Aula 1

Prévia do material em texto

<p>www.opiceblumacademy.com.br</p><p>Seja disruptivo, antecipe tendências,</p><p>Seja Opice Blum Academy!</p><p>Guilherme Sicuto</p><p>Guilherme Sicuto</p><p>• Mestre em Mediação de Conflitos e Negociação pela</p><p>Universidad de Cádiz, Espanha</p><p>• Pós-Graduado em Direito Civil pela Universidade</p><p>Anhanguera</p><p>• Alumni em Privacidade e Proteção de Dados pela Escola</p><p>Paulista de Direito</p><p>• Alumni em Segurança da Informação pela Universidade de</p><p>Brasília</p><p>• Advogado no Opice Blum, Bruno, Abrusio e Vainzof</p><p>Advogados</p><p>• Instrutor da Opice Blum Academy, LEC e Instituto [D´Vinci]³ –</p><p>Cursos voltados para Proteção de Dados Pessoais</p><p>• Professor convidado da Escola Brasileira de Direito (EBRADI) e</p><p>Escola Paulista de Direito (EPD) para cursos de pós</p><p>graduação em direito digital, proteção de dados e</p><p>segurança da informação</p><p>Lei Geral de Proteção de</p><p>Dados</p><p>Privacidade e Proteção de Dados</p><p>Contexto histórico</p><p>https://apprend.io/apush/period-7/yellow-journalism/</p><p>https://apprend.io/apush/period-7/yellow-journalism/</p><p>Autodeterminação Informativa</p><p>O termo autodeterminação informativa se</p><p>toma da tradição alemã (Recht auf</p><p>informationelle Selbstbestimmung). A</p><p>inteligência dessa doutrina confere ao indivíduo</p><p>o poder, de ele próprio decidir sobre a utilização</p><p>e divulgação de seus dados pessoais.</p><p>“A cada sujeito deve ser dado o poder de</p><p>decisão sobre quando e dentro de quais limites</p><p>procede revelar situações ou aspectos de sua</p><p>própria vida, “pues es precisamente em esa</p><p>autodeterminación consciente y responsable del</p><p>sujeto, donde radica el derecho fundamental a</p><p>la protección de datos de carácter personal”.</p><p>CASTILLO VÁZQUEZ, Isabel-Cecilia del. Protección de datos:</p><p>cuestiones constitucionales y administrativas. Navarra: Editorial</p><p>Aranzadi, 2007, p.138.</p><p>Regulamentos</p><p>Incidência</p><p>Estudo comparado</p><p>GDPR vs. LGPD</p><p>Aplicabilidade</p><p>SEMELHANÇAS DIFERENÇAS</p><p>➢ Ambas se destinam a proteção de dados</p><p>pessoais de pessoas naturais</p><p>➢ Ambas são aplicáveis para o setor público</p><p>e privado</p><p>➢ Ambas definem controladores e</p><p>operadores como pessoas naturais ou</p><p>jurídicas</p><p>➢ A LGPD não cita expressamente que a</p><p>sua aplicação independe da nacionalidade</p><p>ou local de residência do Titular,</p><p>diferentemente da GDPR que traz</p><p>explicitamente esta previsão.</p><p>GDPR – APLICAÇÃO EXTRATERRITORIAL</p><p>ESTABLISHMENT (1) TARGETING (2) PUBLIC INTERNATIONAL</p><p>LAW (3)</p><p>This Regulation applies to the</p><p>processing of personal data</p><p>in the context of the activities</p><p>of an establishment of a</p><p>controller or a processor in</p><p>the Union, regardless of</p><p>whether the processing takes</p><p>place in the Union or not</p><p>This Regulation applies to the</p><p>processing of personal data</p><p>of data subjects who are in</p><p>the Union by a controller or</p><p>processor not established in</p><p>the Union, where the</p><p>processing activities are</p><p>related to: (a) the offering of</p><p>goods or services, irrespective</p><p>of whether a payment of the</p><p>data subject is required, to</p><p>such data subjects in the</p><p>Union; or (b) the monitoring of</p><p>their behavior as far as their</p><p>behavior takes place within</p><p>the Union.</p><p>This Regulation applies to the</p><p>processing of personal data</p><p>by a controller not</p><p>established in the Union, but</p><p>in a place where Member</p><p>State law applies by virtue of</p><p>public international law.