Baixe o app para aproveitar ainda mais
Prévia do material em texto
By: .com © presentationgo.com Lei Geral de Proteção de Dados Pessoais Miriam Wimmer By: .com © presentationgo.com Proteção de Dados Pessoais 2 1. Introdução ao tema • Contexto histórico e gerações de leis de proteção de dados pessoais • Direitos fundamentais • Dimensão econômica 2. Proteção de Dados Pessoais no Brasil • Interface com outros marcos normaDvos: MCI, CDC, LAI, legislação setorial • Fundamentos • Âmbito de aplicação e hipóteses de não-incidência • Principais conceitos e definições: dados pessoais, dados sensíveis, dados anonimizados, tratamento, consenDmento 3. Bases legais para o tratamento de dados pessoais • CaracterísDcas do consenDmento • LegíDmo interesse • Anonimização e pseudonimização • Tratamento de dados de crianças e adolescentes By: .com © presentationgo.com 4. Princípios e direitos dos Dtulares dos dados 5. Agentes de tratamento de dados e encarregado • Obrigações do controlador e do operador • Responsabilidade civil, tutela coleDva e ônus da prova 6. Segurança, boas práDcas e governança • Incidentes de segurança, privacy and security by design • Relatório de Impacto à privacidade: exigência e requisitos mínimos 7. Requisitos para o tratamento de dados pelo Poder Público • Limitações à transferência/comparDlhamento de dados entre Poder Público e Setor Privado • Empresas públicas e sociedades de economia mista • Interface com outras normas aplicáveis ao setor público • Lei de Acesso à Informação • Responsabilidade do agente público • ComparDlhamento de bases de dados no governo Proteção de Dados Pessoais By: .com © presentationgo.com 8. Transferência Internacional de Dados Pessoais • Adequação, garanDas • Interoperabilidade de marcos legais • Enforcement e cooperação internacional 9. Cenário de enforcement da LGPD • Sistema Nacional de Defesa do Consumidor • Ministério Público • Instâncias Estaduais e municipais • Outros órgãos públicos com competências sancionadoras 10. A ANPD Proteção de Dados Pessoais By: .com © presentationgo.com 1. Introdução • Contexto histórico e gerações de leis de proteção de dados pessoais • Direitos fundamentais • Dimensão econômica 6 1890: “"The Right to Privacy" (Harvard Law Review) – Warren and Brandeis • “a right to be le1 alone” 1928: Olmstead v. United States, 277 U.S. 438 • DissenDng opinion Brandeis: “[the right to be let alone] as the most comprehensive of rights and the right most valued by civilized men. To protect that right, every unjus@fiable intrusion by the government upon the privacy of the individual, whatever the means employed, must be deemed a viola@on of the Fourth Amendment. And the use, as evidence in a criminal proceeding, of facts ascertained by such intrusion must be deemed a viola@on of the Fi1h." Contexto histórico: nos EUA Miriam Wimmer miriam.wimmer@yahoo.com.br Abordagem fragmentada, baseada na autoridade da FTC, em normas setoriais e em leis estaduais • FTC SecDon 5 Enforcement (Prohibits unfair or decep@ve business prac@ces and enforces principles of no@ce and choice and reasonable informa@on security prac@ces) • Década de 1970: Fair InformaDon PracDce Principles: transparency, choice, informaDon review and correcDon, informaDon protecDon, accountability • Privacy Act of 1974, 5 U.S.C. § 552a Crescente pressão por legislação federal • Papel de lei federal vs competência dos estados • Ex post ou ex ante? • Enforcement Contexto histórico: nos EUA Miriam Wimmer miriam.wimmer@yahoo.com.br 9 Contexto histórico: UE 1948: Declaração Universal de Direitos Humanos 1950: Convenção Europeia sobre Direitos Humanos 1968-1974: Recomendações do Conselho da Europa 1980: Diretrizes OCDE 1981: Convenção 108 1983: Decisão da Corte ConsDtucional Alemã sobre a Lei do Censo 1995: DireDva Europeia 95/46 2000: Carta dos Direitos Fundamentais da EU 2007: Tratado de Lisboa 2016: GDPR Miriam Wimmer miriam.wimmer@yahoo.com.br 10 Gerações de leis de proteção de dados pessoais 1ª geração (início da década de 1970) • Autorizações para criação de bancos de dados e controle a posteriori por órgãos públicos • Foco na tecnologia e nos dados deDdos pelo Estado 2ª geração (final da década de 1970) • Estrutura não baseada no conceito de bases de dados • Privacidade e proteção de dados como liberdade negaDva • Instrumentos para o cidadão defender seus interesses 3ª geração (década de 1980) • Autodeterminação informaDva – para além da privacidade • Influência da decisão da Corte ConsDtucional alemã 4ª geração (atual) • Instrumentos para elevar o padrão coleDvo de proteção • Disseminação de autoridades independentes • Normas específicas para determinados setores Miriam Wimmer miriam.wimmer@yahoo.com.br 11 Direitos fundamentais Direito à privacidade • Esfera pública vs esfera privada • “Right to be leu alone” • Liberdade negaDva Direito à proteção de dados pessoais • Conceito de dado pessoal, fora da dicotomia público vs privado • Direito da personalidade • Liberdade posiDva Miriam Wimmer miriam.wimmer@yahoo.com.br Dados: o novo insumo da economia digital Redes sociais Apps Sites Formulários GPS Bases de dados públicas Wearables Sensores Cookies dados DisposiDvos conectados Miriam Wimmer miriam.wimmer@yahoo.com.br Crescimento dos fluxos globais de dados, dispositivos conectados e capacidades de processamento 13 Source: “Digital Globaliza@on: The New Era of Global Flows,” McKinsey Global Ins@tute, Março 2016 Miriam Wimmer miriam.wimmer@yahoo.com.br 14 Países que possuem leis de proteção de dados pessoais DLA Piper - https://www.dlapiperdataprotection.com/ Perguntas? By: .com © presentationgo.com 2. Proteção de Dados Pessoais no Brasil • Origens e interface com outras normas • Fundamentos • Âmbito de aplicação e hipóteses de não-incidência • Principais conceitos e definições: dados pessoais, dados sensíveis, dados anonimizados, tratamento Proteção de dados pessoais no Brasil CRFB 1988 • Liberdade de expressão, direito à informação • Inviolabilidade da vida privada e da inDmidade • Habeas Data (Lei 9.507/1997) Código de Defesa do Consumidor (Lei 8.078/1990) Lei do Cadastro PosiDvo (Lei 12.414/2011) Lei de Acesso à Informação (Lei 12.527/2011) Marco Civil da Internet (Lei 12.965/2014) Miriam Wimmer miriam.wimmer@yahoo.com.br Debates legislaDvos no Brasil 2009: Consultas Públicas sobre Marco Civil da Internet 2015: 2ª Consulta Pública sobre Proteção de Dados Pessoais 2016: Envio de PL ao Congresso PLS 330/2013 PL 5276/2016 Lei 13.709/2018 2014: aprovação do Marco Civil da Internet durante a NetMundial 2016: Publicação Decreto 2011: Envio de PL ao Congresso 2010: Consulta Pública sobre Proteção de Dados Pessoais 2013: Caso Snowden e Resolução ONU sobre o direito à privacidade na era digital 2015: Consulta Pública sobre Decreto regulamentador Miriam Wimmer miriam.wimmer@yahoo.com.br Dimensão cidadã • Direitos humanos, desenvolvimento da personalidade e cidadania em meios digitais • Proteção do consumidor, transparência, consenDmento, proteção à privacidade e aos dados pessoais • Autodeterminação informaDva Dimensão técnica e empresarial • Livre iniciaDva, livre concorrência, liberdade dos modelos de negócios • Inovação e difusão de novas tecnologias e modelos de uso e acesso • Transferência internacional de dados • Boas práDcas, governança 19 Miriam Wimmer miriam.wimmer@yahoo.com.br Baptista Luz Advogados (2017) Legislação setorial Legislação setorial Baptista Luz Advogados (2017) Fundamentos Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais ... ... inclusive nos meios digitais, ... por pessoa natural ou por pessoa jurídica de direitopúblico ou privado, ... com o objePvo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Miriam Wimmer miriam.wimmer@yahoo.com.br Fundamentos Autodeterminação informaPva Liberdade de expressão, de informação, de comunicação e de opinião Respeito à privacidade Desenvolvimento econômico e tecnológico e a inovação Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania A inviolabilidade da inPmidade, da honra e da imagem Livre iniciaPva, livre concorrência e defesa do consumidor Miriam Wimmer miriam.wimmer@yahoo.com.br 24 rony@opiceblum.com.br