Baixe o app para aproveitar ainda mais
Prévia do material em texto
_________________________________ Segurança da Informação LGPD Prof. Esp Claudia Rodrigues de Carvalho Claudia.carvalho3@fatec.sp.gov.br _________________________________ LGPD - Lei Geral de Proteção de Dados _________________________________ LGPD - Lei Geral de Proteção de Dados A lei nº 13.709/2018, conhecida por LGPD (Lei Geral de Proteção de Dados Pessoais ou LGPDP - Lei Geral de Proteção de Dados Pessoais), é a legislação brasileira que regula as atividades de tratamento de dados pessoais. Aprovada em 14 de agosto de 2018 * Fonte: https://www.camara.leg.br/noticias/687343-camara-aprova-emenda-sobre-vigencia-da-lei-de-protecao-de-dados-e-conclui-votacao-de-mp (consulta 27/8/2020) _________________________________ 1 - Escopo Geral da LGPD Os dados são o novo petróleo pois através dele temos a capacidade de conhecer, extrair informações sobre novos mercados e pessoas - Todos deixam rastros (dados) que oferecem um alto diferencial competitivo -Estamos vivendo uma era com alto nível de digitalização das relações humanas e financeiras _________________________________ LGPD - Lei Geral de Proteção de Dados Potencial Competitivo Competição mundial Mundo interconectado Os competidores não são só os que estão fisicamente próximos a você (Compete com mundo inteiro) Dados se bem utilizados oferecem as empresas uma inteligência extra e um poder de reação muito mais rápido que transforma estes dados em valor que é traduzido em crescimento e desenvolvimento no mercado (Lucratividade, Market Share, Mind Share) _________________________________ Uso indiscriminado dos dados Pesquisas mostram alto grau de atividades hackers, isto é, aquelas que buscam comprometer a integridade, disponibilidade e confiabilidade dos dados. Paradoxo: Alto valor dos dados X Atividades intensas de rackers = Ambiente de altíssimo risco _________________________________ Probabilidade dos Riscos As empresas são alvos constantes de ataques hackers que colocando em risco as informações e todo o conhecimento que ela pode gerar Probabilidade dos Riscos (impactos) 1 – Chance da ameaça atentar contra seus dados. 2 – Alta atividade hacker no mundo ( Estes dois aspectos analisados faz com que a probabilidade que sua empresa sobre um ataque hacker seja muito grande) _________________________________ Probabilidade dos Riscos (impactos) Estas probabilidades aumentam e são maximizadas por efeitos de ações bem sucedidas de uma ameaça, que geralmente tem efeitos financeiros, isto é, hacker produzem valor em dinheiro com os dados das empresas (encomendados ou não) Volume de dados valiosos disponíveis. Muitas empresas utilizam Grande atividade hacker Potencial de lucro Geram ambientes de altíssimo risco e alta exposição 8 _________________________________ Impactos dos Riscos Os impactos estão diretamente ligados a necessidade das empresas se modernizarem Empresas mais modernas informatizadas correm mais riscos, pois se expõem mais. Empresas mais tradicionais menos modernizadas tem seus dados mas restritos estão menos sujeitas a estes risco, no entanto estão perdendo o bonde da transformação digital. O Risco ligado aos dados e hackers no ciberspace estão diretamente ligadas a necessidade das empresas em evoluírem e se modernizarem. É um risco que tem que ser assumido e administrado 9 _________________________________ Contexto da LGPD Diante deste novo cenário de alto nível de digitalização muitas empresas se modernizaram e passaram a trabalhar com muitos dados, percebendo o valor que estes dados podem produzir para seus negócios entendem que ficam mais expostos a ação hackers. Agora imaginem que no meio desses dados de sua empresa existam dados pessoais ai que entra a LGPD. A LGPD é uma lei que faz com que as empresa tem uma conduta mais responsável ao manipular estes dados ( armazenar, transportar, manusear e descartar) dados de pessoas físicas custodiados. 