Plano de Continuidade de Serviços e Negócios; ● Plano de Contingência; ● Plano de Comunicação, Treinamento e Conscientização sobre Segurança da Informação, Privacidade e Proteção de Dados; e ● Programa de Governança em Privacidade e Proteção de Dados. https://pt.qwe.wiki/wiki/Arthur_Andersen 3. LGPD e penalidades Vazamento de Dados Nos casos de vazamento ou violação de dados, qual o procedimento previsto na LGPD? O Controlador deverá comunicar tanto ao Titular quanto à ANPD sobre a ocorrência de algum incidente de segurança que venha a resultar em risco ou dano relevante ao Titular. A medida dessa relevância depende da classificação de risco e do que tenha sido definido como risco de média, alta ou de altíssima severidade. “A LGPD é uma legislação, também, para proteção de patrimônio e de reputação” (Patrícia Peck). Assim, caberá ao Encarregado designado pelo Controlador, em situações de violação de segurança ou vazamento de dados, implementar procedimentos ou práticas de Segurança da Informação/Segurança Cibernética, Políticas e Programa PD&D, que implicamnotificar a diretoria da organização, a área de comunicação e inclusive solicitar forense computacional, entre outros. Essa comunicação será devida nos casos em que dados pessoais tenham vazado, acidental ou ilicitamente, a destinatários não autorizados, ou quando fiquem temporária ou permanentemente indisponíveis, ou ainda quando sejam alterados. Responsabilidades Caso o tratamento de dados pessoais não ocorra de acordo com a LGPD, quem será responsabilizado? O Controlador e o Operador poderão responder conjuntamente ou individualmente, conforme o caso, no âmbito administrativo, sofrendo as sanções que a Autoridade lhes imponha individualmente ou de forma articulada com outras autoridades, como veremos adiante. Sanções Administrativas Nos casos em que o Controlador falte com suas responsabilidades (inclusive a de instruir adequadamente o Operador), sofrerá as sanções da Lei. Já o operador, quando tenha sido devidamente instruído, se faltar com seus deveres, será o destinatário das sanções correlatas. As sanções administrativas, previstas na nova Lei, são as seguintes: I. advertência, com a indicação de prazo para adoção de medidas corretivas; II. multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no último exercício, excluídos os tributos e limitada a R$ 50.000.000,00, por infração; III. multa diária, observado o limite total a que se refere o inciso anterior; IV. publicização da infração, após apuração e confirmação; V. bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI. eliminação dos dados pessoais a que se refere a infração. Sanções Cíveis e Penais Independentemente das sanções administrativas, a conduta dos agentes de tratamento poderá ensejar danos materiais ou cometimento de crimes e, nesses casos, sanções judiciais poderão se sobrepor às administrativas, tanto em relação aos agentes como em relação às pessoas de seus quadros societários ou profissionais. Um elemento importante de se compreender é que a responsabilidade, em matéria de privacidade, não é “objetiva” (aquela que depende apenas de haver o ato lesivo e de haver o efetivo dano à parte prejudicada). A responsabilidade aqui é subjetiva e depende de se identificar a existência de culpa ou dolo por parte do agente de tratamento. No entanto, se a responsabilidade do agente tangenciar relações de consumo, a regra de responsabilidade se dará em conformidade com o direito consumerista (Direito do Consumidor) e, portanto, se passará a tratar a responsabilidade pelo critério objetivo, típico desse tipo de relação. As sanções serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerando sua gravidade e a natureza. Além das sanções administrativas, o infrator poderá responder judicialmente por repercussões decorrentes do descumprimento da LGPD, individual ou coletivamente. 