Âmbito de aplicação Operação realizada por pessoa ysica ou jurídica, de direito público ou privado Tratamento no Brasil Oferta ou fornecimento a indivíduos no Brasil Dados pessoais coletados no Brasil Independentemente de: • País sede da empresa • País de localização dos dados • Tipo de tratamento realizado • Nacionalidade dos Dtulares Miriam Wimmer miriam.wimmer@yahoo.com.br 25 rony@opiceblum.com.br Hipóteses de não-incidência (art. 4º) • Segurança pública • Defesa nacional • Segurança do Estado • InvesDgação e repressão de infrações penais • Não sejam tratados no Brasil • O país de proveniência proporcione grau de proteção de dados pessoais adequado • Fins acadêmicos: aplica-se art. 7º e 11 • Fins parDculares e não- econômicos Pessoa natural Fins jornalísPcos, arZsPcos ou acadêmicos Segurança e Defesa Provenientes de fora do território nacional e que: Miriam Wimmer miriam.wimmer@yahoo.com.br 26 rony@opiceblum.com.br Hipóteses de não-incidência (art. 4º) Segurança pública, Defesa Nacional, Segurança do Estado, InvesPgação e repressão de infrações penais Legislação específica Medidas proporcionais e estritamente necessárias Devido processo legal Princípios gerais de proteção e direitos previstos na LGPD ANPD emiDrá opiniões técnicas ou recomendações e deve solicitar RIPDP Vedação ao tratamento de dados por pessoa de direito privado Exceção: procedimento sob tutela de pessoa jurídica de direito público Informe à ANPD Vedação a que a totalidade dos dados pessoais de banco de dados seja tratada por pessoa de direito privado Miriam Wimmer miriam.wimmer@yahoo.com.br Salvo por aquela que possua capital integralmente consDtuído pelo poder público. O que é um dado pessoal? Dado relaDvo a uma pessoa natural idenDficada ou idenDficável Dados de localização Dados financeiros IdenDfica- dores eletrônicos Hábitos de consumo CaracterísDcas ysicas ... Miriam Wimmer miriam.wimmer@yahoo.com.br O que é um dado pessoal sensível? Dado relaDvo a uma pessoa natural IdenDficada ou idenDficável Dados de localização Dados financeiros IdenDfica-dores eletrônicos Hábitos de consumo CaracterísDcas ysicas ... Miriam Wimmer miriam.wimmer@yahoo.com.br sobre origem racial ou étnica, convicção religiosa, opinião políPca, filiação a sindicato ou a organização de caráter religioso, filosófico ou políPco, saúde, vida sexual, genéPca ou biometria, quando vinculado a pessoa natural 29 rony@opiceblum.com.br Outras definições relevantes: • XII – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, uDlização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. Escopo da Lei Perguntas? By: .com © presentationgo.com 3. Bases legais para o tratamento de dados pessoais • Características do consentimento • Legítimo interesse • Anonimização e pseudonimização • Tratamento de dados de crianças e adolescentes 32 Bases legais para tratamento de dados pessoais ConsenDmento do Dtular Cumprimento de obrigação legal ou regulatória Pela administração pública, para execução de políDcas públicas (lei, regulamentos, contratos, convênios ...) Realização de estudos por órgão de pesquisa Execução de contrato Exercício regular de direitos Proteção da vida ou incolumidade ysica Tutela da saúde Interesses legíDmos do controlador ou de terceiro Proteção do crédito Miriam Wimmer miriam.wimmer@yahoo.com.br 33 Bases legais para tratamento de dados sensíveis ConsenDmento específico e destacado do Dtular Cumprimento de obrigação legal ou regulatória Pela administração pública para execução de políDcas públicas (leis ou regulamentos) Realização de estudos por órgão de pesquisa Exercício regular de direitos Proteção da vida ou incolumidade ysica Tutela da saúde Prevenção à fraude e à segurança do Dtular Miriam Wimmer miriam.wimmer@yahoo.com.br 34 Outras restrições: • No caso de tratamento de dados sensíveis pelo Poder Público, com base em obrigação legal, regulatória ou políDcas públicas, será dada publicidade à referida dispensa de consenDmento • A comunicação ou o uso comparDlhado de dados pessoais sensíveis entre controladores com objeDvo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. • É vedada a comunicação ou o uso comparDlhado entre controladores de dados pessoais sensíveis referentes à saúde com objeDvo de obter vantagem econômica, exceto: • prestação de serviços de saúde, de assistência farmacêuDca e de assistência à saúde, em beneycio dos interesses dos Dtulares de dados, e para permiDr: • I - a portabilidade de dados quando solicitada pelo Dtular; ou • II - as transações financeiras e administraDvas resultantes do uso e da prestação dos serviços de que trata este parágrafo. Bases legais para tratamento de dados sensíveis Miriam Wimmer miriam.wimmer@yahoo.com.br 35 Consentimento Co ns en Dm en to Forma Por escrito Em cláusula destacada das demais cláusulas contratuais Por outro meio que demonstre a manifestação de vontade do Dtular Conteudo Finalidades determinadas Nulidade de autorizações genéricas Ônus da prova Controlador Direitos do Dtular Vedação ao tratamento de dados mediante vicio de consenDmento Informação sobre alterações no tratamento Revogação do consenDmento Procedimento gratuito e facilitado Miriam Wimmer miriam.wimmer@yahoo.com.br Manifestação livre, informada e inequívoca pela qual o Dtular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; 36 Legítimo interesse Art. 7º (...) IX - quando necessário para atender aos interesses legíPmos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Ptular que exijam a proteção dos dados pessoais; (...) Art. 10. O legíDmo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legíPmas, consideradas a parDr de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de aDvidades do controlador; e II - proteção, em relação ao Dtular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legíDmas expectaDvas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legíDmo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garanDr a transparência do tratamento de dados baseado em seu legíDmo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamentoDver como fundamento seu interesse legíDmo, observados os segredos comercial e industrial. 37 Legítimo interesse: teste de balanceamento Interesses legíDmos do controlador ou de terceiro Direitos e liberdades fundamentais do Dtular LegíDmas expectaDvas do Dtular Somente os dados pessoais estritamente necessários Transparência Finalidades legíDmas Apoio e promoção de aDvidades do controlador Proteção do exercício regular de direitos do Dtular ou prestação de serviços que o beneficiem Exemplo Miriam Wimmer miriam.wimmer@yahoo.com.br Legítimo Interesse: exemplo Garante italiana Finalidade do tratamento: combate à fraude • Criação de base de dados para armazenar dados de consumidores que Dnham feito cotações para conserto de janela de carro, e depois cruzamento de tais dados com listas de indivíduos que Dnham acionado o seguro para conserto do vidro nos seis meses subsequentes. Decisão da Garante • “The assessment of insurance fraud is normally the domain of public bodies to inves@gate and police. Such a database would grant a supervisory role to a private body with no inves@gatory training or guarantees of impar@ality. • The use of such a database could result in an unjus@fied presump@on of fraud, poten@ally resul@ng in unfair effects on innocent data subjects. • Belron Italia presented insufficient evidence of an overriding interest over the rights and freedoms of data subjects to jus@fy the processing of their personal data in this manner”. Miriam Wimmer miriam.wimmer@yahoo.com.br 39 Definições • Art. 5º, III - dado anonimizado: dado relaDvo a Dtular que não possa ser idenDficado, considerando a uDlização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; • Art. 5º, XI - anonimização: uDlização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; Anonimização 40 Incidência da Lei: • Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submeDdos for reverDdo, uDlizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser reverDdo. • § 1º A determinação do que seja razoável deve levar em consideração fatores objeDvos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a uDlização exclusiva de meios próprios. • § 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles uDlizados para formação do perfil comportamental de determinada pessoa natural, se idenDficada. • § 3º A autoridade nacional poderá dispor sobre padrões e técnicas uDlizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais. Anonimização WP 29 Opinion on Anonymisa;on Techniques (2014) Broadly speaking there are two different approaches to anonymisa@on: the first is based on randomiza@on while the second is based on generaliza@on. 3.1. Randomiza;on Randomiza@on is a family of techniques that alters the veracity of the data in order to remove the strong link between the data and the individual. If the data are sufficiently uncertain then they can no longer be referred to a specific individual. Randomiza@on by itself will not reduce the singularity of each record as each record will s@ll be derived from a single data subject but may protect against inference a]acks/risks. and can be combined with generaliza@on techniques to provide stronger privacy guarantees. Addi@onal techniques may be required to ensure that a record cannot iden@fy a single individual. 