</p><p>ESTABLISHMENT CRITERIA</p><p>(1) - O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no</p><p>contexto das atividades de um estabelecimento de um responsável pelo tratamento ou</p><p>de um subcontratante situado no território da União, independentemente de o</p><p>tratamento ocorrer dentro ou fora da União.</p><p>Consideranda 22 - Qualquer tratamento de dados pessoais efetuado no contexto das</p><p>atividades de um estabelecimento de um responsável pelo tratamento ou de um</p><p>subcontratante situado na União deverá ser feito em conformidade com o presente</p><p>regulamento, independentemente de o tratamento em si ser realizado na União. O</p><p>estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa</p><p>instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma</p><p>sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse</p><p>contexto</p><p>“CJEU ruled that the notion of</p><p>establishment extends to any</p><p>real and effective</p><p>activity — even a minimal one</p><p>— exercised through stable</p><p>arrangements”</p><p>TARGETING CRITERIA</p><p>(2) O presente regulamento aplica-se ao tratamento de dados pessoais de titulares</p><p>residentes que se encontrem no território da União, efetuado por um responsável pelo</p><p>tratamento ou subcontratante não estabelecido na União, quando as atividades de</p><p>tratamento estejam relacionadas com:</p><p>a) A oferta de bens ou serviços a esses titulares de dados na União,</p><p>independentemente da exigência de os titulares dos dados procederem a um</p><p>pagamento;</p><p>Consideranda 23 (Parte 2)</p><p>“... há fatores, como a utilização de uma língua ou de</p><p>uma moeda de uso corrente num ou mais Estados-</p><p>Membros, com a possibilidade de encomendar bens ou</p><p>serviços nessa outra língua, ou a referência a clientes ou</p><p>utilizadores que se encontrem na União, que podem ser</p><p>reveladores de que o responsável pelo tratamento tem</p><p>a intenção de oferecer bens ou serviços a titulares de</p><p>dados na União ...”</p><p>TARGETING CRITERIA</p><p>b) O controle do seu comportamento, desde que esse comportamento tenha</p><p>lugar na União.</p><p>(2) O presente regulamento aplica-se ao tratamento de dados pessoais de titulares</p><p>que se encontrem no território da União, efetuado por um responsável pelo</p><p>tratamento ou subcontratante não estabelecido na União, quando as atividades de</p><p>tratamento estejam relacionadas com:</p><p>«controle do comportamento» de titulares de dados,</p><p>deverá determinar-se se essas pessoas são seguidas</p><p>na Internet e se há a potencial utilização subsequente</p><p>de técnicas de tratamento de dados pessoais que</p><p>consistem em definir o perfil de uma pessoa singular,</p><p>especialmente para tomar decisões relativas a essa</p><p>pessoa ou analisar ou prever as suas preferências, o</p><p>seu comportamento e as suas atitudes.</p><p>PUBLIC INTERNATIONAL LAW</p><p>O presente regulamento aplica-se ao tratamento de dados realizado por</p><p>um controlador ou um operador não localizado na União, mas em um</p><p>local que um Estado membro possua competência em razão de acordo</p><p>internacional.</p><p>LGPD – APLICAÇÃO</p><p>EXTRATERRITORIAL</p><p>Territorial Alvo Coleta</p><p>A operação de</p><p>tratamento seja</p><p>realizada no território</p><p>nacional</p><p>A atividade de</p><p>tratamento tenha por</p><p>objetivo a oferta ou o</p><p>fornecimento de bens</p><p>ou serviços ou o</p><p>tratamento de dados</p><p>de indivíduos</p><p>localizados no território</p><p>nacional</p><p>Os dados pessoais</p><p>objeto do tratamento</p><p>tenham sido coletados</p><p>no território nacional</p><p>Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por</p><p>pessoa natural ou por pessoa jurídica de direito público ou privado,</p><p>independentemente do meio, do país de sua sede ou do país onde estejam</p><p>localizados os dados, desde que:</p><p>LGPD – APLICAÇÃO</p><p>EXTRATERRITORIAL</p><p>Dados Pessoais</p><p>Principais conceitos – Art. 5º LGPD</p><p>• I - dado pessoal: informação relacionada a pessoa</p><p>natural identificada ou identificável;</p><p>Dado Pessoal</p><p>Dado Pessoal</p><p>• Latanya Sweeney (Harvard – Data Privacy Lab):</p><p>“Simple Demographics Often Identify People</p><p>Uniquely”; “Identifying Participants in the Personal</p><p>Genome Project by Name”.