4. LGPD e demais leis A proteção de dados e privacidade é um sistema complexo de comandos e diretrizes que não se restringem à LGPD, mas estabelece um diálogo com inúmeros outros marcos legais, como a LAI - Lei de Acesso à Informação, o Código de Proteção e Defesa do Consumidor, as Políticas Nacionais de Segurança da Informação e de Proteção de Infraestruturas Críticas, a Lei do Cadastro Positivo, o Marco Civil da Internet, a Lei de Crimes Cibernéticos, a Lei das Estatais, e tantas outras. A imagem a seguir apresenta algumas dessas iniciativas legais e sua relação direta com o Titular dos dados. Clique nos links a seguir para visualizar o conteúdo da lei em nova aba ● LGPD ● Política Nacional de Infraestruturas Críticas ● Cadastro Positivo ● LAI ● Lei de Crimes Cibernéticos ● Marco Civil da Internet ● Código de Defesa do Consumidor ● Lei das Estatais ● Política Nacional de Segurança da Informação A correlação e coordenação entre essas iniciativas legais evidenciam um sistema jurídico harmonioso e complementar que deve ser interpretado em seu todo, tanto pelos atores do processo quanto pelos que têm a obrigação de controlar e de decidir sobre seu funcionamento e regularidade. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/d9573.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm https://www.planalto.gov.br/ccivil_03/leis/l8078.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/lei/l13303.htm https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/d9637.htm Módulo 4 - LGPD e Serpro 1. Organização da empresa e implementação da LGPD Ouça o Episódio 8 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado sobre as fases de implementação da LGPD no Serpro e sua organização. Tema: As 5 fases de implementação da LGPD Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo04_podcast01.mp3 Mais do que atender ao dever de adequação à LGPD, o Serpro se organiza e se firma como referência em proteção e tratamento de dados pessoais no setor público. O planejamento realizado pela equipe de implementação pressupõe 5 fases, com desdobramentos em etapas e produtos, como o Manual Jurídico de Privacidade, o modelo de Governança de Dados, o Plano de Treinamento e o Programa de Privacidade. Veja o detalhamento de cada uma das 5 fases: https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo04_podcast01.mp3 1. Preparação É uma fase de avaliação, diagnóstico e inventário da situação em vigor na organização. O primeiro passo foi construir um diagnóstico, por meio de questionários que subsidiarão, na etapa seguinte, oficinas de alinhamento e complementação. Também foi elaborado um manual jurídico integrando leis de privacidade, inclusive estrangeiras, doutrina e decisões relacionadas com privacidade e proteção de dados. O manual é de acesso corporativo, com perfis de usuário e de administrador – que corresponde ao perfil responsável por atualizar e revisar o manual. O usuário pode consultar o manual com busca relacional em cada uma das três dimensões: lei, doutrina e decisões. Foi realizado, ainda, levantamento de riscos com equipe multidisciplinar que identificou, de início, 156 riscos. A análise crítica desses riscos, identificando dentre eles os que eram causa ou consequência, reduziu os riscos de implementação para o quantitativo de 7 (sete) riscos, com os respectivos controles/tratamentos, que serão referência para a construção dos relatórios de impacto e também para as análises de risco posteriores. Criou-se, ademais, o Escritório de Governança de Dados, com a função de identificar a localização de todas as bases de dados que contenham dados pessoais, centralizar seus metadados, classificar esses dados – pessoais, sensíveis, de menores etc. – e garantir adequado controle de acesso. O Escritório também realizou o Mapeamento do Fluxo de Dados. Foi realizada a adequação das políticas de Segurança da Informação e de Governança de Dados aos princípios da LGPD e, além disso, está em fase de aprovação final a Política de Privacidade e o Programa de Privacidade, tudo construído em cooperação com a Área de Segurança da Informação e as demais áreas da Empresa, colaboração essencial para a conclusão do Programa Serpro de Privacidade. Os planos de implementação da Fase 1 serão construídos no decorrer da Fase 2 e serão executados no início da Fase 3. 