3.2. Generaliza;on Generaliza@on is the second family of anonymisa@on techniques. This approach consists of generalizing, or dilu@ng, the a]ributes of data subjects by modifying the respec@ve scale or order of magnitude (i.e. a region rather than a city, a month rather than a week). Whilst generaliza@on can be effec@ve to prevent singling out, it does not allow effec@ve anonymisa@on in all cases; in par@cular, it requires specific and sophis@cated quan@ta@ve approaches to prevent linkability and inference. Anonimização Miriam Wimmer miriam.wimmer@yahoo.com.br Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e manDdos em ambiente controlado e seguro, conforme práDcas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éDcos relacionados a estudos e pesquisas. § 4º Para os efeitos deste arDgo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional manPda separadamente pelo controlador em ambiente controlado e seguro. Pseudonimização Miriam Wimmer miriam.wimmer@yahoo.com.br Pseudonimização e Anonimização h�ps://medium.com/@alexewerlof/gdpr- pseudonymizaDon-techniques-62f7b3b46a56 Pseudonymized Miriam Wimmer miriam.wimmer@yahoo.com.br • Tratamento de dados pessoais de crianças: • com o consenDmento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. • os controladores deverão manter pública a informação sobre os Dpos de dados coletados, a forma de sua uDlização e os procedimentos para o exercício de direitos. • Coleta de dados pessoais de crianças sem o consenDmento: • Quando a coleta for necessária para contatar os pais ou o responsável legal, uDlizados uma única vez e sem armazenamento, • ou para sua proteção, • e em nenhum caso poderão ser repassados a terceiro sem o consenDmento de pais ou responsável. • Controladores não deverão condicionar a parDcipação dos Dtulares de que trata o § 1º deste arDgo em jogos, aplicações de internet ou outras aDvidades ao fornecimento de informações pessoais além das estritamente necessárias à aDvidade. • Controlador deve realizar todos os esforços razoáveis para verificar que o consenDmento a que se refere o § 1º deste arDgo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. • Informações sobre o tratamento de dados referidas neste arDgo deverão ser fornecidas de maneira simples, clara e acessível. Tratamento de dados de crianças e adolescentes deve ser realizado em seu melhor interesse (art. 14) Miriam Wimmer miriam.wimmer@yahoo.com.br Perguntas? By: .com © presentationgo.com 4. Princípios e direitos dos titulares 47 rony@opiceblum.com.br Art. 17. Toda pessoa natural tem assegurada a Dtularidade de seus dados pessoais e garanDdos os direitos fundamentais de liberdade, de inDmidade e de privacidade, nos termos desta Lei. Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: II – a autodeterminação informaDva; Art. 51. A autoridade nacional esDmulará a adoção de padrões técnicos que facilitem o controle pelos Dtulares dos seus dados pessoais. Direitos do Titular Miriam Wimmer miriam.wimmer@yahoo.com.br 48 rony@opiceblum.com.br Princípios (art. 6º) Direitos do Titular (art. 17 ss) Finalidade Adequação Necessidade Livre Acesso Qualidade dos dados Transparência Segurança Prevenção Não-discriminação Responsabilização e prestação de contas Informação sobre tratamento Acesso aos dados Correção Anonimização, bloqueio ou eliminação Portabilidade Oposição e revogação do consenDmento Revisão de decisões automaDzadas Defesa de direitos em juízo, individual ou coleDvamente Miriam Wimmer miriam.wimmer@yahoo.com.br49 Livre acesso, qualidade e transparência • Consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais Livre acesso • GaranDa, aos Dtulares, de exaDdão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento Qualidade dos dados • GaranDa, aos Dtulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respecDvos agentes de tratamento, observados os segredos comercial e industrial; Transparência • Acesso facilitado às informações sobre o tratamento de seus dados (art. 9) • Confirmação da existência de tratamento (art. 18, I) • Acesso aos dados (art. 18, II) • Correção de dados incompletos , inexatos ou desatualizados (art. 18, III) • Informação sobre comparDlhamento e sobre possibilidade de não fornecer consenDmento (art. 18. VII e VIII) Miriam Wimmer miriam.wimmer@yahoo.com.br 50 Art. 9º O Dtular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras caracterísDcas previstas em regulamentação para o atendimento do princípio do livre acesso: • I - finalidade específica do tratamento; • II - forma e duração do tratamento, observados os segredos comercial e industrial; • III - idenDficação do controlador; • IV - informações de contato do controlador; • V - informações acerca do uso comparDlhado de dados pelo controlador e a finalidade; • VI - responsabilidades dos agentes que realizarão o tratamento; e • VII - direitos do Dtular, com menção explícita aos direitos conDdos no art. 18 desta Lei. Livre acesso, qualidade e transparência Miriam Wimmer miriam.wimmer@yahoo.com.br 51 Exemplos: transparência quanto à finalidade do tratamento “Podemos usar seus dados pessoais para oferecer outros serviços” “Manteremos registro do seu histórico de compras para sugerir outros produtos nos quais acreditamos que você tenha interesse”. Miriam Wimmer miriam.wimmer@yahoo.com.br 52 Exemplos: transparência quanto à política de privacidade Sites: PolíDca de privacidade publicada de maneira visível e facilmente acessível AplicaPvos: informações sobre privacidade disponíveis antes do download e facilmente acessíveis de dentro do aplicaDvo Miriam Wimmer miriam.wimmer@yahoo.com.br 53 Finalidade e adequação • Realização do tratamento para propósitos legíPmos, específicos, explícitos e informados ao Ptular, sem possibilidade de tratamento posterior de forma incompaZvel com essas finalidades; Finalidade • CompaDbilidade do tratamento com as finalidades informadas ao Ptular, de acordo com o contexto do tratamento Adequação • Boa fé (art. 6º, caput) • Informação sobre o tratamento (art. 9º e art. 18) • Revogação do consenDmento (art. 18, V, c/c art. 9, § 2º) Miriam Wimmer miriam.wimmer@yahoo.com.br 54 Finalidade e adequação Art. 9º. § 2º Na hipótese em que o consenDmento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compa�veis com o consenDmento original, o controlador deverá informar previamente o Ptular sobre as mudanças de finalidade, podendo o Dtular revogar o consenPmento, caso discorde das alterações. Art. 18, § 2º O Dtular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consenPmento, em caso de descumprimento ao disposto nesta Lei. Miriam Wimmer miriam.wimmer@yahoo.com.br 55 Posso realizar o tratamento do dado para finalidade distinta da qual foi coletada? Somente de forma compaZvel com a finalidade informada ao Ptular • Tratamento com base no consenPmento: • Informação prévia ao Dtular • Possibilidade de revogação do consenDmento (art. 9, § 2º) • Tratamento com