</p><p>Dados Sensíveis</p><p>Principais conceitos – Art. 5º LGPD</p><p>• II - dado pessoal sensível: dado pessoal sobre</p><p>origem racial ou étnica, convicção religiosa, opinião</p><p>política, filiação a sindicato ou a organização de</p><p>caráter religioso, filosófico ou político, dado</p><p>referente à saúde ou à vida sexual, dado genético</p><p>ou biométrico, quando vinculado a uma pessoa</p><p>natural;</p><p>Dados que revelam informações sensíveis</p><p>• Art. 11. § 1º Aplica-se o disposto neste artigo a qualquer</p><p>tratamento de dados pessoais que revele dados pessoais</p><p>sensíveis e que possa causar dano ao titular, ressalvado o</p><p>disposto em legislação específica.</p><p>Crianças e Adolescentes</p><p>TIC KIDS do Comitê Gestor</p><p>da Internet no Brasil - 2016</p><p>• 63% das crianças com</p><p>idades entre 9 e 10 já</p><p>possuíam perfil em redes</p><p>sociais em 2016. Em 2015,</p><p>nessa mesma faixa</p><p>etária, a porcentagem</p><p>era de 43%.</p><p>Center for Cyber Safety and</p><p>Education - 192 crianças de</p><p>10 a 14 anos</p><p>• 40% declarou conversar</p><p>e se conectar com</p><p>estranhos;</p><p>• 53% revelaram seu</p><p>número de telefone a</p><p>algum estranho;</p><p>• 15% tentaram se</p><p>encontrar com o</p><p>estranho que elas</p><p>conheceram online.</p><p>Crianças: Até 12 anos</p><p>incompletos</p><p>Adolescentes: Pessoas com</p><p>idade entre 12 e 18 anos.</p><p>Para que seja realizado</p><p>tratamento de dados de</p><p>crianças, faz-se necessária</p><p>a coleta prévia do</p><p>consentimento de um dos</p><p>pais ou responsáveis.</p><p>• Consentimento específico e</p><p>destacado</p><p>• Finalidades determinadas</p><p>• Autorizações genéricas para</p><p>o tratamento de dados</p><p>pessoais serão nulas.</p><p>Exceção à Regra do Consentimento</p><p>Poderão ser coletados dados pessoais de crianças sem o consentimento quando a</p><p>coleta for necessária para contatar os pais ou o responsável legal:</p><p>• utilizados uma única vez;</p><p>• sem armazenamento;</p><p>• para a proteção da criança;</p><p>• Não poderão ser repassados a terceiro sem o consentimento dos pais ou</p><p>responsáveis .</p><p>Principais conceitos – Art. 5º LGPD</p><p>• X - tratamento: toda operação realizada com dados</p><p>pessoais, como as que se referem a coleta, produção,</p><p>recepção, classificação, utilização, acesso, reprodução,</p><p>transmissão, distribuição, processamento, arquivamento,</p><p>armazenamento, eliminação, avaliação ou controle da</p><p>informação, modificação, comunicação, transferência,</p><p>difusão ou extração;</p><p>Anonimização e</p><p>Pseudonimização</p><p>Art. 5º, XI - anonimização: utilização</p><p>de meios técnicos razoáveis e</p><p>disponíveis no momento do</p><p>tratamento, por meio dos quais um</p><p>dado perde a possibilidade de</p><p>associação, direta ou indireta, a um</p><p>indivíduo;</p><p>Conceito</p><p>Anonimização</p><p>Irreversível</p><p>Tempo</p><p>Custo</p><p>Terceiros</p><p>Art. 13, § 4º - Para os efeitos deste</p><p>artigo, a pseudonimização é o</p><p>tratamento por meio do qual um dado</p><p>perde a possibilidade de</p><p>associação, direta ou indireta, a um</p><p>indivíduo, senão pelo uso de</p><p>informação adicional mantida</p><p>separadamente pelo controlador</p><p>em ambiente controlado e seguro.