Regulação de Dados: Riscos e Oportunidades ANER. 7 de outubro de 2016

Transcrição

1 Regulação de Dados: Riscos e Oportunidades ANER 7 de outubro de 2016

2 Apresentação Esta apresentação tem o intuito de apresentar o cenário atual e de curto e médio prazo da regulação de dados; Contempla tanto dados públicos como dados pessoais; A partir desse cenário, apresenta: as principais Obrigações Legais; os principais Riscos; as principais Oportunidades; os principais Projetos de Lei.

3 Briefing - Dados Pessoais Obrigações Legais Riscos Oportunidades Reestruturação Interna Relacionamento e Diálogo com Usuários de Internet Relacionamento com Autoridades Públicas Perda relativa ou total sobre os ativos de Dados Sanções Administrativas; Ações Individuais ou Coletivas e Processos Criminais Restrição a Modelos de Negócios Responsabilização Individual de Colaboradores Segurança Jurídica = mais investimento Novas metodologias para modelagem de negócio Demanda dos Consumidores e Cidadãos Novos Modelos de Negócio Vantagem Competitiva - inclusive frente a negócios e players internacionais

4 Briefing - Dados Públicos Riscos Oportunidades Confundir "dados disponíveis publicamente" com "dados de domínio público ou uso irrestrito" Todos os riscos relacionados aos dados pessoais Acessar dados públicos: em formato bruto disponíveis ou não publicamente de forma atualizada Novos Modelos de Negócio Novos Produtos de Dados

5 Legislação Dados Pessoais Em Vigor Dados Pessoais Projetos de Lei Dados Públicos Em Vigor Marco Civil da Internet Regulação do MCI Código Civil CDC PLC 4.060/12 PLS 281/12 PLS 330/13 PLC 5276/16 Lei de Acesso à Informação Pública Política de Dados Abertos do Poder Executivo Federal Compartilhamento de Bases de Dados na Administração Pública Federal

6 O QUE É REGULADO?

7 O que é Regulado? (em vigor) Dados Pessoais O que é DADO PESSOAL? Dados Públicos O que é DADO PÚBLICO? "dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa" Qual atividade com DADO PESSOAL? A legislação não faz clara distinção entre dados públicos e pessoais. O que faz é regular o acesso aos dados em posse da Adm. Direta e Indireta, e indicar alguns controles sobre o uso sobre esses dados. Qual atividade com DADO PÚBLICO? Coleta, armazenamento, tratamento, compartilhamento e qualquer uso ou acesso que envolva dados pessoais. Acesso e coleta. *Em vigor pelo Regulamento do Marco Civil da Internet *Em vigor pela Lei de Acesso à Informação Pública

8 Dados Pessoais Dado não é SÓ propriedade A principal inovação da regulação de dados pessoais é que os ativos de dados não seriam mais baseados na posse ou propriedade de um dado, seja ele público ou pessoal, mas nos direitos, evidentes e comprováveis, de coleta, uso, tratamento, compartilhamento, e qualquer outra atividade a ser exercida com o dado; Ou seja, o dado só é um ativo na exata medida em que consigo evidenciar e comprovar meus direitos sobre as atividades que exerço sobre eles; Antes, a mera posse do dado poderia gerar a impressão de propriedade, e a liberdade na atuação com esse dado. Continua existindo Propriedade Intelectual sobre os conhecimento e às tecnologias aplicadas aos dados e seus usos.

9 REGRAS DE PROTEÇÃO DE DADOS PESSOAIS (em vigor)

10 Exemplos de Regras (em vigor) Guarda de Logs de Acesso Externo Fica obrigado a: coletar e guardar o log de acesso a aplicações de internet e de provimento de conexão, pelo período mínimo de 6 meses, sob risco de sanção direta Logs de Acesso Interno Fica obrigado a: mapear, identificar, e definir privilégios e responsabilidades a todos os colaboradores com acesso direto a dados pessoais, seja em atividades de coleta, armazenamento tratamento ou qualquer outro uso, e inventariar cada um desses acessos Segurança nos Fornecedores Fica obrigado a: garantir que os fornecedores - que tenham acesso aos dados pessoais - adotem níveis de segurança de nível similar ou superior, os quais devem constar em contrato, serem fiscalizados, e constar, ao menos de forma genérica, nas políticas de privacidade

11 Exemplos de Regras (em vigor) Requisição de Dados Cadastrais por Autoridade Competente Não devem ser atendidas requisições de dados cadastrais, que sejam coletivos, genéricos ou inespecíficos, e que não apontem especificamente: os indivíduos titulares dos dados as informações desejadas Requisição de Dados não-cadastrais por Autoridade Pública Diante de requisição de dados não-cadastrais, só devem ser atendidos os casos em que for feita por meio de ordem judicial, contendo, no mínimo: indícios da ocorrência de ilícito justificativa da utilidade dos registros solicitados para fins de investigação ou instrução probatória período ao qual se referem os registros