base em outro fundamento legal • Possibilidade de oposição pelo Dtular (art. 18, § 2º) • Dados anonimizados à fora do escopo da Lei Miriam Wimmer miriam.wimmer@yahoo.com.br 56 Exemplos: finalidade e adequação Um cliente contrata, por meio de um site, a entrega semanal, em sua casa, de uma caixa com produtos orgânicos Após a coleta inicial dos dados, o vendedor conDnua processando os dados semanalmente para entregar a mercadoria. O vendedor uDliza os dados de contato e histórico de consumo do Dtular para enviar ofertas personalizadas sobre laDcínios orgânicos. O vendedor comparDlha tais dados com um açougueiro que vende carne orgânica. Sem informar ao cliente, o vendedor passa a dar descontos diferenciados dependendo se o cliente acesso o site com um iPhone ou com um Android. Miriam Wimmer miriam.wimmer@yahoo.com.br 57 Caso específico: dados de acesso público Dados pessoais cujo acesso é público e dados tornados manifestamente públicos pelo Dtular • Art. 7º, § 7º. O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste arDgo poderá ser realizado para novas finalidades, desde que observados os propósitos legíDmos e específicos para o novo tratamento e a preservação dos direitos do Dtular, assim como os fundamentos e os princípios previstos nesta Lei. Miriam Wimmer miriam.wimmer@yahoo.com.br 58 Necessidade • Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados perPnentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; Necessidade Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei (art. 18, IV); Eliminação dos dados pessoais tratados com o consenDmento do Dtular (art. 18, VI c/c art. 16); Revogação do consenDmento (art. 18, IX c/c art. 8º § 5º e art. 9º, § 2º). Miriam Wimmer miriam.wimmer@yahoo.com.br 59 Segurança, prevenção, não-discriminação, responsabilização e prestação de contas • UDlização de medidas técnicas e administraDvas aptas a proteger os dados pessoais Segurança • Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; Prevenção • Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; Não-discriminação • Demonstração da adoção de medidas eficazes Responsabilização e prestação de contas Miriam Wimmer miriam.wimmer@yahoo.com.br 60 Exemplo Instalação de câmeras nas portas do metrô da Linha 4 de SP Miriam Wimmer miriam.wimmer@yahoo.com.br 61 Exemplo Miriam Wimmer miriam.wimmer@yahoo.com.br 62 Outros direitos Portabilidade • Mediante requisição expressa • Observados segredos comercial e industrial • De acordo com a regulamentação • Não inclui dados anonimizados • Padrões de interoperabilidade estabelecidos pela autoridade nacional Portabilidade de reputação? Miriam Wimmer miriam.wimmer@yahoo.com.br 63 Outros direitos Revisão de decisões automaDzadas • Por pessoa natural • Decisões tomadas unicamente com base em tratamento automaDzado • Que afetem seus interesses • Obrigação do controlador de fornecer, mediante solicitação, informações claras e adequadas a respeito dos critérios e dos procedimentos uDlizados, observados segredos comercial e industrial • Auditorias pela autoridade nacional Miriam Wimmer miriam.wimmer@yahoo.com.br 64 Credit Scoring Miriam Wimmer miriam.wimmer@yahoo.com.br Lei 12.414, de 9 de junho de 2011 Art. 5o São direitos do cadastrado: I - obter o cancelamento do cadastro quando solicitado; II - acessar gratuitamente as informações sobre ele existentes no banco de dados, inclusive o seu histórico, cabendo ao gestor manter sistemas seguros, por telefone ou por meio eletrônico, de consulta para informar as informações de adimplemento; III - solicitar impugnaçãode qualquer informação sobre ele erroneamente anotada em banco de dados e ter, em até 7 (sete) dias, sua correção ou cancelamento e comunicação aos bancos de dados com os quais ele comparDlhou a informação; IV - conhecer os principais elementos e critérios considerados para a análise de risco, resguardado o segredo empresarial; V - ser informado previamente sobre o armazenamento, a idenDdade do gestor do banco de dados, o objeDvo do tratamento dos dados pessoais e os desDnatários dos dados em caso de comparDlhamento; VI - solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automaPzados; e VII - ter os seus dados pessoais uDlizados somente de acordo com a finalidade para a qual eles foram coletados. 65 Exemplo: perfilhamento algorítmico Miriam Wimmer miriam.wimmer@yahoo.com.br Profiling involves dividing all unemployed into 3 categories, taking into account their individual characterisDcs. Assignment to a given category determines the type of labor market programs that a parPcular person can receive from the local labor offices (e.g. job placement, vocaDonal training, apprenDceship, acDvaDon allowance). This categorizaDon is based on data collected during a computer-based interview with the unemployed. 24 different dimensions are reported in the electronic database and each of them is assigned with a score. The final score–and the category to which a given unemployed should be assigned–is determined by the algorithm. At the same Dme the logic behind the profiling and the algorithm itself are treated as confidenDal informaDon. As a result, the unemployed does not know how certain individual features or life circumstances affect his/her chance of being assigned to a given category. 66 Exemplo: perfilhamento algorítmico Miriam Wimmer miriam.wimmer@yahoo.com.br Profile I: acDve, mobile persons, having appropriate professional qualificaDons and interpersonal skills. Profile II: persons who have certain professional skills, but unfortunately are redundant on the labor market, or worked for a very long Dme in one company. Profile III: persons with serious life problems (...) unemployment is their choice and is grounded in their “mental character”. Disabled persons, single women raising children and persons registering themselves only because of the need to obtain health insurance, or persons from small towns having no easy connecDon to a larger center. 67 Exemplo: Credit Scoring Miriam Wimmer miriam.wimmer@yahoo.com.br These are the most important findings: • Bad scores even without negaDve characterisDcs • Allegedly accurate scores despite inaccurate data • Factors: Age, sex and moves • Some scores have fallen out of Dme Dados sobre 70 milhões de pessoas na Alemanha. Término do tratamento de dados e eliminação Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: • I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou perDnentes ao alcance da finalidade específica almejada; • II - fim do período de tratamento; • III - comunicação do Dtular, inclusive no exercício de seu direito de revogação do consenDmento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou • IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei. Miriam Wimmer miriam.wimmer@yahoo.com.br Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das aDvidades, autorizada a conservação para as seguintes finalidades: • I - cumprimento de obrigação legal ou regulatória pelo controlador; • II - estudo por órgão de pesquisa, garanDda, sempre que possível, a anonimização dos dados pessoais; • III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou • IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. Perguntas? By: .com © presentationgo.com 5. Agentes de tratamento de dados e encarregado • Obrigações do controlador e do operador • Responsabilidade civil, tutela coletiva e ônus da prova 71 Agentes de tratamento e encarregado Controlador • pessoa natural ou jurídica, de direito público ou privado... • ...a quem competem as decisões referentes ao tratamento de dados pessoais; Operador • pessoa natural ou jurídica, de direito público ou privado... • que realiza o tratamento de dados pessoais em nome do controlador; Encarregado • pessoa natural • indicada pelo controlador (e operador!) • ...que atua como canal de comunicação entre o controlador e os Dtulares e a autoridade nacional; Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legíDmo interesse. Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. Miriam Wimmer miriam.wimmer@yahoo.com.br 72 Encarregado O controlador deverá indicar encarregado pelo tratamento de dados pessoais, cuja idenDdade e dados de contato devem ser divulgados publicamente (art. 41) I - aceitar reclamações e comunicações dos Dtulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da enDdade a respeito das práDcas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. A ANPD poderá estabelecer hipóteses de dispensa, conforme a natureza e o porte da enDdade ou o volume de operações de tratamento de dados. Miriam Wimmer miriam.wimmer@yahoo.com.br 73 Principais desafios Obrigações do controlador • Obter consenDmento para tratamento e comparDlhamento de bases de dados (art. 7º, par. 5º) • Ônus da prova de que o consenDmento foi dado em acordo com a Lei (art. 8º, par. 2º) • Comunicação ao Dtular em caso de alterações referentes ao tratamento(art. 8º, par. 6º) • Dar transparência quanto ao tratamento de dados baseado no legiDmo interesse (art. 10, par. 2º) • Realizar relatório de impacto à privacidade quando demandado pela Autoridade (art. 10, par. 3º e art. 38) • Prestar informações ao Dtular quando demandado (art. 18), inclusive quanto a decisões automaDzadas (art. 20, par. 1º) • Manter registro das operações de tratamento realizadas (art. 37) • Indicar encarregado (art. 41) • Comunicar à autoridade incidente de segurança que possa causar risco ou dano relevante aos Dtulares (art. 48) Miriam Wimmer miriam.wimmer@yahoo.com.br 74 Regime de responsabilidade: controlador e operador • dano patrimonial ou moral, individual ou coleDvo; • em razão do exercício de aDvidade de tratamento; e • em violação à legislação de proteção de dados pessoais. Obrigação de reparação • Operador: quando descumprir a legislação ou as instruções lícitas do controlador • Controladores diretamente envolvidos no tratamento que causou o dano, exceto se provarem: • Que não realizaram o tratamento • Que não houve violação à legislação; ou • Culpa exclusiva do Dtular dos dados ou de terceiro. Solidariedade • Relações de consumo permanecem sujeitas ao regime de responsabilidade do CDC • Possibilidade de inversão do ônus da prova • Ação de regresso Outras regras Miriam Wimmer miriam.wimmer@yahoo.com.br WP 29 Opinion 1/2010: DisDnguishing the roles of data controller and data processor. Criteria: • Level of prior instrucDon given by the controller, which determines the degree of independent judgment the processorcan exercise. • Monitoring by the controller of the execuDon of the service— closer monitoring by a controller suggests that it is in full and sole control of the processing. • Visibility/image portrayed by the controller to the individual and expectaDons of the individual on the basis of this visibility. • ExperDse of the parDes—the greater the experDse of the service provider relaDve to that of its customer, the greater the likelihood that it will be classified as a controller. Miriam Wimmer miriam.wimmer@yahoo.com.br 76 Exemplos: quem é controlador e quem é operador? Miriam Wimmer miriam.wimmer@yahoo.com.br Uma empresa contrata um serviço de hospedagem em nuvem para armazenar os dados de seus clientes Um escritório de advocacia recebe os dados pessoas de clientes com o objeDvo de ingressar com uma ação judicial Um hospital contrata uma empresa de logísDca para entregar envelopes com relatórios médicos dos pacientes Uma agência de viagens é contratada para organizar as férias de um cliente, e repassa seus dados para uma companhia aérea e para um hotel Perguntas? By: .com © presentationgo.com 6. Segurança, boas práticas e governança • Incidentes de segurança, privacy and security by design • Relatório de Impacto à privacidade: exigência e requisitos mínimos 79 Segurança e boas práticas Os agentes de tratamento devem adotar medidas de segurança, técnicas e administraDvas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (Art. 46) Autoridade pode estabelecer padrões técnicos mínimos (Art. 46, § 1º) Privacy by design (Art. 46, § 2º) Security by design (Art. 49) Boas práDcas: programa de governança em privacidade Miriam Wimmer miriam.wimmer@yahoo.com.br 80 Notificação de incidentes (art. 48) Miriam Wimmer miriam.wimmer@yahoo.com.br Quem deve noDficar? • O controlador A quem? • À autoridade e ao Dtular Critério • Possibilidade de risco ou dano relevante aos Dtulares Possíveis medidas adicionais, a critério da Autoridade: • Ampla divulgação • Medidas para reverter ou miDgar os efeitos do incidente 81 Boas práticas e governança Regras de boas práDcas de governança Controladores, operadores, individualmente ou por meio de associações Condições de organização, regime de funcionamento, procedimentos, normas de segurança, padrões técnicos, obrigações, ações educaDvas, mecanismos internos de supervisão e miDgação de riscos Miriam Wimmer miriam.wimmer@yahoo.com.br 82 Programa de governança em privacidade • a) demonstre o compromeDmento do controlador em adotar processos e políDcas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práDcas relaDvas à proteção de dados pessoais; • b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; • c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; • d) estabeleça políDcas e salvaguardas adequadas com base em processo de avaliação sistemáDca de impactos e riscos à privacidade; • e) tenha o objeDvo de estabelecer relação de confiança com o Dtular, por meio de atuação transparente e que assegure mecanismos de parDcipação do Dtular; • f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; • g) conte com planos de resposta a incidentes e remediação; e • h) seja atualizado constantemente com base em informações obDdas a parDr de monitoramento con�nuo e avaliações periódicas; Boas práticas e governança Miriam Wimmer miriam.wimmer@yahoo.com.br 83 Relatório de Impacto à Privacidade Guidelines on Data ProtecDon Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of RegulaDon 2016/679, wp248rev.01 Descrição do processamento Avaliação da necessidade e proporcionalidade Medidas já vislumbradas Avaliação dos riscos a direitos e liberdades Medidas para endereçar os riscos Documentação Monitoramento e revisão Miriam Wimmer miriam.wimmer@yahoo.com.br 84 Relatório de Impacto à Proteção de Dados Pessoais O que é? • Art. 5º, XVII - documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de miDgação de risco; Em quais hipóteses é exigível? • Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. • Art. 10, § 3º A autoridade nacional poderá solicitar (...) quando o tratamento Dver como fundamento seu interesse legíPmo, observados os segredos comercial e industrial. • Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público (...) e sugerir a adoção de padrões e de boas práDcas para os tratamentos de dados pessoais. Miriam Wimmer miriam.wimmer@yahoo.com.br 85 Requisitos mínimos (art.38, p.u) Descrição dos Dpos de dados coletados Metodologia uDlizada para a coleta e para a garanDa da segurança das informações Análise do controlador com relação a medidas, salvaguardas e mecanismos de miDgação de risco adotados. Miriam Wimmer miriam.wimmer@yahoo.com.br Perguntas? By: .com © presentationgo.com 7. Tratamento de dados pelo Poder Público • Limitações à transferência/compartilhamento de dados entre Poder Público e Setor Privado • Empresas públicas e sociedades de economia mista • Interface com outras normas aplicáveis ao setor público O quão bem o Estado deve conhecer seus cidadãos? A visibilidade do Estado sobre seus cidadãos permite amplificar sua capacidade de intervenção 89 O dilema dos dados custodiados pelo governo Prestação de serviços à população • PolíDcas públicas baseadas em evidências • Eficiência e desburocraDzação • Combate a fraudes • Inovação no governo Percepção de riscos • Cruzamento de bases de dados formadas em contextos disDntos • Formação de perfis • ComparDlhamento com o setor privado • Riscos de segurança cibernéDca Miriam Wimmer miriam.wimmer@yahoo.com.br 90 Miriam Wimmer miriam.wimmer@yahoo.com.br www.governodigital.gov.br/ 91 Por outro lado: Miriam Wimmer miriam.wimmer@yahoo.com.br 92 Princípios de PDP na Administração Pública Finalidade Adequação Necessidade Livre Acesso Qualidade dos dados Transparência Segurança Prevenção Não-discriminação Accountability Legalidade Impessoalidade Moralidade Publicidade Eficiência Supremacia do interesse público Miriam Wimmer miriam.wimmer@yahoo.com.br 93 Precedente STF: publicidade vs intimidade Miriam Wimmer miriam.wimmer@yahoo.com.br ARE 652777/SP – vencimentos de servidores públicos • É legíDma a publicação, inclusive em síDo eletrônico manDdo pela Administração Pública, dos nomes dos seus servidores e do valor dos correspondentes vencimentos e vantagens pecuniárias. • V. STF. Recurso Extraordinário com Agravo: ARE 652777/SP. Relator: Ministro TEORI ZAVASCKI. DJe-128; DIVULG 30-06-2015; PUBLIC 01-07-2015. 