</p><p>Pseudonimização</p><p>Conceito</p><p>Informação Uso Compartilhado</p><p>Agentes de Tratamento</p><p>CONTROLADOR DE DADOS</p><p>PESSOAIS</p><p>(art. 5º, VI, LGPD)</p><p>“pessoa natural ou jurídica, de</p><p>direito público ou privado, a</p><p>quem competem as decisões</p><p>referentes ao tratamento de</p><p>dados pessoais”</p><p>OPERADOR DE DADOS PESSOAIS</p><p>(art. 5º, VII, LGPD)</p><p>“pessoa natural ou jurídica, de direito</p><p>público ou privado, que realiza o</p><p>tratamento de dados pessoais em</p><p>nome do controlador”</p><p>Um grupo econômico</p><p>contrata uma empresa de</p><p>call center para realizar as</p><p>atividades de comunicação</p><p>e atendimento a seus</p><p>clientes.</p><p>Diante da descrição acima, qual seria</p><p>o papel de cada empresa enquanto</p><p>agentes de tratamento de dados</p><p>pessoais?</p><p>Caso Prático</p><p>Responsabilidades legais</p><p>- Registro das atividades de</p><p>tratamento, especialmente</p><p>quando embasadas no legítimo</p><p>interesse;</p><p>- Responsabilidade de</p><p>controladores e operadores;</p><p>- Exigência das normas ISO 27.001.</p><p>Responsabilidade civil e ressarcimento de danos</p><p>Responsabilidade civil e</p><p>ressarcimento de danos</p><p>(art. 42 LGPD)</p><p>Controlador e Operador.</p><p>Responsabilidade em caso de</p><p>dano patrimonial, moral,</p><p>individual ou coletivo.</p><p>Controladores envolvidos</p><p>respondem solidariamente.</p><p>Operador equiparado ao</p><p>controlador.</p><p>Exclusão de Responsabilidade</p><p>(art. 43 LGPD)</p><p>Controlador e Operador.</p><p>- Não realizaram o</p><p>tratamento.</p><p>-Não houve violação à</p><p>legislação de proteção</p><p>de dados.</p><p>- Culpa exclusiva do</p><p>titular ou de terceiros.</p><p>Princípios</p><p>Princípios</p><p>Bases Legais</p><p>Bases Legais</p><p>Art. 7º</p><p>II - para o cumprimento de obrigação legal ou regulatória pelo controlador.</p><p>III - pela administração pública, para o tratamento e uso compartilhado</p><p>de dados necessários à execução de políticas públicas previstas em leis</p><p>e regulamentos ou respaldadas em contratos, convênios ou instrumentos</p><p>congêneres, observadas as disposições do Capítulo IV desta Lei.</p><p>IV - para a realização de estudos por órgão de pesquisa, garantida,</p><p>sempre que possível, a anonimização dos dados pessoais.</p><p>V - quando necessário para a execução de contrato ou de procedimentos</p><p>preliminares relacionados a contrato do qual seja parte o titular, a pedido</p><p>do titular dos dados.</p><p>VI - para o exercício regular de direitos em processo judicial,</p><p>administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de</p><p>setembro de 1996 (Lei de Arbitragem).</p><p>VII - para a proteção da vida ou da incolumidade</p><p>física do titular ou de terceiro.</p><p>VIII - para a tutela da saúde, exclusivamente, em procedimento</p><p>realizado por profissionais de saúde, serviços de saúde ou</p><p>autoridade sanitária.</p><p>X - para a proteção do crédito, inclusive quanto ao</p><p>disposto na legislação pertinente.</p><p>I - mediante o fornecimento de consentimento pelo titular.</p><p>IX - quando necessário para atender aos interesses legítimos do controlador</p><p>ou de terceiro, exceto no caso de prevalecerem direitos e liberdades</p><p>fundamentais do titular que exijam a proteção dos dados pessoais.</p><p>Não se trata de uma “carta branca”:</p><p>Consideranda 47 GDPR</p><p>Poderá haver um interesse legítimo, por exemplo, quando:</p><p>A)Existir uma relação relevante e apropriada entre o titular dos dados e o responsável</p><p>pelo tratamento (o titular dos dados é cliente ou está ao serviço do responsável pelo</p><p>tratamento)</p><p>B) Prevenção ou controle de fraudes</p><p>--</p><p>➔O titular dos dados pode razoavelmente prever, no momento e no contexto da</p><p>coleta</p><p>➔Esse fundamento jurídico não deverá ser aplicável aos tratamentos efetuados pelas</p><p>autoridades públicas na prossecução das suas atribuições.