10 _________________________________ Contexto da LGPD Vemos desta forma uma quantidade exponencial de eventos envolvendo quebra de segurança da informação ( Confidencialidade, integridade, disponibilidade) principalmente quando envolvendo dados pessoais privados que é o Objeto da Lei de Proteção de Dados Pessoais 11 _________________________________ Objetivos da Lei A LGPD procura definir requisitos, direitos e deveres das empresas e dos cidadãos com objetivo de evitar abusos na utilização desses dados Do contrario que muitos imaginam esta lei não tem o intuito de seciar e impedir que as empresas façam uso desses dados para extrais valor, mas sim de forma correta, sem abusos e respeitando os limites do bom uso das boas práticas para estes dados 12 _________________________________ Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd Principais pontos da Lei 13 _________________________________ LGPD - Lei Geral de Proteção de Dados Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Objetivos da Lei _________________________________ Objetivos da Lei - A LGPD a lei brasileira é um reflexo de um movimento global que já vem a alguns anos. Em 25 de maio de 2018 a GDPR (General Data Protection Regulation) lei de proteção de dados da União Europeia entrou em vigor e este movimento foi replicado em vários outros lugares do mundo, com isso se percebeu a importância de se ter respeito aos dados dos cidadãos. 15 _________________________________ LGPD - Lei Geral de Proteção de Dados Polêmica Fonte:https://www.lgpdbrasil.com.br/ (consulta 19/08/2020) _________________________________ Notícias Senado muda vigência da Lei Geral de Proteção de Dados. Texto depende de sanção presidencial https://www.youtube.com/watch?v=U0hCSgSNjU4 LGPD entra em vigor, mas sem punição até agosto de 2021 https://cointelegraph.com.br/news/lgpd-enters-into-force-but-without-legal-penalties/amp 17 _________________________________ Aplicação da Lei - A LGPD – Art. 3°- Se aplica a toda a empresa estabelecida no Brasil ou que oferece serviços a Brasileiros. “Em um mundo conectado como o que vivemos eu diria que ela se aplica a qualquer empresa do mundo” 18 _________________________________ Aplicação da Lei - A LGPD - art. 4°da Lei não se aplica a dados corporativos e a dados pessoais que estejam sendo usados sem fins comerciais. Estes são os únicos casos em que a lei não se aplica 19 _________________________________ Obrigatoriedade - A LGPD é uma lei, por tanto, obrigatória Toda empresa deve ter condições de demonstrar para a autoridade nacional de dados uma boa conduta uma boa governança. (Zelar pelos dados pessoais custodiados pela empresa) 20 _________________________________ Sanções - A LGPD prevê algumas sanções administrativas, estas podem começar por advertência seguida de suspensão do uso do banco de dados e ate a multa. A Multa pode chegar a 2% do faturamento anual da empresa ao teto de até 50 milhões de reais, o que for menor, POR EVENTO DE Infração. Não podendo ultrapassar o montante de R$ 50.000.000,00. 21 _________________________________ Histórico - O Brasil não tem um histórico de uma cultura de proteção de dados, privacidade de dados. - Nosso desafio vai ser construir este momento da LGPD sem um bom histórico. Daí se imagina a dificuldade de se implantar esta Lei. 22 _________________________________ Ausência da Autoridade - O Governo ainda não estabeleceu esta autoridade no brasil. A Autoridade Nacional de Proteção de Dados A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Essas são tarefasessenciais para que a autoridade nacional atue como um órgão a serviço do cidadão. A autoridade será ainda um elo entre sociedade e governo, permitindo que as pessoas enviem dúvidas, sugestões, denúncias ligadas à LGPD 23 _________________________________ Vantagens competitivas As empresas que se adequarem primeiro as regras da LGPD irão agregar valor competitivo no mercado, pois estarão habilitadas a negócios globais estando elas dentro das conformidades. Estas empresas serão mais atraentes para negócios fora do Brasil. 