2. Organização Fase caracterizada principalmente pelo engajamento e arregimentação dos esforços necessários à conformidade. A manutenção do Programa de Privacidade e da Política de Segurança à Privacidade teve início com a implementação da Rede LGPD: uma Rede Social Corporativa que agrega os efetivamente envolvidos nas atividades, com a “mão na massa”. A Rede LGPD não é mera forma de publicidade.É ferramenta de trabalho e organização para que os voluntários distribuam, pelo corpo funcional, os princípios e fundamentos da Política de Segurança à Privacidade. A designação do Encarregado : são três pessoas naturais, responsáveis, cada uma, pela atuação técnica, pela atuação jurídica e de conteúdo; e pelo inter-relacionamento com entidades externas – clientes, cooperações, parcerias e educação. A Fase de Organização é também aquela em que é promovido o engajamento da alta liderança, independentemente dos esforços realizados na Fase de Preparação. Aqui foram feitos treinamentos e apresentações para a Diretoria, para o Diretor-Presidente, para o Comitê de Auditoria e para o Conselho de Administração. O engajamento corporativo foi e seguirá sendo feito a partir de seminários, eventos, palestras, cursos, comunicação e marketing, já iniciados desde a Fase 1, em abril de 2019. Tais esforços incluem a página Serpro e a comunidade LGPD, aberta aos empregados, a Cartilha de Privacidade e os vídeos institucionais. O engajamento dos conselhos (Administração, Fiscal, COAUD) e dos fornecedores e clientes também será realizado a partir de oficinas externas e ações de marketing. Com a conclusão desta Fase, teremos a implementação de um Sistema de Gestão de Privacidade e da Informação - SGPI: uma sistemática clara e mapeada do que está sendo feito, como, quando e quem são os responsáveis e executores. "Sistema” aqui, tem o mesmo significado utilizado no modelo ISO 27001, quando se refere ao Information Security Management System – ISMS. É uma garantia de processo de trabalho claro e rastreável e não um “sistema de TI”. Há, de forma independente, um esforço para que o dashboard desse Sistema esteja integrado na plataforma Archer, adquirida pelo Serpro e em fase de implantação. 3. Implementação É a fase de execução dos planos de implementação desenvolvidos na Fase anterior, envolvendo corpo funcional, gestão, clientes e fornecedores, com: ● Definição dos procedimentos de aprovação para tratamento de dados - Encarregado + Governança de Dados. ● Registro das databases que contêm dados pessoais - Governança de Dados. ● Alinhamento dos serviços de transferência internacional de dados com o cliente RFB. ● Integração de todas as atividades de Proteção de Dados e Privacidade com os diversos responsáveis e o Encarregado - DPO. ● Execução dos planos de treinamento. ● Implementação dos controles definidos pela Governança de Dados: o Programa de Privacidade e as Regras de Governança de Dados compõem a Governança de Privacidade e Proteção de Dados. 4. Governança Fase caracterizada pela plena atuação da Governança de Privacidade como um todo, conduzida pelo Encarregado - DPO e alinhada com a Rede LGPD e o corpo funcional, ou seja, serão implementadas as práticas de Gestão de Uso de Dados. A implementação do canal de comunicação com o Titular dos dados pessoais será dúplice: tanto pela plataforma de tratamento (PDC - Plataforma Digital do Cidadão), como por canal de comunicação e tratamento interno de demandas, a exemplo do eOuve, com execução dos processos de retificação, requisição, reclamação/tratamento, etc., em atendimento ao titular. Também será executada nova avaliação de Riscos de Privacidade e Tratamento de Dados, a exemplo do que foi realizado na fase anterior, e estarão definidos, a partir da ferramenta Archer, os documentos que serão emitidos: relatórios de risco, relatórios de conformidade, relatórios de tratamento de incidentes de privacidade, relatórios de impacto etc. Em plena integração com a área de segurança, mas também com as demais áreas que tratam incidentes com possível reflexo em privacidade (SUPCD, CCD, SUPGP, Forense, SUPGL e outras), estarão definidas as formas de tratamento de incidentes de violação de dados pessoais, inclusive com a realização de simulação de cenários. 