</p><p>Interesse Legítimo no GDPR</p><p>Bases Legais para Dados Sensíveis</p><p>g) garantia da prevenção à fraude e à segurança do titular, nos</p><p>processos de identificação e autenticação de cadastro em</p><p>sistemas eletrônicos, resguardados os direitos mencionados no</p><p>art. 9º desta Lei e exceto no caso de prevalecerem direitos e</p><p>liberdades fundamentais do titular que exijam a proteção dos</p><p>dados pessoais.</p><p>Direitos dos Titulares</p><p>Limitação</p><p>Confirmação de Existência</p><p>Acesso</p><p>Qual o limite do acesso?</p><p>Retificação</p><p>Eliminação</p><p>Eliminação: Backups</p><p>Eliminação de Backups: Como fazer?</p><p>Portabilidade</p><p>Revogação do Consentimento</p><p>Oposição</p><p>Oposição</p><p>Decisões Automatizadas</p><p>Decisões Automatizadas: Condições Gerais</p><p>Decisões Automatizadas: Exemplos</p><p>Decisões Automatizadas: Case</p><p>https://www1.folha.uol.com.br/tec/2018/10/amazon-desiste-de-ferramenta-de-</p><p>recrutamento-que-penalizava-mulheres.shtml</p><p>https://www1.folha.uol.com.br/tec/2018/10/amazon-desiste-de-ferramenta-de-recrutamento-que-penalizava-mulheres.shtml</p><p>Desafios</p><p>Validação da Identidade: Como Fazer?</p><p>Gerando Solicitações: Como Fazer?</p><p>Gerando Solicitações: Como Fazer?</p><p>Gerando Solicitações: Como Fazer?</p><p>Encarregado pelo Tratamento</p><p>de Dados Pessoais</p><p>Data Protection Officer (DPO)</p><p>• O controlador deverá indicar encarregado pelo tratamento de dados pessoais</p><p>• Hipóteses de dispensa da indicação pela Autoridade Nacional (§3º) conforme a</p><p>natureza e porte da entidade ou volume de operações de tratamento</p><p>• Divulgação da identidade e contato, de forma clara e objetiva, preferencialmente</p><p>na página web do controlador</p><p>Artigo 41, LGPD</p><p>• Aceitar reclamações e comunicações dos titulares, esclarecimentos e providências</p><p>• Receber comunicações da Autoridade Nacional e adotar providências</p><p>• Orientar funcionários e contratados sobre práticas a serem adotadas</p><p>• Demais atribuições determinadas pelo controlador ou em normas complementares</p><p>Atribuições do Encarregado</p><p>Atividades Essenciais</p><p>✓ A legislação de proteção de dados aplicável;</p><p>✓ A regulamentação pertinente às atividades da companhia</p><p>✓ A realidade das atividades primárias desempenhadas pela companhia</p><p>✓ A natureza, o âmbito, o contexto e as finalidades das operações de tratamento de</p><p>dados realizadas pela companhia</p><p>Job description</p><p>Job description</p><p>✓ As necessidades específicas e desafios da companhia no que tange à</p><p>proteção de dados.</p><p>✓ Possuir plena independência</p><p>técnica e funcional, bem como ampla</p><p>autonomia para desempenho do cargo.</p><p>✓ Saber interpretar normas e legislações, principalmente aquelas</p><p>atreladas à privacidade e proteção de dados pessoais</p><p>✓ Ter conhecimentos de software e entender especificidades de dados,</p><p>tais como a natureza do dado que está sendo coletado e tratado e a</p><p>forma na qual ele está armazenado</p><p>✓ Ter desenvoltura e boa comunicação para realizar a interação com</p><p>diferentes áreas</p><p>DPO AS A</p><p>SERVICE</p><p>Prós e Contras</p><p>ENCARREGADO PESSOA FÍSICA ENCARREGADO PESSOA JURÍDICA</p><p>✓ Possui um maior conhecimento interno do</p><p>funcionamento da companhia, especialmente em caso</p><p>de nomeação de funcionários da companhia.</p><p>✓ Possui um maior conhecimento especializado sobre o</p><p>tema de privacidade e proteção de dados.</p><p>✓ Possui uma maior participação diária nas tomadas de</p><p>decisão da companhia, acompanhando de perto a</p><p>definição de estratégias que envolvam o tratamento de</p><p>dados pessoais.</p><p>✓ Emissão de decisões imparciais, considerando ser uma</p><p>consultoria externa, sem qualquer associação com a</p><p>empresa.</p><p>✓ Possibilidade de escolha dos funcionários que irão</p><p>compor a equipe especializada do Encarregado.