24 _________________________________ Esta lei fortalecera a relação de confiança que a empresa tem com seus clientes. ( Fator competitivo) - As empresas desta forma demostraram seriedade em sua governança (reputação da empresa) Vantagens competitivas 25 _________________________________ Os tipos de dados Dados pessoais O objeto da lei é o dado pessoal. Dados pessoal é todo dado que identifique um individuo de maneira direta ou um conjunto de dados que nos leva a um individuo Exemplo CPF Endereço Idade Biotipo Talvez não identifique uma pessoa, mas reunindo estas informações posso chegar a um individuo 26 _________________________________ Os tipos de dados Dados Sensíveis Uma subcategoria dos dados pessoais s”ao os dados sensíveis. Exemplos Dados biométricos (digital, foto, etc) Dados de crianças Opções religiosas Opções politicas Opções sexuais Estes são dados que requerem tratamento ainda mais rigorosos 27 _________________________________ Os tipos de dados Dados Anonimizados A Lei entende que um dado anonimizado não é mais um dado pessoal, desta forma não é mais um objeto desta lei. Dado anonimizado é um dado que é tratado excluindo-se a identificação dos dados do individuo. Exemplo Idade Biotipo Endereço, etc - Excluindo por exemplo CPF, nome ficando apenas as características de grupo. Dados estatísticos sem expor os indivíduos são livres da LGPD 28 _________________________________ Os tipos de dados Dados Pseudonimizados É um dado que sofreu uma transformação de forma a aumentar sua segurança. Exemplo - Em uma lista de dados remover os dados principais para outro banco de dados - Nome e CPF colocando um apelido no lugar 29 _________________________________ Tratamento de dados pessoais É tudo que se faz com os dados desde o manuzeio, tratamento, transporte, descarte e armazenamento. Mexeu no dado entao é tratamento, portanto esta sujeito a Lei. 30 _________________________________ Princípios O respeito aos dados pessoais começa principalmente no cumprimento aos princípios do tratamento de dados. As empresas que querem demostrar que estão em conformidade com estes princípios precisam por exemplo: 31 _________________________________ Definir Finalidade para o tratamento; Necessidade para o tratamento; Livre acesso aos dados pessoais; Garantir a transparência deste tratamento de dados. A segurança dos dados Adoção de medidas preventivas (evitar exposição desnecessária) Tratar os dados de maneira não discriminatória Ser capaz de prestar contas a autoridade nacional sobre como estes dados são tratados Estes são os aspectos fundamentais que empresas serias precisam demonstrar na hora de tratar os dados pessoais Princípios 32 _________________________________ Nomenclatura Entidades É definido por lei algumas nomenclaturas A Principal a mais importante delas é o Titular que é o dono dos dados pessoais. Controlador dos dados – É a empresa que trata dados pessoais. (arm, transp, etc). Operador – É uma empresa ( que pode ser a mesma que controla ou não) que em algum momento na cadeia produtiva trata so dados pessoais. (O controlador mesmo terceirizando a operação tem coresponsabilidade na maneira com que este operador trata os dados pessoais) Controlador e operador podem ser a mesma empresa 33 _________________________________ Estado dos dados Os estados em que os dados podem estar: Em repouso Em movimento Em Descanso Dado em nuvem ( virtualizado) Estes dados podem ser também estruturados e não estruturados. 34 _________________________________ Estado dos dados Observamos desta forma a complexidade de se trabalhar, tratar dados pessoais . Tem-se que ser capaz de perceber em que estado os dados estão, em que ambiente e também de que forma eles estào armazenados de forma estruturada ou não. Para cada situação deve se ter um tipo de controlar e gerenciar 35 _________________________________ Deveres dos controladores A lista de deveres que compete aos controladores ; Legitimidade da coleta Registrar os tratamentos (inventário do ciclo de vida do dado na empresa) Nomear um DPO (Data Protection Officer – Encarregado de dados) Prover condições de proteção e segurança de dados Sistemas de resposta a incidentes Processo de avaliação continua dos riscos Um modelo de Governaça de privacidade (continuo) Processo PDCA 36 _________________________________ O titular tem o direito: Confirmar (se dados formecidos foram recebidos e depois processados) Acessar os dados Corrigir os dados Portar os dados Revisar os dados Revogar o concentimento Direito de eliminar (apagar) os dados Direitos dos titulares 37 _________________________________ O que fazer??? Legitimidade do tratamento dos dados A Lei prevê 10 bases legais que podem ser usadas para garantir a legitimidade dos dados tratados. 