5. Avaliação A Fase 5 corresponderá à fase perpétua de condução do Ciclo de Melhoria Contínua (PDCA), com: ● Sistematização rotineira de auditorias internas e processos de auditoria externa, especificamente para Proteção de Dados e Privacidade. ● Realização de benchmarking e avaliações internas periódicas. ● Geração periódica do relatório de impacto e sua disponibilidade para informação à Autoridade Nacional de Proteção de Dados. ● Tratamento cíclico de riscos. ● Elaboração de relatório final dos riscos de implementação do projeto e de sua continuidade. ● Atualização do Manual Jurídico, implementado na Fase 1. 2. Soluções LGPD Com a entrada em vigor da Lei Geral de Proteção de Dados, o Serpro se torna referência para Agentes de Tratamento do setor público e privado, oferecendo soluções que garantam o tratamento de dados em conformidade com a LGPD e que também deem conta do fluxo de atendimento às demandas que virão dos titulares. A Plataforma Digital do Cidadão oferece soluções nas vertentes Identificação, Gestão do consentimento, Tratamento dos direitos do titular, Auditoria e conformidade, Educação e certificação. Identificação Com a correta identificação do Titular, o Agente de Tratamento garante o atendimento às demandas do Titular, sem o risco de informar a terceiros, gerando, assim, violação de dados. Consentimento A gestão do consentimento, nos casos em que essa seja a base legal utilizada, garante recursos para que o Agente de Tratamento demonstre o consentimento e gerencie revogações e alterações demandadas pelo Titular, inclusive "portabilidade" quando for caso. Uso de dados Garantia do adequado tratamento de todos os direitos do Titular, de acordo com cada uma das possíveis bases legais. Além do atendimento às hipóteses de informação aos titulares e autoridades competentes a respeito do uso compartilhado de dados, transferências internacionais, e possíveis incidentes de segurança e de violação de dados. Auditoria e Conformidade A solução completa e adequada à legislação deve garantir auditoria e rastreabilidade ao trabalho do Agente de Tratamento. Capacitação Desenvolvimento de treinamento e certificação de profissionais e de pessoas jurídicas. A modularização das soluções permite a contratação segmentada dessas funcionalidades, eliminando o risco de o cliente adquirir módulos de que não necessita ou de deixar de adquirir por causa de funcionalidades com as quais já conta. A imagem a seguir apresenta a integração dos módulos na Plataforma Digital do Cidadão. Plataforma Serpro LGPD Tanto a evolução e contratação dessas soluções quanto informações, artigos e atualizações referentes à privacidade e tratamento de dados podem ser acompanhados no Portal Serpro LGPD. Portal Serpro LGPD https://www.serpro.gov.br/lgpd/ https://www.serpro.gov.br/lgpd/ Ouça o Episódio 9 do Podcast LGPD Serpro! Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o que microempreendedores e autônomos devem fazer para agir em conformidade com a LGPD. Tema: LGPD nas micro e pequenas empresas Convidado: Ulysses Machado https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo04_podcast02.mp3 E então... O Serpro reafirma seu compromisso em ser referência no tratamento de dados pessoais! https://cdn.evg.gov.br/cursos/603_EVG/videos/modulo04_video01.mp4 Convidamos você a realizar as atividades avaliativas do curso e aguardamos sua participação nos cursos da Plataforma LGPD Educacional. https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo04_podcast02.mp3 