</p><p>✓ Possui uma equipe instituída e treinada para lidar com</p><p>questões diárias envolvendo o tratamento de dados</p><p>pessoais e, inclusive, com casos extremos de ocorrência</p><p>de incidentes envolvendo dados pessoais.</p><p>✓ Ideal para companhias de porte pequeno ou médio</p><p>✓ Ideal para companhias que não estão buscando a</p><p>implementação em tempo integral de um Encarregado,</p><p>evitando encargos e obrigações trabalhistas.</p><p>Transparência e Acessibilidade</p><p>LGPD é silente em relação à questão da</p><p>responsabilização do Encarregado.</p><p>Responsabilidade</p><p>Melhor entendimento – Encarregado não responde</p><p>pessoalmente por eventuais incidentes ocorridos na</p><p>companhia, a não ser que este tenha influenciado</p><p>na ocorrência deste evento (dolo na conduta).</p><p>Holanda: de acordo com a GDPR, o Encarregado</p><p>não deverá ser demitido ou penalizado por realizar</p><p>as tarefas atinentes ao seu cargo. O Encarregado é</p><p>legalmente protegido pela GDPR contra a rescisão</p><p>contratual ou demissão injustas. Portanto, o</p><p>Encarregado também não responde pessoalmente</p><p>por eventuais violações de dados praticas pela</p><p>empresa, a não ser que tenha decorrido</p><p>diretamente de culta ou dolo do Encarregado.</p><p>Pittsburgh/PA (EUA): nos EUA, uma empresa</p><p>que acredita que uma conduta negligente</p><p>do Encarregado tenha causado danos</p><p>diretos, pode ter direito comum de buscar</p><p>indenização de seu funcionário. Aqui,</p><p>também não há indicação específica</p><p>sobre eventual responsabilização do</p><p>Encarregado, porém, não é vedado às</p><p>empresas ajuizarem demandas em face</p><p>deste, caso entendam que o Encarregado</p><p>tenha agido de maneira negligente.</p><p>Singapura: no que se refere à</p><p>responsabilidade pessoal do</p><p>Encarregado, o PDPA estabelece</p><p>responsabilidade pessoal para os</p><p>funcionários, incluindo o</p><p>Encarregado, por ilícitos</p><p>cometidos pela organização.</p><p>Questão</p><p>• Um Grupo econômico,</p><p>com sede nos EUA e</p><p>subsidiárias na França e</p><p>Brasil poderá possuir</p><p>apenas um único DPO</p><p>apontado?</p><p>Estrutura sugerida</p><p>Comitê de</p><p>Privacidade</p><p>Encarregado</p><p>Embaixadores</p><p>Estratégia de Privacidade</p><p>Alinhamento de objetivos e</p><p>definição estratégica</p><p>Governança</p><p>O que é Governança?</p><p>Sistema para:</p><p>a)Garantir que a corporação está focada em suas atividades principais;</p><p>b)Determinar quem tem autoridade para tomar decisões;</p><p>c)Determinar quem deve prestar contas pelas ações tomadas;</p><p>d)Determinar quem é responsável pelos resultados a serem atingidos; e</p><p>e)Definir como a performance será avaliada.</p><p>O que é Governança?</p><p>Planejamento, supervisão e controle sobre a gestão de dados e seu uso.</p><p>Diretriz para tomada de decisões</p><p>Prestação de contas</p><p>Exemplo Prático</p><p>Exemplo-Política de Retenção de Documentos Trabalhistas</p><p>•Quem determina por quanto tempo os documentos devem ser</p><p>armazenados?</p><p>•Quem toma decisões quanto aos documentos(quem tem acesso, pode</p><p>ou não transferir, autorização descarte etc.)?</p><p>•Quem garante que a política está sendo seguida?</p><p>•Como executaras diretrizes da política(enviar por malote, digitalizar,</p><p>indexar, disponibilizar etc.)?