38 _________________________________ 1 - Obrigação Regulatória Exemplo: Retenção de dados pessoais por bancos, o titular decide que os dados devem ser excluídos exercendo seu direito, no entanto o banco pode através de uma base legal que pode ser usada para dar legitimidade ao tratamento desses dados e inclusive negando-se a deletar os dados daquele correntista. Existe uma obrigação em função de transações financeiras que obriga o banco a guardar por 5 anos registros de transações, dando aos bancos base legal para legitimar e tratar estes dados. Isso não significa que o banco tem direito de manter dados que não sejam pertinentes 39 _________________________________ 2 – Execução de Politicas Públicas 3 – Estudos por órgãos de pesquisa (IBGE) 4 – Execução de Contratos E uma das bases mais comuns. Para se executar um contrato possivelmente sera necessário reter dados pessoais de um individuo. Dando legitimidade ao tratamento 40 _________________________________ 5 - Exercício regulatório de direito 6- Proteção a vida 7 – Tutela de saúde 8 – Proteção ao credito Serasa 41 _________________________________ 9 - Interesse legítimo É a base legal mais complexa, pois é uma entidade jurídica não muito bem definida no direito brasileiro, então existem muitas interpretações e por isso é perigoso fazer uso dela. 42 _________________________________ 10 - Consentimento Apesar de ser fácil de entender é também perigosa. Consentimento é quando o controlador pergunta ao titular se ele consente o tratamento de seus dados pessoais. No entanto agora com a LGPD não basta apenas pedir o consentimento é necessário disser para que, porque, por quanto tempo, aonde irão estar armazenados os dados. Tem que se consentir sabendo os detalhes do escopo do tratamento dos dados 43 _________________________________ a concordância do titular quanto ao tratamento de seus dados pessoais deverá Consentimento * serão consideradas nulas as autorizações genéricas para o tratamento de dados pessoais e vedado o tratamento nos casos de vício de consentimento * ocorrer de forma livre, informada, inequívoca e para uma finalidade determinada, e em havendo mudança de finalidade será preciso novo consentimento. 44 uso do consentimento a concordância do titular quanto ao tratamento de seus dados pessoais deverá ocorrer de forma livre, informada, inequívoca e para uma finalidade determinada, e em _________________________________ 46 bases legais devem dar legitimidade ao tratamentoexistem 10 bases legais previstas na LGPD que podem ser associadas aos fluxos de tratamento de dados _________________________________________ _________________________________ consentimento execução de políticas públicas estudos por órgão de pesquisa obrigação regulatória proteção ao crédito interesse legítimo tutela da saúde exercício regular de direito proteção da vida execução de contrato 48 uso do interesse legítimo esta base legal é uma novidade no arcabouço jurídico brasileiro e ainda sem regulamentação específica término de tratamento dados pessoais devem ser eliminados quando cessar a necessidade que originou o tratamento transferência internacional empresas que enviem dados a outras jurisdições que não ofereçam lei similar precisam introduzir outras garantias comunicação obrigatória o controlador deverá comunicar, em prazo razoável à autoridade nacional e ao titular sobre a ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante *a Autoridade Nacional verificará a