94 Princípios de PDP na Administração Pública Finalidade Adequação Necessidade Livre Acesso Qualidade dos dados Transparência Segurança Prevenção Não-discriminação Accountability Legalidade Impessoalidade Moralidade Publicidade Eficiência Supremacia do interesse público Miriam Wimmer miriam.wimmer@yahoo.com.br 95 Uma análise principiológicada PDP no Poder Público PDP como um direito individual PDP como um bem coleDvo Provisão de importantes serviços públicos Proteção de dados pessoais e privacidade vs. Proteção do interesse público vs. Proteção do interesse público Miriam Wimmer miriam.wimmer@yahoo.com.br 96 Pressupostos: Poder Público • Base Legal 1. • Transparência e publicidade (art. 23, I e §1º) 2. • Indicação de Encarregado (art. 23, III) 3. Miriam Wimmer miriam.wimmer@yahoo.com.br 97 Interface com LAI e outras normas específicas (art. 23) Mantém-se a exigência de insDtuição de Serviço de Informações ao Cidadão (SIC) Observância dos prazos e procedimentos previstos em legislação específica • Lei do Habeas Data • Lei Geral do Processo AdministraDvo • Lei de Acesso à Informação Miriam Wimmer miriam.wimmer@yahoo.com.br 98 Destinatário das normas Administração Pública art. 5º [órgão de pesquisa] , arts. 7º e 11) Pessoa jurídica de Direito Público art. 3º, art. 4º, § 2º, art. 23, art. 27, art. 33, p. ún) Poder Público (art. 4º, § 4º, Capítulo IV, art. 23, §§ 3º e 4º, art. 26, art. 29, art. 32, EnDdades públicas (art. 5º, XVI; art. 11, § 2º, art. 26, art. 31 [órgãos públicos], art. 33, art. 52, § 3º Miriam Wimmer miriam.wimmer@yahoo.com.br Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que (...): 99 Casos específicos • Mesmo tratamento das PJs de direito público • Devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput do art. 23. Art. 23, §§ 4º e 5º Serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público • Quando atuam em regime de concorrência, tratamento como das PJs de Direito Privado • Quanto esDverem operacionalizando políDcas públicas, mesmo tratamento dos órgãos e enDdades do Poder Público Art. 24. Empresas públicas e sociedades de economia mista Miriam Wimmer miriam.wimmer@yahoo.com.br 100 Excludente de incidência da LGPD • Regra geral: vedação a tratamento por pessoa de direito privado • Exceção: procedimentos sob tutela de pessoa jurídica de direito público, objeto de informe específico à autoridade nacional • Em nenhum caso a totalidade dos dados pessoais de banco de dados dessa natureza poderá ser tratada por pessoa de direito privado salvo por aquela que possua capital integralmente cons@tuído pelo poder público. • § 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do Ptular previstos nesta Lei. Art. 4º Dados relaDvos à segurança pública, defesa nacional, segurança do Estado ou aDvidades de invesDgação e repressão de infrações penais Miriam Wimmer miriam.wimmer@yahoo.com.br 101 Bases legais para o tratamento de dados pessoais pelo Poder Público 102 Hipóteses legais para tratamento de dados pessoais ConsenDmento do Dtular Cumprimento de obrigação legal ou regulatória Pela administração pública, para execução de políDcas públicas (lei, regulamentos, contratos, convênios ...) Realização de estudos por órgão de pesquisa Execução de contrato Exercício regular de direitos Proteção da vida ou incolumidade ysica Tutela da saúde Interesses legíDmos do controlador ou de terceiro Proteção do crédito Miriam Wimmer miriam.wimmer@yahoo.com.br 103 Hipóteses legais para tratamento de dados sensíveis ConsenDmento específico e destacado do Dtular Cumprimento de obrigação legal ou regulatória Pela administração pública para execução de políDcas públicas (leis ou regulamentos) Realização de estudos por órgão de pesquisa Exercício regular de direitos Proteção da vida ou incolumidade ysica Tutela da saúde Prevenção à fraude e à segurança do Dtular Miriam Wimmer miriam.wimmer@yahoo.com.br 104 Hipóteses gerais Art. 7º, III Art. 23 Necessários à execução de políPcas públicas Previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres Necessários à execução de competências legais ou atribuições legais do serviço público Atendimento de finalidade pública, na persecução do interesse público Miriam Wimmer miriam.wimmer@yahoo.com.br 105 Outras bases legais? ConsenDmento? LegíDmo interesse? Miriam Wimmer miriam.wimmer@yahoo.com.br Perguntas? 107 Compartilhamento de dados no Poder Público 108 Proteção do dado sigiloso IdenDficação única do cidadão Simplificação da prestação de serviços públicos Miriam Wimmer miriam.wimmer@yahoo.com.br Cenário atual: principais motivadores 109 Uso compartilhado no Poder Público Decreto nº 8.789, de 29 de junho de 2016 à Decreto nº 10.046, de 9 de outubro de 2019 • Dispõe sobre o comparDlhamento de bases de dados na administração pública federal. Portaria RFB nº 1384, de 09 de setembro de 2016 • Art. 1º Os dados não protegidos por sigilo fiscal constantes de base de dados da Secretaria da Receita Federal do Brasil (RFB) serão disponibilizados a órgãos e enDdades da Administração Pública Federal direta, autárquica e fundacional nos termos desta Portaria. Decreto 9.094/2017 • Dispõe sobre a simplificação do atendimento prestado aos usuários dos serviços públicos, raDfica a dispensa do reconhecimento de firma e da autenDcação em documentos produzidos no País e insDtui a Carta de Serviços ao Usuário. Lei n. 13.726, de 8 de outubro de 2017 • Racionaliza atos e procedimentos administraDvos dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios e insDtui o Selo de DesburocraDzação e Simplificação. Lei n. 13.444, de 11 de maio de 2017 • Art. 1º É criada a IdenDficação Civil Nacional (ICN), com o objeDvo de idenDficar o brasileiro em suas relações com a sociedade e com os órgãos e enDdades governamentais e privados. Miriam Wimmer miriam.wimmer@yahoo.com.br Uso compartilhado de dados na LGPD Princípios e objeDvos Bases legais • ComparDlhamento público-público • ComparDlhamento público-privado Boa-fé – legítimas expectativas - contexto! 111 Uso compartilhado • Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento comparDlhado de bancos de dados pessoais ... • por órgãos e enDdades públicos no cumprimento de suas competências legais, • ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permiDdas por esses entes públicos, • ou entre entes privados. Art. 25. Os dados deverão ser manDdos em formato interoperável e estruturado para o uso comparDlhado, com vistas à execução de políDcas públicas, à prestação de serviços públicos, à descentralização da aDvidade pública e à disseminação e ao acesso das informações pelo público em geral. Uso comparDlhado é um Dpo de tratamento de dados pessoais (art. 5º, XVI, LGPD): Miriam Wimmer miriam.wimmer@yahoo.com.br ComparPlhamento é um Ppo de tratamento, portanto precisa estar amparado por uma base legal Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1o [da LAI], deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objeDvo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: (...) 