https://cdn.evg.gov.br/cursos/603_EVG/videos/modulo04_video01.mp4 Podcasts Curso: LGPD Serpro Podcast LGPD Serpro - episódio 1 Tema: O papel do Encarregado na LGPD Convidado: Ulysses Machado Márcio Lopes: Olá! Aqui é Márcio Lopes e nesta série de áudios vamos comentar alguns aspectos da LGPD. Nosso convidado é Ulysses Machado, Assessor da Diretoria Jurídica e de Governança e Gestão do Serpro. Ulysses, vamos começar pela figura do Encarregado ou DPO. Ele é um Agente de Tratamento? Qual a função do Encarregado? E por que ele é tão importante? Ulysses Machado: Agente de Tratamentoé uma designação genérica. Ela indica tanto o Controlador quanto o Operador. O Encarregado não é um Agente de Tratamento. O Encarregado é indicado, designado por um desses dois Agentes de Tratamento, para cumprir o papel de intermediar o Agente de Tratamento e a ANPD, ser o representante do Agente de Tratamento perante a ANPD. O Encarregado também representa o Agente de Tratamento perante o Titular, recebe as demandas do Titular e processa essas demandas cumprindo/atendendo aos direitos desse Titular dentro da Organização. O representante tem também a finalidade de organizar dentro da casa, o tratamento dos dados pessoais. E esse papel é um dos mais importantes. Ele é responsável por exercer os controles, checar esses controles, analisar o impacto de determinadas ações no tratamento e na regularidade desse tratamento em face da Lei. Márcio Lopes: Muito obrigado e até o próximo podcast! Curso: LGPD Serpro Podcast LGPD Serpro - episódio 2 Tema: O titular dos dados pessoais Convidado: Ulysses Machado Márcio Lopes: Continuando, então, nossa conversa: Ulysses, o titular dos dados é sempre o protagonista na LGPD? Ulysses Machado: Sim, o titular é o protagonista da LGPD. Falando em linguagem bem clara, a titularidade está ligada à ideia de domínio sobre qualquer coisa: você é titular do cargo que ocupa, você é titular da sua propriedade, você é titular das coisas sobre as quais você detém uma determinada a posse legal. Mas o titular, para deixar bem claro, é aquele cara que detém a titularidade da informação pessoal e do dado pessoal na LGPD. Isso pode causar alguma confusão e, na verdade, tem causado. As pessoas perguntam normalmente: “Se eu sou titular porque é que às vezes a informação ou o meu dado pessoal são tratados como se eu não tivesse domínio sobre ele?” Isso ocorre porque a lei visa garantir duas coisas e não apenas uma: a lei não quer apenas garantir a privacidade e a proteção dessa privacidade. A lei quer garantir também que a informação circule e que a economia digital não seja um conjunto vazio. É preciso que as coisas funcionem e tenham consequências práticas no mundo dos negócios. Por isso é preciso compreender que o consentimento é apenas uma das hipóteses de tratamento. Há nove outras hipóteses de tratamento de dados pessoais, que são tão importantes quanto o consentimento. Eu diria que são até mais importantes, porque o consentimento só será utilizado se nenhuma dessas hipóteses prevalecer na relação entre o controlador - o agente de tratamento, de maneira geral - e o titular. Márcio Lopes: Obrigado e até o próximo podcast! Curso: LGPD Serpro Podcast LGPD Serpro - episódio 3 Tema: O sentido do consentimento pelo Titular Convidado: Ulysses Machado Márcio Lopes: Ulysses, como especialista em LGPD, qual é o sentido e a importância do consentimento expresso nesta lei? Ulysses Machado: O sentido do consentimento é um tema interessante, mas nós não gostaríamos de falar na relevância do consentimento. Pelo imaginário popular, a LGPD não é uma uma lei da privacidade, da proteção de dados. No imaginário popular, a narrativa da LGPD como a lei do consentimento ganhou foros inadequados de protagonismo. E não é verdade que os nossos dados somente serão tratados se dermos nosso consentimento. Eles podem ser tratados se a lei dispuser nesse sentido, se nós firmamos um contrato com