gravidade do incidente e poderá determinar medidas como a ampla divulgação do fato em meios de comunicação. Na GDPR o prazo é de 72 horas. nomeação do engarregado DPO pessoa física ou pessoa jurídica nomeada pelo controlador, que atuará como um canal de comunicação entre o controlador, os titulares dos dados e a autoridade de proteção de dados *sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva posicionamento do DPO recomenda-se que a função DPO seja exercida por área independente, de forma a atuar sem restrições na orientação e fiscalização do cumprimento à legislação *a obrigatoriedade de um DPO só se dá por empresa onde haja alta volumetria de dados pessoais e/ou sensíveis, e entidade pública, mas pode representar um importante sinal de compromisso perante a ANPD postura e habilidades de um bom DPO independente articulador ético comunicador consultor domínio de processos de governança de dados segurança e conformidade *é esperado que um DPO tenha apoio multidisciplinar de uma equipe que suportará o DPO Office, uma vez que existem múltiplos domínios, legais e técnicos, no escopo da função. tarefas aceitar reclamações prestar esclarecimentos tomar providências dialogar com a ANPD orientar funcionários orientar terceiros cumprir normas ANDP manter a governança representar controlador fiscalizar do DPO *”O DPO há de ser livre no desempenho de suas funções, ainda que suas recomendações, embora legais, sejam desfavoráveis aos negócios da empresa por ele assistida. Outras funções na empresa não podem causar conflito com sua função como DPO.” enquanto a ANPD não estiver formada o decreto que estrutura a ANPD ainda pode sofrer alterações. Até aqui, ele traz três eixos temáticos: normatização e educação, articulação institucional, e fiscalização e supervisão projetos de lei propõem a postergação 04/03 projeto de lei prorroga a LGPD em 03.04.20 *os principais argumentos foram a falta da ANPD, e a insegurança jurídica decorrente desse fato. *acreditava-se ser improvável tramitar em tempo hábil considerando o COVID-19 e as Eleições Municipais. o que fazer a ampliação de prazo abre espaço para que as empresas em atraso se mobilizem e iniciem ou acelerem seus projetos* depois da prorrogação da LGPD *estar em conformidade não é um estado alcançado como em uma corrida de 5km ou mesmo em uma maratona de 42km. É um estado temporal fruto de uma ‘corrida em circuito oval sem linha de chegada’. É se manter continuamente apto a demonstrar diligência na gestão de controles e riscos de privacidade e proteção de dados. 16 AGOSTO 01 AGOSTO 2021 01 JANEIRO 2020 VIGÊNCIA LEI 13.709/18 SANÇÕES como interpretar a LGPD uma vez em inconformidade ela pode representar uma barreira regulatória, mas para os que estiverem em conformidade atua como uma vantagem competitiva com potencial para criar um nível respeitável de confiança e reputação *impactos financeiros, reputacionais, na confiança de clientes e fornecedores, negócios internacionais etc conduta diligente mapear ativos e fluxos conhecer os riscos definir políticas estabelecer processos registrar tratamentos responder a incidentes prestar contas proteger os dados praticar transparência possuir um plano aculturar privacidade *estabelecer um DPO Office para sistemicamente manter a governança da privacidade é uma boa prática macro jornada preparação de privacidade OBTER APOIO DA LIDERANÇA COM PRIORIDADE E ORÇAMENTO IMPLEMENTAR O ROADMAP DE CONFORMIDADE OPERAR O MODELO DE GOVERNANÇA DE PRIVACIDADE E PROTEÇÃO DE DADOS ESTABELECER UM COMITÊ DO PROJETO DE PREPARAÇÃO A LGPD ESTABELECER O DPO OFFICE E APONTAR O ENCARREGADO ESTABELECER PROCESSOS INTERNOS E EXTERNOS DO MODELO DE GOVERNANÇA REALIZAR PROJETO PARA IDENTIFICAR E ANALISAR RISCOS, E DEFINIR O ROADMAP DE CONFORMIDADE NOVA CULTURA mudança cultural o que as leis de privacidade requerem não é um projeto, mas uma mudança cultural e na forma de se fazer negócio, onde a governança de privacidade de proteção de dados pessoais deve ser sistêmica, contínua e adaptativa *missão de proteger os direitos das pessoas