113 Compartilhamento público-público 114 Compartilhamento público-público Art. 26. O usocomparDlhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políDcas públicas e atribuição legal pelos órgãos e pelas enDdades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei. Miriam Wimmer miriam.wimmer@yahoo.com.br Finalidade Adequação Necessidade Livre Acesso Qualidade dos dados Transparência Segurança Prevenção Não-discriminação Accountability 115 Precedente STF Decisão de Medida Cautelar na suspensão de Liminar 1.103-SP (2017) • Ministra Carmen Lúcia • Suspensão de decisão do TRF da 3ª Região que havia determinado que o IBGE fornecesse ao MPF dados necessários à idenDficação de quarenta e cinco crianças que não haviam sido regularmente registradas nos cartórios de registro civil de Bauru. • Razões: violação do sigilo estaZsPco com potencial abalo à confiança das pessoas que prestam informações ao insDtuto. Miriam Wimmer miriam.wimmer@yahoo.com.br 116 Precedentes STF Mandado de Segurança 36.150-DF, com pedido de liminar (2018) • Ministro Roberto Barroso • MS impetrado pelo INEP contra acórdão do TCU que determinara a entrega de dados individualizados do Censo Escolar e do ENEM para auditoria do Programa Bolsa Família. • Razões: a mudança de finalidade do tratamento dos dados representaria violação ao dever de sigilo e da garanPa de inviolabilidade da inPmidade: “A transmissão a outro órgão do Estado dessas informações e para uma finalidade diversa daquela inicialmente declarada subverte a autorização daqueles que forneceram seus dados pessoais, em aparente violação do dever de sigilo e da garan@a de inviolabilidade da in@midade”. Miriam Wimmer miriam.wimmer@yahoo.com.br 117 Compartilhamento público-privado 118 Compartilhamento público-privado Regra geral: vedação (art. 26, § 1º) • Exceções: • I - em casos de execução descentralizada de aDvidade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei de Acesso à Informação; • III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei. • IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou • V - na hipótese de a transferência dos dados objeDvar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do Dtular dos dados, desde que vedado o tratamento para outras finalidades. 119 Compartilhamento público-privado Art. 27. A comunicação ou o uso comparDlhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consenDmento do Dtular, exceto: • I - nas hipóteses de dispensa de consenDmento previstas nesta Lei; • II - nos casos de uso comparDlhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou • III - nas exceções constantes do § 1º do art. 26 desta Lei. • Parágrafo único. A informação à autoridade nacional de que trata o caput deste arDgo será objeto de regulamentação Miriam Wimmer miriam.wimmer@yahoo.com.br 120 Exemplo compartilhamento público-privado Miriam Wimmer miriam.wimmer@yahoo.com.br Órgão público Base legal: art. 7º, III (“pela administração pública”) PJ de direito privado Base legal: ? ComparDlhamento público-privado • Exemplo de base legal: art. 7º, III c/c art. 26, § 1º, I (execução descentralizada de aDvidade pública) • Finalidade específica e determinada 121 Tratamento de dados pelo Poder Público: papel da Autoridade Art. 26, § 2º Os contratos e convênios de transferência de dados pessoais a enDdades privadas deverão ser comunicados à autoridade nacional. + Art. 27. A comunicação ou o uso comparDlhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional (...) Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, às enDdades do Poder Público, a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emiDr parecer técnico complementar para garanDr o cumprimento desta Lei. Art. 30. A autoridade nacional poderá estabelecer normas complementares para as aDvidades de comunicação e de uso comparDlhado de dados pessoais. Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práDcas para os tratamentos de dados pessoais pelo Poder Público. Miriam Wimmer miriam.wimmer@yahoo.com.br 122 Precedente TSE Acordo de Cooperação TSE-SERASA (2013) • JusPficaPva: Combate a fraude e proteção do mercado de crédito brasileiro • Amparo jurídico: Resolução TSE n° 21. 538/2003, que, em seu arDgo 29, permiDa o fornecimento a informações constantes do cadastro eleitoral a insDtuições públicas e privadas para “enDdades autorizadas pelo TSE, desde que exista reciprocidade de interesses (Lei nº 7.444/85, art. 9º, inciso I)” • Porém: “Art. 9º O Tribunal Superior Eleitoral baixará as instruções necessárias à execução desta Lei, especialmente, para definir: I - a administração e a uDlização dos cadastros eleitorais em computador, exclusivamente, pela Jus@ça Eleitoral”; Miriam Wimmer miriam.wimmer@yahoo.com.br 123 Precedente TSE Acordo de Cooperaçã o TSE- SERASA (2013) Miriam Wimmer miriam.wimmer@yahoo.com.br 124 Precedente TSE Acordo de Cooperação TSE-SERASA (2013) • A Corregedoria-Geral Eleitoral, em decisão unipessoal da Min. Laurita Vaz, determinou a suspensão do acordo de cooperação técnica: “entendo, em juízo prelibatório, haver risco de quebra do sigilo de informações que estão a mim confiadas, as quais, por ora, ainda estão preservadas. Ante o exposto, determino, em caráter cautelar, a suspensão da execução do acordo, até ulterior deliberação”. • Nota para a Imprensa da Serasa Experian: “Todas as informações ob@das pela Serasa Experian através do convênio são públicas e de natureza cadastral, podendo ser acessadas no site do TSE ou nos cartórios de registro de pessoas naturais, para verificação ou consulta, por todo e qualquer interessado. (...) uma vez que as informações são públicas, cadastrais e necessárias à perfeita iden;ficação do cidadão, tais dados não estão sujeitos à privacidade e, portanto, não violam este direito”. Miriam Wimmer miriam.wimmer@yahoo.com.br 125 Precedente TSE Análise: • Os dados pessoais em questão são protegidos por sigilo? • À luz da LGPD, haveria uma base legal para o comparDlhamento de dados entre o TSE e a Serasa? Qual ou quais? • À luz da LGPD, haveria uma base legal para o tratamento dos dados pela Serasa? Qual? • Quais seriam os aspectos problemáDcos do acordo de cooperação? Miriam Wimmer miriam.wimmer@yahoo.com.br Confiança “CriDcally, the constantly evolving nature of public services requires more than an iniPal acceptance via consent to foster a relaDonship of trust between the public and the public sector provider. If the relaDonship between the government and its ciDzens is viewed as a “conPnuing relaPonal process” then jusDfying the use of ciDzens’ personal data should rely upon jusDficaDons in the public interest which demonstrate a conDnuing obligaDon to process their personal data only as such processing relates to the public interest of society as a whole” . (Black & Stevens, 2013) Perguntas? By: .com © presentationgo.com 8. Transferência internacional de dados pessoais • Adequação, garantias • Interoperabilidade de marcos legais • Enforcement e cooperação internacional 129 “A proteção de dados está diretamente relacionadaao comércio em bens e serviços na economia digital. Proteção insuficiente pode criar efeitos negaDvos no mercado ao reduzir a confiança do consumidor, e proteção excessiva pode indevidamente restringir as empresas, com efeitos econômicos adversos. Assegurar que as leis considerem a natureza global e o escopo de sua aplicação, e promover a compaDbilidade com outros marcos legais, é da maior importância para fluxos globais de dados que, de maneira crescente, dependem da Internet. (…) Em 2014, aproximadamente $30 trilhões em bens, serviços e finanças foram transferidos através de fronteiras nacionais. EsDma-se que aproximadamente 12% do comércio internacional em bens ocorre por meio de plataformas globais de comércio eletrônico, como Alibaba e Amazon. A dimensão internacional dos fluxos aumentou o PIB global em aproximadamente 10%, equivalente a $7,8 trilhões em 2014. EsPma-se que fluxos de dados representam $2,8 trilhões desse valor adicionado”. UNCTAD – United NaDons Conference on Trade and Development. Data protecDon regulaDons and internaDonal data flows: ImplicaDons for trade and development, 2016, pg. xi. Disponível em h�p://unctad.org/en/PublicaDonsLibrary/dtlsDct2016d1_en.pdf, consultado em agosto/2018. Transferências envolvendo a Europa GDPR • Adequação • Salvaguardas apropriadas • Regras corporaDvas vinculantes • ConsenDmento explícito • Contrato • Interesse público • Defesa de direitos • Interesses vitais Eu-US Privacy Shield Miriam Wimmer miriam.wimmer@yahoo.com.br Transferências envolvendo os EUA Acordos bilaterais e regionais, normalmente baseados em esquemas de cerDficação voluntária Negociação de acordos