</p><p>Implementação na prática:</p><p>Adequação de Contratos</p><p>CONTROLADOR DE DADOS</p><p>PESSOAIS</p><p>(art. 5º, VI, LGPD)</p><p>“pessoa natural ou jurídica, de</p><p>direito público ou privado, a</p><p>quem competem as decisões</p><p>referentes ao tratamento de</p><p>dados pessoais”</p><p>OPERADOR DE DADOS PESSOAIS</p><p>(art. 5º, VII, LGPD)</p><p>“pessoa natural ou jurídica, de direito</p><p>público ou privado, que realiza o</p><p>tratamento de dados pessoais em</p><p>nome do controlador”</p><p>INCOMPLETUDE DE</p><p>CARACTERIZAÇÃO</p><p>Delimitação de Controlador e</p><p>Operador depende do referencial</p><p>apresentado pela atividade de</p><p>tratamento de dados pessoais</p><p>1) O operador deve agir apenas de acordo com as instruções escritas do</p><p>controlador;</p><p>2) O operador deve garantir que as pessoas que tratem os dados estejam</p><p>sujeitas a um dever de confidencialidade;</p><p>3) O operador deve adotar medidas apropriadas a garantir a segurança dos</p><p>dados;</p><p>4) O operador deve envolver um sub-operador apenas com a expressa</p><p>autorização do controlador, mediante contrato escrito;</p><p>5) O operador deve auxiliar o controlador na providência de acesso e</p><p>possibilidade de que o titular exercitem seus direitos;</p><p>Artigo 28 – GDPR</p><p>Considerações ICO</p><p>6) O operador deve auxiliar o controlador no cumprimento de suas obrigações</p><p>em relação à segurança do processamento, notificação de violação de dados</p><p>pessoais e avaliações de impacto à proteção de dados pessoais;</p><p>7) O operador deve excluir ou retornar integralmente os dados pessoais ao</p><p>controlador quando da finalização do contrato;</p><p>8) O operador deve se submeter à auditorias e inspeções, fornecer ao</p><p>controlados as informações necessárias para garantir que ambos cumpram suas</p><p>obrigações e comunicar imediatamente ao controlador na situação de</p><p>solicitação de práticas ilícitas de acordo com a lei de proteção de dados</p><p>pessoais.</p><p>Artigo 28 – GDPR</p><p>Considerações ICO</p><p>Implementação na prática:</p><p>Treinamentos</p><p>“Se você acha educação cara,</p><p>experimente a ignorância.”</p><p>Derek Bok – Ex – Reitor de</p><p>Harvard</p><p>Objetivos Básicos</p><p>Ações de treinamento e comunicação servem dois objetivos</p><p>básicos:</p><p>1) Reforçar a importância da proteção de dados pessoais na</p><p>companhia;</p><p>2) Ensinar/Relembrar políticas, procedimentos, controles etc.</p><p>Objetivos Básicos</p><p>Em termos de boas práticas, o treinamento efetivo, inclui:</p><p>1) Assessment prévio;</p><p>2) Plano de treinamento e calendário documentado;</p><p>3) Desenvolvimento e execução de treinamentos para públicos</p><p>específicos, baseados em risco;</p><p>4) Rastreabilidade, reporte e avaliação regular de efetividade.</p><p>Evite erros</p><p>Treinamento é diferente de comunicação;</p><p>Uso de apenas um canal de execução;</p><p>Ausência de ferramentas que avaliem a efetividade;</p><p>Eliminar comunicados ou treinamentos por falta de budget.</p><p>Tone at the top</p><p>Privacy Champions</p><p>Dia da Privacidade</p><p>Apresentações curtas e personalizadas</p><p>Estratégia</p><p>Treinamentos Específicos</p><p>RH</p><p>A. Aspectos introdutórios da Lei Geral de Proteção de Dados (A quem se aplica? Qual o formato dos</p><p>dados? Há exceções?);</p><p>B. Princípios da Legislação (Finalidade; Necessidade; Transparência);</p><p>C. Bases Legais aplicáveis para a área de Recursos Humanos (Execução de contratos ou diligências</p><p>prévias; Obrigação legal; Exercício regular de direitos);</p><p>D. Como realizar um processo de recrutamento e seleção (base legal aplicável, forma de aplicação de</p><p>transparência e tempo de guarda dos currículos);</p><p>E. Como realizar um processo de admissão (base legal aplicável, transparência no contrato de trabalho);</p><p>F. Como operacionalizar um benefício para dependentes (“menores de idade”);</p><p>G. Aviso interno de privacidade (o que é e o que deve conter);</p><p>H. Atendendo solicitações de direitos dos titulares (requisições de funcionários – necessidade de criação de</p><p>um canal específico?);</p><p>I. Armazenamento de dados pessoais de ex-funcionários</p><p>www.opiceblumacademy.com.br</p><p>@opiceblumacademy</p><p>Obrigado!</p><p>Acompanhe nossas</p><p>redes!</p>