que fornecem seus dados e onde confiança é a palavra chave AUTODIAGNÓSTICO diagnosticolgpd.abes.org.br 10/12/2019 Diagnóstico LGPD - Lei Geral de Proteção de Dados https://diagnosticolgpd.abes.org.br/diagnostico 1/4 PREZADO USUÁRIO, Obrigado por responder ao Diagnóstico LGPD! COM UM RESULTADO DE 55% DE CONFORMIDADE COM A LGPD COM BASE EM NOSSA METODOLOGIA. Considerando o resultado obtido e as respostas enviadas, apresentamos abaixo nossas Recomendações para que sua empresa esteja em maior conformidade com a LGPD: Recomenda-se a definição de um processo de obtenção do consentimento do titular a ser utilizado pela empresa que seja claro, distinto e que não esteja agrupado com outros acordos ou declarações e que seja ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). O consentimento deverá ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento existente não tenha sido obtido de acordo com a LGPD, recomenda-se que o consentimento seja renovado antes da entrada em vigor da LGPD, se não for possível utilizar outra base legal (fresh consent). Além do processo, é imprescindível que o consentimento seja gerenciado de forma automatizada, através de uma solução de Gerenciamento de Consentimento para os casos onde o consentimento dos titulares de dados é coletado de forma digital. Esse gerenciamento é necessário, pois os titulares têm o direito de revogar o consentimento dado, os seus dados só podem ser processados para as finalidades em que houve o consentimento e é dever do controlador provar que esse consentimento foi dado, quando necessário. Superfície LGPD para quem quer sair da quarentena mais preparado. Marcos Sêmola Sócio de Cybersecurity da EY Conselheiro da ISACA Professor da FGV Diretor do Founder Institute Investidor Anjos do Brasil 05/04 | 11h Classificação: PÚBLICA. Reprodução autorizada se referenciada a autoria. © Copyright 28/03 | 18h Q&A _________________________________ Direitos dos titulares 72 _________________________________ Estado dos dados 73 _________________________________ _________________________________ Checklist para regularizar a sua empresa Estrutura de governança de dados: Inventário de dados e mecanismos de transferência: E então quais são as ações a ser aplicadas: 3 - Política de Privacidade de Dados: 4. Adequando as operações: 5. Controle de fraudes: 6. Análise e mensuração: Sugerir boa práticas • Descartar dados irrelevantes, obsoletos ou redundantes; • Categorizar os dados em “dado pessoal”, “dado pessoal sensível” e “dado anônimo”, conforme a lei; • Garantirque os dados restantes (importantes e relevantes) sejam acessados apenas por pessoas que tenham permissão para isso; • Aplicar ações de proteção desses dados para evitar o seu vazamento, como criptografia ou Data Loss Prevention (DLP); • Assegurar que todos os documentos estejam em conformidade com a LGPD e a respeitarão, revendo: • Contratos com terceiros, sejam eles internacionais ou nacionais; • Códigos de conduta e outras políticas corporativas; e • Termos de consentimento dos titulares dos dados. _________________________________ LGPD - Lei Geral de Proteção de Dados Define Dados pessoais[27]: é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais. Dados pessoais sensíveis: é todo dado pessoal relativo à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.[28] Titular: pessoa natural a quem se referem os dados pessoais. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD. Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural Fonte: _________________________________ LGPD - Lei Geral de Proteção de Dados Define Dados pessoais[27]: é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais. Dados pessoais sensíveis: é todo dado pessoal relativo à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.[28] Titular: pessoa natural a quem se referem os dados pessoais. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD. Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural Fonte: _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ _________________________________
Compartilhar