de comércio buscando impedir requisitos de localização de dados e restrições ao livre fluxo de dados através das fronteiras (críDcas ao "protecionismo digital") Miriam Wimmer miriam.wimmer@yahoo.com.br Diretrizes OCDE PART FOUR. BASIC PRINCIPLES OF INTERNATIONAL APPLICATION: FREE FLOW AND LEGITIMATE RESTRICTIONS • 16. A data controller remains accountable for personal data under its control without regard to the locaDon of the data. • 17. A Member country should refrain from restricDng transborder flows of personal data between itself and another country where (a) the other country substanDally observes these Guidelines or (b) sufficient safeguards exist, including effecDve enforcement mechanisms and appropriate measures put in place by the data controller, to ensure a conDnuing level of protecDon consistent with these Guidelines. • 18. Any restricDons to transborder flows of personal data should be proporDonate to the risks presented, taking into account the sensiDvity of the data, and the purpose and context of the processing. Miriam Wimmer miriam.wimmer@yahoo.com.br PART SIX. INTERNATIONAL CO-OPERATION AND INTEROPERABILITY • 20. Member countries should take appropriate measures to facilitate crossborder privacy law enforcement co-operaDon, in parDcular by enhancing informaDon sharing among privacy enforcement authoriDes. • 21. Member countries should encourage and support the development of internaDonal arrangements that promote interoperability among privacy frameworks that give pracDcal effect to these Guidelines. • 22. Member countries should encourage the development of internaDonally comparable metrics to inform the policy making process related to privacy and transborder flows of personal data. • 23. Member countries should make public the details of their observance of these Guidelines. Diretrizes OCDE Miriam Wimmer miriam.wimmer@yahoo.com.br 134 Transferências internacionais na LGPD Adequação • Países ou organismos que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei GaranDas • Cláusulas contratuais específicas • Cláusulas contratuais padrão • Normas corporaDvas globais • Selos, cerDficados e códigos de conduta ConsenDmento específico e em destaque Outras hipóteses • Proteção da vida ou incolumidade ysica • Autorização da Autoridade • Acordo de cooperação internacional • PolíDca pública/serviço público • Obrigação legal ou regulatória • Execução de contrato • Exercício regular de direitos Miriam Wimmer miriam.wimmer@yahoo.com.br Elementos avaliados para adequação (art. 34) • I - as normas gerais e setoriais da legislação em vigor no país de desDno ou no organismo internacional; • II - a natureza dos dados; • III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos Dtulares previstos nesta Lei; • IV - a adoção de medidas de segurança previstas em regulamento; • V - a existência de garanDas judiciais e insDtucionais para o respeito aos direitos de proteção de dados pessoais; e • VI - outras circunstâncias específicas relaDvas à transferência. Transferências internacionais na LGPD Miriam Wimmer miriam.wimmer@yahoo.com.br Papel da Autoridade Nacional • Definição do conteúdo de cláusulas-padrão contratuais • Verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporaDvas globais ou selos, cerDficados e códigos de conduta • Designar organismos de cerPficação, que permanecerão sob sua fiscalização • Os atos realizados por organismo de cerDficação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submeDdos a revisão ou anulados. • As alterações nas garanDas apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do Dtular referidas no inciso II do art. 33 deverão ser comunicadas à autoridade nacional. Transferências internacionais na LGPD Miriam Wimmer miriam.wimmer@yahoo.com.br Perguntas? By: .com © presentationgo.com 9. Enforcement da LGPD • Sistema Nacional de Defesa do Consumidor • Ministério Público • Instâncias Estaduais e municipais • Outros órgãos públicos com competências sancionadoras • A ANPD 139 Enforcement ANPD • Administração direta ou indireta? • Independência? Sistema Nacional de Defesa do Consumidor • Procons, Juizados Especiais, etc Poder Judiciário Ministério Público do Distrito Federal e Territórios • Comissão de Proteção de Dados Pessoais Outros órgãos reguladores Instâncias estaduais/municipais Miriam Wimmer miriam.wimmer@yahoo.com.br 140 Sanções e responsabilidade administrativa do agente público LGPD. Art. 52 (sanções administraPvas): • I - advertência, com indicação de prazo para adoção de medidas correDvas; • (...); • IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; • V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; • VI - eliminação dos dados pessoais a que se refere a infração; • X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da aDvidade de tratamento pelo controlador; • XI - suspensão do exercício da aDvidade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; • XII - proibição parcial ou total do exercício de aDvidades relacionadas a tratamento de dados. § 2º O disposto neste arDgo não subsDtui a aplicação de sanções administraDvas, civis ou penais definidas na Lei no 8.078, de 11 de setembro de 1990, e em legislação específica. § 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste arDgo poderá ser aplicado às enDdades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011. Miriam Wimmer miriam.wimmer@yahoo.com.br Requisitos previstos no GDPR (art. 51 a 59) Uma ou mais autoridades públicas, atuando com complete independência e livres de influência externa, direta ou indiretaMeios humanos, técnicos e financeiros necessários para o efeDvo desempenho de suas tarefas Orçamentos separados e controles financeiros que não afetem sua independência Referências internacionais Miriam Wimmer miriam.wimmer@yahoo.com.br Nomeação do(s) conselheiro(s) por meios transparentes pelo Congresso, governo, chefe de estado ou órgão independente Qualificações, experiência e habilidades necessárias Demissão somente em caso de faltas graves ou se o membro não possuir mais as condições necessárias para o exercício do cargo. Mandato de no mínimo quatro anos Requisitos previstos no GDPR (art. 51 a 59) Referências internacionais Miriam Wimmer miriam.wimmer@yahoo.com.br Requisitos OCDE DefiniDons. 1. d) “Privacy enforcement authority” means any public body, as determined by each Member country, that is responsible for enforcing laws protecDng privacy, and that has powers to conduct invesDgaDons or pursue enforcement proceedings. NATIONAL IMPLEMENTATION 19. In implemenDng these Guidelines, Member countries should: c) establish and maintain privacy enforcement authoriDes with the governance, resources and technical experDse necessary to exercise their powers effecDvely and to make decisions on an objecDve, imparDal and consistent basis; d) encourage and support self-regulaDon, whether in the form of codes of conduct or otherwise; Referências internacionais Miriam Wimmer miriam.wimmer@yahoo.com.br Consu mo Penal Financeiro Educação Telecom Eleições Harmonização entre LGPD e legislação setorial Desafios regulatórios Miriam Wimmer miriam.wimmer@yahoo.com.br Interpretação e clarificação de novos conceitos Desafios regulatórios Miriam Wimmer miriam.wimmer@yahoo.com.br Interoperabilidade global de marcos normativos Cidadãos Relacionamento institucional Governo Setor Empre- sarial Miriam Wimmer miriam.wimmer@yahoo.com.br Autori- dade nacional Proteção de direitos • NormaDzação, fiscalização, sancionamento Órgão central no sistema brasileira de PDP • Fixar interpretações, dar diretrizes, relacionamento com outras instâncias de enforcement Papel informaDvo e educacional • Boas práDcas • Privacy and Security by default and by design Engajamento construDvo com setor público e privado • Regulação e corregulação ArDculação com enDdades internacionais análogas • Transferências internacionais de dados, enforcement transnacional Atribuições Miriam Wimmer miriam.wimmer@yahoo.com.br 149 Entrada em vigor 08/2020 Miriam Wimmer miriam.wimmer@yahoo.com.br Perguntas? Miriam Wimmer Obrigada! linkedin.com/in/miriamwimmer miriam.wimmer@yahoo.com.br
Compartilhar