alguém, ou se houver legítimo interesse entre um prestador de serviços e um tomador desses serviços. Se o consentimento fosse tão importante, não haveria nove outras possibilidades de tratamento e elas não precederiam, na verdade, na inteligência do tratamento de dados, ao consentimento. O que a lei traz de importante não é o consentimento, mas os direitos que o titular detém, independentemente de lhe ter sido pedido ou não um consentimento para tratar aqueles dados. Independentemente da base legal que seja adotada, o titular tem um conjunto de direitos que precisam ser respeitados e é isso que é importante na lei e na modificação que ela trouxe para o ordenamento jurídico atual. Márcio Lopes: Obrigado e até o próximo podcast! Curso: LGPD Serpro Podcast LGPD Serpro - episódio 4 Tema: Consentimento x Consenso / Interesse Legítimo Convidado: Ulysses Machado Márcio Lopes: Ulysses, algumas dessas hipóteses de tratamento podem trazer dúvidas. Então fale mais sobre a diferença entre consenso e consentimento e qual a importância do consenso para viabilidade dos contratos e do comércio, por exemplo. Ulysses Machado: Um consentimento é uma atitude inequívoca em relação à determinada realidade, emitida unilateralmente por parte de quem detém o direito a uma determinada informação, quando nós estamos falando de LGPD, naturalmente. Há consentimento de toda ordem no mundo dos negócios, no mundo dos contatos. Já o consenso é a anuência em formato bilateral a respeito de um dado objeto, de ajuste entre as partes. Então, se você tem um contrato com alguém, você vai ter ali um conjunto de detalhamentos daquele ajuste. Todos devem saber que a execução de um contrato é uma das hipóteses de tratamento de dados pessoais em termos de LGPD. Estão no contrato, as obrigações entre as partes, os direitos de uma em face da outra, os detalhes sobre a execução, as penalidades decorrentes do descumprimento de determinadas obrigações, o tempo de duração, o modo como os dados vão ser tratados, todo esse conjunto de ajustes compõem o contrato. E o consenso é um desses elementos, porque o contrato não persiste se não houver uma vontade de parte a parte, formalizando aquele determinado ajuste. Essa é a diferença básica entre consenso e consentimento. Márcio Lopes: E a hipótese para atender o interesse legítimo do controlador ou de terceiros. Fale um pouco sobre ela. Ulysses Machado: Olha, o legítimo interesse é a mais fluida e controvertida das bases legais de tratamento. Para quem quiser compreender bem todas as nuances dessa base legal eu recomendo a obra dos professores Ricardo Oliveira e Márcio Cots - ainda não lançado, mas em breve nas livrarias - que se chama “Legítimo Interesse e a LGPD P”. Legítimo interesse é a base legal utilizável para aqueles casos em que ao menos um interesse legítimo esteja em evidência: o do agente de tratamento, o do titular ou de um terceiro. Legitimidade é uma palavra menos subjetiva do que parece. Muita gente entende que essa é a dificuldade da base legal. Não, a legitimidade não é difícil de compreender: sempre que um agente de tratamento pensar em sustentar a coleta dos dados que vai tratar - em nome do seu legítimo interesse - terá que verificar, acima de tudo, se esse legítimo interesse abriga, de alguma forma, a legítima expectativa do titular do outro lado. Por exemplo, eu presto serviço de help desk e para prestar esse serviço preciso saber, digamos: nome, CPF, a cidade de residência do titular. São elementos necessários à prestação dos serviços. Olhando pelo lado do titular, é razoável imaginar que a sua legítima expectativa comporte essa necessidade. Mas se eu peço, além disso, renda, prole, padrão de consumo, endereço físico, não é razoável pensar que isso atenda ao legítimo interesse. Parece mais, nesse caso, que nós temos aí uma outra finalidade obscura, desvalorizando então, o princípio da adequação, que é um princípio importante na LGPD. Márcio Lopes: Esse é Ulysses Machado, especialista