12 Exemplos de Regras (em vigor) Uso e Consentimento No momento do uso, ou desenvolvimento de modelos de negócio que utilizem dados, deve haver verificação de correlação entre o uso e o disposto como justificativa nas políticas no momento da coleta de dados Acesso à Fornecedores No momento de fornecimento de dados a terceiro, deve haver conferência da política disponibilizada ao usuário sobre existência de cláusula de fornecimento à terceiro Especificidades nas Políticas Na elaboração e revisão das Políticas de Privacidade, e cláusulas contratuais específicas de proteção de dados pessoais nos contratos de prestação de serviços, deve-se aplicar o maior nível de detalhamento, especificidade e previsibilidade de atividades futuras com relação aos dados pessoais

13 Exemplos de Regras (em vigor) Padrões CGI Deve-se consultar periodicamente os padrões estabelecidos pelo CGI para o tratamento de dados pessoais Atendimento de Usuários Deve-se receber - e atender, se for o caso - pedidos de usuários relacionados a seus dados como, por exemplo, pedidos de exclusão de seus dados Exclusão de Dados Deve-se excluir dados dos usuários que requererem ao término da relação

14 Projetos de Lei de PROTEÇÃO DE DADOS PESSOAIS

15 Comparativo de PLs

16 Comparativo de PLs

17 Comparativo de PLs

18 Comparativo de PLs

19 ACESSO A DADOS PÚBLICOS (E SEU USO)

20 Acesso a Dados Públicos O que posso obter? De quem posso obter? "informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato" "O acesso à informação de que trata esta Lei compreende, entre outros, os direitos de obter: (...) informação primária, íntegra, autêntica e atualizada" "(...) os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público; (...) as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios. (...) às entidades privadas sem fins lucrativos que recebam, para realização de ações de interesse público, recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres."

21 Quais os encaminhamentos?

22 DIAGNÓSTICO E GESTÃO DE RISCOS SOLUÇÃO DE PROBLEMAS APROVEITAMENTO DE OPORTUNIDADES

23 Diagnóstico e Gestão de Riscos GESTÃO INTEGRADA DE DADOS Implementação ágil e sistêmica das mecânicas e regras de compliance A Gestão Integrada dos Dados como forma de ganhar agilidade na proteção do ativo de Dados autenticação logs compartilhamento etc

24 Diagnóstico e Gestão de Riscos PRIVACY ASSESSMENT (AVALIAÇÃO DE PRIVACIDADE) Os Privacy Assesments permitem ir além das formalidades legais, e uma melhor gestão de riscos Previsto nos Projetos de Lei Auxílio na gestão de Riscos Comprovação de Boa-Fé Além das Formalidades Legais Legalidade pelo Legítimo Interesse

25 Aproveitamento de Oportunidades REQUISIÇÃO DE ACESSO A DADOS PÚBLICOS Acesso a dados em formatos brutos.csv.txt jason tabulado Coleta automatizada dump script API A legislação permite, inclusive, acesso a dados brutos indisponíveis ao público Documentação sobre dados estrutura campos metadados atualização etc

26 Solução de Problemas MATCHING ANONIMIZADO (e outros) Compartilhamento com terceiros, clientes, parceiros e fornecedores é uma das maiores dificuldades Anonimizações sem perda de eficiência tendem a ser mecanismos valorizados diante da regulação A tendência é uma valorização de técnicas e serviços de matching e compartilhamento anonimizado

27 Solução de Problemas POLÍTICA CORPORATIVA DE PROTEÇÃO DE DADOS A Política Corporativa é a referência central para proteção de dados na empresa Regras e Diretrizes internas para os colaboradores e áreas em qualquer atividade que envolve dados pessoais Documenta as atividades de proteção de dados exercidas pela empresa, e se torna documento de demonstração de Boas Práticas pela empresa frente à Legislação

28 Diagnóstico e Gestão de Riscos GRUPO DE TRABALHO DE PROTEÇÃO DE DADOS PESSOAIS Grupo de Trabalho Interdepartamental Diagnósticos Eficientes Canal Centralizado de Solução de Problemas Gestão de Riscos Aprimorada O GT de Proteção de Dados viabiliza projetos implementáveis, sem resistências interdepartamentais riscos Operacionais riscos Comerciais riscos Legais/Jurídicos

29 Aproveitamento de Oportunidades CRAWLER SUBS Independência de estrutura e mudanças em layouts de sites Acesso a dados indisponíveis na web Dados estruturados, íntegros e documentados Substituição gradativa de crawlers por dados primários e íntegros da Adm. Pública.

30 Vitor Morais de Andrade