em LGPD no Serpro. Obrigado e até o próximo podcast! Curso: LGPD Serpro Podcast LGPD Serpro - episódio 5 Tema: Tratamento de dados pessoais sensíveis Convidado: Ulysses Machado Márcio Lopes: Aqui, esclarecendo nossas dúvidas, Ulysses Machado. Fale sobre dados pessoais sensíveis. Ulysses Machado: Dados pessoais sensíveis são aqueles que ostentam maior carga de lesividade ou maior risco de dano ao direito do titular. Estão incluídos aqui as opções político-filosóficas, as opções políticas, sindicais, as filiações a ideais sindicaisou políticas, as opções sexuais, a biometria, entre outros. Márcio Lopes: A relevância do consentimento é maior nesses casos? Ulysses Machado: É verdade. No caso dos dados pessoais sensíveis, o legislador foi mais arrojado em relação à proteção do titular. Na verdade, em matéria de dados pessoais sensíveis, há apenas duas hipóteses: o consentimento - e não havendo consentimento sete outras possibilidades, todas excepcionais, e quase todas essas sete possibilidades estão contidas entre as dez possibilidades de tratamento original. Apenas a prevenção à fraude está presente somente aqui, nos dados sensíveis, mas as demais, as outras seis estão presentes entre aquelas 10 hipóteses de tratamento. Mas aqui sim, como uma exceção ao consentimento. Porque? Porque o dado pessoal sensível, como nós dissemos, tem uma carga maior de risco, uma possibilidade maior de lesividade aos direitos e aos interesses do titular. Márcio Lopes: É isso! Agradecemos e até o próximo podcast. Curso: LGPD Serpro Podcast LGPD Serpro - episódio 6 Tema: Tratamento de dados pessoais de crianças e idosos Convidado: Ulysses Machado Márcio Lopes: Ulysses, a LGPD traz alguma especificidade para o caso de tratamento de dados de crianças ou de idosos? Ulysses Machado: O que existe de específico na Lei Geral de Proteção de Dados em relação a crianças e adolescentes é que, na hipótese de seus dados serem tratados com base em consentimento, esse consentimento deve ser o consentimento do pai ou do responsável pelo menor, basicamente isso. Há outras disposições legais, importantes também, mas esse é o núcleo do capítulo específico de crianças e adolescentes na LGPD. Uma das críticas que faz a essa disposição é que a LGPD não diferenciou muito criança de adolescente. Ela tratou de forma plana a necessidade de consentimento paterno ou do representante legal, nas hipóteses de consentimento. Claro que as outras vão ser tratadas na sua especificidade: a execução de contrato, a representação do menor é aquela ordinária estabelecida no ECA - Estatuto da Criança e do Adolescente. Outra crítica que se faz é que a verificação da veracidade desse consentimento do responsável não ficou bem tratada na Lei, como ficou tratado no COPPA, que é a lei Norte Americana correspondente a essa disposição relativa a dados de menores. Na nossa Lei isso ficou tratado pelo critério do “razoável esforço” por parte de quem é obrigado a identificar se há esse consentimento paterno. Já os idosos não têm um tratamento diferenciado. A lei apenas prevê - e a ANPD tem entre suas atribuições - garantir que o tratamento desses dados de idosos seja efetuado de maneira simples, clara, acessível e adequada a sua compreensão. Márcio Lopes: Obrigado, Ulysses! Até o próximo podcast. Curso: LGPD Serpro Podcast LGPD Serpro - episódio 7 Tema: Equilíbrio entre tratamento e segurança dos dados Convidado: Ulysses Machado Márcio Lopes: Ulysses, uma questão que muito se debate é como a LGPD vai ajudar no equilíbrio entre a necessidade de lidar com os dados pessoais e a privacidade e segurança dos dados. Ulysses Machado: A LGPD já ajuda nos fundamentos. Quando os fundamentos e princípios estabelecem que a Lei deve garantir tanto a privacidade do cidadão como o direito à informação - como a livre iniciativa e outros direitos fundamentais - ela está dizendo que é preciso haver esse equilíbrio sobre o qual você pergunta. Esse equilíbrio, na verdade, não tem um nome específico, porque ele se baseia em vários valores fundantes e principiológicos. Mas eu diria - e eu digo sempre - que essa justaposição “privacidade e fluxo de dados” deveria se chamar “Princípio da Ambivalência”, porque a Lei é clara no sentido de que tanto é importante proteger o dado pessoal quanto é importante a economia digital funcionar. O tráfego, o circuito da economia digital precisa funcionar adequadamente. É assim também em segurança da informação: ninguém busca uma confidencialidade a qualquer custo. Em segurança da informação você busca confidencialidade com disponibilidade, integridade e autoria da informação, porque a informação precisa circular. Não é diferente na LGPD: é preciso que a informação tanto seja protegida, que o dado pessoal seja protegido, mas que a economia digital, os negócios, enfim, as relações interpessoais funcionem adequadamente. Márcio Lopes: É isso! Agradecemos e até o próximo podcast. Curso: LGPD Serpro Podcast LGPD Serpro - episódio 8 Tema: As 5 fases de implementação da LGPD Convidado: Ulysses Machado Márcio Lopes: Ulysses, como especialista em LGPD, quais são as fases de implementação da LGPD e como elas estão organizadas? Ulysses Machado: As fases para implementação da LGPD não são uma regra. Não há uma regra específica sobre como seguir o roteiro e finalmente implementar a LGPD na Organização. A ANPD, quando estiver funcionando, não quer saber como o Agente de Tratamento implementou, ela quer saber se está implementado e pronto. Há muitas formas de organizar a casa e a mais popular delas, que nós identificamos no trabalho de um autor chamado John Kyriazoglou, é o POIGA. P.O.I.G.A. são um acrônimo para Preparação, Organização, Implementação, Governança e Avaliação - POIGA. Nós adotamos esse modelo no Serpro e descobrimos que essas etapas são apenas uma forma de organizar a cabeça. Não adianta se aferrar muito a cada uma delas. Por que? Porque há ações da Fase G, da Fase A, que nós já tratamos desde o início ou já estavam pré-preparadas e nós apenas pusemos para funcionar. Mas há ações das Fases P e O - que são as primeiras - e estão pendentes de fatores externos. Então, não adianta se aferrar muito a esse roteiro, apenas siga de forma organizada, use para organizar a cabeça. A metodologia se mostrou muito competente para organizações grandes e complexas, como é o Serpro e nós, portanto, recomendamos e temos recomendando externamente. Márcio Lopes: É isso! E no próximo podcast, mais respostas sobre LGPD. Curso: LGPD Serpro Podcast LGPD Serpro - episódio 9 Tema: LGPD nas micro e pequenas empresas Convidado: Ulysses Machado Márcio Lopes: Aqui conosco, Ulysses Machado, esclarecendo aspectos importantes sobre a LGPD. E a dúvida é o que microempreendedores e autônomos devem fazer para agir em conformidade com a LGPD. Ulysses Machado: Esta é uma excelente pergunta. O Art. 4º da LGPD estabelece o seguinte: “O tratamento de dados pessoais, por pessoa natural, para fins não econômicos está fora da esfera de aplicação da Lei.” A Lei não se aplica, por exemplo a sua agenda telefônica, a agenda do seu celular, aquela que tem o nome e os telefones dos seus amigos. No entanto, se você é um microempreendedor, e utiliza essa ferramenta para tratar dados pessoais dos seus clientes, por exemplo, você já está sob a incidência da Lei. Portanto, tenha medo! O que eu recomendo a esse microempreendedor é que aguarde, porque há uma previsão no Art. 55-J, da LGPD, Inciso 18, de que a ANPD irá editar normas e procedimentos simplificados e diferenciados para microempresas, empresas de pequeno porte, bem como, iniciativas de inovação e entidades que se auto-declarem startups. Portanto, isso está na esfera de todo aquele conjunto, aquele acervo regulamentador que nós aguardamos que seja executado e colocado em prática com a criação da ANPD. Márcio Lopes: Este foi Ulysses Machado, Assessor Jurídico e especialista em LGPD no Serpro. Obrigado por ficar ligado em nosso podcast.
Compartilhar